Позавчера вечером раздался звонок на мой мобильный телефон. Номер московский (499), начинается с 9 — мобильный номер. Еду в машине по запутанным дворам и ищу место для парковки, но на звонок ответил. Играет музыка и робот говорит, что со мной будет разговаривать служба безопасности Сбербанка. Подключается молодой человек, представляется «Владимир Владимирович, это Роман из службы безопасности Сбербанка». Сообщает, что в мой сбербанк-онлайн произведен вход из города Владивосток. Спрашивает, подтверждаю ли я этот вход.
Никого во Владивостоке у меня уже нет, я ж оттуда уехал лет 30 назад, но я сразу и отвечаю:«Конечно, подтверждаю!». На этом логика разговора у него ломается, и он обиженно заявляет -«ну тогда мы подключаемся». Кладу трубку.
Юмор то юмор, но мошенники достигли новых высот в своих схемах — уже узнают даже имя и отчество.
Деньги пока не списали ;)
Заодно и коллег предупреждаю — наши данные становятся известны.
Если данные адвокатов достаточно широко известны, то данные других пользователей интернета уже тоже постепенно распространяются. Узнать, есть ли карта сбербанка, подключенная к публикуемому номеру телефону, можно из своего приложения сбербанк-онлайн.
Уважаемый Владимир Владимирович!
А почему надо отвечать именно так:
отвечаю:«Конечно, подтверждаю!»
Уважаемый Анатолий Кириллович, да можно отвечать все, что угодно. Главное, не сообщать код, который придет по СМС. Сбербанк использует двухфактурную аутентификацию. Мне-то было интересно, что еще придумывают мошенники — я ж с этим борюсь, как адвокат. Я раньше работал начальником управления платежных систем одного банка, и образование есть соответствующее ;)
Уважаемый Владимир Владимирович!
1. Воспользовался Вашей ссылкой про
двухфактурную аутентификацию2. Поделитесь ещё раз своими знаниями и опытом.
многие люди используют довольно тривиальные пароли, причем сразу во многих местах Этих «мест» так много, что если для каждого создавать свой пароль, возникает техническая проблема: «Где или как их хранить? Все и в удобном для использования виде.
Уважаемый Анатолий Кириллович, проще всего вспомнить какой-то детский стишок (или строчку из песенки), типа «в лесу родилась елочка, в лесу она росла» и вводить пароль «влесУродилАсьЕлочка_влесУонАрослА_» (можно на английской раскладке)+первые две буквы сайта, на котором вводите пароль и какое-нибудь число. И вот пароль получается достаточно длинный, с спецсимволами и цифрами «dkcEhjlBkfcmTkjxrf_dktcEjyFhjckF_pr2019».
На другой сайт можно менять только две буквы названия сайта. Хотя это весьма уязвимая схема — можно разгадать название песни и определить Вашу логику назначения паролей, но все же.
Но для большинства сайтов пароли хранит Хром/гугл. А вот с ним надо быть осторожным и использовать двухфакторную авторизацию обязательно!
А для платежный сайтов использовать непременно двухфакторную авторизацию и виртуальную клавиатуре (надо тыкать в копочки на экране мышкой). Впрочем, это обычно есть — иначе банки и третьесторонние процессинги не пройдут сертификацию PCI DSS. Но вот Сбербанк не использует виртуальную клавиатуру, а PCI DSS как-то прошел.
При наборе цифр банковкой карты в поле ввода в середине номера вводить какую-то букву и потом ее стирать. Это для борьбы с кейлоггерами, которые перехватывают набор с клавиатуры, проверяют наличие номера карты, вводимого последовательно.
Уважаемый Владимир Владимирович!
Спасибо за полезное разъяснение.
Но мой вопрос был ещё и в том.
100 паролей для всех необходимых мест создано.
Где или как их хранить? Все и в удобном для использования виде.
Уважаемый Анатолий Кириллович, ну я, например, «храню» в гугл-хроме. Он сам подставляет пароли при входе на сайты. Пароли в платежные системы храню в заметках gmail. Пока хватает.
Но для большинства сайтов пароли хранит Хром/гугл. А вот с ним надо быть осторожным и использовать двухфакторную авторизацию обязательно!Уважаемый Владимир Владимирович, а для смс желательно иметь европейскую симку (чтобы наши силовики не имели возможности склонировать её), вставленную в простую звонилку.
Уважаемый Сергей Равильевич, я не использую иностранные симкарты для аутентификации. Государственными переворотами я не занимаюсь, покушение на президента не готовлю. нет у меня ничего интересного для них в почте. Да и лучше пусть взломают мой гугл-аккаунт наши спецслужбы, чем прибегнут к старому доброму ректальному термокриптоанализу (bandit)