Сколько раз, отвечая на звонок, вы слышали «Иван Иванов? Добрый день! Лейтенант Петр Петрович, главное управление МВД/ секретная служба безопасности Центрального банка России/ Следственный комитет/ подставьте свое»? Знаем, что чаще, чем спойлеры к последнему сезону «Игра престолов», ведь, по данным опроса Национального агентства финансовых исследований, в мае—июне 2021 года 89% россиян получили спам-звонки. Как с технической точки зрения мошенникам и спамерам удавалось дозвониться до нас, и кто пытается забрать у них эту привилегию, рассказывает Михаил Борисов (облачная платформа Voximplant). 

Современные мессенджеры могут подарить незабываемые ощущения – кому из нас не писала жена по срочным вопросам в рабочее время? Вот и моя история начинается с такого разговора:

Жена, [06.12.2022 14:31]

Мне срочно надо поговорить

Жена, [06.12.2022 14:35]

на мое имя оформили кредит, говорю с фсб

Я, [06.12.2022 14:36]

эээээ.... какое фсб?

Я, [06.12.2022 14:36]

стоп, алярм! ФСБ кредитами не занимается!

Я, [06.12.2022 14:37]

Никаких данных, никому! Все общение только лично или письменно через официальный ящик!

Жена, [06.12.2022 14:38]

реально фсб http://www.fsb.ru/fsb/supplement.htm с этого номера

Я, [06.12.2022 14:38]

Стоп, клади трубку, срочно - скажи что у тебя пожар

Как интересно - это горячая линия антитеррора! телефонные террористы однако!

Я тебе АОН любой подставлю если что!

Я, [06.12.2022 14:40]

положи трубку

Я, [06.12.2022 14:41]

положи трубку

Я, [06.12.2022 14:41]

положи трубку

Я, [06.12.2022 14:41]

по кредиту к тебе придет банк и пойдет в суд

Я, [06.12.2022 14:58]

Ну что?

Завязка

Недавно супруге поступил звонок с московского городского номера. По законам жанра она взяла трубку и по тем же законам услышала просьбу подтвердить выполнение операции с ее банковской карты. Естественно супруга отказала, а мошенники на удивление спокойно и даже вежливо попрощались. Номер тут же отправился в вечный черный список.

Кульминация

Через несколько часов супруге поступает еще один звонок, и голос на другом конце провода сообщает, что супруга разговаривает с сотрудником ФСБ. Интернет дает много возможностей, например, быстро найти на кого зарегистрирован номер. В данном случае номер был закреплен за горячей линией ФСБ Антитеррор. Звучит солидно, и пахнет неприятностями, даже если ничего плохого не совершал.

Развязка

По понятным причинам супруга начинает нервничать, хотя еще 5 минут назад была уверена, что никаких операций не совершала, и все средства так и остались на счету. Однако представитель ФСБ мошенник настаивал, что банк сообщил о подозрительном движении средств по этому счету, – вдруг это та самая банда мошенников, от которых они пытаются спасти законопослушных граждан. И самое страшное – когда разговор был уже закончен, встал немой вопрос «А что, если это был реальный ФСБшник?»

К счастью, у нашей истории счастливый конец. Номер был быстро заблокирован, а все средства остались в целости и сохранности. Самым правильным решением оказалось перезвонить по номеру горячей линии антитеррора – сотрудников ФСБ эта история позабавила, но они успели заверить, что никаких проблем по счетам нет, а супруга может спать спокойно. Простой, но рабочий совет – если вы оказались в подобной ситуации, а в глубине души появилась хоть толика сомнений, кладите трубку и самостоятельно перезванивайте в банк, полицию и даже ФСБ на официальные номера. 

Как одна переменная открыла ящик Пандоры 

С технической точки зрения подменить телефонный номер на ФСБ антитеррор не составляет никакого труда. Более того, некоторые операторы связи до недавнего времени предоставляли такую возможность как услугу. 

Сама по себе телефония устроена сложно и интересно, потому что существует она уже давно, и по мере своего развития должна сохранять совместимость с множеством устаревших решений. Однако общая унификация дошла и до нее. Сейчас большая часть взаимодействия в телефонии происходит через обычные сети передачи данных – интернет – для этого используется SIP-протокол (Session Initiation Protocol или Протокол установления сеанса). Не будем углубляться в подробности, но это действительно удобная технология, однако у нее есть один нюанс – при установке соединения нет никаких требований к указанию обратного телефонного номера. Поэтому если на уровне телефонных провайдеров не используются специальные проверки, то звонящий может подставить абсолютно любой номер телефона. Конечно, если перезвонить на подставленный номер, то вы попадете к нужному абоненту, но при входящем звонке подлинность номера, высвечивающегося на экране, вызывает сильные сомнения. Подобная схема позволила мошенникам заработать 45 млрд рублей за 11 месяцев в 2022 году. 

Теоретически любая АТС, которая связана с провайдером телефонной связи по протоколу SIP, может подставлять чужие номера. Если с настройкой АТС все понятно (их может делать любой специалист), то в уравнении есть еще одна неизвестная переменная – операторы связи. Почему абоненты, которые снова и снова совершают мошеннические звонки, не блокируются или хотя бы не фильтруются операторами связи? Во-первых, провайдеры телефонной связи до определенного момента не всегда обращали внимание на подобные вещи, а некоторые, как мы говорили ранее, даже предлагали подмену номера как корпоративную услугу.  Во-вторых, на втором-третьем шаге соединения технически может быть невозможно проверить была ли подстановка номеров ранее. Поэтому даже через сети ответственных провайдеров телефонии могла проходить часть мошеннических звонков. Как в нашем примере, когда звонок «из ФСБ» пришел через сеть одного из операторов большой тройки. Однако с мошенничеством начинают бороться всерьез.

Как законодательно пытаются закрыть ящик Пандоры? 

С 1 января 2022 года в Федеральный закон «О связи» были внесены некоторые изменения, а именно в 9 пункт статьи «Обязанности операторов связи». И что же там новенького? 

«Оператор связи, с сети связи которого инициируется телефонный вызов, обязан передавать в сеть связи другого оператора связи, участвующего в установлении телефонного соединения, в неизменном виде абонентский номер, выделенный на основании договора об оказании услуг связи абоненту, инициировавшему телефонный вызов».

Если переводить на человеческий язык, то при соединении абонентов операторы связи могут показывать только тот номер звонящего пользователя, который выделен ему по договору. То есть звонить с номера Voximplant и подставлять номер абонента МегаФон, считается нарушением закона. 

Эта юридическая сторона вопроса мошенников по понятным причинам не пугает. Кроме закона нужна еще возможность проверять любые звонки - джентльменам, конечно, принято верить на слово, однако, если техническая возможность совершить мошенничество есть, то такие попытки будут обязательно. Поэтому единственный вариант на 100% гарантировать отсутствие мошенничества, это запретить его на техническом уровне.

Более того, изменить протоколы связи на сотнях тысяч устройств невозможно, по крайней мере невозможно сделать это быстро. Но в некоторых странах мира с этим активно пробуют бороться с помощью дополнительных проверок и новых систем. Например, схема проверки подлинности номеров при соединении уже давно работает в Штатах. Для этого операторы используют SSL и TLS- сертификаты. В России же это будет работать немного по-другому. И вот как именно. 

Возьмем в качестве примера бедолагу Геннадия, который очень любит звонить бедным бабушкам и представляться сотрудником полиции. Геннадий звонит с номера Мегафон на номер абонента Билайн через мелкого провайдера телефонии, который не проводит никаких проверок. Если раньше звонок проходил, не вызвав подозрений, то сейчас, прежде чем дать звонку пройти, Билайн «постучится» в Мегафон и уточнит, действительно ли номер принадлежит оператору и звонок с этого номера совершается в данный момент. Эта проверка будет реализована с помощью отдельной информационной системы и не потребует замены основной массы оборудования. Если Мегафон определяет звонок как невалидный, он автоматически прерывается. Геннадий остается ни с чем, а бедная бабушка спасена. Однако надо понимать, что полностью номер не блокируется – это невозможно и вообще незаконно, отсекается лишь конкретный звонок. 

Система, которая остановит таких Геннадиев, будет внедряться централизованно на уровне операторов связи. Для ее работы необходимо межоператорское взаимодействие, подрядчиком разработки которой выступает «Главный радиочастотный центр». Финальных сроков у создания такой системы пока нет, как и точного исполнителя. Но, если верить кулуарным договоренностям, такую ответственность на себя возьмет МТС, который изначально разработал эту систему для внутреннего пользования. Появиться система должна в 23-24 гг.

Кстати, а что тогда с маскингом? 

С помощью маскинга действительно можно скрыть реальный номер абонента, подставив другой, но здесь есть принципиальная разница с Геннадием. При маскинге компания подставляет свои же номера, реальные и легально купленные. Более того, многие компании приобретают услугу маскинга номеров в другой стране во избежании платы за связь по международным тарифам. 

Получается, что все в безопасности?

Как бы грустно это ни звучало, но подобная система не отсечет полностью мошенников от обыкновенных пользователей – операторы не могут сказать лишь по номеру телефона, мошенник ли на том конце провода. Если система будет работать так, как задумано, телефон будет проверяться лишь на техническое соответствие правилам. Однако мошенники могут покупать номера пачками, используя сим-карты, которые любят бесплатно раздавать у метро. Более того, мошенники могут использовать международные номера, например, закрепленные за Казахстаном – они также начинаются на +7.  

Хотя отсечь полностью мошенничество почти невозможно, операторы связи смогут с большей уверенностью понимать, кто находится на той стороне провода, и постепенно отсекать возможность маскироваться под банки или другие крупные организации. 

Комментарии (212)


  1. XanderBass
    00.00.0000 00:00
    +1

    До сих пор не понимаю, что мешает операторам связи использовать в работе ANI, а не CallerID? Можно сделать даже общую базу сопоставлений ANI и CallerID. Ну, это так - чисто мысли вслух.


    1. leramnk Автор
      00.00.0000 00:00

      Передаваемая информация о вызываемом абоненте ("super" Caller ID), которая используется специальными службами (милиция, скорая помощь и т.д.), некоторыми провайдерами телефонной связи, и телефонными компаниями для билинговых целей не может быть заблокирована. Обычно она не предоставляется обычным пользователям, кроме как в случайных случаях, ну вы понимаете ☻


      Вообще можно сделать специальный заголовок и обязать всех его использовать, а звонки без него просто сбрасывать, но опять же – это должны делать все сразу)


      1. Hardcoin
        00.00.0000 00:00

        Не обязательно. Сначала можно год штрафовать всех, кто не передаёт и только потом начать сбрасывать.


    1. edogs
      00.00.0000 00:00

      А что делать с международными звонками? Писать номер неопределился?


      1. vikarti
        00.00.0000 00:00

        А это уже меньше проблемы — если видно что номер НЕ Российский то уже не скажещь что "можете сами проверить на сайте ФСБ" :)


      1. leramnk Автор
        00.00.0000 00:00
        +2

        Тут дело в том, что российские системы и договоренности с международными звонками как минимум на старте работать не будут, поэтому с международкой все останется как было + международные звонки по ряду причин менее успешны для мошенничества:

        • народ не верит что ФСБ звонит например с Украины (первые цифры - 38) т.е. потребуется придумывать новые схемы

        • международные звонки дороже


  1. arozhankov
    00.00.0000 00:00
    +23

    Всего то лишь надо привлекать операторов к ответственности за соучастие. И не будет ни раздачи сим карт, ни безпроверочных соединений.

    Но о чем я вообще. Мошенничество декриминализируют. Мошенникам просто пофиг на смешное наказание.


