Comments 118
А как у вас блокируется перебор в СБП?
Вопрос не по тексту, но отвечу :)
У нас стоит высокотехнологичная антифрод-система, которая ограничивает перебор счетов наших клиентов внутри действующего «периметра» и обеспечивает защиту от бот-сетей. Антифрод-система учитывает профиль клиента и характер операций. При малейших подозрениях включается блокировка, в результате которой клиент не сможет запрашивать информацию на определенное время.
У нас стоит высокотехнологичная антифрод-система, которая ограничивает перебор счетов наших клиентов внутри действующего «периметра» и обеспечивает защиту от бот-сетей. Антифрод-система учитывает профиль клиента и характер операций. При малейших подозрениях включается блокировка, в результате которой клиент не сможет запрашивать информацию на определенное время.
А аппаратный генератор One Time Password для подтверждения операций и входа в онлайн банк у вас есть? Чтобы можно было целиком и полностью отвязать банкинг от телефона. Пока в РФ очень скудно с этим. Райф, втб более не предоставляют этот функционал даже за деньги.
У меня второй кнопочный телефон для смс от банков. Немного неудобно, если сумку забыл дома, но тогда выручают домашние.
Проще айфон купить и не нищебродить.
UFO just landed and posted this here
Ребят вы по этому минусуете не видели айфон ни разу, так как он дорогой для большинства здесь присутствующих, так я поясню, там невозможно своровать смс от банка, на звонилку проще вирус поймать.
Как такие люди попадают на этот ресурс? И главное — почему они тут остаются?
Разве я соврал про смс, или про стоимость айфона? А так я и сам не пойму как сюда такие попадают, и как у образованного человека может подыграть от телефона, или от какой-то модели телефона, видно что то с ним не так.
Британские ученые уже не первый год бьются над этой загадкой. Полагаю, либо это тролли, либо эффект Даннинга — Крюгера срабатывает.
Когда здоровы половозрелый мужик не может позволить себе жалкий айфон, и ужасно по этому поводу комплексует, британские ученые тут бессильны.
Когда здоровый(?) половозрелый(?) мужик(?) в топике в котором ещё вчера в 15:38 сказали что вопрос телефона состоит в возможности подделки сим, продолжает наезжать на других людей из за куска стекла с алюминием.
Я высказываю свою точку зрения и многие здесь похоже дырку в стуле прожгли, ну судя по минусам.
Так и упомянутые вами многие также поступают.
Но я в отличии от них не оскорблюсь если кто то скажет что андроид безопаснее, или что я не могу позволить себе galaxy fold, и уж тем более не посчитаю это наездом. И вообще я пошутил, ничего не имею против какой-то ОС или производителя телефонов, и не распределяю людей по этому признаку (всегда можно купить айфон).
Давайте положа руку на сердце, скажем честно. То что делают сейчас уже не то.
Айфоны закончились после смерти Джобса.
Да, сейчас это отличные аппараты. И… И ничего революционного.
Процессоры не самые быстрые, камеры не самые лучшие, 5G нет. Дизайном в этом году всех обошло Сяоми с аппаратом с круговым экраном.
По поводу СМС, да мошенникам вообще всё равно какой у вас телефон. Последняя утечка данный из Билайна это показала.
Айфоны закончились после смерти Джобса.
Да, сейчас это отличные аппараты. И… И ничего революционного.
Процессоры не самые быстрые, камеры не самые лучшие, 5G нет. Дизайном в этом году всех обошло Сяоми с аппаратом с круговым экраном.
По поводу СМС, да мошенникам вообще всё равно какой у вас телефон. Последняя утечка данный из Билайна это показала.
UFO just landed and posted this here
Ого какой тред. Просто для галки… мне последний iphone нужен для разработки и он у меня есть как основной телефон.
Как регулируется риск того что Маша из ООО "Ромашка" которая открыла салон под франшизой сотового оператора и имеет полный доступ в БД выпустит дубликат вашей симки?
Во-первых, при выпуске дубликата меняется IMSI. Во-вторых, нужны и другие данные для совершения помимо кода из СМС. В-третьих, выявляются аномальные операции и подтверждаются у клиента с проведением идентификации.
Как регулируется риск того что Маша из ООО «Ромашка» которая открыла салон под франшизой сотового оператора и имеет полный доступ в БД выпустит дубликат вашей симки?
Двухфакторная ж.
Вы про «второй фактор».
К сожалению, часто для установки злоумышленником мобильного банка себе на телефон и дальнейшего его использования, второй фактор не нужен достаточно какой-нибудь информации (например один зеленый банк — нужно знать номер карты и один красный — нужно знать номер счета), кстати года три назад (не знаю как сейчас обстоит ситуация) «восстановить» пароль имея доступ к смс и зная номер карты не так сложно.
Самое плохое что этим атакам ты подвержен даже если сам не устанавливаешь мобильный банк и тут под угрозой не какой-то там баланс карты про который в основном шла речь в статье, а все счета и вклады
Самое плохое что этим атакам ты подвержен даже если сам не устанавливаешь мобильный банк и тут под угрозой не какой-то там баланс карты про который в основном шла речь в статье, а все счета и вклады
даже если сам не устанавливаешь мобильный банк
Разве нельзя в банк прийти с паспортом лично и принудительно отключить себе мобильный банк, если ты все равно им не пользуешься?
