Comments 122
Запутанно написано, короче вот новый изощренный способ получения доступа
Как-то сомнительно про 90% (похоже на кликбейт), пожалуй, не буду попадать даже в число тех, кто посмотрел ролик.
На днях звонили из Следственного Комитета на домашний номер, назвав домашний адрес и своё имя и звание (дальше он мне надоел, потом долго трезвонил, некоторым знакомым тоже звонил, домашний проще - во-первых сильно-иногородний номер не палится и отвечают в основном пенсионеры, которых можно впечатлить, назвав адрес, они и битве экстрасенсов верят), сегодня звонили на мобильный: на госуслуги пришло бумажное письмо для меня и что-то там про пересылку (далее, видимо, надо было сказать какие-нибудь данные, но слушать не стал). Не стоит им рассказывать чем они прокололись и обучать тем самым нейросеть.
Год назад мне звонили из Следственного комитета. Девушка очень расстраивались, что я ей не верю и держу за мошенницу, и её саму все постоянно посылают. На том и расплевались с ней, к счастью, не очень грубо. На моё удивление на следующий день участковый полицейский принёс вызов на допрос в СКР. Я тогда ей перезваниваю, а она обиженно: вчера бы я вам удобное время назначила, а теперь вот сделаю неудобное, раз вы так со мной.
В чём суть, было вообще не понятно, кроме того, что мой статус "свидетель" без каких-либо подробностей. Но первым делом я взяла адвоката. После этого уже он с ней общался, извинился, примирился, время нормальное согласовал.
Offtop: Никогда не ходите в такие места без адвоката, ни по какому, даже самому малейшему поводу, который казалось бы даже вас не касается. Ибо зайти можно свидетелем, а там статус может очень быстро поменяться на другой. Без адвоката я бы запросто могла и не выйти, т.к. было всё нехорошо.
да такое раз в тыщу лет происходит..по этому не удивительно что ей не верят
вообще тут такое правило, если вы нужны СКР, Прокуратуре или МВД, вас из под земли достанут таким способом что вы точно узнаете что они не мошенники
лет 10 назад, придурок участковый с вызовом на допрос в СКР, не просто мне его передал, а еще опросил всех жильцов в 9 этажном доме где я живу и людей в соседних домах (видели ли в последний раз, что делал с кем говорил, не замечен ли в подозрительном...агааа..запиишем)....я потом домой приехал, от меня люди на улице шарахались, какбудто я особо опасного приступник... а мне туда надо было подойти пару бумажек подписать... я с тех пор все участковых по телефону нахрен шлю, надо будет - найдут, они отлииично умеют
На крайний случай пользуйтесь ст. 51 Конституции, ч. 1.
Вы обязаны отвечать на допросе, но не обязаны свидетельствовать против себя. Следаки будут ловить на тонкой грани между этими вещами. И да, совет про адвоката - верный, ибо бесплатный вам еще не положен.
Это да, тоже был случай (не со мной), эти ребята любят получать данные необычным способом, от чего корректность страдает и можно принять за других мошенников, но сей кадр имел многовато маркеров за столь короткий отрезок.
Мне как-то позвонила "следователь". Я сказал, что сомневаюсь, что она следователь. Бросила трубку. Продолжения не было.
Меня тоже в ФСБ свидетелем вызывали. Я тоже сначала такой подумал, что сейчас я его потролю.
Но изначально закрались сомнения, потому что разговаривал этот чел по обычному, а не деловым тоном, как это делают мошенники.
К тому же он не выспрашивал никаких моих данных, а наоборот называл мои. Адрес назвал неверный (я переехал какое то время назад), я сообщил ему об этом и сказал, чтобы перезвонил когда узнает актуальный. Он так и сделал. Вообще я его просил отправить по ватсапу, но он сказал что не хочет свой личный номер телефона светить лишний раз, что было еще одним пунктом в его пользу.
Плюс он назвал адрес, куда мне надо подъехать. Я пробил по 2гису. Позвонил по номеру, указанному в 2гисе, спросил работает ли у них такой то. Мне, конечно, не ответили прямо, но сказали чтобы я приезжал и не переживал.
В общем то, когда следователь перезвонил мне назвать мой актуальный адрес, я уже ехал к нему )
Согласен с Вам полностью, даже если Вы поняли что на той стороне мошенник, самым лучшим вариантом будет без ответа положить трубку, т.к. Ваш "стеб" над ними далее в разговоре, может Вам же и навредить. Обиженные(опущенные) не получившие своего, разместят Ваш тлф. в каких нибудь ресурсах для автодозвона.
Да, на личном опыте подтверждается схема. )) Только забывают люди, что часто такие звонки поступают не случайным людям и после определенных событий или опыта общения с полицией или муниципалами. Не намекаю, но все же связь прослеживается. ))) https://www.youtube.com/watch?v=FS5Em9YBUu8
И сюда эта тенденция добралась. 12!!!! минут когда вся суть помещается в 5 предложения. Это явно не тот случай когда нужна видеоинструкция
Социальная инженерия это не "новый способ", это тот же самый.
А при биометрии такого не будет, так что сдаём господа, поторапливаемся.
То как её собирают вызывает вопросы. Кто и как её хранит, какая защита?
Безопасно ее хранят, не переживайте
я вот догадываюсь как её хранят, потому что видел как в банках информацию хранят, по этому например я переживаю
Там самый главный аргумент безопасности - "если чтото утечет, мы обязательно накажем отвественного" (с)
Тут видео упоминали, смотреть смысла нет, но суть такова, что "фича" госуслуг помогает этим самым инженерам. В качестве контрольного вопроса можно установить любой текст, туда пишут номер телефона и ты сам звонишь на него для восстановления учётки (перед этим под другим соусом получают код для входа, меняют пароль и вопрос).
Вчера звонили, пытались "продлить договор".
