Что такое cloud otp
Пришло сообщение о Cloud OTP: что это?
Несмотря на ужесточение законодательства и другие меры противодействия мошенникам, их активность отнюдь не снижается. Во многих ситуациях они наоборот становятся изобретательнее, предпринимая разные шаги ради достижения своей цели.
Теперь в основном усилия злоумышленников направлены на получение конфиденциальных данных, которые помогут им получить доступ банковским картам и электронным кошелькам пользователей. В сети много информации, где высказываются подозрения СМС с кодом от Cloudotp очередная уловка подозрительных лиц. 
Что это
СМС от Cloudotp с кодами подтверждения – признак, что вероятнее номер пользователя оказался в базе сторонних лиц и, может быть, даже мошенников. Многие контакты вполне доступны. Существуют программы, которые собирают данные из открытых источников – социальных сетей, постов, досок объявлений.
Некоторые пользователи самостоятельно раскрывают свои данные, когда оставляют контакты при регистрации на сомнительных ресурсах. Стоит помнить, что даже деятельность банков не идеальна. Недобросовестные сотрудники финансовых структур периодически сами продают базы с данными клиентов сторонним лицам (страховым, МКО).
Получив СМС от Cloudotp, есть вероятность, что это просто ошибка. Однократное сообщение нередко является свидетельством деятельности программных алгоритмов или скриптов. Это просто автоматические сервисы, которые подбирают номера для регистрации или авторизации на различных ресурсах. Это сомнительная деятельность, поскольку без доступа к тексту на телефоне, посторонние ничего сделать не смогут.
Еще один вариант – подобное СМС от Cloudotp просто ошибка, когда кто-то заполняя форму регистрации или создавая учетную запись неправильно указал одну или несколько цифр.
Чтобы воспользоваться услугами того или иного сервиса необходимо регистрироваться. Большинство сайтов крупных компаний и, естественно, банков, имеют лучшие степени зашиты, однако не все ресурсы могут этим похвастаться. 
Некоторые страницы применяют стандартные настройки, а значит, существует реальный риск, что данные пользователей могут попасть в руки злоумышленников. Изменения процедуры идентификации, когда все чаще вместо электронной почты необходимо указывать номер телефона – большие возможности для злоумышленников.
Ответное СМС – ключ, который дает доступ ко многим аккаунтам, от Cloudotp с кодами подтверждения так часто применяют мошенники.
Как работают одноразовые пароли
Вступление
Как показывает практика, существует определенное непонимание принципов работы одноразовых паролей (это те самые, которые используются в GMail, в спец. токенах платежных систем и так далее).
Прочитав эту небольшую статью, Вы разберетесь в принципе работы одноразовых паролей на основе хэшей, а заодно напишете на Python небольшую программу, которая умеет вычислять пароли для двухэтапной аутентификации Google.
Хэш-функция
Хэш-функция позволяет взять любые данные любой длины и построить по ним короткий «цифровой отпечаток пальца». Длина значения хэш-функции не зависит от длины исходного текста; например, в случае популярного алгоритма SHA-1 длина этого отпечатка составляет 160 бит.
Чтобы понять, почему значение всегда имеет одинаковую длину и не зависит от исходного текста, можно упрощенно представить хэш-функцию в виде кодового замка с колесиками. Вначале мы выставляем все колесики в «ноль», затем идем по тексту и для каждой буквы прокручиваем колесики в соответствии с некоторыми правилами. То число, которое окажется на замке в конце, и есть значение хэш-функции. Примерами таких функций являются MD5, SHA-1, ГОСТ_Р_34.11-94.
Не придумывайте свои хэш-функции, используйте стандартные реализации (например, в случае Python):
Идея хэш-функции в том, что она работает только в одном направлении: ее очень легко подсчитать для «Войны и мира», но практически невозможно по уже готовому значению хэш-функции найти документ, который даст такое же значение. Даже если изменить в документе всего одну букву, хэш изменится полностью:
В связи с этим возникает естественное желание использовать хэш-функцию для контроля целостности сообщений, которые Алиса посылает Бобу: Алиса подсчитывает для каждого своего сообщения значение SHA-1 и вкладывает его в конверт; Боб, самостоятельно подсчитав SHA-1 текста, может сравнить свой результат с Алисиным и удостовериться, что сообщение не было изменено где-то по дороге.
