Адрес для входа в РФ: exler.world

Зловещая история с симкартами

22.09.2015 10:04  11300   Комментарии (107)

В тему к статье о безопасности личных данных.

Анна Знаменская опубликовала e себя в Facebook леденящую душу историю. Делаю здесь перепечатку для тех, у кого нет регистрации в Facebook. Итак, по словам Анны:

Вы еще не слышали про экшн "Преступная группировка ‪#‎билайн‬? Сегодня - вторая серия!
Месяц назад неизвестные лица получили мою симкарту в "Билайне" без документов. Пытались вскрыть Яндекс.Кошелек, хакнули все почты, пришлось поменять все банковские карты (Вы представляете, что это такое??)
Компания якобы провела расследование и заявила, что "нарушения устранены, виновные привлечены и это никогда не повторится". Мне даже зачислили 2000 рублей на счёт в качестве компенсации (!:))
Однако..
Позавчера в 18 часов вечера моя симкарта снова была выдана неизвестным лицам! И сразу были украдены деньги с Яндекса по одноразовому паролю. Проведя вечер субботы в офисе Билайна, и вспомнив всю ненормативную лексику, я заменила симкарту.
Наутро, вчера, в 12 часов дня моя сим-карта СНОВА была выдана посторонним лицам в городе Екатеринбурге!!
Я снова приехала в офис Билайна за новой симкой.
И ... Через 43 минуты (!!) после этого моя карта была вновь выдана в офисе Билайна кому-то, теперь уже в городе Омске!!!
При том, что в системе стоит запрет на выдачу карты во всех офисах страны и мира, кроме одного, и то - с предъявлением паспорта, водительских прав и кодовым словом!
Мне хотелось бы понять - руководство компании "Билайн" хочет, чтобы я жила у них в офисе?
Это что за беспредел?! За последние сутки они 3 раза выдали мою симкарту мошенникам без документов, без кодового слова, без моего присутствия, в разных городах страны!
Хотя я приезжала в офис, звонили в службу безопасности, писали, бесполезно.
А ни у кого из сотрудников не возник вопрос - зачем абонент меняет симкарту 5 раз в течение суток? Он -идиот? Конечно нет! Потому что сотрудники компании сами завязаны в процессе, поэтому им и не нужен мой паспорт, кодовое слово, запрет системы на выдачу. Ничего не помогает! Чтобы ты не делал, какие бы защиты не ставил - сотрудники "Билайна" выдают сим-карты своим подельникам. Которые затем получают доступы к электронным кошелькам, почте и банковским эккаунтам.
Похоже, что в "Билайне" действует большая преступная группировка, операторы системы по всей стране выдают сим-карты по липовым доверенностям мошенникам, те вскрывают кошельки, деньги пилятся. Говорят, что из Билайна недавно уволили девушку, говорят, что сотрудник получал 2% от добытого.
Итого: я провела выходные в офисе Билайна, два дня без телефона, все три почты взломаны - Гугл, Яндекс, Мейл, украдены деньги с кошелька.
Работают виртуозно: пока я вчера мчалась в офис Билайна в 4-й раз менять симкарту, эти люди успели за 20 минут получить на мой номер новые пароли от почт, зайти туда и ввести новые привязанные телефоны, резервные адреса и даже контрольный вопрос поменять в одном случае(!!)
Но на том эпопея не закончилась - к ночи вчера выяснилось, что прежний владелец моего номера обнаружил, что его текущий, уже другой номер, тоже Билайн, не работает. При звонке в компанию он выяснил, что (находясь в Батуми) он произвел замену симкарты вчера днем в... Бинго! - Сибирском регионе Билайна! Тот же сотрудник, что выдал мою карту с разницей в час!

Понимаете ли Вы, друзья мои, что почта каждого из Вас, восстановление ее пароля, привязано к телефону? Что на свой номер Вы получаете пароли от всех Ваших интернет-банков и карт?
Что у каждого из Вас, кто абонент Билайна, могут вот также просто увести телефон, а за ним - почту, кошелек и все остальное?

Вопрос к юристам: каким образом я могу привлечь компанию к административной ответственности, а ее сотрудников - к уголовной за выдачу принадлежащей мне по договору сим-карты третьим лицам без подтверждающих документов 4 раза в течение 6 недель?

