我们谈论使用SMS时对安全和隐私的潜在威胁。
“从历史上看,”
那些除了打电话以外首先碰到手机的人还发现了短信的存在。 而且,如果最初的消息通常在没有实时操作员(记住寻呼机)参与的情况下用于交换信息,那么现在它们已成为通知和验证的主要工具。
我们在
电报频道中进行了主题调查:
结果:87%使用SMS 。 并非所有人都知道,但是答案“
仅用于接收通知 ”对隐私的威胁甚至比与没有即时通讯程序的人的SMS信件威胁更大。 祝贺一个假期的亲戚,您会考虑自己写的东西。 谁发送通知-不。
样本数量不多,但数量相差不大。
威胁1:未经授权的支出
经常有关于自动订阅付费服务的故事。 上个月
在哈布雷(Habré)上谈到扩音器 :
一年前
关于美杜莎(Medusa)的MTS :
要了解问题的程度:
威胁2:帐户安全
您丢失了SIM卡,并带着护照向移动运营商的沙龙申请,员工在一分钟内用您的号码发行了一张新卡。 通常的情况? 如果收益超过后果和惩罚的可能性,他可以在不知情的情况下以自己的自由意志做同样的事情。
但是,
通过假代理重新发行SIM卡显然更为流行。 意识到这个问题,移动运营商提出通过
禁止代表代理
用户的行动来保护自己。 尽管他们可以通过设置默认禁令来全局解决问题。
落入不法之徒后,您的电话号码将成为邮件,即时通讯工具和许多付款工具的钥匙。 那就是使用访问恢复或通过SMS进行验证的地方。
相对好消息是,大多数现代银行都可以跟踪SIM卡更改的事实,这意味着它们将不允许进入互联网银行,也不会发送在线支付确认码。 至少要等到您在部门或通过电话确认更改卡后才能进行。 但是请不要忘记,“ Spring Package”上的条目已由操作员保存了六个月,此外,您还可以找到“秘密问题”的答案。
正如我们前面
提到的 ,执法机构还可以控制您的SMS。 无需重新发行SIM卡,订户完全看不见。
威胁3:隐私
这是有趣的部分。
公司发出的通知 :在线服务,餐厅,俱乐部,诊所,商店,送货服务,汽车共享。 许多人在他们的消息上签名,这意味着您可以立即确定客户端使用什么服务。 您可以自己想象这些消息中包含多少个人信息。
银行通知 。 从此类消息中,您可以获得信息:
•关于帐户余额;
•关于自动柜员机的取款和充值;
•关于您在任何时期的总营业额;
•关于存款:金额,期限,支付的利息;
•关于批准的贷款,付款和债务;
•在已发行的卡上,其号码的一部分上,有时甚至是部分或整个密码上;
•关于用户的所有交易及其购买;
•关于支付账单;
•关于转移给他人的信息,包括他们的姓名和帐号。
而且,运营商节省的资金不受任何“银行保密”保护。
收集的信息使您可以创建一个完整的个性化客户档案。 Analytics(分析)不需要大量资源:模板,关键字和目标类型的文本信息可以通过算法轻松处理。
这样的配置文件为操作员和其他任何未经授权访问的人(包括数据库泄漏)提供了几乎无限的机会。
关于@dataleak上的泄漏打开您的SMS,然后清除您与运营商共享的信息。
存储了多少SMS存档? 根据《
移动评论》的调查 -马克西姆·卡兹(Maxim Katz)称,
为期 3年-至少2年。
轻松获得短信-绝非易事
金融交易
我们改用推送通知代替短信。
Alfa-Bank方案示例:
在其他大多数具有移动应用程序的银行中,也可以使用类似的过程。
服务登录确认
我们在智能手机(Google身份验证器和类似物)中使用验证应用程序,智能卡,令牌,或者至少通过可靠的电子邮件通过电子邮件进行确认。
沟通交流
通过SMS与您通信的每个人都可以转移到国外制造商的安全或相对安全的使者。 亲自向他们表明,使用即时通讯程序并不可怕也不痛苦。
另外两个激进的选择
供讨论。
使用外国SIM卡有关此选项的可靠性的一些疑问:
- 这些SMS是否以明文形式提供给漫游时为外国号码服务的本地运营商?
- 保留,他应该合法保留吗?
- 是否有义务根据要求向此类号码提供有关消息的信息?
如果有人想谈论这些问题的“内部厨房”,但还没有准备好在公共评论中这样做,则可以在我们的
电文机器人中匿名写成“供Habr使用”。 经您的许可,我们将在文章中添加匿名信息。
完全拒绝短信很难想象如何生活。 但是在我们的投票中,该选项获得了13%的收益...
您可以完全拒绝短信吗?