Как защитить свои аккаунты от мошенников?

После прочтения этой habr.com/ru/post/453286 статьи, задался вопросом, как защитить себя от мошенников. Ведь если к основному номеру привязаны много важных аккаунтов + банк, есть риск, что могут увести номер (ну или, на худой конец, украсть телефон, но в этом случае можно успеть заблокировать SIM-карту в отделении оператора) и таким образом можно лишиться и аккаунтов и денег (либо обречь себя на мучительное восстановление всех аккаунтов к которым привязан номер). Иметь второй телефон с отдельным номером для банка и привязанных аккаунтов, который никому не сообщаешь, конечно хорошо, но таскать его с собой глупая затея (опять же, можно потерять/украсть). А ведь внезапно может понадобиться какое-либо подтверждение для аккаунта/банка, либо прийти важная оповещающая SMS о попытке взлома и тп., а телефона под рукой нет и ты далеко от дома. В итоге замкнутый круг.
Интересно узнать, какими способами пользуетесь, дабы обезопасить свой номер, привязанные аккаунты, банки и тп. И беспокоитесь ли вы вообще по этому поводу.

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Усложнение защиты (e.g. мобильный, бекап имейл, соц аккаунты) только добавляют уязвимости. Пока не придумали ничего надежней рандомно сгенерированного пароля на 8-16 символов, отдельного для каждого аккаунта. Заведи привычку периодически менять пароль к ключевым аккаунтам. Юзай безопасные пассвор-хранилища, они же генераторы. Это же касается сервисов, где оставляешь персональные данные — интернет гигиену никто не отменял. Опенсорс — твой лучший друг. Есть сайт с набором опенсорсных решений для мессенджеров, имейл-приложений, планировщиков, с PGP, P2P и пр. «military-grade encryption» (lol), которые прошли third party review и признаны достаточно безопасными.

Рандомно сгенерированный пароль от восьми до шестнадцати. Бесят эти вот «вы не можете использовать свой милитари грейд парольсворд потому что он длиннее 16 символов, лол». Отдельный рандомный пароль для каждого сервиса === отдельный блокнот для паролей. Безопасность хранилища с паролями зависит от одного пароля. Узнал один — знаешь все. Ну и да —

Заведи привычку периодически менять пароль к ключевым аккаунтам.

 от этой ереси уже даже майки отказались.

мояпарольнесломать підійде?

Главное — создать «надежный пароль» длиной от 8 до 16 стмволов, не используя спец символы (особенно кавычку).

симку привязать к пачпорту (можно даже на препейд), github привязать к пейсбуку

Любая привязка к номеру телефона уже ненадежна, т.к. есть 3-е лицо в виде моб.оператора, выступающим доверительным агентом, и тут неважно, препейд или контракт, при достаточном уровне заинтересованности к вашей персоне смс, звонки перехватываются, оператор может отключить вам шифрование связи. Я признаю только аппаратные ключи / токены, остальное баловство покрыть безопасность 99.9% юзеров.

При достаточном уровне заинтересованности находится в любом регионе сотрудничек центра обслуживания клиентов (засланец или просто дурочка — как повезёт), который типо по доверенности (разумеется поддельной) восстанавливает «утерянную» сим-карту совершенно левым персонажам на руки.

В банке логин через банк-айди, аккауниы с 2FA через аутенфикатор. Через смски 2FA нет.
Но если у меня забрать телефон, отрезать палец и выпытать код на банк-айди, то можно не только все деньги забрать, но и вообще много чего наделать, пока я не свяжусь с банком, чтобы залочили мой банк айди.

Вперёд. Главный пункт моей безопасности — не держу 100 штук на coinbase. У меня их просто нет :)

Все так говорят пока не

отрезать палец и выпытать код на банк-айди

часть бабла хранить на западе, даже если, то не один день пройдет пока будете живы

сейчас же можно прикрепить данные своего паспорта к номеру или не поможет?

Не поможет. Наказания за выдачу сим-карты третьим лицам не предусмотрено, доказать умысел можно только если оператор захочет (и разумеется добровольно подставится под выплату ущерба?)

Почему бы дополнительно внести в договор условие о запрете выдавать сим-карты третьим лицам. Только лично мне, только по предъявлению оригинала паспорта. Никаких доверенностей, запросов по телефону и т.п.

Интересно, такая практика существует?

Ты хочешь это предложить честным опсосам? Хорошая идея. Прям второй номер в списке, после «перестать воровать бабло со счетов».

Чисто потестить пробовал. Вроде работает. На наркоплатформах очень уважаемая вещь.

I have paid account on protonmail, I’m happy

На протоні недавно ввели реєстрацію за телефоном.

Автор сказочний ...

