Буквально на прошлой неделе Центробанк РФ предупреждал о резком росте телефонного мошенничества, когда клиентам звонят с официальных номеров и просят перевести деньги на другой счёт.

Казалось бы, примитивная схема. Но жертвами этого мошенничества становятся даже сами сотрудники банков. Такая история произошла с Дианой Доманской, сотрудницей HR-отдела «Рокетбанка», которой мошенники позвонили от имении… «Рокетбанка».



Специалист с высшим образованием в области психологии мгновенно стала объектом насмешек в интернет-сообществе.

Диана Доманская опубликовала историю в своём Facebook, но когда история стала популярной, была вынуждена удалить её.

Схема мошенничества такая же, как обычно. Главное, что мошенник звонит с поддельного номера. В данном случае использовался номер 8 (495) 797-27-27. Это номер технической поддержки «Билайна» для абонентов из роуминга. Возможно, в контактах Доманской он был записан как «Техподдержка».



Мошенники представились поддержкой «Рокетбанка» и сказали, что в связи с участившимися случаями мошенничества надо со всех карт перевести деньги на карту «Рокетбанка». Там они будут «застрахованы», после чего ими можно распоряжаться как угодно.

«Я подумала: Вау! Какая заботушка, — пишет Диана. — И правда мне говорили, что сейчас звонят всякие, а мне любимый Рокет так помогает. Вау».

Дальше оператор помог жертве войти в мобильный банк «Альфа-банка»и перевести 120 тысяч рублей с кредитки. По телефону мошенник сказал, что надо назвать свой пароль, но не ему, а роботу, иначе его оштрафуют на 25 000 рублей. Дипломированный психолог и специалист по семейным отношениям, естественно, проявила эмпатию: «Я подумала: Вау. Не хочу, чтобы одного из котиков Рокетбанка оштрафовали, конечно, я скажу роботу».

После перевода всей суммы мошенник бросил трубку и не перезвонил. Это вызвало некоторые подозрения у HR-сотрудницы, потому что «настоящий рокетянин бы позвонил и вежливо завершил звонок, рассказал о дальнейших инструкциях и пожелал доброго вечера».

«Я зашла в приложение, а там ноль, — жалуется Диана Доманская, — все средства переведены в какой-то «В Восточный». Я позвонила в поддержку, уже настоящую, и дальше слёзы, сопли, полиция...»

В своей работе мошенники используют базы данных с персональной информацией клиентов банков. Эта информация легко доступна в интернете и продаётся за небольшие деньги. Таким образом, фальшивый «сотрудник техподдержки» знает каждого клиента банка, может назвать по телефону номер его счёта, дату открытия, сумму на счету и так далее. Утечки этой информации из банков помогают в социальной инженерии.

Мошенники хорошо знают, что граждане с высшим образованием и высоким IQ становятся жертвами социальной инженерии не реже, чем «глупые и ограниченные» люди, которые тупо ни с кем не разговаривают и никому не доверяют.

В некоторых случаях полиция отказывается возбуждать уголовное дело, а банк обвиняет своего клиента в невнимательности. Это способствует росту такого рода мошенничеств в России, поскольку преступники часто остаются безнаказанными.

По статистике Центробанка, за июль и август этого года мошенники использовали для обмана людей около 2500 номеров. В более чем двух тысячах случаев операторы не стали принимать никаких мер, так как не нашли для этого правовых оснований: «Важно понимать, что статистика не показывает, сколько именно жалоб от клиентов-физлиц поступило, речь идет лишь о количестве телефонных номеров», — заявил замглавы департамента информационной безопасности ЦБ Артём Сычёв. Он сообщил, что в сентябре зафиксирован новый всплеск звонков с подменой номера банка.

Эксперты считают, что как таковой схемы защиты от социальной инженерии нет. Чтобы обезопасить себя, абоненты не должны передавать никакие данные по телефону, а банки перестали запрашивать у клиентов их данные по телефону.

Впрочем, это никак не избавляет от проблемы с массовыми утечками персональных данных клиентов. Например, в свободном доступе с мая 2019 года находится база с 55 тысячами клиентов «Альфа-банка»: имена, телефоны, адреса проживания, места работы, год рождения, паспортные данные, остаток на счёте и т. д.: «Судя по тому, что базы являются устаревшими, скорее всего, они использовались в узком кругу, а когда перестали быть нужными, стали достоянием общественности,— предполагает специалист по безопасности, генеральный директор Zecurion Алексей Раевский. — Теперь же люди, фигурирующие в этих базах, могут стать жертвами широкого круга банковских мошенников». Сейчас это и происходит.

