Comments 118
У нас стоит высокотехнологичная антифрод-система, которая ограничивает перебор счетов наших клиентов внутри действующего «периметра» и обеспечивает защиту от бот-сетей. Антифрод-система учитывает профиль клиента и характер операций. При малейших подозрениях включается блокировка, в результате которой клиент не сможет запрашивать информацию на определенное время.
У меня второй кнопочный телефон для смс от банков. Немного неудобно, если сумку забыл дома, но тогда выручают домашние.
Британские ученые уже не первый год бьются над этой загадкой. Полагаю, либо это тролли, либо эффект Даннинга — Крюгера срабатывает.
Так и упомянутые вами многие также поступают.
Айфоны закончились после смерти Джобса.
Да, сейчас это отличные аппараты. И… И ничего революционного.
Процессоры не самые быстрые, камеры не самые лучшие, 5G нет. Дизайном в этом году всех обошло Сяоми с аппаратом с круговым экраном.
По поводу СМС, да мошенникам вообще всё равно какой у вас телефон. Последняя утечка данный из Билайна это показала.
Ого какой тред. Просто для галки… мне последний iphone нужен для разработки и он у меня есть как основной телефон.
Как регулируется риск того что Маша из ООО "Ромашка" которая открыла салон под франшизой сотового оператора и имеет полный доступ в БД выпустит дубликат вашей симки?
Как регулируется риск того что Маша из ООО «Ромашка» которая открыла салон под франшизой сотового оператора и имеет полный доступ в БД выпустит дубликат вашей симки?
Двухфакторная ж.
Вы про «второй фактор».
Самое плохое что этим атакам ты подвержен даже если сам не устанавливаешь мобильный банк и тут под угрозой не какой-то там баланс карты про который в основном шла речь в статье, а все счета и вклады
даже если сам не устанавливаешь мобильный банк
Разве нельзя в банк прийти с паспортом лично и принудительно отключить себе мобильный банк, если ты все равно им не пользуешься?
Заранее, разумеется.
Разве нельзя прийти в банк и открыть расчетные счета без карт? Я на такой счет получаю зарплату и храню там деньги. Снимаю только то что нужно на жизнь и уже это кладу на карточку в другом банке. Отделение банка в котором у меня расчётный счет открыт находится прямо в магазине где я покупаю продукты. Раз в месяц отклониться от траектории касса-выход несложно.
Разве нельзя прийти в банк и открыть расчетные счета без карт?
Ваша ситуация — ой как не типична.
99% людей живут от зарплаты до заплаты.
Поэтому после получения зарплаты — нужно или сразу наличку в банке получить. Или на карту — и с нее уже сразу тратить.
там при смене симки (а выпуск дубликата — это смена и есть) работа с телефоном блокируется
А как технически определяется новая симка (с тем же номером если она)?
Каждая симка имеет индивидуальный идентификатор — IMSI. Поменяли симку — поменялся и этот идентификатор.
Это-то понятно.
Но разве рядовое прикладное ПО имеет доступ к IMSI?
Если это так — то всяческие анонимизации в интернете — лишены смысла наполовину.
Вот пример одного из банков типа с именем:
Проверка идентификатора сим-карты (IMSI) осуществляется по определенным критериям, которые банк не раскрывает и это может продолжаться месяц
www.banki.ru/services/responses/bank/response/8941386
Банк может сам по «техническим причинам» отключить двухфакторную авторизацию (с этим моментом я столкнулся лично)
www.banki.ru/services/responses/bank/response/10155779
Райффайзен онлайн можно подключить не зная кодовое слово
www.banki.ru/services/responses/bank/response/10173932
Но разве рядовое прикладное ПО имеет доступ к IMSI?помню ещё со времён выхода модуля xprivacy для xposed любое ПО требовало всё что захочет. Сейчас с этим намного хуже, анонимности с телефона не существует и никогда не было. Это же проприетарщина.