Для "легального" входа код 6-значный приходит в смс, да и пароль можно сменить.
Но при восстановлении доступа нужно указать номер телефона, затем паспорт (трудно сменить), ИНН или СНИЛС (вообще не сменить) и указать 4-значный код. Получается восстановить гораздо проще, чем войти.
В моем случае схема была несколько иная: пытались якобы продлить договор с МТС, а код подтверждения пришел от якобы Госуслуг.
Разумеется, я тут же прекратил разговор и занес номер позвонившего в блокировщик звонков https://callfilter.app/ru
...ИНН или СНИЛС (вообще не сменить)
ИНН лично менял - там на обратной стороне перечень причин для смены указан. Я менял "из-за смены пола" - мне изначально почему-то в графе "пол" вписали "женский" - всё проверил при получении, а пол не посмотрел. Всплыло через несколько месяцев, зато изрядно развеселил сперва охранника, а потом и девочек, оформляющих ИНН...
Используйте OTP для подтверждения входа в госуслуги. Это похоже на смс, но имеет ряд достоинств:
нет завязки на сотовую связь и оператора - соответственно меньше вектор атак
не все мошенники умеют работать с OTP, поэтому шанс их разоблачить повышается (хотя это временно)
OTP полностью под вашим контролем, будет работать даже если номер заблокируют или не будет сотовой связи вообще
действие кода короче, чем в смс, что усложняет атаки (чисто по времени)
OTP нельзя угнать даже узнав код (даже и несколько кодов подряд), а вот дубликат сим-карты мошенники могут попробовать выпустить
Единственный минус - для не подкованных родственников надо объяснить как это работает, поставить программы (полно свободных и бесплатных для компа и телефона), но это того стоит.
OTP нельзя угнать даже узнав код (даже и несколько кодов подряд), а вот дубликат сим-карты мошенники могут попробовать выпустить
целиком не угонишь для создания новых, а вот если жертва не зайдет в систему то коды можно использовать
а вот дубликат сим-карты мошенники могут попробовать выпустить
а как восстановить утерянный OTP? отправить смс на номер для альтернативного метода входа? мошенники так и сделают если угонят симку
а как восстановить утерянный OTP?
Никак. Точнее, топать ножками в МФЦ и создавать новые артефакты доступа к Госуслугам. (Однако смотри сообщение рядом)
Но лучше все-таки не терять. Надежно хранить несколько сот байт - этот навык давно нужно прокачать. Тут вот, например недавно напомнили. Нарезать все соответствующие ключики на кусочки, раздать разным людям и/или разложить по разным местам.
Никак. Точнее, топать ножками в МФЦ и создавать новые артефакты доступа к Госуслугам.
если это будет единственным способом восстановления, их проклянут
также анрил научить людей пользоваться ОТП, вы не забывайте что у нас подавляющее число пользователей, телефоном пользуются "очки спустил на кончик носа, указательным пальцем, тихо матерясь тыкаешь в экран, поглядывая на листочек который в МФЦ выдали"...а потом оказывается что интерфейс поменялся и листочек не подходит...всё приехали
если это будет единственным способом восстановления, их проклянут
Смотрим на методику восстановления/смены бумажного паспорта. Неудобно, но все, вроде, понимают, почему совсем простой и удобной ее делать нельзя.
А разве не для этих людей:
вход по биометрии
вход по QR-коду (сканирование приложением)(правда вот не всегда работает почему то)
Вот, кстати, по QR-это более-менее хорошо. Это, по сути, использование всего смарта в качестве токена и приблизительно похоже на то, как у Passkeys оно работает. Правда, там еще Bluetooth используется для проверки того, что аутентификатор географически близко к тому месту, где логинятся.
Только было бы хорошо, если бы этот QR нужно было сканировать не приложением госуслуг (довольно тяжелое и и постоянно его у себя на смарте иметь выглядит небезопасным), а отдельным маленьким приложением.
если это будет единственным способом восстановления, их проклянут
Я не прокляну. Можно мне такую нкастройку: "Хочу, чтобы восстановление пароля или секрета ОТП и получение доступа к аккаунту было возможно исключительно в МФЦ по месту постоянной регистрации"?
На госуслугах слишком много сегодня завязано, чтобы так наплевательсвки относиться к их безопасности.
Никак. Точнее, топать ножками в МФЦ
На самом деле можно, я на такое сам попал когда сменил телефон. Достаточно в интернет банке начать регистрацию в госуслугах, он предложит восстановить доступ, присылая смс на привязанный ранее номер.
целиком не угонишь для создания новых, а вот если жертва не зайдет в систему то коды можно использовать
В этом случае это работает не хуже схемы с кодами из смс.
а как восстановить утерянный OTP? отправить смс на номер для альтернативного метода входа?
Ну если мошенники полностью угнали аккаунт - то OTP конечно не спасет, но просто так восстановить "потерянный OTP" не получится, там пароль от аккаунта нужен. Хотя конечно если в каком-то сценарии есть схема с отправкой волшебной смс - это дыра и надо ее исправлять. Вместе с OTP надо использовать резервные коды, как например в гугле, для таких случаев.
Восстановить утерянный OTP можно, как и многое другое, из резервной копии.
Просто их мало кто делает.
Конкретно для Android есть OSS - Aegis. Есть функционал резервного копирования. Гораздо удобнее и надёжнее, чем гугловый аналог, с которым я _безопасно и успешно_ несколько раз терял OTP при смене прошивки телефона и прочих с ним манипуляциях.
otp от гугла автоматом резервируется, на него и переехал.
Может там что-то и поменялось. не знаю, я больше им не пользуюсь.
