T-Com požaduje na overenie identity nadiktovať heslo po telefóne
Mal som problém s účtovaním a tarifikáciou mojej karty Ready pre VoIP telefonovanie od T-Comu. Tak som zavolal na linku technickej podpory 0800 123 777 stlač 2 a čakal som. Kým sa mi prihlásil operátor, bol som automatom vyzvaný, že pre komunikáciu so živým operátorom si mám pripraviť SIP heslo. Hm, hovorím si, to je divné, aby chceli diktovať heslo, ale nalistoval som a pripravil si ho na obrazovku. Keď sa prihlásil živý operátor, požiadal ma, aby som mu nadiktoval meno a heslo pre prihlásenie sa ku karte Ready, teda celkom iné kompletné prihlasovacie údaje. Hm, to je divné, najprv informovali, že chcú jedno heslo a teraz chcú druhé… Pomoc som potreboval, na karte bol aj tak záporný zostatok, tak si hovorím, ani veľa neriskujem a začal som diktovať. Najprv meno, potom heslo. Akurát som to diktoval bez rozlišovania veľkých a malých písmen. Živý operátor bol spokojný a začali sme riešiť môj problém.
V tomto momente popis na chvíľu preruším a rozoberieme si čo sa vlastne stalo.
Takto prebieha finálna fáza klasického phishingového útoku. Obeť nadiktuje meno a heslo a rhibár predstiera snahu o riešenie. Potom rozhovor ukončí s tým, že informáciu odovzdá na riešenie ďalej technickej podpore. Po ukončení rozhovoru sa rhibár zaloguje pod vaším meno a heslom do vášho konta a kompletne prevezme nad ním kontrolu. Pošle si peniaze, využije predplatené služby a tak ďalej a tak podobne. Vo všetkých záznamoch je viditeľné, že ste tieto operácie urobili vy.
Ale vráťme sa na hotline linku T-Comu.
Keďže T-Com pracuje ako obvyklá korporátna firma, riešenie môjho problému nenastalo ani na druhý deň ani na tretí ani na piaty deň. A tak som skoro každý deň (celkovo asi 5-6 krát) zatelefonoval na 0800 123 777 stlač 2 a opätovne urgoval a opätovne vysvetľoval čo potrebujem. Linka je zadarmo a opakované neúnavné pravidelné urgovanie zdolá aj korporátny moloch. (Mnohokrát úspešne vyskúšané) Pri každom telefonáte prebehlo horeuveným spôsobom overovanie mojej identity a ja som vždy diktoval heslo bez uvedenia, ktoré písmená sú malé a ktoré veľké. Až raz:
- Ja: “Heslo je nbusr123“
- Operátor: “To sr je veľké však?”
- Ja: “Áno”
- Ja: “Vy vidíte na obrazovke moje heslo?”
- Operátor: “Áno, takto si overujeme, či ste to naozaj vy, komu patrí toto konto. Ak sa obávate ochrany súkromia, tak predsa platí telekomunikačný zákon a zákon na ochranu osobných údajov a teda žiadne zneužitie nehrozí.”
- Ja: “???”
Najväčšie nebezpečenstvo je v tom, že T-Com utvára vzorec správania sa. Ľudia sa naučia, že diktovať heslo po telefóne je obvyklé a potrebné pre to, aby technik mohol riešiť ich problém. Týmto konaním T-Com rozbíja akúkoľvek snahu o vzdelávanie verejnosti v elementárnej ochrane svojej identity a virtuálneho majetku na internete.
- Súvisiace články:
- O2 fér je konečne paušál pre mňa
- Ako si výhodne zriadiť pripojenie do internetu a nezaviazať si pevnú linku od T-com - dokončenie
- Ako si výhodne zriadiť pripojenie do internetu a nezaviazať si pevnú linku od T-com
- Som VoIP Ready - karta pre hlas cez internet od T-com.sk
- Dáta pre VoIP smrdia
Prevádzkujem internetovú Lekáreň na webe. 
dlho som sa tak nepobavil. imho keby slovo “heslo” nahradili pojmom napr “volaci znak” znelo by to menej paranoidne. inak uz sa vidim jak niekde v eletricke diktujem nahlas svoje “heslo”…
Piki, aky sposob autentifikacie po telefone by si navrhoval?
V tomto konkretnom pripade ma ine riesenie nenapada. Suhlasim, ze riesenie to nie je idealne, ako sam pises, vytvara pocit samozrejmosti, ovsem inteligentny clovek (uzivatel) hadam dokaze rozlisit ten maly rozdiel - v tvojom pripade si si ty sam vyhladal cislo podpory na legitimnom webe t-com, nebolo ti znenazdajky podvrhnute mailom, sms alebo niekym volajucim.
