Угнали учетную запись

[Rihter 6,675]

 

 

Это нонсенс для МТС.

 

Я пока что не проникся идеей поднимать шум на форуме и кошмарить всех присутствующих реальным положением дел с безопасностью сим-карт.

Но МТС ни на грамм не лучше других операторов, а может быть и хуже - вот статистика одного из людей, кто эту статистику собирал по сбербанку:

МТС: 18 случаев
Билайн: 6 случаев
Мегафон: 6 случаев

Это где-то за 3 года, только по одному банку и только по случаям, опубликованным на одном (правда крупном) форуме. Сколько не опубликовано - никто не знает.

Потом автор блога забросил подсчёт...

_____________________

 

Хм, однако ж получается, что я уже начал поднимать волну и кошмарить народ...

Ладно, так и быть, придётся ответить на вопрос, что мне задали выше: "Ну вы бы хоть в паре слов описали общую схему."

 

Вот для начала наиболее известный триллер на эту тему, почитайте (весёлое чтиво, рекомендую ) Но это далеко не единственный триллер, подобного захватывающего чтива в сети навалом.

Наиболее известен данный триллер потому, что его автор - дама с весом в обществе и со связями - это экс-глава Tinkoff Digital, затем директор по цифровым технологиям агентства Mindshare. Случай вызвал серию публикаций в СМИ (связи помогли, наверно).

А сколько людей в подобных случаях промолчало, махнув рукой?

Ведь каждый понимает, что у него не хватит сил судиться ни с банком, ни с сотовым оператором, ни с оффшорным брокером.

Тем более, что никто из названных не виноват.

Это же не они виноваты, а злоумышленники (и это почти что правда).

Но злоумышленников найти совершенно невозможно.

Так что никто не виноват.

Точнее, виноват сам клиент. Тем, что кто-то узнал его номер телефона или ФИО, или нашёл ещё какую-то зацепку...

[AntFX 6,474]

МТС: 18 случаев Билайн: 6 случаев Мегафон: 6 случаев Это где-то за 3 года

...

Хм, однако ж получается, что я уже начал поднимать волну и кошмарить народ...

30 случаев "угона" сим-карт на миллионы клиентов банка? Это такие мизерные доли процентов, что смысла точно нет ради этого делать какие-то телодвижения. "Кошмарить" пока явно не получается.

Судя по твоей истории в ФБ, там действовала преступная группировка, которую давно уже прикрыли. Это не системное явление

Edited June 24, 2017 by AntFX

[Rihter 6,675]

 

 

30 случаев "угона" сим-карт на миллионы клиентов банка?

 

Ну я же написал: "Это где-то за 3 года, только по одному банку и только по случаям, опубликованным на одном (правда крупном) форуме. Сколько не опубликовано - никто не знает."

И собирал эти случаи всего один человек. Не бог весть что.

 

Вот ещё из моих старых ссылок (свежую информацию не искал), раз сказанного выше мало.

 

Для получения онлайн-доступа к счетам жертв ... участились случаи замены сим-карт для мобильных телефонов по поддельным паспортам и доверенностям в салонах сотовой связи. За последние две недели крупные банки зафиксировали порядка 150 подобных жалоб от граждан, их ущерб оценивается в несколько миллионов рублей, рассказал «Известиям» источник, близкий к ЦБ.

 

 

Перед посещением салонов связи мошенники с помощью вредоносных компьютерных программ (в основном «троянов») узнают логины и пароли — но для операций нужны одноразовые пароли, которые в большинстве случаев приходят на мобильный телефон.

 

Последний абзац в этой цитате прочитали?.. Так вот, в нашем случае (в Альпари) никакие трояны не нужны - не нужно злоумышленнику заранее знать логины и пароли. Пароль можно получить сходу через процедуру восстановления пароля.

 

Нужно только знать (и то не обязательно) номер ЛК либо (!) адрес email !

Номера своих ЛК многие печатают на форуме, задавая вопросы администрации, либо подключаясь к партнерской программе.

Мыло - это вообще ниачём, если только человек специально не шифруется.

А кто из клиентов тут специально шифруется и использует для авторизации в ЛК такое мыло, которое не использует больше нигде?..

Я ж и говорю - если кого-то обворуют, то сам виноват!!! Кто-то узнал его мыло - а оно и есть логин в ЛК! Сам виноват!

 

Конечно, помимо мыла надо знать номер телефона или ФИО, чтобы угнать сим-карты по схеме выше. Ну так ФИО, а то и телефон, многие засвечивают - я по многим управам эту информацию находил, когда интересовался "а кто это?"

Многие имели страницы в ВК или Одноклассниках.

Кое-кто (из ныне здравствующих) честно регился везде под одним ником, в том числе на форуме собственников жилья, где в профиле есть точный адрес (это требование того форума).