Заранее, разумеется.
наверное можно, но как думаете как много людей задумывается о вообще такой возможности, не говоря уже о том что доходят до банка?
Нет. Смотрите мой обзор договоров. habr.com/ru/post/464621 как правило в договоре зафиксирован перечень способов авторизации (без указания это «и» или «или») и перечень действий (включая удалённые) которые являются аналогом собственноручной подписи. Везде, где для открытия счёта требуется договор о комплексном банковском обслуживании, в нём всё очень плохо на тему что вы разрешаете а что нет. Ибо вчера вы это запретили и выставили лимиты, а завтра, после прохождения авторизации от вашего имени и удалённый банкинг подключат и запрет снимут и лимиты расширят.
Разве нельзя прийти в банк и открыть расчетные счета без карт? Я на такой счет получаю зарплату и храню там деньги. Снимаю только то что нужно на жизнь и уже это кладу на карточку в другом банке. Отделение банка в котором у меня расчётный счет открыт находится прямо в магазине где я покупаю продукты. Раз в месяц отклониться от траектории касса-выход несложно.
Необычный вариант! Надежно, но для большинства будет неудобно ходить в отделение. Поэтому основная проблема не в том, что нельзя — можно, но менее удобно.
Разве нельзя прийти в банк и открыть расчетные счета без карт?
Ваша ситуация — ой как не типична.
99% людей живут от зарплаты до заплаты.
Поэтому после получения зарплаты — нужно или сразу наличку в банке получить. Или на карту — и с нее уже сразу тратить.
Знаю только про один красный банк — там при смене симки (а выпуск дубликата — это смена и есть) работа с телефоном блокируется. Чтобы подтвердить валидность новой симки нужно обращаться в банк — или в отделение с паспортом, или по телефону с кодовым словом. Так что при выпуске дубликата доступ к СМС теряется. Ну а без СМС в интернет-банке можно только между своими счетами гонять. Ну и по некоторым шаблонам переводить (чтобы создать или изменить шаблон — нужен доступ к СМС).
там при смене симки (а выпуск дубликата — это смена и есть) работа с телефоном блокируется
А как технически определяется новая симка (с тем же номером если она)?
Каждая симка имеет индивидуальный идентификатор — IMSI. Поменяли симку — поменялся и этот идентификатор.
Каждая симка имеет индивидуальный идентификатор — IMSI. Поменяли симку — поменялся и этот идентификатор.
Это-то понятно.
Но разве рядовое прикладное ПО имеет доступ к IMSI?
Если это так — то всяческие анонимизации в интернете — лишены смысла наполовину.
Ну, видимо может иметь по договору с оператором. Или, может быть не к самому IMSI, а к какому-то хэшу от него. Или, может быть, только к факту того, что IMSI был изменен. Не в курсе подробностей :) Но в интернет-банке прямо пишется красным: «Операции с СМС-подтверждением невозможны, т.к. у Вас изменилась SIM-карта. Для возобновления обратитесь в ближайший офис банка, при себе иметь паспорт.». Раньше, не помню точно сколько лет назад, тоже блокировали, но ничего не писали, приходилось звонить в поддержку и выяснять почему у меня заблокированы денежные переводы.
Andy_Big MR27
Вот пример одного из банков типа с именем:
Проверка идентификатора сим-карты (IMSI) осуществляется по определенным критериям, которые банк не раскрывает и это может продолжаться месяц
www.banki.ru/services/responses/bank/response/8941386
Банк может сам по «техническим причинам» отключить двухфакторную авторизацию (с этим моментом я столкнулся лично)
www.banki.ru/services/responses/bank/response/10155779
Райффайзен онлайн можно подключить не зная кодовое слово
www.banki.ru/services/responses/bank/response/10173932
Вот пример одного из банков типа с именем:
Проверка идентификатора сим-карты (IMSI) осуществляется по определенным критериям, которые банк не раскрывает и это может продолжаться месяц
www.banki.ru/services/responses/bank/response/8941386
Банк может сам по «техническим причинам» отключить двухфакторную авторизацию (с этим моментом я столкнулся лично)
www.banki.ru/services/responses/bank/response/10155779
Райффайзен онлайн можно подключить не зная кодовое слово
www.banki.ru/services/responses/bank/response/10173932
Особенно про подключение онлайн банка. Добыли вашу карту (сперли, заснифали, нашли, что угодно), по имени владельца узнали оператора, выпустили дубликат сим, и приделали ноги всему что там есть.
На самом деле атака вымирающая, гайки телекомы закручивают, да и банки внедряют дополнительные методы аутентификацииы, чтоб одного номера карты и смс-кода было недостаточно.
Тем не менее, для грамотных людей, OTP генератор был и остаётся превосходной опцией, которая на корню пресекает огромное множество векторов атаки. И почти исключены третьи лица(код то мы всё равно передаём по канала связи), и нельзя использовать даже получив физический доступ(что выгодно отличает его от карт с кодами), и изменение передаваемого кода каждый раз (в отличие о пароля и кодового слова)
Но разве рядовое прикладное ПО имеет доступ к IMSI?помню ещё со времён выхода модуля xprivacy для xposed любое ПО требовало всё что захочет. Сейчас с этим намного хуже, анонимности с телефона не существует и никогда не было. Это же проприетарщина.