Viem, viem, kritizujes vytvaranie vzorca, ovsem nejako sa legitimny uzivatel autentifikovat musi.
Autentifikacia po telefone? Jednorazova. T-com mi nieco niekam posle na kontaktne miesto, ktore som uviedol pri uzatvarani kontraktu (telefon -> SMS, e-mail na moju adresu), pripadne mi polozi kontrolnu tajnu otazku tiez z toho isteho zdroja. Takyto postup diktovania on-line hesla je cesta do pekla. Odvolavanie sa na inteligenciu uzivatela je absolutne neopodstatnene, aj inteligentny uzivatel si nemusi uvedomit jemne nuansy pri phishingu.
[alian] - jediná pripomienka: skúsme zaviesť ako priemyselný štandard nbusr123 namiesto *** alebo “heslo” v poli “heslo”
[sloper] - jedinečné PIN cez tónovú voľbu, alebo skombinovať webové rozhranie, alebo… napríklad. Všetko je k dispozícii vrámci danej služby. Možností je viacero, ale najľahšie je nechať si nadikotvať heslo a tak preniesť prípadné dôkazné bremeno na užívateľa. Ďalšou základnou vecou je, aby heslá neboli pred očami a aby admini nemali možnosť pristupovať pod rovnakými identifikačnými dátami ako užívateľ. (aspoň základná ochrana prístupu k nim) Veď to je základná požiadavka pre auditovanie akéhokoľvek IT systému - jednoznačné a nezameniteľné identifikovanie všetkých užívateľov v logoch.
Inak mimochodom, kým sa browser dostane na stránku, kde sa prihlasujem do konta Ready, prebehnú 2 presmerovania (zona.t-com.sk do moj.t-com.sk/credit do zona.tcom.sk) a vyskočí na mňa upozornenie (Firefox win), že server je certifikovaný neznámou autoritou. Tomu hovorím vzbudenie dôvery.
Klasicky najväčším problémom akejkoľvek vzdialenej identifikácie je muž uprostred. Ale v tomto prípade naozaj nemá cenu toto riešiť, pretože uvedené problémy v bezpečnosti považujem za základné, potom dlho dlho nič a až potom muž uprostred.
No, například kdysi, kdy jsem ještě nepoužíval InternetBanking, to s mojí bankou vypadalo tak, že když chtěla po mě baba identifikaci, tak po mě chtěla například jen 2 a 6 znak (vč. rozslišení velké/malé a pokaždé jiné). Jiné znaky hesla neviděla ani ta baba a tak ani celé heslo neznala. A ani já ho celé nikdy neříkal. Myslím, že to jako ochrana dat i jako identifikace stačí…
[Ruziklan] Nejde predsa o jemne nuancie, ale o zasadne rozlisenie - pri phisingu podvodnik podvrhne falosny web s prihlasenim, uzivatel sa ma chovat tak, ze neakceptuje zaslane adresy, ale rucne natuka, alebo vytiahne zo svojich bookmarkov. Priklad s telefonickou podporou je ten isty - neakceptovat zaslane cislo podpory, ale vyhladat si ho u originalneho zdroja.
O tomto je inteligencia uzivatela, ktoru spominam.
Tvoj priklad “T-com mi nieco niekam posle na kontaktne miesto, ktore som uviedol pri uzatvarani kontraktu (telefon -> SMS, e-mail na moju adresu), pripadne mi polozi kontrolnu tajnu otazku tiez z toho isteho zdroja.” je naopak menej vhodny - zlodej sa cez ukradnuty mobil autentifikuje a kontrolna otazka je viac zdiskreditovanejsia ako nejake jedinecne heslo.
Priklad Hujera je dobry, je to naozaj lepsie riesenie, ako cele hesla.
[Martin] bavime sa o telefonickej podpore a autentifikacii - akekolvek dalsie technicke prostriedky by boli kontraproduktivne a domnievam sa, ze keby si potreboval tel. podporu niekde z terenu a oni by od teba vyzadovali k autentifikacii este webovy pristup, tak by si pisal iny kriticky clanok
Nemohol by si ku komentarom pridat aj ciselne identifikatory pre odkazovanie?
podla mna jednoduche riesenie - pri uzatvarani sluzby das na seba pevny kontakt - tel cislo. ak si ta chce t-com overit posle ti v sprave jednorazvu zmat znakov, tu nadiktujes. ano mozu ti telefon odcudzit a pod., ale zasa mi to pride rozumnejsie ako diktovat bars kde stale to iste heslo.
pripadne sa mi pozdava aj Hujerove riesenie, tiez si spominam ze to tak davnejsie fungovalo
[sloper] Tentokrát ide jednoznačne o konkrétnu službu telefonovania cez internet a tá je úplne zviazaná s internetovým pripojením. (Pre používateľov VoIP hardwarových telefnóv je tu tá tónová voľba). Preto som to navrhoval ako jedno z, v prípade tejto služby, reálne použiteľných riešení. Keďže ide o multikanálovú službu, seriózne riešenie by malo poskytovať viac možností. Živý operátor sa opýta, aké má užívateľ možnosti a na základe toho vyberie formu autorizácie.
