Kami berbicara tentang potensi ancaman terhadap keamanan dan privasi saat menggunakan SMS.
"Secara historis,"
Mereka yang pertama kali menemukan telepon seluler, selain panggilan, mengetahui tentang keberadaan pesan singkat. Dan jika awalnya pesan sering digunakan untuk bertukar informasi tanpa partisipasi dari operator langsung (ingat pager), sekarang mereka telah menjadi alat utama untuk pemberitahuan dan verifikasi.
Kami melakukan survei tematik di
saluran telegram kami:
Hasil: 87% menggunakan SMS . Ini tidak jelas bagi semua orang, tetapi jawaban "
Hanya untuk menerima pemberitahuan " mengancam privasi bahkan lebih dari korespondensi SMS dengan seseorang yang tidak memiliki pengirim pesan instan. Mengucapkan selamat kepada kerabat pada hari libur, Anda memikirkan apa yang Anda tulis. Siapa yang mengirim pemberitahuan - tidak.
Sampelnya sederhana, tetapi dalam jumlah besar perbedaannya tidak signifikan.
Ancaman # 1: Pengeluaran tidak resmi
Secara teratur ada cerita tentang langganan otomatis ke layanan berbayar. Bulan lalu
di Habré berbicara tentang Megaphone :
Setahun yang lalu
tentang MTS di Medusa :
Untuk memahami sejauh mana masalah:
Ancaman # 2: Keamanan Akun
Anda kehilangan kartu SIM, melamar dengan paspor ke salon operator seluler, karyawan mengeluarkan kartu baru dengan nomor Anda dalam satu menit. Skenario yang biasa? Dia dapat melakukan hal yang sama atas kehendaknya sendiri, tanpa sepengetahuan Anda, jika manfaatnya melebihi konsekuensi dan kemungkinan hukuman.
Tetapi
penerbitan kembali kartu SIM dengan proxy palsu terasa lebih populer. Menyadari masalah ini, operator seluler menawarkan untuk melindungi diri mereka sendiri dengan
melarang tindakan atas nama pelanggan melalui proxy. Meskipun mereka bisa menyelesaikan masalah secara global dengan menetapkan larangan default.
Setelah jatuh ke tangan yang salah, nomor Anda menjadi kunci surat, kurir instan, dan banyak instrumen pembayaran. Di sanalah pemulihan akses atau verifikasi melalui SMS digunakan.
Berita yang relatif baik adalah bahwa sebagian besar bank modern dapat melacak fakta perubahan kartu SIM, yang berarti mereka tidak akan diizinkan masuk ke bank Internet dan mereka tidak akan mengirim kode konfirmasi untuk pembayaran online. Setidaknya sampai Anda mengkonfirmasi perubahan kartu di departemen atau melalui telepon. Tetapi jangan lupa bahwa entri pada "Paket Musim Semi" disimpan oleh operator selama enam bulan, dan di sana, di antara hal lain, ada jawaban Anda untuk "pertanyaan rahasia".
Lembaga penegak hukum juga dapat mengontrol SMS Anda, seperti yang telah kami
sebutkan sebelumnya. Tanpa penerbitan ulang kartu SIM dan sama sekali tidak terlihat oleh pelanggan
Ancaman 3: Privasi
Inilah bagian yang menyenangkan.
Pemberitahuan dari perusahaan : layanan online, restoran, klub, klinik, toko, layanan pengiriman, berbagi mobil. Banyak yang menandatangani pesan mereka, yang berarti Anda dapat segera menentukan layanan apa yang digunakan klien. Berapa banyak informasi pribadi yang terkandung dalam pesan-pesan seperti itu, dapat Anda bayangkan sendiri.
Pemberitahuan dari bank . Dari pesan semacam itu, Anda dapat memperoleh informasi:
• tentang saldo akun;
• tentang penarikan dan penambahan di mana ATM;
• tentang total turnover Anda untuk periode apa pun;
• tentang deposito: jumlah, jangka waktu, bunga dibayarkan;
• Tentang pinjaman yang disetujui, pembayarannya dan utang;
• pada kartu yang dikeluarkan, pada bagian dari nomor mereka, dan kadang-kadang sebagian atau seluruh kode pin;
• tentang semua transaksi pengguna, pembeliannya;
• tentang membayar tagihan;
• tentang transfer ke orang lain, termasuk nama dan nomor rekening mereka.
Dan apa yang disimpan operator tidak dilindungi oleh "kerahasiaan perbankan".
Informasi yang dikumpulkan memungkinkan Anda untuk membuat profil pelanggan yang menyeluruh dan personal. Analytics tidak memerlukan banyak sumber daya: informasi tekstual tentang templat, kata kunci, dan jenis tujuan mudah diproses oleh algoritma.
Profil semacam itu menyediakan peluang yang hampir tak terbatas untuk operator dan siapa pun yang telah menerima akses tidak sah, termasuk kebocoran basis data.
Tentang kebocoran di @dataleakBuka SMS Anda dan lihat informasi apa yang Anda bagikan dengan operator secara jelas.
Berapa banyak arsip SMS yang disimpan? Menurut
penyelidikan Mobile-Review - 3 tahun,
menurut Maxim Katz - setidaknya 2 tahun.
Dapatkan SMS jarum - itu tidak akan mudah
Transaksi keuangan
Kami beralih menggunakan pemberitahuan Push alih-alih SMS.
Contoh skenario Alfa-Bank:
Prosedur serupa tersedia di sebagian besar bank lain dengan aplikasi seluler.
Konfirmasi Login Layanan
Kami menggunakan aplikasi verifikasi di smartphone (Google Authenticator dan analog), kartu pintar, token, atau setidaknya konfirmasi melalui email dari layanan surat yang dapat diandalkan.
Komunikasi
Setiap orang yang berkomunikasi dengan Anda melalui SMS dapat ditransfer ke messenger yang aman atau relatif aman dari manufaktur asing. Tunjukkan pada mereka secara pribadi bahwa menggunakan pengirim pesan instan tidak menakutkan dan tidak menyakitkan.
Dua opsi yang lebih radikal
Untuk diskusi.
Menggunakan kartu SIM asingBeberapa keraguan tentang keandalan opsi ini:
- Apakah SMS ini tersedia dalam bentuk teks yang jelas untuk operator lokal yang melayani nomor asing saat roaming?
- Terus dan haruskah ia menyimpannya secara legal?
- Apakah wajib memberikan informasi tentang pesan ke nomor tersebut atas permintaan?
Jika seseorang ingin berbicara tentang "dapur dalam" masalah ini, tetapi tidak siap untuk melakukan ini di komentar publik, Anda dapat menulis secara anonim di
bot telegram kami yang ditandai "untuk Habr." Dengan izin Anda, kami akan menambahkan informasi yang dianonimkan ke artikel.
Penolakan penuh terhadap SMSSulit membayangkan bagaimana hidup dengannya. Namun dalam pemungutan suara kami, opsi ini mencetak 13% ...
Bisakah Anda menolak SMS sepenuhnya?