Кто-то рассказывал свою биографию, включая город и кем он там работал - этого было достаточно.

Многие дают своё мыло (пусть даже через ЛС), и поиск по нему приводит, например, в резюме на LinkedIn (а там ФИО),

и т.п. и т.д.

[Rihter 6,675]

 

 

Судя по твоей истории в ФБ, там действовала преступная группировка, которую давно уже прикрыли. Это не системное явление

 

Не надо иллюзий, это не одна группировка, таких группировок до фига. Да и создать новую - ещё одну - ничего не стоит.

Для этого надо всего лишь найти знакомых в сети салонов сотовых операторов, либо подкупить кого-то там (предложить денег), либо устроить туда на работу своего человека.

 

Сколько салонов связи имеется по стране? Сколько там работает человек? (Это ещё не считая других сотрудников опсосов - не продавцов).

Даже у меня один из ближайших знакомых работал в структурах сотового оператора (сейчас уже уволился).

 

Причем это всё не говоря о том, что во многих салонах иногда продавцы готовы и без паспорта симку поменять. Это правда, не вру!

Им же не за секьюрность зарплату платят, а за продажи.

Я год назад эксперимент проводил. Подхожу, говорю так неуверенно, на ходу, с сомнениями: "А можно у вас сим-карту восстановить, если вышла из строя?"

Продавец: "Да можно, давайте!"

Я в ответ мямлю: "Да у меня паспорта с собой нет..."

Он: "Номер паспорта помните?"

Я, ретируясь, еле-еле отбиваюсь: "Нет, не помню, в другой раз зайду, спасибо..."

[Rihter 6,675]

Вот ещё один эпический момент. Да простят меня админы и Петухов лично. Но после данного моего поста можно будет поставить окончательный диагноз системе безопасности Альпари. О которой тут некоторые говорят, что она сделана грамотно - "специалисты же её делали по безопасности, которые лучше меня разбираются"!
 
Поначалу хотел добавить к предыдущему посту всего лишь постскриптум. Вот такой:
 
P.S. На самом-то деле сим-карту можно поменять не только в салонах связи вашего оператора мобильной связи, но и у его дилеров.
И это очень существенный момент, который я не упомянул в предыдущем посте.
Во-первых, количество салонов связи, в которых можно заменить симки, и, соответственно, сотрудников, с которыми можно "договориться", гораздо больше, чем можно было подумать. Одной только Евросети и Связного сколько!
 
Во-вторых, если "свой человек" в Билайне может "помочь" только с угоном сим-карты Билайна,
то, например, в Евросети - совсем другое дело! Они же сразу для нескольких опсосов дилеры! Очень удобно!
 
В-третьих, из отзывов (да и по своему опыту) видел, что если в фирменных салонах связи самих опсосов к секьюрности относятся ещё более или менее ответственно - туда идёт строгий отбор сотрудников (реально), то у дилеров...... продавцам вообще всё пофиг!
В случае, описанном постом выше, я как раз у дилеров про замену сим-карты без паспорта узнавал...
И, к слову, салонов Евросети в городах в разы больше, чем салонов самих операторов, взятых по отдельности.
____
 
Полез в инет проверять информацию про дилеров - так ли это, ибо уже год прошёл, подзабыл я про это.
Да, всё именно так, вот инфа от Билайна:
«Если вы потеряли SIM-карту:
Восстановите номер на новой SIM-карте
Для получения новой SIM-карты необходимо посетить один из офисов «Билайн» или дилеров»
- так что всё верно.
 
Однако попутно обнаружилось, что за год всё-таки произошли изменения.
ЦБ и правительство всё-таки вынудили опсосов усилить безопасность (повторюсь, ещё где-то в 2015 принимались законодательные акты на эту тему, ибо кражи через угон сим-карт шли просто валом!)
 
Вот свежая информация от опсосов:
[spoiler= ]Билайн:
«Внимание! Мы заблокируем прием и передачу SMS-сообщений, а также услуги мобильной коммерции после замены SIM на 24 часа. Это необходимо, чтобы защитить вас от мошенников, на 24 часа после замены SIM будут частично заблокированы прием и передача SMS-сообщений. Вы не сможете получить SMS от вашего банка и коммерческих онлайн-сервисов, которые отправляют пароли для доступа по SMS. Будет недоступна оплата услуг со счета вашего телефона. Все остальные услуги, включая приём и передачу SMS другим абонентам и SMS-сообщения, поступающие в процессе установки от наиболее популярных приложений и сервисов, будут вам доступны сразу. Ограничения будут сняты через 24 часа автоматически.» - Хммм... А Альпари-то, наверно, относятся к "другим абонентам"?.. Не банк же... С банков-то опсосы по другому тарифу деньги за рассылку SMS берут, наверно...
 
