Адрес для входа в РФ: exler.wiki
Возможная дыра в безопасности "Сбербанка"
Интересная история - "«СберБанк»: мои персональные данные попали к злоумышленникам — их может предоставлять голосовой робот". Там есть информация о том, каким образом ваши персональные данные (например, остатки по счетам) запросто могут попадать к мошенникам, а те уже ими будут пользоваться для различных видов развода. Вот краткая выжимка.
Друзья, мы выяснили как такое возможно. Во время общения с младшим сотрудником, старший звонит на номер 900 подставляя на исходящий мой номер. Там робот предлагает продиктовать мне остаток по картам, просит назвать номер, если назвать номер на угад, то робот дружелюбно сообщает что такой карты нет, и называет номера всех действующих карт (Сбер,это реально круто, спасибо). Далее называешь номер любой из карт, и он сообщает тебе остаток. Это просто офигенно. Вопрос про слив данных сотрудником снимается, виноват робот. Новые вопросы к Сберу: почему сотрудники не знают что так можно? Почему вообще так можно?
Шикарная дырища в безопасности, не так ли? Робот услужливо называет номера всех действующих карт и злоумышленник (так утверждается в статье) может продиктовать номер, и ему сообщат остатки по счетам. Гениально!
У сестры пытались снять деньги с карты которая вообще никогда нигде не использовалась.
Уже то, что они знают телефон, привязанный к счету, о многом говорит.
Последний рубеж - "волшебные три цифры".
Да и то, некоторые сайты(типа Али), суки, их тоже хранят
Опять таки номер карты это хорошо, но не достаточно. нужен еще срок годности и код (хотя вот на Амазоне код не нужен, а что-то никто не орет про дыру в безопасности, хотя я не понимаю, как это может быть в 21 году 21 века). Опять-таки транзакции по картам оспариваются.
А вот ситуация с директ дебит меня напрягает. Я регулярно оформляю разные директ дебиты на счет мужа 😉, но это по крайней мере наши семейные расходы, но ведь так можно и черт знает что привязать к счету и как потом доказывать, что это был не ты?
На самом деле в вопросах автоматизации я не перестаю удивляться отсталости британских банков в сравнении с тем,что я видела в Латвии (я сужу как пользователь). Двадцать лет назад это обяснялось тем, что нам повезло и надо все делать с нуля и мы имеем шанс делать все на новых технологиях, тогда как на Западе уже устоявшеся системы и там трудно что-то менять. Но прошло 20 лет, а все так же.
А в Сантадере три шкуры снимут по телефону, не отделаешься DOB и т д
А с Direct Debit - нужно просто следить за счётом. Хотя я, честно говоря, ни разу не слышал, чтобы через DD кто-то что-то воровал. 😄
Я вот регулярно на мужа какие-то регулярные платежи вешаю 😉
Вопрос не в отмене покупок, тут да, все хорошо, там много чего операционно странно.
Например, только недавно стали проверять соответствие номера счета и имени получателя.
Лишь пару лет как стало возможно видеть остатки по кредитной карточке в интернет банке
Как-то раз я сделала перевод, а потом через пару месяцев мне надо было снова туда же заплатить, казалось бы, чего проще, зайди в историю транзакций и скопируй платеж - ан нет, нельзя.
Нельзя сделать выписку за долгий период времени. Надо печатать несколько месячных отчетов.
У нас потребительский кредит в Барклайсе, когда захотели узнать, каков по нему остаток - выяснилось, что это сделать нельзя. Надо сделать запрос, они посчитают и пришлют письмо домой. В интернет банке этот кредит в принципе не виден.
Я уже не говотю про лимит в 30 символов для цели платежа.
И таких старнностей полно.
Это все в Барклайсе, может в других местах потехнологичней.
Выписку за долгий период в HSBC сделать нельзя. Но мне эта услуга требовалась всего пару раз и нужны были официальные бланки, так что всё равно пришлось идти в отделение банка. А там не важно за какой период требуется выписка - всё равно их делают со скоростью смертельно усталой черепахи.
Я тоже никогда не слышал таких историй и сам не становился жертвой мошенников, слава богу.
Чеки - это вообще бред какой-то
На самом деле, меня устраивает, просто факт - видали и получше.
