Мошенничество в Интернете и через телефонную связь, Тема горячая. Предлагаю разбирать схемы и обсуждать Опции Поделиться

[gostsdmitry]

Почему нельзя сообщать пришедший в сообщении код по телефону!

Начну с небольшого отступления.
Недавно я поменял смартфон на новый. Естественно, я переносил почтовые аккаунты, аккаунты соцсетей и т.д.
Когда я переносил аккаунт одного из почтовых сервисов, то естественно, вводил логин и пароль.
После того, как я ввёл пароль, на старый телефон пришёл КОД.
Само-собой, как владелец аккаунта я ввёл на новом смартфоне этот самый код, тем-самым подтвердив, что я — это я.

А теперь рассмотрим, как выглядит мошенническая схема с этими кодами:
Мошенник пытается зайти с "нового", т.е. чужого устройства, подбирая логин и пароль.
Если ему удастся правильно подобрать логин и пароль, то единственное, что такого взломщика останавливает — это тот-самый код! В отличие от владельца аккаунта, он кода, пришедшего настоящему владельцу аккаунта не знает. И поскольку он его не знает, то его нужно каким-то способом выведать! И вот на этом этапе мошенник, пытающийся доделать своё коварное дело... Правильно! Он начинает звонить жертве с целью этот код у жертвы выудить! В ход идёт всё: и обман (злоумышленник представляется техподдержкой), и угрозы (дескать, останетесь без денег или аккаунта, но, якобы, если код сообщить, то их спасут!).
Т.е. мошенники включают ту самую социальную инженерию, представляясь: "службой безопасности банка", "технической поддержкой" и вишенкой на торте в последнее время является, якобы, звонок от "следователя" или "офицера спецслужбы"!
Если жертва не понимает, что она жертвой является и не соблюдает элементарных правил информационной безопасности, то она этот код сообщит. А дальше...
А дальше злоумышленник вводит этот код, заходит в аккаунт, тут-же меняет пароль, номер телефона, к которому аккаунт был привязан, удаляет "старое" - т.е. устройство жертвы из списка активных! Всё, аккаунт уже не ваш. Занавес!

[ИВК]

Тут в любом случае надо чётко разграничивать всякого рода технические уязвимости и соц. инженерию - последняя может успешно срабатывать даже в голом виде, без всяких предварительных взломов.

[gostsdmitry]

Тут в любом случае надо чётко разграничивать всякого рода технические уязвимости и соц. инженерию - последняя может успешно срабатывать даже в голом виде, без всяких предварительных взломов.

Смотря, чего злоумышленник пытается добиться.
Кстати, когда он звонит и пытается выведать код, то всегда торопит. Дело в том, что срок действия у таких кодов подтверждения либо одна, либо - всего несколько минут, после чего пароль необходимо вводить снова и код придёт уже другой.