В пресс-службе «Рокетбанка» сказали, что проводили и будут проводить тренинги по финансовой грамотности среди сотрудников, а случившееся объяснили «человеческим фактором». «Об увольнении или чём-то подобном речи не идёт вообще. Будем поддерживать Диану в процессе», — добавили в компании.

Комментарии (100)


  1. andrew8712
    30.09.2019 08:55

    Альфа-банк в плане безопасности персональных данных — вообще дыра полная. Мне раньше звонили, называя мои ФИО и паспортные данные, представляясь сотрудниками Альфа-банка. Может и сейчас звонят, трубку не беру уже.
    Самое интересное, что когда я написал об этом Альфе в фейсбук, они сразу же пошли в отказ: мы сливами не занимаемся, уверены «что просто совпало». Ушел из этого говнобанка.


    1. ne_kotin
      30.09.2019 09:21

      Вообще-то это их антифрод звонил.
      Клиент альфа-банка уже 13 лет.


      1. ptica_filin
        30.09.2019 09:41

        Если дело касается паспортных данных, то единственное, для чего может звонить правильный антифрод — это пригласить лично прийти в отделение.
        Потому что по телефону с одной стороны не пойми кто звонит, а с другой стороны неизвестно кто ему отвечает. Ни у банка, ни у клиента нет гарантий, что на другом конце провода именно те, за кого себя выдают.


        1. xander27
          30.09.2019 10:11

          Я в случае сомнений перезваниваю в поддержку по телефону с офф сайта и узнаю, был ли такой звонок мне. Правда не альфабанк


        1. Dolios
          30.09.2019 10:57
          +1

          Много отделений, например, в Исландии знаете?


          1. ptica_filin
            30.09.2019 22:39

            Например, если бы я был исландцем, то какие-нибудь знал бы. Или если бы собирался поехать в Исландию. А вот прямо сейчас это знание мне не нужно.


            1. Dolios
              30.09.2019 23:55

              А при чем тут исландцы? Мы сейчас о россиянах — клиентах банка, на которых может возбудиться антифрод, когда они за границей. Вы предлагаете им блокировать транзакции/счета и приглашать в отделения. Вот мне интересно, как вы это себе представляете.


        1. SergeyMax
          30.09.2019 12:09

          единственное, для чего может звонить правильный антифрод — это пригласить лично прийти в отделение
          — Это вы сейчас совершаете операцию такую-то?
          Обычный вопрос у Тинькова.


          1. ptica_filin
            30.09.2019 22:44

            Как Тиньков в этом случае понимает, что трубку снял именно его клиент? Может, кто-то вместе с картой и телефон украл. Получается некая дыра в безопасности.


            1. SergeyMax
              01.10.2019 07:40

              Тут есть два варианта: звонить, или не звонить. Первый лучше, чем второй.


        1. vikarti
          30.09.2019 12:47

          Мне как то их антифрод звонил, несколько лет назад. Вопрос был только один — вы в магазине X в США что-то покупали сейчас на сумму 99 долларов? После ответа — да, сказали что хорошо транзакция пройдет. Через несколько минут подтверждение о списании с карты. Просто тогда у X оплата конкретного этого — была в форме «заполняете бумагу с данными карты и шлете по факсу, можем взять скан» и в ответ приходил код. Видимо было слишком необычно.


      1. andrew8712
        30.09.2019 09:57
        +1

        Как вы можете так уверенно утверждать кто именно мне звонил? :)
        Звонящий имитировал антифрод, сообщая, что с карты был подозрительный перевод в другой банк. Разумеется, никаких переводов не было на самом деле. Цель таких звонков — ввести человека в стрессовую ситуацию, и, воспользовавшись этим, узнать код из СМС. После того, как мне продиктовали данные паспорта, я повесил трубку.
        Больше всего негодования вызывает позиция банка: у нас все ок, вам показалось, мы надеемся вы им ничего не сообщили, будьте бдительнее! Ну и обычный bullshit про высочайшие стандарты безопасности в банке. А на деле: данные 55 тыс. клиентов Альфа-банка утекли в сеть. Так что пусть каждый решает сам, нужен ли ему такой банк.


