Защита для номера телефона

30 января 2020
32721

Сотовый беспредел. Как защитить мобильный номер от взлома

Пароль не единственное препятствие к вашим данным. Злоумышленники нашли новую лазейку в безопасности — теперь они подделывают мобильные номера. Получив к ним доступ, мошенники без труда взламывают аккаунты в соцсетях, приложениях и на банковских сайтах.

Наши коллеги из CNET рассказали про такой способ мошенничества, а мы перевели и адаптировали материал.

Как это работает?

Злоумышленник связывается с оператором сотовой связи и убеждает его, что на самом деле он является владельцем номера. В ход идет вся доступная информация — имя, фамилия, год рождения и другие данные, которые легко получить из соцсетей или с помощью социальной инженерии.

Есть еще один вариант — мошенник приходит в салон связи и показывает поддельную доверенность от имени владельца. К сожалению, очень часто у сотрудников не хватает компетенции понять, что документ фальшивый.

В первом случае злоумышленник просто переназначает нужный номер на свою симку, во втором — перевыпускает SIM-карту, получая полный доступ.

А что страшного в потере номера?

На первый взгляд это кажется безобидным. Но помимо контактов и истории SMS, пользователь теряет доступ к банковским приложениям, учетным записям в социальных сетях и куче других важных ресурсов.

Вспомните, как на каком-нибудь сайте вам предлагают ввести не только пароль, но и номер телефона. Кажется, что вы защищены, но мошенник легко обойдет двухфакторную аутентификацию (2FA), так как теперь все коды приходят ему.

А-А-А! Как защититься?

Чтобы обезопасить себя от подобных проблем, советуем установить PIN-код или пароль на SIM-карту. Пожалуйста, не используйте свое имя, год рождения или другую легко угадываемую информацию — так вы значительно усложните жизнь мошенникам. Чтобы не потерять новый пароль, рекомендуем прочитать эту статью.

Для защиты важных аккаунтов можно использовать Google Authenticator — это мобильное приложения для Android и iOS, которое создает одноразовые ключи доступа. Работает это так: вы открываете нужный вам ресурс, вводите логин и пароль, а затем уникальный код из приложения Google Authenticator. Если мошенник и получит доступ к вашему номеру, этот дополнительный рубеж защиты ему будет тяжело преодолеть.

Если у вас свой бизнес, рекомендуем попробовать ESET Secure Authentication. У него такой же принцип работы, только он защищает конфиденциальную информацию компании.

Что делать при взломе SIM-карты?

Если вы вдруг оказались в такой ситуации, срочно звоните оператору и говорите, что вы ничего не меняли. Не медлите — чем больше времени у кого-то есть доступ к вашему номеру, тем хуже могут быть последствия.

После этого сразу же сообщите о ситуации в банки и другие важные учреждения, к которым привязан ваш номер. Лучше всего это делать лично, только не забудьте взять паспорт.

Большинство операторов вводят ограничения на сутки при смене владельца SIM-карты — блокируют входящие и исходящие смски, отключают мобильные переводы. Этого времени достаточно, чтобы быстро сообщить о взломе и минимизировать ущерб.

Провайдеры связи постоянно вводят новые способы защиты от мошенников, но одну уязвимость они не смогут устранить никогда — человеческий фактор. Чтобы дополнительно обезопасить важные приложения, рекомендуем установить мобильный антивирус ESET NOD32 Mobile Security с модулем «Блокировка приложений».

Технический прогресс приносит не только блага, но и немалые беспокойства. В частности — спам-звонки на мобильные телефоны, которые сегодня лежат в карманах подавляющего большинства обитателей развитых стран мира.

По информации «Яндекса»¹, 83% российских абонентов получают по одному спам-звонку в неделю. И это вовсе не безобидные шутники, собеседником может оказаться мошенник, нацелившийся на ваши деньги.

Выбор редакции

Who Calls

Программа от лаборатории Касперского прекрасно справляется с задачей блокировки спам-звонков. Антиспам-база формируется сообществом пользователей. Блокировка спам-звонка происходит автоматически.

Мало того, определение номера работает всегда, даже если пользователь находится в роуминге с отключенным интернетом, так как база телефонов хранится в памяти устройства. Приложение также позволяет блокировать целые категории спам-звонков, но функция доступна только в платной версии.

Работает на платформах iOS, Android. Русский язык поддерживается.

Плюсы и минусы

Скачать: 

App Store / Google Play

Топ-10 лучших программ для блокировки звонков 2023 года по версии КП

1. «Яндекс» с «Алисой»

Очень простое многофункциональное приложение, которое не требует сложных настроек. Его достаточно установить, включить АОН и функцию определения номера и блокировки. Яндекс использует собственную базу спам-номеров и базу номеров организаций объемом 5 млн абонентов. Основное преимущество – постоянное обновление базы номеров. Поддерживает платформы iOS, Android. Русский язык поддерживается. Блокировки СМС нет. Приложение бесплатно, платной версии нет.

