Phishing po telefonu? Jak to doopravdy bylo s Vodafone

Předvolba 0800? IMHO jen 800. A tu si může AFAIK zařídit (asi na nějaký poplatek) kdokoli, to není jednoznačné určení!

Ověřování pomocí hesla do telefonu mi přijde ujetý. Vodafone přece ví, komu volá, když má číslo.

[2] to sice ví, na jaký telefon volá. Ale neví, kdo to zvednul.

"Zákazník si vždy může snadno a rychle ověřit, zda skutečně mluví s operátorem Vodafonu."

- možná by měl o tomhle Vodafone udělat nějakou osvětu, protože to přeci nikoho nemůže napadnout...

A co takhle mít přístupové údaje dva? Nebo říct operátorovi jenom část hesla? Pokud mám 8 - 10 znakové heslo, první 4 znaky by měli k ověření stačit a zároveň to zaručí bezpečnost.

Proste autentizace do krize :-) Vzajemne si neduverujici strany si maji na vzajem prokazat totoznost a to tim, ze vyzradi utajovane udaje. Prijde mi to docela srandovni :-).

[1]: Pokud má dotyčný blízko k veřejné telefonní síti, což dnes v době VoIP garážovek není takový problém, může si číslo volajícího vygenerovat jaké chce. Ověření pravosti čísla provádí první veřejná ústředna a všechny další údaj jen přebírají, takže pokud je první ústředna v moci útočníka…

me uz po prvnim clanku napadlo jestli ti nevolal/i takovi ti nahaneci smluv co maj prachy za bud uhnane zakazniky, nebo za zmenu na drazssi tarif. Aspon mi to tak pripadalo - kdybys mu dal heslo, tak tam zmeni tarif na nejaky hezci a pak si te vykaze jako "novou dusi" z ktere ma provizi. Mozna jsem moc paranoidni - ale jinak me nenapada proc by te nekdo zkousel rhybarit...

1) kecaj, volaj ze skrytejch cisel, z ruznejch cisel z vodafonu i pevny
2) kdyz ma nekdo pristup k PBX tak si nastavi cislo jaky chce (zkuste obcas volat pres skype na mobilni sit, cislo je vetsinou skryte, obcas ale taky ne a je tam nesmysl typu "3" nebo "6", nebo "123456"...) - nevim jak je toho presne docileno (zrejme spatne nastaveni nekde), ale podobnou zkusenosti mam i s VoIP telefonem - nesmyslne predvolby (napriklad volani z +00000056123123 a podobne, misto americkeho cisla +16xxxx ktere mam pridelene)

"Zákazník si vždy může snadno a rychle ověřit, zda skutečně mluví s operátorem Vodafonu. Může se dotázat na údaje, které může znát jen operátor. Například, jaký tarif má zákazník nastaven, jaká je fakturační adresa a podobně. Takto může zákazník v případě pochybností vyloučit, že nemluví s nikým jiným než operátorem Vodafonu."

Z toho plyne, že když mi někdo ukradne tašku - v ní telefon a klíče - a jako na potvoru mi na telefon zavolá operátor s optimalizací - tak zlodějovi nahlásí i mou adresu, aby prokázal, že je operátor? To pěkně děkuji... To je opravdu oficiální stanovisko Vodafonu?

Taky mi volali. Rekl jsem, ze jim heslo rikat nebudu, at si vymysli neco jineho, podle ceho mne overi. Slecna na druhem konci rekla - neni problem - reknete mi, jaky mate tarif. To jsem ji rekl a pak uz to slo raz dva. Asi taky zalezi na konkretni osobe, ktera sedi v callcentru operatora.

[7]: Což je ovšem nelegální. A tedy to určitě nikdo neudělá, není přeci zločinec :-)

Pokud vím, třeba fixní TO2 si sakra dobře hlídá, které prefixy z připojených garážovek do sítě propustí. V případě pochybnosti raději číslo volajícího nepropustí (na displayi mobilu "číslo neznámé"), než aby propustil blbost. A divil bych se, kdyby to ostatní operátoři udělali jinak. Protože udávat správně volajícího ukládá zákon i jim (i pro "neoriginující hovory"), například v případě volání na čísla záchranného systému.

Mne svagor onehda pisal sms a volal cez nejaky svoj SIP server tak, ze sa mi ukazal s mojim vlastnym cislom ako odosielatel/vo­lajuci - netusim ako to zariadil, ale od tej doby nepovazujem cislo prichadzajuceho hovoru za jednoznacny identifikator, natoz predvolbu.

Overovanie totoznosti podla hesla je uplne normalna zalezitost vyuzivana v zahranici, to ale len pod podmienkou, ze pocas podpisovania zmluvy s operatorom sa operator a zakaznik dohodli na hesle pre telefonicku komunikaciu. Toto, samozrejme, nesmie byt ine heslo, napr. heslo, ktore sa pouziva na strankach operatora. Ak je to heslo vytvorene za ucelom overovania sa pocas telefonickeho hovoru a nikde inde nieje pouzite, tak je to v poriadku.