Однако мы забыли о Меллори, который находится где-то между Алисой и Бобом, перехватывает их переписку и вскрывает конверты! Он вполне может изменить сообщение, после чего подсчитать для него SHA-1 и приложить к письму; Боб сверит значения и ничего не заметит.
Проверка подлинности
Подумав, Алиса и Боб при встрече договариваются, что при подсчете SHA-1 они будут временно дописывать к тексту секретное слово, например, «Secret» (конечно, в реальности Алиса и Боб решили использовать куда более длинное слово, чтобы его было сложно подобрать). Меллори не знает это слово, а следовательно, даже если изменит сообщение, то не сможет скорректировать его хэш, не так ли?
К сожалению, тут есть проблемы. Да, Меллори не может изменить тело сообщения, но (раз он знает хэш от текущего текста) он всегда может дописать в конце «P.S. На самом деле все это чушь, нам пора расстаться, Боб» и просто досчитать хэш от остатка (вспомним аналогию с кодовым замком).
Чтобы защититься от этого, мы немного усложним нашу функцию:
Теперь дописывание чего-либо в конец сообщения полностью изменит исходные данные для «внешнего» вызова SHA-1 и Меллори остается вне игры.
Алиса и Боб только что придумали то, что называется HMAC (или hash-based message authentication code): основанный на хэш-функции код проверки подлинности сообщений. В реальности HMAC, принятый как стандарт RFC2104 выглядит чуть-чуть сложнее за счет выравнивания длины ключа, пары XOR’ов внутри, участия ключа во «внутреннем» хэше, но суть не меняется.
Не придумывайте свои реализации HMAC, используйте стандартные реализации, например, HMAC-SHA1:
Одноразовые пароли
Что такое «одноразовый пароль»? Это пароль, который бесполезно перехватывать с помощью кейлоггера, подглядывания через плечо или прослушивания телефонной линии — т.к. этот пароль используется ровно один раз.
Как можно было бы реализовать эту схему? Например, Алиса может сгененировать сотню случайных паролей и отдать копию Бобу. Когда Боб позвонит в следующий раз, он продиктует самый верхний пароль в списке, Алиса сверит его со своим, после чего оба вычеркнут его. При следующем звонке они используют очередной пароль и так далее, пока они не закончатся. Это не очень удобно: хранение списков, генерация новых паролей и так далее.
Лучше реализовать эту схему в виде алгоритма. Например, паролем является его номер по порядку, умноженный на секретное число. Пусть Алиса и Боб договорились, что секретным числом является 42; тогда первым паролем будет 42, вторым 84, третьим 126 и так далее. Меллори, не знающий алгоритма и секретного числа, никогда не догадается, какой пароль будет следующим!
Конечно, алгоритм лучше выбрать посложнее. Алиса вспоминает про HMAC и предлагает Бобу считать пароль номер N по формуле: HMAC(«Secret», номер-пароля). После этого им нужно договориться о ключе (в данном случае это «Secret»), зато потом Бобу нужно только помнить, какой по счету пароль он генерирует (например, двадцатый):
Впрочем, Бобу совсем не улыбается каждый раз диктовать такой длинный пароль. Они с Алисой договариваются, что будут использовать только его часть, например, последние 6 символов.
Некоторое время все идет хорошо. До момента, пока Бобу и Алисе не надоедает вести подсчет, какой по счету пароль они используют. Кто-то подсказывает им, что в качестве аргумента HMAC() вместо номера можно использовать все, к чему Алиса и Боб имеют одновременный доступ… например, текущее время!
Наши герои синхронизируют свои часы и договариваются, что будут в качестве аргумента HMAC() использовать unix time — количество секунд, прошедших с момента наступления эпохи UNIX (в UTC). Чтобы вводить пароль не торопясь, они решают разделить время на 30 секундные «окна»; таким образом, на протяжении 30 секунд действует один и тот же пароль. Естественно, Алиса, проверяющая пароли, в течение 30 секунд не позволяет использовать пароль повторно (просто запоминая его) и тем самым оставляет его по-настоящему «одноразовым».
