Банковские пуши — это бред лютый с точки зрения безопасности.
Смысл СМС был в 2х факторной авторизации.
Банковские пуши, прилетающие прямо в приложение, делают это совершенно бессмысленным.
Если телефонное приложение привязать к симке, которая на отдельном бабушкином телефоне, все равно пуши продолжают прилетать на телефон с приложением.
Здравствуйте, Bjorn Skalpe, Вы писали:
V>>палец и faceid легко разблокируют телефон без участия владельца, если его стукнуть кирпичом по башке.
BS>Если тебя стукнут кирпичом по голове, кражу денег с банковской карты можно считать меньшей из проблем...
Нет. Тебя стукнут, т.к. у тебя есть деньги и идентификация по пальцу. А не было бы, был бы здоров.
Причём стукнут даже не за то, что у тебя идентификация такая, а за то, что она у других.
Здравствуйте, bnk, Вы писали:
bnk>Так вроде в нормальных банках два приложения (по крайней мере мой банк заставили переделать, чтобы так было, года два назад). Одно — клинет, другое — получатель пуш-уведомлений и подтверждалка. bnk>Если ты оба поставил на одно и то же устройство — ну значит сам себе злобный буратино, а банк умывает руки.
Это что за банки с двумя приложениями? Расскажите.
Здравствуйте, vasilisk2, Вы писали:
V>палец и faceid легко разблокируют телефон без участия владельца, если его стукнуть кирпичом по башке.
в банковских приложениях должен быть только пароль, да. И пинкод на симке конечно же должен быть включен. При этом правда ещё возможен риск, что когда найдут твоё ещё живое тело без сознания с телефоном, позвонить твоим родственникам не получится — потому что телефон залочен, симка заблокирована.
Здравствуйте, vasilisk2, Вы писали:
V>палец и faceid легко разблокируют телефон без участия владельца, если его стукнуть кирпичом по башке.
V>куда нужно сбросить телефон?
Здравствуйте, vasilisk2, Вы писали:
V>Банковские пуши — это бред лютый с точки зрения безопасности.
Согласен. V>Смысл СМС был в 2х факторной авторизации. V>Банковские пуши, прилетающие прямо в приложение, делают это совершенно бессмысленным.
Поэтому не использую банковские приложения. V>Если телефонное приложение привязать к симке, которая на отдельном бабушкином телефоне, все равно пуши продолжают прилетать на телефон с приложением.
Надо делать банковское приложение с 2 паролями, один разблокирует его, другой лочит работу с клиентом, например, пишет что нет сети или авторизация слетела, а лучше каждый раз случайную ошибку чтобы взятого за жабры не прибили.
vsb>Злоумышленник заходит с компьютера, тебе высылают код на SMS, троян пересылает этот код на другой номер, злоумышленник его вводит и ворует все твои деньги. vsb>В принципе "контрится" выключенным телефоном без батареи.
Есть куда более эффективный способ утянуть СМС. Например подкючится к СМС шлюзу имитируя нахождение телефона в роуминге. Но напрямую к шлюзу ты не сможешь подключится, туда доступ имеют только операторы, а они этим не балуются, ибо не хотят что бы им отрубили целую страну для связи. Когда-то этим баловалась Украина после 2014 года, но после этого её отключили по умолчанию от шлюза обмена СМС и у всех российский операторов Украинское направление нужно просить, что бы включили... при этом все риски ты берешь на себя, в том числе и то, что у тебя украдут СМС и снимут деньги. По этому на украинское направление лучше всего звонить и слать СМС через номер, который не завязан ни на каком онлайн-банкинге... Аналогичная ситуация с рядом африканских и латиноамериканских стран.
Здравствуйте, vasilisk2, Вы писали:
V>Банковские пуши — это бред лютый с точки зрения безопасности.
V>Смысл СМС был в 2х факторной авторизации. V>Банковские пуши, прилетающие прямо в приложение, делают это совершенно бессмысленным. V>Если телефонное приложение привязать к симке, которая на отдельном бабушкином телефоне, все равно пуши продолжают прилетать на телефон с приложением.
V>рука-лицо
Альфа банк. Там две галочки, одна вообще включить пуш уведомления, вторая если пуши включены, то одноразовые пароли все равно в СМС.
V>Смысл СМС был в 2х факторной авторизации. V>Банковские пуши, прилетающие прямо в приложение, делают это совершенно бессмысленным. V>Если телефонное приложение привязать к симке, которая на отдельном бабушкином телефоне, все равно пуши продолжают прилетать на телефон с приложением.
Телефон блокировать надо по паролю, коду, пальцу или FaceID. Прилетают они по привязке к учетной записи. Если сбросить телефон — ничего прилетать не будет.
