28 апреля 2018

SIM-карта как авторизационный ключ

Мы привыкли, что основная цель SIM-карты и оператора — предоставление голосовых звонков, SMS и мобильного интернета, однако различные сервисы возложили на операторов еще одну важную функцию — выступать посредником для подтверждения личности клиента.

Серьезно, вспомните, сколько всего сейчас завязано на ваш номер телефона. Авторизация в интернет-банке, переводы по номеру телефона, подтверждения заказов, да даже учетная запись на Госуслугах. Кроме того, сейчас баланс вашего номера постепенно превращается в средство для оплаты услуг, что также является дополнительной «нагрузкой» на номер.

Казалось бы, чего здесь плохого? Подтверждение по номеру телефона — простая и понятная процедура, исключающая использование поддельных данных и гарантирующая дополнительную безопасность тем же банковским сервисам.

Всё это верно, если бы не одно «но». SIM-карта становится узким местом по части безопасности. Приведу простой пример: я несколько раз видел ситуации, когда при замене SIM-карты консультанты каким-то хитрым образом отдавали клиенту неработающую пустышку, а сами по замененной симке получали доступ к интернет-банку и проводили переводы со счёта клиента… потому что они подтверждались коротким SMS-паролем!

А уж если у вас украли сумку, где лежит банковская карта и SIM-карта, то это полный кошмар, ведь для того, чтобы стянуть деньги с карточки, помимо номера карты и CVV-кода, потребуется тот самый короткий SMS-код. Поэтому, если вы вдруг столкнулись с такой проблемой, в первую очередь блокируйте именно симку либо по звонку оператору, либо в салоне оператора закажите замену.

Впрочем, банки и операторы тоже в курсе того, что сейчас на номер клиента завязано много сервисов, поэтому вводят дополнительные меры безопасности. Например, в Тинькофф Банке (я сталкивался с таким только у них, но слышал, что некоторые банки так тоже делают) при замене SIM-карты вас попросят заново подтвердить личность по телефону. Дело в том, что у каждой физической симки свой уникальный IMSI-номер, банк видит, когда он меняется, и просто блокирует получение коротких кодов. Восстановить отправку можно по звонку в службу поддержки.

На мой взгляд, сейчас SIM-карта становится тем самым авторизационным ключом, потеряв который, вы окажетесь в весьма уязвимой ситуации. Поэтому если с симкой что-то случилось, сразу же блокируйте её и идите менять в салон оператора.

Читайте также

128 комментариев на «“SIM-карта как авторизационный ключ”»

  1. Ziks Ziks:

    В контексте вышеописанного просто прекрасно смотрятся чехлы для смартов с отделениями для пластиковых карт.

    • Кирилл Одинцов:

      О, да! Мечта карманника.

    • Артем v:

      Никогда не понимал таких чехлов))Пару лет назад написал в обсуждение таких чехлов автору сегодняшней статьи об этом, получил в ответ какие-то невнятные отповедь и обвинения, что сам дурак.

  2. Бог Прошутто:

    Не успел начать читать, а уже закончилось.
    По сабжу: для безопасности платежей помимо СМС-кода неплохо было бы добавить ещё возможность включить требование пользовательского пароля (отдельного, а не того, что используется для автоизации в онлайн-сервисе банка) — в случае воровства телефона это может помешать злоумышленнику совершить оплату.
    Да и вообще такие пароли один фиг стоит использовать на любом сайте/сервисе, где уже есть эти ваши СМС-автризации.

  3. СЕРГЕИЧ_RETURNS:

    Интересно, а у многих сейчас стоит банальный PIN-код на симке, мне кажется, что сейчас этой мерой безопасности пренебрегают, положившись на пароль, графический ключ, сканер отпечатка, распознавание лица и совсем забыв про то, что симку можно просто переставить в другой телефон…Кстати, если кто помнит, раньше симки даже продавались с предуставноленным PIN-ом, сейчас этого почему-то нет…

    • BanyGirlNebritus:

      Спасибо за напоминание! Реально тупо забыл об этом. После вашего поста установил пин.