        1. ne_kotin
          30.09.2019 11:25

          Как вы можете так уверенно утверждать кто именно мне звонил? :)

          Ну, когда я попытался отправить полмиллиона на ипотечный счёт в ВТБ, звонил именно антифрод, а транзакция встала на паузу :)
          После того, как я им назвал сумму с точностью до копейки и р/с получателя — сняли с паузы. А по имени-отчеству они меня всегда называют.
          Так что пусть каждый решает сам, нужен ли ему такой банк.

          Да уж поклиенториентированнее и потехнологичнее Сбера )
          К тому же обслуживание бесплатное )


          1. DaneSoul
            30.09.2019 12:13

            После того, как я им назвал сумму с точностью до копейки и р/с получателя — сняли с паузы.
            Очень странная защита.
            То есть если бы этот перевод делал мошенник с Вашего счета на свой счет, то он бы не знал точной суммы и куда он их переводит? Как запрос подобной информации защищает от воровста денег на левый счет мошенником?


            1. Old_Chroft
              30.09.2019 12:43

              Как запрос подобной информации защищает от воровста денег на левый счет мошенником?
              А вдруг мошенник ошибся и переводит не на свой счет? :-)


            1. ne_kotin
              30.09.2019 14:02

              А откуда у мошенника мой телефонный номер с тем же IMSI?


            1. Iv38
              30.09.2019 14:09

              Он бы знал, конечно, но ему бы пришлось ещё и телефоном владеть. И мы не знаем, что это единственный критерий. Возможно они одновременно сравнивают голос с образцом (насколько я знаю, банки сейчас активно это внедряют), а оператор оценивает по разговору, что человек адекватен, а не пьян в сопли, например. И сочетание таких критериев может считаться достаточным для одобрения операции.


      1. bopoh13
        30.09.2019 11:48

        Раньше пользовался Альфа-страхование. Так вот страховая или её партнёры сливают не только паспортные данные, но и более личную информацию (место работы, должность). Служба поддержки написала, что СБ банка напрямую с клиентами не работает (позвонить им нельзя).
        Колоссальный список номеров указан. У меня с 2018 года накопилось всего 90 scam номеров.


    1. telpos
      30.09.2019 12:55
      +2

      Звонок Альфа (по памяти):
      — Просим рассмотреть наше суперзамечательное предложение: … Вы можете заказать новую карту прямо сейчас, по телефону. Для того, чтобы убедиться, что я разговариваю именно с Вами, назовите Вашу дату рождения.
      — Хорошо, я ознакомлен с вашим предложением подумаю, приду в офис, если заинтересуюсь.
      — Вы что ли думаете, что Вам звонят мошенники?!!! Ахаха! Смотрите, я могу назвать Ваш баланс на карте: ... р. ... к.! Так что можете не беспокоиться!
      Отвечаю, только больше беспокоясь:
      — Спасибо, я информирован о состоянии своего счёта, но всё же оформлю карту через офис в случае необходимости.
      Дальше ещё несколько попыток убедить, что по телефону будет удобно и безопасно.

      PS. На самом деле, большинство звонков адекватные, но есть и уникальные.


      1. Gurturok
        30.09.2019 13:06

        Звонок Альфа (по памяти):
        — Просим рассмотреть наше суперзамечательное предложение: …

        Правильно отвечать: «Пошли на х** со своей рекламой»


        1. tvr
          30.09.2019 13:23

          Правильно отвечать: «Пошли на х** со своей рекламой»

          Нет, ну это грубо.
          Лучше радостным голосом перебить спамера:
          «Поздравляю! Вы сотый дозвонившийся и вы выиграли уникальный пешеходный тур с эротическим уклоном!
          И вы можете даже выбрать направление тура, „в“ или „на“! Если предпочитаете „в“ — наберите 1, если выбираете „на“, то наберите 2!». До этапа выбора дослушивают немногие, обычно с придушенным ржанием кладут трубку.