Просто потому, что те два раза, когда я оказывался у разбитого корыта, мне Google Authenticator всё время напоминал, что ключи хранятся только на устройстве и при утрате устройства все ключи уходят в /dev/null, что я и получал при удалении Google Authenticator либо при повреждении прошивки с невозможностью доступа к разделам устройства.На новом устройстве восстанавливаешь данные из резервной копии учётной записи, а данных Google Authenticator там нет.
Я тупой, с первого раза не понимаю, поэтому я прекратил им пользоваться со второй попытки :)
Aegis же автоматически делает бэкапы на устройство и в облачные аккаунты. Думаю, излишним будет говорить, что они зашифрованы.
Это мне нравится больше, чем мутный софт от Гугла и неприятный от него экспириенс.
ключи хранятся только на устройстве и при утрате устройства все ключи уходят в /dev/null
Справедливости ради, они одни из немногих, кто тогда же позволяли несколько разных устройств (с разными seed) для OTP использовать, что, с некоторой точки зрения, правильней, чем синхронизация. Как ключ генерации в кейстор попал - его хранилище больше наружу не выпускает.
Но в какой-то момент они таки сдались. Я думаю, приблизительно тогда же, когда чистый WebAuthn не получилось всем продать как раз по той же причине - ключей нужно делать несколько, т.к. они не могли покинуть защищенное хранилище авторизатора.
А в Passkeys сгенерированные ключи уже синхронизируются и поэтому со скрипом, но оно распространяется.
если речь про Google Authenticator то возможно он автоматом резервируется сейчас но вот раньше его можно было только на рутованном аппарате забекапить (а рутование приводит к сбросу обычно). Кстати а что с синхронизацией между устройствамии? И поэтому мне вот в свое время пришлось альтернативные решения искать. Сейчас у меня это Bitwarden (с платной подпиской их, про VaultWarden я отлично в курсе и даже где то имидж стоит, безопасность все же на мой взгляд достаточная а ситуации когда ляжет в том числе и домашний сервер с VaultWarden или к нему может не оказаться доступа и быстро его не восстановить - были)
Ребят, otp это уже стандарт, и резервируется он проще некуда: просто при регистрации заводите его не через qr-код, а через "показать secret key", и этот самый secret key параллельно сохраняете в защищенное хранилище и вводите в Google Authenticator
В основе otp лежит именно secret key, регистрация через qr просто скрывает от вас этот процесс, автоматизируя его
Защищенным хранилищем может выступать keepass, некоторые его версии, например keepassxc, даже имеют встроенный otp, который может работать вместо Google Authenticator. А т.к. keepass кроссплатформенный, его можно использовать и на телефоне и на компьютерах, и с облачной синхронизацией между базами. И даже в браузерах keepass можно использовать как хранилище паролей, чтобы снизить риски: особенно актуально для windows, где есть целый класс вирусов, задача которых сводится к извлечению базы паролей из профиля браузера, с которой они вполне успешно справляются.
Сам несколько лет назад поймал одного из таких представителей в момент передачи базы паролей, и даже удалось сделать копию отправленного дампа, расшифровать его, и вовремя поменять слитые пароли. Антивирусы к слову на него не реагировали вообще, так что в обычной ситуации факт слития паролей остался бы незамеченным, как наверняка и происходит в большинстве случаев. Конкретно этот экземпляр находился в песочнице в режиме анализа, благодаря чему все это попало в логи, в логах в глаза бросилась нехарактерная для исследуемого софта активность, так что это чисто на удачу выявилось.
Google Authentificator наверняка как-то бекапится в облако Google. Ну а опенсорсный andOTP прекрасно бекапится руками, а защитой архива паролем.
Что-то вроде в более старых аналогичных темах ругались, что на самом деле отказаться от восстановления доступа, что работает через SMS - нельзя.
Класс. В подобных случаях вспоминаю виндовс старых версий, где при запросе пароля достаточно было нажать Отмена, чтобы загрузить ОС.
Вот, нашел соответствующее обсуждение, вроде бы один из (правда, другого ветки разработки) разработчик госуслуг отвечал:
Если злоумышленник получил доступ к банку-партнеру и указанному там номеру телефона, то он сможет получить доступ и к учётной записи на Госуслугах.
Обеспечение безопасности владения номером телефона является ответственностью <...> и оператора сотовой связи.
Мда. Ноу комментс.
Перевожу на русский:
Никто ни за что не отвечает, если вдруг у тебя, россиянин, утянули все деньги из банка и по оформленной без твоего ведома на госуслугах электронной подписи продали твоё жильё.
Кстати, мордой сюда посвети, пальчики откатай - нам твоя биометрия нужна.
Здорово, правда?
Ну так из недавнего проекта постановления об 'телефоне вместо паспорта':
Гражданин самостоятельно обеспечивает сохранность и неразглашение сведений, связанных с применением мобильного приложения, в том числе сведений, используемых им для доступа к индивидуальному мобильному устройству и/или мобильному приложению и его сервисам (логины, пароли, коды), а также самостоятельно отвечает за все действия, производимые с использованием мобильного приложения и сведений, используемых им для доступа к мобильному приложению (логины, пароли, коды).
Да так и есть. Но мне правда помогло это восстановить госуслуги. У меня номер телефона ушел неизвестно к кому, привязанный к госуслугам, а сам я в рф много лет как не живу. Возможность восстановить доступ через банк меня сильно спасла.
В подобных случаях вспоминаю виндовс старых версий, где при запросе пароля достаточно было нажать Отмена, чтобы загрузить ОС.
Это был запрос пароля для коннекта в сеть. Нажав Отмена вы действительно загружали систему, но при этом не получали запароленные сетевые папки. Так что если все рабочие файлы находились в сети, то вы получали только что-то типа гостевого доступа на локальную машину, но не более того.
Полный доступ на локальную машину получал. Там не было понятий гостевого доступа и разделения доступа на пользователей. Про сетевые папки не скажу.
Про сетевые папки не скажу.
Ну вот поэтому и не скажете, потому что не поняли, для чего нужен был этот пароль.