      • П.Н.:

        А что толку? Телефон-то обычно постоянно включён, т.е. пин-авторизация пройдена. В такой ситуации что активен пин, что нет.

    • YMA:

      Поддерживаю! Еще дополню в копилку параноика 🙂
      Помимо пина на симку и отпечатка пальца на телефон — стоит еще настроить скрытие текста сообщений на заблокированном телефоне, чтобы нельзя было прочитать пришедшее смс без разблокировки телефона.

    • I.A.:

      Я давно покупал СИМ у оператора для смартфона, PIN уже был отключен. Конвертик с PIN и PUK возможно до сих пор вкладывают, но это не точно.
      «Перестановку СИМ в другой телефон» хорошо отслеживает оператор, и тут уже неплохо бы на его уровне вводить блокировку. Недавно менял микроСИМ на наноСИМ, Мегафон заблокировал отправку-получение СМС на сутки. Может геморрой, но безопасный.

  4. Karolus Tarquinius:

    >>А уж если у вас украли сумку, где лежит банковская карта и SIM-карта, то
    это полный кошмар, ведь для того, чтобы стянуть деньги с карточки,
    помимо номера карты и CVV-кода, потребуется тот самый короткий SMS-код
    Кошмар начнётся, уже когда карточку украдут. Некоторые сайты этот самый код не требуют. А если карточка бесконтактная — всё, туши свет.
    >>Например, в Тинькофф Банке (я сталкивался с таким только у них, но
    слышал, что некоторые банки так тоже делают) при замене SIM-карты вас
    попросят заново подтвердить личность по телефону
    А вот Сбербанку традиционно пофиг. Хоть обменяйся. Я вообще, по MNP в Теле2 ушёл, а сбербанк онлайн продолжил работать с новой симкой, как ни в чём не бывало.

    • kaeigor:

      плюсстопятьсот. У меня также. Сбер халтура и говнище: их программа сравнивает имси в пределах одного оператора.

      • Andrey Dolgih:

        Пользуйтесь другими банками.

        • kaeigor:

          Пользуемся и другим рекомендуем Другие банки. Но в этой стране(С) наличие карты сбербанка превратилось как обязательное наличие ИНН (это Государство такое…создало такие условия)

          • Andrey Dolgih:

            Нет такого. Не рассказывайте сказки. Вас ни кто не заставляет иметь карту сбера.

            • kaeigor:

              Что ты бредишь хомячок. Мамка с папкой карту завели другого банка? Ну так и живи с ней. Вы москвич прям больные наглухо со своим синдромом внутримкадья.

          • I.A.:

            Интересно, на каком этапе кто-то требует «обязательное наличие карты Сбербанка»?
            То, что Сбер уныл, и карты свои суёт чуть не просто так — не отрицаю.

            • kaeigor:

              Москвич? ….С мопеда!
              ЗЫ Щас всем Миры раздадут…

              • Валера K:

                чем в быту карты «мир» отличаются от визы/мастеркарт?

                • П.Н.:

                  Тем, что работают только на территории РФ и на Алиэкспресс 🙂

                  • Валера K:

                    Неужели запретят выдачу визы/мастеркард?

                    • П.Н.:

                      Выдачу не запретят, а вот санкциями их работу могут и запретить, было уже разок, так что вполне и ещё можно ждать.

                    • Валера K:

                      Ну так если мастер и виза попадут под санкции так тогда мир хорошая альтернатива для использования в повседневной жизни.

            • kip2:

              например, в государственной единой инспекции безопасности дорожного движения оплата их «услуг» (госпошлина) возможно только по картам сбера и больше никак. столкнулся на днях

              • kaeigor:

                Да можно хоть как платить…но сбер как то более тесно интегрирован в эти платежи (пошлины….штраф…налоги..).

                • kip2:

                  в том то и дело, что нельзя. потому что обезьянам ещё и бумажки надо показывать. да и услуга нужна здесь и сейчас

            • gelioson:

              Практически во всех случаях, когда государство вам должно денег, требуется счет в сбере: налоговые вычеты, возврат ошибочных платежей, всякие переплаты по налогам, пособия и тп.

