Предупреждение! Безопасность бизнеса под угрозой.

Сегодняшний пост может спасти ваш интернет бизнес, сохранить ваши сайты и домены, аккаунты в сети. Проблема существует уже давно, но обсуждали ее в основном только взломщики, кардеры и мошенники. Хотелось бы предать проблему огласке, чтобы вы могли защитить свои данные.
Скажу, что проблема всплывала еще пару лет назад, когда у одного обменника взломали систему и вывели больше 20000 долларов через Либерти.

Как оказалось — взломщик банально получил доступ к sim-карте мобильного оператора, далее восстановил доступ к аккаунту почты и увел персональные данные, которые и помогли ему вывести сумму из обменника.
Итак — что же за проблема с сим картами в Украине(боюсь проблема не только в Украине, а и других странах СНГ).
Дело в том, что мы все пользуется сим картами предоплаченной связи, что характерно для операторов Киевстар, МТС.
Отсюда возникает главная проблема — мы не являемся хозяевами нашего номера.

Конечно много людей начнут говорить — как это, это мой номер, я им пользуюсь столько то лет и он ничей другой.
Дело в том, что с не так далекого времени у операторов появилась услуга «Восстановления номера» или «создания дубля» sim карты.
Любой желающий может прийти и восстановить вашу(!) сим карту в офисе Киевстара например. Для этого нужно знать только 2 номера, на которые звонили в течении недавнего времени.
Как вы сами понимаете, узнать эту инфу — не проблема. Рассказывать про соц инженерию смысла нет.

Полгода назад мой брат умудрился восстановить мою симку, при этом никаких данных кроме 2 номеров у него не потребовали.
Если вы думаете, что записывают хотя бы паспорт — ничего не требуют.

Через месяц я явился в офис Киевстара с претензией, по какому праву они восстановили мою живую(!) сим карту без моего ведома, да еще и не потребовали никаких данных с восстановителя. Вот тут я и узнал, что не являюсь хозяином своей симки(номера), которой пользуюсь более 5 лет!

Инфой о небезопасности сим карт я поделился одним из моих знакомым Максом при совместной пьянке. Он сказал, что я несу полный бред, этот квест не выполним.
Я решил доказать, что это раз плюнуть. Зашел при нем в интернет через фейковый женский аккаунт вКонтакте и устроил небольшую переписку с одним из его друзей в контакте.
Результат — слитый номер его подружки(которой он ясное дело звонит) и матери.
На следующий день я зашел в Херсонское отделение и мне с радостью и улыбкой восстановили его номер.
Этого мне показалось мало, нашел его почту от аккаунта Яндекс и быстренько восстановил его пароль к ящику(через мобильник) с учетными записями, начиная от вконтакте и заканчивая панелями доступа к сайтам и доменам.
Больше никаких действий производить не стал, мне показалось, что этого будет достаточно.

Скажу, что Макса я ввел просто в ступор. Мы пришли в отделение Киевстара и высказали по этому поводу много вещей, но оказалось, что я даже не совершил злодеяние, так как восстановить номер может любой человек.

Итак, хотелось бы описать схему защиты, которая действует по данному методу взлома — это контрактные номера у оператора.
Да, заключение договора, предоставление паспортных данных и переход на херовые тарифы оператора.
Второй метод — это использование новой сим карты предоплаченной связи именно для такого случая — подтверждения аккаунтов. То есть номер, которым вы пользоваться будете только для этих целей, дополнительная сим карта. Но и тут есть огромный минус — дело в том, что многие забывают за подобные сим карты и они через полгода становятся не активными и ваш номер могут отдать любому желающему.

Поэтому уже пару месяцев как я являюсь обладателем контрактного номера Киевстара — спасибо ему за мою же безопасность)))
О данном методе взлома я бы не стал распространяться, только
недавно один знакомый написал, что именно подобным способом у него угнали пачку сайтов общем примерной стоимостью порядка 7000 долларов. Номер мошенник вытянул из whois одного из доменов, далее втерся в доверие к знакомому, узнал основной ящик(емейл). Ну а далее — по накатаной.

Автор блога уже месяц в Таиланде, а все никак не может набраться храбрости и совершить полет с парашютом

Для того, чтобы не переживать по поводу сохранности ваших сайтов рекомендую очень грамотно выбирать data center. Это поможет вам спать спокойно и не думать о падении вашего сайта.