Плюсы и минусы

Скачать: 

App Store / Google Play

2. «Черный список»

Популярное приложение для Android с простыми настройками. Дополняет возможности встроенного практически в любой современный гаджет сервиса. Поддерживается русский язык. Есть блокировка СМС, ее необходимо активировать после установки приложения. Звонки с неизвестных и скрытых номеров блокируются бесшумно и без вибрации. Ознакомительный период — 1 месяц, затем работает платная версия с теми же возможностями.

Плюсы и минусы

Скачать: 

Google Play

3. Truecaller

Поддерживаемые платформы: iOS и Android. Анимспам-базу поддерживает сообщество из 250 млн пользователей, а нежелательные звонки и СМС блокируются автоматически, есть избирательная блокировка по именам и сериям номеров. В истории вызовов фиксируется информация о звонившем, даже если его нет в телефонной книге. Возможна запись разговора. Друзьям можно отправить данные геолокации, эмотиконы и другую персональную информацию. Поддерживает русский язык. В платной версии нет рекламы. Контакты, настройки и журнал вызовов сохраняются на Google Диске.

Плюсы и минусы

Скачать: 

App Store / Google Play

4. Call Blocker Free

Простая и удобная программа, но работает только на платформе Android. Потребляет мало ресурсов процессора и энергии аккумулятора, составляет черные списки номеров, блокирует их звонки и СМС, плюс звонки с неизвестных номеров и спам-звонки. Обнаруживает вероятных мошенников, создает резервную копию контактов.

Плюсы и минусы

Скачать: 

Google Play

5. REKK

Блокируются звонки и СМС от нежелательных абонентов. В сообщениях распознаются ключевые слова, например, «распродажа», «скидки», «опрос». Число заблокированных абонентов неограниченно, а пользователь получает информацию о владельце неизвестного номера. Если это некая организация, то ее адрес, сайт и электронную почту. База номеров непрерывно пополняется. Поддерживается русский язык.

Плюсы и минусы

Скачать:

App Store

6. «Блокировка звонков» (Call Blocker)

Программа поддерживается только платформой Android. Обладает самым быстрым алгоритмом блокирования нежелательных звонков, реакция гаджета настраивается: вызов можно сделать бесшумным, просто отклонить его или отправить абоненту сообщение о неправильном наборе номера, отсутствии связи или остановке обслуживания владельца. Потребление ресурсов телефона минимально. Вся информация хранится в отдельной программе с собственным журналом и настройками. Их можно защитить паролем, который тоже зашифрован. В черный список номера добавляются из журнала звонков или вручную. Их можно группировать и назначать графики блокировки. Определяются также скрытые и подмененные номера.

Плюсы и минусы

Скачать:

Google Play

7. Call Blocker Free — Blacklist

Приложение только для платформы Android. Есть блокировка СМС, возможна блокировка по ключевым словам или фразам. Блокируются звонки из черного списка и имеющихся в базе номера спамеров и мошенников. При этом фиксируются истинные, а не подмененные номера абонентов. Есть бесплатная и платная версии приложения. Поддерживается русский язык.

Плюсы и минусы

Скачать:

Google Play

8. Sync.Me

Работает на платформах iOS и Android. АОН определяет номера в 107 странах мира, интегрируется с соцсетями. Контакты автоматически дополняются фотографиями и сведениями из Facebook, Instagram, и Twitter. Автоматически распознает спамеров и мошенников, опираясь на данные собственной базы. Поддерживается русский язык, есть блокировка СМС. Приложение бесплатно, платной версии нет.

Плюсы и минусы

Скачать:

App Store / Google Play

9. Hiya

Приложение автоматически выявляет спам-вызовы, автообзвон, звонки от рекламных фирм, коллекторов и мошенников. Борется со спуфингомⓘ, то есть подстановкой ложных номеров и идентификаторов звонящих абонентов, определяя истинные номера. Спам-номера автоматически блокируются, база насчитывает сотни миллионов спамеров со всего мира и постоянно пополняется. Владелец гаджета получает полную информацию о неизвестном абоненте, включая его присутствие в списке спамеров или мошенников. Поддерживается блокировка СМС.

Плюсы и минусы

Скачать:

App Store / Google Play

10. Mr. Number

Поддерживается только платформа Android. Ещё один мощный АОН от Hiya определяет номера в большинстве стран мира. При вызове с неизвестного номера он сверяется с базой спамеров и мошенников, в случае совпадения — блокирует входящий вызов. Также приложение умеет предупреждать о спаме контактов абонента из телефонной книги. Блокировки СМС нет. 20 номеров блокируются бесплатно, затем необходима подписка.

Бонус — поддержка экстренных вызовов нажатием одной кнопки. При этом абонент получает не только сообщение, но и ваши координаты.

Плюсы и минусы

Скачать:

Google Play

Как выбрать программу для блокировки звонков

О том, как бороться с телефонным спамом, «Комсомольской правде» рассказал Александр Герасимов, директор по информационной безопасности компании Awillix.