МТС:
«При восстановлении SIM-карты на сутки блокируется SMS сервис, кроме случаев замены SIM при обращении владельца номера с паспортом.» - Уже дыра по сравнению с Билайн! Если в салоне работает "свой человек" у злоумышленников, то что ему помешает утверждать, что приходил сам владелец симки?..
 
Мегафон... У них описание совершенно эпическое, про блокировку SMS ни слова, но на форумах пишут, что они всё-таки блокируют SMS на 24 часа... Привожу отрывок текста с их сайта "как есть":
«Замена SIM-карты:
Обратитесь в любой из салонов МегаФона с паспортом или другим документом, удостоверяющим личность. Чтобы заменить SIM-карту, оформленную на имя другого человека, потребуется нотариально заверенная доверенность от абонента.
Вместо паспорта в качестве удостоверения личности можно предъявить любой из следующих документов:
- временное удостоверение личности гражданина РФ;
- паспорт СССР(паспорт должен быть действительным);
- паспорт моряка (удостоверение личности моряка);
- удостоверение личности военнослужащего;
- военный билет;
- паспорт иностранного гражданина;
- удостоверение беженца;
- свидетельство о рассмотрении ходатайства лица о признании беженцем;
- разрешение на временное проживание;
- вид на жительство;
- загранпаспорт;
- водительское удостоверение;
- дипломатический паспорт;
- пенсионное удостоверение с фотографией;
- университетская электронная карта;
- социальная карта(с ФИО и фотографией).»

 

 

Подытожим. Блокировка на 24 часа, это, конечно же, прямо-таки панацея:

 

 

Источник: http://kadet-2002.livejournal.com/2308.html

_______________

 

Ну что? Можно расслабиться?

На 24 часа защита у нас всё-таки есть?

СМС-ки не пройдут, ЛК с деньгами в течение 24 часов не угонят?! (если, конечно, Альпари не относятся к "другим абонентам", см. выше)

 

А вот теперь загляните под спойлер:

[spoiler= ]

 

СМС-ки отдыхают )))

 

 

Edited June 25, 2017 by Rihter

[Zinher 8]

Я пока что не проникся идеей поднимать шум на форуме и кошмарить всех присутствующих реальным положением дел с безопасностью сим-карт.

Но МТС ни на грамм не лучше других операторов, а может быть и хуже - вот статистика одного из людей, кто эту статистику собирал по сбербанку:

МТС: 18 случаев

Билайн: 6 случаев

Мегафон: 6 случаев

 

 

 

 

_______________

 

Ну что? Можно расслабиться?

 

Вообще-то это единичные случаи. Наверно говорить о возможной массовости таких случаев некорректно. И в любом случае Альпари успеет предпринять какие-либо действия. Короче клиентам Альпари можно расслабиться.

[Rihter 6,675]

Опять цитату выдернули про 18 случаев, которые были взяты из публикаций лишь на одном форуме и произошли только по одному банку,
а цитату про реальную статистику - 150 случаев за 2 недели - предусмотрительно пропустили.
 
Ну, мне что, больше всех надо, что ли?.. Вероятность того, что обворуют меня, гораздо ниже, чем у других. Я всё-таки серьёзно отношусь к своим личным мерам безопасности, хотя они, конечно, очень далеки по своим возможностям от того, что могла бы сделать со своей стороны Компания, причём, что важно, почти без усилий (!)
 
Ну, раз никому не надо, то так и продолжайте - каждый сам за себя. Ждём следующих взломов и краж (ведь сами же пишите, что слишком мало случаев - надо больше).
 
Между тем, есть ещё несколько методов угона Личных Кабинетов (и, соответственно, денег), которые я просто не озвучивал.
Одноразовые пароли через СМС (безотносительно к Альпари) - это вообще одна сплошная дыра, причём об этом знают все, кто занимается вопросами безопасности (ссылки на подробные описания этих дыр у меня есть, мог бы выложить, если бы это было кому-то интересно - в познавательных целях).
 
Самое интересное, что какая-то структура (или регулятор) в США готовит решение, полностью запрещающее использование СМС в целях двухфакторной аутентификации - ибо, во-первых, никакая она вообще не двухфакторная (в случае СМС), а во-вторых, поскольку СМС - это вообще сплошная дыра. Злоумышленники их могут даже перехватывать в самой сети, и техническая защита от этого невозможна в принципе (на существующих ныне сетях), так как сеть передачи СМС не под это разрабатывалась - ну не предусмотрена там защита от перехватов по историческим причинам.
Жаль только, ссылку на этот готовящийся в США документ о запрете использования СМС не сохранил (на остальное пруфлинки есть)...
 
Ладно, я понял, что всем всё пофиг, отключаюсь от данной проблемы и иду другими делами заниматься...

[AntFX 6,474]

 

 

Ждём следующих взломов и краж

И тебе не хворать =)) 

[StatuS2015 29]

Между тем, есть ещё несколько методов угона Личных Кабинетов (и, соответственно, денег), которые я просто не озвучивал.