    1. vconst
      00.00.0000 00:00
      +8

      Всего то лишь надо привлекать операторов к ответственности за соучастие

      Мы живем не в правовом государстве


      1. kommandor
        00.00.0000 00:00
        +4

        Не знаю в каком государстве вы живёте, я вот в правовом


        1. vconst
          00.00.0000 00:00
          +6

          Это легко проверить
          Выйдите на красную площадь и разверните "плакат" вообще без всякого текста. Или даже просто сделайте вид, что держите его — раздвинув руки


          Я могу рядом с секундомером постоять


          1. Dolios
            00.00.0000 00:00
            +4

            Может предыдущий оратор в Норвегии живет?


            1. vconst
              00.00.0000 00:00

              Может он просто методичку зачитывает?


              1. ornic
                00.00.0000 00:00
                -1

                Т.е. про "выйдите с пустым листом" - это не методичка, да? :)


                1. vconst
                  00.00.0000 00:00
                  -1

                  Нет, это реальный случай. Его уже отпустили


            1. 0xd34df00d
              00.00.0000 00:00
              +2

              В Норвегии можно присесть за слова, включая сказанные в частной обстановке.


          1. Walker99011
            00.00.0000 00:00
            +2

            Интересно, кому Вы будете звонить, когда попадете в ДТП. Или будете самосуд устраивать?


            1. vconst
              00.00.0000 00:00
              -1

              //смотрит профиль
              Ещё один провокатор с методичкой


              То есть, за то, что менты помогают разруливать ДТП (на самом деле — скорее нет, чем да) — даёт им право на все остальное?


            1. AlexVist
              00.00.0000 00:00

              Не обижайтесь. Но часто полицейские тролли пишут эту коронную фразу "к кому будете обращаться, если что?". Конечно, как законопослушные, и по текущим нормам и правилам будем обращаться в полицию. И это не важно, что погоны и оружие носят так же откровенные садисты и извращенцы, воры и грабители. )) https://www.youtube.com/watch?v=8J4LvCK8GVI


            1. 0xd34df00d
              00.00.0000 00:00

              Позвоню в свою страховую.


              А, раз пошла такая пьянка, что вы будете делать, если к вам домой полезет вооружённый грабитель?


              1. Areso
                00.00.0000 00:00

                А) попробовать застрелить его из охотничьего ружья или зарезать топором

                Б) позвонить в полицию, и сказать, что происходит вооруженное ограбление, позязста, приезжайте скорее.

                В) расслабиться и получать удовольствие


                1. 0xd34df00d
                  00.00.0000 00:00
                  -1

                  Но вы не исходный комментатор, намекающий на офигенную важность полиции!


          1. 0xd34df00d
            00.00.0000 00:00

            А можно без плаката? Вот, моя любимая родина 1984: Army vet fined for silent prayer (for his late son) in PSPO zone near abortion facility in Bournemouth. "I'm sorry for your loss, but ultimately, we have to go along with the guidelines of the PSPO..."


            У всех свои красные площади.


            1. vconst
              00.00.0000 00:00
              -1

              Можно в двух словах и по-русски? :)


              1. 0xd34df00d
                00.00.0000 00:00

                Чувак молча стоял и беззвучно молился относительно недалеко от абортария, чуваку за это выписали штраф. Даже плакаты никакие не нужны, можно просто стоять и шевелить губами.


                1. vconst
                  00.00.0000 00:00

                  И таких было много, ибо там любят "стоять у абортариев", наверняка приходил "стоять" он почти каждый день и все такое


                  В России его бы скрутили вчетвером, потом избили бы в автозаке, потом сутки пытали бы в обезьяннике, потом вменили бы "нападение на полицейского" и "неподчинение", потом пару месяцев пытали бы в СИЗО. Потом отпустили би и сказали — ты легко отделался


                  1. 0xd34df00d
                    00.00.0000 00:00

                    И таких было много, ибо там любят "стоять у абортариев", наверняка приходил "стоять" он почти каждый день и все такое

                    Это вообще никак не отличается от провластных товарищей с аргументами «ну он на самом деле не только с плакатом стоял, но и матом разговаривал» или вроде того.


                    Ну и да, если бы он там приходил почти каждый день, то копы в видео бы про это как-то упомянули бы, наверное.


                    В России его бы скрутили вчетвером, потом избили бы в автозаке

                    Правовое государство — это когда за стояние на улице выписывают штраф, а не скручивают вчетвером и избивают. Правда, тогда непонятно, зачем разделение на правовые и неправовые государства, если оба наказания достаточны, чтобы большинство сидела дома, ело еду из госхолодильника и смотрело гоств, ну да ладно.


                    потом сутки пытали бы в обезьяннике, потом вменили бы "нападение на полицейского" и "неподчинение"

                    Ну а чё, наверняка ведь пытался отбиться от ареста и доказать, что он невиновен. То же самое как «наверняка приходил "стоять" он почти каждый день.»


                    потом пару месяцев пытали бы в СИЗО.

                    Ту чувиху с воблой пытали в СИЗО? Я как-то пропустил все подробности истории.


                    1. vconst
                      00.00.0000 00:00

                      Ну и да, если бы он там приходил почти каждый день, то копы в видео бы про это как-то упомянули бы, наверное.

                      Да с чего бы?


                      Правовое государство — это когда за стояние на улице выписывают штраф, а не скручивают вчетвером и избивают

                      Серьезно, не видите разницы между одним штрафом и парой недель пыток??


                      Ту чувиху с воблой пытали в СИЗО

                      Без понятия, не следил. Просто наслушался о том, как избивали и пытали обычных людей, не замешанных в газетной шумихе


    1. Kanut
      00.00.0000 00:00
      +9

      Тут только надо учитывать одну мелочь. Если вы заставите всех операторов что-то делать, то они вряд ли будут оплачивать это из своего кармана. То есть они просто переложат расходы на пользователей.

      Это не значит что так в принципе нельзя делать. Надо просто сначала хотя бы бы примерно прикинуть как плюсы, так и минусы таких решений.


      1. leramnk Автор
        00.00.0000 00:00

        конечно, кажется, что поэтому никто и не спешит интегрировать решение, которое хоть как-то поможет рядовым пользователям.


        1. Kanut
          00.00.0000 00:00
          -1

          Во первых вопрос только в том что вы понимаете под "рядовыми пользователями". То есть если какая-то проблема у всех пользователей, то это одно дело. Если проблема у 0,000001% пользователей это другое дело.


          И опять же если из-за решения проблемы у всех пользователей абонентка подскочит на 0,000001%, то это одно дело. Если на 100%, то совсем другое.


          А может вообще дешевле, проще у правильнее всего будет не трогать операторов, а решит проблему как-то по другому. Например улучшив безопасность авторизации трансакций у банков. Или дать больше денег полиции чтобы они успешнее раскрывали такие преступления. Или, как бы смешно это не звучало, просто покрывая ущерб отдельных людей из бюджета.


          И никто не говорит что вообще ничего не надо делать. Просто прежде чем что-то делать стоит подумать что конкретно.


          1. leramnk Автор
            00.00.0000 00:00
            +2

            кажется, что проблема с мошенническими звонками не настигла разве что людей, у которых вовсе нет мобильных телефонов, поэтому будет странно увеличивать абонентскую плату, когда решается всеобщая проблема, в том числе и операторов (они же теряют деньги, клиентов и т.д.)

            более того, проблема же не только в банковским системах безопасности, кто-то наверху высказал интересную мысль - не могут мошенники так долго работать безнаказанно, если только это не выгодно кому-то еще кроме них:)


            1. Kanut
              00.00.0000 00:00
              -1

              поэтому будет странно увеличивать абонентскую плату, когда решается всеобщая проблема

              С чего это вдруг. По такой логике вообще мобильная связь должна быть бесплатной. Ведь она решает всеобщую проблему и странно за это брать абонентскую плату.


              Если решение проблемы стоит денег, то за это кто-то должен платить. От этого никуда не деться.


              1. leramnk Автор
                00.00.0000 00:00
                +1

                вы хотите сказать, что ваша безопасность не должна быть включена в стоимость мобильной связи и платить за сохранность данных стоит отдельно?)


                1. Kanut
                  00.00.0000 00:00

                  Не вижу с чего вы это взяли. Она вполне себе может быть включена в стоимость мобильной связи. Но платить за неё всё равно кто-то должен. Сама по себе она из воздуха не возьмётся.


                  1. leramnk Автор
                    00.00.0000 00:00

                    кажется, что вендор, предоставляющий услуги, обязан о ней беспокоится, ведь мы, как пользователи, уже платим за сервис. В идеальном мире платить за сохранность данных не представляется нормой:)


                    1. Kanut
                      00.00.0000 00:00

                      кажется, что вендор, предоставляющий услуги, обязан о ней беспокоится, ведь мы, как пользователи, уже платим за сервис.

                      Почему это он обязан? И даже если, то почему он обязан делать это себе в ущерб?


                      В идеальном мире платить за сохранность данных не представляется нормой:)

                      Вообще не проблема. Правда тогда в вашем идеальном мире скорее всего просто не будет телефонной связи.


                      1. leramnk Автор
                        00.00.0000 00:00
                        +2

                        мне казалось, наоборот - если приходит к врачу, не платишь за стерильность инструментов отдельно, а платишь сразу за все услуги "Прием у специалиста". Также должно работать и у операторов связи. Услуга есть услуга.


                      1. Kanut
                        00.00.0000 00:00

                        Нет. Если вы приходите к врачу, то есть закон, который обязывает его стерилизовать инструменты. И вы за это платите.


                        Если убрать закон, то вы сможете выбирать нужно ваши инструменты стерилизовать или нет. И второй вариант будет дешевле.


          1. maledog
            00.00.0000 00:00

            Или дать больше денег полиции чтобы они успешнее раскрывали такие преступления.

            А они прям, бедные, за идею работают. И если вы дадите им денег, то из чьего кармана будут вынуты деньги? Кто бюджет наполняет?


            1. Kanut
              00.00.0000 00:00

              И если вы дадите им денег, то из чьего кармана будут вынуты деньги? Кто бюджет наполняет?

              Ну так вопрос что будет дешевле.


              1. maledog
                00.00.0000 00:00

                Да без разницы. Раздуют штат и посадят сверху еще одного генерала, это в лучшем случае.


    1. Kwisatz
      00.00.0000 00:00
      +2

      Я очень много общался с нашим оператором телефонии, их дрюкают совершенно нереально, еле успевают отбиваться, особенно хреново стало сейчас когда мобильные операторы стали налево и направо добавлять в черные списки "спам номера".

      Все дело в том что оператора мошенников искать нужно а в силу целого ряда причин этого не делается. Ну вот например с теми же "спам номерами" стали пачками блокировать городские номера легальных коллцентров занимающихся подтверждением заказов итд Причем закономерность выяснить не удалось, узнается постфактум и через претензию блок снимается. Но при этом количество спама, причем реального, от самих опсосов только увеличилось.


      1. maledog
        00.00.0000 00:00

        Ну-ну. Почему-то когда начинаешь пробивать номера очередных "служб безопасности" с кодом 495 почему-то выходишь на конкретных мелких провайдеров, которые перепродают одни и те же блоки номеров спамерам и мошенникам.


      1. izuru_hitachi
        00.00.0000 00:00
        +2

        Они в спам попадают из-за холодного обзвона. Вот позвонит мне кто-то на мобильный, да начнёт рекламу втюхивать. Я сразу вспомню ФЗ "о рекламе", да накатаю жалобу своему мобильному оператору. Больше меня звонки с этого номера не беспокоят, а я доволен.

        И меня совершенно не должно волновать, что это был номер какого-то крупного колл-центра, ну вот вообще не должно.


        1. Kwisatz
          00.00.0000 00:00

          Как раз если бы попадали изза холодного обзвона, это бы удивление не вызывало, в том то и дело что нет, а номер доставали из спама уже несколько раз. Для сравнение количество абуз по транзакционным письмам того же колцентра 1 на 50 000 писем.