Самый важный критерий в выборе приложений – база спам-номеров. Она должна регулярно обновляться и быть актуальной для пользователей из России или той страны, в которой живёт абонент. Также плюсом будет, если приложение определяет, какой компании принадлежит номер.

При выборе программ для блокировки звонков необходимо обращать внимание на умеренное энергопотребление, а также отсутствие рекламы или возможность отключить ее в платной версии.

Популярные вопросы и ответы

Источники

1. https://vc.ru/yandex/175419-83-rossiyan-poluchayut-hotya-by-odin-spam-zvonok-v-nedelyu

Технологии и способы защиты информации развиваются, но мошенников это, к сожалению, нисколько не останавливает. В этой статье мы подробно расскажем о краеугольных способах обезопасить себя и своих родственников от мобильного мошенничества. Будьте бдительными и защитите свой номер телефона максимальным образом!

Крылатое выражение “предупрежден — значит вооружен” в полной мере можно отнести и к защите своего номера от мобильных мошенников. Поэтому не стоит пренебрегать простыми рекомендациями, и возможно это сохранит не только деньги на счету телефона, но и позволит избежать других неприятностей.

К самым распространенным видам мобильного мошенничества относятся:

Первое, что необходимо помнить в современном мире, что использовать все новые технологии можно себе во благо. Так, не пренебрегайте возможностью использования своего личного кабинета. Получите на сайте оператора пароль от него, зайдите в кабинет, и убедитесь в корректности представленных там данных об абоненте. И обязательно установите сложный пароль для входа в кабинет, а не оставляете сформированный системой автоматически. На смартфоне можно дополнительно установить официальное приложение оператора для онлайн-контроля действий по номеру. Данные в нем также рекомендуется защитить паролем для входа, или включив биометрическую проверку.

Если не используете услуги переадресации, то проверьте какие из них активны по номеру. Отключите те, которые не нужны. Это позволит не только избежать расходов, но и исключить вероятность того, что звонки могут перенаправляться на посторонний номер.

Не лишним будет позвонить оператору и установить “кодовое слово” или пароль на доступ к любой информации и совершение любых действий с номером своего телефона. Выгоду от этого получите и вы сами, поскольку не нужно будет при обращении диктовать свои данные паспорта, а достаточно будет назвать кодовое слово.

Уточните у своего оператора и о возможности установки запрета любых действий по номеру без подтверждения. Это может быть звонок по дополнительному номеру, предъявление данных паспорта, или по личному визиту владельца СИМ-карты в офис.

Никогда не разглашайте конфиденциальную информацию о себе, кодовое слово, логины и пароли доступа в личный кабинет посторонним лицам. Не предоставляйте любую информацию при входящих звонках на номер, даже если звонящий представляется сотрудником оператора связи, и просит какие-нибудь уточняющие конфиденциальные данные.

Также, в век высоких технологий и развивающегося цифрового мира, не отвечайте на входящие звонки “Да, я вас слушаю”. Нередки случаи, когда мошенники могут использовать запись вашего “Да”, как подтверждения вашего согласия. Бывают и случаи, когда сами операторы используют подобную уловку. Так, если вам позвонил представитель оператора и предлагает переход на более выгодный тариф, но вы не готовы к этому, то отвечайте однозначно “Нет”. Сомнение в ответе, или фраза “я подумаю”, иногда заканчиваются сменой тарифного плана без вашего на то согласия.

Не доверяйте и просьбам о помощи, приходящим с неизвестных номеров, особенно якобы от имени ваших родственников, друзей и знакомых, или же от “полиции”, “МВД”, “банка” и “налоговой службы”. В любых подобных случаях обязательно постарайтесь сначала связаться с ними лично и уточнить, действительно ли у них возникли проблемы, и требуется ваша помощь.

Не передавайте свой телефон в незнакомые руки, и не оставляйте его в незнакомом месте. При ремонте обязательно извлекайте СИМ-карту, чтобы избежать возможного ее клонирования, а при возможности выполните полный сброс всех данных на гаджете. После ремонта можно конечно проверить смартфон с помощью антивирусных программ, но лучшим вариантом будет сброс до заводских настроек. Это позволит удалить всю установленную на него информацию без вашего ведома.

Если получили сообщение с информацией о выигрыше, или предложением очень выгодных условий чего-либо с указанием ссылки на сайт, то никогда не открывайте их в полученных СМС с неизвестных номеров. По возможности не принимайте участие в акциях, лотереях и викторинах, даже если они проводятся мобильным оператором. Шанс выиграть конечно есть всегда, но стоит помнить и о возможном проигрыше.

Также не рекомендуется загружать на свой смартфон приложения со сторонних ресурсов. Однако даже если всегда делаете это через официальный магазин приложений, то будьте внимательными при выборе программ. Проверяйте, кто именно является разработчиком, почитайте отзывы пользователей.