 

Если Вас не очень затруднит, то опишите эти методы. Очень интересно узнать как можно взломать мой ЛК обычному юзеру.

[ghenghea 68]

 

Если Вас не очень затруднит, то опишите эти методы. Очень интересно узнать как можно взломать мой ЛК обычному юзеру.

 

Уже несколько раз делался акцент на то что не обычному юзеру а прффесионалам с умом подходящим к своему делу.

[zzzt 701]

Рихтер, что за манера такая повествования у вас? Если ссылки уже сохранены и имеются в наличии, почему не выложить сразу? Кому от этого хуже будет? Что вы как на YouTube - "1000 лайков и я сниму новое видео!", ей богу.

 

Вообще случаи взлома очевидно единичны. Массово клиентов никто не ломает потому что даже если вы условный "нехороший сотрудник сотового оператора" и готовы слить любые симки любых людей, как узнать что конкретный человек зарегистрирован в Альпари и даже если установить факт регистрации как узнать что "овчинка стоит выделки" и на счету у человека вожделенные тысячи долларов, а не 20$ для пробы.

С банками как-то понятнее "схема узнавания" этой информации. Наличие карты куда более вероятно. Плюс эту инфу легче получить в паре с каким-нибудь еще "нехорошим работником" чего бы то ни было. Ну там, официант какой-нибудь, который вам столик бронировал по номеру телефона и карту вашу принимал и друг у него в Евросети работает =)

 

А в Альпари как тогда быть?

Вариант с "нехорошим сотрудником Альпари" не рассматриваем потому что это уже полный мрак и мания. Тогда можно вообще каждого встречного-поперечного подазревать и деньги только дома хранить в носке =) 

[Rihter 6,675]

Очень интересно узнать как можно взломать мой ЛК обычному юзеру.

 

Обычный юзер точно не сможет взломать. Сможет только необычный, который способен прочитать и проанализировать всю эту ветку

 

Кроме того, для того, чтобы взламывать и красть, нужна предрасположенность к преступной деятельности. Она есть далеко не у всех - это тоже отклонение от "обычности".

 

Рихтер, что за манера такая повествования у вас? Если ссылки уже сохранены и имеются в наличии, почему не выложить сразу? Кому от этого хуже будет?

 

Так я тут не повествованием занимаюсь. Цель - повышение безопасности ЛК и выводов денег. Какой-либо интерес администрации на двух последних страницах ветки не обнаруживается.

Если администрация не внесёт никаких изменений в систему безопасности, то все мои посты надо будет признать деструктивными: 1) форумян зря беспокою (нервирую); 2) администрации геморрой - репутации Компании вред наношу; 3) злоумышленникам, которые не знали о фичах тутошнего ЛК - подсказки! 4) и своё время зря потратил...

Получается, что от любой дополнительной информации, не востребованной администрацией, одни минусы.

Но если бы здесь была толпа желающих, то, возможно, имело бы смысл выложить подробности - так было бы больше шансов расшевелить администрацию. Но этого пока что нет...

Будет более явный интерес, в т.ч. со стороны администрации - выложу.

 

Массово клиентов никто не ломает потому что даже если вы условный "нехороший сотрудник сотового оператора" и готовы слить любые симки любых людей, как узнать что конкретный человек зарегистрирован в Альпари и даже если установить факт регистрации как узнать что "овчинка стоит выделки" и на счету у человека вожделенные тысячи долларов, а не 20$ для пробы.

 

Есть версия, что причина несколько иная. Взломщики - это тоже ленивые люди, как и все. Они просто плохо и мало знают про Альпари. Понятно же, что про банки и платежные системы знают все - это на слуху, это самоочевидно... А кто такие Альпари? А ХЗ...

Ситуация с денежными суммами у нас тут изменилась с появлением ПАММ-сервиса. Достаточно посмотреть на популярные ПАММы, чтобы увидеть там массу инвестиций по 500 000 рублей или же по $10 000 от одного инвестора в один ПАММ. Это более крутые суммы, чем люди на банковских картах держат!!! И при этом при более слабой защите!

Да и со стороны управляющих тут создание нескольких ПАММов по $3000 на каждом - это обычное дело. Специфика ещё и в том, что многие управляющие как раз светят свои личные данные - например на сайте Метаквотс, если продают у них сигналы или советники.

Легко предположить, что злоумышленники о такой специфике как раз не знают. Откуда им знать? Они же по банкам специализируются.

 

А ещё, очень важный момент, о котором злоумышленникам трудно догадаться - что в Альпари при всём при этом защита местами значительно слабее, чем в банках. А именно: банки с ОПСОСами, получив по башке от властей (были указания ЦБ по этому поводу, а возможно и правительства), к 2017 году наконец-то реализовали кое-какую защиту от взломов методом угона сим-карт.