          Я тоже люблю ФЗ "о рекламе" но вот билайн и мтс достали уже так что мочи просто нет, по ходу пора в суд. Что это, некоторые перед законом "ровнее"?

          Заодно @maledog отвечу: дак в том то и суть. Вычислить проблемы нет, очень давно нет, все лица известны, звонки идут сотнями тысяч.

          Вообще во всю эту чушь про спам, которую постоянно пишут перестаешь верить после первого же квеста с пробросом номера между провайдерами с соблюдением всех требований.


    1. SerjV
      00.00.0000 00:00

      Но о чем я вообще. Мошенничество декриминализируют. Мошенникам просто пофиг на смешное наказание.

      То есть вы хотите сказать, что самые главные соучастники заседают прямо в <аж страшно сказать где, это ж может на "экстремизм" потянуть> ?


    1. blind_oracle
      00.00.0000 00:00

      Всего то лишь надо привлекать операторов к ответственности за соучастие

      Так можно и на себя выйти :)


  1. CodeRush
    00.00.0000 00:00

    del


  1. safari2012
    00.00.0000 00:00
    +4

    Я обычно, когда есть настроение поразвлекаться, некоторое время поддерживаю беседу с мошенниками. Чаще всего звонят из "Управления МВД". Мой вопрос "какое именно управление? их там много..." чаще всего ставят мошенников на некоторое время в тупик и они отвечают "Управление МВД России" :)


    1. leramnk Автор
      00.00.0000 00:00

      да! еще очень любят позвонить из Центрального банка и, как Питер Пэн, решать дела простых граждан:)


      1. CosmicRave
        00.00.0000 00:00

        Лол. Буквально пару часов назад набирали оттуда. Прикол. Я типа важный ферзь????


      1. Maxim-8
        00.00.0000 00:00
        +1

        Они же специально так делают, чтобы не тратить время на умных.


    1. Darkhon
      00.00.0000 00:00
      +5

      Вроде ж лучше вообще с ними не разговаривать, так как целью может быть получение образца вашего голоса?


      1. stalinets
        00.00.0000 00:00
        +1

        Поэтому у меня наготове старая пранкерская нарезка фраз неадекватных пенсионеров. Громкость компа повыше, телефон сую микрофоном в амбушюр наушника и кидаю файлики пожёстче в окно mp3-плеера, развлекаюсь. А если не до того - просто подставляю телефон под динамик радио, пусть с радиоведущим общаются.


        1. blind_oracle
          00.00.0000 00:00
          +2

          "Опять начинаешь, гребаный шакал?!"


      1. tukreb
        00.00.0000 00:00

        а если со всеми не знакомыми номера общаться зажав нос?


      1. Refridgerator
        00.00.0000 00:00
        +5

        Я наоборот стараюсь разговаривать подольше. Чем больше мошенник потратит времени на меня, тем меньше потратит времени на более доверчивых товарищей. Ну и заодно неплохая практика в софтскиллах.


        1. konst90
          00.00.0000 00:00

          Да и вообще это смешно. Мне вот какая-то девушка "из МВД" не далее как сегодня пыталась доказать, что преступление - это правонарушение, за которое предусмотрена уголовная ответственность (спойлер - верные определения даны в 14 УК и 2.1 КоАП).


      1. leramnk Автор
        00.00.0000 00:00

        надеемся, что такая технология еще недоступна нашим мошенникам, но точно знаем, что отвечать "Да"/"Нет" не стоит, потому что эта запись может дать доступ к банковским данным
        хотя странно, проверку кодовым словом и паспортными данными никто не отменял же:)


    1. engine9
      00.00.0000 00:00
      +6

      А у меня прикол — отвечать на все их реплики "ну". Через десяток сообщений скрипты у них в голове ломаются.


  1. im_last
    00.00.0000 00:00

    Подобная схема позволила мошенникам заработать 45 млрд рублей за 11 месяцев в 2022 году

    С такой движухой давно можно было уже свой протокол разработать, который бы запрещал вообще любые махинации в телефонии. Что-то вроде Rust, только в телефонии, но без unsafe.
    Какой нибудь UltraSafeSip :D что бы даже если бы хотел, не смог бы ничего намутить, а кто не подключен к протоколу, вообще звонок не могут осуществить, не хотите подключаться к системе - ну и не работайте тогда.


    1. leramnk Автор
      00.00.0000 00:00

      интересная мысль, надо прикинуть, сколько займет все это воплотить в жизнь и завести миллион бумажек, где это все прописано – без этого, к сожалению, никак)


    1. event1
      00.00.0000 00:00
      +1

      Просто гонять SIP строго через TLS с аутентификацией по клиентским сертификатам. А сертификаты выдавать по паспорту


      1. Areso
        00.00.0000 00:00
        +2

        Карточки тоже выдают по паспорту, но что-то пошло не так...


        1. vikarti
          00.00.0000 00:00

          Карточки (пусть и с лимитом) выдают по телефону, с чуть большим лимитам по паспортным данным (даже не скану).



    1. beerchaser
      00.00.0000 00:00

      Проблема не в SIP, при подключении через Е1 имеется точно такая же проблема. Контроль исходящего номера возможен только в точке подключения к ТФоП, т.к. соединяющиеся стороны знают, какие номера должны быть в потоке. Если контроль отсутствует, то номера могут быть любыми.
      Возможны и другие забавы. Например когда оператор заворачивает к вам в поток чужие исходящие (не на Ваши номера). В этом случае имеется возможность прописать на Вашей АТС соответствующий входящий номер и составить разговор. :)


  1. vmkazakoff
    00.00.0000 00:00
    +9

    Простой, но рабочий совет – если вы оказались в подобной ситуации, а в глубине души появилась хоть толика сомнений, кладите трубку и самостоятельно перезванивайте в банк, полицию и даже ФСБ на официальные номера. 

    Не так. Всегда. Вообще всегда надо просить номер на который можно перезвонить. Никаких или тут быть не может. Никаких сомнений - если это не звонок с номера знакомого которого вы знает по голосу и обсуждается не поездка на дачу то сразу перезваниваете. Ну или используйте второй фактор проверки.

    А решение на самом деле простое и не следует новых законов. Я как пострадавший продаю в суд на своего оператора. Если он знает откуда пришел звонок то он привлекает к разбирательству третью сторону. Та четвертую. И так до тех пор пока обвиняемым не окажется тот самый гендир мелкого оператора который барыжил симками без проверки паспорта и позволял подменять номера.


    1. leramnk Автор
      00.00.0000 00:00
      +1

      по поводу правосудия через органы здесь высказали очень много интересных мнений на этот счет, можно присмотреться)


      1. ornic
        00.00.0000 00:00

        Большинство высказывавшихся, подозреваю, на своё счастье об органах знают только из нижнего интернета.

        Там вот ниже прямо очень показательный диалог того, кому все что-то должны и того, кто (хотя бы немножко) понимает как всё устроено.


    1. rombell
      00.00.0000 00:00
      +6

      Достаточно давно, но не думаю, что что-нибудь поменялось, имел сомнительное удовольствие общаться с финмониторингом нескольких банков первой десятки.
      Им нельзя перезвонить, в принципе. Свои номера не дают, коллцентр с ними не соединяет. На вопрос "как мне убедиться, что вы те, за кого себя выдаёте", мне говорили не выпендриваться, и либо сразу блокируют счёт, либо у меня есть шанс.


      1. konst90
        00.00.0000 00:00
        +1

        Да, я когда ипотеку получал - мне такие (надеюсь) звонили с целью проверки.


    1. Nemezis_SF
      00.00.0000 00:00

      Идея правильная по хорошему именно так и надо. Но боюсь не сработает, никто даже запариваться не будет, оператор вообще заявит, что он не несет ответственности за абонентов и на этом боюсь все закончится. Хоть и жаль.


    1. myhambr
      00.00.0000 00:00

      Мелкий оператор не продаёт симки, а заключает договора на аренду номеров с доступом по SIP. С юрлицами или ИП. Оператор должен взять на себя функции следователя и ввести уголовную проверку деятельности ООО до момента заключения договора ? Так эта левая ООО там всё что угодно нарисует, и даже сайт создаст какого-нибудь псевдомагазина, чтобы получить вожделенные номера.

      Так что не надо перекладывать ответственность следователей на мелких операторов, у них таких функций и компетенций нет и не будет.


  1. Fen1kz
    00.00.0000 00:00

    Знаем, что чаще, чем спойлеры к последнему сезону «Игра престолов»

    Странная отсылка, последний сезон игры престолов вышел 4 года назад


    1. leramnk Автор
      00.00.0000 00:00

      зато всем понятная)


      1. Fen1kz
        00.00.0000 00:00

        Я вот подумал что и статья старая или писалась несколько лет назад


        1. leramnk Автор
          00.00.0000 00:00

          нет-нет, просто сериал, видимо, запал в душу:)


      1. PTM
        00.00.0000 00:00
        +1

        не всем... я вообще без понятия что это... знаю что это сериал и всё...


        1. a35012a
          00.00.0000 00:00

          A спойлер в том, что в последнем сезоне слили сценаристов


          1. leramnk Автор
            00.00.0000 00:00

            жестоко! ☻


        1. leramnk Автор
          00.00.0000 00:00

          вот! сериал же знаете)


          1. PTM
            00.00.0000 00:00

            ) гуглить то умею как минимум


  1. ElVibrio
    00.00.0000 00:00
    +4

    Большинство граждан живёт с хорошо привитым чувством вины и ощущением бесправности.

    Этому способствует насаждаемый патернализм и желание дистанцироваться от неких структур, отчасти из воспитанной уличной романтики, отчасти из недоверия.


  1. fo_otman
    00.00.0000 00:00
    +9

    Мошенники уже много лет названивают всем россиянам. И ни разу никого не поймали. Вывод? В этой схеме участвуют самый верх государства - ФСБ, Сбербанк, полиция. Иначе давно бы всех мошенников поймали и закрыли. Столько бы майоров стали полковниками.


    1. TimsTims
      00.00.0000 00:00
      +6

      Вывод? В этой схеме участвуют самый верх государства - ФСБ, Сбербанк, полиция.

      Напомнило мем, как Шерлок отгадывает пароль от WiFi: "Синяя помада на столе, дверца шкафа приоткрыта, запах сладкого одеколона... Ну конечно, пароль от wifi: p@s$w0rd !"

      А если серьезно, то если они никого ещё не поймали, то можно сделать огромное количество предположений, но не выводов. Выводы делаются на основе логических заключений, когда все остальные варианты исключены. Например я могу ещё накинуть предположений, почему ещё не поймали:

      1) Нарушители находятся вне юрисдикции РФ. Банально в той же Украине.

      2) Нарушителя найти не удаётся, т.к. для сокрытия ip-адреса используется сеть подставных серверов (VPN), в том числе за границей.

      3) Как уже было сказано, нарушители вероятно используют своих мелких провайдеров, которые предоставляют услуги телефонии и подстановки номера. На бумаге всё чисто - вот договор, вот обязательство предоставление телекоммуникационных услуг. А чем занимался абонент - вообще то не дело оператора. Оператор вообще не имеет права подслушивать разговоры, за это ему ещё больше прилетит. Заранее знать, кто из его новых клиентов мошенник - оператор не может (хотя есть куча техник от тех же банков).

      4) Может да, какие-то сотрудники правоохранительных органов не чисты на руку, всё спалили, и про всех всё знают, стригут кассу.

      5) Могу ещё 100500 предположений сделать, но на основе них всё-равнонельзя сделать никаких выводов.


      1. Ksoo
        00.00.0000 00:00
        +6

        Ваши варианты имели бы место, если бы деньги налом воровали, и контробандой вывозили из страны.

        А тут безналом десятки миллиардов рублей в год уходят, и МВД и ЦБ ничего не могут сделать.