Ohľadne komentárov: Cieľ je stromovitá štruktúra diskusných vlákien(rozhodnuté s ohľadom na obvyklý spôsob diskusie na tomto webe), avatary a tak podobne. V prioritách to mám veľmi vysoko.
na tento ucel by bola vhodna napr. grid karta - a po pouziti vsetkych policok (co by mal operator zaznamenvat) vymenit
a cital si uz o tom ze t-com zavadza fup a p2p ti pojde az po 23:00?
[tcom] A ty si čítal tento článok? (ďalšia OT diskusia bude zmazaná)
autentifikacia bud jednorazova ako to robia niektore banky pre kreditky via internet (to je bezpecnejsia forma), alebo inym heslom, nie takym akym pouzivas pre internetovy pristup (neviem ale ake opravnenia ma user, ktory telefonuje,…)
[slopper] >>> “zlodej sa cez ukradnuty mobil autentifikuje” odcudzenie telefonu nahlasis, takisto ako odcudzenie ID cardu
[Martin] >>> jedinecnym PIN cez tonovu volbu neoblafnes odpocuvanie
[skrco] Neriešim žiadne odpočúvanie, žiadneho muža uprostred. V tomto prípade by mal t-com riešiť základnú vec. Ale to som písal, že?
[skrco] “odcudzenie telefonu nahlasis, takisto ako odcudzenie ID cardu” - si si isty, ze odcudzenie zistis hned? Ja a ty zrejme ano, ale co ludia obecne? Ja by som sluzbu, ktora vyuziva autentifikaciu pomocou kodu zaslaneho na sms v ziadnom pripade nevyuzival…
Tak už sa to vetví.
az na to, ze _by_ sa nejednalo o ‘phishing’ ale o ’social engineering’. trochu si mylis pojmy.
co samozrejme na veci nic nemeni. pri citani ma to co si napisal napadlo ale nechcelo sa mi pisat pikimu aby si to upravil. ty si to vrhol do komentarov. Fakticke opravy smeruj vzdy priamo autorovi, inak mame pocit, ze sa zisiel spolok mudrych, ktori nad rozliatym mliekom diskutuju o tom ci ta krava co ho mala zrala stvorlistky alebo hulila travu.
jasne, ze to nic nemeni na blbosti t-comu. inak sorry, nevedel som ako to tu u vas chodi - som zvyknuty kritiku pisat rovno do komentarov, kam vlastne aj patri (aspon teda na portaloch zvysku sveta sa to tak zvykne robit).
Pointou článku je posledný odstavec.
Keď sa bavím so známymi o tom ako sa správať bezpečne, základná informácia, ktorú odo mňa dostanú je, že heslo sa nikomu nediktuje, nikam neposiela e-mailom, pretože na to nie je dôvod. Všeobecne fungujúce univerzálne pravidlo, slovom axióma. Im ťažko budem vysvetľovať jemné nuansy a rozdiely medzi rhibárom a podlizovačom. Výsledok, ako naznačil rony vyššie je rovnaký. (skysnuté mlieko a vybrakovaný účet)
Ale čoho sa nechcem dočkať je argumentácia môjho známeho v štýle: “Ale veď T-com (veľký, skúsený, bohatý, s mnohými odborníkmi, tak to predsa musia vedieť ako na to) to odo mňa požaduje.” Na takýto argument (a laik miluje takýto argument) sa potom ťažko odpovedá, pretože namiesto vysvetlenia pravidiel bezpečného sexu sa debata presunie na princípy fungovania antikoncepcie. A cieľ (nedostať AIDS) je v…
ja som nekomentoval pointu clanku, upozornoval som na chybu. laikom je samozrejme jedno, ako to nazves, avsak clanky by si (vo vlastnom zaujme) mal pisat tak, aby sa pacili aj ludom zasvetenym do problematiky. momentalne to vyzera, ze pises o niecom, do coho poriadne nevidis (nehovorim, ze je to naozaj tak!).
celkom pekna kritika, co vselico sa da povystrajat, pravda
Ale vsak T-Com ma nieco ako Grid karta. Vola sa to klient ID a toto je plnohodnotna nahrada hesla. Nemusis uz diktovat heslo k ziadnej sluzbe, staci ti nadiktovat cislo klient ID a PIN.
