МТС вымогает у всех сканы морды и паспорта, угрожает отключить от обслуживания через 2 недели.
Пришло СМС с требованием "согласно закону подтвердить ПД". На выбор 3 варианта: сосканировать всё через г-приложение, либо пойти в салон дать сосканировать тамошним цыганам, либо дать МТС согласие на доступ к профилю на госуслугах. Отвертеться не вариант, у других операторов то же самое и тоже "согласно закону".
Вопрос к специалистам по ИБ: какой вариант менее опасен попадением сканов документов/биометрии в лапы мошенников и навешиванием кредитов?
Сверка ПД у сотовых операторов начата в этом году и постепенно коснётся всех.
Здравствуйте, Osaka, Вы писали:
O>МТС вымогает у всех сканы морды и паспорта, угрожает отключить от обслуживания через 2 недели. O>Вопрос к специалистам по ИБ: какой вариант менее опасен попадением сканов документов/биометрии в лапы мошенников и навешиванием кредитов?
Пойти в салон и попросить не сканировать, а проверить данные прямо с паспорта.
Re[2]: Сверка ПД у сотовых операторов - как менее опасно?
V>Пойти в салон и попросить не сканировать, а проверить данные прямо с паспорта.
Пусть вместо скана вобьёт в приложение по сбору сканов фразу "честное цыганское"?
ЕМ>Те сканы, которые у них уже есть, считаете априори безопасными в этом плане?
Например проэкспирившийся паспорт однозначно безопаснее. А нового у них ещё нет.
И потом у кого "у них"? Сканы проходят через несколько предприятий и должностных лиц (магазин телефонов, админ облачного приложения — это какой-нибудь оутсосер, а не оператор связи), остаются валяться на компах с неограниченным доступом непойми кого. Преступную активность начнут скорее с чего-то свежепойманного, чем с давнего. Запустить по этой цепочке свежую версию ПД == привлечь к себе внимание в качестве цели атаки.
Здравствуйте, Osaka, Вы писали:
O>проэкспирившийся паспорт однозначно безопаснее. А нового у них ещё нет.
То есть, если симка сдохнет, или потеряется — гарантированно не пойдете, будете без телефона?
O>Преступную активность начнут скорее с чего-то свежепойманного, чем с давнего.
Непременно начнут, без вариантов?
O>Запустить по этой цепочке свежую версию ПД == привлечь к себе внимание в качестве цели атаки.
По ней ежедневно проходят сотни, если не тысячи, ПД. На каждого навешивают кредиты? Если не на каждого, то на каком основании ожидаете особого внимания к себе?
Re[4]: Сверка ПД у сотовых операторов - как менее опасно?
Здравствуйте, Евгений Музыченко, Вы писали:
O>>Запустить по этой цепочке свежую версию ПД == привлечь к себе внимание в качестве цели атаки. ЕМ>По ней ежедневно проходят сотни, если не тысячи, ПД. На каждого навешивают кредиты? Если не на каждого, то на каком основании ожидаете особого внимания к себе?
Не обязательно кредиты. Однажды мне звонили весь день. Вначале всякие ООО "Быстрые деньги", потом более приличные
банки. Как я понял, кто-то сливает "перспективных клиентов" и их передают по-цепочке, от неприличных организаций
до более приличных. В голове сразу составился список с кем не нужно ни в коем случае связываться. Из запомнившихся
"Банк советский" и "Тинькофф", кажется ещё "Ситибанк".
Для кредита только одного скана паспорта разумеется не достаточно. И вовсе не обязательно кредиты.
Кредиты как раз это не особенно интересно: там во-первых кредитодатель всё же и документы проверит и
ещё всячески оценит получателя кредита.
Гораздо более перспективным может быть попытка завладения средствами самого терпилы.
Через банки, биржи и другие организации подобного рода. Через судебных приставов в каком-то
очень отдалённом городе и выигранный суд, что позволит списать "долг" со счёта в банке.
В том числе через самого мобильного опсоса. Для чего опять же скана паспорта в чистом виде не
достаточно, но скан паспорта может быть началом более длительной цепочки приводящей к успеху.
Потом нужно отличать скан паспорта и фотографическую копию высокого качества. Это две большие разницы.
По последней возможно изготовление качественного дубликата, который запросто пройдёт проверку в каких-то
простых случаях (например, при выдаче симкарты взамен "утерянной"). Сейчас часто делают фотографию.
Фотография так же может пройти "онлайн" верификацию в различных организациях. Деньги здесь получить
нельзя, зато можно попользоваться чужим паспортом с возможными последствиями для владельца такого
паспорта.
Re[5]: Сверка ПД у сотовых операторов - как менее опасно?
Здравствуйте, fk0, Вы писали:
fk0>Однажды мне звонили весь день.