Шокирующая история, не так ли? Выглядит как интернет-страшилка, однако Анну лично знают многие мои друзья и они уверяют, что все так и было на самом деле.

На Roem.ru опубликован ответ руководства "Билайна" из которого следует, что злоумышленник получавший дубликат симкарты Анны, всякий раз предъявлял нотариально заверенную доверенность от Анны, а значит у сотрудника "Билайна" были все основания сделать новую симкарту с тем же номером.

И вот тут как раз и кроется основная проблема. Потому что подделать доверенность - на порядок проще, чем подделать паспорт с фотографией. А сотрудник "Билайна" не должен быть экспертом по нотариальным доверенностям, тем более что эта доверенность может быть и "настоящей" (например, выданной "черным" нотариусом).

Так что - да, ваши данные ни фига не в сохранности, и если злоумышленник знает ваш номер телефона и ваши паспортные данные (их узнать - тоже не великая проблема), то он может подделать доверенность и получить симкарту с вашим номером, после чего увести почту, электронный кошелек и даже банковский счет - никак не проблема.

В истории с Анной меня смутило только то, с каким упорством она раз за разом наступала на старые грабли. Ну уже понятно, что у злоумышленника есть информация о ней, ее паспортных данных, ее электронном кошельке, банковском счете и номере телефона. Но уже после первого раза можно было сообразить, что номер телефона скомпрометирован, так что надо идти другим путем.

Каким? Да хоть друга-родственника попросить оформить новую симкарту с новым номером. Чтобы номер не светился по ее ФИО. Вот и все, никто дубль не сделает. И никто не привяжет номер, выписанный на постороннего человека, к почте, электронному кошельку и счету Анны. И номер этот нигде не светить, использовать его только для привязки интернет-аккаунтов.

А что ей очень хотелось сохранить старый номер - так, во-первых, всегда можно сделать переадресацию, а, во-вторых, если злоумышленник все время ухитрятся получать симку с этим номером - так им все равно нельзя пользоваться.

Так что это упорное хождене по граблям - оно удивляет. После первого же раза выписала карту на другого человека (которому ты доверяешь, конечно), использовала эту карту только для привязки аккаунтов - ну и живи спокойно.

Лично у меня уже много лет нет ни одного номера, оформленного на меня. И все строго разделяется: голосовой номер - один, банковский - совершенно другой. Ну и идите получайте дубликат по доверенности якобы от меня - флаг в руки!

Кстати, а для банкинга, где это возможно, лучше вместо телефона использовать машинку-генератор кодов. Так безопаснее.

Upd: В Билайне признали, что виноват сотрудник.

22.09.2015 10:04
Комментарии 107

интересно а купить европейскую симку и использовать ее для аутентификации с русскими банками можно? Входящие смс то бесплатные в роуминге вроде.
23.09.15 19:39
0 0

Jtunn:
интересно а купить европейскую симку и использовать ее для аутентификации с русскими банками можно? Входящие смс то бесплатные в роуминге вроде.


теоретически да, но ежели жлобы, то могут придраться, что смс уведомления будут дорогие:)
23.09.15 20:08
0 0

Ulises:

Может когда-то и было незаконно видеонаблюдение в офисах, но сейчас по закону о персональных данных просто требуется согласие сотрудника. Это прописывается в трудовом договоре, например. Так же необходимо написать несколько регламентов и положений о хранении, допуске и т.д. к системе. Повесить табличку на видном месте для клиентов. Все.
23.09.15 12:17
0 0

Ага, все такие умные: пять паролей, смс подтверждение и т.д.

Для сбера это не препятствие. У моего сына за летнюю практику перечислили деньги на карту. Через пару дней они ушли тремя суммами на два телефона и счет. По журналам опсоса не было ни одной СМСки о подтверждении. Полиция дело попинало по отделениям и где-то похоронила в Москве.

К чему это я. Если контора гнилая, а руководству плевать на клиента - лишь бы денежный поток не уменьшался, то туда лучше не соваться.
23.09.15 05:19
0 0

Ха! Тут лет 7 назад прилетели из роуминга. Когда улетали - код у МТС, чтобы деактивировать роуминг, был один. Когда прилетели - др. Но это, ясен пионер, нам никто не сообщил. Я по прилету роуминг снял. По старому коду.