У меня вот такие функции есть в разделе "Pay & Transfer" (см. скриншот), у вас ведь так же?
В службу поддержки звонил 4 раза, они не могли решить проблему в течение двух недель (потом всё же решили -- письма перестали приходить). В какой-то момент специалисты признали, что их система не требует подтверждения почты. В 21-м году 21-го века, господа! Человек пишет любую почту (допуская ошибку), не подтверждает её (это ведь мне приходит, не ему), и далее закономерно ничего не получает, а его персональные данные начинают утекать налево. Мне-то что, нажал кнопку Спам и забыл, но сложно поверить, что остальное у них сделано менее криворуко...
Нам (в ЮК) в течении недели пришло несколько писем из разных графств на имя Джона Ли (имя уже намекает как бы) со штрафами на машину, зарегистрированную на наш адрес. Мы естественно никакого Джона Ли не знаем, на этом адресе уже много лет живем и такая машина нам тоже не известна. Как можно зарегистрировать машину на адрес без ведома жильцов - мне не понятно. Я им всем позвонила, мне сказали - ноу проблем. Просто пошлите это письмо обратно, а на конверте напишите, что получатель не известен по этому адресу. Ок, сделала. Позвонила в DVLA (это где машины на учет ставят). Там мне сказали - донт ворри, напиши нам письмо. Ок, сделала.
Мне продолжали приходить напоминания об этих штрафах, я отправляла письма обранто. Недавно пришло письмо от коллекторов. Позвонила им, рассказала, они удивились потому что обычно (то есть это не необычная ситуация!) все решается по первому звонку.
Ну что сказать, не удивлюсь если коллектор постучит нам в дверь. Придется доказыват, что я не Джон Ли.
В итоге я охренел от того, что я лечу в Нижневартовск.
В итоге я охренел от того, что я лечу в Нижневартовск.
А кстати, как в России проверяют адреса? Точнее говоря, проверяют ли их. Я не владею текущей информацией, но 10 лет назад в Латвии адреса не проверялись. Мне кажется, можно было самому свой адрес в системе менять. Короче, я работала в банке, не помню никакого гемора с проверкой адресов. Более того, помню мы как брокерская кантора открывали счет на Западе и у директора попросили счет за коммунальные услуги на его имя. Он жил в съемной квартире и все счета были на владельца и мы все сидели и дружно возмущались тому, какие нереальные запросы нам выставляют.
Теоретически, клиент мог сам указать неверный адрес (не знаю с какой целью, но в принципе).
А это вариант!
Вспомнилась одна история: medialeaks.ru
Однажды лет пять назад на телефон стали приходить смски о чьих-то операциях, можно было баланс запросить и тд. Какая-то неизвестная мне девушка, явно небогатая.Не знаю, насколько глубокая дырка безопасности была. Будучи честным человеком, пошел пешком в сберовское отделение и написал жалобу по этому поводу. Доступ закрыли
А перед этим однажды обнаружил у себя дома в почтовом ящике сберовскую карту, со вскрытым конвертом (!) и письмом типа "вот вам наша новая карта"
А по нормальному, так и вообще ее нужно дробить и приватизировать.
К моим 19 годам тысяча не то что были не денги - но парится с их полчением на каникулах ну никак не хотелось, потом Павлов, заморозки вкладов, Независимость, потом переход на тенге, потом ка кто все закрутилось и году таки в 2007 ХалыкБанк решил вернуть
Натурально, билет туда-сюда до города моего детства стоил раз в 7 дороже, а никаких вариантов кроме как "где счет открывали, туда и идите" не предусматривалось, Барышне было предложено засунуть эти деньги на благотворительность и больше я с ними никаких дел в качестве клиента никогда не имел.
iMessage запускает. Сам. Не пользователь.
У. Удобство.
Товарищ майор знает о вас всё при желании, законы о слежке давно подписаны.
А вы на антивирус гоните.
Это эффективные менеджеры, которые заставили программистов написать такой скрипт.
Продвигают как "полезную услугу" для клиентов. Премии за это получают годовые.
Я вас умоляю. За такие зарплаты будете молчать в тряпочку и делать что угодно.
Теперь уже не очень.
Сведения об остатках на счетах - банковская тайна, вообще-то.
Сведения об остатках на счетах - банковская тайна, вообще-то.
Так, секретик..."