        1. edogs
          00.00.0000 00:00
          +2

          Все уводы денег в целом сводятся к выводу на дропов.
          Что с этим можно поделать? Ограничить клиентов банков в снятии своих же денег? Так пойдет волна возмущений "мои деньги банки зажимают и крутят". Сделать обязательную задержку перевода в неделю, допустим? Так пойдет волна возмущений "все тормозит что они там деньги улитками возят".
          Фильтровать дропов? Каким образом? Дискриминируя по внешнему виду? По другим субъективным факторам? А потом пойдет волна возмущений на "синдромы вахтера", мол "я усталый в банк пришел счет открыть, а мне отказали".
          Качественного фильтра тут сделать принципиально невозможно, потому что любой шаг в защиту "доверчивых клиентов" будет аукаться людям которые хотят адекватно пользоваться банковской системой, без параноидальных и субъективных фильтров.


          1. Areso
            00.00.0000 00:00
            -1

            Мне кажется, что дроп на то и дроп, что у него явный паттерн поведения сводится к тому, что:

            1) полученные бабки тут же снимает. Ок, получил зарплату, снял. А если не зарплату? Можно и заморозить снятие таких денег на сутки.

            2) либо пересылает дальше. Но рано или поздно их надо обналичить, либо вывести из страны. С обналичкой см п.1, с выводом из страны аналогично. Хочешь отправить куда-то зарубеж бабки, которые тебе только что пришли п2п переводом? Подожди сутки, милок.


            1. edogs
              00.00.0000 00:00

              На что конкретно должны уйти эти сутки?
              На решение суда? Потому что по закону других причин запрещать распоряжение своими деньгами (а деньги на счету = свои деньги) нет. Фантастика.
              На заявление отправителя о том что деньги надо вернуть и сам возврат? Будет обратное мошенничество, Вам переведут деньги, Вы успокоитесь (отдадите сделанную работу, отдадите товар), а деньги возвращаются.

              Хочешь отправить куда-то зарубеж бабки, которые тебе только что пришли п2п переводом? Подожди сутки, милок.

              "Милок" он ровно до тех пор, пока это не Вы:) А когда из-за этих лишних суток Вы потеряете деньги из-за прыжка курса или просто не сможете их отправить из-за изменившихся правил переводов за рубеж или влетите на штрафы за несвоевременное погашение кредита, то у Вас скорее начнется отношение "почему я из-за доверчивых людей должен страдать".

              дроп на то и дроп, что у него явный паттерн поведения

              Далеко не всегда, а пожалуй даже редкость. Карту оформляют на дропа, потом с ней бегает обычный человек и совершает обычные покупки и обычные переводы, может даже кредит взять и платить его какое-то время. Банкам лишние проблемы тоже не нужны, на блок влететь не сложно


              1. Areso
                00.00.0000 00:00
                -1

                Потому что по закону других причин запрещать распоряжение своими деньгами (а деньги на счету = свои деньги) нет

                Деньги в банке - не ваши деньги, а деньги банка. И банк может вам их выдать на определенных условиях.

                К примеру, если вы попробуете снять свои* доллары в РФ, то сильно удивитесь. Или к черту доллары, попробуйте два ляма рублей своих снять.

                На заявление отправителя о том что деньги надо вернуть и сам возврат?
                Будет обратное мошенничество, Вам переведут деньги, Вы успокоитесь
                (отдадите сделанную работу, отдадите товар), а деньги возвращаются.

                Будет такое - будет обмен за нал, будут договора и прочая.

                "Милок" он ровно до тех пор, пока это не Вы:) А когда из-за этих лишних
                суток Вы потеряете деньги из-за прыжка курса или просто не сможете их
                отправить из-за изменившихся правил переводов за рубеж

                "Свои"* деньги это "свои"* деньги, мы тут ведём разговор за дропов. У дропа вполне четкая обязанность - обналичить или передать дальше по цепочке. Причем обналичить не свои, а свежеполученные от другого(!) человека. Есть достаточно четкий профиль поведения, и источника средств, который указывает на то, что данная персона - дроп. Если вы снимаете зарплату - вы, в теории, можете быть обнальщиком, но точно не дропом в мошеннических п2п переводах. Если у вас лежал свой* лям на депозите, а потом вы его решили снять - то это тоже не сценарий дропа.

                несвоевременное погашение кредита

                Дропы, которые гасят свой кредит? Ну, может быть где-то существуют такие, но это не случай по умолчанию.

                ---

                Сутки - вполне достаточный срок, чтобы заблокировать деньги на счёте (если поступит таковая жалоба), и отправить обоих людей в суд или в полицию - и там пусть сколько надо, столько и разбираются.


                1. edogs
                  00.00.0000 00:00
                  +6

                  Деньги в банке - не ваши деньги, а деньги банка

                  По закону - деньги на счету это деньги владельца счета. 845 и 847 гк рф, да и в целом тот раздел ГК.
                  Обсуждение вне правовых рамок бессмысленно, т.к. тут полет фантазии ничем не ограничен.

                  Дропы, которые гасят свой кредит? Ну, может быть где-то существуют такие, но это не случай по умолчанию. ... .. (куча сценариев). ... не сценарий дропа.

                  Успешный мошенник практически ничем не отличается от честного человека ровно до момента когда он скрывается с деньгами. Именно в похожести на реального человека и есть его секрет успеха.
                  Поэтому - таки да, дропы берут и гасят кредиты, оплачивают ноутбуки в магазинах вместо вывода нала, платят за коммуналку, переводят деньги по поводу и без, открывают фирмы и так далее и тому подобное.

                  Сутки - вполне достаточный срок, чтобы заблокировать деньги на счёте (если поступит таковая жалоба), и отправить обоих людей в суд или в полицию - и там пусть сколько надо, столько и разбираются.

                  Отличная идея. Вам переведут старый долг 10млн, поступит жалоба и идите в полицию - разбирайтесь там 3 года по судам, пока вокруг девальвация, инфляция, обрушение рынков, банков. Главное ведь что потом полиция разберется и когда выяснится что жалоба необоснованая- Вам отдадут Ваши 10млн, купите на них беляшь:)

                  Ваше предложение в принципе аннулирует сам смысл отправки кому-либо денег. Какой практический толк от денег которые пришли к Вам на счет, если фактически без согласия отправителя Вы не можете ими распоряжаться? С тем же успехом можно было бы и не отправлять их.


                  1. Areso
                    00.00.0000 00:00
                    -1

                    Обсуждение вне правовых рамок бессмысленно, т.к. тут полет фантазии ничем не ограничен.

                    Законы - мертвая бумага, если не смотреть как они исполняются. А исполняются они с кучей звездочек и полёт фантазии банка на земле реально чем ограничен, а вот ограничения банка на владельца счёта обычно не укладываются на один лист.

                    И я не вижу никакой проблемы планировать операции так, чтобы были лишние сутки, а не впритык.

                    Впрочем, спорить дальше я не вижу смысла. Вашу позицию я понял, думаю, вы мою тоже уже поняли.


                    1. Kanut
                      00.00.0000 00:00

                      И я не вижу никакой проблемы планировать операции так, чтобы были лишние сутки, а не впритык.

                      А кто-то другой видит. Или вот для примера а почему вы считаете что именно ваше решение самое лучшее? Ведь гораздо безопаснее будет если просто все трансакции надо будет авторизировать лично придя в банк. В принципе так в куче стран мира люди жили 10-15-20-30 лет назад когда никакого онлайн-банкинга не было.


                      То есть такое в принципе тоже не то чтобы невозможно планировать. Давайте снова так будем делать :)


                      1. Areso
                        00.00.0000 00:00

                        Или вот для примера а почему вы считаете что именно ваше решение самое лучшее?

                        Возможно, оно не самое лучшее, но лучших решений я пока не вижу.

                        Тем более, во многих местах hold на 24 часа реализован, вписан в соглашения, и, в общем-то, действительно работает, уменьшая размер проблемы.


                      1. Kanut
                        00.00.0000 00:00
                        +1

                        Возможно, оно не самое лучшее, но лучших решений я пока не вижу.

                        Например законодательно повесить ответственность за мошенничество по умолчанию на банки. Как это делается в куче стран мира.


                        И тогда как по волшебству исчезают скрытые галочки на "онлайн-кредиты" в договорах. И появляются адекватные методы авторизации переводов. И так далее и тому подобное.


                      1. Areso
                        00.00.0000 00:00

                        Например законодательно повесить ответственность за мошенничество по умолчанию на банки. Как это делается в куче стран мира.

                        Как представитель пролетариата, я всегда за. Однако боюсь, что мы вернёмся к

                        Ведь гораздо безопаснее будет если просто все трансакции надо будет авторизировать лично придя в банк.

                        Что будет абсолютно законно, и прописано в договоре с банком.


                      1. Kanut
                        00.00.0000 00:00

                        Что будет абсолютно законно, и прописано в договоре с банком.

                        По опыту других стран скорее нет чем да. Потому что этот вариант для банков один из самых невыгодных. Потому что надо держать кучу дополнительного персонала и филиалов.


                        То есть какой-нибудь трёхфакторной авторизации с паролем, биометрией и адекватной привязкой к железу вполне достаточно для того чтобы это перестало быть проблемой.


                        А в банк достаточно будет лично приходить только если например хочешь что-то в договоре поменять. И даже это в общем-то опционально если банк готов слегка рискнуть.


                      1. Areso
                        00.00.0000 00:00
                        +1

                        То есть какой-нибудь трёхфакторной авторизации с паролем, биометрией и адекватной привязкой к железу вполне достаточно для того чтобы это перестало быть проблемой.

                        У меня коллега бывший живёт в Югославии Сербии. Там банковское приложение было написано студентом на летней практике в 2012 году и с тех пор не обновлялось. Конечно, в Сербии денег нет, но

                        сам получил зарплатную карту на Кипре (ЕС), и здесь банковское приложение едва ли сильно лучше, хотя и сильно новее и даже умеет в биометрию (или не умеет, потому что у большинства не получается пройти). Но о какой безопасности и актуальности идёт речь, если местные до сих пор пользуются чековыми книжками, а перевод идёт 3 рабочих дня? И лишь недавно сроки переводов сократили.

                        И ничего, никто не стонал, что ему там ипотеку платить :)

                        Это всё условности, имхо. А крутилка безопасность-удобство легко крутится в нужную сторону по желанию банка и клиенту деваться будет некуда.


                      1. Kanut
                        00.00.0000 00:00

                        Я не знаю как выглядят законы в Сербии и на Кипре. Но если там ответственность за трансакции лежит на банке, то какая вам как пользователю разница насколько безопасно приложение?


                        То есть если что-то случится, то всё за счёт банка. Не ваши проблемы.


                        Ну либо там тоже ответственность не на банках и тогда это не особо хороший пример.


                      1. Areso
                        00.00.0000 00:00

                        либо там тоже ответственность не на банках и тогда это не особо хороший пример.

                        Ну вот, видите, мы дошли до торга: если ответственность на банке, то 3 рабочих(!) дня уже норм, а если на клиенте, уже не норм.


                      1. Kanut
                        00.00.0000 00:00

                        Ну вот, видите, мы дошли до торга: если ответственность на банке, то 3 рабочих(!) дня уже норм, а если на клиенте, уже не норм.

                        Я не уверен что "3 рабочих(!) дня" там именно по причине безопасности.


                      1. Areso
                        00.00.0000 00:00

                        Почти уверен, что не по причине безопасности.

                        Но если бы риск лежал бы на банке, то и 3 дня вроде норм, и дают "оперативный" простор схватиться за голову и подать на розыск и отзыв платежа.

                        И деньги до их зачисления на счёт еще точно не клиента-получателя, что еще удобнее. Нужно лишь отменить поручение на оплату и вуаля, всем всё хорошо.


                      1. Kanut
                        00.00.0000 00:00

                        Но если бы риск лежал бы на банке, то и 3 дня вроде норм, и дают "оперативный" простор схватиться за голову и подать на розыск и отзыв платежа.