Pokial ide o telefonne cislo volajuceho, vieme, ze je mozne ho spoofnut, takze to nepokladam za dostatocne overenie. Ak este operator povie, ze staci, ak je to cislo 0800 (co v ceskej republike nieje mozne, ale to je len detail), tak ide o zabezpecenie vo velmi slabej verzii, nakolko cislo zacinajuce sa na 0800 (800) si dokaze zriadit kazdy, kto ma 18 alebo viac rokov a k dispozicii financnu hotovost mensiu ako priemerny plat.

Overovanie si totoznosti volaneho pomocou kladenia otazok, ktore vie len operator je tiez blabol. Vo vasej zmluve s operatorom nieje ziadna strana zaviazana neposkytnut informacie o vasom tarife a fakturacnej adrese (pokial je rovnaka ako vas trvaly pobyt) tretim stranam. Ani jedna z tychto informacii nieje citlivy osobny udaj - vas tarif je obchodny udaj, ktory nieje zakonom chraneny a vas trvaly pobyt je necitlivy osobny udaj nechraneny zakonom o osobnych udajoch, podobne ako vase meno, priezvisko a titul. Polozte si ruku na srdce a spytajte sa sami seba, kolkym ludom ste uz povedali, aky mate tarif...

Conclusion: Vodafon sa vyjadril tak, ze po precitani vyjadrenia nieje citatel o nic viac informovany ako predtym. V dnesnom svete je potrebne operatorovy vynadat a povedat mu, nech sa uz nikdy neopovazuje vam volat. Je uplne jedno, ze on tvrdi, ze vam vola kvoli optimalizacii, pravda je totiz jasna - on vam vola preto, lebo od vas chce viac penazi. Takze mu to zakazte a mate pokoj. Mozete to urobit dokonca aj pocas podpisu zmluvy.

14. Ze adresa pobytu neni tajny udaj, je jedno. Praktiky operatora by teoreticky mohly poslouzit k asociaci nejmodernejsiho chytreho telefonu a super notebooku ukradeneho z luxusniho mercedesu s adresou, na ktere by zlodej nebo jeho kolega s jinou specializaci takovych veci mohl najit vice.

To [7], [9]: Rozhodne nejde poslat libovolne cislo z bezne PBX. Verejna ustredna hlida DN ("kmen" provolby) a libovolne muzete nastavit pouze cislo pobocky ("klapky"). K tomu, abyste mohl poslat cele cislo, musite mit s libovolnym operatorem wholesale smlouvu, tj. musite byt rovnez registrovanym operatorem s platnou licenci a propojeni by melo byt realizovano napr. na SS7. V takovem pripade naopak vas partner nebude hlidat nic, nebot ze zakona jste povinen korektnost ANI zajistit vy. Tak to plati u nas. V jinych zemich muze byt jurisdikce jina. Pokud vim, Skype u nas neterminuje, takze to chodi asi mezinarodnim interconnectem nebo prave pres nejakou garazovku, ktera ma s nekym u nas wholesale smlouvu a tak to tam tlaci s temi nesmyslnymi ANI (CLI). Takze Oskaruv nazor je spravny, jen jsem jej trosku zpresnil :-).

To [7], [9] a [16] vodafonuv nazor samozrejme neni spravny.
Žádat heslo v takovém případě je stále nesmysl a vodafon se chová v tomto ohledu nezkutečně amatérsky. Na to že se volá z 800 nebo odněkud jinud se nedá s jistotou spolehnout i když je to jeden s hintů.
U nás se ANI (CLI) celkem hlídá, ale neplatí to o zahraničí, kde se dá na nezodpovědného nebo velkoobchodního VOIP operátora (nebo operátora s chybou) narazíte poměrně snadno. A nezodopovědný zahraniční VOIP operátor samozřejmě na české zákony může vyprdnout a nikdo mu nic nemůže, maximálně přestat posílat callerid, čímž ale sám poruší zákon, protože správně má posílat číslo toho kdo volá (a ne nahrášku nebo skryté číslo) . :)

Navíc by někdo mohl přijít a říci, že ztratil "Vaši" simkartu, ale zná heslo (pokud se jedná o předplacenou kartu co není na jméno) zrovna v době kdy máte mobil vypnutý. Oni mu pak dají kopii Vaší simkarty, a on může provolat Váš kredit, nebo se dokonce za Vás vydávat v internetbankingu.
Prosím neobhajujte už amatéry v kravatě co si říkají VODAFONE. Chybovat je lidské, jen jsem zvědav kdy to přiznají a zjednají opravdovou nápravu. Většina velkých firem dělají podobně zásadní chyby, mne to vůbec nepřekvapuje .... (často dělají chyby ve stylu zbytečné birokracie)

Naštěšstí v ČR nemáme podvodníky tokového formátu ....

