Мегафон совсем забил на безопасность?
A
Astron
Здравствуйте.
На днях меня без моего ведома (и согласия, разумеется) подписали на какую-то очередную мобильную подписку. Стал разбираться как оно вышло. Технология оказывается проста как пень
- заходим на сайт UMT (или как там его - где сообщениями управляют)
- ставим переадресацию себе
- подписываем куда хотим
- убираем переадресацию
- все шито-крыто
Понятно, что ушел пароль сервис-гида. Его подобрать - раз плюнуть. Или достаточно крота в мегафоне.
Причем ладно на 20-ти рублевую подписку развести. Таким образом можно и подтверждения работы с интернет-банками
- Русский Стандарт
- Альфа
- Тиньков
и прочими перехватывать, и все - можно сотнями тысяч заниматься!
Причем, по-факту, защищены интернет-банки получаются только мегафоновским паролем от сервис-гида, это ж капец!
Вопрос - как-то можно отключить нахрен все то, что в Мегафоне подключено по-дефолту? Особенно доступ к сайту с управленим СМС?
Это же извиняюсь тот самый ключ от квартиры, в Мегафоне что - совсем что ли идиоты, не понимают?
На днях меня без моего ведома (и согласия, разумеется) подписали на какую-то очередную мобильную подписку. Стал разбираться как оно вышло. Технология оказывается проста как пень
- заходим на сайт UMT (или как там его - где сообщениями управляют)
- ставим переадресацию себе
- подписываем куда хотим
- убираем переадресацию
- все шито-крыто
Понятно, что ушел пароль сервис-гида. Его подобрать - раз плюнуть. Или достаточно крота в мегафоне.
Причем ладно на 20-ти рублевую подписку развести. Таким образом можно и подтверждения работы с интернет-банками
- Русский Стандарт
- Альфа
- Тиньков
и прочими перехватывать, и все - можно сотнями тысяч заниматься!
Причем, по-факту, защищены интернет-банки получаются только мегафоновским паролем от сервис-гида, это ж капец!
Вопрос - как-то можно отключить нахрен все то, что в Мегафоне подключено по-дефолту? Особенно доступ к сайту с управленим СМС?
Это же извиняюсь тот самый ключ от квартиры, в Мегафоне что - совсем что ли идиоты, не понимают?
A
Astron
Уточняю, судя по всему работал вирус на андроиде, судя по детализации, где не видно исходящих СМС на 5598, включил услугу оттуда через USSD- запрос.
Что, однако, проблему не снимает.
Возможно ли как-то наглухо отключить подобный "сервис" чтобы никто и никогда без моего паспорта и моей подписи не мог управлять моими СМС? Мне что, счета в банках закрывать из-за этой дыры, или заводить отдельный не-мегафоновский номер для работы с интернет-банками?
Что, однако, проблему не снимает.
Возможно ли как-то наглухо отключить подобный "сервис" чтобы никто и никогда без моего паспорта и моей подписи не мог управлять моими СМС? Мне что, счета в банках закрывать из-за этой дыры, или заводить отдельный не-мегафоновский номер для работы с интернет-банками?
Б
БАНГО
заходим на сайт UMT
что это и зачем? Правду говорят - меньше знаешь лучше спишь.
судя по всему работал вирус на андроиде
так вирус виноват? Мега то тут причем? Ставьте антивирь тогда и не лазьте куда не попадя.
A
Astron
что это и зачем? Правду говорят - меньше знаешь лучше спишь.
Это сервис, придуманный Мегафоном, чтобы было легче украсть Ваши деньги, причем Вы про это не узнаете, а они не будут виноваты. Сайт тут
https://messages.megafon.ru/user/toUserPage.do
так вирус виноват? Мега то тут причем? Ставьте антивирь тогда и не лазьте куда не попадя.
Мега - лучший оператор всех времен и народов!
Я люблю Мегафон!
Мегафон - это то, на чем стоит вся современная цивилизация!
Что однако не отменяет факта, что они сделали замечательную дырку в безопасности. Ладно вирус, так ведь пароль от сервис-гида воруется или подбирается на раз. После чего любой школяр-кулхацкер может украсть все Ваши деньги так, что Вы даже не узнаете, без всяких вирусов.
Так что я совсем не против Мегафона, даже принимая во внимание тот орган, который они положили на безопасность.