Accounts
return an empty account list
return fake account info
return empty authorization tokens
Browser
return an empty bookmark list
return empty search history
Calendar
return an empty calendar
Calling
prevent calls from being placed
prevent SMS messages from being sent
prevent MMS messages from being sent
prevent data messages from being sent
Contacts
return an empty contact list
content://com.android.contacts/data
content://com.android.contacts/raw_contacts
content://com.android.contacts/phone_lookup
content://com.android.contacts/profile
Dictionary
return an empty user dictionary
return an empty list of accounts, e-mails, etc (provider)
Identification
return a fake Android ID
return a fake device serial number
return a fake host name
return a fake Google services framework ID
return file not found for folder /proc
Internet
revoke access to the internet
return fake disconnected state
return fake supplicant disconnected state
Location
return a random or set location
return empty cell location
return an empty list of (neighboring) cell info
prevents geofences from being set
prevents proximity alerts from being set
prevents sending NMEA data to an application
prevent phone state from being sent to an application
Cell info changed
Cell location changed
prevent sending extra commands (aGPS data)
return an empty list of Wi-Fi scan results
prevents connecting to Google Play services
Media
prevent recording audio (including from the microphone)
prevent taking pictures
prevent recording video
you will be notified if an application tries to perform any of these actions
Messages
return an empty SMS/MMS message list
return an empty list of SMS messages stored on the SIM (ICC SMS)
return an empty list of voicemails
Network
return fake IP's
return fake MAC's (network, Wi-Fi, bluetooth)
return fake BSSID/SSID
return an empty list of Wi-Fi scan results
return an empty list of configured Wi-Fi networks
return an empty list of bluetooth devices
NFC
prevent receiving NDEF discovered
prevent receiving TAG discovered
prevent receiving TECH discovered
Phone:
return a fake own/in/outgoing/voicemail number
return a fake subscriber ID (IMSI for a GSM phone)
return a fake phone device ID (IMEI)
return a empty ISIM/ISIM domain
return a empty IMPI/IMPU
return a fake MSISDN
return fake mobile network info
Country: 001 (test network)
Operator: 00101 (test network)
Operator name: fake
return fake SIM info
Country: XX
Operator: 00101
Operator name: fake
Serial number (ICCID): fake
return empty APN list
return no currently used APN
return an empty call log
return an empty list of voicemail messages
prevent phone state from being sent to an application
Call forwarding indication
Call state changed (ringing, off-hook)
Mobile data connection state change / being used
Message waiting indication
Service state changed (service/no service)
Signal level changed
Storage
revoke permission to the media storage
revoke permission to the external storage (SD card)
return fake unmounted state
Shell
Linux shell
Superuser shell
Load/library (by default not restricted)
System
return an empty list of installed applications
return an empty list of recent tasks
return an empty list of running processes
return an empty list of running services
return an empty list of running tasks
return an empty list of widgets
return an empty list of applications (provider)
prevent package add, replace, restart and remove notifications
View
prevent links from opening in the browser
you will be notified if an application tries to open a link
Ну это сродни цыганка загипнотизировала и я деньги сама отдала. Я не вношу это в угрожающие мне риски. А вот авторизации банка перед клиентом обычно нигде нет. Мне както банк по делу звонил и сходу спрашивал кодовое слово. Там был рили банк, но никак авторизовать себя не смог. И был послан.
ЗЫ Интересный момент: шло время, ВТБ'шная карта осталась не у дел, её срок истёк… но я только что авторизовался в ВТБ-Онлайн с помощью неё и этого самого генератора, поддержка которого официально «того». Ни карт, ни счетов в интерфейсе нет, но возможность авторизации не сломана.
ЗЗЫ С картой Тинькофф ВТБ'шный генератор тоже работает, пин принимает, но ответы даёт слегка загадочные, т.е. не просто 6 цифр, а набор символов. Толку от такой «работы» скорее всего ноль, но, если бы появился родной генератор и его поддержка, то взял бы, не раздумывая.
А новые они уже не продают.
А сканирование физической карты через NFC-ридер смартфоны было бы удобным вам как клиенту и вызывает доверие?
Лучше перезванивать в банк, как только начинаются странные вопросы или просьбы.