      • anonymousses_v5:

        «сравнивает имси в пределах одного оператора.»

        Потому что никакие IMSI не сравниваются. Идёт извещение о смене данных договора или данных карты. Вполне логично, что в случае MNP максимальное извещение, которое может дать старый оператор — о выбытии абонента, а не изменении данных, которых не было.

    • Старый танцор:

      странно, у меня сразу блокирнуло, пришлось дозваниваться и авторизоваться заново в контакт-центре, а вт альфа банк просек это только спустя пару месяцев

      • Karolus Tarquinius:

        Сперва не работало, разумеется, пару часов, а потом подцепилось само

    • kip2:

      ну если перешёл по мнп, то и должно работать. плохо, когда сменился хозяин номера, а СБРФ до сих пор делает платежи без регистрации и по смс уже по желанию чужого человека

      • anonymousses_v5:

        «плохо, когда сменился хозяин номера, а СБРФ до сих пор делает платежи без регистрации и по смс уже по желанию чужого человека»

        У Сбера есть остановка операций при смене данных договора, тащемта. Не готов сказать насколько давно в целом с точностью до абсолюта, но я с ней сталкивался ещё три года назад.

    • Dart P!wned III:

      Странно, мне после MNP блокировали сберонлайн.

    • anonymousses_v5:

      «А вот Сбербанку традиционно пофиг»

      Это пример так называемого вранья 😉

  5. >> А уж если у вас украли сумку, где лежит банковская карта и SIM-карта, то это полный кошмар, ведь для того, чтобы стянуть деньги с карточки, помимо номера карты и CVV-кода, потребуется тот самый короткий SMS-код.

    Вот это надо заскриншотить, и показывать каждому комментатору, который утверждает: «Фуфло эти ваши Samsung Pay, я всегда ношу с телефоном карту и расплачиваюсь ей — так в 100500 раз удобнее».

  6. romanlt:

    Хм, странно, а что, кто-то уже отменил пароль?
    Ведь в двухфакторной авторизации SMS-код это второй фактор, до него еще дойти надо.

    • kip2:

      не во всех сервисах смс является вторым фактором. например, Т-страхование или клин, указываешь свой номер и тебе присылают пароль по смс. в теле2 тоже вход с подобной схемой. правда там надо отправить 1 в ответ на флэш-смс (или как оно там называется)

  7. Maire:

    Я на каждой своей карте соскабливаю CVV код. Чтобы не облегчать работу ворам.

    • Strickland:

      Неплохая идея! Не додумался) Есть шанс самому забыть, слишком много карт)
      Сам заклеиваю пластырем.

    • I.A.:

      Банк потом не ругается за такое? Не требует перевыпустить из-за испорченного вида?

      • Maire:

        В банке их и не видели, да и какая нужна там их оператору показывать. Терминалы, гостиницы, банкоматы принимают нормально. У меня сейчас 3 таких карты, пользуюсь без проблем.

    • Maxigami:

      карта перестает быть действительной и у Васм на вполне законных основаниях могут не принять её к оплате.
      зы. у себя соскоблил (потом почитал и поумнел) и пользуюсь на свой страх и риск.

      • Maire:

        Я уже года 4 практикую подобное =). Карт 6 наверное сменилось, и никаких вопросов. за границей в магазинах и гостинице без проблем расплачивалась —
        — no problem. Тем более, что сейчас вообще можно к телефону все подвязать и вообще не светить картами. Так что просто как мера предосторожности.

        • Andrés:

          Соскабливание кода может привести к проблемам в латинской америке (там в магазинах его вводят в терминал, в качестве дополнительной меры безопасности). Но в таком случае вы можете им его говорить голосом — что, с другой стороны, дополнительный риск, т.к. его узнают все, кто находится рядом.

          • Николай Мищенко:

            А если я плачу samsung pay? Там же нету CVV. И как они и чего будут вводить там?

      • Andrés:

        Карта перестаёт быть действительной если подписи нет, или она стёрлась (проступила подложка на котороый написано VOID, то есть недействительна).