                        Но это не обязательное условие. То есть можно иметь и быстрые переводы и безопасность. Одно другого не исключает.


                      1. edogs
                        00.00.0000 00:00

                        сам получил зарплатную карту на Кипре (ЕС),

                        И ничего, никто не стонал, что ему там ипотеку платить :)

                        Это на Кипре, несколько лет назад, больше 300 баксов не снять кэшем было, не говоря уже о постриженных депозитах и других ограничениях? Точно хотите как на Кипре?:)


                      1. vikarti
                        00.00.0000 00:00

                        И даже тогда — была такая вещь как чеки. И чековые книжки. И система кое как работала.


                      1. edogs
                        00.00.0000 00:00

                        Именно что кое-как. Чек по сути был не более чем долговой распиской. Если ты приходил в банк его обналичить, а денег на счету у выписавшего чек не было - то увы, денег ты не получал.


                    1. edogs
                      00.00.0000 00:00
                      +1

                      И я не вижу никакой проблемы планировать операции так, чтобы были лишние сутки, а не впритык.

                      Сутки только в том случае если отправитель не собирался Вас кидать.
                      В противном случае не сутки, а по Вашим же словам "отправить в суд - и сколько надо, столько и разбираются.", при том что Вы буквально только что сказали " Законы - мертвая бумага ", то есть не только сроки получения денег не регламентированы в Вашей схеме, но и сам факт их получения под сомнением.


                      1. Areso
                        00.00.0000 00:00

                        Мы сейчас боремся с мошенниками "Ака главное управление ФСБ по ЦБ, переведите нам денех, а если их нет возьмите кредит и переведите его нам" или про кидание отправителями?

                        Мы живём в несправедливом мире, любая сделка - особенно с "контрагентом", которого видишь в первый и в последний раз - несёт определенный риск. Не готовы нести конкретно этот риск - просите налик. С наликом тоже есть риск - поддельные купюры, неправильная сумма (ака "заломы").

                        Но сделки с контрагентами - это другое. Совсем. Если вы ничего не продаёте и не оказываете услуги, то у вас этот риск находится в районе нуля; а вот "ГУ ФСБ по ЦБ/СБ вашего банка" звонит почти всем по несколько раз в месяц, независимо, продает человек что-то или нет.

                        Некоторые вон, скриншоты в фотошопе с "отправленными" деньгами фотошопят, и кто-то на это даже ведётся.

                        К примеру, я сейчас плачу за аренду, и мой платёж идёт 3 рабочих дня. Условие владельца - что к определенному числу, прописанному в договоре, мой платёж должен быть зачислен на счёт его юрлица. И это не его проблема, а моя.


                      1. edogs
                        00.00.0000 00:00

                        любая сделка - особенно с "контрагентом", которого видишь в первый и в последний раз - несёт определенный риск.

                        Именно поэтому надо просто не посылать деньги "на деревню дедушке", а не городить неудобноваримые и рискованные схемы с отзывом платежей потому что "левая нога захотела".


            1. vikarti
              00.00.0000 00:00
              +1

              Если не зарплата (формально) а перевод средств от ИП?(а по смыслу таки зарплата, ИП свое)?
              Вывод из страны — а если он внезапно не SWIFT'ом с которым куча проблема а через обменник на крипту? Для банка — выглядит как P2P перевод внутри России с карты/qiwi
              Кстати речь про календарные сутки, 24 часа с момента перевода или про 1 рабочий день? Если третья — то если деньги пришли вечером 30-го декабря — привет блокировка на почти полмесяца. Если первое — по какому часовому поясу эти сутки считаются и как быть если клиент начнет жаловатся что сутки в его часовом поясе прошли а нифига?
              Как должна система учитывать переводы от ИП Вася Пупкин физлицу Васе Пупкину? Как учитывать ситуации когда деньги зарабатывает один человек а домом занимается другой (и даже фамилия не та) и просто раз в неделю скидывается на расходы (и часть из этого да — снимается)(совместные карты — не вариант, неудобно). Как быть если платеж по кредиту из-за этого подвис? Вообще платеж по кредиту считается датой платежа или датой разблокировки? Кстати а если допустим счет в банке в минусе и банк очень хочет(и получает) вот прям сейчас а то штраф? и так далее. Кстати а как быть с оплатой в магазинах — она тоже блочится? Если нет — как ее потом откатывать если что, если да — получаем опять жалобы что не сработала оплата хотя деньги есть и отключился интернет/кофточки красивые в магазине кончились и так далее и кто виноват?


              Кстати, а зачем при схеме с блокировкам вообще нужна СБП? Обычный банковский перевод по нормативам 3 рабочих дня идет, а реально обычно максимум на следующий рабочий день приходит.


              1. Areso
                00.00.0000 00:00

                Кстати а как быть с оплатой в магазинах — она тоже блочится?

                Регулярно вижу захолденные платежи, которые я совершал в магазинах. Разблокируются в пользу продавца, как правило, сами.


                1. vikarti
                  00.00.0000 00:00

                  Это совсем другое.
                  Речь про ситуацию когда деньги пришли на счет, заблокировались по схеме выше. Были использованы для оплаты чего нибудь картой, прилетал холд на сумму и тут выяснилось что надо делать откат прихода денег на счет… но вот только если банк уже дал повесить холд в рамках оплаты картой, решить внезапно что списать нельзя просто так — он не имеет права. Имеет право инициировать чарджбэк но нужны основания (при этом "мы тут решили что денег у клиента реально не было" это НЕ основание) и этот процесс совсем не гарантированный. Также, бывают случаи (обычно на маленькие суммы, но есть некоторые ситуации когда будет на большие) когда холд не прилетает а прилетает сразу списание, с задержкой. Если у клиента денег реально нет — он попадает в теховердрафт а деньги платит банк и потом решает с клиентом.
                  Но вот только если при откате пополнения счета загонять в теховердафт то что делать если/когда выяснится (см другие ответы на исходный коммент) в суде что откат не очень то корректный был — клиент попал на комиссии и штрафы, их с кого списывать? С клиента? А в честь чего? С того кто инициировал некорректный откат?
                  А банкам нужны риски теховердрафтов на ровном месте, из-за которых точно будет повышенное количество судов?


        1. georgevp
          00.00.0000 00:00

          Помнится старая байка о том, что американцы искренне считали, что бензин с водой не смешивается. До приезда эмигрантов из СССР. Да и Остап Ибрагимович, с его 200-ми способами сравнительно честного отъема денег у населения, не подкачал. К чему я? Находчивость изобретателей всяких схематозов всегда опережает машину правоохранительных органов независимо от страны. Разница в скорости наступления неотвратимости наказания.


          1. leramnk Автор
            00.00.0000 00:00

            кстати, да! кажется, что если бы мошенников пригласили в органы, как в фильме "Поймай меня, если сможешь", то получился бы очень интересный результат


        1. TimsTims
          00.00.0000 00:00

          Ваши варианты имели бы место, если бы деньги налом воровали, и контробандой вывозили из страны.. МВД и ЦБ ничего не могут сделать.

          Нет, извините, но так рассуждения не ведутся. Нельзя строить свои утверждения лишь на том, что у кого-то (МВД/ЦБ) гипотетически есть техническая возможность найти человека (дропа).
          Если вы утверждаете, что кто-то кого-то покрывает, то предоставляете конкретные доказательства - кто и когда брал.

          То, что сейчас переводами с карты на карту итд можно совершать мошенничества - так это творится не только в России, так по всему миру. Вы наверняка видели фильмы, где преступники, которые взяли людей в заложники просят перечислить (Перечислить, КАРЛ! Цифровым методом!) деньги на свой счет в каком-то банке! Представьте, что весь мир видит, как злодей убивает людей, ему таки переводят деньги по реквизитам в какой-то банк, и эти деньги уже никому не становятся доступными (кроме злодея). Там тоже все продажные сволочи, которым лень пойти в банк, и попросить их не выдавать деньги злодею?

          Так вот к чему я. Везде есть правила игры. Как выше верно написали - деньги выводятся через кардеров. Это когда приходит в общагу человек, платит 5 тысяч каждому студенту, который пойдет и откроет себе сразу 5 счетов в самых крупных банках, и закажет себе там премиальные карты (у которых лимит снятия побольше), подключит интернет-банки, и передаст все карты ему. Деньги мошенники переводят такому студенту, мошенник в балаклаве снимает деньги в уличном банкомате, и пропадает. А все стрелки указывают на бедного студента.

          Какой вывод вы теперь можете сделать? Действительно ли можно утверждать, что все в МВД-ЦБ-ФСБ-ИТД такие продажные/ленивые не хотят работать, всех преступников покрывают, или схема с кардерами - и правда проблема?

          и МВД и ЦБ ничего не могут сделать

          И вот, вы кажется уже пришли к неким выводам). Как минимум, что первоначальный ваш вывод про крышевание на самом верху государства - не поддается критике. *Upd: извините, первоначальный вывод был не ваш.


          1. Kenit
            00.00.0000 00:00

            Я вот только одного не понимаю, в чём проблема вздрючить этого бедного студента, на которого всё указывает, по всей строгости. Пара тройка показательных их как ветром сдует. А уж за что будет варьироваться в каждом конкретном случае, от причинения вреда по не осторожности до организованной преступной группы.


            1. myhambr
              00.00.0000 00:00

              Студент не виновен в том, что всего лишь оформил сим карту и банковскую карту и отдал их другим людям.


              1. Areso
                00.00.0000 00:00

                Он же их не просто так отдал, а за деньги.

                А за деньги - значит был умысел.


    1. Beo
      00.00.0000 00:00
      +2

      Мой вам совет: не используйте кванторы всеобщности при выдумывании информации. Это сразу выдаёт идиотский фейк, ведь достаточно одного опровержения.

      Например, Куйбышевский суд Санкт-Петербурга недавно вынес приговор по 44 подобным звонкам. Аналогичные истории вы можете легко найти, изучая дела по статье 158 УК РФ в разных судах страны.


      1. Kenya-West
        00.00.0000 00:00
        -5

        Куйбышевский суд Санкт-Петербурга недавно вынес приговор по 44 подобным звонкам

        И ни по одному делу следователи не вышли на самих себя? Странно.

        Выводы, кто "крышует" эти звонки и мошенников, делайте сами.


    1. Alexey2005
      00.00.0000 00:00
      +3

      Кстати, есть такой расхожий миф, что якобы значительная часть подобных звонков приходит из тюрем. В 2021-м году ФСИН даже специальные меры по ликвидации тюремных колл-центров якобы предпринимала.

      Если принять данный миф за правду, то становится понятным, почему таких мошенников невозможно посадить - они ведь уже и так сидят.


      1. vadimk91
        00.00.0000 00:00

        ФСИН даже специальные меры по ликвидации тюремных колл-центров якобы предпринимала

        В нашем районе в исправительных учреждениях глушилки поставили, как результат жильцы рядом расположенных домов стали жаловаться даже на проблемы с WiFi, не то что с сотовой связью.


        1. konst90
          00.00.0000 00:00
          +1

          А зачем ставить глушилки, если можно пресекать появление в камерах телефонов и возможности их зарядки?


          1. Kanut
            00.00.0000 00:00
            +1

            Наверное потому что пресекание не особо хорошо работает. Например потому что поставить глушилку это решение начальника тюрьмы и он чист как стёклышко. А "пресекают появление " отдельные надзиратели и они могут брать взятки.


          1. vadimk91
            00.00.0000 00:00

            Видимо "так положено", при входе за периметр все сотрудники УФСИН, а тем более посторонние, обязаны сдавать телефоны. Сотрудники общаются исключительно по рации.


        1. vikarti
          00.00.0000 00:00

          А что делает Роскомнадзор в ответ на жалобы? Это ж (а не защита взрослых от аниме) их изначальная прямая работа — решать проблемы с помехами.