Ще над цим поржав:

«создайте второстепенный email-адрес для критически важных аккаунтов (банки, социальные сети, криптовалютные биржи...) »

Соц сеті! Оце якраз та супер важлива річ яку треба привязувати до фінансового мейлу. Щоб легше було хакеру вийти на тебе і потім на фінансову пошту. Чи він через фейсбук авторизується в криптосервісах? Тоді ще більш сказочний.

Ну і те наскільки автор пофігістично відносився до втрати доступу до оператора, до імейла, при чому двічі протягом двох днів — це просто вершина тупості. Блонда запостила сторі?

«Мы ещё вас послушаем ... » ©

Некоторые соц.сети, такие как WeChat, например, уже давно являются медиатором в онлайн платежах и активными участниками в личных финансах. Если вы используете фейсбук исключительно для постинга кошечек, то да, привязывать такой аккаунт к одновному емеилу не стоит.

Побільше дурацьких апів навязати на імейл на який привязана велика сума грошей, а потім плакатись що пошту зкомуніздили разом із грішми.

Неясно зачем вообще второстепенный секретный email, когда можно легко создавать уникальный алиас для каждого аккаунта. С телефонными номерами, к сожалению, с алиасами сложнее.

Не знаю, не пробував такий варіант.

Теги статьи, мы, конечно же не читаем, и потому сразу наезжаем на автора... Эффект Данинга-Крюгера в действии

А другий номер аналогічний по безпеці додатковій сімці?

Зате не зберігав в фіатах і держава не вкрала.

Что нащёт usb-токенов? Вроде, огрызкодрочеры за дополнительную плату тоже могут их использовать.

Еплофанів і за юсб ключ додатково роздягають?

У них нет юсб, нужен блютуз модуль, который денег стоит.

Yubikey не работает с Украиной :-(

Всё, что привязывается к номеру телефона, привязывается только к контрактному номеру.

Обычный припейд можно увести даже не особо напрягаясь. Контрактный номер в теории можно заблокировать, но получить дубликат сим-карты можно только по паспорту и только у оператора.

Любой припейд можно перевести на контракт с сохранением номера.
Как-то так.

У водафона есть опция (думаю у других тоже) что даже для припейд симок нельзя произвести замену или дубликат без паспорта. Причём при наличии эцп можно включить эту услугу даже не посещая отделенение. Себе такое включил на всякий пожарный

Тут другой кейс.

Допустим, я знаю пять номеров, на которые звонили с этого номера или отправляли смс, знаю примерную дату и сумму последнего пополнения счета, ну и еще что-то, что можно выведать с помощью социальной инженерии.

Дальше я звоню оператору, говорю, что я потерял телефон, даю все данные, которые я писал выше. Оператор делает заявку на блокировку номера на мое имя, на следующий день я забираю новую симку, включаю ее и начинаю делать дела.

И от этого не застрахован никто, припейд-номера не привязаны ни к одному ФИО, максимум в программных комплексах оператора может стоять имя, чтобы знать, как обращаться к владельцу номера при звонке в коллцентр. Человеку, который проверяет данные, по большому счету плевать, у него задача завершить звонок как можно быстрее, так что если данные плюс/минус совпадают — заявка на восстановление номера будет, даже если ФИО получателя симкарты не совпадает с именем для обращения.

Пять (их может быть и меньше) номеров добыть легко. Распространенная схема — звонки с левых номеров, при перезвоне на которые в трубке тишина. Сделали так три звонка — ждите смс с пополнением счета гривен так на двадцать, а потом связь внезапно отключается и симка блокируется.

Ну а что происходит дальше и так понятно.

Дубликат контрактной симкарты можно получить только на паспортные данные владельца номера, которые заносятся в систему при подписании контракта.

По крайней мере так было, когда я работал в коллцентре одного из наших мобильных операторов.

Все нюансы лучше уточнить непосредственно у представителей оператора либо же в коллцентре.

Я выше ж написал, привязуешь к паспорту, и без паспорта никто ничего не сможет сделать с твоей симкой. Можно любую припейд симку так обезопасить.

habr.com/ru/post/396367
meduza.io/...​lko-uralskih-zhurnalistov
толку от привязки к паспорту, если смс могут прочитать третьи лица и оператор еще пошлет нах, т.к. у него «не могут читать ваши смс, кроме вас»

В припейд уже давно возможно заказать услугу блокировки смены симки без предоставления паспорта. Киевстар, Водафон точно есть. Другое дело, что есть человеческий фактор и паспорт могут просто не спросить по разгидьдяйству(реальный случай).

Во многих странах ты и припейд только по паспорту покушаешь

Во многих да, у нас нет. Это с одной стороны хорошо, можно на всякие мутные темы просто купить симку в переходе, но с другой стороны плохо, так как ее можно так же легко увести.

Припейд же тоже можно ? заблокировать смену симки по паспорту

У каждого оператора свои условия, это лучше уже у оператора уточнить.

Підписатись на коментарі