Ни на IOS, ни на Android у приложений нет доступа к IMSI. К счастью или к сожалению — вопрос открытый.
да xprivacy могла показаться весьма сложной в освоений и нужно было потратить не один день чтобы понять что к чему. Или лучше кто-нибудь поставьте ваш софт и проведите полный анализ запросов и пакетов чем то типа wireshark для полноты картины. Можно даже всех банковских приложений и дальше по списку по гос.софту и находясь подальше от стран постсовка=))Найдёте много интересного, заслуживающего отдельной статьй на хабре или в прокуратуре=))
функционал xprivacy модуля
For easy usage, data is restricted by category:
Accounts
return an empty account list
return fake account info
return empty authorization tokens
Browser
return an empty bookmark list
return empty search history
Calendar
return an empty calendar
Calling
prevent calls from being placed
prevent SMS messages from being sent
prevent MMS messages from being sent
prevent data messages from being sent
Contacts
return an empty contact list
content://com.android.contacts/data
content://com.android.contacts/raw_contacts
content://com.android.contacts/phone_lookup
content://com.android.contacts/profile
Dictionary
return an empty user dictionary
E-mail
return an empty list of accounts, e-mails, etc (provider)
Identification
return a fake Android ID
return a fake device serial number
return a fake host name
return a fake Google services framework ID
return file not found for folder /proc
Internet
revoke access to the internet
return fake disconnected state
return fake supplicant disconnected state
Location
return a random or set location
return empty cell location
return an empty list of (neighboring) cell info
prevents geofences from being set
prevents proximity alerts from being set
prevents sending NMEA data to an application
prevent phone state from being sent to an application
Cell info changed
Cell location changed
prevent sending extra commands (aGPS data)
return an empty list of Wi-Fi scan results
prevents connecting to Google Play services
Media
prevent recording audio (including from the microphone)
prevent taking pictures
prevent recording video
you will be notified if an application tries to perform any of these actions
Messages
return an empty SMS/MMS message list
return an empty list of SMS messages stored on the SIM (ICC SMS)
return an empty list of voicemails
Network
return fake IP's
return fake MAC's (network, Wi-Fi, bluetooth)
return fake BSSID/SSID
return an empty list of Wi-Fi scan results
return an empty list of configured Wi-Fi networks
return an empty list of bluetooth devices
NFC
prevent receiving NDEF discovered
prevent receiving TAG discovered
prevent receiving TECH discovered
Phone:
return a fake own/in/outgoing/voicemail number
return a fake subscriber ID (IMSI for a GSM phone)
return a fake phone device ID (IMEI)
return a empty ISIM/ISIM domain
return a empty IMPI/IMPU
return a fake MSISDN
return fake mobile network info
Country: 001 (test network)
Operator: 00101 (test network)
Operator name: fake
return fake SIM info
Country: XX
Operator: 00101
Operator name: fake
Serial number (ICCID): fake
return empty APN list
return no currently used APN
return an empty call log
return an empty list of voicemail messages
prevent phone state from being sent to an application
Call forwarding indication
Call state changed (ringing, off-hook)
Mobile data connection state change / being used
Message waiting indication
Service state changed (service/no service)
Signal level changed
Storage
revoke permission to the media storage
revoke permission to the external storage (SD card)
return fake unmounted state
Shell
Linux shell
Superuser shell
Load/library (by default not restricted)
System
return an empty list of installed applications
return an empty list of recent tasks
return an empty list of running processes
return an empty list of running services
return an empty list of running tasks
return an empty list of widgets
return an empty list of applications (provider)
prevent package add, replace, restart and remove notifications
View
prevent links from opening in the browser
you will be notified if an application tries to open a link
Accounts
return an empty account list
return fake account info
return empty authorization tokens
Browser
return an empty bookmark list
return empty search history
Calendar
return an empty calendar
Calling
prevent calls from being placed
prevent SMS messages from being sent
prevent MMS messages from being sent
prevent data messages from being sent
Contacts
return an empty contact list
content://com.android.contacts/data
content://com.android.contacts/raw_contacts
content://com.android.contacts/phone_lookup
content://com.android.contacts/profile
Dictionary
return an empty user dictionary
return an empty list of accounts, e-mails, etc (provider)
Identification
return a fake Android ID
return a fake device serial number
return a fake host name
return a fake Google services framework ID
return file not found for folder /proc
Internet
revoke access to the internet
return fake disconnected state
return fake supplicant disconnected state
Location
return a random or set location
return empty cell location
return an empty list of (neighboring) cell info
prevents geofences from being set
prevents proximity alerts from being set
prevents sending NMEA data to an application
prevent phone state from being sent to an application
Cell info changed
Cell location changed
prevent sending extra commands (aGPS data)