И если это действительно работает так, как было описано, то Сберу следует изменить процедуру идентификации пользователя. А если не работает, то выпустить соответствующий пресс-релиз.
На моей текущей работе только-только перешли на зарплатный проект в сбер и на всех сотрудников заказали выпуск какрт. Не спрашивая их. Типичная практика в те года была.
Я, так как уже имел карту, при получении своей написал отказ, конверт с картой не вскрывал и брать ее не стал. А как оказалось, что работодатель вместе с представителем отделения которое выпустили карты оказали всем сотрудникам "услугу" и заполнили за них все анкетные данные. И, вот тут самое волшебное, в качестве кодового слова всем прописали их даты рождения. Учитывая основной наш рабочий контингент такое действие опять же было более, чем оправдано. А в итоге получилось, что работодатель сделал как считал лучше. Сбер отработал по регламенту и при оформлении нового договора с новым кодовым словом поменял кодовое слово в системе (так как кодовое свое слово не помнил практически никто, я специально опрашивал коллег), а я оказался тем самым исключением которое споткнулось о работающий механизм.
В итоге, кстати, все закончилось тоже интересно. Тот самый менеджер, осознав что гонять меня лично с паспортом, писать заявления и прочее не слишком красиво применил изящный лафхак. Он заказал на мое имя еще одну, новую карту, котору привезли в то отделение, куда мы договорились. Я получил карту, вписал новое кодовое слово при заполнении документов, а карту порезал на медиаторы. 😉
Они говорят, что при звонке на 900 с подставными номерами сотовые операторы блокируют вызов, это же должен быть звонок с сотового, и оператор отлично видит, с устройства с данным номером звонок или из вне. А на городских номерах (8-800- ) этот сервис не работает.
И второе, вызова от этого клиента в эти дни не было.
Обатный номер - это так себе способ авторизации, что бы ни говорили эффективные менеджеры.
1. Для звонков по коротким номерам, хоть 900, хоть 4242, надо заключать договор с оператором сотовой связи на маршрутизацию этих вызовов на номер заказчика. То есть для номера 900 с МТС, Билайном, Мегафоном (может Теле2 и кто-то еще) заключается договор на эту услугу. То есть позвонить с устройства вне сотовой сети по номеру 900 нельзя.
2. Оператор смотрит на номер сим-карты, а номер телефона - это уже наши человеческие алиасы, так сказать. То есть что бы сделать звонок с подставного номера надо подделать заголовок запроса от сим-карты, а вот это оператор как раз проверяет. Или подделать все данные сим-карты. "Но это уже совсем другая история" )
2) Это МЫ думаем, что "проверяет". На деле же, даже если вдруг реально проверяют (в чём очень-очень сильно сомневаюсь, см. выше) – простейший элемент MITM, многие операторы тупо в запарке от звонков и "проверять" ничего не будут. На то и расчёт...
"Автор @Александр Лопатин немного приукрасил. Позвонив на 900, запросив баланс, робот спрашивает последние 4 цифры, если назвать отболды, робот действительно говорит о доступных картах, но говорит о типе карты и последних 4 цифрах, то есть номер карты так узнать нельзя. Баланс робот называет. И так, как и раньше для атаки знать номер карты полный, текущая дыра лишь повышает вовлеченность разговора и доверие к звонившему. Но нужно подделать исходящий номер на 900 подставив номер жертвы. А номер карты утек раньше, просто базы обогощали где то."
По факту, робот сообщает последние 4-ре цифры, а не весь номер. По сути, все, что дает эта "дыра", это повышает доверие к липовым "специалистам службы безопасности" так как они могут назвать вам несколько больше реальных фактов.
Все же подмена номера не такая тривиальная задача и в качестве выхлопа только информация по балансу вряд ли окупит затраты.
Все же стоит учитывать, что у банка несколько другой уровень взаимодействий с операторами связи и прочее. Поэтому простая подстановка через VOIP которой достаточно, чтобы убедить пользователя, не достаточно, чтобы обмануть банк.
Действительно, чего париться! ВСЕГО ЛИШЬ даем в руки мошенников офигительное средство повышения доверия.
Вот я бы реально поверил, что звонок из банка, если бы мошенники предоставили МНЕ такую информацию (последние цифры и остаток)...