Мне так регулярно звонят — при том, что я уже очень давно не предоставлял своих ПД российским организациям.
fk0>Как я понял, кто-то сливает "перспективных клиентов"
Ну да, но эти сливы никак не связаны с обновлениями ПД. Если номер хоть десять лет назад попал в какие-то базы — со временем он будет у всех без исключения жуликов.
fk0>В голове сразу составился список с кем не нужно ни в коем случае связываться. Из запомнившихся "Банк советский" и "Тинькофф", кажется ещё "Ситибанк".
Никогда не связывался ни с кем из перечисленных. Однако ж, жулики звонят давно и регулярно.
fk0>Для кредита только одного скана паспорта разумеется не достаточно.
О том и речь, что народ совершенно напрасно параноит по этому поводу.
fk0>Гораздо более перспективным может быть попытка завладения средствами самого терпилы.
Сведения о средствах на счетах сливают в первую очередь сами банки. Единственный способ этого избежать — не хранить там денег вообще. Ни скан паспорта, ни номер телефона на это никак не влияют.
fk0>скан паспорта может быть началом более длительной цепочки приводящей к успеху.
Сможете мало-мальски конкретно обрисовать подобную цепочку? А также объяснить, что может помешать добыть скан в том же банке, где добыли сведения о балансах.
fk0>нужно отличать скан паспорта и фотографическую копию высокого качества. Это две большие разницы.
В чем именно состоит разница?
fk0>По последней возможно изготовление качественного дубликата
Почему это невозможно по скану?
fk0>можно попользоваться чужим паспортом с возможными последствиями для владельца такого паспорта.
Ну так единственная возможность этого избежать — не открывать счета в банках, не оформлять SIM-карт, не устраиваться на работу и не оформлять самостоятельной деятельности, не летать на самолетах и т.п. Какие из этих пунктов Вы с топикстартером уже выполнили?
Re[3]: Сверка ПД у сотовых операторов - как менее опасно?
Здравствуйте, Osaka, Вы писали:
O> V>Пойти в салон и попросить не сканировать, а проверить данные прямо с паспорта.
O> Пусть вместо скана вобьёт в приложение по сбору сканов фразу "честное цыганское"?
Где-то месяц назад уже обсасывали эту тему в инете. Резюме: сканы и фотки они просят только если делать верификацию через онлайн-сервис. Но можно прийти в салон и сотрудник просто проверит твои данные, без сканов и фоток.
Здравствуйте, rudzuk, Вы писали:
R>Но можно прийти в салон и сотрудник просто проверит твои данные, без сканов и фоток.
Там каждый сидит на сканере, опускает твой паспорт куда-то под жопу, и вжик всё готово.
... << RSDN@Home 1.3.110 alpha 5 rev. 62>>
Re[2]: Сверка ПД у сотовых операторов - как менее опасно?
Здравствуйте, akasoft, Вы писали:
a> R>Но можно прийти в салон и сотрудник просто проверит твои данные, без сканов и фоток.
a> Там каждый сидит на сканере, опускает твой паспорт куда-то под жопу, и вжик всё готово.
ЕМ>Ну так единственная возможность этого избежать — не открывать счета в банках, не оформлять SIM-карт, не устраиваться на работу и не оформлять самостоятельной деятельности, не летать на самолетах и т.п. Какие из этих пунктов Вы с топикстартером уже выполнили?
Ну и зачем тратить время писать всё это сведение к абсурду? Ты не понимаешь разницу между "исключить риск полностью" и "хотя бы не увеличивать его своими необдуманными действиями"?
Re[7]: Сверка ПД у сотовых операторов - как менее опасно?
Здравствуйте, Osaka, Вы писали:
O>Ты не понимаешь разницу между "исключить риск полностью" и "хотя бы не увеличивать его своими необдуманными действиями"?
Понимаю. А еще понимаю, что самим фактом использования различных сервисов Вы уже давно создали основную долю этого риска, и лишний скан ее значимо не изменит.
Это примерно как переселиться из глухой деревни в город, регулярно переходить дороги, ездить на транспорте и автомобиле, но при этом избегать есть в кафе, опасаясь отравиться.
Re: Сверка ПД у сотовых операторов - как менее опасно?
Здравствуйте, Osaka, Вы писали:
O>МТС вымогает у всех сканы морды и паспорта, угрожает отключить от обслуживания через 2 недели. ...O>Вопрос к специалистам по ИБ: какой вариант менее опасен попадением сканов документов/биометрии в лапы мошенников и навешиванием кредитов?
...
Не специалист по ИБ, но примерно месяц назад подтверждал данные для Tele2 и МТС мой опыт:
Подтверждение через госуслуги никаких сканов не нужно никуда загружать.
Для Tele2 подтверждал в личном кабинете Tele2 выбрал подтверждение через госуслуги, никаких сканов документов не запрашивали, данные обновились. После этого примерно через три дня зашел в свой профиль на госуслугах и отозвал разрешение на доступ к данным для Tele2
В МТС подтверждал лично в салоне связи. Там сотрудница засовывала паспорт в сканер, но сказала что это для автоматизированного заполнения формы и если я против она может внести данные вручную.