          1. vadimk91
            00.00.0000 00:00

            imho туда никто и не жалуется, т.к. большинство жителей этих домов в структуре ФСИН и работают... территориально это маленький поселок / удаленный от города район с ИК и несколькими домами для сотрудников.


    1. event1
      00.00.0000 00:00
      +2

      Мошенники названивают не только россиянам. Тоже уже давно. Беглый гуглёж показывает, что американские граждане попали в сумме на 30 млрд за 21-ый год. Там тоже никого не поймали. Таким образом, исходя из вашей логики, мы необходимо приходим к выводу, что схема курируется международными структурами. Видимо, ООН и МСЭ.


  1. ifap
    00.00.0000 00:00
    +8

    Если раньше звонок проходил, не вызвав подозрений, то сейчас, прежде чем дать звонку пройти, Билайн «постучится» в Мегафон и уточнит, действительно ли номер принадлежит оператору и звонок с этого номера совершается в данный момент.

    Я одного не пойму: а как до сих пор операторы между собой расчитывались, если не знали, кто (чей абонент) на самом деле звонит? Вот, скажем, я Вымпелком и моему абоненту поступает звонок с горячей линии ФСБ, т.е. городской московский, т.е. Ростелеком. В конце месяца я выставляю счет Ростелекому и... а) он неглядя оплачивает, б) он посылает меня далеко и надолго, а я утираюсь что ли? Если вариант б, то почему ко мне 100% звонко не приходило с подменой номера, если а - то почему я еще не единственный опсос, когда все остальные разорились?


    1. TimsTims
      00.00.0000 00:00

      Думаю там работают договоры на честном слове. Помню в начале нулевых соседу пришел огромный счет, за международные звонки. Кто-то для звонка его номер использовал. Доказать кажется не смог, всё на честном слове...


    1. Kanut
      00.00.0000 00:00
      +2

      Хм, интересный вопрос. Но если я всё правильно понял из статьи, то мы имеем "цепочку" по которой звонок "передаётся" от оператора к оператору. И соседние звенья этой цепочки всегда знают друг друга.

      То есть для расчёта между операторами ведь неважно с какого номера там действительно звонили. Важно от какого оператора пришёл звонок.


      1. konst90
        00.00.0000 00:00

        То есть при желании можно по цепочке отследить звонок.


        1. Kanut
          00.00.0000 00:00
          +1

          По идее да. Как минимум до оператора.

          Правда при условии что действительно протоколируется каждый отдельный звонок со всей информацией. А не скажем только общие объёмы трафика от отдельных операторов для последующих расчётов.


      1. ifap
        00.00.0000 00:00

        Насколько я помню объснения, почему ничего поделать нельзя - это потому, что номер подменяют и установить, кто на самом деле звонил следствие никак не может. Конечный оператор тоже должен знать реального звонившего, кто и заплатит за звонок в конечном счете. Иначе на каждом углу стояли бы темные личности с "клонированными симками", как в 90-е.


        1. Kanut
          00.00.0000 00:00
          +2

          Конечный оператор тоже должен знать реального звонившего, кто и заплатит за звонок в конечном счете

          Не особо понимаю зачем ему нужно знать номер звонящего. Грубо говоря его интересует объём трафика и оператор от которого ему пришёл звонок. И он может просто выставить счёт этому оператору и остальное его не интересует.


          1. ifap
            00.00.0000 00:00

            Конечный оператор - на том конце, оператор чей абонент звонит.


            1. Kanut
              00.00.0000 00:00
              +1

              А, ок. Ну да, он знает настоящий номер. Но тот кому позвонили будет жаловаться своему оператору или на своего оператора. А вот у него уже этой информации может и не быть.

              И если вся "цепочка" грамотно не запротоколирована, то он эту информацию и не получит.


        1. vikarti
          00.00.0000 00:00

          Клонировать симку сейчас нельзя.
          Дыры в алгоритмах шифрования закрыли.
          Даже штатно (когда клиент хочет именно клон и оператор не против) — нельзя (у белорусов можно — https://www.mts.by/help/dopolnitelnye-uslugi-i-servisy/podklyuchenie/chto-takoe-twin-karta/ )


          1. ifap
            00.00.0000 00:00

            Потому у меня это и стоит в кавычках.


    1. d-stream
      00.00.0000 00:00
      +1

      Есть соединение оператор-оператор и вот по трафику в этом соединении операторы между собой расчитываются.

      Ну а мошенники - находят неумного оператора, который не фильтруя а-номер транзитом передает дальше (а в транзите уже по определению asis идёт инфа).

      Если представить условных операторов а и б - то в среднем между ними (по их стыкам) пролетает примерно равное количество жульнических звонков и баланс около нуля.. Это если не считать того что жульнический трафик в общих объёмах - околонулевой.


      1. ifap
        00.00.0000 00:00

        Т.е. неумный оператор знает, кто это звонит, но не передает инфу дальше и выступает по сути анонимайзером. Но сам-то при этом знает и "невозможность" найти звонящего объясняется исключительно ленью правоохренителей?


        1. d-stream
          00.00.0000 00:00

          Собственно да - неумный (злоумышленный) оператор так и делает.

          Но вот момент - он вообще может находится в произвольной юрисдикции... Или транзититься через таких.

          Притом по сути кроме него все остальные операторы в цепочке транзита - добросовестные и политика "трахать по цепочке" применительно к ним - не очень корректна. Да и даже искать - нет у операторов прав и функций выполнять оперативно-розыскные меропртятия и требовать от коллег сенситивную информацию...

          Хотя как я слышал операторы полуформально ведут списки нечистоплотных операторов и полуформально с ними борятся


          1. ifap
            00.00.0000 00:00

            Понятно, спасибо. Не очень корректно, но другого выхода не вижу: на ком цепочка оборвалась - тот и водит. Но при этом должно быть законное основание футболить тех операторов, кто не передает (корректно) реальный номер. Потому что вся эта полулегальщина объяснима: с одной стороны - ничестоплотность и нежелание в этом участвовать, а с другой - связность сети и обязательства по пропуску трафика, за нарушение которых можно и лицензию на стол положить.


            1. d-stream
              00.00.0000 00:00

              Да, не очень приятная схема "назначения" виноватыми.

              А так - операторы как раз-таки корректно и неизменно передают этот самый номер. И даже тот самый конечный оператор на голубом глазу может заявлять что он передал этот номер... Скромно умолчав что дал спамеру операторский стык вместо абонентского подключения. А поймать за руку - сложно.


  1. kareon
    00.00.0000 00:00

    Мне вот другое непонятно. Почему, при всем развити телекоммуникаций, невозможно придумать некий секьюрный протокол специально для госструктур или корпораций, когда проверяется - откуда, из какой физической подсети пришел звонок? Условно, есть кабель, идущий в Сбербанк - и вот только звонки с этого кабеля и считаются сбербанковскими. Или какую-нибудь схему шифрования, когда после получения звонка от "сбербанка" провайдер связывается со специальным сервером в Сбербанке и проверяет, а был ли звонок и давала ли настоящая служба безопасности Сбербанка права на коммуникации с этого номера. А далее провайдер ставит уже в Caller ID некий признак "проверено", как замочек в браузере.

    Просто в корпоративных коммуникациях все это давным-давно реализовано. Например, нелегально послать письмо с официального домена сбербанка - задача нетривиальная.


    1. Kanut
      00.00.0000 00:00
      +2

      Проблема не в придумать. Проблема скорее в том чтобы сделать это повсеместным стандартом.


      1. Kiborg777
        00.00.0000 00:00
        +3

        В США в последние два года внедрили SHAKEN/STIR.

        Вначале его внедрили крупные операторы, потом мелкие. В течение двух лет большинство операторов внедрили SHAKEN/STIR (иначе если не используешь, то звонки не пройдут). Сейчас звонков с подменой номера или совсем нет или они помечаются на смартфоне, как спам. Да, можно купить SIP номера оптом, но подменять номера уже не получается.


        1. Kanut
          00.00.0000 00:00

          Я не утверждал что это невозможно. Только что придумать такой протокол это не основная проблема.


          1. Kiborg777
            00.00.0000 00:00
            +3

            Kaк оказалось, проблема внедрить SHAKEN/STIR большинству операторов оказалась решаемой, в масштабе 330-миллионной страны в течение нескольких лет. Я тоже не верил, но сейчас на мой мобильник и мобильник жены практически перестали поступать спам-звонки. Раньше - несколько звонков в день (robocalls), сейчас - где-то раз в неделю, причем без подмены номера.

            Причем из-за необходимости принимать звонки из-за границы, чтобы исключить false positives (иногда бывает), я в настройках оператора указал "помечать звонок как спам, но не обрубать", то есть какие-то звонки до меня доходят, но на экране появляется "spam call". Где-то раз в неделю, как я сказал, пробивается один спаммер.


            1. vikarti
              00.00.0000 00:00

              А вот я не очень понимаю другое — почему в России нельзя было этот же STIR/SHAKEN задействовать? Что там такого сложного? Или реализация на практике закрытая?
              А почему США не хотят его пропихнуть как международный стандарт? Или опять политика и проблемы из серии "а у кого корневой центр сертификации?"


              1. Kanut
                00.00.0000 00:00

                А почему США не хотят его пропихнуть как международный стандарт?

                Например потому что другие страны либо просто не имеют такой проблемы, либо нашли для себя другой вариант решения.


              1. event1
                00.00.0000 00:00

                Есть RFC. На практике, чтобы внедрить такое дело каждый оператор должен купить/настроить оборудование, которое будет добавлять сертификат при приёме звонка от абонента и проверять сертификат при приёме звонка от другого оператора. Операторы такого не хотят, потому что это стоит денег. Причём, без отдачи: люди не отказываются от мобильной связи из-за мошенников


    1. vikarti
      00.00.0000 00:00

      Систему должны все поддерживать.
      Со Сбербанком и почтой работает только потому что они реализовали общие для того чтобы почтовый сервер получателя мог проверить от кого это, и решить что делать с письмом.


      А в корпоративных коммуникация реально безопасных — я вот вспоминаю ситуацию с моей рабочей почтой. Просто отправить письмо вовне — можно ой мало кому (в нашей команде product owner так может и все), получить извне — с некоторых пор тоже не очень просто.
      Ах да, чтобы почту внутреннюю почитать (или отправить) — коннектимся к секурному VPN через токен, запускаем VDI-клиент, запускаем outlook внутри виртуалки. Все просто и удобно. И враг не пройдет!..
      Только люди, кому эта виртуалка не нужна для других целей, почему то могут днями не читать почту.


  1. Corsonamor
    00.00.0000 00:00
    +1

    Билайн «постучится» в Мегафон и уточнит, действительно ли номер принадлежит оператору и звонок с этого номера совершается в данный момент.

    Т.е. достаточно будет найти достаточно занятую линию, с которой обзванивают абонентов и правильно угадать оператора?

    Или какого-нибудь сотрудника с возможностью позвонить с того номера в нужный момент.

    Ещё, если принять во внимание, что люди гуглят телефон, достаточно будет сделать похожий сайт, где разместить нужный телефон.

    Кмк меры недостаточны


  1. FakeOctopus
    00.00.0000 00:00
    +1

    Не понимаю почему проблема в номере. Проблема в голове. На телефоне высвечивается номер и что? Переписывать номер лезть в интернет и проверять номер? А если нет под рукой компьютера. А если этого номера нет в списке? Я вообще не смотрю на номер. "Лейтенант Пётр Петрович" будет мной послан с любого номера. А у вас есть "правильный" номер лейтенанта? Так же как и служба безопасности банка. А если номер "правильный" то вы всему поверите?


    1. vanxant
      00.00.0000 00:00
      +6

      Прикол в том, что "службы безопасности банка" иногда реально звонят, и, кто бы мог подумать, по делу. Например, мой банк мне звонил при снятии наличных в банкомате во внезапной стране, когда я ещё бывал в отпусках в разных странах.