return an empty list of Wi-Fi scan results
prevents connecting to Google Play services
Media
prevent recording audio (including from the microphone)
prevent taking pictures
prevent recording video
you will be notified if an application tries to perform any of these actions
Messages
return an empty SMS/MMS message list
return an empty list of SMS messages stored on the SIM (ICC SMS)
return an empty list of voicemails
Network
return fake IP's
return fake MAC's (network, Wi-Fi, bluetooth)
return fake BSSID/SSID
return an empty list of Wi-Fi scan results
return an empty list of configured Wi-Fi networks
return an empty list of bluetooth devices
NFC
prevent receiving NDEF discovered
prevent receiving TAG discovered
prevent receiving TECH discovered
Phone:
return a fake own/in/outgoing/voicemail number
return a fake subscriber ID (IMSI for a GSM phone)
return a fake phone device ID (IMEI)
return a empty ISIM/ISIM domain
return a empty IMPI/IMPU
return a fake MSISDN
return fake mobile network info
Country: 001 (test network)
Operator: 00101 (test network)
Operator name: fake
return fake SIM info
Country: XX
Operator: 00101
Operator name: fake
Serial number (ICCID): fake
return empty APN list
return no currently used APN
return an empty call log
return an empty list of voicemail messages
prevent phone state from being sent to an application
Call forwarding indication
Call state changed (ringing, off-hook)
Mobile data connection state change / being used
Message waiting indication
Service state changed (service/no service)
Signal level changed
Storage
revoke permission to the media storage
revoke permission to the external storage (SD card)
return fake unmounted state
Shell
Linux shell
Superuser shell
Load/library (by default not restricted)
System
return an empty list of installed applications
return an empty list of recent tasks
return an empty list of running processes
return an empty list of running services
return an empty list of running tasks
return an empty list of widgets
return an empty list of applications (provider)
prevent package add, replace, restart and remove notifications
View
prevent links from opening in the browser
you will be notified if an application tries to open a link
xprivacy скрин
UFO just landed and posted this here
Мне кажется у них (и не только у них) настроена система на аллерты только по определенным паттернам (аля поменял симкарту и сразу же начал выводить), чтобы не беспокоить лишний раз пользователя лишними блокировками, когда последний раз менял симку ни один банк ничего не нашел подозрительного и ничего не блокировал
Злоумышленнику не обязательно перевыпускать симкарту, просто нужен доступ к смс (он возможен разными путями, начиная от угона телефона и кончая доступом через оператора мобильной связи, например переадресацией смс), проблема то в том что вдруг неожиданно в каком-то месте двухфакторная аутентификация вдруг становится однофакторной и причем это не пароль, а непонятные смс о которых ты мог и не думать (только вчера видел про человека которому чужие смс приходят и он никак их не может отключить, видимо хозяин карты ошибся в номере телефона когда открывал счет)
У меня для банкинга СИМ-ка Мегафона, там при замене СИМ карты на сутки блокируется СМС на уровне системы. То есть фокус с дубликатом СИМ-карты уже не провернуть так просто… ну только если жертва не заметит, что у него сутки мобильная связь не работает :)
Нет, но с точки зрения защиты от описанных инструментов социнженерии, этот способ аутентификации ничем не лучше СМС. Если вас убедили совершить операцию, то аппаратный токен вас не остановит.
Ну это сродни цыганка загипнотизировала и я деньги сама отдала. Я не вношу это в угрожающие мне риски. А вот авторизации банка перед клиентом обычно нигде нет. Мне както банк по делу звонил и сходу спрашивал кодовое слово. Там был рили банк, но никак авторизовать себя не смог. И был послан.
По поводу ВТБ24. Как только появилась возможность приобрести генератор одноразовых паролей я сразу же этим воспользовался. Не считая, что первые два экземпляра мне пришлось поменять из-за брака, это самое безопасное решение из предлагаемых банками. Сгенерировать ответ без физической карты и знания пин-кода невозможно. Почему любимый ныне мною Тинькофф не предоставляет возможности перейти на подобное — это отдельный вопрос.
ЗЫ Интересный момент: шло время, ВТБ'шная карта осталась не у дел, её срок истёк… но я только что авторизовался в ВТБ-Онлайн с помощью неё и этого самого генератора, поддержка которого официально «того». Ни карт, ни счетов в интерфейсе нет, но возможность авторизации не сломана.
ЗЗЫ С картой Тинькофф ВТБ'шный генератор тоже работает, пин принимает, но ответы даёт слегка загадочные, т.е. не просто 6 цифр, а набор символов. Толку от такой «работы» скорее всего ноль, но, если бы появился родной генератор и его поддержка, то взял бы, не раздумывая.
ЗЫ Интересный момент: шло время, ВТБ'шная карта осталась не у дел, её срок истёк… но я только что авторизовался в ВТБ-Онлайн с помощью неё и этого самого генератора, поддержка которого официально «того». Ни карт, ни счетов в интерфейсе нет, но возможность авторизации не сломана.
ЗЗЫ С картой Тинькофф ВТБ'шный генератор тоже работает, пин принимает, но ответы даёт слегка загадочные, т.е. не просто 6 цифр, а набор символов. Толку от такой «работы» скорее всего ноль, но, если бы появился родной генератор и его поддержка, то взял бы, не раздумывая.
А новые они уже не продают.