Щаз!!!

Мне столько этот МТС насчитал потом, что меня в их салоне чуть в ментовку не забрали. За адекватность реакции на подставу. Отбил, кстати.

Ушел от этих ребят. Но др. не лучше. Тут ведь как? Надо знать их подлянки.
22.09.15 23:07
0 0

Peter Zabriski:
Ха! Тут лет 7 назад прилетели из роуминга. Когда улетали - код у МТС, чтобы деактивировать роуминг, был один. Когда прилетели - др. Но это, ясен пионер, нам никто не сообщил. Я по прилету роуминг снял. По старому коду.

Щаз!!!

Мне столько этот МТС насчитал потом, что меня в их салоне чуть в ментовку не забрали. За адекватность реакции на подставу. Отбил, кстати.

Ушел от этих ребят. Но др. не лучше. Тут ведь как? Надо знать их подлянки.


У меня после смены страны был Мегафон на роуминге, тк звонили мне туда бывшие соотечественники по привычке, но, спустя некоторое время обычного юза, симка не понятно с какого перепуга накрылась медным тазом. Телефонный аппарат был тем-же, так что испугаться симка не могла, разве что настойчивых круглосуточных звонков и СМС бывшего с мольбами вернуться. Заказала новую симку из МСК, так эта сволочь даже не включилась на том же самом московском телефоне, купленным в том-же Мегафоне (то есть, вряд ли от серый и тп)... Ну не хотите денег, гады, и не нада, вам же хуже:) При нынешних бесплатных звонилках с Рашей и без вас обойдемся:)

А местный провайдер на такие выходки не способен, то ли законы не позволяют, а может врожденная порядочность:) Я уже забыла, что такое дозваниваться, упрашивать и подстраиваться под их подлянки... Сами иногда звонят и любезно предлагают удобные тарифные планы, дают скидки при нашей к ним лояльности, еще дают бесплатные Айфоны, если вдруг закапризничаешь и пригрозишь уйти к др. оператору, Вот такие дела.
22.09.15 23:35
0 0

одного не пойму - разве сложно, перед выдачей дубликата, позвонить на номер владельца ?
22.09.15 20:20
0 0

Bogdan:
одного не пойму - разве сложно, перед выдачей дубликата, позвонить на номер владельца ?


Э-э-э? Предполагается, что оригинал утерян/украден - куда звонить и с какой целью? Чтобы там ответил некто и сказал ' конечно, менять нельзя!? При добросовестной замене и нет ни каких проблем, предъявляется паспорт, зачем звонить куда-то? Тут-то речь о мошенничестве сотрудников оператора.
22.09.15 22:12
0 0

Alex Exler: тем более что эта доверенность может быть и "настоящей" (например, выданной "черным" нотариусом).

Мнэээ, Вы несколько в своих гишпаниях отстали от российских реалий - в настоящий момент подобное возможно только в случае со спижж...украденными бланками и ради подобных дел с этим просто никто не станет заморачиваться, соотношения риска и выхлопа совершенно того не стоит.
22.09.15 19:09
0 0

в хабре уже написали в принципе тоже только иначе

линк
22.09.15 16:43
0 0

Peter Zabriski

Проще было самому обрезать, если, конечно, не совсем старая была симка и был нужен 4Г.
22.09.15 16:21
0 0

StepNik: Проще было самому обрезать, если, конечно, не совсем старая была симка и был нужен 4Г.

Лучше менять. Чем свежее симка, тем больше вероятность, что ее дольше можно не менять 😄
22.09.15 16:40
0 0

У опсосов офисы тоже не 24/7 вроде.
22.09.15 14:35
0 0

Balinez: У опсосов офисы тоже не 24/7 вроде.

А если доверенность выдана в Калининграде, а предъявлена в Петропавловске-Камчатском? 😉
22.09.15 14:37
0 0

Хм... симка зареганная на друга-родственника - это, конечно, хорошо. Но если вы пролюбили или у вас стабилизировали рабочий мобильник, а друг-родственник в отпуске в Египте / у родственников в Новосибирске / в коммандировке в Бангладеш и приедет через 3 недели? Три недели без рабочего телефона - это не смертельная, но весьма печальная ситуация. И друг-родственник нужен надежный, с гарантией.



