28 апреля 2018
SIM-карта как авторизационный ключ
Евгений Вильдяев
Мы привыкли, что основная цель SIM-карты и оператора — предоставление голосовых звонков, SMS и мобильного интернета, однако различные сервисы возложили на операторов еще одну важную функцию — выступать посредником для подтверждения личности клиента.
Серьезно, вспомните, сколько всего сейчас завязано на ваш номер телефона. Авторизация в интернет-банке, переводы по номеру телефона, подтверждения заказов, да даже учетная запись на Госуслугах. Кроме того, сейчас баланс вашего номера постепенно превращается в средство для оплаты услуг, что также является дополнительной «нагрузкой» на номер.
Казалось бы, чего здесь плохого? Подтверждение по номеру телефона — простая и понятная процедура, исключающая использование поддельных данных и гарантирующая дополнительную безопасность тем же банковским сервисам.
Всё это верно, если бы не одно «но». SIM-карта становится узким местом по части безопасности. Приведу простой пример: я несколько раз видел ситуации, когда при замене SIM-карты консультанты каким-то хитрым образом отдавали клиенту неработающую пустышку, а сами по замененной симке получали доступ к интернет-банку и проводили переводы со счёта клиента… потому что они подтверждались коротким SMS-паролем!
А уж если у вас украли сумку, где лежит банковская карта и SIM-карта, то это полный кошмар, ведь для того, чтобы стянуть деньги с карточки, помимо номера карты и CVV-кода, потребуется тот самый короткий SMS-код. Поэтому, если вы вдруг столкнулись с такой проблемой, в первую очередь блокируйте именно симку либо по звонку оператору, либо в салоне оператора закажите замену.
Впрочем, банки и операторы тоже в курсе того, что сейчас на номер клиента завязано много сервисов, поэтому вводят дополнительные меры безопасности. Например, в Тинькофф Банке (я сталкивался с таким только у них, но слышал, что некоторые банки так тоже делают) при замене SIM-карты вас попросят заново подтвердить личность по телефону. Дело в том, что у каждой физической симки свой уникальный IMSI-номер, банк видит, когда он меняется, и просто блокирует получение коротких кодов. Восстановить отправку можно по звонку в службу поддержки.
На мой взгляд, сейчас SIM-карта становится тем самым авторизационным ключом, потеряв который, вы окажетесь в весьма уязвимой ситуации. Поэтому если с симкой что-то случилось, сразу же блокируйте её и идите менять в салон оператора.
В контексте вышеописанного просто прекрасно смотрятся чехлы для смартов с отделениями для пластиковых карт.
О, да! Мечта карманника.
Никогда не понимал таких чехлов))Пару лет назад написал в обсуждение таких чехлов автору сегодняшней статьи об этом, получил в ответ какие-то невнятные отповедь и обвинения, что сам дурак.
Не успел начать читать, а уже закончилось.
По сабжу: для безопасности платежей помимо СМС-кода неплохо было бы добавить ещё возможность включить требование пользовательского пароля (отдельного, а не того, что используется для автоизации в онлайн-сервисе банка) — в случае воровства телефона это может помешать злоумышленнику совершить оплату.
Да и вообще такие пароли один фиг стоит использовать на любом сайте/сервисе, где уже есть эти ваши СМС-автризации.
Интересно, а у многих сейчас стоит банальный PIN-код на симке, мне кажется, что сейчас этой мерой безопасности пренебрегают, положившись на пароль, графический ключ, сканер отпечатка, распознавание лица и совсем забыв про то, что симку можно просто переставить в другой телефон…Кстати, если кто помнит, раньше симки даже продавались с предуставноленным PIN-ом, сейчас этого почему-то нет…
Спасибо за напоминание! Реально тупо забыл об этом. После вашего поста установил пин.
А что толку? Телефон-то обычно постоянно включён, т.е. пин-авторизация пройдена. В такой ситуации что активен пин, что нет.
Поддерживаю! Еще дополню в копилку параноика 🙂
Помимо пина на симку и отпечатка пальца на телефон — стоит еще настроить скрытие текста сообщений на заблокированном телефоне, чтобы нельзя было прочитать пришедшее смс без разблокировки телефона.
Я давно покупал СИМ у оператора для смартфона, PIN уже был отключен. Конвертик с PIN и PUK возможно до сих пор вкладывают, но это не точно.
«Перестановку СИМ в другой телефон» хорошо отслеживает оператор, и тут уже неплохо бы на его уровне вводить блокировку. Недавно менял микроСИМ на наноСИМ, Мегафон заблокировал отправку-получение СМС на сутки. Может геморрой, но безопасный.