          1. Endru9
            01.10.2019 07:52

            А куда делась старое доброе «КРЯ!»? Учитывая недавнюю тему Воры используют deepfakes для обмана компаний, заставляя посылать себе деньги


  1. Aquahawk
    30.09.2019 09:10

    И я не устану скидывать в такие посты свою статью про договора банков, которые просто не дадут вам заключить договор без сотового телефона habr.com/ru/post/464621


  1. arozhankov
    30.09.2019 09:13
    -1

    Какая яркая показательная история про уровень HR-специалиста. И это сотрудник, от которого зависит самое главное в любой компании — люди!
    /facepalm/


  1. wolfreid
    30.09.2019 09:23

    Вчера в 6-30 утра (примерно) по Москве звонили с этого номера, тоже с какого то банка якобы. Но как истинный «Сова» я их послал в известное место :)


  1. mig126
    30.09.2019 09:41

    У меня собственно назрело два вопроса.
    Как именно подделывается номер(думал что такое вообще невозможно)?
    И почему все банки не могут скинуть смс своим клиентам что СБ банки ни при каких условиях абоненту не может позвонить потребовать логин/пароль/перевести куда либо деньги.


    1. ptica_filin
      30.09.2019 09:45

      Промсвязьбанк прямо в СМСке с одноразовым кодом пишет «никому не говорите этот код, его спрашивают только мошенники»


      1. mig126
        30.09.2019 09:54

        Да про этот код все банки пишут. А вот про СБ нет предупреждений. Особенно на волне мошенничества.


        1. ptica_filin
          30.09.2019 10:39

          По-моему, это настолько древний совет, что уже в подкорке должен сидеть. Уже не помню источников, но встречал такие предупреждения довольно часто. Что никакие сотрудники банка никогда не спрашивают по телефону никаких кодов, паролей и личных данных.

          И вот, например: www.sberbank.ru/ru/person/dist_services/cybersecurity/cybersecurity_situations


          1. Ahen
            30.09.2019 13:28

            Да совет то древний, но в интернет сегодня попадают люди, которые не слышали о смс скаме середины — конца двухтысячных. Вырастают новые поколения, подключаются дальние села, андроид устройство с выходом в интернет стоит порой меньше 100$… Благодаря огромному потоку новых пользователей сети, старые методы скама вернулись.


    1. Dremor
      30.09.2019 10:15

      Полно сервисов sip предоставляющих подобный функционал.


      1. St_Sinner
        30.09.2019 10:31
        +1

        Правильно говорить «не ограничивающих такую возможность», потому как, в большинстве случаев, это так и есть. Тупо не настроили запрет на подмену исходящего. Тот же Asterisk вообще, по умолчанию, не запрещает этого делать. Остается найти sip провайдера, у которого не запрещено, развернуть у себя астериск и меняй сколько влезет, хоть всю коллекцию телефонов ТП всех служб мира собери


    1. UserAd
      30.09.2019 10:25

      В нашем сознании исходящий номер прочно связан с номером который нам присвоил оператор. На самом деле исходящий номер это просто набор цифр которые посылает один оператор другому при инициации вызова. В SIP телефонии много сервисов у которых есть договоренность с операторами связи о посыле любых CLI. Достаточно часто можно договориться об этом-же с оператором SIP телефонии.


  1. shaggyone
    30.09.2019 09:43

    Помнится, лет 10 назад, один онлайн знакомый описывал схему грабежа народа после метро. Подходит МЧ, предлагает яркий рекламный флаер, если берёте, просит его до выхода не выбрасывать, иначе его оштрафуют.

    Ну а на выходе его подельники поджидают, и грабят именно тех, кто с флаером. По утверждениям знакомого именно внушаемые люди ведутся на «меня оштрафуют», видимо их проще грабить и можно припугнуть, чтобы в органы не обращались.

    Фиг знает, как там на самом деле с внушаемостью, но момент с внезапно появляющимся человеком, которого оштрафуют, если он что-то не сделает, похоже, достаточный маркер, чтобы послать его куда подальше.


    1. fouriki
      30.09.2019 10:32

      А в метро какие то особенно богатые люди ездят?


      1. ptica_filin
        30.09.2019 10:43
        +2

        Грабить особенно богатых себе дороже)
        Обычные люди со средним доходом. Чем Вам не нравятся?


      1. shaggyone
        30.09.2019 10:48

        1. Вопросом на вопрос: Вы хотите сказать, что грабят исключительно богатых?
        2. Я, вроде, прямым текстом написал, что рассказываю с чужих слов. Если хотите, могу дать контакты знакомого, спросите у него.
        3. Значимый и ценный момент, на мой взгляд в том, что если появляется незнакомый мне человек и заявляет, что если я что-то не сделаю, то у него будут какие-то проблемы, скорее всего это ловушка. Понятно, что этот триггер ещё сработать должен, но лучше когда он есть, чем когда его нет.