Выглядело это именно как пароль в систему, а не к папкам. У каждого юзера создавался свой рабочий стол. Зачем для доступа к сетевым папкам создавалось отдельное окружение пользователя? Вопросов становится больше, чем ответов...
https://habrastorage.org/r/w1560/getpro/geektimes/post_images/271/1c5/391/2711c53911fbc2742225aa30e488a971.png
Win95 - это однопользовательская операционная система, в ней вообще нет понятия пользователя. Но можно было взять настройки окружения из сети, и вот в сети уже можно было авторизовываться разными логинами.
Ой а что это
Ну прав разграничения доступа там конечно не было, но деление на пользователей там всётаки было для персонализации настроек и доступа к сетевым шарам в NT домене, даже раздельные рабочие столы были
Деления на пользователей там конечно не было, потому что, как я уже писал выше, не было самих пользователей. Просто для текущего окружения, как я уже говорил, что писал выше, настройки можно было взять из сети, для каждого сетевого пользователя свои.
там были профили для разных "пользователей"
разные настройки рабочего стола, разные рабочие столы, разные меню пуск, разные настройки персонализации
не было только изоляции между ними, они друг к другу ходить конечно же могли без проблем благодаря fat16/32
давайте тогда определимся что вы имеете в виду под словом "пользователь" - которого не было...и придумаем название чтобы Users с personalized settings правильно назывались...как?
где при запросе пароля достаточно было нажать Отмена, чтобы загрузить ОС.
а потому что это был вопрос авторизации в сети, а не в ОС, если потом тыкнутся в сетевую шару то окошко опять вылезет
Окно ввода пароля в эту самую ОС было другим и там отмену тыкнуть было нельзя
p.s. хотя конечно защита парольная там была со взломоустойчивостью на уровне 5 класса школы
Первый раз слышу, что были разные окошки. Да и зачем оно нужно, если все файлы все равно доступны всем локальным юзерам?
Когда говорят про кнопку отмена, имеют в виду это окошко
попробую сейчас в эмуляторе 95 винду взгромоздить
Поставил эмулятор и поковырялся, нда, могу согласится что отмена работает в двух вариантах и с моим и с вашим окошком
тем не менее, пароль этот что на моем скриншоте что на вашем, относится к сети
и включение парольной защиты относилось именно к сети (долго пытался вспомнить где оно включается вообще, а включается именно в настройках сети как Windows logon)
Я имел в виду вот это окошко: https://habrastorage.org/r/w1560/getpro/geektimes/post_images/271/1c5/391/2711c53911fbc2742225aa30e488a971.png
Да и зачем оно нужно, если все файлы все равно доступны всем локальным юзерам?
разные настройки ОС, и файлы других юзеров сразу не видны... но добраться до них можно, да
но вообще тут такое дело, в линуксе при доступе физическом к компу, если ФС не зашифрована и доступен загрузчик (чтобы поменять параметры ядра при загрузке) или на биосе пароль не стоит, то можно получить рут права довольно оперативно
в винде, во всяком случае во времена XP, сбросить пароль админа загрузившись со спец. флешкой тоже было не большой проблемой..(если можно было грузится с флешки конечно)
Путаете теплое с мягким. Если есть физический доступ к харду, то разграничение прав ни о чем. Подразумевается, что доступа к спец. режимам нет (к биосу, батарейке, безопасному режиму). Это защита от выхода за рамки своего окружения при запущенной ОС. Например, если юзер запустит зловред, он должен остаться только в его окружении.
в те годы, полноценных ОС с такой изоляцией по пальцем можно было пересчитать, в основном это коммерческие юниксы были
да и у них защита такая себе была...помню был популярен баг вебсервера когда можно было дернуть с сайта хостинга файл passwd запросом виде http://www.super.site.com/../../../etc/passwd и свиснуть пароли которые там чутьли не в открытом виде лежали в те годы..и уж потом их там начали в shadow запихивать с другим уровнем доступа
В XP нужно было загрузиться в безопасный режим, где появляется учётка "Администратор" с пустым паролем. На домашнем компьютере. Да и на предприятиях её не все паролили.
Если что, в iOS TOTP генератор встроенный есть, в предыдущей теме про Госуслуги выкладывали со скриншотами. Ставить ничего не надо, резервные копии уходят в iCloud или можно на свой диск делать образ через iTunes.
PS: блин, так и не смог найти адекватную замену айфону, остаюсь в рабстве у Яббла ещё на пару лет - взял 15 pro max :((
Таки они это сделали. Наконец то. При этом вроде как сделали нормально (а не со сбросом по СМС). Спасибо что напомнили
Проблема только в том, что по коду из смс мошенник подучает доступ к банку-партнёру, а уже оттуда получает доступ к госуслугам наплевав на все ваши пароли и ОТП коды.
Вы путаете терминологию. Коды из SMS — это один из видов OTP (one-time password). То, про что вы говорите — это TOTP (time-based one-time password).
В ходе звонка злоумышленники запрашивают у пользователя [...] код, который приходит [...] для подтверждения входа.
И что нового в этой схеме?
платформы Народного фронта «Мошеловка»
что это ? опять какие-то волонтеры ?
Я так понимаю, что речь об этой атаке
Я проще делаю, с левых номеров не беру а кому надо всегда в телеге меня найдут. Точнее не то чтобы не беру, телефон работает только с теми, кто из адресной книжки. Остальные звонки сразу сбрасывает. Poco X3.
зато в экстренной ситуации не дозвонится (телефон потерял, взял соседа позвонить...и всё, номера уже мало кто наизусть помнить. а логин в телегу и подавно), оно редко такое бывает но зачастую очень метко
p.s. можно смс конечно по старинке написать...