VN:F [1.9.22_1171]
Rating: 9.7/10 (3 votes cast)
Предупреждение! Безопасность бизнеса под угрозой., 9.7 out of 10 based on 3 ratings




Забыл подписаться на RSS новости? Читать в


Категория: Домены, Идеи

Комментарии 37 комментариев

 

  1. Валерий:

    Да, согласен, такая проблема есть. Сам был очень удивлен, когда пришлось восстановить свой номер (Киевстар). Я в их спрашивал, почему такая простая процедура, но сказали такой порядок, так и делают. Также восстанавливал номер МТС, там немножко труднее восстановить, потребовали предоставить паспорт, хотя в сам паспорт не смотрели :), я просто дал данные, держа паспорт в руках (абсурд!). Теперь о конфиденциальности номера МТС можно забыть (хотя, какая там «конфиденциальность» в нашей стране). Ради интереса написал о таком способе мошенничества на сайт киевстара, интересно, что ответят. Когда общался с оператором, спросил: «А какие вообще права имеет абонент предоплаченной связи?», сказала посмотреть на официальном сайте. Судя из прочитанного, владельцем номера есть лицо, которое физически владеет сим картой, но полученной на законных основаниях. После того как кто то восстановил карту, выше описанным путем, даже тяжело доказать незаконность владения номером, так как карта восстановлена стандартной процедурой, а услуги предоставляются обезличенно. Короче говоря, ничего удивительного — Укрина!

    PS: автор блога на прыжок с парашютом набрался храбрости, а на полет с парашютом не набрался? :) А че эти тайцы все в масках?

    [Ответить]

    Devvver Reply:

    Опасно, обрати внимание как взлетают и садятся. Видел сам, как при старте с берега турка метров 10 волочило по песку и воде, хорошо что парашют открылся.
    тайцы не в масках, а защищают лицо, солнце, все обгорает.

    [Ответить]

    werty Reply:

    сомневаюсь что держа в руках паспорт вы востановили сим карту…эксперт МТС сначало делает копию паспорта и на этом же листе печатает заяву …где вы ставите свою подпись…а в следующий раз без паспорта ВАШЕГО вам не востановят симку (если например придет ваш друг ее менять….так что в Вашем случае…либо эксперт лох и симку под чужими паспортными даными востановил…либо вы чтото путаете

    [Ответить]

    Валерий Reply:

    Так как я там был, я лучше знаю как было, паспорт я никому в руки не давал. Паспортные данные не могут быть чужими, когда восстанавливаешь карту первый раз, так как она не прив»язана к паспортным данным. И никакой копии паспорта он не делал, да я и не дал бы делать копию, я и так отнесся не очень хорошо когда потребовали паспорт, так как у меня уже был IVR пароль (для восстановления), который я получил когда звонил оператору.
    То что не восстановят карту без паспорта, вполне возможно, но когда я сказал что я не хочу прив»язывать паспортные данные к номеру, потому что не уверен что симкой буду пользоваться именно я, мне сказали, что никто карту не привязывает к данным, а информация с паспорта нужна чтобы знать кто восстановил. И единственное что возможно, что при звонке к оператору ко мне будут обращаться по имени. Но данные то остались :)

    [Ответить]

  2. FreeAleX:

    =-O примерно с таким лицом я сидел первую минуту =) Потом я радовался, что не люблю МТС :-[
    У меня региональный оператор, для восстановления сим-карты (номера) нужен паспорт.

    Все, что сделано руками человека, можно сломать… Да и все, созданное природой, можно сломать.

    [Ответить]

  3. Pinkerton:

    Вот это да… Я из России, у нас вроде бы так нельзя делать, т.е. все симки по умолчанию контрактные.

    P.S. С парашютом это клево, решайтесь :)

    [Ответить]

  4. Александр:

    Когда автор блога покажет свой новый бложек о Тае? =)

    [Ответить]

  5. Строящий будущее:

    Капец… Но у нас в РФ всё иначе. Симки оформляются именно на паспорт и никто не может восстановить\заблокировать без паспорта и личного прихода в офис ОСС.
    Был недавно в Украине — удивился, что у Вас симки без паспорта выдают, покупай сколько хочешь =)
    P.S. Спасибо за статью! Предупрежден — значит вооружен.

    [Ответить]

  6. Некто:

    Значит, я правильный параноик))) Вот именно потому, что на каждый замок найдётся отмычка, для каждого нового акка где бы то ни было я завожу новый акк почты. Так отмычек потребуется много, запарятся подбирать, к тому же для переписки у меня другие ящики, и с «секретными» они никак не связаны. И симка используется только для акков, не светится нигде более. Есть слабое место: куча паролей в голове не умещается, потому существует секретная бумажка с паролями. Её найти — и мне крышка))) Правда, у меня брать особенно пока нечего, и я скорее как тот Неуловимый Джо, который нафик никому не нужен )))

    [Ответить]

  7. Дмитрий:

    Да уж… Слов нет. Хорошо, что я в России живу — симки на паспорт оформляются, как уже заметили выше.