 

Я уже упоминал где-то выше, что поначалу (до 2017) некоторые банки (но не все, к сожалению) перед отсылкой СМС с кодом стали проверять номер сим-карты (IMSI) - и только если он НЕ изменился, посылать код подтверждения операции. А при смене номера сим-карты клиенту надо было обязательно явиться в офис банка для регистрации новой сим-карты, что злоумышленники по понятным причинам сделать не могли.

Однако эта проверка IMSI по техническим причинам работала через раз, иногда с задержкой и т.п. А ведь злоумышленники выводят деньги сразу. Короче, защита получилась убогая, да и не у всех банков.

 

Видимо поэтому, с 2016-2017 года пошёл новый метод защиты, более действенный, и уже со стороны ОПСОСов, а не банков. Я писал чуть выше (там под первым спойлером), что ОПСОСы стали отключать доставку СМС от банков на 24 часа после смены СИМ-карты. Таким образом, если у человека вдруг перестал работать телефон (СИМку угнали), то у него есть 24 часа на умственные усилия и дозвон в банки, чтоб они заблокировали счета.

 

Ну и вернёмся "к нашим баранам" (т.е. к Альпари). Могут ли Альпари проверять IMSI? Да вряд ли, ибо это (по обрывочным данным) в 2 раза дороже (посылки надо 2 делать вместо одной - сперва запрос IMSI, затем сама SMS). Во-вторых - вряд ли им ОПСОСы IMSI предоставят - ведь это уже непубличная информация (секретная?), публичный только номер телефона. А Альпари не банк, а оффшорка, кто ж им даст? Ну и в-третьих, это вообще плохо работает, так что и не нужно

 

Теперь о блокировках СМС на 24 часа ОПСОСами при замене СИМ-карты. Билайн прямо написал, что блокирует СМС-ки только от банков, а Альпари таковым не являются. Смогут ли они заключить договор с Билайн, чтобы он и от Альп СМС-ки блокировал? А ХЗ... Но Альпы и пытаться не будут, я думаю...

Остальные ОПСОСы прямо не написали, какие именно СМС-ки они блокируют. Подробности были в том же посте выше под спойлером.

 

Ну и главное: и на кой Альпари блокировать эти СМС-ки при смене сим-карты, если у них (у Альп) есть вариант голосового звонка автоинформатора??? (См. в том же посте выше второй спойлер)

 

Вот мы и пришли к тому, что в случае Альпари угон сим-карты для злоумышленников в разы эффективнее, чем в случае банков, ибо никаких блокировок доставки кодов нет ВООБЩЕ.

То есть, некоторый геморрой для злоумышленников с вычислением крупных клиентов полностью компенсируется удобством угона сим-карты.

Но так ли сложно им вычислить крупных клиентов? Выше я уже писал, что по многим управам метаквотсами засвечиваются ФИО, что вообще является подарком для злоумышленников. Даже троян не нужен.

Ну и социальный инжиниринг никто не отменял. Некоторые инвесторы вообще в ветках форума упоминают, что они самые крупные на данном ПАММе

 

P.S. Вообще, вычислять именно крупных клиентов совсем не обязательно. Зачастую хакеры просто перебирают всех подряд - так проще и технологичнее. В таком случае главным для них будет как раз удобство взлома...

Edited June 27, 2017 by Rihter

[Marginal 130]

Но если бы здесь была толпа желающих, то, возможно, имело бы смысл выложить подробности - так было бы больше шансов расшевелить администрацию. Но этого пока что нет...

Пока заинтересовавшиеся подтягиваются по-одному похоже, не скоро это все будет. 

А ввести опционально в лк доп.защиту- подтверждение личности через скайп при смене личных данных, как предлагалось уже, считаю было бы неплохо ( по аналогии с активацией оферты). Тем более, что вроде ничего не изменилось в партнрерских офисах Альпари Лтд . 

Edited June 27, 2017 by Marginal

[AntFX 6,474]

Я уже упоминал где-то выше, что поначалу (до 2017) некоторые банки (но не все, к сожалению) перед отсылкой СМС с кодом стали проверять номер сим-карты (IMSI) - и только если он НЕ изменился, посылать код подтверждения операции. А при смене номера сим-карты клиенту надо было обязательно явиться в офис банка для регистрации новой сим-карты, что злоумышленники по понятным причинам сделать не могли. Однако эта проверка IMSI по техническим причинам работала через раз, иногда с задержкой и т.п. А ведь злоумышленники выводят деньги сразу. Короче, защита получилась убогая, да и не у всех банков.

Помню я в вебмани на такое наткнулся. На ровном месте меня заставили проходить процедуру подтверждения, заморозив деньги на неделю, после того как я для вставки в смартфон поменял карту на микро-вариант. Вот уже где система безопасности действительно "параноидальная"...  Чтобы сменить давно неработающий телефон, там нужно нотариально заверенное заявление отправлять в московский офис ) И новый аккаунт при этом открыть вместо старого на те же ФИО нельзя...