Если размещаете объявления в интернете, ищите работу, покупаете и оформляете заказы в онлайн, то заведите для этого отдельный номер. А при использовании соцсетей необходимо стараться как можно меньше личной информации публиковать в открытом доступе. Ведь не случайно сами соцсети регулярно просят проверить настройки конфиденциальности.

При использовании банковских сервисов необходимо пользоваться только официальными приложениями финучреждений, даже если сторонние более удобны в использовании. Это позволит держать банковскую информацию в безопасности от мошенников, и исключить утечку данных к посторонним или мошенникам.

При нахождении в роуминге необходимо понимать, что и за рубежом можно стать жертвой тех же схем мошенничества, которые действуют и в зоне обслуживания домашней сети. Но неприятности, от которых вы сможете более или менее легко отделаться дома, могут принести гораздо больший вред во время пребывания за границей. Помимо общих мер безопасности, отключайте мобильный интернет и автоматический прием ММС, избегайте считывать QR-коды, и пополняйте свой счет заранее. Такие простые советы позволят вам потратить средства на общение, а не передать их аферистам.

Пользуйтесь основным счетом только для оплаты связи и интернета, и заведите себе дополнительный счет для мобильного контента, если используете его. Так вы всегда останетесь на связи. Как сделать это — узнайте из нашей статьи по ссылке.

Если вы намереваетесь скачать мобильный контент, воспользоваться платной услугой или подпиской, но не уверены в добросовестности провайдера, или в точной стоимости услуги, обязательно получите требуемую информацию. Прочитайте, как проверить стоимость отправки сообщения на короткий номер.

Чтобы на телефон не просочился вирус или вредоносная программа, которая отправляет за вас СМС на платные номера, и вгоняет в бешеные долги, используйте проверенные временем сервисы от оператора “Запрет СМС на платные короткие номера”.

Часто случается, что мошенники могут переоформить на себя номер вашего мобильного телефона, воспользовавшись фальшивой нотариальной доверенностью. Вот это уже крупная неприятность, избежать которой можно, подключив услугу “Запрет действий по доверенности”. Подключив эту опцию, все действия с номером будут доступны только при вашем личном обращении к оператору. Отключить такой запрет невозможно без визита в офис абонента.

О том, что ситуация с телефонным спамом и мошенничеством достигла беспрецедентных масштабов, свидетельствуют не только многочисленные публикации в СМИ и жалобы пользователей сотовой связи, но и статистические данные. Согласно сведениям «Лаборатории Касперского», полученным при помощи мобильного приложения Kaspersky Who Calls (о нём мы поговорим чуть позже), в первом квартале 2021 года доля спам-звонков в России среди всех входящих с неизвестных номеров составила внушительные 70%, а доля звонков с подозрением на мошенничество — 6,3%. При этом последний показатель вырос по сравнению с аналогичным периодом 2020 года: тогда он равнялся 5,6 процента. Чаще всего нежелательные звонки российским абонентам мобильных сетей поступали с предложением займов (их доля составила 46% среди всех нежелательных звонков с неизвестных номеров), а также от коллекторов (с долей в 26,5%). Немало спам-звонков было зафиксировано от компаний, занимающихся предоставлением коммуникационных и медицинских услуг.

О масштабах проблемы также красноречиво говорят данные Сбербанка, в 2020 году зафиксировавшего более 3,4 млн жалоб клиентов на телефонное мошенничество. Этот показатель вырос более чем в 30 раз по сравнению с 2017 годом и более чем в два раза по сравнению с 2019 годом. При этом количество мошеннических звонков гражданам достигло 100 тысяч в сутки. Исследования показали, что преступники серьёзно готовятся к таким звонкам, используют средства IP-телефонии для подмены номера и активно практикуют методы социальной инженерии. Так, в 42% случаев они полностью называли правильные имя, фамилию и отчество того, кому звонили. Наиболее распространёнными легендами были необходимость подтвердить данные (72%), сообщение о блокировке карты (58%) и предложение кредита (57%). Почти в половине случаев (46%) злоумышленники пытались получить код из SMS или данные карты, а в каждом пятом случае (21%) — убеждали перевести деньги якобы на безопасный счёт.

Статистика неутешительная и лишний раз подтверждающая тот факт, что практически каждый россиянин с телефоном находится в зоне риска, минимизировать который могут перечисленные ниже мобильные программы—определители номеров. Такие приложения автоматически распознают входящий вызов, благодаря чему пользователь видит на экране смартфона не просто набор цифр, а название организации звонящего, её вид деятельности или сведения о репутации номера. Исходя из этой информации, можно принять взвешенное решение, стоит ли отвечать на звонок. Точность определения неизвестных и анонимных вызовов обеспечивается за счёт регулярно обновляемой базы телефонных номеров, пополнение которой осуществляется в том числе благодаря обратной связи и отзывам абонентов. Такой подход помогает совершенствовать защиту от надоедливого телефонного спама.

⇡#2ГИС

Разработчик: «ДубльГИС».
Поддерживаемые платформы: функция определения номера доступна только в iOS.
Стоимость: бесплатно.
Скачать в App Store.