Теперь пароль вычисляется по следующей формуле: HMAC(«Secret», unix_timestamp / 30).
Мы получили одноразовые пароли на основе текущего времени. Сгенерировать и проверить эти пароли может только тот, кто обладает ключом («Secret» в примере выше); иначе говоря, сервер и пользователь.
Следует отметить, что одноразовые пароли могут считаться и по другим алгоритмам; главное, чтобы алгоритм и секрет были известны обеим сторонам. Но т.к. у нас есть стандарт, дальше мы будем говорить именно о нем
OATH, TOTP, HOTP, RFC… WTF?
Итак, мы только что описали основные идеи, лежащие в основе:
1) HMAC, hash-based message authentication code: RFC2104
2) HOTP, hash-based one-time password: RFC4226
3) TOTP, time-based one-time password: RFC6238
Эти идеи — один из краеугольных камней инициативы Initiative For Open Authentication (OATH), направленной на стандартизацию методов аутентификации.
Двухэтапная аутентификация Google
Одноразовые пароли, основанные на времени (и подсчитываемые на основе алгоритма TOTP RFC 6238) используются также компанией Google в приложении Google Authenticator, которое можно установить на iOS, Android, BlackBerry. Это приложение автоматически генерирует одноразовые пароли раз в 30 секунд (в дополнение к основному паролю на Google Account). Это означает, что даже если Ваш основной пароль кто-то подглядит или перехватит, без очередного одноразового пароля в систему войти будет невозможно. Удобно.
ВНИМАНИЕ : Я НЕ НЕСУ НИКАКОЙ ОТВЕТСТВЕННОСТИ ЗА ВАШИ ДЕЙСТВИЯ С ВКЛЮЧЕНИЕМ И ВЫКЛЮЧЕНИЕМ ДВУХЭТАПНОЙ АУТЕНТИФИКАЦИИ GOOGLE; ВЫ СОГЛАСНЫ, ЧТО ВЫ ВЫПОЛНЯЕТЕ ИХ НА СВОЙ СТРАХ И РИСК.
На самом деле там нет ничего страшного (есть инструкции, есть trusted-компьютеры, есть резервные коды и т.д.), но если от души постараться, бездумно нажимая на кнопки, то вполне можно лишиться доступа к своему аккаунту. И все же: если не готовы экспериментировать, не трогайте Gmail; просто скачайте приложение Google Authenticator на телефон, вручную добавьте «ключ по времени» (например, «a abc def abc def abc» или просто отсканируйте QR-код ниже).
Для начала нам нужно получить секретный ключ, который используется для создания одноразового пароля. Его можно посмотреть на странице добавления Google Authenticator’а в настройках аккаунта, он находится под QR-кодом:
Обратите внимание, что если двухэтапная аутентификация уже включена, то старый ключ узнать нельзя: придется удалить старый и сгенерировать новый. Это несложно; главное, не забыть сразу обновить ключ и в Google Authenticator, если Вы им пользуетесь.
Ключ закодирован в Base32 (для удобства уберите пробелы и переведите буквы в верхний регистр).
Программа, которая подсчитывает текущий одноразовый пароль:
Теперь можно положить рядом запущенный Google Authenticator и сравнить значения.
upd #2: если хотите поиграть с 2-step verification от dropbox, в конце секрета допишите «======» (это необходимо для паддинга и корректной работы base32-декодера).
СМС от OTPSMS с кодом подтверждения — что это такое?
Количество телефонных мошенников постоянно увеличивается. А поскольку среди населения повышается уровень грамотности, преступникам приходится придумывать новые способы обмана. Они получают доступ к банковским картам или электронным кошелькам для незаконного присвоения средств. Если вам пришло сообщение от отправителя OTPSMS – скорее всего, злоумышленники хотят похитить ваши персональные данные. Немедленно примите меры безопасности для защиты своих денег.
