Wir sprechen über die potenzielle Bedrohung der Sicherheit und des Datenschutzes bei der Verwendung von SMS.
"Historisch"
Diejenigen, die neben Anrufen zum ersten Mal auf ein Mobiltelefon stießen, erfuhren, dass kurze Textnachrichten vorhanden waren. Und wenn Nachrichten anfangs häufig zum Austausch von Informationen ohne Beteiligung eines Live-Betreibers verwendet wurden (erinnern Sie sich an einen Pager), sind sie jetzt das Hauptwerkzeug für Benachrichtigungen und Überprüfungen.
Wir haben in unserem
Telegrammkanal eine thematische Umfrage durchgeführt:
Ergebnis: 87% verwenden SMS . Es ist nicht für alle offensichtlich, aber die Antwort "
Nur zum Empfangen von Benachrichtigungen " gefährdet die Privatsphäre noch mehr als die SMS-Korrespondenz mit jemandem, der keine Instant Messenger hat. Wenn Sie einem Verwandten zu den Feiertagen gratulieren, denken Sie darüber nach, was Sie schreiben. Wer sendet Benachrichtigungen - nein.
Die Stichprobe ist bescheiden, aber in großen Zahlen ist der Unterschied unbedeutend.
Bedrohung Nr. 1: Nicht autorisierte Ausgaben
Regelmäßig gibt es Geschichten über automatische Abonnements von kostenpflichtigen Diensten. Letzten Monat
sprach Habré über Megaphon :
Vor einem Jahr
über MTS auf Medusa :
Um das Ausmaß des Problems zu verstehen:
Bedrohung Nr. 2: Kontosicherheit
Sie verlieren eine SIM-Karte, beantragen mit einem Reisepass den Salon eines Mobilfunkbetreibers, ein Mitarbeiter stellt in einer Minute eine neue Karte mit Ihrer Nummer aus. Das übliche Szenario? Er kann ohne Ihr Wissen dasselbe aus freiem Willen tun, wenn der Nutzen die Konsequenzen und die Wahrscheinlichkeit einer Bestrafung übersteigt.
Die
Neuausgabe von SIM-Karten durch gefälschte Proxys ist jedoch deutlich beliebter. Im Bewusstsein des Problems bieten Mobilfunkbetreiber an, sich durch das
Verbot von Handlungen im Namen des Teilnehmers durch einen Bevollmächtigten zu schützen. Obwohl sie das Problem global lösen könnten, indem sie ein Standardverbot festlegen.
Nachdem Sie in die falschen Hände geraten sind, wird Ihre Nummer zum Schlüssel für E-Mails, Instant Messenger und viele Zahlungsinstrumente. Dies ist überall dort der Fall, wo die Wiederherstellung oder Überprüfung des Zugriffs per SMS verwendet wird.
Die relativ gute Nachricht ist, dass die meisten modernen Banken die Tatsache eines SIM-Kartenwechsels nachverfolgen können, was bedeutet, dass sie nicht in die Internetbank zugelassen werden und keinen Bestätigungscode für die Online-Zahlung senden. Zumindest bis Sie den Kartenwechsel in der Abteilung oder telefonisch bestätigen. Vergessen Sie jedoch nicht, dass die Einträge im „Frühlingspaket“ vom Betreiber sechs Monate lang aufbewahrt werden und dort unter anderem Ihre Antworten auf die „geheimen Fragen“ stehen.
Die Strafverfolgungsbehörden können auch die Kontrolle über Ihre SMS erlangen, wie bereits
erwähnt . Ohne Neuausstellung einer SIM-Karte und für den Teilnehmer völlig unsichtbar
Bedrohung 3: Datenschutz
Hier ist der lustige Teil.