Электронный справочник с картами городов, функциональные возможности которого позволяют использовать продукт в качестве определителя номеров, правда, только на смартфонах Apple iPhone с версией iOS 10 и выше. Чтобы активировать определитель номера, необходимо открыть настройки мобильного устройства и далее в меню «Телефон → Блокировка и идентификация вызова» включить тумблер напротив 2ГИС.

База данных программы содержит актуальные сведения о 4,3 млн компаний, осуществляющих деятельность в 666 городах 11 стран мира, и по этому показателю 2ГИС является одним из лидеров в сегменте информационно-справочных сервисов. Конечно, от потенциальных мошенников такое приложение вряд ли убережёт, а вот для защиты от настырных звонков со стороны финансовых организаций, медицинских центров, операторов связи и прочих занимающихся массовым обзвоном абонентов компаний — вполне сгодится.

⇡#Kaspersky Who Calls

Разработчик: «Лаборатория Касперского».
Поддерживаемые платформы: Android, iOS, доступна версия для устройств Huawei без поддержки Google Mobile Services.
Стоимость: месячная подписка 129 рублей, годовая — 1 190 рублей; имеется бесплатная версия с некоторыми ограничениями.
Скачать в Google Play, App Store, Huawei AppGallery.

Определитель звонков, который отображает сведения о входящем или пропущенном вызове с неизвестного номера, в том числе название организации, её категорию и репутацию номера. Kaspersky Who Calls умеет распознавать мошеннические и спам-звонки, а также автоматически блокировать их, избавляя пользователя от потенциальных угроз и вторжения в личное пространство. Возможности программы также обеспечивают защиту от фишинговых SMS и исходящих звонков на номера с подозрением на мошенничество. Поддерживается автоматическая блокировка входящих вызовов со скрытым номером и по выбранным категориям спама (банковская реклама, реклама страхования, реклама интернета и связи, коллекторы, опросы и т. п.). Благодаря сохраняемой в памяти мобильного устройства базе телефонных номеров Kaspersky Who Calls способен определять звонки без подключения к интернету. Полный набор перечисленных функций доступен только в платной версии приложения.

Как и во многих других продуктах данного класса, в Kaspersky Who Calls предусмотрена возможность обмена данными о номерах, что помогает совершенствовать защиту. Любой человек, использующий программу, при желании может загрузить нежелательные номера в облако — далее система обновит базу данных, и в итоге все пользователи приложения будут информироваться о звонках с новых мошеннических номеров.

⇡#Phone by Google («Телефон Google»)

Разработчик: Google.
Поддерживаемые платформы: Android.
Стоимость: бесплатно.
Скачать в Google Play.

Официальное приложение для звонков Google, поставляемое в комплекте с оригинальными версиями Android и доступное для скачивания пользователям модифицированных сборок ОС. Особенностью программы является встроенный определитель номера, функционирующий в паре с сервисом Google My Business и довольно неплохо распознающий звонки от российских организаций. С равным успехом приложение определяет спам-звонки, которые можно блокировать в автоматическом режиме — соответствующая опция имеется в настройках Phone by Google.

⇡#Truecaller

Разработчик: True Software Scandinavia AB.
Поддерживаемые платформы: Android, iOS.
Стоимость: месячная подписка 69 рублей, годовая — 649 рублей; имеется бесплатная версия с некоторыми ограничениями.
Скачать в Google Play, App Store.

Один из крупнейших в мире поставщиков услуг идентификации абонентов входящих вызовов, аудитория пользователей которого достигает 250 миллионов человек. В одной только Индии, крупнейшем рынке Truecaller, сервисом ежемесячно пользуются 150 млн человек. Судя по отзывам в Рунете, в нашей стране тоже насчитывается немало почитателей этого программного решения.

Основной акцент в Truecaller сделан на социальной составляющей и взаимном обмене пользовательским сообществом подробной информацией о спамерских и мошеннических звонках. Именно по этой причине после установки приложения необходимо создать учётную запись в сервисе, подтвердить свой номер телефона и дать согласие на синхронизацию данных с базой Truecaller. Без выполнения этой процедуры пользоваться программой не получится. Это первый раздражающий момент, есть и второй — неудобный и перегруженный интерфейс, под завязку нашпигованный рекламными баннерами в бесплатной версии Truecaller, ко всему прочему лишённой многих полезных функций. Да, свою основную задачу продукт выполняет, но найти подход к нему смогут лишь сильные духом пользователи.

⇡#«Не бери трубку»

Разработчик: Mister Group s.r.o.
Поддерживаемые платформы: Android, iOS.
Стоимость: бесплатно для Android; для iOS бесплатно в течение месяца — далее по подписке ($2 в месяц).
Скачать в Google Play, App Store.

Определитель номеров, функционирующий в паре с онлайновыми сервисами shouldianswer.net и neberitrubku.ru. Умеет защищать как от нежелательных входящих вызовов, так и от исходящих звонков. «Не бери трубку» может блокировать скрытые, иностранные или платные номера, а также спам, рекламу и вызовы с подозрением на мошенничество. Приложение периодически синхронизирует базу номеров с упомянутыми сервисами и хранит данные в памяти мобильного устройства. Благодаря этому программа может функционировать в автономном режиме и не требует постоянного подключения к интернету.