Počas celej, viac ako týždňovej anabázy, ani raz neprišla táto možnosť zo strany pracovníkov T-Comu ani len do reči nie to ešte aby bola použitá. Tušia o nej vôbec? To poprvé!
Po druhé: Ide o službu, kvôli ktorej treba ísť na kontaktné centrum osobne (to je základný rozpor s ideou karty Ready a Hlasu cez internet), dostaneš jedno, slovom jedno PIN číslo na večné veky (s trápnou ochranou pomocou Grid karty, teda niekoľkých kváziPIN, to nemá nič spoločné). K nemu je okrem mena aj nejaké heslo, ktoré sa v prípade telefonickej podpory nepoužíva. Vraj a možno našťastie. (Úplne mimochodom, grid karta, pokiaľ nie je elektronická, tak je to bezpečnostná krávovina)
Po tretie, mám taký pocit, vychádzajúc z prvej vety podmienok na stránkach tejto služby, že je to služba pre tarifných zákazníkov s pevnou linkou, pevnou adresou a pravidelným telefónnym účtom.
Ja mám čerstvú skúsenosť z tohto týždňa.
Od pondelka reklamujem dsl modem. Technik včera neprišiel a budúci týždeň som celý preč.
T-COM by som hneď zrušil. Nikomu nedávam za vinu, že nastal problém, ale to že tomu molochovi to je jedno je absolútna neúcta k zákazníkovi.
Ani po týždni nevyriešia Váš problém.
A vždycky tá priblblá poznámka na linke 0800 123 777 pripravte si heslo…atď… ma už vytáča do nepríčetnosti.
Ľudia vyvarujte sa firme T-COM, sú to spratci.
no to ci ich nevidela nemusi byt tak celkom pravda. to ze si jej ich nadiktoval ty neznaci ze mala pred sebou iba 2 a 6 znak v tvojom hesle
skus mi vysvetlit ako sa da overit tvoje konto ca sa na nom deje kedze prihlasovacie udaje vies k nemu len ty. karta ready nie je naviazana na nic clovek si ju zaregistruje na vebe a tym to konci. takze neake klient ID neprichadza do uvahy. A ked sa chces autentifikovat podla toho tak si objednaj sluzbu hlas cez internet a tom sa mozes autentifikovat aj na zaklade klient ID
Ako píšem niekde hore, nie je problém, že sa operátor (ten človek na druhej strane) dostane do môjho konta. Problém je, že sa tam môže dostať tak, že použije moje heslo, ktoré vidí na obrazovke. Napríklad doma a ja nemám šancu dokázať, že telefonuje na môj účet.
Služba má dva základné problémy: Jednak je to výsostne internetová služba, ale neumožňuje poslať z môjho konta žiadosť o opravu, o vyjadrenie, reklamáciu. Prosto vnútri nie je žiaden kontaktný formulár.
Druhak, rozhodli sa poskytovať pomoc aj iným kanálom (hlasová hotline), ale nepripravili sa na to a spoliehajú na zabezpečenie obvyklé v celkom inom prostredí (internet).
Z týchto dvoch problémov vyplýva aj riešenia. Jednak interný formulár - elementárna súčs´t každej webovej služby, druhak poskytnúť užívateľovi jedinečný PIN (nastaviteľný vo vnútri konta), ktorý overí po zadaní cez tónovú voľbu stroj voči údaju v databáze… Smutné je, že toto riešenie t-com už dávno a štandardne používa pre iné služby (Klient ID).
Len upozorňujem, že sa bavíme o čisto internetovej službe, ktorá bez fungujúceho pripojenia do siete nemá zmysel. Takže si klásť obmedzenia, že autentizácia musí byť funkčná bez prístupu zákazníka na sieť je z princípu služby absurdná.
neviem, cely tento clanok mi pride ako fraska;)
1. autor nech sa nauci poriadne pisat
2. overovanie udajov? bohuzial, ked ide niekto do mesta, ked chce pit nech ukaze obciansky, tak sa nikto nepozsatavuje nad ochranou osobnych udajou, atd bla bla bla
a ten ktory reklamuje dsl modem, naco vola technika? ked TVOJ dsl modem je v TVOJEJ SPRAVE, TEBOU zakupeny
Fox, a čo si to čítal? Hneď prvá veta hovorí čo som riešil, teda žiaden dsl modem. Takže priateľu, najprv sa nauč čítať!
posledna veta nebola mierena na teba, ale na jeden odkaz od strcprstskrzzkrk
s t-comom sa toho vela nezmenilo ani po par rokoch. Ked som volal na hotline ze mi nechce ist pripojenie tak mi technik hned s usmevom povedal ze mam v hesle y namiesto z. So zabezpecenim hesiel moc nepokrocili.