«Исторически так сложилось»

Угроза №1: Несанкционированные расходы

Угроза №2: Безопасность аккаунтов

Угроза 3: Приватность

Слезаем с иглы SMS — будет непросто

Финансовые операции

Подтверждения входа в сервисах

Общение

Два более радикальных варианта

Доступны ли эти SMS в открытом виде локальному оператору, который обслуживает в роуминге иностранный номер?

Хранит и должен ли он хранить их по закону?

Обязан ли предоставлять информацию о сообщениях на такие номера по запросу?

Рассказываем о потенциальной угрозе безопасности и приватности при использовании SMS.Кто впервые сталкивался с мобильным телефоном, помимо звонков, узнавал о наличии коротких текстовых сообщений. И если изначально сообщения чаще использовались для обмена информацией без участия живого оператора (вспоминаем пейджер), то теперь они превратились в главный инструмент уведомлений и верификаций.Мы провели тематический опрос в нашем телеграм-канале . Не всем очевидно, но ответ «» угрожает приватности ещё больше, чем SMS-переписка с кем-то, у кого нет мессенджеров. Поздравляя родственника с праздниками, вы задумываетесь, о чём пишете. Кто отправляют уведомления — нет. Выборка скромная, но в больших цифрах разница окажется несущественной.Регулярно появляются рассказы об автоматических подписках на платные сервисы. В прошлом месяце на Хабре говорили про Мегафон Год назад про МТС на Медузе Для понимания масштаба проблемы:Вы теряете SIM-карту, обращаетесь с паспортом в салон сотового оператора, сотрудник за минуту выдаёт новую карточку с вашим номером. Обычный сценарий? То же самое он может сделать и по собственной воле без вашего ведома, если выгода превысит последствия и вероятность наказания.Но заметно более популярен перевыпуск SIM-карт по поддельной доверенности . Осознавая проблему, сотовые операторы предлагают защититься запретом действий от имени абонента по доверенности. Хотя могли бы решить проблему глобально, установив запрет по умолчанию.Попав в чужие руки, ваш номер становится ключом к почте, мессенджерам, множеству платёжных инструментов. То есть везде, где используется восстановление доступа или верификация через SMS.Относительно хорошая новость в том, что большинство современных банков умеет отслеживать факт смены SIM-карты, а значит — не впустят в интернет-банк, и не пришлют код подтверждения онлайн-платежа. По крайне мере до тех пор, пока вы не подтвердите смену карточки в отделении или по телефону. Но не забываем, что записи по «пакету Яровой» хранятся у оператора полгода, а там, среди прочего, есть и ваши ответы на «секретные вопросы».Получить контроль над вашими SMS могут и силовые ведомства, о чем мы уже рассказывали ранее. Без перевыпуска SIM-карты и абсолютно незаметно для абонента.Вот тут самое интересное.: онлайн-сервисы, рестораны, клубы, клиники, магазины, службы доставки, каршэринг. Многие подписывают свои сообщения, а значит можно сразу определить, какими сервисами пользуется клиент. Сколько личной информации содержится в таких сообщениях, можете представить сами.. Из таких сообщений можно получить информацию:• об остатках на счетах;• о снятиях и пополнениях, в каких банкоматах;• о вашем общем обороте за любой период;• о вкладах: размере, сроке, выплаченных процентах;• об одобренных кредитах, платежах по ним и задолженностях;• о выпущенных картах, о части их цифр, а иногда часть или целый пин-код;• о всех транзакциях пользователя, его покупках;• об оплате счетов;• о переводах другим людям, включая их имена и номера счетов.И вот то, что сохраняет оператор, не защищено никакой «банковской тайной».Собранная информация позволяет составить доскональный и персонализированный профиль клиента. Для аналитики не требуется много ресурсов: текстовая информация по шаблонам, ключевым словам и типе адресата легко обрабатывается алгоритмами.Подобный профиль предоставляет практически безграничные возможности оператору и кому-либо еще, получившему несанкционированный доступ, включая утечку базы данных.Откройте свои SMS и посмотрите, какой информацией вы делитесь с оператором в открытом виде.Согласно расследованию Mobile-Review — 3 года, по информации Максима Каца — как минимум 2 года.Переходим на использование Push-уведомлений вместо SMS.Пример сценария от Альфа-Банка:Аналогичная процедура доступна в большинстве других банков с мобильными приложениями.Используем приложения верификации в смартфоне (Google Authenticator и аналоги), смарт-карты, токены или как минимум подтверждение по e-mail надёжного почтового сервиса.Всех, с кем вы общаетесь через SMS, можно пересадить на безопасные или относительно безопасные мессенджеры зарубежного производства. Покажите им лично, что пользоваться мессенджерами не страшно и не больно.На обсуждение.Несколько сомнений в надежности этого варианта:Если кто-то хочет рассказать о «внутренней кухне» этих вопросов, но не готов сделать это в публичных комментариях, можно анонимно написать в наш телеграм-бот с пометкой «для Хабра». По вашему разрешению мы добавим обезличенную информацию в статью.Пока сложно представить, как с этим жить. Но в нашем голосовании этот вариант набрал 13%…Сможете ли вы полностью отказаться от SMS?