Не, лучше к мобильнику ничего кроме соцсетей не привязывать.
22.09.15 14:08
0 0

Банк привязал к корпоративной симке, которую никакому физику не выдадут. 😄
22.09.15 13:51
0 0

GOST: Банк привязал к корпоративной симке, которую никакому физику не выдадут.

Да ну? 😄 Я переводил корпоративную симку в личное пользование и утверждаю, что раньше это делалось без проблем по доверенности. Как легко нарисовать доверенность, думаю, рассказывать не надо?))

ЗЫ: я все делал по настоящей доверенности по согалсованию с директором


22.09.15 14:18
0 0

GOST: Банк привязал к корпоративной симке, которую никакому физику не выдадут.

Вот как раз симку юрлица получить гораздо проще, по причине абсолютной незащищенности доверенности юрлица. 😄
24.09.15 09:21
0 0

А что, многоуважаемый Билайн со своим солидным юридическим аппаратом, не в курсе, что факт удостоверения доверенности можно проверить, банально позвонив удостоверившему её нотариусу?
22.09.15 12:47
0 0

Balinez: А что, многоуважаемый Билайн со своим солидным юридическим аппаратом, не в курсе, что факт удостоверения доверенности можно проверить, банально позвонив удостоверившему её нотариусу?

т.е. каждую бумажку надо проверять? Представьте - я хочу купить симку, обождите, ща я дозвонюсь в паспортный стол, чтобы проверить что вам действительно там выдали паспорт, и если там не пошлют подальше - продам вам симку.
22.09.15 13:38
0 0

Подтверждаю что, например, Альфа блокирует клиент-банк при смене симки. Так что смысл во второй симке для банкинга не совсем понятен. Если только для электронных денег типа пэйпала или яндекса.
22.09.15 12:41
0 0

Приличные банки блокируют доступ к интернет-банку при смене IMSI
22.09.15 12:19
0 0

skyroger2: Приличные банки блокируют доступ к интернет-банку при смене IMSI

приличные банки могут остаться не в удел, так как (может не в россии) есть СИМки которые меняют свои IMSI когда делают роуминг за границей, сделано это для того чтобы уменьшить разходы по роумингу.



Например СИМка с Австралиии будучи заригистрированная в Европе, вдруг преходит в режим что она оказывается например с Голандии. Человеку в астралию будут звонить, а попадать на другой виртуальный номер в Голандии, при этом СМС может работать, а может и нет. Всё зависит от домашнего оператора который умеет давать такой сервис
22.09.15 17:02
0 0

В своём посте на ФБ она писала, что, подавала заявку на привязку своего обслуживания к единственному офису и об отмене представления по доверенности, если не ошибаюсь. Так, похоже, или проблема оператора (исполнителя) или нет целостности БД.
22.09.15 11:49
0 0

Пользование чужой симкой незаконно, насколько я понимаю.

А насчет того, что сотрудник Билайна не может быть экспертом по поддельным доверенностям, так он и по паспортам не может быть экспертом. Но как бизнес несет все риски и отвечает за ущерб потребителя. Это в теории. На практике российский суд найдёт 100 способов вас кинуть. Именно поэтому мошенники получают симку 5 раз в день по поддельной доверенности, и никого в Билайне это не колышет. Эта история не про симку, а про дзюдохерию.
22.09.15 11:40
0 0

Не совсем понял, в чём у неё проблема. При использовании двухфакторной аутентификации сначала вводишь пароль, затем тебе на телефон приходит код, который надо ввести в форме, появляющейся после ввода правильного пароля. Пароль её от почты или клиент-банка как могут узнать?



22.09.15 11:07
0 0

Jules Winnfield: Пароль её от почты или клиент-банка как могут узнать?

ОЧЕНЬ много где есть кнопочка "забыл пароль".
Mit
22.09.15 11:42
0 0

Jules Winnfield: При использовании двухфакторной аутентификации сначала вводишь пароль, затем тебе на телефон приходит код, который надо ввести в форме, появляющейся после ввода правильного пароля. Пароль её от почты или клиент-банка как могут узнать?


