Когда-то давно была придумана авторизация в различных сервисах через мобильный телефон. Схема простая и должна была быть удобной для пользователей. Вы вводите номер своего сотового вместо логина и пароль, свой или полученный через SMS. Если пароль забыт, то его можно запросить так же через SMS.
И придёт он либо в открытом виде (если его хранит сервис), либо в виде кода, который потребуется для создания нового пароля, если сервис хранит только результат крипто-функции, аргументом которой является ваш пароль. А злоумышленнику достаточно лишь сделать дубликат вашей SIM-карты, чтобы получить доступ. При удачном стечении обстоятельств такой взлом окажется очень простым.
Из статьи на тему - Оператор мобильной связи не в силах предотвратить выдачу дубликатов сим-карт злоумышленникам habrahabr.ru/post/267447/
Список рекомендаций:
Как избежать подобной ситуации в условиях полной беспомощности мобильного оператора:
Как избежать подобной ситуации в условиях полной беспомощности мобильного оператора:
- В случае обнаружения выдачи дубликата сим-карты, немедленно блокируйте такую сим-карту и все связанные с ней платежные аккаунты и банковские карты.
- Звоните в офис банка и сотового оператора или или блокируйте через интернет, если еще есть такая возможность, не тратьте время на пеший путь.
- Используйте отдельный телефон и телефонный номер для работы с онлайн- и теле-банкингом.
- Если для авторизации вам достаточно sms, используйте примитивный мобильный телефон, а не смартфон.
- Никому и нигде не сообщайте номер этого телефона.
- Не устанавливайте абсолютно никаких лишних приложений, если используете смартфон для этих целей.
- Не пользуйтесь браузером или почтой на данном смартфоне.
- Не привязывайте все свои аккаунты к одной почте и\или одному номеру телефона.
- Не используйте очевидные или простые пароли для банковских или платежных приложений.
- Отключите геолокацию во всех встроенных социальных приложениях в смартфоне.
- Используйте отдельный аккаунт магазина приложений для смартфона, хранящего доступ к платежным и банковским аккаунтам.
- Не покупайте «анонимные» Sim-карты для своих основных счетов. Это может быть ловушкой злоумышленников.
- При первой возможности (и в дальнейшем регулярно) проверьте в офисе оператора, сколько на ваше имя зарегистрировано сим-карт.
- Если распоряжаетесь крупной суммой денег через онлайн-банкинг, попросите у банка услугу "криптокалькулятора".
Проблема серьёзная - mail.ru, ok.ru, vk.com,.. список можно продолжать.
Как-то я был свидетелем по уголовному делу в отношении неустановленных лиц по поводу взлома кое-каких моих сайтов. И беседовал со следователем о разном, на тему мою и отвлечённые. И вот в процессе разговора говорю ему, что он неправильно понимает, кому что принадлежит и что является неправомерным доступом к информации, а что нет.
Оказывается, что они выносят обвинительные заключения, суд выносит приговоры, а по всем соображениям с технической и юридической точки зрения, неправомерного доступа при этом не было. Т.е. закон применяют кто как может. Следователь не понимает, кому принадлежат ваши аккаунты в соцсетях, а судья вообще может мегабайты умножать на рубли и что-то там себе выводить.
Т.е. в случае с защитой правоохранительными органами ваших учётных записей результат вообще будет рандомным. Информационной безопасности простых людей не учат вообще нигде, а эти информационные технологии всё глубже и глубже проникают в нас.
2 454