Пара учений с левых номеров, сейчас чётко. Никаких критических данных или денежных операций, без кодового слова. Один раз помогло против СМС мошенничества.
Спасибо, познавательно! Не понятно почему телекомы до сих пор не прикроют у себя возможность подмены номера, по идее ФЗ о связи запрещает подменять Generic Number
— Здравствуйте, Вас беспокоит служба безопасности Сбербанка. У нас в базе зафиксирован доступ к Вашему счету из города Саратов. Вы можете подтвердить эту информацию?
— Да, конечно могу.
— То есть все правильно? Там с вашего счета выводят 30 тысяч рублей.
— Да-да, все правильно. Пусть выводят, не мешайте им.
— А еще у нас в базе зафиксировано, что ты петух и козел.
— Так это Вы смотрите список своих сотрудников.
И бросили трубку :(
А так вы, конечно, правы — последнее время хамят сразу, как разоблачают их. Раньше некоторые хоть шутили)
А так вы, конечно, правы — последнее время хамят сразу, как разоблачают их. Раньше некоторые хоть шутили)
Работа тяжелая.
Вы представляете сколько звонков нужно совершить?
А сколько все же не ведутся?
А у скольких на карте нет серьезных сумм?
Вот они после сотого звонка, «заработав» на том 50 рублей — очень напряженные.
Люди мало того что стали грамотнее, так еще и через одного издеваются.
Поматросят и бросят, а них план горит.
Так бы успели еще где-нить бабку-дедку развести, а им в вовсю в уши дуют что прям щаз деньги переведут, а сами или коды неправильные говорят, или при вводе «ошибаются».
Занервничаешь тут ))
На биржах труда вакансии — это «втюхивальщики».
Арендуешь комнату-квартиру-офис или вообще нанимаешь «пионЭров на дому», регаешься как ООО «СуперМедиаКонтактЦентр» и пошел предлагать услуги холодного обзвона на оутсорсе. Заодно наполняется своя телефонная база, которую банки могут передавать третьим лицам, как обычно написано в договоре об обработке персональных данных.
Хотя бы для ВТБ, Сбера это уже покроет большой процент потенциальных жертв.
Например, заходим в онлайн банк, выбираем перевод по номеру телефона, высвечивается буква фамилии (или первая с последней) и имя-отчество, можно и не платить совсем. А можно заплатить рубль, и посмотреть в детализации ФИО полностью. А если по СБП пробить вначале — ещё проще.
Знание ФИО значительно повышает доверие потенциальной жертвы. Я как-то сам в какой-то мере проверил — кто-то случайно указал мой номер в онлайн банке ВТБ, видимо, где-то ошиблись. И стали мне сыпаться смс об оплате всего чего он там платит… Как-то я выяснил номер (оказалось, вместо 937 он указал 927), узнал ФИО, звоню ему, и, обращаясь по имени-отчеству, объясняю, что он указал неправильный номер в онлайн-банке, и ему нужно его сменить в банкомате или в отделении банка. Ну, там мужик понял, сказал, поменяет, но он до конца думал, что ему из банка звонят, пока я не сказал, что пусть побыстрее делает, а то мне его смски надоели уже.
Но это не пресекает мошеннические действия в отношении клиентов от слова совсем.
Абсурдность ситуации в том, что мошенника может остановить только вынесенный судебным решением срок, а тут у нас беда.
Во-первых, банки ничего не предпринимают к доведению попыток мошенничества до суда, аргументируя отсутствием полномочий.
Во-вторых, по закону наказывается только совершенный факт мошенничества, т.к. попытка мошенничества труднодоказуема.
А чтобы довести попытку мошенничества до факта — читай пункт первый.
Даже так скажем — вернуть его, после того как хипстеры взяли
«Мой дом — моя крепость», по аналогии заходя в ИБ я считаю что нахожусь в некоторой закрытой (от внешнего мира) зоне, но не тут-то было.
При входе на главную страницу клиент попадает не в ИБ, а в царство спама — аляповато раскрашенный раздел «Для вас».
Ладно тыкаем в карты, окно растопыривается и карты уходят в левую панель, которая регулярно скачет как коза, на некоторых разрешениях экрана.