Кому приходят СМС от OTPSMS
Если вам начали приходить сообщения от подозрительного отправителя – скорее всего, ваш номер попал в базу данных. Злоумышленники регулярно создают списки телефонов для автоматической рассылки СМС. Они собираются из открытых источников – социальных сетей, сайтов знакомств, досок объявлений и так далее. Еще некоторые пользователи интернета оставляют контактные данные на сомнительных сайтах.
Не исключено, что база данных была продана недобросовестными сотрудниками МФО или страховой компании.
Важно! Если вам пришло сообщение с проверочным кодом – не паникуйте.
Скорее всего, СМС было отправлено в результате ошибочной работы программного обеспечения. Существуют скрипты, которые автоматически подбирают номера для регистрации на сайтах. Смысл рассылок понять невозможно, поскольку злоумышленники не могут прочитать отправленные СМС. А значит, не способны совершать действия от имени настоящего владельца номера. 
Самая распространенная причина получения СМС от OTPSMS – ошибочное написание телефона во время регистрации на каком-то сайте. Возможно, кто-то хотел написать учетную запись, но неправильно написал всего одну цифру. В результате сообщения попало другому адресату.
Единственное правильное решение – просто стереть СМС. Если после этого рассылка не остановилась – примите определенные меры. Например – занесите номер отправителя в черный список своего мобильного устройства.
Злоумышленники пытаются взломать учетную запись
Для создания страниц в социальных сетях или личных кабинетов почти всегда нужно указывать контактные данные. Раньше подтверждение личности осуществлялась по электронной почте. Этот способ со временем стал ненадежным. Теперь вместо них используются телефоны.
Идентификация личности выглядит следующим образом: сайт отправляет сообщение с одноразовым кодом, который нужно написать на странице. Точное такое СМС приходит для восстановления доступа. Если злоумышленники перехватят код, они смогут завладеть аккаунтом жертвы.
Как защититься от рассылок
Если вы постоянно получаете СМС с кодами подтверждений от социальных сетей или других отправителей – измените уровень безопасности через личный кабинет. Рекомендуется пользоваться двухфакторной аутентификацией. Она позволяет гарантированно защититься от взлома личного кабинета. Перед каждым посещением кабинета вы будете получать одноразовый код в СМС. В некоторых случаях вместо кода приходит ссылка на электронную почту.
Обратите внимание! Двухфакторная аутентификация используется на большинстве финансовых сайтах. При появлении проблем обязательно прочитайте справочный раздел, где собраны распространенные вопросы клиентов. Еще один вариант – обращение в техническую поддержку. Специалисты бесплатно проконсультируют вас по всем вопросам.
Двухфакторная аутентификация обеспечивает высокий уровень безопасности кабинета. Теперь можете не беспокоиться, если на телефон придет сообщение с одноразовым кодом. Злоумышленники не смогут похитить ваши личные данные без доступа к мобильному телефону. Самое главное – никому не сообщать секретные коды для авторизации. Никакие сайты не занимаются сбором такой информации.
На многих мобильных устройствах есть встроенные инструменты для блокировки нежелательных номеров, с которых приходят сообщения. Вы можете занести отправителей в черный список нажатием нескольких кнопок. После этого навязчивые рассылки больше не будут вас беспокоить. Если производитель смартфона не установил такого приложения по умолчанию – загрузите его самостоятельно. Существует много программ для блокировки входящих вызовов и сообщений.
Как правило, они распространяются бесплатно через каталоги App Store и Google Play. Назовем самые популярные программы:
Важно! Все перечисленные программы устанавливайте только из надежных источников.
Выводы
При получении сообщения от OTPSMS с кодом подтверждения – просто сотрите его. Отправителя занесите в черный список, чтобы СМС больше не приходили. Такими рассылками занимаются злоумышленники. Для повышения безопасности установите блокировщик подозрительных номеров. Тогда вас перестанут беспокоить странные звонки. Специалисты по информационной безопасности советуют купить отдельную СИМ-карту для электронных кошельков и веб-банкинга.
Otpsms пришло СМС с кодом — что это такое?