    [Ответить]

  8. Радкевич С.:

    Ого-го, да это полная жесть. У нас в Беларуси такой номер тоже не прошел, все только через паспорт.

    Не помешает еще иметь отдельный емейл на котором будут висеть только регистрации и через который не будет никакой почты, разумеется он нигде не светится.

    [Ответить]

  9. Виталий:

    была симка отдельная для этих дел, долго не пополнял счет — заблочили, неприятно получилось в следствии. =)

    [Ответить]

    Renar Reply:

    Как думаете, если 5-10 гривен на счет кинуть — сим-карту заблочат за неактивность?

    [Ответить]

    Devvver Reply:

    нет, не должны. Надо хотя бы 1 звонок делать в пол года.

    [Ответить]

  10. Иван:

    Проблема то автором сайта раскрыта, спасибо! Но как от такой проблемы избавиться?

    [Ответить]

    Валерий Reply:

    Так советы есть, в статье!

    [Ответить]

  11. micro:

    Не знаю как с киевстаром, но чтоб восстановить лайф-симку нужен, кроме всего прочего, и паспорт. На счет киевстара — их самих с таким подходом скоро вздрючат на десяток лямов (иск, суд) когда из-за них кто-то попадет на нормальные деньги

    [Ответить]

  12. Михаил:

    И правда напугал блин. В россии такое не провернешь, насколько я знаю все операторы восстанавливают симки только по предъявлению паспорта.

    Кстати когда выход в свет блога о жизни в тайланде?

    [Ответить]

    Devvver Reply:

    К сожалению меня подводят копирайтеры, нужно часть статей общего характера написать, чтобы я потом на них ссылался. Чувствую что придется писать самому.
    Постов написал уже штук 10, но не опубликованы.

    [Ответить]

    Некто Reply:

    Дык мне лично интересно то, что напишет о Тае человек, там побывавший (и ныне живущий), а не копирайтеры, у которых даже загранпаспорта нет, и которые надёргают инфы с туристических сайтов, и сольют её в одну статью (такой сборной солянки в инете хоть жуй тем самым местом))), при этом о Тае лично те копирайтеры — ни сном ни духом. Или блог планируется не для души, а для заработка на туристическом контенте? Тогда да, левые статьи нужны. Жаль, я думал, что блог будет именно отсебятиной в лучшем смысле этого слова (вот как этот, например). В любом случае удачи!
    P.S. Неужели в Тае всё же лучше, чем на нэньке? Там жеж все вокруг ненаши =-O Как с ними бок о бок жить-то?

    [Ответить]

    Devvver Reply:

    Пока о заработке на блоге даже мысли нет — это убивает всю идею создания СДЛ на корне :(
    По поводу копирайтеров — они необходимы, чтобы сделать общие описания островов и других вещей. Эта информация общего характера, мне лень ее самому писать.
    Будет именно блог, а не сайт. Сайтов в интернете очень много о Таиланде.
    По поводу чужих — я интернационалист, меня как то они не задевают) =)
    ниего плохого жить с ними рядом.

    Некто Reply:

    >>>Будет именно блог, а не сайт
    Спасибо, успокоил =) )))
    Только всё же было бы лучше, чтобы те острова, которые ты отдал на откуп копирайтерам, ты посетил сам, и привёз нам оттуда впечатления личные (на и фотки с этими, как их, сись…ками :-D ). Желаю тебе побольше бабла, чтобы ты смог прокатиться по всем островам =)

    >>>ничего плохого жить с ними рядом.
    Дык я не о том, что плохо жить рядом с ними. Я о том, как же жить без того, чтобы рядом были наши =) Хотя сколько раз жил за границей, столько раз и старался избегать общения с нашими, всё больше с аборигенами общаться норовил. Просто 99% наших за границей без наших за границей ))) жизнь свою не представляют: вечно начинают стягиваться в общины. Потому и спросил.

    Так что, в Тае всё же лучше, чем на Украине? Или стартовая эйфория ещё не прошла, и полностью в житуху местную ещё не втянулся, а потому выводы делать рано?

  13. Андрей Молочный:

    Хм. Но ведь если на почту например мейл не ввести номер телефона, боятся нечего, верно?

    [Ответить]

  14. Михаил:

    В таком случае, для восстановления почты нужно брать отдельную симку, чтобы никто не знал ее номер.