Если Альпари после твоих постов "спохватятся" о дырах в своей безопасности, и закрутят гайки как вебмани, я лично буду вспоминать тебя не хорошим словом

Edited June 27, 2017 by AntFX

[Rihter 6,675]

 

 

Если Альпари после твоих постов "спохватятся" о дырах в своей безопасности, и закрутят гайки как вебмани, я лично буду вспоминать тебя не хорошим словом

 

Ну я ничего подобного не предлагаю, да и Альпари, судя по каким-то невнятным намёкам, вроде бы к фото-ID склонились, либо у них это и раньше было. Хотя ни в справке, ни в регламенте это не упоминается... (Регламент ОНТО нынче вообще не отражает реальность, причем уже давно, что просто удивительно - раньше Альпы вроде строго за регламентами следили...)

[Bammbuck 44]

Я очень удивлен что Альпари еще не ввели двухэтапную аутентификацию на входе, не обязательно через sms, но хотя бы через такие приложения, как google authenticator. Возможно полностью все проблемы с безопасностью это не решит, но сильно усложнить жизнь мошенникам должно.

[.Alpari. 492]

Я очень удивлен что Альпари еще не ввели двухэтапную аутентификацию на входе, не обязательно через sms, но хотя бы через такие приложения, как google authenticator. Возможно полностью все проблемы с безопасностью это не решит, но сильно усложнить жизнь мошенникам должно.

Двухэтапная аутентификация есть, включить ее можно в настройках личного кабинета.

[Bammbuck 44]

Двухэтапная аутентификация есть, включить ее можно в настройках личного кабинета.

 

 

Прошу прощения, протупил. Раньше не видел этой опции.

[Rihter 6,675]

Двухэтапная аутентификация есть, включить ее можно в настройках личного кабинета.

 

В случае угона сим-карты это не даёт абсолютно ничего, ибо смс-ки будет получать уже не хозяин ЛК, а злоумышленник.

 

Угон сим-карты делается обычно через липовую доверенность, которую показывают "своему" человеку в салоне связи - поэтому настоящая доверенность от нотариуса в этом случае не требуется, достаточно любой подделки не важно какого качества.

 

Для подделки доверенности надо знать ФИО жертвы - Альпари заботливо показывают ФИО полностью в Личном Кабинете в нескольких местах. Значит, ФИО считает с экрана любой способный на это троян.

( но есть и другие способы - многие клиенты засвечивают свой ФИО сами - либо как "открытые" управы, либо по требованию Метаквотсов )

 

Но для полной и точной идентификации человека - чтобы не искать по базам данных и не выяснять, кто это тут из тёзок-однофамильцев - помимо ФИО злоумышленникам не помешает знать ещё и дату рождения — ведь по ФИО + ДР человек уже идентифицируется точно.

Ну так Альпари заботливо показали в ЛК ещё и точную дату рождения!

 

Форумчане, скажите пожалуйста, кому из вас нужно видеть свои полные ФИО и дату рождения (!) в ЛК?

 

Таким образом, почти всё необходимое для угона сим-карты у злоумышленников есть, частично даже в свободном доступе, если человек сам засветил своё ФИО у Метаквотсов, в соц. сетях или прямо на этом форуме.

А деньги на ПАММ-сервисе крутятся немалые - есть куча инвестиций от отдельных инвесторов в один ПАММ в объёме 500 000 - 1 000 000 руб (см. наиболее популярные ПАММы). Таких сумм достаточно, чтобы заинтересовать злоумышленников.

 

При этом защита в Альпари слабее, чем у многих банков. Ибо многие банки пытаются проверять IMSI клиента (идентификатор сим-карты, который меняется при её угоне - писал об этом в постах выше), хоть это и недостаточно эффективно (не всегда срабатывает по техническим причинам). Альпари IMSI, очевидно, не проверяют.

Также с 2016-2017 года сотовые операторы (ОПСОСы) блокируют на сутки рассылку СМС после замены сим-карты - но только рассылку СМС от банков! Альпари - не банк, и, насколько я понимаю, спецдоговор с ОПСОСами не заключали. Значит, в случае угона сим-карты подобных препятствий (на 24 часа) к выводу денег из Альпари у злоумышленников не будет.

 

Итого, имеем: деньги тут крупные, свои ФИО часть клиентов сами светят, да и в ЛК ФИО указано полностью и даже с датой рождения, ну и при этом защита от угона СИМ-карты слабее, чем у банков.

__________

 

А есть ли факты угона сим-карт?