      • Николай:

        Не вспомнил когда последний раз использовал физически карту, а уж чтоб ее проверяли, это вообще только на заре было.

    • Youkora:

      Не проще отключать возможность оплаты в интернете до момента, когда она понадобится?
      Или что ещё могут сделать с вашим CVV?

    • Николай:

      Огонь, пошёл стирать.

    • bot!:

      еще можно пин писать, неправильный

  8. Factum:

    О чем статья?
    А если сим на др человека то что она подтвердит?

    • Валера K:

      подтверждает то что платёж проводит человек привязавший этот номер к своему карточному счёту. а вот в случае утери такой симки то восстанавливать сложно, а иногда нереально.

  9. I.A.:

    Некоторые операции происходят вообще без кода СМС или пароля, например покупка билетов онлайн. Но возможно зависит от суммы платежа.

    • Бесконтактные платежи тоже без подтверждения, но только до 1000 руб.

      • kip2:

        не только до 1000.
        а вообще подтверждение по смс (3D secure) зависит от магазина. он может делать запрос на подтверждение, если эмитент карты его поддерживает, или не делать

        • Youkora:

          Если нет СМС, то при написании жалобы о мошенничестве вам обязаны вернуть деньги — такие правила платёжных систем.

      • anonymousses_v5:

        Не обязательно. Зависит от настройки терминала и карты (да, в ней тоже есть настройка — лист разрешений и запретов). Лично видел корпоративную карту без лимитов на операции, включая чиповые и бесконтактные операции.

    • anonymousses_v5:

      От продавца это зависит. Его «доверенного» уровня и готовности нести риски операций без дополнительных подтверждений.

  10. M.J.:

    Самый простой и первый шаг для абонентов Сбера — отключить быстрый платеж через смс. (отправить слово ноль на номер 900).

    • Валера K:

      кажется написано если у вас украли сумку, где лежит банковская карта и SIM-карта то с чего отправить эту СМС?

      • Дмитрий Шитиков:

        Это надо сделать заранее

        • Валера K:

          «если Вы заметили подозрительную личность желающую утащить Вашу сумку с кошельком и телефоном то незамедлительно отправьте слово «ноль» на номер 900″
          Так?

    • Николай Мищенко:

      Спасибо, +улетел)) Отключил.

  11. บุ๋ม บิ๋ม:

    расскажите как сторонняя организация может знать сменился у меня IMSI или нет? я так думаю что вы заблуждаетесь.

    • Валера K:

      вот тоже пытался вспомнить где при работе с смс предоставляли хоть какую либо информацию о номере…

    • Илья Подкопаев:

      В тенькове реально так. Стоит сменить сим как ничего не работает и нужно звонить им и подходить допрос минут на 10.

    • Dart P!wned III:

      Сбербанк при смене симки блокирует онлайн, нужно повторно проходит авторизацию через банкомат.

    • anonymousses_v5:

      У банков есть договора с операторами. При изменении ключевой информации — например смене служебного номера sim (есть уже у многих) или данных в договоре (не знаю насколько широко, но есть — причём этот случай покрывает и «забытые» карты, плох тот банк, который этим не пользуется) банку уходит маячок «изменились данные». И все, это уже достаточно, чтобы банк остановил использование номера и сверился с клиентом.
      И да, ТБ даже не первый, кто это внедрил :). У СБ, кстати, работают все методы.

  12. Илья Подкопаев:

    На гос услугах я ааторизуюсь по ЭЦП которая хранится на юсб токене который при использовании просит ввести 8 значный пин. Сбербанк онлайн у меня отключен как факт. Для интернет платежей в ТЧ интернет магазины перевожу ровно нужную сумму на отдельную карту. То есть в обычное время на и ней баланс 0.

  13. Youkora:

    Хм…
    Не так всё страшно.

    Блокируем для карточки возможность оплаты в интернете (пара тапов в приложении).
    И мошеннику уже нужно будет взламывать ПИН для входа в приложение.