      1. vikarti
        00.00.0000 00:00

        Мне просто при покупке (на где то половину доступной на карте суммы) звонили как то — но вот только на тот момент покупка была завершен и если бы ответ с мой стороны был "не могу эту тему обсуждать, напиште хоть на e-mail контактный или в чат в приложении" то… и что? Автоматический чарджбэк по желанию банка на основании слов клиента по телефону и без заявления клиента?
        Просто блокировка карты до визита в офис?(ближайший офис этого банка в ~10 минутах пешком)


      1. qyix7z
        00.00.0000 00:00
        +1

        Мой банк 10 лет назад просто блокировал карту и звонил уже я. И хотя я тогда сильно матерился, когда приходилось кроме кодового слова отвечать почти по всем ПД, известным банку, сейчас я понимаю, что это было безопаснее, чем исходящий от банка.


        Вообще практика: сначала блокировка, а потом разбирательство (инициированное клиентом!) гораздо безопаснее, чем звонки от банка с уточнениями.


        1. vanxant
          00.00.0000 00:00
          +1

          Ага, и вы можете очень красиво влететь по вине банка, если, например, вы едете в аэропорт, и у вас карту блокируют при попытке купить билет на электричку до аэропорта.


          1. qyix7z
            00.00.0000 00:00
            +1

            Почему «можете»? Я ж говорю, уже влетал. Приехал в другую страну, банкомат, наличные, блокировка. И так несколько раз было в разных странах по миру. Первый раз сильно неприятно, но зато потом готов к такому повороту. Хотя бы уже тем, что не держишь все яйца деньги на одной карте.


            1. Areso
              00.00.0000 00:00

              в этом плане у Т было круто: пишешь боту, собираюсь в такую и такую страны с такого-то по такое.


              1. qyix7z
                00.00.0000 00:00

                Не у всех так. Я лично приходил в офис и говорил: еду туда-то, поставьте галку не блокировать. Но у них уже тогда был супер-пупер-ии, поэтому мне отвечали: мы не можем никак повлиять на нашу автоматическую систему, если она считает в морг фрод, значит — фрод. Однако через пару поездок то ли они допилили систему, то ли она сама обучилась на моих поездках, то ли отказались от ии — блокировки прекратились.


        1. vikarti
          00.00.0000 00:00

          То то последние месяцы на vc вал постов на тему того что банк блокирует карту и счет и либо требует кучу странного либо… просто явится в офис лично. Вот только клиент — вне России и покидал ее слегка внезапно.


          1. qyix7z
            00.00.0000 00:00

            Посмотрите глазами банка: клиент всю жизнь все транзакции из РФ, затем вдруг вход с иностранного IP и совершенно нехарактерная транзакция. Ну чем отличается от мошенников?
            А уж со снятием блока каждый горазд на всю голову.


            1. Areso
              00.00.0000 00:00

              А банки не знают, что что-то случилось?) Ну, новости там не смотрят...


              1. qyix7z
                00.00.0000 00:00

                А в новостях пишут про каждого Иванова И.И., что он "слегка внезапно покинул"? И должны ли банки мониторить новости в этой части?


                1. Areso
                  00.00.0000 00:00

                  Зачем про каждого? Но то, что определенная часть среднего класса немного поуехала слышал даже грузчик :)


                  1. qyix7z
                    00.00.0000 00:00

                    Зачем про каждого?
                    А как иначе понять сам Иванов И.И. делает транзакцию из-за рубежа или мошенники? На основании, что «часть среднего класса немного поуехала»?


                    1. Areso
                      00.00.0000 00:00

                      3d secure?


                      1. qyix7z
                        00.00.0000 00:00

                        Давайте почитаем:

                        3-D Secure — протокол, используемый как дополнительный уровень безопасности онлайн-кредитных и дебетовых карт, для двухфакторной аутентификации пользователя.
                        Какими такими кредитными и дебетовыми картами, выпущенными нашим банком в РФ, пользуется наш условный Иванов за рубежом?
                        Максимум, что Иванов может сделать за рубежом — это открыть приложение банка и сделать перевод из него, например по СБП.

                        Давайте я еще раз объясню, на что тригеррится банк (по моему имхо):
                        Иванов в РФ ходил в пятерочку, оплачивал жкх, рестораны и кино. Платил по 150 руб. по сбп за сигареты и т.п. Потом вдруг бац и крупный перевод денег физлицу, инициированный с иностранного IP (например покупка крипты, но банку это неведомо, он только перевод физлицу видит).
                        Другими словами резко нарушены поведенческие паттерны по мнению антифрод системы банка.


                      1. Areso
                        00.00.0000 00:00

                        Окей, тогда OTP.

                        Что я знаю - пароль от моего банка клиента

                        Что я имею - симку или заранее рабочую связку телефон-приложение банка, которые генерируют мне TOTP.


                      1. qyix7z
                        00.00.0000 00:00

                        Еще раз: Клиент легитимно входит в приложение, например, через смс, но с необычного IP и с неожиданной транзакцией. Это типично для ситуации, когда мошенники уболтали клиента и он сообщил код из смс.
                        Если развели на код из смс, то и ОТР получат. Технические средства защиты бессильны против социнженерии. Дополнительная защита от такого — антифрод и блокировка.


                      1. Kanut
                        00.00.0000 00:00

                        Технические средства защиты бессильны против социнженерии.

                        Вы может быть не можете полностью нейтрализовать социнженерию техническими средствами. Но вы можете при помощи технических средств очень усложнить её использование.


                      1. qyix7z
                        00.00.0000 00:00

                        Да, и тут возникает противоречие. Чем выше защита, тем менее удобно пользоваться. И тут у банка конфликт интересов. Его задача, чтобы Вы пользовались его услугами — читай: совершали транзакции больше и чаще. А защита этому сильно мешает.
                        Каждый банк ищет тут свой баланс с учетом нормативки.


                      1. Kanut
                        00.00.0000 00:00

                        Эээ, зачем банку нужно чтобы вы совершали транскрипции больше и чаще? Он у вас что за каждую отдельную транскрипцию деньги берёт?


                      1. qyix7z
                        00.00.0000 00:00

                        Извините, что вопросом на вопрос.
                        Банк бесплатно работает?
                        Ну хоть СБП возьмем. Есть лимит, после превышения которого следующие переводы пойдут с комиссией. Банк заинтересован, чтобы Вы превысили лимит.
                        Или перевод с карты на карту в другой банк — чаще всего сразу с комиссией, но конечно зависит от тарифов банка.


                        Если транзакция идет без комиссии банка, не стоит обольщаться, что она бесплатная, плата за нее включена в тариф.


                      1. Kanut
                        00.00.0000 00:00

                        Извините, что вопросом на вопрос. Банк бесплатно работает?

                        Нет. Но это не значит что он обязательно берёт деньги за трансакции. И что ему выгодно чтобы их было много.

                        Ну хоть СБП возьмем. Есть лимит, после превышения которого следующие переводы пойдут с комиссией. Банк заинтересован, чтобы Вы превысили лимит.

                        У меня счета в трёх разных банках. У жены ещё в одном. Никаких подобных лимитов нет ни в одном.

                        Если транзакция идет без комиссии банка, не стоит обольщаться, что она бесплатная, плата за нее включена в тариф.

                        Но тогда банку как раз не выгодно чтобы было много трансакций.


                      1. Areso
                        00.00.0000 00:00

                        Окей, тогда последняя линяя защиты - его собственное приложение. Грубо говоря, банк знает, подключался ли человек с этого телефона этим приложением или нет.


                      1. qyix7z
                        00.00.0000 00:00

                        с этого телефона этим приложением
                        IMEI? Откуда он у банка? Фингерпринт?
                        Ну допустим что-то такое. А если телефон сел/разбит и человек переставил симку? Или отдал свой айфон за место в очереди на Верхнем Ларсе, а по приезду вошел с компа и получил смс на старую кнопочную нокию?

                        Вариантов масса, суть одна — Иванов снова не отличается от мошенника.
                        Заголовок спойлера
                        Мне импонирует Ваша настойчивость :)


                      1. vikarti
                        00.00.0000 00:00

                        Какими такими кредитными и дебетовыми картами, выпущенными нашим банком в РФ, пользуется наш условный Иванов за рубежом?

                        У меня недавно (осень 2022) была необходимость за рубеж и обратно скататся (на очередь в Верхнем Ларсе посмотреть не получилось). Внезапно были транзакции:


                        • перевод денег со счета в банке на QIWI(а с киви на счет в теньге и дальше на оплату)
                        • снятия наличности (на тот момент там куда была поездка — вполне себе были банкоматы где выдавали местный нал по картам МИР). Насколько я в курсе — в некоторых других близких карта е — есть варианты но с Union Pay
                        • переводы сумм на счет мне, и почти сразу — снятие.
                        • все это — при заходе через местный интернет.

                        Да, один из двух банков карты которого использовались, теоретически мог быть в курсе что незадолго до этого — был врублен (просто про запас, реально местная sim использовалась) специальный роуминговый пакет на симке от MVNO этого банка


            1. vikarti
              00.00.0000 00:00
              +1

              Это я понимаю. Сейчас в очень близкой сфере.
              Но банк должен учитывать ситуацию и иметь штатную процедуру удаленной идентификации для таких вот случаев, пусть последний год их больше стало.
              Видеосвязь на что? Возможно — через предоставленное банком средство (обход дипфейков). Проверит что клиент реально уехал можно ж — билеты попросить показать (ну или хоть скриншот посадочного талона если он электронный) и визу(если визовая страна)? Придумать можно много что. Если думать.


      1. Nedder
        00.00.0000 00:00

        Представлялись как "Вы конечно будете смеяться нам не поверите, но мы правда из службы безопастности банка" ?


        1. vanxant
          00.00.0000 00:00
          +1

          Типа того. Дратути Имя-отчество, это имярек из банка А, сейчас было снятие с вашей карты в стране Б город В, подскажите это были вы или заблокировать карту? Ок, спасибо, извините за беспокойство.


    1. stalinets
      00.00.0000 00:00
      +4

      Мне вот один раз действительно звонили менты по делу. Мы с бригадой ночью ехали по трассе после починки порыва на кабеле, а в это время в деревне произошло изнасилование, и они искали и опрашивали тех, кто попал тогда в зону действия вышки связи в той деревне. Если б я его просто послал, не факт, что мне было бы потом лучше. Так я просто сходил к ним и объяснил (письменно) кто я и что там делал, а после посыла отношение ко мне могло бы быть менее доброжелательное)


      1. avegad
        00.00.0000 00:00
        +1

        Звонок, по делу, сильно отличается от звонка "не по делу", имхо. Огульно, "с порога", слать всё таки не стоит, лучше потратить несколько секунд(ципсошники быстро палятся), на выяснение обстоятельств.

        Если звонит "Главное центральное управление МВД по ЦФО", то оно идёт лесом, а вот если УМВД по N-ской области, расположенное по адресу N-ская ул. дом ZZ, то для успокоения совести, можно задать пару уточняющих вопросов и напроситься к следователю "живьём", и в 100% случаев, он согласится вас принять. Или сославшись на невозможность сейчас разговаривать(то же шум на улице) мешает, перезвонить по номеру управления, через несколько минут , и попросить соединить с следователем, который вам только что звонил, опять же соединят 100%.

        Я использую оба варианта.


        1. Gradiens
          00.00.0000 00:00
          +4

          За последний месяц пообщался вразнобой с реальными представителями власти и с мошенниками.

