Еще одна жертва как бы двухфакторной аутентификации с sms

Как ты думаешь, для мошенников так ли трудно достатать бланки и сделать фальшивую печать?

На спец. форумах есть предложения, где в примерно за 10к переоформят симку на тебя или перевыпустят.

Чаще всего это всё-таки подельники в салоне сотовой связи. Эти-то товарищи ничего не боятся...

Интересно, почему? Ведь по идее, все их действия должны в логах информационной системы оставаться, а значит, шансов отвертеться у них практически нет.

Слушай, а Яндекс.Ключ сойдет за TOTP? Я немного подтупливаю, но вроде оно. И если это оно - то где собака зарыта и как поломать эту схему простым образом? Навскидку - зловред на смартфоне.

Но они могут заплатить, и логи за нужный день «внезапно потерялись»

Как ты думаешь, для мошенников так ли трудно достатать бланки и сделать фальшивую печать?

Думаю, примерно так же трудно, как, например, фальшивые деньги печатать. Бланки имеют сравнимые с деньгами степени защиты.

Понятие не имею, что такое Яндекс.Ключ.

И если это оно - то где собака зарыта и как поломать эту схему простым образом?

Как поломать TOTP?

Вот только купюропроверочные сккнеры стоят на каждой кассе, а бланкопроверочные? А уже если сотруднику опсоса еще и приплатили немного, то он и не заметит что бланк то липовый

Но они могут заплатить, и логи за нужный день «внезапно потерялись»

Хм, это в ООО «Рога и Копыта» такое прокатит. Но у любого оператора все многократно резервируется, доступ к разным копиям контролируется разными людьми, очень сомневаюсь, что удастся договориться.

Бланки имеют сравнимые с деньгами степени защиты

А сотрудники салона сотовой связи имеют опыт определения подделки?

очень сомневаюсь, что удастся договориться.

А по факту на рынке 10к стоит услуга по перевыпуску симки.

Вот только купюропроверочные сккнеры стоят на каждой кассе, а бланкопроверочные?

Ну, водяные знаки видны без всякого сканера ;).

А уже если сотруднику опсоса еще и приплатили немного, то он и не заметит что бланк то липовый

Да, это вариант, согласен. И предъявить такому сотруднику будет нечего - в конце концов, он не обязан проверять подлинность доверенности.

Ну, водяные знаки видны без всякого сканера ;). \

Водяные знаки может сделать любой дурак. А если есть знакомый в типографии, то справится даже полный идиот

Яндекс.Ключ - приложение на телефон, для генерации одноразовых паролей.

Да, вопрос как поломать TOTP.

Прогрессивный сбер этот метод выкинул.

А по факту на рынке 10к стоит услуга по перевыпуску симки.

Ясно, спасибо за информацию :(.

Водяные знаки может сделать любой дурак.

Серьезно? Я думал, они на стадии изготовления бумаги создаются.

Могу соврать (уже 6 лет прошло с того момента), но вроде бы не интересовал.

ну «настоящие» да, на стадии изготовления бумаги. Но очень похожие на настоящие сделать можно и потом.

ЕМНИП рукописная доверенность и ксерокс паспорта всегда прокатывали. Какой нахрен нотариус?

Могу соврать (уже 6 лет прошло с того момента), но вроде бы не интересовал.

Да уж. Т. е. абсолютно любой человек мог получить SIM-карту с номером Вашей жены? Кошмар какой-то.

Впрочем, думаю, сегодня такой номер не прокатит - слишком уж на слуху у всех последствия манипуляций с SIM-картами.

Но очень похожие на настоящие сделать можно и потом.

Так, что на глаз будет не отличить от настоящих?

Если ты не специально не изучал эту тему - да, ты не отличишь.

ЕМНИП рукописная доверенность и ксерокс паспорта всегда прокатывали. Какой нахрен нотариус?

Да ладно. Где и когда такое прокатывало? Жену посылали с оригиналом моего паспорта, не то, что с ксероксом, требовали моего присутствия, либо нотариальной доверенности.

Если ты не специально не изучал эту тему - да, ты не отличишь.

Ясно, спасибо.

TOTP генерирует код на основе секретного ключа и текущего времени (есть ещё time drift, но это не так важно), так что сам подумай, как его поломать.

Если под поломать ты имеешь в виду «подобрать код, который будет принят приложением/сайтом в текущий момент времени», то это вполне реально, если приложение/сайт не защищены от брутфорса (т.е. нет ограничений по попыткам логина за период времени). Если же имеется в виду «узнать секретный ключ, чтобы в любой момент можно было сгенерировать валидный код», то это в общем случае невозможно (только если в приложении/сайте нет уязвимостей, тут даже брутфорс особо не поможет, кмк).

привязки к sms

Это изначальная лажа.

Если под поломать ты имеешь в виду «подобрать код, который будет принят приложением/сайтом в текущий момент времени», то это вполне реально, если приложение/сайт не защищены от брутфорса

Плюс тут ещё может сработать MITM.

А если остаются, то мне непонятно, как таким сотрудникам удается избежать уголовного преследования?

Это уже совсем другая история. Но что работники салонов связи, банковские служащие, и.т.д, барыжат теми-же персональными данными клиентами, например, это давно уже известный печальный факт. Правовой нигилизм как он есть, да. Закон сейчас в таких вещах нарушается постоянно.

Помочь за мзду (а в случае с таргетированной атакой на конкретного человека - за хорошую мзду) мошенникам - это просто следующий шаг.

Так или иначе, незаконный перевыпуск карт и атаки с этим связанные - происходят достаточно регулярно, и это наша реальность. И в этой цепочке точно есть какие-то люди, которые хорошо так нарушают закон. Накажут их или нет, и почему нет - это уже другой вопрос.