Здравствуйте, Bjorn Skalpe, Вы писали:
BS>Телефон блокировать надо по паролю, коду, пальцу или FaceID. Прилетают они по привязке к учетной записи. Если сбросить телефон — ничего прилетать не будет.
Ерунду несете какую-то. Вы адвокат банкира Тинькова?
палец и faceid легко разблокируют телефон без участия владельца, если его стукнуть кирпичом по башке.
Здравствуйте, vasilisk2, Вы писали:
V>Здравствуйте, Bjorn Skalpe, Вы писали:
BS>>Телефон блокировать надо по паролю, коду, пальцу или FaceID. Прилетают они по привязке к учетной записи. Если сбросить телефон — ничего прилетать не будет.
V>Ерунду несете какую-то. Вы адвокат банкира Тинькова?
V>палец и faceid легко разблокируют телефон без участия владельца, если его стукнуть кирпичом по башке.
Faceid точно нет. Там надо смотреть в камеру. С пальцем сложней но частично решается нестандартным пальцем и одной попыткой, если телефон умеет.
Здравствуйте, vsb, Вы писали:
V>>палец и faceid легко разблокируют телефон без участия владельца, если его стукнуть кирпичом по башке.
vsb>Faceid точно нет. Там надо смотреть в камеру. С пальцем сложней но частично решается нестандартным пальцем и одной попыткой, если телефон умеет.
Хм — так ваш телефон очень быстро превратится в тыкву
Здравствуйте, sanuk, Вы писали:
vsb>>На всякий случай замечу, что у бабушкофонов безопасности считай что нет. Там прошивка с бэкдорами. Реальными.
S>Какая прошивка?
Злоумышленник заходит с компьютера, тебе высылают код на SMS, троян пересылает этот код на другой номер, злоумышленник его вводит и ворует все твои деньги.
В принципе "контрится" выключенным телефоном без батареи.
Здравствуйте, sanuk, Вы писали:
V>>>палец и faceid легко разблокируют телефон без участия владельца, если его стукнуть кирпичом по башке.
vsb>>Faceid точно нет. Там надо смотреть в камеру. С пальцем сложней но частично решается нестандартным пальцем и одной попыткой, если телефон умеет.
S>Хм — так ваш телефон очень быстро превратится в тыкву
Если не прошла биометрия, ты вводишь обычный пин. Да, будешь его чаще вводить, цена безопасности.
vsb>Злоумышленник заходит с компьютера, тебе высылают код на SMS, троян пересылает этот код на другой номер, злоумышленник его вводит и ворует все твои деньги.
L;DR: немалое количество простых кнопочных телефонов, присутствующих в российских магазинах, содержат нежелательные недокументированные функции. Они могут совершать автоматическую отправку СМС-сообщений или выходить в интернет для передачи факта покупки и использования телефона (передавая IMEI телефона и IMSI SIM-карт). Встречаются модели со встроенным трояном, отправляющим платные СМС-сообщения на короткие номера, текст которого загружается с сервера, также бывают устройства с настоящим бэкдором, пересылающим входящие СМС-сообщения на сервер злоумышленников.
Статья описывает детали вредоносных функций и способы их обнаружения.
Через какой еще интернет ваши трояны будут пересылать СМС? Никто не включает интернет сейчас на бабушкофонах.
S>Через какой еще интернет ваши трояны будут пересылать СМС? Никто не включает интернет сейчас на бабушкофонах.
А как его там включить? Не симку у опсоса ты можешь с любым объемом трафика вставить, но как включить-то интернет там?
vsb>Как будто бэкдор будет тебя спрашивать. Молча включит и всё.
А может и выключить и всё, хана нам всем во всем мире. В общем я понял, бабушкафоны — это конец нам всем.
Здравствуйте, vasilisk2, Вы писали:
V>Банковские пуши — это бред лютый с точки зрения безопасности.
V>Смысл СМС был в 2х факторной авторизации. V>Банковские пуши, прилетающие прямо в приложение, делают это совершенно бессмысленным. V>Если телефонное приложение привязать к симке, которая на отдельном бабушкином телефоне, все равно пуши продолжают прилетать на телефон с приложением.
Так вроде в нормальных банках два приложения (по крайней мере мой банк заставили переделать, чтобы так было, года два назад). Одно — клинет, другое — получатель пуш-уведомлений и подтверждалка.
Если ты оба поставил на одно и то же устройство — ну значит сам себе злобный буратино, а банк умывает руки.
Здравствуйте, sanuk, Вы писали:
S>Через какой еще интернет ваши трояны будут пересылать СМС? Никто не включает интернет сейчас на бабушкофонах.