  14. Дмитрий:

    пост ради рыкламы тинькоффки….

  15. Петр:

    у каждой физической симки свой уникальный IMSI-номер
    Сам и ответил, что по этому номеру можно вычислить симку, старую, где она осталась, новую, по координатам сети.
    Вообще поменьше пользоваться этим электронным гавном, раньше люди жили и не было проблем, а теперь хранят свои деньги у кого то, а те имеют огромный рычаг давления, как в фильме, если не будут брать, отключим газ.

    • Николай:

      Ага, а лошади лучше машин.

      • Kandalf:

        Оффтоп. Покажите мне машину, способную перепрыгнуть длинную канаву и способную месяцами жить на подножном корме.

      • Петр:

        Конечно лошадь лучше, ТО дешевое, даже выхлоп, навоз можно использовать. А по поводу карт, интересно было наблюдать на цивилизованных жителей, когда на заправке не работал терминал, столько возмущений, приехали….

        • Николай:

          Погугли, содержание лошади обходится в 20т.р. в месяц. Что-то дорого.

          Я готов потерпеть неудобства, если где-то один раз не будет работать карта.

  16. Антон Колмыков:

    «Например, в Тинькофф Банке (я сталкивался с таким только у них, но слышал, что некоторые банки так тоже делают) при замене SIM-карты вас попросят заново подтвердить личность по телефону. »

    Правда что ли? Когда я перетаскивал свой номер из мегафона в йоту, то ни один банк этого вообще не заметил — ни Тинькофф, ни Альфа, ни Промсвязьбанк. Смски продолжили приходить на новую симку к новому оператору. Правда это было довольно давно — года три назад

    • Антон Колмыков:

      Собственно много лет назад брал кредит в М.Видео от Альфа Банка. При этом дали карту на которую нужно было класть деньги для погашения. Кредит давно выплачен, у карты истек срок действия, но через какое то время я получил в Альфе кредитную карту и при этом указал новый номер телефона, а не тот который был при получении кредита в М.Видео. Теперь при авторизации в приложении Альфа на смартфоне, указании нового номера карточки, нового номера телефона который был указан при получении этой карты мне приложение пишет что код отправлен по СМС на этот самый новый номер, но… код приходит на старый номер который был когда я брал кредит в М.Видео.

    • TKM:

      А вот Сбербанк у меня заметил. Через три дня просто заблокировал все мои карты. Тогда то я и узнал про эту систему защиты))) Теперь отзваниваюсь в банк с кодовым словом…

      • Антон Колмыков:

        Поверьте, Сбербанк тоже очень часто не замечает ни замены симки, ни смены владельца номера. Когда в салонах связи работал то к нам ни раз приходили с симками на которые сыпались сообщения от сбера и пополнение счета через 900 работало, вот только не со счета клиента 🙂

  17. AndreyWJ1:

    Почитал все комменты. Сразу видно, что рассуждают дилетанты. Достаточно услышать мнение банков об эйкваринге в Питере, ворованных карт у иностранцев и списаниях с этих карт.

    • bot!:

      я сам уже 10 лет «иностранец», могу сказать, что деньги, уведенные за границей
      Америакнские и Австралийские банки возвращают на раз-два, вообще без разбирательств,
      сейчас живу в Австралии, не знаю ни одного человека, у которого были бы настроены смс оповещения и подтверждения банковских операций, да и не знаю есть ли у нас такие функции вообще (в моем банке вроде как нет)

      • AndreyWJ1:

        Все правильно Вы написали. Только допустим в банке Русский стандарт операции по эйкварингу с автралийских карт на 95% это мошеннические операции, это их внутренния статистика

  18. Juri Risaku:

    В Эстонии уже несколько лет существует услуга Mobiil_id.Специальная симка закрыта пин кодом.В случае с банком,заходим через apps .надо ввести пользователя и номер телефона,далее банк показывает номер,через несколько секунд приходит номер по смс,если номер такой же как показал банк можно ввести пин,и попадаешь в банк,где можно делать абсолютно любые операции.такая же схема с цифровой подписью.вся система очень удобна.