Это стандартная процедура, у Билайн также.
Пин и Пук давно пишутся на карточке, из которой вы вламываете нужный размер сим-карты. По умолчанию пин — 0000
По умолчанию 0000 у Т2 было.
>>А уж если у вас украли сумку, где лежит банковская карта и SIM-карта, то
это полный кошмар, ведь для того, чтобы стянуть деньги с карточки,
помимо номера карты и CVV-кода, потребуется тот самый короткий SMS-код
Кошмар начнётся, уже когда карточку украдут. Некоторые сайты этот самый код не требуют. А если карточка бесконтактная — всё, туши свет.
>>Например, в Тинькофф Банке (я сталкивался с таким только у них, но
слышал, что некоторые банки так тоже делают) при замене SIM-карты вас
попросят заново подтвердить личность по телефону
А вот Сбербанку традиционно пофиг. Хоть обменяйся. Я вообще, по MNP в Теле2 ушёл, а сбербанк онлайн продолжил работать с новой симкой, как ни в чём не бывало.
плюсстопятьсот. У меня также. Сбер халтура и говнище: их программа сравнивает имси в пределах одного оператора.
Пользуйтесь другими банками.
Пользуемся и другим рекомендуем Другие банки. Но в этой стране(С) наличие карты сбербанка превратилось как обязательное наличие ИНН (это Государство такое…создало такие условия)
Нет такого. Не рассказывайте сказки. Вас ни кто не заставляет иметь карту сбера.
Что ты бредишь хомячок. Мамка с папкой карту завели другого банка? Ну так и живи с ней. Вы москвич прям больные наглухо со своим синдромом внутримкадья.
Весна на шизофреников плохо влияет. Обострение?
Хомячок это ты, давно в зеркало не смотрел.
Интересно, на каком этапе кто-то требует «обязательное наличие карты Сбербанка»?
То, что Сбер уныл, и карты свои суёт чуть не просто так — не отрицаю.
Москвич? ….С мопеда!
ЗЫ Щас всем Миры раздадут…
чем в быту карты «мир» отличаются от визы/мастеркарт?
Тем, что работают только на территории РФ и на Алиэкспресс 🙂
Неужели запретят выдачу визы/мастеркард?
Выдачу не запретят, а вот санкциями их работу могут и запретить, было уже разок, так что вполне и ещё можно ждать.
Ну так если мастер и виза попадут под санкции так тогда мир хорошая альтернатива для использования в повседневной жизни.
например, в государственной единой инспекции безопасности дорожного движения оплата их «услуг» (госпошлина) возможно только по картам сбера и больше никак. столкнулся на днях
Да можно хоть как платить…но сбер как то более тесно интегрирован в эти платежи (пошлины….штраф…налоги..).
в том то и дело, что нельзя. потому что обезьянам ещё и бумажки надо показывать. да и услуга нужна здесь и сейчас
Практически во всех случаях, когда государство вам должно денег, требуется счет в сбере: налоговые вычеты, возврат ошибочных платежей, всякие переплаты по налогам, пособия и тп.
Насколько я помню, для вычетов принимают счет в любом банке.
Хз, я когда вычет получал, в налоговой сказали только сбер. Возможно, с ними надо было поскандалить, но что-то заломало. Правда, было это лет 5 назад.
3 или 4 года назад предлагали любой банк.
«сравнивает имси в пределах одного оператора.»
Потому что никакие IMSI не сравниваются. Идёт извещение о смене данных договора или данных карты. Вполне логично, что в случае MNP максимальное извещение, которое может дать старый оператор — о выбытии абонента, а не изменении данных, которых не было.
странно, у меня сразу блокирнуло, пришлось дозваниваться и авторизоваться заново в контакт-центре, а вт альфа банк просек это только спустя пару месяцев
Сперва не работало, разумеется, пару часов, а потом подцепилось само
ну если перешёл по мнп, то и должно работать. плохо, когда сменился хозяин номера, а СБРФ до сих пор делает платежи без регистрации и по смс уже по желанию чужого человека
«плохо, когда сменился хозяин номера, а СБРФ до сих пор делает платежи без регистрации и по смс уже по желанию чужого человека»
У Сбера есть остановка операций при смене данных договора, тащемта. Не готов сказать насколько давно в целом с точностью до абсолюта, но я с ней сталкивался ещё три года назад.
Странно, мне после MNP блокировали сберонлайн.
действительно странно, прошло абсолютно «бесшовно»…
«А вот Сбербанку традиционно пофиг»
Это пример так называемого вранья 😉
>> А уж если у вас украли сумку, где лежит банковская карта и SIM-карта, то это полный кошмар, ведь для того, чтобы стянуть деньги с карточки, помимо номера карты и CVV-кода, потребуется тот самый короткий SMS-код.