Верхнее меню «БИЗНЕС ИНВЕСТИЦИИ СТРАХОВАНИЕ МОБАЙЛ» — если там нажать, то вроде как «вышел из ИБ», но нифига подобного.
Клиент остается залогиненым, только не видит этого. Если в этот момент сказать — «Вася, там на первом этаже тебя девушка спрашивала», то Вася может и не понять что ИБ открыт и спокойно уйти. А так как однажды совершенные деяния в ИБ не требут подтверждения, то можно поприкалываться и отправить все деньги с карты, например, в налоговую или куда там Вася платил последние разы.
Но люди-то помнят старый «модульный», настраиваемый, ИБ, который был образцом эффективности и удобства.
На «банках» ветка обсуждения Тинькова за несколько лет уже 8 раз отправлялась в архив из-за переполнения, и переполнялась в основном от возмущения пользователей новым, «стильным-модным-молодежным», кривым ИБ.
После авторизации справа в углу появляется мое имя и, если ее установить, аватарка. При переключении между сервисами Тинькофф, например, Инвестиции, сессия продолжается, и я вижу это все в том же углу. Если хочу разлогинится, то жму на эту аватарку с именем и жму «выйти». Всё прозрачно, имхо.
Не очень понял суть проблемы. Зашел даже в свой ЛК, чтоб проверить.А Вы колесико мышки на себя крутаните.
После авторизации справа в углу появляется мое имя и, если ее установить, аватарка.
Если бы панелька с автаркой была прибита к «колонтитулу» страницы, то еще куда бы не шло.
Но вот если Вы зайдете на «Мобайл», то там есть еще кнопка «Войти в Мобайл» — нажмите её и попробуйте понять где Вы находитесь? Банковый логин с аватаркой вообще исчезает.
У меня нет связи «от Олега», но позреваю что если войти в мобайл, то «банк» там не будет виден, от слова абсолютно. При этом логин в ИБ держится пока не отвалится по таймауту.
Вообще на «банках.ру» представитель банка на указанные косяки сказал что это не баг — это фича )).
PS В нормальных ИБ все рекламно-втюхивательное открывается в новых вкладках, даже если само предложение было в виде рекламы в самом ИБ.
Если бы реклама открывалась в новых окнах, то это бы создавало чисто визуальный комфорт: «вот мой банк — моя крепость», а вот (в новых окнах) открылись предложения от банка и партнеров.
О, про тоновый набор это новинка, надо родителей предупредить. Спасибо.
Не так давно звонили мошенники и просили сказать какому-то там роботу по телефону фразу: «Отменяю операцию по моей карте *полный номер карты*»Ну вот сбер недавно хвастался что тестирует «голосового» помощника. Голосового не в смысле что говорит робот, а в смысле что опознает по голосу. Поэтому не советую при звонке на телефон отвечать «Да», лучше «Слушаю» или «У аппарата» ))
И уже можно склеить «
Что-то приходит через push, но не всегда. Покупки приходят, а коды подтверждения в самом приложении им интернет банке а виде СМС. Да и push работает не всегда, приложение если выгружается или нет инета. OTP рулит, настроил его везде, где есть поддержка
а вас не парит что после пуша ничего не остаётся и в правовом поле вам никак не удастся доказать что банк, например, не уведомил вас о транзакции.Альфа стала хранить историю пушей в МБ, но тоже аднака не панацея — МБ полностью в руках банка и при большой необходимости, я думаю, туда можно будет дописать «недостающий» пуш.
2. Вот лично мой кейс когда оператор, по требованию ФАС, сам на себя компромат выдавал в виде подтверждения того факта что смс была направлена. Это моё заявление. br.fas.gov.ru/to/orenburgskoe-ufas-rossii/389c86f6-c5f1-4072-a0fa-8db45f4fa6f5
3. Про выписки. Да, это вариант, но требующий кучи телодвижений и менее точный (могу как нибудь расписать почему он менее точный) Но много ли народу так делает.
Как мошенники делают это. Инструменты обмана