- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Если уж использовать SMS-авторизацию, то точно не стоит весить ее на номер российского МТС. Потому что у последнего есть замечательная услуга SMS Pro, которая подразумевает хранение архива SMS и переадрессацию (даже на иностранный номер). Личный кабинет у МТС и кабинет SMS Pro защищены слабо - один пароль, подтверждения по SMS нет. Пароль от него тырится, например, с помощью трояна, далее - уже дело техники.
Если человек не тупой, то вселить ему троян в компьютер еще нужно подумать, как сделать это)
Если человек не тупой, то вселить ему троян в компьютер еще нужно подумать, как сделать это)
Прокладка между креслом и компьютером всегда была самым уязвимым местом любой информационной системы, тут ничего нового. Просто я выше написал о том, что МТС в этом отношении все-таки на порядок уязвимее других операторов.
Прокладка между креслом и компьютером всегда была самым уязвимым местом любой информационной системы, тут ничего нового. Просто я выше написал о том, что МТС в этом отношении все-таки на порядок уязвимее других операторов.
Ну это конечно, если уж есть такой кабинет, то тут явно мало одного постоянного пароля, чтобы в него зайти. ☝
live-smm, Ваша аватарка хоть и светло-зелёная, но напомнила масштабную историю с Мегафоном: searchengines.guru/showthread.php?t=850683&page=4#post12857237
См. там ссылку на видео, в текстовом виде более подробно тут:
МегаФон: история одного взлома
+
Проблема безопасности в UMS: доколе?
Как раз там часть проблемы заключалась в доступе к кабинету через пароль, причём простой.
Кстати, сейчас Tele2 в бета-версии обкатывает новый личный кабинет, в том числе некоторое время тестировался новый способ входа: на мобильный поступает входящий USSD-запрос, в ответ на который надо отослать единичку. Всё, залогинены. Правда нельзя отключить вход через логин-пароль, но на помощь придёт галочка "Включить двухфакторную аутентификацию", чтобы подтверждать вход с паролем кодом из СМС. Казалось бы, здравых ход мыслей у разработчиков, однако это не помешало их лохануться и показывать контрольные вопрос и ответ при входе в настройки.🤪
Перечитываю свои слова из топика по первой ссылке, к сожалению, всё так же актуальны.
Практика давно показывает, что ОПСОСы очень большие пофигисты. Поэтому я категорически не согласен с вклиниванием между финансовой структурой и клиентом посредников в виде мобильных операторов и тому подобного.
PS: недавно заменил СИМку (оператор - Tele2), после этого Тинькофф Банк проявил двуличность - разную реакцию на разные действия. Представитель банка молча прошёл мимо, один из клиентов поинтересовался названием оператора и сообщил, что такая ерунда с Мегафоном обычно творится. То есть для банка - всё в пределах нормы, мы о дырке знаем, но она пока так и будет зиять.😂🍿 Ну как тут снова не процитировать себя любимого:
"и на старуху бывает проруха", если есть вероятность несрабатывания защитного механизма отслеживания замены SIM-карты и доступная альтернатива - глупо верить в "мне повезёт" и не переходить на альтернативную защиту.
Так что как по мне ВМ + подтверждение по смс будет позащищеннее чем в том же "любимом" Сбере хранить. Еще бы запретить возможность восстановления сим для номера и было бы вообще шикарно)
В Украине есть возможность перейти на контрактное обслуживание. Восстановление сим-карты в центре самообслуживания сотовой связи возможно только при личном присутствии с паспортом. Оператор сотовой связи сверяет данные паспорта и номера, за кем он закреплен.
Также советую форумчанам, переходить на контрактное обслуживание вашей симки в случае если на ваших банковских счетах имеются немалые средства и логином доступа в интернет-банкинг того же ПриватБанка является номер, который вы используете в повседневной жизни.
Мошенник, завладевая вашей симкой, восстанавливает пароль и имеет доступ к вашему интернет-банкингу, переводя средства с ваших банковских счетов на свои
П
По защите:
1. Стоит стандартное смс-подтверждение. Номер, к которому привязан кипер никому в сети не палю.
2. На телефон не загружаю лишних программ и вообще не подключаюсь с него на ПК (так что заражение одновременно ПК с кипером и кошелька исключено).
3. Доверенные кошельки отсутствуют (кроме официальных).
Из рисков вижу разве что возможность слива инфы от сотрудников оператора. Но это маловероятно, т.к. сейчас там жестко контролируют их деятельность.
Включить можно защиту по ip.
Если уж использовать SMS-авторизацию, то точно не стоит весить ее на номер российского МТС. Потому что у последнего есть замечательная услуга SMS Pro, которая подразумевает хранение архива SMS и переадрессацию (даже на иностранный номер). Личный кабинет у МТС и кабинет SMS Pro защищены слабо - один пароль, подтверждения по SMS нет. Пароль от него тырится, например, с помощью трояна, далее - уже дело техники.
Да, все проще:
1. Не подключать никаких SMS сервисов на те симки, которые привязаны к рабочим счетам.
2. Не соединять свой комп с телефоном (во избежание распространения потенциального вредоносного ПО на оба устройства).
Таким образом, если злоумышленник каким-то образом восстановит твою сим, то доступ к киперу ему будет закрыт. Если же заразит ПК трояном, то ему придется еще и получить доступ к телефону. Узнать номер телефона из ПО кипера также невозможно, т.к. нужно авторизоваться в защищенной зоне сервиса.
В целом могу сказать, что тот же Сбер на порядок проще ломается, чем ВМ. Ибо достаточно одной симкарты жертвы и ее паспортных данных и можешь без проблем уводить деньги, оплачивать услуги и т.д.
во избежание распространения потенциального вредоносного ПО на оба устройства
Вот мне одному непонятно как данный вопрос вообще может подниматься на серче? Вроде форум не вчерашний, пользователи знают хотя бы о том, что такое вирус и как он подсаживается.. Или я чего-то не понимаю?
Нет, ну, конечно же, не исключено, что есть кто-то, кому папа с мамой дали миллион и он не знает как его сохранить в кипере, но таких не много, правда ведь?
По стартпосту: поддерживаю контракт с мобильным оператором. Кроме владельца никто не сможет восстановить/клонировать симку.
Кроме владельца никто не сможет восстановить/клонировать симку.
В какой стране?
AndrewTishkin, если это контрактное обслуживания, то там все посерьезней (по крайней мере в Украине) и просто так без паспорта вам не дадут восстановить симку. но в чем то контракт уступает предоплате (я пару раз связывался с контрактом, но вернулся на предоплату)