Falamos sobre a ameaça potencial à segurança e privacidade ao usar o SMS.
"Historicamente"
Aqueles que encontraram o celular pela primeira vez, além das ligações, descobriram a presença de pequenas mensagens de texto. E se inicialmente as mensagens eram frequentemente usadas para trocar informações sem a participação de um operador ativo (lembre-se de um pager), agora elas se tornaram a principal ferramenta para notificações e verificação.
Realizamos uma pesquisa temática em nosso
canal de telegrama :
Resultado: 87% usam SMS . Não é óbvio para todos, mas a resposta "
Somente para receber notificações " ameaça a privacidade ainda mais do que a correspondência por SMS com alguém que não possui mensageiros instantâneos. Parabenizando um parente nos feriados, você pensa no que escreve. Quem envia notificações - não.
A amostra é modesta, mas em grandes números a diferença será insignificante.
Ameaça # 1: Despesas não autorizadas
Regularmente, há histórias sobre assinaturas automáticas de serviços pagos. No mês passado,
Habré falou sobre o Megafone :
Há um ano,
sobre o MTS na Medusa :
Para entender a extensão do problema:
Ameaça nº 2: segurança da conta
Você perde um cartão SIM, aplica-se com um passaporte ao salão de uma operadora de celular, um funcionário emite um novo cartão com seu número em um minuto. O cenário habitual? Ele pode fazer o mesmo por vontade própria, sem o seu conhecimento, se o benefício exceder as consequências e a probabilidade de punição.
Mas a
reemissão de cartões SIM por proxy falso é visivelmente mais popular. Conscientes do problema, as operadoras móveis oferecem a proteção de si mesmas pela
proibição de ações em nome do assinante por proxy. Embora eles pudessem resolver o problema globalmente, definindo uma proibição padrão.
Tendo caído em mãos erradas, seu número se torna a chave para o correio, mensagens instantâneas e muitos instrumentos de pagamento. É aí que a recuperação ou verificação de acesso via SMS é usada.
A notícia relativamente boa é que a maioria dos bancos modernos pode rastrear o fato de uma alteração no cartão SIM, o que significa que eles não serão permitidos no banco da Internet e não enviarão um código de confirmação para pagamento online. Pelo menos até você confirmar a troca de cartão no departamento ou por telefone. Mas não esqueça que as entradas no “Pacote Primavera” são mantidas pelo operador por seis meses e, entre outras coisas, há suas respostas para as “perguntas secretas”.
As agências policiais também podem obter controle sobre o seu SMS, como já
mencionamos anteriormente. Sem reemissão de um cartão SIM e completamente invisível para o assinante
Ameaça 3: Privacidade
Aqui está a parte divertida.
Notificações de empresas : serviços online, restaurantes, clubes, clínicas, lojas, serviços de entrega, compartilhamento de carros. Muitos assinam suas mensagens, o que significa que você pode determinar imediatamente quais serviços o cliente usa. Quanta informação pessoal está contida nessas mensagens, você pode imaginar por si mesmo.
Notificações de bancos . A partir dessas mensagens, você pode obter informações:
• sobre saldos de contas;
• sobre saques e reabastecimentos nos quais os caixas eletrônicos;
• sobre sua rotatividade total em qualquer período;
• sobre depósitos: valor, prazo, juros pagos;
• Sobre empréstimos aprovados, pagamentos e dívidas;
• em cartões emitidos, em parte de seus números e, às vezes, em parte ou em todo o código PIN;
• sobre todas as transações do usuário, suas compras;
• sobre o pagamento de contas;
• sobre transferências para outras pessoas, incluindo seus nomes e números de conta.
E o que o operador salva não é protegido por nenhum "sigilo bancário".
As informações coletadas permitem criar um perfil completo e personalizado do cliente. O Google Analytics não exige muitos recursos: informações textuais sobre modelos, palavras-chave e o tipo de destino são facilmente processados por algoritmos.
Esse perfil oferece oportunidades quase ilimitadas para o operador e qualquer pessoa que tenha recebido acesso não autorizado, incluindo um vazamento no banco de dados.
Sobre vazamentos em @dataleakAbra seu SMS e veja as informações que você compartilha com a operadora de maneira clara.
Quantos arquivos SMS estão armazenados? De acordo com a
investigação da
Mobile-Review - 3 anos,
segundo Maxim Katz - pelo menos 2 anos.
Saia da agulha SMS - não será fácil
Transações financeiras
Mudamos para o uso de notificações push em vez de SMS.
Exemplo de cenário do Alfa-Bank:
Um procedimento semelhante está disponível na maioria dos outros bancos com aplicativos móveis.
Confirmações de logon de serviço
Utilizamos aplicativos de verificação no smartphone (Google Authenticator e análogos), cartões inteligentes, tokens ou pelo menos confirmação por e-mail de um serviço de correio confiável.
Comunicação
Todos com quem você se comunica via SMS podem ser transferidos para mensageiros de fabricação estrangeira seguros ou relativamente seguros. Mostre-lhes pessoalmente que o uso de mensagens instantâneas não é assustador nem doloroso.
Mais duas opções radicais
Para discussão.
Usando um cartão SIM estrangeiroAlgumas dúvidas sobre a confiabilidade dessa opção:
- Esses SMS estão disponíveis em texto não criptografado para a operadora local que atende um número estrangeiro em roaming?
- Mantém e deve mantê-los legalmente?
- É obrigado a fornecer informações sobre mensagens para esses números, mediante solicitação?
Se alguém quiser falar sobre a "cozinha interna" dessas questões, mas não estiver pronto para fazer isso em comentários públicos, você pode escrever anonimamente em nosso
bot de telegrama marcado como "para Habr". Com sua permissão, adicionaremos informações anônimas ao artigo.
Rejeição total de SMSÉ difícil imaginar como viver com isso. Mas em nosso voto, essa opção obteve 13% ...
Você pode recusar completamente o SMS?