До того, как появилось такое разнообразие мгновенных сообщений и мобильный Интернет не был так широко доступен, SMS-сообщения были популярным методом общения. Вся длительная переписка проходила через смс. Теперь этот тип сообщения изменил свое предназначение. Больше никто не отправляет текстовые сообщения с короткими сообщениями через мобильную связь, потому что есть службы обмена мгновенными сообщениями и Интернет. Теперь SMS используется для оповещений, уведомлений, подтверждений действий в различных сервисах.
Пользователи телефона получают SMS с кодами на свое устройство для подтверждения платежа в банке или любого другого действия. Также есть различные уведомления, напоминания и другие сообщения, которые удобны и нужны. Но бывает и так, что тексты могут быть из неизвестного сервиса, и контент вас совершенно не касается. В этой статье мы разберем один такой случай — SMS от OtpSMS. Мы рассмотрим, что это за сообщения, нужно ли на них отвечать и опасны ли они.
Otpsms — что за сообщение?
Сообщение OTP идет именно о ссуде. В нем написано, что вам пора погасить ранее взятую ссуду, и дана ссылка на платеж. Удивительно, что человек, получивший смс, не получает никаких кредитов. Но это сообщение нельзя просто игнорировать. Чтобы успокоить душу, нужно все понимать.
В результате имеет 3 варианта событий:
Что делать если смс постоянно приходят?
Если вы еще не брали кредит в OTP Bank и никто другой не делал это от вашего имени, то все просто. Вы свободны от долгов. Чтобы убедиться в этом, вам нужно связаться со службой поддержки OTP-банка и узнать, действительно ли это сообщение от них и есть ли у вас кредит.
Вы можете позвонить в Российский ОТП банк в кредитный отдел по этому телефону 0707 или +7 (495) 775-4-775.
После того, как банк подтвердил вам, что никто у них не занимал за вас, вы можете смело игнорировать эти SMS-сообщения с кодом и, конечно же, ничего не платить. Поэтому важно знать, что это за смс, чтобы не отвлекаться на подобные уведомления. В этом случае банк также сообщит вам, что это сообщение было отправлено не им, а мошенниками. Кроме того, также возможно получить письменное подтверждение отсутствия задолженности перед банком, но для этого необходимо обратиться в юридический отдел.
Если служба поддержки банка выяснила, что кредит все еще есть, но вы не взяли его, доступен второй вариант. Это означает, что деньги за вас забрал кто-то другой. Не стоит сразу думать о мошенниках, укравших данные ваших документов. Реквизиты нужно уточнять в банке, может, кто-то из ваших родственников или друзей действительно взял на себя кредит, но при регистрации в контактной информации случайно или по какой-то причине дали ваш номер телефона.
Тогда вы не являетесь должником по ссуде. Затем вам следует связаться с человеком, который указал ваш номер телефона в контактной информации, и уточнить ситуацию, попросив его переделать контактную информацию в банке. Если кредит берется непосредственно на ваше имя, а вы его не брали, то явно мошенничество, и вам следует обратиться в правоохранительные органы. Вы не сможете игнорировать такие сообщения, но платить по ссылке, конечно же, не нужно, потому что вы не брали деньги.
И третий вариант — вы действительно взяли кредит в OTP Bank и теперь получили уведомление от Otpsms о необходимости его оплаты. Здесь мы можем только сказать, что не стоит платить по ссылке в SMS — это могут быть мошенники, и SMS не могло быть отправлено банком, и в результате деньги не будут отправлены на погашение кредита. Если вы собираетесь платить по кредиту, то делайте это через официальное заявление банка или лично в кассе банка, а не через подобные напоминания. Тогда деньги гарантированно попадут туда, куда нужно.
Итак, как вы могли заметить, в каждом из трех вариантов мы сказали, что вам не нужно платить по ссылке в SMS-сообщении. Даже если вы действительно должны банку, это сообщение может исходить от мошенников.
В любом случае вы можете позвонить в банк и сообщить о таких сообщениях от Otpsms. Если они его пришлют, их служба сообщит вам об этом. И если кто-то другой под именем OTP bank отправит такие сообщения, то банку придется принять меры и связаться с правоохранительными органами.
Как заблокировать смс от Otpsms
Есть еще вариант, когда сообщения приходят массово. Причем не только из банка, но и из других сервисов. Здесь можно говорить об очевидном спаме.