Вот это надо заскриншотить, и показывать каждому комментатору, который утверждает: «Фуфло эти ваши Samsung Pay, я всегда ношу с телефоном карту и расплачиваюсь ей — так в 100500 раз удобнее».
Хм, странно, а что, кто-то уже отменил пароль?
Ведь в двухфакторной авторизации SMS-код это второй фактор, до него еще дойти надо.
не во всех сервисах смс является вторым фактором. например, Т-страхование или клин, указываешь свой номер и тебе присылают пароль по смс. в теле2 тоже вход с подобной схемой. правда там надо отправить 1 в ответ на флэш-смс (или как оно там называется)
Я на каждой своей карте соскабливаю CVV код. Чтобы не облегчать работу ворам.
Неплохая идея! Не додумался) Есть шанс самому забыть, слишком много карт)
Сам заклеиваю пластырем.
1Password и удачи его взломать
Банк потом не ругается за такое? Не требует перевыпустить из-за испорченного вида?
В банке их и не видели, да и какая нужна там их оператору показывать. Терминалы, гостиницы, банкоматы принимают нормально. У меня сейчас 3 таких карты, пользуюсь без проблем.
карта перестает быть действительной и у Васм на вполне законных основаниях могут не принять её к оплате.
зы. у себя соскоблил (потом почитал и поумнел) и пользуюсь на свой страх и риск.
Я уже года 4 практикую подобное =). Карт 6 наверное сменилось, и никаких вопросов. за границей в магазинах и гостинице без проблем расплачивалась —
— no problem. Тем более, что сейчас вообще можно к телефону все подвязать и вообще не светить картами. Так что просто как мера предосторожности.
Соскабливание кода может привести к проблемам в латинской америке (там в магазинах его вводят в терминал, в качестве дополнительной меры безопасности). Но в таком случае вы можете им его говорить голосом — что, с другой стороны, дополнительный риск, т.к. его узнают все, кто находится рядом.
А если я плачу samsung pay? Там же нету CVV. И как они и чего будут вводить там?
по поводу бесконтактных транзакций — не знаю.
может, просто не примут бесконтактные.
да, для иностранных карт просят пин
Карта перестаёт быть действительной если подписи нет, или она стёрлась (проступила подложка на котороый написано VOID, то есть недействительна).
Не вспомнил когда последний раз использовал физически карту, а уж чтоб ее проверяли, это вообще только на заре было.
Не проще отключать возможность оплаты в интернете до момента, когда она понадобится?
Или что ещё могут сделать с вашим CVV?
Нет, не проще.
Огонь, пошёл стирать.
еще можно пин писать, неправильный
О чем статья?
А если сим на др человека то что она подтвердит?
подтверждает то что платёж проводит человек привязавший этот номер к своему карточному счёту. а вот в случае утери такой симки то восстанавливать сложно, а иногда нереально.
Некоторые операции происходят вообще без кода СМС или пароля, например покупка билетов онлайн. Но возможно зависит от суммы платежа.
Бесконтактные платежи тоже без подтверждения, но только до 1000 руб.
не только до 1000.
а вообще подтверждение по смс (3D secure) зависит от магазина. он может делать запрос на подтверждение, если эмитент карты его поддерживает, или не делать
Если нет СМС, то при написании жалобы о мошенничестве вам обязаны вернуть деньги — такие правила платёжных систем.
Не обязательно. Зависит от настройки терминала и карты (да, в ней тоже есть настройка — лист разрешений и запретов). Лично видел корпоративную карту без лимитов на операции, включая чиповые и бесконтактные операции.
От продавца это зависит. Его «доверенного» уровня и готовности нести риски операций без дополнительных подтверждений.
Самый простой и первый шаг для абонентов Сбера — отключить быстрый платеж через смс. (отправить слово ноль на номер 900).
кажется написано то с чего отправить эту СМС?
Это надо сделать заранее
Так?
Спасибо, +улетел)) Отключил.
расскажите как сторонняя организация может знать сменился у меня IMSI или нет? я так думаю что вы заблуждаетесь.
вот тоже пытался вспомнить где при работе с смс предоставляли хоть какую либо информацию о номере…
В тенькове реально так. Стоит сменить сим как ничего не работает и нужно звонить им и подходить допрос минут на 10.
минуты полторы )
Сбербанк при смене симки блокирует онлайн, нужно повторно проходит авторизацию через банкомат.