Я только хочу узнать - есть ли возможность убрать вышеупомянутый орган с моих телефонных номеров. Всем остальным абонентам Мегафона я желаю удачи и побед в судах по поводу пропавших денег (хотя искренне считаю что хрен они докажут что не сами все перевели).
Б
БАНГО
Истерика засчитана.
У меня деньги не пропадали НИ РАЗУ за много лет использования меги.
Сомнительными услугами (неважно кем придуманными) не пользуюсь. Андроидом тоже не пользуюсь.
A
Astron
То есть по теме Вам сказать нечего?
Жаль, жаль..... Ну хоть кто-то достаточно компетентный тут бывает? Или, может, еще где-то спросить?
У меня деньги не
пропадали НИ РАЗУ
дадада, на Банковских Технологиях периодически всплывают темы "как так, все было хорошо, а тут вдруг раз - и пропали все деньги, как наказать банк" :-)
У вас все по песенке "думайте сами, решайте сами". Вы решили "не иметь" - это Ваша личная проблема. Скажите мне Ваш телефон - можно в личку - будет время проиллюстрирую Вам как попасть на бабки на Вашем же примере :-d
Б
БАНГО
проиллюстрирую Вам как попасть на бабки на Вашем же примере
Так вы думаете я не в курсе как попасть на бабки с мобильного? Дурное дело не хитрое.
То есть по теме Вам сказать
нечего?
Почему же есть -
меньше знаешь лучше спишь.
о
очень удачливый
Ну хоть кто-то достаточно компетентный тут бывает?
я пришел к выводу, что проще иметь отдельную симку для таких вещей и причем у консервативного оператора а не у " развлекательной тройки".
A
Astron
я пришел к выводу, что проще иметь отдельную симку для таких вещей
я в 24 ру вообще картами с кодиками затарился. Если их потеряю - буду хоть сам виноват....
А то ребенок на телефоне поиграл пока никто не видит - опа-вирус! И началось.....
А с этим супер-сервисом вообще песня... Достаточно 2 минуты чужой тел в руках подержать (коллега покурить вышел) - сервис-гид - и все, ловите ваши денежки.... И никаких вирусов с аденоидами не надо..... Не спасет даже нокия 3310.....
о
очень удачливый
А с этим супер-сервисом вообще песня..
вот потому и
иметь отдельную симку для таких вещей и причем у консервативного оператора
благо телефон сейчас стоит 650р и если раскидать эту сумму на несколько банков, устранение дыры обходится не дорого
A
Astron
благо телефон сейчас стоит 650р и
угу, и таскать с собой, и не забыть зарядить....
свой 2 месяца назад сменил, думал еще - нужен ли мне двухсимочный. решил что нет. Блин.... Вот ведь гадство.
Надо на 72 тему поднять, может там у кого идеи будут как спасаться от такого "сервиса"....
Сейчас - пользуясь знанием о нем - подписался на все СМС ребенка. Мне ходят копии, читаю-прикалываюсь. Он и не заметил.... Не сервис - мечта хакера, спасибо мегафону, блин...
M
Medison
Появился официальный комментарий мегафона по данной теме:
Мы благодарим вас за бдительность и внимание к вопросам информационной безопасности нашей компании.
В отношении описанной ситуации считаем необходимым сообщить следующее.
Взлома сервиса самообслуживания Сервис-ГИД на стороне оператора не было и быть не могло, т.к. наши системы от подобных атак надежно защищены. Мы выявили факты подключения нескольким сотням наших пользователей подписок на платные контент-услуги со стороны третьих лиц. Подключение было осуществлено c использованием персональных паролей доступа и управления услугами, полученными злоумышленниками через вредоносное ПО на стороне клиентов.
В результате проведенных мероприятий никто из абонентов материально не пострадал, поскольку мы выявили всех, кому таким неправомерным образом была подключена такая подписка и вернули им деньги независимо от того, обращались ли они в ?МегаФон? или нет. К контент-провайдерам, на чьи услуги подключало вредоносное ПО, применены жесткие санкции.
Уважаемые клиенты, обращаем ваше внимание на важность сохранения персональной информации. Не используйте простые цифровые пароли для доступа к электронным ресурсам. Не передавайте пароли третьим лицам. Не устанавливайте сомнительное ПО на свои устройства. Используйте антивирусное ПО. Если пришли подозрительные СМС ? обращайтесь к оператору. Эти простые правила позволят вам избежать непредвиденных ситуаций.
