Там тоже всякие sms-подтверждения используются. Вы видели банковские приложения без многофакторной авторизации? У сбера можно получить новые логин с паролем на тот же номер телефона, куда приходят одноразовые коды.
Подписывайтесь на наши соц сети
Я не знаю, как у Сбера, а по-правильному, смена пароля — это операция точно так же, как и финансовая требует подтверждения одноразовым кодом либо из таблицы, либо по СМС и возможна только из самого приложения. Если забыл пароль, то тогда только визит в офис банка, либо звонок в поддержку с подтверждением. Рассылка связки логин: пароль, даже не думал что такое кто-то практикует. Не совсем правильно написал. Не логин и пароль пришлют, а пришлют код подтверждения для создания новых л и п. Но, сути это не меняет. Почему же, это как раз и есть двух-факторная. Логин-пароль кроме вас никто не знает, а подтверждение открытым каналом приходит — это общепринятая практика.
Логин и пароль после этого создаются пользователем злоумышленником, в нашем случае новые, старые уже никого не интересуют. Речь о том, что старые-то надо было знать. Но — да, после кражи пароля такая аутентификация не защитит владельца аккаунта по причине тех же самых дыр в защите SMS. Я не очень в курсе, как работает атака из поста, но сбер или тинькофф, например, детектят смену сим-карты.
Возможно, конечно, с такой атакой можно номер симки тоже сэмулировать. С перехватом паролей всё понятно.
Подпишитесь на email рассылку
Я не очень понял, можно ли таким образом дистанционно узнать и подменить IMSI, на который смотрят банки. Ваше второе исследование, как я понял, делает это путём физического доступа к симке.
- Информация.
- Узнайте здесь простые способы сделать шпионский телефон.
- ТОП 15 способов читать чужую переписку Ватсап - Взломать WhatsApp?
А кто-нибудь пробовал им сказать что это плохо? Насколько я помню, крупнейший негосударственный банк Украины Приватбанк для восстановления пароля требует указания номера, срока действия и PIN-кода любой из действующих карточек клиента. То есть даже если украсть у клиента сумочку с карточками и телефоном, чтобы получить доступ к управлению финансами, потребуется дополнительно как-то узнать ещё и либо пароль в онлайн сервис, либо PIN-код карточки.
Без этого — максимум можно будет совершать покупки в онлайн магазинах, при условии что для карточки -чек была разблокирована ранее такая возможность лимит установлен не нулевой и с телефона можно считать 3D-secure код… Государственный банк на мой взгляд как бы обязан иметь безопасность такого же уровня. Это совсем не то же самое, это фактически страхование.
А речь об элементарной безопасности аккаунта. Что бы сбросить пароль у Tinkoff достаточно знать номер карты клиента и номер привязанного телефона. Ага, поэтому в нормальных банках твердят что нельзя указывать кому бы то ни было свой полный номер карты.
Как взломать скрытый чат в Вайбере и читать чужую переписку
Номер карты видит любой кассир и может запомнить, некоторые магазины раньше страдали тем, что печатали номер карты на чеке, как сейчас, не знаю. Это пример, когда баланс между безопасностью и удобством сдвинули не в ту сторону. Хотя у ТКС нет особого выбора с одним офисом на всю страну, они не могут посылать клиента в отделение с паспортом для получения логина к ЛК, как делает Альфа.
- Лучший детский трекер на Android.
- Как шпионить на мобильном телефоне, не касаясь его.
- Мониторинг приложения для шпионажа по телефону Android.
- Похожие публикации.
- Вы можете шпионить мой смартфон лучший новый мониторинг телефона.
- Whatsapp: как прочитать чужую переписку?.
Человека можно обязать позвонить по телефону в банк и спросить у него данные, которые трудно получить злоумышленнику, хоть набившее оскомину секретное слово. Ну они могли бы поступать как Яндекс, проверять людей через каких-то партнеров у которых есть отделения по всей стране системы денежных переводов, кассы, службы доставки.
А что скажете про банк из Top 5, у которого в интернет-банке пароль: a должен быть цифровым б состоять из не более чем 6 шести символов. В онлайн-банках они совместно с паролем используются, что даёт двухфакторность. Как мне кажется, общественность взбудоражил не сам факт взлома некоего приложения, а тот факт, что конкретный оператор сотовой связи по чьей-то прихоти возможно, одного конкретного сотрудника, возможно, по просьбе извне без уведомления отключил на длительное время службы SMS и мобильного интернета, а затем включил их обратно, что пришлось как раз на момент взлома.