Кстати, а можно ли вообще говорить о двуфакторной авторизации при наличии возможности восстановления логина и пароля по номеру телефона?

Конечно-же нет.

А вот откуда брать логины с паролями?

В случае с той-же электронной почтой - достаточен только логин (сам адрес почты), и доступ к телефону, например. В других сервисах знать логин и пароль тоже не обязательно - восстановление пароля можно запросить на почту.

Примерно так это и работает - сначала получают доступ к почте, а потом к остальным сервисам через сброс пароля по адресу почты.

Вообще, по сканам паспорта даже микрокредиты умудряются оформлять. Погуглите - это весьма частая практика, оказывается. А потом доказывай коллекторам что не баран (и, кстати, шанс выиграть дело в суде очень высок, истории успеха тоже гуглятся).

Ну собственно, как ты думаешь, много ли студент, пошедший работать после (а то и вместо) учебы продавцом в салон сотовой связи, знает о степенях защиты нотариальных бумаг?

В случае с той-же электронной почтой - достаточен только логин (сам адрес почты), и доступ к телефону, например.

Хм, и как же получить пароль по такой схеме? Или Вы про почту вроде mail.ru или yandex? У меня, например, собственный почтовый сервер, многие пользуются корпоративной почтой, так что не все так просто.

Вообще, по сканам паспорта даже микрокредиты умудряются оформлять. Погуглите - это весьма частая практика, оказывается.

Я слышал про такие истории, но вроде как они всегда печально заканчиваются для сотрудников, непосредственно оформляющих эти кредиты - уйти от ответственности практически нереально. Поэтому непонятно, кто и зачем на такое идет.

и, кстати, шанс выиграть дело в суде очень высок, истории успеха тоже гуглятся

Не понял, чей шанс? Коллекторов? Как-то верится с трудом, честно говоря.

Ну собственно, как ты думаешь, много ли студент, пошедший работать после (а то и вместо) учебы продавцом в салон сотовой связи, знает о степенях защиты нотариальных бумаг?

Да, я согласен, обмануть его элементарно.

А главное - не получилось обмануть одного - можно пойти в другой офис и попробовать там

Коллекторов?

Нет, жертвы, конечно-же. Разве только что не удаётся как правило компенсацию выбить у коллекторов и у МФО выдавшей кредит.

уйти от ответственности практически нереально. Поэтому непонятно, кто и зачем на такое идет.

Ну идут же в закладчики. Хотя всем известно, что 2-3 месяца и тебя поймают

Я поражаюсь, как у Вас все просто

Это не у меня, это из новостей.

И пока только банки

Есть мнение, что банки просто не сильно афишируют такие подмены и тупо компенсируют потери. Подмен в банках очень большое число. И даже сами банковские номера подменяют https://www.kommersant.ru/doc/4104636

История из первых рук.

У меня сим-карта старая, оформлялась еще в детстве на родительский паспорт. Несколько лет назад, решил обновить себе телефон. Формат сим-карты соответствовал, но для LTE мне нужно было ее заменить. Придя в салон, просто объяснил ситуацию, на что продавец сказала, чтобы я продиктовал ей серию номер паспорта владельца. Пока набирал номер, чтобы позвонить матери и узнать ее паспортные данные, продавец уже отключила мою текущую сим) В итоге, дала новую сим-карту за так. Паспорт не показывал, фамилию не называл, салон находился ровно в центре города.
Вот так и живем

Просто кошмар :(. Даже не подозревал, что все так плохо :(. И все-таки, интересно, какую ответственность понесет сотрудник оператора, если в результате такой операции будет похищена крупная сумма денег? Или, например, бомба дистанционно будет взорвана в людном месте? Ведь совершенно очевидно, что выйдут на него моментально.

Мошенничество не удалось бы, если бы кому попало не разрешали перевыпускать чужие SIM карты.

Дело не в картах. Телефонные сети уязвимы by-design: https://ru.wikipedia.org/wiki/ОКС-7

Загугли про ss7 и перехват звонков и смсок. Симка для этого вообще не нужна.

Если раньше это мог сделать вообще примерно кто угодно, то теперь благодаря всяким костылям безопасности, нужно отвалить неск тыщ у.е. какому-нибудь опсосу из условного сомали, которые этим и зарабатывают. Ну или в более цивилизованной стране найти нужного сотрудника опсоса.

Загугли про ss7 и перехват звонков и смсок. Симка для этого вообще не нужна.

Это немного другой уровень. Сложнее и дороже, не в каждом случае будут заморачиваться с подобным. Намного проще подкупить сотрудника оператора.

Там цены в районе $100 за операцию для конечных потребителей, себестоимость около $15-20 и для крупных клиентов есть хорошие скидки.

Только не спрашивайте откуда я это знаю.

требовали <…> нотариальной доверенности

Разве рукописная доверенность не «сильнее» нотариальной?

требуют ставить ведро-аддон

опции показать ключ в открытом виде, чтобы загнать его в опенсорсный totp аутентификатор нету

А что там вместо него показывают? QR-код? В нём TOTP URI в открытом виде, у меня даже хоткей есть на скриншот + zbar + xsel специально для таких случаев.

Разве рукописная доверенность не «сильнее» нотариальной?

Нет, конечно. Рукописная доверенность - просто бумажка. Как Вы проверите соответствие подписи? Нотариус же при оформлении доверенности сравнивает подпись с оригиналом в паспорте и заверяет ее соответствие своей подписью и печатью.

Я сейчас точно не помню, что за сервис, но ничего не показывали.

zbar буду иметь ввиду.