У банков есть договора с операторами. При изменении ключевой информации — например смене служебного номера sim (есть уже у многих) или данных в договоре (не знаю насколько широко, но есть — причём этот случай покрывает и «забытые» карты, плох тот банк, который этим не пользуется) банку уходит маячок «изменились данные». И все, это уже достаточно, чтобы банк остановил использование номера и сверился с клиентом.
И да, ТБ даже не первый, кто это внедрил :). У СБ, кстати, работают все методы.
На гос услугах я ааторизуюсь по ЭЦП которая хранится на юсб токене который при использовании просит ввести 8 значный пин. Сбербанк онлайн у меня отключен как факт. Для интернет платежей в ТЧ интернет магазины перевожу ровно нужную сумму на отдельную карту. То есть в обычное время на и ней баланс 0.
Хм…
Не так всё страшно.
Блокируем для карточки возможность оплаты в интернете (пара тапов в приложении).
И мошеннику уже нужно будет взламывать ПИН для входа в приложение.
пост ради рыкламы тинькоффки….
у каждой физической симки свой уникальный IMSI-номер
Сам и ответил, что по этому номеру можно вычислить симку, старую, где она осталась, новую, по координатам сети.
Вообще поменьше пользоваться этим электронным гавном, раньше люди жили и не было проблем, а теперь хранят свои деньги у кого то, а те имеют огромный рычаг давления, как в фильме, если не будут брать, отключим газ.
Ага, а лошади лучше машин.
Оффтоп. Покажите мне машину, способную перепрыгнуть длинную канаву и способную месяцами жить на подножном корме.
Какому жителю города — это нужно 21 веке?
А вот условия задачи оговариваются отдельно 🙂
Конечно лошадь лучше, ТО дешевое, даже выхлоп, навоз можно использовать. А по поводу карт, интересно было наблюдать на цивилизованных жителей, когда на заправке не работал терминал, столько возмущений, приехали….
Погугли, содержание лошади обходится в 20т.р. в месяц. Что-то дорого.
Я готов потерпеть неудобства, если где-то один раз не будет работать карта.
«Например, в Тинькофф Банке (я сталкивался с таким только у них, но слышал, что некоторые банки так тоже делают) при замене SIM-карты вас попросят заново подтвердить личность по телефону. »
Правда что ли? Когда я перетаскивал свой номер из мегафона в йоту, то ни один банк этого вообще не заметил — ни Тинькофф, ни Альфа, ни Промсвязьбанк. Смски продолжили приходить на новую симку к новому оператору. Правда это было довольно давно — года три назад
Собственно много лет назад брал кредит в М.Видео от Альфа Банка. При этом дали карту на которую нужно было класть деньги для погашения. Кредит давно выплачен, у карты истек срок действия, но через какое то время я получил в Альфе кредитную карту и при этом указал новый номер телефона, а не тот который был при получении кредита в М.Видео. Теперь при авторизации в приложении Альфа на смартфоне, указании нового номера карточки, нового номера телефона который был указан при получении этой карты мне приложение пишет что код отправлен по СМС на этот самый новый номер, но… код приходит на старый номер который был когда я брал кредит в М.Видео.
А вот Сбербанк у меня заметил. Через три дня просто заблокировал все мои карты. Тогда то я и узнал про эту систему защиты))) Теперь отзваниваюсь в банк с кодовым словом…
Поверьте, Сбербанк тоже очень часто не замечает ни замены симки, ни смены владельца номера. Когда в салонах связи работал то к нам ни раз приходили с симками на которые сыпались сообщения от сбера и пополнение счета через 900 работало, вот только не со счета клиента 🙂
Почитал все комменты. Сразу видно, что рассуждают дилетанты. Достаточно услышать мнение банков об эйкваринге в Питере, ворованных карт у иностранцев и списаниях с этих карт.
я сам уже 10 лет «иностранец», могу сказать, что деньги, уведенные за границей
Америакнские и Австралийские банки возвращают на раз-два, вообще без разбирательств,
сейчас живу в Австралии, не знаю ни одного человека, у которого были бы настроены смс оповещения и подтверждения банковских операций, да и не знаю есть ли у нас такие функции вообще (в моем банке вроде как нет)
Все правильно Вы написали. Только допустим в банке Русский стандарт операции по эйкварингу с автралийских карт на 95% это мошеннические операции, это их внутренния статистика
В Эстонии уже несколько лет существует услуга Mobiil_id.Специальная симка закрыта пин кодом.В случае с банком,заходим через apps .надо ввести пользователя и номер телефона,далее банк показывает номер,через несколько секунд приходит номер по смс,если номер такой же как показал банк можно ввести пин,и попадаешь в банк,где можно делать абсолютно любые операции.такая же схема с цифровой подписью.вся система очень удобна.