If it looks like a duck, swims like a duck and quacks like a duck, then it probably is a duck. Ох уж эта общественность. Куча объявлений, где предлагают детализацию разговоров за деньги, вы думаете откуда они ее берут? Такие же кроты внутри операторов, их СБ щучит, но они есть всегда. И это общественность не волнует… Сайтов не создают, обращения в прокуратуру не пишут. Но если возьмутся органы, а не как эти пионЭры, то еще надо будет не бывать в одних и тех же местах.
Вот я тоже не понимаю этого шума ах взломали то, ах взломали это. При необходимости власть всегда сможет надавить на бизнес и вынудить компанию выполнить необходимые требования. Пустая болтовня большинства граждан власть не интересует, а если уж органы и власть заинтересовались, они всегда могут доставить человека в удобное им место для разговора.
Если же вы ведете какую-то противозаконную деятельность, то безопасность какого-то вацапа это вообще второстепенный ворос. Вся эта шумиха о безопасности и приватности не более, чем страх своих комплексов. Мне когда-то пришлось восстанавливать потерянную сим карту в Украине lifecell. Меня спросили дату одного из последних пополнений счета и 3 номера, на которые я часто звонил.
Не так уж и сложно увести чей-то номер телефона пополняешь человеку счет и узнаешь с кем общается. Следует отметить, что это не сработает, если у вас контракт. Вероятно вы правы, что не нужно быть спецслужбой. Пруф с печатью самого МТС [источник]. Странно, то что по описанному варианту это получается проще. Да и врать потом не надо будет. Все ошибаются. Кстати, интересно было бы, если бы ptsecurity описал бы необходимые условия для осуществления атаки. Если я правильно понимаю, нужно как-то подключиться к сети или собрать специальный девайс, который нужно ещё физически привезти близко к абоненту, это отдельная спецоперация.
Вероятно, проще прийти к оператору и попросить отключить на пять минут. Никто же не ожидал того, что это заметят. Но, очевидно, подготовились очень плохо. Благодаря этому мы теперь знаем. Ну и заодно нам напомнили, насколько ненадежен канал SMS. Говорят, что и девайс не нужен, достаточно лишь подключения к пиратскому хабу.
Найден способ прочесть чужую переписку в Telegram. Как защититься
Необходимо подключение к сети SS7, собрать девайс можно на коленке из ПО свободно распространяемого в интернете, к абоненту возить его не нужно, наоборот, можно находиться на другом конце земного шара. Ну вот раскрыли махинацию МТС и что? Им что-то будет? Будет что-то спецслужбам? Зачем парится? Эм… я не прав? Я действительно готов пересмотреть свою точку зрения, если укажите где ошибка в моей логике. МТС торгуется на международной бирже. Сейчас хотят инициировать судебный процесс по поводу вот этого действия в юрисдикции неподвластной нашему правительству.
Это может уронить акции и МТС и отвадить его от совершения подобного в будущем. А разве МТС может отказать в предоставлении данных при каком-либо расследовании? Если есть бумага свыше? Предоставлять данные — нет. Насчёт отключения услуг — может быть прописано в договоре что может, но цена акций строится больше из общественного мнения, презентаций и инсайдов. Щёлкнуть тигра по носу — старая народная забава.
3 способа, которыми злоумышленник может взломать телефон без ведома жертв
Особенно если щёлкают другие, а ты сидишь с попкорном. Общественное мнение имеет, скажем так, опосредованную роль. Вот, скажем, Lockheed Martin производит ракеты самолеты AC, один из которых разбомбил госпиталь в Кундузе, Афганистан. Общественное мнение это осуждает, но вот курс акций продолжает расти. А минусуют Вас за сам посыл — мол, вот вы фигнёй страдаете, вместо того, чтобы делом заниматься. Наверное Вы не в курсе, что людям нравятся подобные детективы. Они с удовольствием их читают и не считают, что люди, исследовавшие дыру и опубликовавшие информацию о ней, потратили время впустую.
Короче, не согласны с Вами. Вот и минусуют.
Да нет у меня такого посыла, извините если Вам это показалось. Я тут, не из за МТС, у меня другие оператор и страна, но мне интересно знать о подобных махинациях, а также интересны подробности выполнения подобных атак.