Особенностью программы «Не бери трубку» является база данных, которая создаётся самими пользователями: всякий раз, когда заканчивается вызов c неизвестного номера, они могут анонимно оценить его как безопасный или как спам и добавить текстовый комментарий. Сделать это можно с помощью как мобильного приложения, так и перечисленных выше сайтов. После проверки оправленных сведений администраторами он сохраняется в базе данных, которая является доступной всем пользователям. Ежедневно в базу данных программы добавляется до 30 тысяч новых отзывов.

⇡#«Сбербанк Онлайн»

Разработчик: «Сбер» (Сбербанк).
Поддерживаемые платформы: Android, iOS.
Стоимость: бесплатно (необходим зарегистрированный аккаунт в системе «Сбербанк Онлайн»).
Скачать в Google Play, App Store.

Клиентское приложение Сбербанка, буквально месяц назад с очередным обновлением получившее функцию автоматической проверки входящих звонков. Для её включения необходимо в настройках программы «Сбербанк Онлайн» открыть раздел «Безопасность» и активировать опцию «Проверять входящие звонки». Если определитель номера зафиксирует мошеннический звонок, приложение отобразит на экране соответствующее предупреждение.

Для защиты от мошенничества программа использует данные службы безопасности «Сбербанка», а также основанную на искусственном интеллекте систему фрод-мониторинга. Ежедневно специалисты «Сбера» обрабатывают порядка 10 тысяч сообщений о попытках мошенничества и, используя собственную модель анализа телефонных номеров, формируют свою уникальную, основанную на реальных событиях базу для проверки. В настоящий момент база содержит более 600 тысяч уникальных мошеннических номеров.

⇡#«Яндекс»

Разработчик: «Яндекс».
Поддерживаемые платформы: Android, iOS, доступна версия для устройств Huawei без поддержки Google Mobile Services.
Стоимость: бесплатно.
Скачать в Google Play, App Store, Huawei AppGallery.

Мобильное приложение из серии «всё в одном», включающее популярные сервисы «Яндекса» и ряд полезных утилит, среди которых — автоматический определитель номера. В основу последнего положена собственная телефонная база данных компании, дополненная сведениями более чем о 5 миллионах организаций из «Яндекс.Справочника» и пользовательскими отзывами о звонках с неизвестных номеров. Внушительная база знаний позволяет программе распознавать не только звонки от компаний различных сфер деятельности, но и спам, а также телефоны потенциальных мошенников. По словам разработчиков, база скачивается на устройство при первом включении определителя и занимает до 50 Мбайт в зависимости от региона. С целью экономии мобильного трафика данные загружаются только по Wi-Fi.

⇡#Заключение

Рьяно агитировать в пользу того или иного определителя номеров не будем — все они в равной степени хорошо справляются с возложенными на них задачами. О вкусах, как говорится, не спорят, но объективности ради стоит сказать, что подобные приложения запрашивают разрешение и получают доступ к телефонной книге со списком контактов. Поэтому нужно очень внимательно относиться к таким решениям и выбирать проверенный софт с хорошими отзывами, высокими рейтингами и только от надёжных разработчиков с хорошей репутацией. Малоизвестные продукты сомнительного качества и с небольшим количеством скачиваний лучше обходить стороной.

И последнее. Вполне вероятно, что в скором времени количество мошеннических звонков существенно сократится, и во многом это станет возможным благодаря разработанному Минцифры законопроекту против телефонных злоумышленников. В случае принятия документа и реализации соответствующих технических мер на уровне операторов связи, будет перекрыта лазейка и преступные группы лишатся возможности использовать подменные номера. Это, вне всяких сомнений, хорошая новость для всех мобильных абонентов в России.

Время прочтения
6 мин

Просмотры 22K

Привет, Хабр! В прошлой статье мы затронули тему, что аутентификация по СМС – не самый лучший способ многофакторной аутентификации. Такой способ используют многие веб-сервисы: соцсети, почтовые клиенты, платежные системы. Вдобавок номер телефона используется в качестве логина: для регистрации ВКонтакте, в Telegram и так далее. 

Если SIM-карту угонят, а СМС перехватят, последствия будут плачевны. Многие пользователи переписываются в мессенджерах с коллегами и партнерами, поэтому под угрозой окажутся не только личные данные, но и корпоративные.  Если в вашей компании  не используется корпоративная инфраструктура для общения, то незащищенные аккаунты сотрудников ставят под угрозу бизнес. Так что стоит позаботиться о безопасности заранее.

В этой статье возьмем несколько популярных сервисов и заменим СМС-аутентификацию на более безопасные способы. Заодно разберемся, как дополнительно защитить аккаунты от угона и спать спокойно.