Podle mě se to dá řešit jedině tak, že operátor řekne obecné věci, které nejsou tajné a pokud má dotyčný zájem měl by zavolat zpátky na osmistovku ze které volal, kde se systém postará, že bude pokračovat v rozhovoru s tím stejným operátorem. Jedině tak mohu mít jistotu, že mluvím oprevdu s operátorem vodafonu. To ale je asi už příliš abstraktní myšlení pro mnohé managery. Hold budou je muset poslat na školení :)

[14]: Pak je akorát potřeba, aby heslo "na představení se" a heslo "na změnu" bylo různé. A v ničem problém nebude.

Takhle je problém v tom, že na to, aby ses představil, už musíš druhému do ruky dát možnost, aby ti změnil plán nebo tě dokonce přeregistrovával k jinému operátorovi!

[17]: Do banky asi těžko. Pokud si vyměníš SIM musíš do banky.

[20] To záleží. Pokud máš bankovní aplikaci tak asi ano, pokud máš oveřování identyty obyčejnou SMS tak do banky nemusí. Stejně ale úvaha, že kdokoli, kdo zná jméno a číslo a zavolá ti stejným způsobem jak to dělá běžně vodafone, může ukrást tvoji předplacenou simkartu je děsivá :) Bude pak přijímat všechny tvoje SMSky a může se dokonce vydávat za tebe s "ochraptělým" hlasem a vyzvědět tak třeba obchodní tajemství :). Heslo si samozřejmě změní, aby pravému majiteli zablokoval přístup ke své kartě. Nešťastník si zprvu bude myslet že je to nějaký vodafon bug, který možná stejně odejde jako přišel, ale protože nebude znát nové heslo ke své kartě, nikdo se ním zprvu nebude chtít moc bavit ... A to čí karta vlastně je bude tak trochu tvrzení proti tvrzení ... Útočník (zvláště pokud by byl z okruhu známých) může tvrdit třeba, že tě potkal někde ve tři ráno úplně na mol a kartu jsi mu prý prodal, aby jsi měl na taxíka no a pak ji ztratil, ale heslo pamatoval .... Oba budete působit zhruba stejně nevěrohodně, zvláště pokud pravý majitel byl tu noc opravdu někde pařit. A tuto konstrukci jak to asi mohlo být z vodafunu nikdo nepochopí, nebo to nějak popře jako mluvčí :) Docela zajímavá noční můra.

Mít dvě hesla - na změnu a na představování nelze, protože většina lidí má problém si zapamatovat i to jedno heslo a stejně každému operátorovi pro jistotu vyžvaní obě hesla....
Prostě pokud mám někomu říkat heslo, musím já volat jemu na všeobecně známé číslo a nikoli on mě.

I kdyby si byl vodafone nyní už vědom své chyby, nebylo by rozumné to veřejně přiznat protože by tím přilákal pozornost novinářů a poté útočníků. I kdyby se nyní vodafone začal nyní chovat rozumně, velká část zákazníků pořád skočí na špek podvodníkovi. Tudíž mlžit může být v jeho zájmu i kdyby si toho byl nyní vědom. Novinářům to také moc nemyslí, takže vše je vlastně celkem OK, jen zákazník by si měl dávat pozor :). A tohle bude nejspíš závěr této diskuze.

Ze zkušenosti vím, že operátoři poskytují údaje o tarifech a to včetně výpisů svým "smluvním partnerům". Vím to jednak z toho, že firmě kde vypomáhám volal nějaký "jouda" který nabízel "výhodnější tarif" tohoto operátora s tím že přesně věděl jaké výdaje firma má nyní a potvrdil že je má přímo od operátora(nebyl to zaměstnanec operátora, prokazoval se jako jiná firma). Následně se volalo přímo na tu "informační linku" kde nám, po dlouhém hovoru, informaci o tom, že tyto údaje předávají, a netřeba ani žádat o svolení ani nedávají vědět o tom že údaje předali, POTVRDILI... samozřejmě hned následovalo tvrzení, že je to běžný postup. Spolupráce s operátorem byla samozřejmě ukončena, ale stejné riziko vidím i v ostatních operátorech.

Už bych tento druh informací jako ověření volajícího nepoužil.

PS: Operátora nebudu uvádět, událost je z tohoto roku.

To 11:
Pokud někdo volá mě, bude se ověřovat on mě, nikoli já jemu. Správný ostup je poslat do řitě. Na třetí pokus to pochopili i u TM a dali pokoj..

[18] Když zavoláš zpět na tu osmistovku, tak si nejdřív musíš ověřit, že ta osmistovka patří Vodafone. Jinak nemá žádný smysl volat zpátky :)

mimochodem, martine, děkuji za minulý článek. shodou okolností ve VF pracuji (jsem hezká slečna na prodejně :)). začala jsem teď k identifikaci používat náhodně vybraná čísla z hesla, tj. ptám se na první a poslední, jen na třetí, jen na čtvrté apod. samotnou mě to předtím nenapadlo, minulý článek mě k tomu popostrčil.

Ailyn: Nemáš zač. Ač to celé může vypadat poněkud kriticky, hlavní důvod, proč jsem to psal, měla být osvěta.