Так написать сообщение - вполне разумное решение. Если я звоню незнакомому человеку, и звонок сбрасывается - пишу смс "я такой-то, хочу пообщаться по такому-то вопросу".
И все, дальше не заморачиваюсь, как сможет, так перезвонит - разве что мне очень нужно, тогда могу и перезвонить через некоторое время. ;) А если мне не очень нужно, то и забываю совсем. :)))
Как насчет whatsapp и т.п. приложения? Не все могут в принципе звонить и отвечать на звонки по сотовой связи.
Предпочитаю СМС (iMessage) или почту - у меня, например, мессенджеры - только для необязательного общения. Рабочие вопросы у нас в них обсуждать запрещено приказом по организации.
Я в статусах там специально отметил, что мессенджеры на планшете, планшет на беззвучном режиме, и вообще в рюкзаке, а рюкзачок - далеко. Поэтому быстрой реакции не обещаю, сорри. Кому надо прямо сейчас - звоните, пишите смс или email.
Тут как раз слышал смешную историю как чуть не профукали штаны так. Тоже не брали трубку с непонятного номера, отдав штаны в починку (и забыв), нефиг делать мастерам, как во всяких телеграмах искать, тебе надо - ты и отвечай. А ещё можно оставить машину с номером (в нормальном месте, не всякое перекрытие проезда, а мешать она может прорвавшейся трубе, так себе экономия на звонках, опять же искать в мессенджерах не надо, не отвечают - есть кому ещё позвонить). Возможно, есть ещё варианты.
Остальные звонки сразу сбрасывает.
В том числе звонки от курьеров.
Для тех, кто полагает, что «молодые на уловки мошенников не поддадутся никогда», приведу три примера:
В начале нулевых кто-то додумался продавать по совершенно нереальным ценам сфинксов, в качестве ЦА выбрали бизнесменов, которые, по их собственному мнению, «сами какого хошь лоха разведут». Но нет - поддавались. Типа, дорого - значит, круто. Круто - значит, надо купить! Через пару лет этих сфинксов много где раздавали даром.
На «программу из одной строчки на Perl поддались почти одни молодые, среди которых 100% айтишников.
Совсем недавний случай (единичный, но всё же): молодая девушка поддалась на классическую мошенническую схему с просьбой снять средства с банкомата и перевести на «безопасный счёт», на это пенсионеров многих давно научили не поддаваться.
Подумал, кстати. Как известно, 25-й кадр не действует. А что если взять человека, который об этом не знает, и сказать что-то вроде: «сейчас покажу тебе видео с 25-м кадром, от которого ты почувствуешь мороз». И показать любое видео безо всяких 25-х кадров. Сработает? Просто, подозреваю, что ту девушку подобным способом развели. Типа, сначала кто-то позвонил и посоветовал «остерегаться гипноза, под действием которого даже самые осторожные теряют рассудок, выполняют на автомате самые нелепые просьбы». А при втором звонке она, под впечатлением от первого, поддалась на «гипноз», которого... не было!
приведу три примера:
Все 3 про "говорить, а не быть", какая-то девочка плакалась в тиктокограмах (не знаю где, ролик показывали на телефоне, поскольку нужен где-то там аккаунт), тоже говорила "вот я умная, а попалась и вы попадётесь" и рассказала историю, где сделала всё неправильно и облажалась где могла (я точно знаю что не попадусь в такой ситуации, поскольку уже не попался до её рассказа, вот деталей не помню, зафиксировал только что "ну и дура, надо не говорить, а думать"). (там что-то про номер счёта с ошибкой в одной цифре, хотя уже здесь понятно что надо ошибиться не в одной как минимум, и перевод денег куда-то с какими-то кодами)
Социнженерия, ставка на не очень (мягко говоря) умных и самонадеянных людей.
Многие запускали, это опыт, иногда опыт - прочитать о подобном и потом анализировать "советы из интернета" всегда, не всегда это может быть безобидный прикол (однострочники разные бывали). Очень помогает от всякого фишинга (типа фоток голой Бритни Спирс во входящих, было смешно, когда секретарша удалила письмо не открывая со словами "чего на неё смотреть", хотя всё запускала бездумно, но это, скорее, антипервый пример промаха социнженеров).
Страна непуганых. И так во всём - "мы боимся риэлторов, потому отдадим деньги чёрным маклерам, которые честные, но куда-то потом пропали", или всяким колдунам, хотя, вроде, диплом об образовании имеется. И бредни друг другу в мессенджерах пересылают по той же причине - неспособность к анализу, стремление быть причастным к чему-то на фоне серой жизни и выбор доверия случайным личностям (не все из них мошенники, но сама суть подобной стратегии такова, что вероятность попасть высока).
Для тех, кто полагает, что «молодые на уловки мошенников не поддадутся никогда», приведу три примера:
Можно и чертвертый, на все времена: Цыганки испокон веков обували независимо от возраста. Людей, которые с детства знали про такое, опасались и не любили цыганок.
Лично отдал цыганке небольшую сумму (сколько было с собой), хотя был молодой и прошареный по поводу мошенников. И лично видел немало молодых девушек, которые снимали золотые украшения и отдавали "погадать", а потом бегали искали. Работал одно время возле рынка, там всякого насмотрелся.
Жулью все возрасты покорны.
молодые на уловки мошенников не поддадутся никогда
Как то ходил в полицию писать заявление (нападение собак), так там со мной сидело две девушки лет 25. Одну из них обул мошенник. Но меня удивил способ: они в твиттере нашла какого-то человека, который обещал ей удвоение суммы денег, которую они ему переведут на хранение на сутки. Она ему 5 тыс. перевела, получила 10. Перевела 60 (если правильно помню), получили фиг. Вот пришла заявление писать о мошенничестве и подруга для поддержки. Я ещё удивился как в наше время можно на такой развод попасть. Но вот как-то можно.