 

Самый резонансный случай (благодаря тому, что жертва смогла подключить прессу) - рекомендую прочитать;

Яркий, подробно описанный случай + его продолжение - тоже рекомендую;

Ещё один подробно и интересно;

Ещё 30 случаев со ссылками, собранных только по одному банку и только по публикациям на одном форуме - по май 2015, далее автор блога подсчёт забросил;

Ну и я тоже забросил поиски после начала 2016 года - и так всё ясно...

 

Очевидно, что выше по ссылкам собраны не все случаи. А вот что пишут СМИ:

«За последние две недели крупные банки зафиксировали порядка 150 подобных жалоб от граждан, их ущерб оценивается в несколько миллионов рублей, рассказал «Известиям» источник, близкий к ЦБ.» - май 2015, источник

.....ээээх... опять я потерял ссылку, причем более свежую, в которой была статистика за целый год... там были гораздо более впечатляющие цифры...

 

Вот ещё информация, встречается неоднократно:

«Американский институт стандартов и технологий (NIST) выступил за отказ от использования SMS в качестве одного из элементов двухфакторной аутентификации. В очередном черновике стандарта Digtial Authentication Guideline представители ведомства указывают, что «[внеполосная аутентификация] с помощью SMS будет запрещена стандартом и не будет допускаться в его последующих изданиях».

 

Примечание: я не предлагаю отказаться от СМС в нашем случае! Альпари - не банк, и поэтому есть гораздо более простые решения, позволяющие обезопасить ЛК от угонов и краж денег, либо снизить опасность и возможный ущерб на несколько порядков!!!

_________

 

Нужны ещё доказательства, что СМС - это чрезвычайно дырявая штука?

 

Пожалуйста. СМС можно преспокойно перехватывать техническими методами внутри сотовых сетей. Даже никаких поддельных доверенностей и угонов сим-карт не требуется. Только само подключение злоумышленников к сети в этом варианте стоит денег и сложнее, чем подделка доверенности, поэтому данный метод используют только для крупных и/или массовых хищений. Но используют! Просто до нас пока не добрались...

Ссылки: 1) обзор; 2) отл.описание, как и почему всё это работает; 3) о перехвате в деталях - для любителей конкретики; 4) инфа от Касперского; 5) свежак с пруфлинками на факты и документы.

 

И это тоже не всё. Есть ещё фарминг; есть подмена DNS в домашних роутерах (шикарная тема! никакими антивирусами не ловится, ибо всё происходит в роутере!), есть ещё и трояны на Андроид-устройствах (или на iOS), ворующие СМС прямо с телефона - тоже шикарная тема, причем реальная!

____________

 

Кто-то тут писал, что прежде чем что-то начинать делать, надо сперва дождаться краж. А пока что - и так сойдёт.

В этом плане очень примечательна недавняя атака вируса WannaCry на компьютеры Windows - самая крупная по совокупному ущербу и по масштабам (пересказывать не буду, ищите в новостях, кто не знает).

Примечательно то, что Microsoft выпустили обновление, блокирующее этот вирус, ещё в марте - за пару месяцев до атаки, причем выпустили даже для Windows XP, которую сами уже несколько лет как не поддерживают!!!

Ну что сказать - Microsoft лoxи, им надо было вместо этого просто отмазаться от клиентов в марте: "А зачем нам что-то делать? Атак пока нет, случаи единичные..." Ну а уже после атаки WannaCry начинать что-то делать

____________

 

Важное примечание: тут некоторые утверждают, что угонов сим-карт в Альпари не было. Неправда, они (судя по всему) были. Просто люди не писали об этом ни на нашем форуме, ни на форeкссистемз. Вот, читайте (ищите в посте слово "Альпари").

 

Короче, из того, что никто не шумит, ещё не следует, что случаев нет. Не всякий станет писать на форуме. Особенно в нынешние времена, когда форумы сдуваются...

[AntFX 6,474]

Так что с опцией вывода только на банк? Она работает, или её нет? Восстановить эту опцию и все довольны - те, кто не может спать спокойно, начитавшись материалов о киберпреступности в сети, просто не дают выводить деньги никуда кроме банка. Для всех остальных ничего не меняется.

По факту, гораздо вероятнее, что тебя просто огреют по затылку и ограбят в подворотне, чем то, что у тебя украдут симкарту интернет-преступники. Надо просто быть осторожным, и тогда ни того, ни другого скорее всего никогда не случится.

Edited July 5, 2017 by AntFX

[Rihter 6,675]

Восстановить эту опцию и все довольны

 

Однако игнорировать другие ляпы в защите тоже не стоит.

- Зачем светить в ЛК ФИО клиента полностью?

- Зачем там, черт побери, дата рождения?

- Зачем ФИО (без сокращений) присутствует во всех рассылках на мыло?!

 

- Непонятно, по-прежнему ли можно сменить номер телефона на другой, отправив на мыло Компании один лишь скан паспорта?

 

- Можно и защиту вывода на ЭПС улучшить, введя опции установки добровольных суточных лимитов на вывод - в банках такое делают! Это не я придумал, это существует!!!