В отношении описанной ситуации считаем необходимым сообщить следующее.
Взлома сервиса самообслуживания Сервис-ГИД на стороне оператора не было и быть не могло, т.к. наши системы от подобных атак надежно защищены. Мы выявили факты подключения нескольким сотням наших пользователей подписок на платные контент-услуги со стороны третьих лиц. Подключение было осуществлено c использованием персональных паролей доступа и управления услугами, полученными злоумышленниками через вредоносное ПО на стороне клиентов.
В результате проведенных мероприятий никто из абонентов материально не пострадал, поскольку мы выявили всех, кому таким неправомерным образом была подключена такая подписка и вернули им деньги независимо от того, обращались ли они в ?МегаФон? или нет. К контент-провайдерам, на чьи услуги подключало вредоносное ПО, применены жесткие санкции.
Уважаемые клиенты, обращаем ваше внимание на важность сохранения персональной информации. Не используйте простые цифровые пароли для доступа к электронным ресурсам. Не передавайте пароли третьим лицам. Не устанавливайте сомнительное ПО на свои устройства. Используйте антивирусное ПО. Если пришли подозрительные СМС ? обращайтесь к оператору. Эти простые правила позволят вам избежать непредвиденных ситуаций.
P
POSEISRON
Уточняю, судя по всему работал вирус на андроиде, судя по детализации, где не видно исходящих СМС на 5598, включил услугу оттуда через USSD- запрос.
За действия твоего смартфона отвечаешь именно ты. Сам качнул приложение со стороннего ресурса (не гугл плэй) а теперь разводишь ПЯ.
Что касается стороннего ресурса НЕ МЕГАФОНОВСКОГО, который ты рекламируешь здесь, это только дебил будет пароль к Сервис-Гиду прописывать где ни попадя. Если что привожу копия того что выдаёт система защиты
На этой странице обнаружена
циклическая переадресация
Загрузка веб-страницы по адресу https://messages.megafon.ru/user/toUserPage.do вызвала слишком много переадресаций. Попробуйте очистить для этого сервера файлы cookie или разрешить их прием от независимых сайтов. Если это не поможет, возможно, проблема связана не с вашим компьютером, а с конфигурацией сервера.
Вот несколько советов и рекомендаций:
Обновите эту страницу позже.
Подробнее об этой неполадке.
Ошибка 310 (net::ERR_TOO_MANY_REDIRECTS): Обнаружено слишком много переадресаций.
Не кажется что ресурс который ты рекламируешь фейк, целью которого выуживание
пароля от Сервис-Гида?!
Загрузка веб-страницы по адресу https://messages.megafon.ru/user/toUserPage.do вызвала слишком много переадресаций. Попробуйте очистить для этого сервера файлы cookie или разрешить их прием от независимых сайтов. Если это не поможет, возможно, проблема связана не с вашим компьютером, а с конфигурацией сервера.
Вот несколько советов и рекомендаций:
Обновите эту страницу позже.
Подробнее об этой неполадке.
Ошибка 310 (net::ERR_TOO_MANY_REDIRECTS): Обнаружено слишком много переадресаций.
A
Astron
Не кажется что ресурс который ты рекламируешь фейк, целью которого выуживание пароля от Сервис-Гида?!
Датычо? Чувак, а ты не гонишь?
Это правда фейк? А почему я смог переадресовать СМС ребенка себе, используя этот сервис?
За действия твоего смартфона отвечаешь именно ты.
А за твоего - ты. Когда выходишь покурить из комнаты - не забывай взять с собой. Когда ребенок дома около смартфона трется - тоже глаз не спускай. Заведи сейф, и не будет ПЯ :-)
A
Astron
Появился официальный комментарий мегафона по данной теме:
Спасибо, Мегафон как всегда на высоте в плане клиенториентированности. За что в том числе я крайне положительно к ним отношусь.
Однако, ПЯ мой был про то, что они опасность недооценивают. Дело не только в платных подписках. Таким макаром можно интернет-банки обчищать. И тут цена вопроса может быть в миллионах рублей.
P
POSEISRON
Когда выходишь покурить из комнаты - не забывай взять с собой.
Так во первых, я не курю и тебе не рекомендую. А во вторых, ребёнка воспитывать нужно, с чем можно баловаться, а с чем не стоит играться.
А почему я смог переадресовать СМС ребенка себе, используя этот сервис?
Может потому что ты доверил пароль от своего Сервис-Гида третьим лицам?!