Волшебная кнопка "забыл пароль". На днях пришлось так менять пароль от приват24 - девочка в Польше, связь только голосом - интернетов нет, пароль забыла за ненадобностью, а деньги на ее карте, нужны в Украине вот прям щас. Догадайся с одного раза, на какой телефон приходит код для восстановления пароля? 😄
22.09.15 13:44
0 0

Jules Winnfield: При использовании двухфакторной аутентификации сначала вводишь пароль, затем тебе на телефон приходит код, который надо ввести в форме, появляющейся после ввода правильного пароля. Пароль её от почты или клиент-банка как могут узнать?

Не обязательно пользоваться интернет-банкингом, есть формы оплат и переводов, когда достаточно только одноразового пароля. Так то да, логин в интернет банкинге, вкупе с паролем и подтверждением по имейлу уже достаточно крутая система безопасности, но она же только для интернет-банка, в остальных случаях возможно списание без аутентификаций, даже без номера мобильного и пин кода. Но в таком случае деньги холдятся и можно оспорить транзакцию.
22.09.15 13:51
0 0

А я вот только не понял насчет емейлов. Да, на телефон можно получить восстановление пароля, но для начала нужно знать сам адрес и пытаться на него войти. Т.е. получается, что если даже мою симку уведут, то как они узнают, какой у меня емейл, чтобы его взломать? Или злоумышленники знали об этой Анне вообще все?
22.09.15 11:03
0 0

Silvester: Т.е. получается, что если даже мою симку уведут, то как они узнают, какой у меня емейл, чтобы его взломать?

Как вариант - с визитки
22.09.15 11:19
0 0

Silvester: а, на телефон можно получить восстановление пароля, но для начала нужно знать сам адрес и пытаться на него войти.

Ну не такой уж это и секрет. Обычно адрес почты все сами раздают ближайшему окружению.
22.09.15 13:42
0 0

Silvester: .е. получается, что если даже мою симку уведут, то как они узнают, какой у меня емейл, чтобы его взломать? Или злоумышленники знали об этой Анне вообще все?

В банках (а так же у пейпала), у операторов связи и в других организациях (работодатель и пр.) есть сканы паспорта, имейл и номер мобильного. Такая информация может сливаться за деньги любому желающему, потому, что легко доступна и никем не контролируется. Обезопасить себя можно только частично и только неудобными способами, как использование разных номеров телефонов и имейлов для разных целей и еще, как советует Алекс, использовать симки, зарегистрированные на кого-то другого. Есть еще более надежный, параноидальный способ - идти против глобализации и не использовать средства оплаты и связи, которые себя скомпроментировали. Но это не каждому подходит и когда-нибудь станет невозможным.
22.09.15 13:45
0 0

Silvester: А я вот только не понял насчет емейлов. Да, на телефон можно получить восстановление пароля, но для начала нужно знать сам адрес и пытаться на него войти. Т.е. получается, что если даже мою симку уведут, то как они узнают, какой у меня емейл, чтобы его взломать? Или злоумышленники знали об этой Анне вообще все?

Надо бы спросить у этой Анны, а не проделки ли это ее бывшего? Такие гадости порой могут делать эти бывшие с гнилой душонкой, отправленные в отставку за непристойное поведение:( Или злобная близкая подружка...Потом, наверняка щас во всех офисах установлены камеры. Вот пусть и проверят. Ведь это уголовка, между прочим, причем попахивающая несколькими статьями одновременно. Надо писать заявление в органы. Пусть они ловят вора и подлеца!
22.09.15 18:24
0 0

Мой совет - напишите в билайн официальное письмо, в котором необходимо ясно и однозначно прописать, что никаких доверенностей Вы не выдавали, и выдавать не собираетесь, в связи с чем Вы прямо запрещаете Билайн в рамках заключенного с Вами договора совершать какие-либо действия на основании требований какого-либо Вашего представителя независимо от формы доверенности.

Это письмо передается в головной офис, а вы забираете копию с штемпелем о том, что заявление принято.

После этого любые убытки, связанные с выдачей симки не Вам, а лицу по доверенности, Билайн обязан будет возместить - еще и моральный ущерб может быть получится зацепить.


22.09.15 10:50
0 0

Ifrit:
Мой совет - напишите в билайн официальное письмо, в котором необходимо ясно и однозначно прописать, что никаких доверенностей Вы не выдавали, и выдавать не собираетесь, в связи с чем Вы прямо запрещаете Билайн в рамках заключенного с Вами договора совершать какие-либо действия на основании требований какого-либо Вашего представителя независимо от формы доверенности.