Понятно, что снимать деньги через банкомат и переводить их на "безопасный счет" я бы не стал, но кто знает, что они придумают в следующий раз! например, можно выведать номер паспорта и кодовое слово, чего уже достаточно для многих безобразий.
Как мы можем знать, что нет других, более достоверно имитирующих методик, особенно зная "дырявость" протоколов SS-7?
"Чтобы сделать обслуживание проще и быстрее, СберБанк использует распознавание по лицу и голосу — только с согласия каждого клиента."
"При звонке в контактный центр пригодится голосовая биометрия — оператор задаст меньше вопросов для подверждения личности."
(источник)
1. Мошенник звонит жертве и представляется "младшим специалистом", они общаются (кстати, зачем?)
2. "Младший специалист" долго разводит лоха, потом говорит, что его полномочия исчерпаны, и он сейчас переключит на старшего
3. Старший даром времени до этого не теряет, а звонит на номер 900 через Voip, маскируясь под номер жертвы и далее совершает указанные в заметке действия.
4. Заполучив все данные, которые ему нужны, он, взяв трубку, переводит развод на новый уровень.
Теперь закидают минусиками и тебе будет стыдно.
Как бы вам этого не хотелось, проблема телефонных мошенников не является специфичной проблемой России. Не, конечно понятно, что в Чехии такого нет, потому что не может быть никогда. Но в ЮК вполне себе цветёт и пахнет.
Из свеженького - билеты на футбол. Погуглите, почитайте.
Я спрашивал конкретно про мошеннические колл-центры в тюрьмах. Много их? Были звонки?
Я вам написала - я не знаю откуда они звонят. Я не интересуюсь состоянием пенитенциарной системы. Но то, что полиция не в силах расследовать преступления типа массовых краж catalytic converters или справиться с цыганскими таборами, которые засирают округу и терроризируют окрестности - это факт известный всем. Непосаженных явно много. А это оставляет простор для домыслов.
Основная сфера деятельности тюремных коллцентров - банковское мошенничество, процветающее из-за дыр в системах безопасности банков.
Вернёмся.
Ваше утверждение что "в России не так уже плохо" после упоминания Британии в связи с этим должно чем-то подтверждаться. Чем - катализаторами, которые воруют цигане?
Аргументация на уровне "в Америке негров линчуют"
Как это относится к "дырам" в системах безопасности банков? Как это доказывает, что в России их больше, чем где бы то ни было?
Мы говорим про РФ, вы вклиниваетесь с "а вот в ЮК", а про негров личнуют, оказывается - я. Красиво но как-то совсем уж топорно. Может вам пайку урезать чтоб поизящнее соображать начали?
При этом PIN вписываешь от руки в форму и отдаешь его служащему (но "у нас работают только честные девушки", конечно). В общем, проблем с разводами у меня пока не было.
В России меня удивляет периодические какие-то ляпы, типа электронных подписей, которые ты генеришь не сам, например. Или возможность перевести много денег на карточку по телефону без возможности отыграть все обратно, например.
П.С. Пару раз мне звонил кто-то и говорил по-китайски. Возможно, это была попытка развода, но я не поддался, поскольку нихрена не понял. Кстати, спам на китайском я тоже часто получаю - интересно, это сейчас по всему миру так?
Люди уверены, что если они сталкиваются постоянно с банками, они разбираются. А это далеко не всегда так. И начинается вой о том "как все в Рашке плохо". Там плохо, но не все и не всегда там.
Вот например, "возможность перевести много денег на карточку по телефону без возможности отыграть все обратно". Тут что неправильно?
В первую очередь - традиционно карты это средства для оплаты за товары и услуги в точках приема, а не средство для перевода денег. Для перевода денег есть счет. Традиционные кредитные карты даже не позволяют снимать деньги в банкоматах. У меня карточка Барклайса, по дебетной карте я могу снять деньги с банкомата, по кредитной - 100 фунтов в месяц, и этот лимит не меняется. Как-то мужу нужны было сделать перевод, денег на счету не хватало, он хотел взять кредитной карты - ему сказали "низзя". Кредитными (речь о традиционнык кредитках, не дебетовых картах) картами часто нельзя расплачиваться за золото, нельзя гасить ипотеку, нельзя пукупать криптовалюту.