Просто нужно перестать валять дурака. Никаких так называемых "персональных данных" не должно быть вообще.
ВСЕМ ВСЁ должно быть известно. Важное замечание: именно ВСЁ и именно ВСЕМ.
Не должно быть групп людей, которые знают ВСЁ обо ВСЕХ и о которых эти самые ВСЕ не знают НИЧЕГО.
И второе важное замечание: если даже ВСЕ знают ВСЁ обо ВСЕХ моих документах, НИ У КОГО не должно быть возможности меня обмануть и обокрасть.
К примеру банкстеры должны давать кредиты именно МНЕ, а не моим документам. И у банкстеров должны быть неоспоримые доказательства,
что именно Я, а не кто-либо взял кредит, пользуясь знаниями о моих документах.
То есть знания о чужих документах, номерах телефонов, адресах, фотографиях, особых приметах и всём чем угодно
не должно давать никаких преимуществ никому. Пусть все посторонние прикладывают знания обо мне себе к вискам.
Только в этом от этого знания у них может быть польза. Это касается и биометрии.
Пусть ВСЕ знают ВСЁ о всех моих морщинках на коже во всех местах, мой голос, радужку глаз и всё что угодно остальное,
это не должно давать им возможности выдавать себя за меня. Но кому нужно, мог бы убедиться, что я - это действительно я,
пользуясь моими общеизвестными биометрическими данными, а не документами. Так называемые документы в конечном счёте вообще не нужны.
Это просто бумажки, которые ко мне, как живому человеку, вообще не имеют отношения. Мало ли кто-то где-то когда-то что-то написал
на каких-то бумажках. Я тут при чём? Тем более нужно учитывать большой прогресс в области дипфейков. Будет ещё хуже.
ВСЕ данные обо ВСЕХ документах и ВСЕЙ биометрии ВСЕХ должны быть в свободном доступе всеми способами.
Граждане должны иметь полное право собирать любые данные о любых так называемых "персональных данных" любых других граждан.
Это касается и биометрии. Все должны иметь право владеть, разрабатывать, изготавливать, продавать и распространять любым способом
технические средства для сбора биометрии кого угодно. Также у граждан должно быть право владеть, разрабатывать, изготавливать и распространять
технические средства для защиты от сбора биометрии. Для конкуренции должна быть непрерывная борьба "снаряда" и "брони".
Бороться нужно не с распространением "персональных данных", а с ворами и жуликами. В том числе распространением их персональных данных.
Воры и жулики всегда были, есть и будут и они вас обворуют и без всяких "персональных данных". И дело не в суровости, а в неотвратимости наказания.
Как бы не извивались любители "персональных данных", всё равно всё к этому придёт. Компы и сети всех к этом приведут.
Как говорит одна моя хорошая знакомая:
" Если изнасилование неизбежно, то не нужно верещать и царапаться. Нужно просто расслабиться и получить удовольствие".
Но кому нужно, мог бы убедиться, что я - это действительно я,пользуясь моими общеизвестными биометрическими данными, а не документами.
Так недовольство сбором в значительной мере из такого подхода и растет - что-то признается юридически-значимым на основании того, что в результате какой-то процедуры сравнения только биометрических данных кто-то убедился или 'убедился', что где-то там были вы.
Потому что с 'невозможностью выдавать себя за меня' немного плохо, если мы только не говорим о какой-нибудь дорогой и сложной биометрии вида 'сунуть представляющегося в томограф'. А все норовят использовать простую, дешевую и мало что доказывающую.
В текущем состоянии технологий считывания, проверки и подделки всей этой используемой биометрии нужно делать в точности наоборот - любое совпадение биометрии принудительно игнорировать, если она не подтверждена еще чем-то. Теми же документами. И личной печатью. И еще каким-нибудь способом, что надо придумать.
звучит как-то прекраснодушно. реальность вам ничего такого не должна. если надежный способ соотношения вашей личности с вашими биоданными стоит миллион долларов за девайс и предполагает что-то вроде получасового сканирования в томографе, то никто его не будет использовать. все способы валидации личности - это баланс между надежностью, стоимостью (сюда включаем и потери от мошенников) и удобством использования.
Потенциальные проблемы:
как вообще делать удаленное обслуживание тут?
если всем все известно - вот допустим есть Вася который
Работает в Роскомнадзоре. Занимается поддержкой ТСПУ. НЕ хочет чтобы про это его место работы узнали на Хабре потому что минусов прилетит...много. А ему не хочется минусов. И хорошо если ограничится только минусами.
В свободное от работы время наряжается Василисой и гуляет по клубам. И вполне себе пассабельная девушка. И не хочет чтобы об этом узнали на работе (хотя нейтрально относится к тому чтобы узнали на Хабре если это не уплывет дальше).
Ходит на сходки нет даже не кришнаитов, одной из групп "учения вознесенных владык" (если неизвестно кто это - в википедии есть краткое и ОЧЕНЬ прилизанное описание что это за товарищи), и в это все верит, НЕ хочет чтобы про это узнали на Хабре и на работе.
покупает книжки на Amazon'е и смотрит Netflix, для чего использует всякие разные заграничные карты и VPN'ы. Если Netflix узнает что он таки реально из России - накроется аккаунт.
как этому Васе дальше жить если вся информация про него станет доступна всем, и серьезные проблемы появится у нее вероятно сразу появятся и на Хабре и на работе...
как этому Васе дальше жить
лучше бы ему вообще не жить. с таким-то кармическим грузом.
Какая разница - знает система о твоё биометрии лица или о всех-всех морщинках.
Бд могут слить/украсть - сделать копию и по копии обманывать систему.
Могут найти мат.модель которая обманет систему.
Если верифицировать человеком: дорого и человека можно подкупить.
А про "все должно быть в открытом доступе" - вообще молчу. Примеров бабушек которые отдают все сбережения потому что их назвали по имени - вам мало?