          Понял, что еще звонок по делу отличается от мошенников непередаваемой интонацией звонящего. Реальные участковые, следователи и т.д. имеют определенную проф. деформацию. По голосу чувствуется, что человек... ну просто залюбился на работе. Он грустный и уставший. Он хочет поскорее разделаться с этим неинтересным делом, он бы не звонил, но вот, приходится. Но при этом человек обличен властью, это тоже невольно прорезается

          Мошенники - тоже деформированы, но по-другому. По голосу сразу понятно, что им от тебя что-то надо. Что они переигрывают. Раздувают серьезность происходящего. Чего-то сразу требуют. Пугают.

          Понятно, что идея различать их по голосу - так себе. Это просто любопытное наблюдение.


      1. Gryphon88
        00.00.0000 00:00

        Насколько я помню закон "О полиции", все следственные мероприятия только лично. Т.е. или вызывают вас повесткой, или лично приезжают. Собсна, потому люди и ведутся на звонки из УВД и ФСБ, потому как милиции и сбшникам закон не писан.


  1. karavan_750
    00.00.0000 00:00
    +4

    Требуйте долива после отстоя пены от мошенников установления доверительного диалога путем перевода 10к$ на ваши реквизиты. Если мошенник не в состоянии подтвердить свою надежность, то не тратьте на него время - он пустышка.


  1. AstorS1
    00.00.0000 00:00

    Автор, сказали "А", говорите и "Б".

    К маю 2024 года заработает на сетях всех телефонных операторов федеральная система верификации вызовов, которая будет существенно усложнять схему подмены номера для конечных и транзитных операторов.

    Посмотрим, какие это даст результаты для всех нас. Операторы мобильной связи между собой уже с прошлого года обмениваются верифицированными вызовами из своей и смежной нумерации.


    1. leramnk Автор
      00.00.0000 00:00

      все верно, об этом мы и сказали в статье, но вот кто будет главным разработчиком и чем обернется для простых абонентов - вопрос)


  1. stalinets
    00.00.0000 00:00
    +3

    Всё равно варианты останутся. Будут на бомжей или тупо на поддельные паспорта регить симки и с них звонить. Будут использовать потерянные, украденные симки. Могут использовать фейковую микросоту рядом с жертвой (такой вектор атаки на Хабре вроде описывали, там стояла задача повторить ситуацию из какой-то игры, вроде WatchDogs, когда у всей толпы начинают звонить мобильники). Наконец, будут названивать через мессенджеры, а не через ТФоП. Прижмут звонки - будут аналогичные разводы с письмами по почте якобы из органов и пр.

    Надо работать над тем, чтобы наказание за любое нарушение закона было неотвратимым с вероятностью хотя бы процентов 70. Взять хотя бы дорожное движение: на дорогах творится вакханалия, иду по городу и за день вижу сотни нарушений, от поворотников и парковки до проезда внаглую на красный и быкования с угрозами, и год от года всё хуже. Почему? Безнаказанность. Хотя техническая возможность прекратить это давно есть: признайте криптографически подписанное видео доказательством, раздайте желающим официальные видеорегистраторы и платите 10% снявшему нарушение от выписанного по этому нарушению штрафа. И наступит железный порядок за неделю. Но не хотят. То же самое с этими звонками: наверняка органы могут положить мордой в пол все эти колцентры, но не хотят...


  1. Strange_R
    00.00.0000 00:00
    +3

    В сфере Интернет-нахлобучинвания ситуация не лучше. Запросто мошенники могут получить от reg.ru SSL-сертификат на фейковый сайт типа https://uslugifssp.ru/ , который сразу же перенаправляет на какой-нибудь фишинговый https://jxg6o.potemoh.xyz/ с заполнением данных банковской карты . Я с этим столкнулся сам. Долго искал куда надо обращаться - нашёл совет что надо сразу писать по 5-ти адресатам , включая отдел К и Роспотребнадзор. Первая реакция последовала лишь недели через 2, когда аферисты наверняка облапошили сотни доверчивых граждан и схема давно перестала работать. Это оппозиционеров ловят за считанные часы. Но к чести сказать представитель отдела К к концу 2-х недельного общения сообщил что они вышли на аферистов и готовят задержание. Чем дело кончилось я так и не узнал.

    Ответ reg.ru : Компания REG.RU не вправе самостоятельно применять санкции к доменному имени на основании претензий третьих лиц.  И далее в том же духе.

    И нет никаких механизмов проверки подозрительных сайтов, косящих под официальные государственные.


    1. blind_oracle
      00.00.0000 00:00

       Запросто мошенники могут получить от reg.ru SSL-сертификат на фейковый сайт типа https://uslugifssp.ru/ 

      Зачем так сложно? Letsencrypt сделает всё без участия мешков с мясом. Но это, в общем, и хорошо, иначе TLS было бы вообще не внедрить массово.


    1. Areso
      00.00.0000 00:00
      +1

      Рекомендую чуваков из Tg:in2security

      У них есть более/s рабочие варианты взаимодействия с российскими хостерами и регистраторами.

      Кидайте им, они дальше передадут по цепочке.


  1. JPEGEC
    00.00.0000 00:00
    +1

    Сколько раз, отвечая на звонок, вы слышали «Иван Иванов? Добрый день! Лейтенант Петр Петрович, главное управление МВД/ секретная служба безопасности Центрального банка России/ Следственный комитет/ подставьте свое»? Знаем, что чаще, чем спойлеры к последнему сезону «Игра престолов»

    Ни разу. Просто не принимаю звонки с неизвестных номеров.

    Элементарная гигиена.


    1. vadimk91
      00.00.0000 00:00
      +1

      Такой подход возможен, но далеко не всем и не всегда. Я тоже обычно не отвечаю на звонки с номеров не нашего региона (тут плюс, когда живёшь на периферии), но бывало, тебе например сказали, что по работе должны позвонить, а ты в солнечный день переходишь десяток жд путей и оп, звонит телефон, остановиться и рассматривать номер на экране не самое удачное решение, отвечаешь и слышишь очередного "следователя". Но эта песенка настолько заезжена, что даже скучно и тратить свое время я не буду.


    1. Kanut
      00.00.0000 00:00

      Просто не принимаю звонки с неизвестных номеров.

      Хорошо вам если вы так можете. Но это работает далеко не для всех...


    1. leramnk Автор
      00.00.0000 00:00

      ситуации бывают разные, согласитесь, но ваш подход отрежет бОльшую часть таких мошенников)


  1. slavanikolsky
    00.00.0000 00:00
    +1

    После получения курьером новой дебетовой банковской карты мой номер утек в сеть. И тут начались звонки со «СБ Банка», «Полиции» и тд. Разные способы пробывать. Из действенных оказалось только два:

    1. Вы совершали данную транзакцию? — это был Я. После такого ответа они не знают, что ответить.

    2. Ничего не отвечая сбрасывал звонок. Удивительно, но перезванивают.

    Самый забавный случай, когда мне звонили из «Управления МВД России» с Латвийского номера))


    1. ssj100
      00.00.0000 00:00

      Фраза «Управления МВД России» должна была затуманить ваш разум


    1. leramnk Автор
      00.00.0000 00:00

      была походя ситуация, но только с другим банком!
      а вы не боитесь брать зарубежные номера или просто из любопытства не сбросили?)


  1. Hait
    00.00.0000 00:00

    Мне мошенники начали на домашний названивать. Раньше просто по слитым базам звонили, а теперь, видимо, номера перебирают


  1. RKrop
    00.00.0000 00:00
    +1

    Подобная схема позволила мошенникам заработать 45 млрд рублей за 11 месяцев в 2022 году.

    А 45 млрд - откуда такая оценка? Просто видел инфу, что по данным ЦБ в целом за 2022 год сумма мошеннических операций составила 14 млрд., в том числе с использованием социальной инженерии - 9 млрд.

    Впечатляет количество использованных мошенниками телефонных номеров (из того же обзора ЦБ):

    В 2022 году Банк России направил операторам связи с целью принятия соответствующих мер реагирования 756 072 номера телефона, используемые злоумышленниками для хищения средств у граждан.


    1. leramnk Автор
      00.00.0000 00:00

      Цифра из статьи РИА Новости, а у них от замначальника Следственного департамента МВД России:) Но, знаете, цифры - вещь такая, которую всегда можно от источника к источнику видоизменять, поэтому взяли не среднюю по больнице, а внушительную


      1. RomanMamchyts1979
        00.00.0000 00:00

        Очевидно, из-за этого Ростелеком так серьезно и испугался, что купил систему фрод-безопасности, что утечки данных клиентов его Теле2 дальше приобретут крупномасштабный характер. У самого мобильная связь Теле2, так неоднократно звонили то "юристы", предлагавшие решить вопрос со счетом у паевого фонда моей покойной матери (а его никак не решишь, поскольку фонд признан банкротом, тем более мама на момент вложения туда уже была больна раком крови, а при онкологии никто наследнику ничего не должен в таком случае), то следователи СК, утверждавшие, что я привлекаюсь по статье за мошенничество. Из СК никому никогда не звонят, просто опера выясняют твое местонахождение и берут тебя под белы руки в подъезде где-нибудь, а потом уже разговаривают. Причем по имени-отчеству называли. Очевидно, имеет место утечка при обработке паспортных данных. При таком раскладе можно достаточно легко выяснить, что у человека умер близкий родственник и куда он вкладывал деньги, - у этих фондов, очевидно, тоже утечки - обычное дело.


  1. Gradiens
    00.00.0000 00:00
    +1

    Недавно тоже получил звонок от мошенников. Надо сказать, они прогрессируют. Попытка применить гипноз была хороша настолько, что решил нажаловаться на них в отдел "К" на сайте МВД. Благо доказать ст. 194 (самовольное присвоение звания или власти должностного лица) должно быть сильно проще, чем мошенничество.

    После подачи электронного заявления последовали звонки от реальных представителей власти. Заявление спустили моему участковому. С которым потом пришлось составлять бумажный протокол опроса.

    Блин.

    Вот что участковый может сделать, кроме как потерять время?


    1. leramnk Автор
      00.00.0000 00:00

      а вы еще далеко продвинулись, так что может все не зря! кстати, а запись разговора у вас осталась?
      надеемся на позитивный исход истории, держите в курсе, интересно)


    1. alexdevyatov
      00.00.0000 00:00

      В чем конкретно заключается "прогресс" мошенников? Любопытно узнать


      1. Gradiens
        00.00.0000 00:00

        О, разница между мошенниками прошлого и настоящего - радикальна. Приблизительно, как между одноголосым гнусавым переводом "Терминатора" из 90-х и профессиональной озвучкой "Аватара".

        Лет 5 назад у них были одинаковые простые скрипты и бесталанные исполнители. "Специалист безопасности Сбербанка" в лоб просил продиктовать все, что написано на карте с одной и с другой стороны.

        Сейчас они "работают" минимум в паре. Разводила + технарь. Возможно, еще коуч-психолог, но это не точно. Разводила имеет четко поставленный голос, прокачанную харизму и неплохие скрипты по работе с возражениями.

        Сейчас они не ограничиваются Сбером. На них можно напороться, продавая диван на Авито. И даже многочисленные "следователи" постоянно меняют тактику.

        На прошлой неделе на мне отработали цыганский гипноз. Представившись представителем власти, перегружали мой мозг запугиванием, потоком слабосвязанной информации, и параллельным потоком безобидных команд (возьмите ручку, запишите, проверьте фамилию в интернете). После загрузки мозга следовали вовсе небезобидные приказы.

        Зачетная была попытка, я почти впал в транс.

        Вот это я и называю "прогрессом", в плохом смысле этого слова.


  1. brumboom
    00.00.0000 00:00

    Было бы интересно узнать как мошенники получают наши данные и почему никто не несёт ответственность за их сохранность, а также о счетах на которые переводятся деньги.


    1. qyix7z
      00.00.0000 00:00

      Наши данные берутся из слитых баз.
      Почему не несут? Несут, им крайне тяжело расставаться с 60к штрафа. /s
      Деньги переводятся на счета дропов и обналичиваются/переводятся в крипту.


      Еще вопросы?