Не, если там такая прошивка, то никто не может ВЫКЛЮЧИТЬ интернет на бабушкофоне — потому что там в настройках такой опции — нет. Как вариант, это можно сделать через ОПСОСа.
Здравствуйте, sambl74, Вы писали: S>в банковских приложениях должен быть только пароль, да. И пинкод на симке конечно же должен быть включен. При этом правда ещё возможен риск, что когда найдут твоё ещё живое тело без сознания с телефоном, позвонить твоим родственникам не получится — потому что телефон залочен, симка заблокирована.
В приличных телефонах emergency contact можно вызвать без разблокировки.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Здравствуйте, sanuk, Вы писали:
bnk>>Так вроде в нормальных банках два приложения (по крайней мере мой банк заставили переделать, чтобы так было, года два назад). Одно — клинет, другое — получатель пуш-уведомлений и подтверждалка. bnk>>Если ты оба поставил на одно и то же устройство — ну значит сам себе злобный буратино, а банк умывает руки.
S>Это что за банки с двумя приложениями? Расскажите.
У меня ERSTE BANK, там два. Было одно, но пару лет назад какую-то регуляцию приняли, чтобы так не было, и стало два. Может оно и более секьюрно, но дико неудобно на самом деле
A>Нет. Тебя стукнут, т.к. у тебя есть деньги и идентификация по пальцу. А не было бы, был бы здоров. A>Причём стукнут даже не за то, что у тебя идентификация такая, а за то, что она у других.
Не вижу практики распространения стукания кирпичами по голове, что бы украсть деньги с карты, с целью получить доступ до телефона.
В основном стараются спросить СМС код х)
Здравствуйте, sambl74, Вы писали:
S>112? Ну ок. Привезли чувачка в больничку — как им родственников оповестить? Только ждать, пока позвонят.
Нет, не 112 — это emergency number, а emergency contact.
В настройках телефона заполняешь медкарту. Там всякие полезности вроде группы крови, аллергии на антибиотики, и контакты на случай ЧП.
Вся медкарта и звонки этим контактам доступны без разблокировки.
У меня там указаны телефоны жены, отца, и матери.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Здравствуйте, Bjorn Skalpe, Вы писали:
A>>Нет. Тебя стукнут, т.к. у тебя есть деньги и идентификация по пальцу. А не было бы, был бы здоров. A>>Причём стукнут даже не за то, что у тебя идентификация такая, а за то, что она у других.
BS>Не вижу практики распространения стукания кирпичами по голове, что бы украсть деньги с карты, с целью получить доступ до телефона. BS>В основном стараются спросить СМС код х)
В данном случае действительно плюс. Большинство мошенников и воров предпочитают обманывать по телефону, так безопаснее и удобнее.
Но и старыми дедовскими методами работают. Просто почитай криминальные сводки. Всё чаще не деньги воруют, а залезают в телефон и переводят себе деньги.
Здравствуйте, alzt, Вы писали:
A>В данном случае действительно плюс. Большинство мошенников и воров предпочитают обманывать по телефону, так безопаснее и удобнее.
A>Но и старыми дедовскими методами работают. Просто почитай криминальные сводки. Всё чаще не деньги воруют, а залезают в телефон и переводят себе деньги.
Стукнуть по голове — это уже разбой и там большие сроки. Так могут вообще выкрасть и попросить выкуп. Это значит много зарабатывать нельзя что ли? Или деньги тут же сжигать?
Здравствуйте, vasilisk2, Вы писали:
V>Банковские пуши — это бред лютый с точки зрения безопасности.
Зато с точки зрения "силовиков" это -- очень удобно. Потому и везде
"двухфакторная" авторизация. Потому, что сразу получаем локацию
гражданина (и всю истории локаций его телефона, звонки и т.п.)
Задумайся, почему отменили несомненно более надёжные криптографические
системы, где операции осуществлялись по криптоподписи карты специальным
"калькулятором" (следовательно без пина и карты -- хрен что сделаешь).
Кроме того, это очевидная возможность зайти куда-либо без знания
пароля гражданином. И посмотреть деньги на счетах и выписку, например.
Ну или в телеграм зайти и почитать там сообщения. В госуслуги и т.п.
Потому, что по-факту аутентификация везде ОДНОФАКТОРНАЯ. Достаточно
телефона в руках, чтоб "восстановить пароль". И в банке, и в других местах
(знание номера карточки или CVV кода не считаю существенной преградой).
Ещё меня веселят сайты ряда организаций, где у них там яндекс который
нажатия клавиш на яндексовский сервак же передает. Пусть и не данные форм
в чистом виде, но очевидно же, что всё вводимое можно элементарно восстановить.
Чем яндекс видимо и занимается.