Есть очень и много слитых данных - это проблема, но они 1. Неполные 2. Платные - а вы фактически предложили сделать их бесплатными, чтобы любой школьник мог попытать счастья. (Нет спасибо, я хочу чтобы мои данные охраняли, а если не будут охранять - готов перестать пользоваться сервисом).
Интересно, почему сообщение замсинусовано? Хабр такой хабр.
Ведь скрывать биометрию действительно контрпродуктивно. Ибо она по природе является публичной и не сменяемой. Это именно публичный ID просто по своей природе. Единственное, я бы добавил оговорку про частную жизнь. Чтобы на улице какой-то придурок не совал тебе в лицо камеру "потому, что имеет право". Т.е. должен быть какой-то нераздражающий регламент.
из мировой практики
В какой-то стране хорошо придумали - данные публичные (какие-то финансовые), но сами запросы с данными спрашивающих тоже публичные. Т.е. можешь запросить доход соседа к примеру, но соседу придет СМСка что такой-то запрашивал ваши данные о доходах (например).
И публичный ID очевидно не может использоваться для удалённой авторизации когда нет 100% гарантии сверки этого ID с содержанием волеизъявления (пришивание чужого лица и пальцев к физическому телу на текущем уровне развития техники выносим за скобки).
Т.е. проблема не в приватности биометрии, а в том что её используют не по назначению.
Другое дело, что когда государство вносит этот ваш ID в списки на регулярное пятничное анальное изнасилование, то граждане этот процесс саботируют в меру своего разумения.
Может там что-то и поменялось. не знаю, я больше им не пользуюсь.
Просто потому, что те два раза, когда я оказывался у разбитого корыта, мне Google Authenticator всё время напоминал, что ключи хранятся только на устройстве и при утрате устройства все ключи уходят в /dev/null,
что я и получал при удалении Google Authenticator либо при повреждении
прошивки с невозможностью доступа к разделам устройства.
Недавно менял прошивку телефона, долго скрипел мозгами вспоминая что надо забэкапить что автоматом не раскатается из облака. Так у меня в целом ничего в телефоне ценного не хранится. Но забыл про единственное исключение - гуглОТР.
Так вот, автоматом из облака восстановился только ОТР от гусуслуг. Десяток других пропало с концами. Видимо потому что он был последний сделанный последней версией приложения.
Потом узнал, что можно переносить ОТР гугла на другой смарт через QR код. По идее достаточно сохранить картинку, но на практике не проверял.
PS
Вообще, никаких центральных баз биометрии не нужно. Может, в паспортном столе офлайновая копия. Всю биометрию можно загрузить в чип в паспорте. И государство под этим набором поставит свою цифровую подпись (которую можно проверить онлайн).
При этом банки не должны хранить ничего из этого, кроме хэша подписанного государством.
При этом база может быть и с удалённым доступом, но государство со своей стороны только лишь подтверждает соответствие биометрии конкретному лицу. И всё. Никак это соответствие не придаёт юридической силы каким либо действиям совершенным удалённ. Это банк может запросить у государства действителен ли предъявленный паспорт и чекнуть обращаущенгося по голосу/отпечаткам чтобы потом владелец паспорта не отказывался от того, что это был именно он.
Но в обязанность банка проверить соответствие между волеизъявлением и биометрией. Именно обязанность банка доказать соответствие. И наличие у банка скана паспорта вообще никак не доказывает то, что я в этом банке брал кредит. От того, что у меня есть фотография устава банка, не доказывает то, что у меня в этом банке вклад на миллиард денег.
По этому в приличных странах мошенники - проблема банка а не клиента. И по этому банки там такие "неудобные", а не потому, что у них нет денег наанять пару индусов чтобы сделать "удобное" приложение, в котором одной кнопкой можно взять ипотеку и перевести мошенникам. Потому, что в этом случае это будет проблемой банка.
Другое дело, что когда государство вносит этот ваш ID в списки на регулярное пятничное анальное изнасилование, то граждане этот процесс саботируют в меру своего разумения.
Не нужно валить всё в одну кучу.
Биометрия - отдельно. "Пятничное анальное изнасилование" - отдельно.
Общество может спокойно жить с биометрией без всяких изнасилований.
И насиловать всех и вся могут постоянно без всякой биометрии. Это вещи между собой никак не связанные.
И прятаться от своей собственной биометрии - это идея в принципе дикая. Каждый человек со своими биометрическими признаками родился, будет жить с ними всю жизнь и с ними умрёт. И никуда от них не денется. Никогда.
Бороться нужно не с так называемыми "персональными данными", а с преступниками.
Как сказал известный персонаж:
"Правопорядок в стране определяется не наличием воров, а умением властей их обезвреживать"
https://www.youtube.com/watch?v=fYgKbcoXV1w
А вот если эти самые власти постоянно создают все условия для воровства - "тады ОЙ".
Стращают электорат "утечками", сами прячутся, всё засекречивают чтобы было легче воровать и смеются над дурочками.
А электорат, блаженно улыбается и мечтает свои " персональные данные" подальше запрятать. Всё, кому надо всё о вас знают вдоль и поперёк. Вы сами сдаёте свои фотографии на документы, Сами загадили все зти ваши интернетф своими фотками, Сам разблокируете свои смартфоны отпечатками пальцев (которые сливаются "куда надо"). И так далее.
А вот о тех, кто всё это собирает и бережно хранит, вы не знаете ничего. И будете узнавать ещё меньше, поскольку размахивая жупелом "утечек", будут засекречивать всё больше.
А ведь было бы для начала очень не плохо иметь в свободном доступе все данные со всей биометрией на всех уголовников- рецедивистов. Вплоть до генетической информации.
"какой-то процедуры сравнения только биометрических данных..."