    [Ответить]

  15. alltrytofly:

    Спасибо создателю этого замечательного блога, на многое открыл глаза…
    После прочтения этой истории очень сильно хотел попробовать пройти процедуру восстановления симок. Взял двоих друзей номера (пользуемся МТС), позвонил одному сам, через 20 минут попросил брата сделать пару неотвеченых на тот же номер и пошёл в центр МТС с довольной «рожей» и ослепительной улыбкой. Меня встретила девушка возгласом — Здрасте, чего подсказать? (Даже не отрывая голову от своего монитора). Я сказал что утратил сим, очень спешу, самолет, поезд, пароход, жена рожает, спешу на свадьбу и т.д. У меня спросили последние номера — я естественно не спеша начал раздумывать и медленно говорить свой и брата номер. Считанные минуты и вуа-ля — новая симка, с номером моего друга! Никаких доков не потребовалось показывать, к тому же мне предложили услуги «бэкапа» своего контактного списка)
    На следующее утро я проделал ту же операцию со вторым товарищем. В той же одежде, в то же отделение, с той же улыбкой и коварством я пришёл к той же девушке … не прошло 5 минут у меня второй номер. Вот так вот … берут на работу село, а потом народ страдает от подобных махинация и офер, будем бдительнее)

    [Ответить]

    Devvver Reply:

    Для тех, кто прочитает комментарий — я не очень поверил автору, поэтому связался с ним по контактным данным, чтобы узнать побольше о факте восстановления симки.
    По словам автора комментария, в второй раз спросили ФИО, но паспорт не спрашивали. По словам автора

    > у меня не спрашивали доков … я вёл активно беседу …
    по всей видимости если сим до этого не разу не терялась и не общались с оператором — никаких данных на симке о владельце нету.
    Сейчас если я с своей симки звоню оператору — она ко мне по имени отчеству обращается.

    Также задав важный для меня вопрос:
    В чем был смысл восстановления симки второго друга? С первым то прошло.
    Ответ:

    >смысл был том, что на меня не обратили внимания … я рассказал первому … он подумал, что я что то намухлевал … и не верил мне — ну второй вариант я как раз для этого случая и подготовил … чтобы халявного пивка попить =)

    В общем стоит задуматься о безопасности и сим карт МТС.

    [Ответить]

  16. Валерий:

    Может отправить ссылку на эту статью в тех поддержку операторов, может отреагируют, если им не все равно. Но как то все смахивает на то, что там все понимают, но специально сделали процедуру восстановления такой легкой… Но возникает вопрос -зачем?

    [Ответить]

    Devvver Reply:

    Написали 3 письма. Ссылку дали.
    Дело в том, что операторы указывают на свои правила восстановления сим карт. Там процедура расписана так, что реально карту в большинстве случаев восстановить не сможет даже хозяин симки.
    Поэтому в 90% случаев решение о перевыдачи симки принимает сотрудник мобильного оператора. Ясное дело, что при этом правила, которые расписаны на сайтах не выполняются. :(

    [Ответить]

  17. Vera:

    Спасибо за статью. Вчера после прочтения была в шоке =-O . Сегодня утром пошла, заключила контракт с Киевстар, они были очень удивлены что кто-то делает это добровольно, предлагали взять лучше дополнительную карточку :-D

    [Ответить]

  18. SuperX:

    Пару лет назад восстанавливал симку МТСа в России (Ёбург) — взяли паспорт и переписали данные.

    [Ответить]

  19. leoo:

    На контракте с 2008 года, можно сказать что еще тогда предполагал данную историю. Но хочу сказать не об этом, год назад мне активно звонили с киевстара и предлагали перейти на предоплаченный пакет эти действия не совсем понятны, вот счас думаю может кто то хотел скинуть с контракта.

    [Ответить]

  20. Безумец:

    Зная это тем кто работает в точках восстановления номеров, были бы миллионерами))

    [Ответить]

  21. Виталий:

    У моих знакомых была похожая ситуация, у них сняли через приват24 6,5 тыс. гр. с кредитки и около тысячи гр. с детской карточки. Утром несколько раз звонили с неизвестных номеров: «вроде как ошиблись номером» потом восстановили симку в Киеве, восстановили пароль в приват24 на номер мобильного, и снимали деньги в Киеве и Днепропетровске через банкомат с помощью услуги “экстренные деньги”.

    [Ответить]

    Вадим Reply:

    А как же восстановили пароль в привате? Ведь при восстановлении требуется указать ИК?

    [Ответить]

    Devvver Reply:

    Я восстанавливал пароль в Привате. Пришел с паспортом, написал помойму заяву, поменяли на стандартный.
    Процедура не сложная, очень давно проходил, поэтому сложно вспомнить.

    [Ответить]

  22. BuisnessGuy:

    Полностью согласен с автором статьи, что неопытных пользователей можно без особого труда взломать путем восстановления го номера. Удивляюсь, до чего же все просто, мошенников наверно все больше становится.

    [Ответить]

  23. b-g Tor:

    2015 год. Россия. Симку МТС можно восстановить по почте, даже находясь в другом регионе.

    [Ответить]

Оставить комментарий


Яндекс.Метрика