Боюсь для физлиц действительно хардтокены уходят в прошлое, атаки от которых они эффективно защищали встречаются все реже, а минусы у них тоже есть — отсутствие мобильности, доставка, обслуживание (в вашем случае замена брака) и тп.
А сканирование физической карты через NFC-ридер смартфоны было бы удобным вам как клиенту и вызывает доверие?
А сканирование физической карты через NFC-ридер смартфоны было бы удобным вам как клиенту и вызывает доверие?
Нет. Я не отношу телефон(и вообще всё, что подключено к интернету) к устройствам высшей категории защищённости(это я только что термин придумал), т.к. несмотря на степень защищённости доступность для атак открыта всемирная а время не ограничено. Использовать временно после авторизации, произведённой с устройством высшей категории защищённости — пожалуйста.
Ну не знаю у меня работает Генератор А и Б до настоящего времени.
Насчёт хардовых генераторов одноразовых паролей — они реинкарнируют в генераторы динамических CVV, встроенных в сами карты: habr.com/ru/company/icover/blog/366733
Клиенту нужно придумать кодовое слово, чтобы сотрудники банка при звонке его называли. Представляется сотрудником банка, не называет кодовое слово — мошенник :-)
Ну видя сколько в последнее время утечек, верить нельзя и кодовому слову, мне можно )
И не забыть его
Вы сильно всё осложняете. Проще самостоятельно позвонить в банк и всё. В обратную сторону звонок работает нормально.
Концептуально перспективно, в реалиях сложнее: организовать сбор, донести до клиентов зачем это, каким-то образом напоминать это кодовое слово, чтобы не забыли. А в итоге велика вероятность, что или забудут про это, либо мошенники как-то и это обыграют в своих скриптах.
Лучше перезванивать в банк, как только начинаются странные вопросы или просьбы.
Лучше перезванивать в банк, как только начинаются странные вопросы или просьбы.
Я так для всей семьи придумал слово, которое надо написать в СМС или назвать при звонке, при любых критических ситуациях.
Пара учений с левых номеров, сейчас чётко. Никаких критических данных или денежных операций, без кодового слова. Один раз помогло против СМС мошенничества.
Пара учений с левых номеров, сейчас чётко. Никаких критических данных или денежных операций, без кодового слова. Один раз помогло против СМС мошенничества.
придумать кодовое слово «я хочу заняться сексом с вами», просить переключить на оператора женского пола
Спасибо, познавательно! Не понятно почему телекомы до сих пор не прикроют у себя возможность подмены номера, по идее ФЗ о связи запрещает подменять Generic Number
Вы не представляете какое количество телекомов, особенно в регионах работает на совершенно невнятном оборудовании лохматых годов, с сотрудниками совершенно не понимающими что происходит вокруг. Стандартная история — когда в техподдержке крупнейшего провайдера на второй линии спрашивают что-то вроде «Я не понимаю что значит „присылаете инвайт“, вы мне скажите — гудок в трубке есть или нет?»
Потому, и не только, никогда не разговариваю с позвонившими якобы работниками банков. Надо, схожу в офис. Заодно отсекается спам и коллекторы (бывает иногда задерживаю платежи, извините. Но при этом честно оплачиваю ваши бешеные штрафы за это). Зато Тиньков отличился тем что, где-то год назад позвонил моей маме и сообщил точную сумму долга, когда я «забыл» заплатить. Спрашивал у знакомых: ни у кого такого беспредела не было.
Никаких связей со Сбером у меня нет, проживаю в Краснордаре. Недавно раздался звонок и между мной и мужчиной на том конце состоялся такой разговор:
— Здравствуйте, Вас беспокоит служба безопасности Сбербанка. У нас в базе зафиксирован доступ к Вашему счету из города Саратов. Вы можете подтвердить эту информацию?
— Да, конечно могу.
— То есть все правильно? Там с вашего счета выводят 30 тысяч рублей.
— Да-да, все правильно. Пусть выводят, не мешайте им.
— А еще у нас в базе зафиксировано, что ты петух и козел.
— Так это Вы смотрите список своих сотрудников.
И бросили трубку :(
— Здравствуйте, Вас беспокоит служба безопасности Сбербанка. У нас в базе зафиксирован доступ к Вашему счету из города Саратов. Вы можете подтвердить эту информацию?
— Да, конечно могу.
— То есть все правильно? Там с вашего счета выводят 30 тысяч рублей.
— Да-да, все правильно. Пусть выводят, не мешайте им.
— А еще у нас в базе зафиксировано, что ты петух и козел.
— Так это Вы смотрите список своих сотрудников.
И бросили трубку :(
Легенда про Сбер обычно используется при холодном обзвоне, т.к. потенциальный охват шире.
А так вы, конечно, правы — последнее время хамят сразу, как разоблачают их. Раньше некоторые хоть шутили)
А так вы, конечно, правы — последнее время хамят сразу, как разоблачают их. Раньше некоторые хоть шутили)
А так вы, конечно, правы — последнее время хамят сразу, как разоблачают их. Раньше некоторые хоть шутили)
Работа тяжелая.
Вы представляете сколько звонков нужно совершить?
А сколько все же не ведутся?
А у скольких на карте нет серьезных сумм?