А SIM-ку элементарно можно получить по переклеенному, напечатанному
паспорту, или просто по ксерокопии. Равно как и отнять физически
(восстановить PUK/PIN тоже можно по ксерокопии или даже чат с
поддержкой мегафона -- полный п... ибо PUK/PIN должен быть только
у владельца и не записываться ни в каких базах, и не показываться
работникам опсоса).
А пароли из головы -- выбивать нужно через насаживание на бутылку
и швабру. Долго и хлопотно. Так же как и официальный путь получения
той же информации, через ордер, через суд и т.п. С одним человеком
так конечно работать можно, но если нужно сколько-нибудь массово,
например провести какой-то "скрининг навальнят", лучше как-то попроще.
Для того SMS-ки и сделаны.
V>Смысл СМС был в 2х факторной авторизации. V>Банковские пуши, прилетающие прямо в приложение, делают это совершенно бессмысленным.
Банковские пуши гораздо лучше, чем SMS. Потому, что в открытом виде
перестают летать по сети все твои операции по банковским картам (где и сколько
потратил, сколько осталось). Кроме того, нет при этом географической привязки
(её даёт приложение банка, но это немного другое, не думаю, что банк сливает
эту информацию налево и направо, как опсосы).
V>Если телефонное приложение привязать к симке, которая на отдельном бабушкином телефоне, все равно пуши продолжают прилетать на телефон с приложением.
Поставь приложение на другой телефон, догадываюсь, можно даже на сервак с
эмулятором андроида. Ещё бы придумать как эти пуши отправлять в email.
В этих пушах на самом деле особого смысла вообще нет, проще отключить и
забыть. Раз в день заходить на сайт и там смотреть сколько денег потрачено.
Проблема в том, что эти пуши становятся жизненно необходимыми для оплаты
через интернет.
Здравствуйте, sambl74, Вы писали:
S>Здравствуйте, Sinclair, Вы писали:
S>>В приличных телефонах emergency contact можно вызвать без разблокировки.
S>112? Ну ок. Привезли чувачка в больничку — как им родственников оповестить? Только ждать, пока позвонят.
В андроиде можно вписать сообщение, которое показывается на заблокированном экране телефона.
Вписываешь туда телефон жены мужа и т.п.
Здравствуйте, sanuk, Вы писали:
S>Через какой еще интернет ваши трояны будут пересылать СМС? Никто не включает интернет сейчас на бабушкофонах.
Через SMS же и будут. Можешь конечно следить за биллингом и поймать за руку.
Причём ситуация КУДА ХУЖЕ, чем тебе кажется. Этим же самым может заниматься
не только сам телефон, но и сама SIM-карта...
Здравствуйте, vsb, Вы писали:
S>>Через какой еще интернет ваши трояны будут пересылать СМС? vsb>Через отправку SMS, разумеется.
Приём/отправку звонков и SMS можно блокировать по-отдельности.
Для этого нужно знать специальный PIN2. Это делается на уровне
сервисов самого GSM, в телефоне ничего не нужно. Сеть физически
не будет отправлять никакие SMS. Можно настроить телефон только
на приём SMS и ничего больше. Проблема только в этом самом PIN.
Тебе так просто никто его не скажет, да и программа у работников
опсоса его может не показывать. Успешно получалось только у
Мегафона, только в Москве. Как через чат мегафона, так и через
общение с работниками "офиса продаж" (нужно чтоб работник умел
смотреть, умеют буквально единицы). В чате если вызвать условно
"специалиста", то может сжалиться и подсказать, но им дана жесткая
установка никаких цифр специальных не говорить.
Опсосы прячут эту информацию, т.к. спам-звонки и спам-смс
ясное дело перестанут работать. Лет 20 назад у них в книжечках
что с симками давали практически всё напечатано было, как и все коды.
Здравствуйте, fk0, Вы писали:
fk0> В андроиде можно вписать сообщение, которое показывается на заблокированном экране телефона. fk0>Вписываешь туда телефон жены мужа и т.п.
там бред что всё завязано всего лишь на твой телефонный номер.
Отдельный бред что логином для онлайн банка является номер карты или счета, которые вообще-то совершенно не секретная инфа. Особенно номер счета.
Здравствуйте, fk0, Вы писали: fk0>общение с работниками "офиса продаж" (нужно чтоб работник умел fk0>смотреть, умеют буквально единицы). В чате если вызвать условно fk0>"специалиста", то может сжалиться и подсказать, но им дана жесткая fk0>установка никаких цифр специальных не говорить.
BS>Телефон блокировать надо по паролю, коду, пальцу или FaceID. Прилетают они по привязке к учетной записи. Если сбросить телефон — ничего прилетать не будет.
По хорошему нужно чтобы вход в смс приложение и соответственно чтение смсок можно было делать только по пин коду установленному на сим-карте