- Плюс не помешает опция временной добровольной блокировки вывода средств (на время своего отсутствия).

___________

 

По факту, гораздо вероятнее, что тебя просто огреют по затылку и ограбят в подворотне, чем то, что у тебя украдут симкарту интернет-преступники. Надо просто быть осторожным, и тогда ни того, ни другого скорее всего никогда не случится.

 

Тут расклад немного иной. Гигантские суммы наличных с собой лучше вообще не носить, это точно. Тогда крупного ограбления в подворотне ты избегаешь полностью, и это в наше время (безнала) легко достижимо.

 

А вот с инвестициями ситуация принципиально иная, сам понимаешь.

И ведь Альпари нынче заинтересованы в инвесторах (а не только в трейдерах с депо в $300), не правда ли?..

___

 

Да, от угона сим-карты можно кое-как защититься (хотя там в примерах по ссылкам выше были вообще немыслимые угоны, которые непонятно как делались...)

Однако есть и другие опасности, в самом общем случае - это "та опасность, которая нам ещё не известна".

 

Но даже от такой можно обезопасить клиентов, если сделать опции "вывода на банк", "временной блокировки вывода (~на время своего отсутствия)", "установка добровольных лимитов на вывод средств".

 

[AntFX 6,474]

 

 

- Зачем светить в ЛК ФИО клиента полностью? - Зачем там, черт побери, дата рождения? - Зачем ФИО (без сокращений) присутствует во всех рассылках на мыло?!   - Непонятно, по-прежнему ли можно сменить номер телефона на другой, отправив на мыло Компании один лишь скан паспорта?

Я одного только не понимаю:

Для доступа в ЛК злоумышленнику нужна либо угнанная симка, либо скан паспорта. В обоих случаях у него УЖЕ ЕСТЬ фио и дата рождения. Какая разница, светятся они после этого в ЛК или нет?

[Rihter 6,675]

 

 

Для доступа в ЛК злоумышленнику нужна либо угнанная симка, либо скан паспорта. В обоих случаях у него УЖЕ ЕСТЬ фио и дата рождения. Какая разница, светятся они после этого в ЛК или нет?

 

Да у этих злоумышленников и хакеров есть десятки способов и вариантов. Притом я ещё далеко не все знаю...

 

Один из самых элементарных и распространенных случаев - заражение компьютера жертвы трояном-кейлоггером. Заражают, конечно, кого попало. Но среди "кого попало" и клиенты Альпари могут быть, в чём проблема.

Подобные трояны обычно фиксируют нажатия клавиш и делают скриншоты - передают всё это своему хозяину. Таким образом хакер может узнать пароль и от какого этот пароль сайта или ЛК, там же на скрине логин. Ну а в Альпари ещё и ФИО видны полностью - это просто подарок! Следующий шаг - нужно обеспечить кражу СМС тем или иным способом, если в этом ЛК есть достойные деньги...

 

Другой вариант: фарминг. Это тот же фишинг, только не через письма. Наиболее эпический вариант фарминга - это подмена DNS в роутере клиента (вот красочно, вот массово, вот ликбез от Symantec).

Скорее всего такие атаки тоже делаются массово, т.е. идут на всех подряд. Авось у кого-то "сработает". Конечно, там ещё и клиент должен прозевать, что сертификат сайта или протокол не тот... Но это даже грамотный человек может прозевать, так как мы жмём кнопки машинально, не глядя...

Короче, при фарминге жертва сама вводит пароль на абсолютной копии сайта с тем же урлом (ip-адрес подменяется дальше, в DNS). Ну а злоумышленник заходит уже на настоящий сайт, и видит там ФИО (в случае Альпари).

[AntFX 6,474]

заражение компьютера жертвы трояном-кейлоггером

Антивирус

 

подмена DNS в роутере клиента

Нормальный пароль на роутер

 

Да у этих злоумышленников и хакеров есть десятки способов и вариантов

Если они даже тебе не известны, то вряд ли они ещё есть

 

В общем, пока оказывается, что либо у злоумышленника уже есть паспортные данные клиента, или он в его ЛК просто не попадет. Если только клиент не соблюдает элементарные меры безопасности.

Это к тому, что начиналось все именно с этого: что очень плохо светить ФИО открыто в ЛК. Но по факту когда злоумышленник туда попадает, ему ФИО уже известны (если только сам клиент глупо не подставился)

Edited July 6, 2017 by AntFX

[MG4 3,094]

Форумчане, скажите пожалуйста, кому из вас нужно видеть свои полные ФИО и дату рождения (!) в ЛК?

 

 

полные ФИО и дата рождения - это совершенно лишнее

 

в ЛК Сбербанка только первая буква фамилии

 

 

и из почтовой рассылки, я считаю, отчество и фамилию можно убрать