Benachrichtigungen von Unternehmen : Online-Dienste, Restaurants, Clubs, Kliniken, Geschäfte, Lieferservices, Carsharing. Viele signieren ihre Nachrichten, sodass Sie sofort feststellen können, welche Dienste der Client verwendet. Wie viele persönliche Informationen in solchen Nachrichten enthalten sind, können Sie sich selbst vorstellen.
Benachrichtigungen von Banken . Aus solchen Nachrichten können Sie Informationen erhalten:
• über Kontensalden;
• über Abhebungen und Nachschub an Geldautomaten;
• über Ihren Gesamtumsatz für einen beliebigen Zeitraum;
• über Einlagen: Betrag, Laufzeit, gezahlte Zinsen;
• Über genehmigte Kredite, Zahlungen und Schulden;
• auf ausgestellten Karten, auf einem Teil ihrer Nummern und manchmal auf einem Teil oder einem ganzen PIN-Code;
• über alle Transaktionen des Benutzers, seine Einkäufe;
• über das Bezahlen von Rechnungen;
• über Übertragungen an andere Personen, einschließlich ihrer Namen und Kontonummern.
Und was der Betreiber spart, ist nicht durch ein „Bankgeheimnis“ geschützt.
Mit den gesammelten Informationen können Sie ein gründliches und personalisiertes Kundenprofil erstellen. Für die Analyse sind nicht viele Ressourcen erforderlich: Textinformationen zu Vorlagen, Schlüsselwörtern und der Art des Ziels können von Algorithmen problemlos verarbeitet werden.
Ein solches Profil bietet dem Betreiber und allen anderen Personen, die nicht autorisierten Zugriff erhalten haben, nahezu unbegrenzte Möglichkeiten, einschließlich eines Datenbanklecks.
Über Lecks bei @dataleakÖffnen Sie Ihre SMS und sehen Sie im Klartext, welche Informationen Sie dem Betreiber mitteilen.
Wie viele SMS-Archive sind gespeichert? Laut der
Mobile-Review-Untersuchung - 3 Jahre,
laut Maxim Katz - mindestens 2 Jahre.
Holen Sie sich von der Nadel SMS - es wird nicht einfach sein
Finanztransaktionen
Wir wechseln zur Verwendung von Push-Benachrichtigungen anstelle von SMS.
Beispiel für ein Alfa-Bank-Szenario:
Ein ähnliches Verfahren ist in den meisten anderen Banken mit mobilen Anwendungen verfügbar.
Service-Anmeldebestätigungen
Wir verwenden Verifizierungsanwendungen im Smartphone (Google Authenticator und Analoga), Smartcards, Token oder zumindest die Bestätigung eines zuverlässigen E-Mail-Dienstes per E-Mail.
Kommunikation
Jeder, mit dem Sie per SMS kommunizieren, kann an sichere oder relativ sichere Boten ausländischer Hersteller weitergeleitet werden. Zeigen Sie ihnen persönlich, dass die Verwendung von Instant Messenger nicht beängstigend und nicht schmerzhaft ist.
Zwei weitere radikale Optionen
Zur Diskussion.
Verwendung einer fremden SIM-KarteEinige Zweifel an der Zuverlässigkeit dieser Option:
- Sind diese SMS im Klartext für den lokalen Betreiber verfügbar, der beim Roaming eine ausländische Nummer bedient?
- Behält und sollte er sie legal behalten?
- Ist es verpflichtet, auf Anfrage Informationen über Nachrichten an solche Nummern zu senden?
Wenn jemand über die „innere Küche“ dieser Themen sprechen möchte, dies aber in öffentlichen Kommentaren nicht tun möchte, können Sie anonym in unseren
Telegramm-Bot mit der Aufschrift „für Habr“ schreiben. Mit Ihrer Erlaubnis fügen wir dem Artikel anonymisierte Informationen hinzu.
Vollständige Ablehnung von SMSEs ist schwer vorstellbar, wie man damit lebt. Bei unserer Abstimmung erzielte diese Option jedoch 13% ...
Können Sie SMS vollständig ablehnen?