Для карточных транзакций (пукупок) есть протоколы Визы, Мастеркарда, Амекса и т.д., которые одинаковы для банко в России, Британии, Японии и Эсватини, если они работают с этими системами. Там есть четкие процедуры, описывающие случаи, при которых транзакцию можно отыграть. И это работает, люди об этом знают и пользуются, и им кажется, что можно отыграть любую транзакцию. Ну казалось бы, какая разница? Мои деньги, ушли с моего счета, хочу отменить. А фишка в том, что перевод отменить нельзя, переводы не регулируются правилами карточных компаний. Если деньги упали на счет покупателя, нельзя их оттуда просто забрать.
Перевод подразумевает безусловное распоряжение владельца счета. То есть оно не отзывается. Однако надо быть уверенным, что распоряжение на перевод подано владельцем.
К чему я это написала. Если фраза "возможность перевести много денег на карточку по телефону без возможности отыграть все обратно" имела ввиду отменить неавторизованный перевод - это факап российского банка, это должно напрягать но в этом случае не важно, что произошло потом, важно, что доступ к счету получило неавторизованное лицо. А если "я сделал перевод , а потом передумал" - то браво российским банкам, они все сдеали правильно.
Все что я читаю про факапы российских банков не выходит сильно за рамки каких-то мировых тенденций. Везде надо бдить.
"PIN вписываешь от руки в форму и отдаешь его служащему" - Это, кстати, из серии "ужас, ужас, ужас". Если пин доступен "честным девушкам", то остальные методы защиты не особенно важны. Надо охранять этот пин теперь. Пин и является тем самым неотзывным методом авторизации, клиент обязан его держать в секрете. Транзакции с пинами практически не отзываемы. По хорошему, только через уголовку.
Я тоже лично не сталкивалась с мошенничеством, которое вредило мне. Но я не кликаю на ссылки в письмах из Нигерии, не веду бесед об авариях на несуществующей машине и т.п. Но это не значит что мошеничества нет. За исключением оплаты моими собственными детьми какой-то фигни в Роблоксе 😉
В развитом мире это всё тоже существует, несомненно. Но является "частной инициативой" лишь относительно мелких группировок.
Тут же это всё поставлено "на поток" и активно крышуется самим же руководством пенитенциарных учреждений. А это самое руководство крышуется где-то ещё выше, уже "в кабинетах".
Итого...
• В первом случае – всё зависит лишь от грамотности действий полиции (которая действительно бывает сильно разная)).
• Во втором случае – всё зависит исключительно от "воли сверху".
Неужели вы не видите разницы??? Как вы думаете, в каком из вариантов такой вид мошенничества будет больше процветать???
Я сам по себе весьма хитро...эээммм...пятоточковый – поэтому лично у меня не уводили ни разу. Но это не значит, что не уводили у других.
Так что вы пытались выяснить конкретно этим своим вопросом-то? Я так и не понял, честно... ?
-Пароль!
-Кукушка!
-Проходи.
-Пароль!
-...Орел
-Да не орел,а кукушка,проходи.
- Свои.
- Кто свои? Пароль "пушка" знаешь?
- Знаю.
- Проходи.
- Стою.
- Стреляю...
- Пошел на х**!
- Однако, столько лет стою, а паролю не меняют...
Однозначная идентификация по свойствам невозможна без уникальности параметров этого свойства у каждого распозноваемого, терпила богоугодный.
Раз, два, три.
Как вы ищите-то?!
Статьи есть, продать пытаются, но качественного распознования - так, чтобы это могло заменить, например, фото ID или верификацию по отпечатку пальца - нет.
Т.е. на настоящий момент нет технологии, позволяющей сделать по голосу пропуска, например.
А качество распознования там вполне приемлимое.
Вообще, анализом звука нередко руководствуются хоть те же спецслужбы (причём, первые попытки начались ещё глубоко в прошлом веке). Некоторые современные системы безопасности также используют этот параметр в качестве одного из средств идентификации.
Да, технология не даёт никакой "100% точности", конечно. Но точность достаточно неплоха – как минимум, позволяет сразу же отсеивать "уж точно левых". А подыскать подходящего "имитатора" голоса – это надо очень-очень сильно постараться. И только под конкретного "клиента", путём достаточно объёмной работы – для тупого "массового разводилова" такое уж точно никак не подходит... ?