Вот они после сотого звонка, «заработав» на том 50 рублей — очень напряженные.
Дело даже не в этом.
Люди мало того что стали грамотнее, так еще и через одного издеваются.
Поматросят и бросят, а них план горит.
Так бы успели еще где-нить бабку-дедку развести, а им в вовсю в уши дуют что прям щаз деньги переведут, а сами или коды неправильные говорят, или при вводе «ошибаются».
Занервничаешь тут ))
Люди мало того что стали грамотнее, так еще и через одного издеваются.
Поматросят и бросят, а них план горит.
Так бы успели еще где-нить бабку-дедку развести, а им в вовсю в уши дуют что прям щаз деньги переведут, а сами или коды неправильные говорят, или при вводе «ошибаются».
Занервничаешь тут ))
Я то думаю откуда все биржи труда завалены этими операторами call-центров
Мошенники часто работают с «зональных» call-центров (с тюрем).
На биржах труда вакансии — это «втюхивальщики».
Арендуешь комнату-квартиру-офис или вообще нанимаешь «пионЭров на дому», регаешься как ООО «СуперМедиаКонтактЦентр» и пошел предлагать услуги холодного обзвона на оутсорсе. Заодно наполняется своя телефонная база, которую банки могут передавать третьим лицам, как обычно написано в договоре об обработке персональных данных.
На биржах труда вакансии — это «втюхивальщики».
Арендуешь комнату-квартиру-офис или вообще нанимаешь «пионЭров на дому», регаешься как ООО «СуперМедиаКонтактЦентр» и пошел предлагать услуги холодного обзвона на оутсорсе. Заодно наполняется своя телефонная база, которую банки могут передавать третьим лицам, как обычно написано в договоре об обработке персональных данных.
А я вот только не совсем понимаю, почему бы мошеннику не потратить пару минут на то, чтобы выяснить полное ФИО по номеру телефона?
Хотя бы для ВТБ, Сбера это уже покроет большой процент потенциальных жертв.
Например, заходим в онлайн банк, выбираем перевод по номеру телефона, высвечивается буква фамилии (или первая с последней) и имя-отчество, можно и не платить совсем. А можно заплатить рубль, и посмотреть в детализации ФИО полностью. А если по СБП пробить вначале — ещё проще.
Знание ФИО значительно повышает доверие потенциальной жертвы. Я как-то сам в какой-то мере проверил — кто-то случайно указал мой номер в онлайн банке ВТБ, видимо, где-то ошиблись. И стали мне сыпаться смс об оплате всего чего он там платит… Как-то я выяснил номер (оказалось, вместо 937 он указал 927), узнал ФИО, звоню ему, и, обращаясь по имени-отчеству, объясняю, что он указал неправильный номер в онлайн-банке, и ему нужно его сменить в банкомате или в отделении банка. Ну, там мужик понял, сказал, поменяет, но он до конца думал, что ему из банка звонят, пока я не сказал, что пусть побыстрее делает, а то мне его смски надоели уже.
Хотя бы для ВТБ, Сбера это уже покроет большой процент потенциальных жертв.
Например, заходим в онлайн банк, выбираем перевод по номеру телефона, высвечивается буква фамилии (или первая с последней) и имя-отчество, можно и не платить совсем. А можно заплатить рубль, и посмотреть в детализации ФИО полностью. А если по СБП пробить вначале — ещё проще.
Знание ФИО значительно повышает доверие потенциальной жертвы. Я как-то сам в какой-то мере проверил — кто-то случайно указал мой номер в онлайн банке ВТБ, видимо, где-то ошиблись. И стали мне сыпаться смс об оплате всего чего он там платит… Как-то я выяснил номер (оказалось, вместо 937 он указал 927), узнал ФИО, звоню ему, и, обращаясь по имени-отчеству, объясняю, что он указал неправильный номер в онлайн-банке, и ему нужно его сменить в банкомате или в отделении банка. Ну, там мужик понял, сказал, поменяет, но он до конца думал, что ему из банка звонят, пока я не сказал, что пусть побыстрее делает, а то мне его смски надоели уже.
Предупредить клиента о возможных вариантах мошенничества — это хорошо.
Но это не пресекает мошеннические действия в отношении клиентов от слова совсем.
Абсурдность ситуации в том, что мошенника может остановить только вынесенный судебным решением срок, а тут у нас беда.
Во-первых, банки ничего не предпринимают к доведению попыток мошенничества до суда, аргументируя отсутствием полномочий.
Во-вторых, по закону наказывается только совершенный факт мошенничества, т.к. попытка мошенничества труднодоказуема.
А чтобы довести попытку мошенничества до факта — читай пункт первый.
Но это не пресекает мошеннические действия в отношении клиентов от слова совсем.
Абсурдность ситуации в том, что мошенника может остановить только вынесенный судебным решением срок, а тут у нас беда.
Во-первых, банки ничего не предпринимают к доведению попыток мошенничества до суда, аргументируя отсутствием полномочий.
Во-вторых, по закону наказывается только совершенный факт мошенничества, т.к. попытка мошенничества труднодоказуема.
А чтобы довести попытку мошенничества до факта — читай пункт первый.