Есть специальные сервисы для рассылки массовых сообщений — SMS-бомберы. Они используются спамерами для рассылки рекламных объявлений. У них есть возможность отправлять все сообщения на один номер. Такие сообщения не представляют угрозы, если их игнорировать и вы не делаете то, что вас просят. Однако вы должны понимать, что массовые текстовые сообщения могут быть направлены на отвлечение внимания и психологическое давление. Например, находясь в другом месте, они пытаются взломать ваш пароль в интернет-банке или другом сервисе. Поэтому не нужно уделять много внимания спаму и массовой смс-панике. Лучше всего временно выключить телефон или установить его в режим полета и обратить внимание на сервисы, где вас могут взломать.
Приходит СМС с кодом от Cloudotp: что это?
Количество интернет-мошенников, ищущих быстрых денег, неуклонно растет с каждым днем. Злоумышленники должны разработать новые схемы, которые позволят им получить доступ к чужим банковским картам и электронным кошелькам. Если вы получили SMS-сообщение с кодом подтверждения от отправителя Cloudotp, скорее всего, мошенники пытаются завладеть конфиденциальной информацией. В следующей статье пойдет речь о мерах предосторожности и способах защиты от мошенничества.
СМС от Cloudotp с кодами подтверждения: кому они идут?
Если ваш телефон начал получать частые SMS-сообщения от отправителя Cloudotp, возможно, номер попал в базу данных. Контакты приходят к нам разными способами: они скачиваются со специальных ботов из социальных сетей, досок объявлений и других открытых источников. 
Однако многие пользователи оставляют свои телефоны при регистрации и заполнении анкет на сомнительных ресурсах. В базы данных произошла утечка недобросовестных сотрудников банков, микрофинансовых организаций и страховых компаний.
Если вы получили сообщение от Cloudotp с кодом подтверждения, не паникуйте раньше времени. Наиболее вероятная причина однократного SMS – это работа программных алгоритмов или скриптов, выбирающих номера для регистрации или авторизации на различных ресурсах. Смысл таких представлений не совсем ясен, так как мошенники не смогут получить доступ к тексту сообщения, а это означает, что они не смогут предпринять какие-либо действия от имени владельца номера.
Еще одна вероятная причина SMS от Cloudotp с кодом – это то, что кто-то ошибся, записав свой номер при регистрации на сайте или создании учетной записи. Если сообщение носит обособленный характер, вы никак не можете отреагировать. Однако в случае большого потока SMS (до нескольких в день) стоит принять некоторые меры, так как бездействие в такой ситуации чревато множеством рисков.
Мошенники пытаются получить доступ к вашему аккаунту
Без мобильного телефона невозможно создать аккаунт в большинстве социальных сетей, личный кабинет на различных ресурсах или осуществить перевод через интернет-банкинг. Если раньше идентификация производилась в основном по электронной почте, то сегодня для подтверждения личности владельца используется телефон. Следовательно, проверочный код SMS-сообщения – это своеобразный ключ, открывающий большие возможности для мошенников. 
Способы уберечься от таких смс
Если вы получаете на телефон сообщения с кодами подтверждения от знакомых онлайн-сервисов, рекомендуется посетить их и повысить уровень безопасности, подключив двухфакторную аутентификацию. После активации этой опции для авторизации потребуется не только проверочный код из SMS-сообщения, но и комбинация символов из письма, отправленного на электронную почту.
Большая часть финансовых ресурсов надежно защищена. Для получения дополнительной информации обратитесь в службу поддержки или ознакомьтесь с FAQ на официальном сайте сервиса. Стоит зайти в личный кабинет и сменить пароль на более надежный, а также подключить к своему профилю еще один емейл. Вы можете спокойно игнорировать звонки и СМС с обязательством предоставить необходимые данные для авторизации. Никакая служба не собирает эту информацию.
В iPhone и многих смартфонах Android есть встроенные инструменты для занесения в черный список назойливых абонентов и спамеров. При отсутствии такой опции вы можете установить на свое устройство одно из специальных приложений для блокировки: