Клиентка «Билайна» пожаловалась на кражу денег с карт после блокировки и быстрой продажи её номера Статьи редакции
Оператор говорит, что уже начал расследование.
Пользовательница Facebook Светлана Абада рассказала, что неизвестные смогли купить её заблокированный номер телефона от «Билайн», а потом вывести деньги из кошельков и с карт.
Абада уточнила vc.ru, что сейчас живет в Бразилии. По её словам, она пользовалась SIM-картой от «Билайн» 14 лет, но в последнее время не совершала звонков по этому номеру.
Она сообщила, что «Билайн» заблокировал номер «после 10 января», хотя на него приходили сообщения от банковских сервисов. По её словам, в компании действует правило — блокировать номер телефона абонента через три месяца, если по нему не совершаются звонки.
На сайте «Билайна» говорится, что компания может заблокировать номер, если по нему не звонили и не совершали «других действий» в течение полугода.
Обновлено 19:42: В «Билайне» уточнили, что сроки блокировки могут изменяться, в зависимости от тарифного плана. Чтобы номер не заблокировали, по нему должна была быть проведена хотя бы одна любая операция, совершенная самим абонентом.
17 января 2019 года мама Абады, её доверенное лицо, пришла в офис оператора и написала заявление на восстановление номера. Компания обещала ответить в течение трёх дней.
21 января в 10 часов утра ей позвонили из «Билайна» и рассказали, что номер «выпущен на склад» и его можно снова купить. Но в офисе «Билайн» матери Абады сообщили, что номер был куплен в 7:30 утра. На вопрос о том, как быть с картами, привязанными к номеру, в «Билайне» сообщили, что ничего не могут сделать, пишет Абада.
В тот же день начиная с 7:32 утра новые владельцы номера сняли деньги с кошельков Webmoney, с четырёх карт «Сбербанка» и часть денег с карты «Тинькофф банка», которая была заблокирована после нескольких операций. Позже неизвестные пытались ещё раз вывести деньги со счёта в «Тинькофф банке» и сменили пароли к почтовым ящикам, говорит Абада.
В «Билайне» vc.ru рассказали, что начали расследование по этой ситуации.
По словам Абады, в поддержке «Билайна» ей сказали, что заявка на восстановление номера не гарантирует его сохранения за абонентом.
На момент написания заметки в «Сбербанке» не ответили на вопросы о том, есть ли у банков возможность узнавать о смене владельцев телефонных номеров клиентов, но пообещали сделать это позже.
В «Тинькофф банке» сообщили, что карта Светланы Абады была заблокирована из-за подозрительных операций благодаря антифрод-системе, которая отслеживает в том числе изменения владельца привязанного к карте номера.
Гендиректор Telecom Daily Денис Кусков затруднился предположить, почему номер Абады так быстро передали, несмотря на заявление на восстановление. «То ли просто не досмотрели и не поставили галочку, что номер на восстановлении, то ли он кому-то "понравился"», — рассуждает аналитик. Он напомнил, что операторы даже без заявлений удерживают номера несколько месяцев, чтобы новый абонент получил «чистый» номер и ему не пришлось отвечать на звонки знакомых прежнего владельца.
В то же время Кусков обратил внимание на элементарные меры предосторожности: если по какой-то причине пользователь лишился своего номера телефона, следует незамедлительно отвязать его от банковских счетов и других сервисов.
С одной стороны, есть подозрительные моменты. С другой, и беспечность Светланы, похоже, сыграла вредоносную роль.
Для меня авторизация через SMS скомпрометировала себя давно. Не позднее того известного события, когда некие чуваки выпустили дубликат SIM-карты (как помню, тоже Пчелайна), чтобы присвоить эккаунт других чуваков в Telegram’e.
Однако… а есть более надёжные методы верификации, авторизации для таких задач? Ну, хотя бы в теории. 🤔
--
Самый надежный метод, это использовать локально установленные аутентификаторы на смартфоне. Они генерируют определенные коды с коротким сроком жизни. Как эти коды генерируются знают только ваш телефон и сам сервис, на котором вы авторизуетесь. Таким образом ничего ниоткуда не отправляется, все секьюрно, украсть код входа можно только украв сам смартфон физически.
Да, это самый лучший способ, вот только ждать его внедрение в банкинг мы будем еще годы.
Даже Яндекс из говна и палок сделал свою «уникальную» систему 2FA, которая в итоге опять привязана к номеру.
Хотя чего бы стоило им, ну. Ну сломал ты устройство, ну похерил все 2FA, ну приди в банк с паспортом и получи новый qr код...
Ну доступ к онлайн-банкингу им было бы несложно переделать, хотя бы как опцию для продвинутых пользователей. Не уверен, что это так просто с 3D-Secure, хотя там тоже бы отлично пригодилось.
Комментарий недоступен
Не очень полезный комментарий.
В чем надежность этого метода? Обычно, если используется аутентификатор, то без него вообще не восстановить ничего. Внимание вопрос - что делать если смарт сдох/потерялся/что угодно?
Какая-то жопа с этой двухфакторкой. Единственный приемлемый вариант - это второй фактор по имейлу, который на своем домене и нигде не засвечен. Но имейл все реже предлагается как запасной вариант.
Надежность в том, что аутентификационный код не передается ни по каким каналам связи, а значит его невозможно перехватить. Ни перехватывая посередине, ни просто угоняя номер.
Если телефон сломался/потерялся/сбросился - сервисы при настройке данного метода генерируют коды восстановления и КРИЧАЩИМИ буквами говорят вам эти коды распечатать и спрятать в очень надежном месте. И сами посудите, почту у вас могут угнать онлайн, а вероятность офлайн угона листочка из вашего сейфа - почти стремится к нулю.
Второй фактор не сам по себе рождается, а появляется на основе выданного ключа сервисом, если его записал, то можно восстановить на другом устройстве аутентификатор... только так же могут и этот ключ тогда украсть, ничто не совершенно.
Это qr надо распечатать что ли? Думал он одноразовый.
Он в принципе не может быть одноразовым, это часть твоего ключа. Да, можешь qr напечатать, можешь прочитать QR и сохранить полученную строку.
1. Сохранять бэкап-коды
2. Использовать Authy с синхронизацией в облаке
Двухфакторный через email вообще ничем не поможет, пусть даже никто о нем не знает, было бы у людей желание.
А кто поддерживает двухфактор без бэкапной отслылки кода на телефон? Это специально нужно настраивать как то? У гугла когда потерял телефон я как раз на смс отправлял код.
В настройках Google нужно отключить 2FA, потом включить заново не указывая телефон. Будут только коды в Authenticator.
Так навскидку
Яндекс
ВКшечка
GitHub
Blizzard
CloudFlare
Что-то не уверен в вашем списке: в Яндексе как раз своя кривая реализация 2FA, при которой он всегда привязан к телефону. У ВК тоже привязан к телефону, если не получается сообщение в ВК с другого устройства посмотреть.
Яндекс.Деньги предлагает скачать резервные коды.
Если что-то с телефоном. Идёте в банк например.
Леонид, это такие же аутентификаторы есть у Google’a, Microsoft’a и Yandex’a? Выглядит убедительно, спасибо.
секъюрно