На статью нас вдохновил лонгрид MyCrypto, посвященный защите от SIM-джекинга (SimJacking). Мы изучили их рекомендации и составили актуальный список для России. 

Зачем избавляться от аутентификации по СМС

Злоумышленники могут получить СМС и зайти в чужой аккаунт сразу несколькими способами:

1. Если смогут заполучить телефон с SIM-картой внутри. 
2. Если перевыпустят SIM-карту по поддельным документам. Мошенники покупают слитые паспортные данные и подделывают доверенность или даже сам паспорт. Отправит ли оператор документы на проверку в службу безопасности, зависит от человеческого фактора. 
3. Если угонят SIM-карту по сговору с сотрудниками оператора.   
4. Если перехватят СМС с помощью уязвимостей в самой SIM-карте или в телефоне.

Второй и третий способ – самые массовые. Опасность в том, что потерпевший не сразу поймет, что симку угнали. У мошенника есть все шансы нажиться, до того как вы осознаете проблему и успеете восстановить доступ к своей SIM-карте. 

По каким признакам ясно, что симку угнали:

• Оператор присылает СМС о замене SIM-карты.
• На телефоне пропадает сеть оператора, перезагрузка не помогает.
• На почту приходят письма о попытках переустановить пароль в разных сервисах.
• Apple ID или аккаунт Google начинает требовать ввести пароль.
• Приходят сообщения о привязке аккаунта к новому устройству.
  
• Если где-то для двухфакторной аутентификации используются push-сообщения, то начнут приходить коды от разных сервисов. 

Как предупредить угон SIM-карты

• Не выкладывайте в интернет сканы и номера персональных документов, в том числе на онлайн-диски, в соцсети, мессенджеры, обменники изображениями (исключений нет).
  
• Зайдите в офис вашего сотового оператора и напишите заявление, которое запретит перевыпуск SIM-карты по доверенности. У операторов услуга называется «Запрет действий по нотариальной доверенности».
• Усложните доступ к смартфону с помощью надежного пароля и аутентификации по отпечатку пальца/Face ID.
• Купите отдельный мобильный телефон и выпустите симку, номер которой не известен никому. Это будет ваш «секретный номер» для СМС-кодов, если какой-то сервис не позволяет защитить аккаунт другим способом. Запретите перевыпуск симки по доверенности.   

Что делать, если все-таки угнали  

Если SIM-карту уже угнали, у вас будет не более суток на блокировку. Поэтому нужно держать под рукой сценарий быстрой блокировки:

• придумайте способ позвонить оператору, если потеряли телефон, например, с ноутбука или планшета. К примеру, установите туда Skype или Viber;
• пополните балансы для звонков;
• найдите номер своего мобильного оператора и запишите его в журнал Skype или Viber;
• отрепетируйте потерю телефона: вытащите симку и попробуйте позвонить оператору выбранными способами. 

Как избавиться от СМС-аутентификации и защитить аккаунты 

Наша общая рекомендация – откажитесь от СМС-аутентификации везде, где можно. Посмотрим, как это сделать для популярных веб-сервисов. 

Сначала рассмотрим те, где используется СМС-аутентификация. А потом защитим те, где сам сервис привязан к номеру телефона.

Google-аккаунт

1. Зайдите в аккаунт Googlе и перейдите на вкладку «Безопасность».
2. В пункте «Вход в аккаунт Google» включите двухэтапную аутентификацию. Во всплывающем окне пройдите повторную аутентификацию.
   
3. Выберите второй фактор аутентификации.
   Разберем, что лучше выбрать. 
   • СМС или голосовое подтверждение: стоит отказаться от этого метода полностью.
   • Резервные коды: один из лучших способов для резервного входа, особенно если использовать его с максимальной осторожностью.
     Запишите их на бумагу, сделайте несколько копий и уберите в несколько безопасных мест. Так они будут в безопасности от онлайн-атак.
   • Google authenticator: довольно распространенный метод аутентификации, одноразовые пароли позволяют повысить безопасность вашего аккаунта.
     Но в свете последних событий, стоит тщательнее выбирать приложение.
   • Уведомление от Google: отправляет push-уведомление на ваш доверенный  девайс. 
   • Электронный ключ: идентификатор на физическом носителе. Это либо отдельное устройство, которое нужно вставить в USB-порт компьютера при входе в Google-аккаунт, либо встроенный в смартфон ключ, который передается по Bluetooth с вашего телефона на компьютер при входе в Google-аккаунт. Технология не лишена неудобств, но позволяет обеспечить высокий уровень безопасности, особенно если использовать отдельный девайс, а не смартфон. Это позволяет разделить все факторы на независимые сущности и не «класть все яйца в одну корзину».

4. Выберите резервный способ на случай, если основной способ будет недоступен. Помните, что на одном мобильном не стоит использовать совместно push-уведомления, голосовые подтверждения и СМС (если вы все-таки не отказались от них совсем).

   

5. Далее в списке есть выбор надежных устройств: для них второй фактор не требуется. Нужно проверить, защищены ли все доверенные устройства. Или очистить весь список и добавить по-настоящему нужные заново.