Когда ребенок дома
около смартфона трется - тоже глаз не спускай. Заведи сейф, и не будет ПЯ
У Андроида есть система блокировки, либо графикой, либо цифрами, либо снимком лица. На твой выбор.
A
Astron
Так во первых, я не курю и тебе не рекомендую.
я тоже. Однако ходить с телефоном в обнимку все время невозможно, увы. Иногда он теряется из виду....
А во вторых,
ребёнка воспитывать нужно, с чем можно баловаться, а с чем не стоит играться.
Специалист? Детей много воспитал? Что они в процессе воспитания не слушаются и/или делают наоборот - в курсе?
Может потому что ты
доверил пароль от своего Сервис-Гида третьим лицам?!
Цитата:
Цитата:
Ответ неверный. Правильный: "Потому, что есть техническая возможность перехвата СМС 3-ми лицами." Пароль от СГ и не нужен. Нужен доступ к телу на 10 сек (набрать USSD запрос на тупом теле или посадить вирус на умном).
У Андроида есть система блокировки, либо графикой, либо цифрами, либо снимком лица. На твой выбор.
Да я в курсе, а еще можно в сейф запереть, как я тебе выше советовал :-)
---------------------------------------
Отвлекаясь от веселой перепалки, техническая возможность перехвата СМС есть большое зло и дыра в безопасности всегда. Да, можно стараться не наступить на эти грабли, но для этого неплохо бы про них вообще знать. Я думаю, что когда в банках поймут, что СМС на подтверждение платежей могут быть перехвачены, они запретят работу с номерами Мегафон.
Представьте суд. Интернет-банк. Списали со счета 500 000 рублей, получатель - кошелек на яндекс-деньгах (концов нет, деньги не поймать). Клиент ни сном ни духом (СМС перехвачены). Обнаружил через месяц. Пишет заявление в банк. Банк отмазывается "мы Вас идентифицировали по паролю, а пароль был восстановлен через СМС, списание со счета подтверждено кодом, посланным по СМС, мы не виноваты". Клиент заявляет что ничего не получал. Идет в Мегафон. Мегафон заявляет что он все честно переслал. Далее клиент заявляет что Мегафон разгласил содержание СМС и не сообщил их владельцу номера вообще.
Все, меге придется отмазываться что они не верблюды, ибо конфиденциальная информация была разглашена именно ими. Будут ходить по судам и валить это на клиента (что в 90% случаев справедливо), только вот не на каждого свалишь, и я не понимаю зачем им это надо.
10% случаев - это оставленный на столе на 5 минут телефон и "коллега" без особых принципов. Реальный сценарий.
Г
Губернатор Аляски
Даже на банках.ру обсуждают воровство со счета Мегафона: http://www.banki.ru/forum/index.php?PAGE_NAME=mess...
A
Astron
Даже на банках.ру обсуждают воровство со счета Мегафона
Когда начнут массово обчищать интернет-банки, этак по миллиончику-другому с одного терпилы, там такой вой поднимется - мама не горюй.
Мегафон реально не понимает что они сделали. Они думают что рискуют подписками по 20 рублей в день.
Хрен! по факту номером телефона защищены многие почтовые адреса, как следствие - интернет-логины, далее логины на банковских серверах....
И все это дело, миллионные счета, или серьезные аккаунты - зависит или от пароля к сервис гиду (требования к секретности - сами знаете, никакие), или от доступа к телу на 10 секунд, или от отсутствия антивируса на телефоне.
Жопа полная.
Интересно, у них хватит ума подключать эту услугу только по письменному заявлению, или дождутся первых судебных исков?
A
Astron
симку можно тупо в другой телефон вставить и узнать пароль к сервис-гиду
Я выше одному оппоненту так и советовал - запереть телефон в сейф.
Хотя можно проще - отключиться от мегафона, пока не поздно.
И ведь как знал, а?
http://www.banki.ru/services/responses/bank/?respo...
Может это топикстартер все и замутил?
http://www.banki.ru/services/responses/bank/?respo...
Может это топикстартер все и замутил?
A
Astron
Не я. Я просто много лет с банками связан, и предвидеть такое было нетрудно. Ткс банк бапки отдал, а могло и не прокатить.... Еще Есть Альфа, РС И Др. Банки. Ждем Как Их Грабить Будут.
Авторизуйтесь, чтобы принять участие в дискуссии.