Здравствуйте, Евгений Музыченко, Вы писали:
fk0>>Гораздо более перспективным может быть попытка завладения средствами самого терпилы. ЕМ>Сведения о средствах на счетах сливают в первую очередь сами банки. Единственный способ этого избежать — не хранить там денег вообще. Ни скан паспорта, ни номер телефона на это никак не влияют.
Надумано. Просто открыть базу и посмотреть какие попало паспорта даже у опсоса не выйдет.
И человека который так делает быстро вычислят. И никуда он больше не устроится в такое место.
fk0>> скан паспорта может быть началом более длительной цепочки приводящей к успеху. ЕМ> Сможете мало-мальски конкретно обрисовать подобную цепочку? А также объяснить, что может помешать ЕМ> добыть скан в том же банке, где добыли сведения о балансах.
Если кто-то так просто будет что-то добывать в банке, то между прочим банк вздрючат
быстренько за несоблюдение закона о банковской тайне. Приставы долги взыскать не могут,
а тут кто-то так просто всё получает. Ну да, конечно.
Цепочки могут быть разные, но скорей всего начинаться с получения SIM-карт у опсоса,
что открывает доступ к некоторым (меньшинство уже давно) банкам, биржам и госуслугам.
fk0>>нужно отличать скан паспорта и фотографическую копию высокого качества. Это две большие разницы. ЕМ>В чем именно состоит разница?
На фотографии, очевидно, видны детали пропадающие на ксероксе.
fk0>>можно попользоваться чужим паспортом с возможными последствиями для владельца такого паспорта. ЕМ>Ну так единственная возможность этого избежать — не открывать счета в банках, не оформлять SIM-карт, ЕМ>не устраиваться на работу и не оформлять самостоятельной деятельности, не летать на самолетах и т.п. ЕМ>Какие из этих пунктов Вы с топикстартером уже выполнили?
Не надо перегибать палку. И в большинстве случаев никто его налево и направо раздавать не будет.
Утечки в основном где очень большой поток людей, аутсорс, текучка кадров, никакого контроля и т.п.
Это опсосы. Причём скорей непосредственно работники "салонов связи". Там по 30 рублей с фотки каждого
паспорта заработать можно и уже неплохо. В день приходят сотни людей, на бесплатный обед в итоге хватит.
В центральном офисе сливать прямо базу с сервака -- такое вряд ли.
Re: Сверка ПД у сотовых операторов - как менее опасно?
Здравствуйте, Osaka, Вы писали:
O>Вопрос к специалистам по ИБ: какой вариант менее опасен попадением сканов документов/биометрии в лапы мошенников и навешиванием кредитов?
естественно дать доступ к профилю госуслуг. Там гарантированно никто не получит сканов, максимум что увидят, это номера документов/фио, что сильно снижает возможность этим воспользоваться.
ps: после того как проверка со стороны сотового оператора будет пройдена, доступ легко отзывается через те-же настройки в госуслугах.
Здравствуйте, Osaka, Вы писали:
O>Вопрос к специалистам по ИБ: какой вариант менее опасен попадением сканов документов/биометрии в лапы мошенников и навешиванием кредитов?
Если через госуслуги подтверждать как и зачем оператору попадут сканы документов?
Re[2]: Сверка ПД у сотовых операторов - как менее опасно?
O>>Вопрос к специалистам по ИБ: какой вариант менее опасен попадением сканов документов/биометрии в лапы мошенников и навешиванием кредитов? _>Если через госуслуги подтверждать как и зачем оператору попадут сканы документов?
Кто его знает, какие дыры доступны через госуслуги и прочий СМЭВ?
На сайте, например, при создании электроподписи ставят дефолный пункт "хранить закрытый ключ на сервере" на безопасном счёте.
Re: Сверка ПД у сотовых операторов - как менее опасно?
O>МТС вымогает у всех сканы морды и паспорта, угрожает отключить от обслуживания через 2 недели.
И заодно выцыганивают письменное согласие на обработку биометрии. При попытке вынести вещдоки — наносят лёгкие и средние телесные. https://t.me/Protestnarod/31669
Придя в МТС ей дали заявление на подтверждение паспортных данных, а с обратной стороны разрешение на обработку биометрических данных. Но об этом чуть позже.
Т. к. мама плохо видит, она попросила черновик, чтобы почитала я. На что получила отказ. Тогда она сказала, что возьмёт этот листок что ей дали.
Сложив его она вышла на улицу. Работники этого отдела выбежав на улицу, схватили ее и начали тащить обратно в этот ларек. Парень схватил мама за руки, а девушка выламывал ей пальцы (со слов мамы) чтобы забрать этот листок. Мама стала вырываться, но не получалось. Она стала кричать "Помогите" с просьбой вызвать полицию. Проходивший мимо мужчина оттащил парня от мамы и вызвал полицию. Спасибо вам большое.
Работники МТС не успокоились и вызвали ГБР. Приехали два парня фирмы "Гром".