Для начала я бы посоветовал «Олегу» сделать нормальный интернетбанк.
Даже так скажем — вернуть его, после того как хипстеры взялипочту, банк и телеграф ИБ стал образцом лажи, хуже него только Рокет.
Нафига Зачем мне подтверждающая СМС при входе в банк, если внутри можно пулять деньги без ввода кода?
«Мой дом — моя крепость», по аналогии заходя в ИБ я считаю что нахожусь в некоторой закрытой (от внешнего мира) зоне, но не тут-то было.
При входе на главную страницу клиент попадает не в ИБ, а в царство спама — аляповато раскрашенный раздел «Для вас».
Ладно тыкаем в карты, окно растопыривается и карты уходят в левую панель, которая регулярно скачет как коза, на некоторых разрешениях экрана.
Верхнее меню «БИЗНЕС ИНВЕСТИЦИИ СТРАХОВАНИЕ МОБАЙЛ» — если там нажать, то вроде как «вышел из ИБ», но нифига подобного.
Клиент остается залогиненым, только не видит этого. Если в этот момент сказать — «Вася, там на первом этаже тебя девушка спрашивала», то Вася может и не понять что ИБ открыт и спокойно уйти. А так как однажды совершенные деяния в ИБ не требут подтверждения, то можно поприкалываться и отправить все деньги с карты, например, в налоговую или куда там Вася платил последние разы.
Даже так скажем — вернуть его, после того как хипстеры взяли
«Мой дом — моя крепость», по аналогии заходя в ИБ я считаю что нахожусь в некоторой закрытой (от внешнего мира) зоне, но не тут-то было.
При входе на главную страницу клиент попадает не в ИБ, а в царство спама — аляповато раскрашенный раздел «Для вас».
Ладно тыкаем в карты, окно растопыривается и карты уходят в левую панель, которая регулярно скачет как коза, на некоторых разрешениях экрана.
Верхнее меню «БИЗНЕС ИНВЕСТИЦИИ СТРАХОВАНИЕ МОБАЙЛ» — если там нажать, то вроде как «вышел из ИБ», но нифига подобного.
Клиент остается залогиненым, только не видит этого. Если в этот момент сказать — «Вася, там на первом этаже тебя девушка спрашивала», то Вася может и не понять что ИБ открыт и спокойно уйти. А так как однажды совершенные деяния в ИБ не требут подтверждения, то можно поприкалываться и отправить все деньги с карты, например, в налоговую или куда там Вася платил последние разы.
Кто-то из команды Олега не поленился сходить плюнуть в карму ))
Но люди-то помнят старый «модульный», настраиваемый, ИБ, который был образцом эффективности и удобства.
На «банках» ветка обсуждения Тинькова за несколько лет уже 8 раз отправлялась в архив из-за переполнения, и переполнялась в основном от возмущения пользователей новым, «стильным-модным-молодежным», кривым ИБ.
Но люди-то помнят старый «модульный», настраиваемый, ИБ, который был образцом эффективности и удобства.
На «банках» ветка обсуждения Тинькова за несколько лет уже 8 раз отправлялась в архив из-за переполнения, и переполнялась в основном от возмущения пользователей новым, «стильным-модным-молодежным», кривым ИБ.
UFO just landed and posted this here
Не очень понял суть проблемы. Зашел даже в свой ЛК, чтоб проверить.
После авторизации справа в углу появляется мое имя и, если ее установить, аватарка. При переключении между сервисами Тинькофф, например, Инвестиции, сессия продолжается, и я вижу это все в том же углу. Если хочу разлогинится, то жму на эту аватарку с именем и жму «выйти». Всё прозрачно, имхо.
После авторизации справа в углу появляется мое имя и, если ее установить, аватарка. При переключении между сервисами Тинькофф, например, Инвестиции, сессия продолжается, и я вижу это все в том же углу. Если хочу разлогинится, то жму на эту аватарку с именем и жму «выйти». Всё прозрачно, имхо.
Не очень понял суть проблемы. Зашел даже в свой ЛК, чтоб проверить.А Вы колесико мышки на себя крутаните.
После авторизации справа в углу появляется мое имя и, если ее установить, аватарка.
Если бы панелька с автаркой была прибита к «колонтитулу» страницы, то еще куда бы не шло.
Но вот если Вы зайдете на «Мобайл», то там есть еще кнопка «Войти в Мобайл» — нажмите её и попробуйте понять где Вы находитесь? Банковый логин с аватаркой вообще исчезает.
У меня нет связи «от Олега», но позреваю что если войти в мобайл, то «банк» там не будет виден, от слова абсолютно. При этом логин в ИБ держится пока не отвалится по таймауту.
Вообще на «банках.ру» представитель банка на указанные косяки сказал что это не баг — это фича )).
PS В нормальных ИБ все рекламно-втюхивательное открывается в новых вкладках, даже если само предложение было в виде рекламы в самом ИБ.
Теперь боль понятна. Со своей стороны скажу, что не сталкивался с несанкционированными операциями после такого не разлогона. Но коллегам посыл про «прибить» передам на рассмотрение.
Тут даже не столько «несанкционированные операции» сколько общее впечатление от того что вылетаешь непонятно куда нажав на «рекламу».