Это письмо передается в головной офис, а вы забираете копию с штемпелем о том, что заявление принято.

После этого любые убытки, связанные с выдачей симки не Вам, а лицу по доверенности, Билайн обязан будет возместить - еще и моральный ущерб может быть получится зацепить.




Нифига не получится. В лучшем случае - проведут расследование, но говорить о возмещении - это просто смешно.

Кстати действительно вопрос -а почему не привязать карты-кошельки хотя бы к другому оператору???
22.09.15 11:55
0 0

Ifrit: Мой совет - напишите в билайн официальное письмо, в котором необходимо ясно и однозначно прописать,  что никаких доверенностей Вы не выдавали, и выдавать не собираетесь, в связи с чем Вы прямо запрещаете Билайн в рамках заключенного с Вами договора совершать какие-либо действия на основании требований какого-либо Вашего представителя независимо от формы доверенности.

Полный бред. Нотариально заверенная доверенность снимает такие запреты, на тот она и доверенность.
22.09.15 13:41
0 0

А можно вообще привязать к городскому номеру 😄.
22.09.15 10:34
0 0

Что- то все равно не верится в ее рассказ, слишком много "грабель" или "граблей".




22.09.15 10:34
0 0

Ну это прям страшилка, да.. На симку то уж вроде всегда расчитываешь..
Видимо, девушка жёстко кому-то насолила, что так прям её в оборот взяли.
Но то, что Билайн - говноконтора, это уже давно известно. Вообще не понимаю людей, которые им пользуются.
22.09.15 10:34
0 0

Alex Exler: А что ей очень хотелось сохранить старый номер - так, во-первых, всегда можно сделать переадресацию, а, во-вторых, если злоумышленник все время ухитрятся получать симку с этим номером - так им все равно нельзя пользоваться.

Можно также попробывать перенести номер на другого оператора.





Alex Exler: И все строго разделяется: голосовой номер - один, банковский - совершенно другой. Ну и идите получайте дубликат по доверенности якобы от меня - флаг в руки!

Плюсую, двух симочные телефоны рулят, причем второй номер для банкинга вообще нигде не светится.

Также еще симку можно на организацию оформить, если есть возможность, тут уж в любом офисе просто так не поменяешь.


22.09.15 10:26
0 0

Vasly: Плюсую, двух симочные телефоны рулят, причем второй номер для банкинга вообще нигде не светится.

А вот тут, кстати, с моей точки зрения надежнее два односимочных аппарата.

Деталей не знаю, никогда на эту тему не озадачивался, но, по идее, вроде совершенно не исключен троян, который при подсаживании в дроидный аппарат (как, впрочем, и в любой другой смарт) сливает заинетересоанному лицу всю конфигурацию гаджета, в том числе и об установленных симках.
22.09.15 10:55
0 0

Vasly: Также еще симку можно на организацию оформить, если есть возможность, тут уж в любом офисе просто так не поменяешь.

Если никто не знает, на какое юр. лицо. Доверенность от юр. лица делается слишком просто.
22.09.15 13:33
0 0

для банкинга, где это возможно, лучше вместо телефона использовать машинку-генератор кодов. Так безопаснее.


Лучше не вместо, а вместе. Разделение управляющей информации на несколько потоков - всё же более безопасно, чем простая замена одного потока другим. Но ничего не поможет, если машинка-генератор будет лежать в той же сумке, где и мобильное устройство с доступом к мобильному банкингу. Нежелание работать мозгами, вкупе с пофигизмом и нежеланием поступаться элементарным удобством ради повышения безопасности, даёт мошенникам слишком много возможностей.
22.09.15 10:22
0 0

Оформление номера на другого человека - это, всё-таки, костыль. К тому же, обычно прямо запрещено в договоре. Конечно, операторам обычно плевать, но могут докопаться. Если в деле замешаны работники оператора, то и чужое имя не поможет - паспортные данные-то видны в системе. Печально всё это.
22.09.15 10:22
0 0
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 272
авто 441
видео 3985
вино 359
еда 498
ЕС 60
игры 114
ИИ 29
кино 1579
попы 190
СМИ 2751
софт 930
США 131
шоу 6