   

6. Перейдем обратно к https://myaccount.google.com/security и пройдемся по всем пунктам

   

   • Пароль: проверьте, что ваш пароль надежен и уникален. Например, можно воспользоваться рекомендациями для создания сложных паролей.
   • Пароли приложений: проверьте и оставьте только те, которые вам нужны
   • Способы подтверждения личности – номер телефона: Уберите свой номер телефона. Вы можете восстановить доступ к аккаунту через другой фактор, если необходимо.
   • Способы подтверждения личности – резервный адрес электронной почты: уберите резервный адрес. 

     

   • Ваши устройства: уберите все лишние.

     

   • Сторонние приложения с доступом к аккаунту: удалите все приложения, которыми не пользуетесь. 

     

   • Вход через аккаунт Google: удалите все, которыми не пользуетесь.
   • Доступ к связанным аккаунтам: в случае угона аккаунта можно упростить доступ к другим сайтам для злоумышленника. Удаляйте все.
   • Диспетчер паролей: перенесите пароли в отдельный Password Manager. Отключите автосохранение паролей.

     

Яндекс

В Яндекс-аккаунте нет возможности включить двухфакторную аутентификацию без привязки номера. Поэтому мы будем использовать «секретный номер» и включать дополнительные факторы в других местах.

1. Войдите в ваш аккаунт на Яндексе и пролистайте до пункта «Пароли и авторизация».

   

   • Пароль: проверьте свой пароль на надежность и уникальность (см. выше)
   • Контрольный вопрос: выберите наиболее сложный и неочевидный потенциальному злоумышленнику ответ. Используйте нестандартные способы записи ответа и мнемонические техники запоминания.
   • Включить пароли приложений: отдельные приложения могут подключаться к вашему аккаунту Яндекс. Отключите эту функцию, если ею не пользуетесь. 

     

2. Настройте двухфакторную аутентификацию: используйте «секретный номер». 

   

3. Вернитесь к пункту «История входов и устройства». Выберите «Выход на всех устройствах».

   

4. Перейдите к пункту «Почтовые ящики и номера телефонов». Уберите адреса для восстановления.

   

5. Перейдите в настройки Яндекс Деньги ко вкладке «пароль».
   Здесь мы пройдемся по всем трем кнопкам.

   

   • Выпустить аварийные коды: перепишите и сохраните аварийные коды, так же, как сделали это для Google-аккаунта.

     

   • Перейти на пароли в приложении: выберите пункт «приложение с паролями» и проведите синхронизацию с одним из приложений.

     

   • Нажмите «Всегда спрашивать пароль».

     

Теперь теми же способами защитите ВСЕ сервисы, которые могут использовать СМС-аутентификацию. 

По возможности замените ее или привяжите к «секретному номеру» и добавьте вход по отпечатку пальца.

Вот чек-лист сервисов в порядке приоритета:
Личные:

• Банковские и платежные сервисы.
• Государственные сервисы: Госуслуги, ФНС и т. д. 
• Менеджеры паролей: LastPass, 1Password и т. д.
• Облачные хранилища: iCloud, Dropbox, OneDrive и т. д.
• Электронная почта: Mail.ru и т. д.
• Социальные сети: Vk, Facebook, Twitter, Instagram, LinkedIn, Medium и т. д.
• Мессенджеры: iMessage, Skype, Slack, Facebook Messenger  и т. д.
• Фотохостинги: iCloud, Google Photos и т. д.
• Заметки: Evernote, Scribd  и т. д.
• Форумы: Reddit, Stackoverflow и т. д.
• Интернет-магазины и коммерческие сервисы и т. д.

Не забудьте про корпоративную информацию:

• Репозитории исходного кода: Github, Bitbucket, Gitlab и т. д.
• Хостинги и платформы для сайтов: Parking, WordPress, AWS, Microsoft Azure, Digital Ocean и т. д. 
• Таск-трекеры, CRM и другие платформы для работы: Jira, Mailchimp, Trello и т. д.

Telegram

Аккаунт мессенджера привязан к номеру телефона, поэтому, помимо двухфакторной  аутентификации, настроим дополнительную защиту. 

1. Установите пароль и вход по отпечатку пальца: зайдите в Настройки безопасности и выберите passcode & touch id.

   

2. Скройте номер телефона: в настройках безопасности найдите Privacy и для номера телефона задайте «nobody». Здесь же запретите звонки. Добавляйте исключения только для людей, которым доверяете.

   

3. Включите двухфакторную аутентификацию по паролю. Не используйте основную почту для восстановления.

   

   

4. Зайдите в Devices и закройте все активные сессии, которые кажутся подозрительными.

   

Все эти меры полностью не защитят от угона SIM-карт, но не позволят отдать мошенникам в руки джекпот. Если пользователи ведут удаленную работу с использованием личных девайсов и общедоступных веб-сервисов, это обезопасит и личные данные, и данные коллег.