Вот и не должно быть "какой-то" процедуры, а должны быть стандартные адекватные процедуры. Например, в сегодняшней ситуации не должно быть никаких дистанционных выдачей кредита..Только бумажная копия договора с отпечатанной на ней фотографией заёмщика в момент подписания и отпечатками пальцев заёмщика в специальных полях. Естественно с разборчивой подписью. Эти три биометрических пролцедуры несложно реализовать: Подпись, фотография, отпечатки пальцев. Такой документ банкстеры должны хранить и только на основании подобного документа трясти с бедолаг бабло. Не можете составить такой документ - не давайте в долг. Дали в долг без такого документа - пеняйте на себя, никто вам ничего не должен.Пусть банкстеры и прочие лихоимцы напрягаются и сотворят возможность печати документа с фотографией, отпечатками пальцев и подписью. Не хотят - их проблемы.
Вот и не должно быть "какой-то" процедуры, а должны быть стандартные адекватные процедуры.
Это слишком долго описывать. Утверждения вида "Вот вы говорите, что вы считаете, что человек что-то должен только потому что какая-та биометрия сошлась? Вот вам штраф" - гораздо проще к проверке и исполнению. Ну и, соответственно, смотреть, является ли процедура в этом смысле адекватной.
Эти три биометрических пролцедуры несложно реализовать: Подпись, фотография, отпечатки пальцев. Такой документ банкстеры должны хранить и только на основании подобного документа трясти с бедолаг бабло.
Перебьются. Потому что и внешний вид и подпись (Кстати, произвольная, государству неизвестная?), отпечатки пальцев - сейчас не так чтобы легко, но и не так чтобы совсем сложно подделываются, если верить разным докладам на конференциях.
Т.е. я считаю что этого недостаточно. Нужно еще что-то добавлять. Чего сейчас нет, да. Надо придумывать.
никаких дистанционных выдачей кредита
Получается модель бизнеса Тинькова у которого ну нет офисов для клиентов (реально то есть,один, но туда попасть - надо записываться и это для особых случаев совсем) не работает? Или курьер это нормально? А ничего что курьер с которым встреча в лучшем случае в кафешке или в его машине - совсем не факт что сможет проверить адекватно что это вообще тот клиент?
И...достаточно клиента один раз идентифицировать полноценно а потом можно и не очень или все же надо каждый раз договор новый?
Эти проблемы тоже придется решать.
Мне вот тут вспоминается почему то США. И то как у них внедрялись кредитки (рассылкой по почте).
Ну в итоге как пишут - сделали просто закон - что если клиент говорит что операцию по кредитке на сумму выше 50 долларов клиент не делал - значит клиент эту операцию не делал, отменяйте. Если банк иного мнения - подавайте в суд за мошенничество на клиента, в суде выяснилось что реквизиты сперли или карту клонировали - это банка проблемы а не клиента. В интересах банка искать все же технические решения чтобы не возникало таких проблем.
Касаемо биометрии...
В нулевых один опытных старый (физически) безопасник сразу и говорил - о, еще одну универсальную систему для всех жителей страны сделали. Ждем, когда БД утечет и будет на рынке.
Мошенники обновили схему для получения доступа к аккаунтам граждан на «Госуслугах»
Ну может хоть с их помощью я смогу попасть на госуслуги...
Схема как была одна так и есть, кратко излагаем.
Мошенники: (блаблабла белый шум) дайте данные (блабла белый шум).
Всё, вся схема изложена.
Распознается таким образом очень просто - по фразе "дайте данные", трубку можно сразу вешать.
При чем не надо искрить юмором, вступать в переговоры, типа издеваться и так далее, это работает лишь на мельницу мошенников (отработка новых скриптов, запись биометрии).
Почти все эти видео/аудио/тексты "как я довел мошенника до истерики" - мошенниками же и пиляться с целью развести народ если не на деньги, то хотя бы на разговор какой-то длительности с разными сценариями.
Я недавно дотерпел до момента, когда граждане начинают домогаться важных данных. Профессионально работают. Долгий разговор, перевод на "специалиста", потом снова долгий разговор, вопросы... В общем, человек не очень грамотный вляпаться может, особенно пожилой.
Может ли быть уязвимость в дизайне, контенте и CSS и разбор такой уязвимости(?) на Госуслугах
Всегда своих стариков учил и учу - если вам что-то предлагают что вы сами не искали - это мошенники. И не надо задумываться о сути запросов.
Только вчера позвонил некий кадр, представившись налоговиком, дескать финмониторинг, платежи на Украину, ай-яй-яй, турма сидеть. Я держал его на телефоне минут 15, дошло до получения кода с Госуслуг. И дёрнуло меня спросить, сколько частей в Налоговом кодексе РФ? :) Мат и брошенная трубка...
Хотя работали убедительно, непрошаренного человека могли бы и развести. Прошаренный сразу бы услышал кучу ереси, раскрывать не буду.
Так что если кому надо - берите на вооружение, у "полицейского" можно номер закона о полиции спросить, у "центробанка" закона о центральном банке :) у "следователя" что-нибудь про УПК. Вежливо и спокойно, это поможет вам получить таймаут и переключить мозг в спокойный режим, пока та сторона, выбитая из скрипта, осмысливает ситуацию.
Проще сразу бросить трубку и не тратить на них своё время. Мне, кстати, почему-то давно мошенники не звонили.
Так скучно, и мошенник сразу перезвонит другой жертве.
При принятии решений есть такая методика их оценки - что будет, если так будут делать все? Допустим, что у нас 95% умных и 5% доверчивых и мошенник обзванивает всех случайно. Если все умные будут бросать трубку, мошенники быстро попадут на доверчивых и обманут их. Если наоборот - все умные по возможности будут держать мошенников на линии, количество обманутых доверчивых резко упадёт. :)
Мошенники обновили схему для получения доступа к аккаунтам граждан на «Госуслугах»