Если бы реклама открывалась в новых окнах, то это бы создавало чисто визуальный комфорт: «вот мой банк — моя крепость», а вот (в новых окнах) открылись предложения от банка и партнеров.
Если бы реклама открывалась в новых окнах, то это бы создавало чисто визуальный комфорт: «вот мой банк — моя крепость», а вот (в новых окнах) открылись предложения от банка и партнеров.
Всегда удивляюсь, как люди на такое ведутся. Но судя по новостям — ведутся.
О, про тоновый набор это новинка, надо родителей предупредить. Спасибо.
Не так давно звонили мошенники и просили сказать какому-то там роботу по телефону фразу: «Отменяю операцию по моей карте *полный номер карты*». Зачем им это нужно? Чтобы просто получить номер карты? Хотя возможно там дальше что-нибудь поинтереснее придумали бы, но были посланы далеко и надолго коллегой.к сожалению не выяснил чем удивить еще смогли бы
Не так давно звонили мошенники и просили сказать какому-то там роботу по телефону фразу: «Отменяю операцию по моей карте *полный номер карты*»Ну вот сбер недавно хвастался что тестирует «голосового» помощника. Голосового не в смысле что говорит робот, а в смысле что опознает по голосу. Поэтому не советую при звонке на телефон отвечать «Да», лучше «Слушаю» или «У аппарата» ))
Да, это я знаю. Но фраза «отменяю операцию» поставила меня в легкое недоумение… Зачем она им нужна?
Чтобы усыпить вашу бдительность и вы назвали номер карты. Потом видимо вам скажут что снятие обнаружено и заморожено, но отменить мы можем только если вы подтвердите это кодом, сейчас вам на телефон придёт код, скажите его роботу также.
Возможно для начала просто набор готовых фраз, потом может еще чего-нить попросили бы — «Типа подтверждаю отказ».
И уже можно склеить «Отменяю подтверждаю операцию по моей карте *полный номер карты*»
И уже можно склеить «
Всё это кажется очевидным, пока очередной знакомый не лоханется. И ведь не динозавры, а продвинутые люди (казалось бы). Потом рассказывают мне о запредельной убедительности разводил, ещё и подловивших в какой-то особенный момент. Судя по посту, Бендеры день и ночь новые схемы комбинируют, хотя в 2k19 люди продолжают деньги давать вперед и выручать друзей в ВК.
Уважаемый Тинькофф Банк, вы все такие модные и технологичные, сделайте альтернативу смс-OTP (например гугл аутентификатор), будет работать в и роуминге, перехват не страшен, а симкарта не нужна
Да хотя бы через PUSH начните уже слать как альфа-банк, а не по SMS — уже хлеб был бы.
Что-то приходит через push, но не всегда. Покупки приходят, а коды подтверждения в самом приложении им интернет банке а виде СМС. Да и push работает не всегда, приложение если выгружается или нет инета. OTP рулит, настроил его везде, где есть поддержка
а вас не парит что после пуша ничего не остаётся и в правовом поле вам никак не удастся доказать что банк, например, не уведомил вас о транзакции. Вы владеете сейчас историей трат 5 месяцев назад? Не так что в банке оно лежит, а так что лично вы владеете и, если банк закроется, то вы продолжите владеть этой историей.
а вас не парит что после пуша ничего не остаётся и в правовом поле вам никак не удастся доказать что банк, например, не уведомил вас о транзакции.Альфа стала хранить историю пушей в МБ, но тоже аднака не панацея — МБ полностью в руках банка и при большой необходимости, я думаю, туда можно будет дописать «недостающий» пуш.
Очень хотелось бы посмотреть на практическую ситуацию в правовом поле, когда наличие какой-то там СМС что-то решило. Про историю трат — выписки хранить не пробовали?
1. Если говорить про Банк, то в законе о национальной платежной системе указана обязанность банка вас уведомлять. Если уведомление не случилось то будет вопрос кто обосрался. В случае смс этой информацией владеет три лица, вы, банк, сотовый оператор, и у него, судебным запросом может быть эта информация запрошена. В случае пушей — только банк. В каком случае ваша позиция сильнее и шансов больше?
2. Вот лично мой кейс когда оператор, по требованию ФАС, сам на себя компромат выдавал в виде подтверждения того факта что смс была направлена. Это моё заявление. br.fas.gov.ru/to/orenburgskoe-ufas-rossii/389c86f6-c5f1-4072-a0fa-8db45f4fa6f5
3. Про выписки. Да, это вариант, но требующий кучи телодвижений и менее точный (могу как нибудь расписать почему он менее точный) Но много ли народу так делает.
2. Вот лично мой кейс когда оператор, по требованию ФАС, сам на себя компромат выдавал в виде подтверждения того факта что смс была направлена. Это моё заявление. br.fas.gov.ru/to/orenburgskoe-ufas-rossii/389c86f6-c5f1-4072-a0fa-8db45f4fa6f5
3. Про выписки. Да, это вариант, но требующий кучи телодвижений и менее точный (могу как нибудь расписать почему он менее точный) Но много ли народу так делает.
Sign up to leave a comment.
Как мошенники делают это. Инструменты обмана