    1. Moskus
      30.09.2019 11:50

      Это какая-то ерунда. Внушаемость в данном случае связана не с тем, что человек верит, что оштрафуют (это, конечно, бредятина, но руководство рекламных фирм еще не до того может дойти), а то, что он вообще берет флаер. Но, в свою очередь, внушаемость никак не связана с успехом уличного гоп-стопа.


      1. shaggyone
        30.09.2019 12:09

        По мне, флаер берёт и тут же выбрасывает это одно, берёт и тащит в руках до талого — это другое. Там ещё оговаривалось, что флаер большой, неудобного формата.

        По поводу успеха уличного гоп-стопа. Я тут, к счастью, только гипотетически рассуждать могу. Тот знакомый, насколько я понимаю, ссылался на виктимологию, а у неё, насколько я сейчас знаю (тогда не знал), всё не очень хорошо с воспроизводимостью.

        С другой стороны знакомый тогда вёл курсы по юридической безопасности (это про вещи, вроде «всегда читайте что подписываете», которые вроде очевидные, но очень многие их не соблюдают), мог приукрасить из методических соображений.


  1. chelsea2
    30.09.2019 09:47
    -1

    Название «Рэкетбанк» или «Роскомбанк» для банка «Рокетбанк» больше подходит.


  1. slonopotamus
    30.09.2019 10:09

    Зачем хранить 120 тысяч на кредитке?


    1. AllexIn
      30.09.2019 10:49

      Скорее всего кредиткой называет любую пластиковую карточку. Раньше так все повально делали.


      1. qyix7z
        30.09.2019 10:56

        Еще вариант, что там не было денег, а 120к — кредитный лимит. Еще и отдавать с процентами придется.


        1. AllexIn
          30.09.2019 10:57
          +1

          Это было бы оооочень глупо. Взять кредит и ради безопасности перевести его в другое место, фактически никак себя не защитив, т.к. кредит на туже карточку отдавать придется. Сильно сомневаюсь, что так было. Это на грани премии Дарвина.


          1. qyix7z
            30.09.2019 12:14
            +1

            А то, что сейчас описано в посте, прямо на нобелевку тянет?
            Собственно из-за глупости, уже описанной, я допустил возможной еще одну глупость.
            Кроме того, банки часто показывают остаток средств с учетом кредитного лимита, и пользователю кажется, что это их собственный остаток.


    1. fin_all
      30.09.2019 11:01

      Скорее всего речь о кредитном лимите. Сбер, например, сейчас разрешил перевод с кредитной карты, раньше такого не было. Не знаю, как у других банков с этим.


      1. General_Failure
        30.09.2019 11:05

        Тинькоф и альфа давно разрешают переводить, но как и сбер, с комиссией. Тут правда не очень понимаю альфачей — снимать нал можно без комиссии, и эту фичу рекламируют из каждого утюга :)


    1. ReDev1L
      30.09.2019 12:28

      Для кешбеков например. Лимит кредитки 80, 120 сверху, кешбек 5%, лимит кешбека 10к в месяц, Планируется покупка — перекидываете на кредитку, покупаете.
      Но у неё, не всё так просто в этой истории. А если она перевела кредитные средства, а не сверх лимита?) Двойной фейл.


  1. Gurturok
    30.09.2019 10:19

    Спасибо, поржал. Сбрасывайте все подобные звонки и перезванивайте (ну или в чат пишите) в банк сами с вопросом: «ЧТО ЗА НАХ!?», желательно с другого телефона (а то вдруг они с опсосом в сговоре и переадресуют вас на мошенника).


    1. iig
      30.09.2019 11:54

      Сбрасывайте все подобные звонки и перезванивайте (ну или в чат пишите) в банк


      Ваш звонок очень важен для нас… Все операторы заняты… Послушайте музычку…
      Мошенники (в отличие от несчастной HR) уроки по психологии не прогуливали.


  1. PurpleTentacle
    30.09.2019 10:28
    -9

    Меня смущает другое: верифицировать человека даже визитом в банк / салон связи с паспортом сейчас довольно сложно. Нужно срочно вводить биометрию в масштабах всей страны, потому что проверять в ультрафиолете и фмсных базах данных ваш паспорт никто не будет, а при наличии персональных данных и фотографии, изготовить примитивный дубликат паспорта в даркнете в общем-то не так сложно и дорого. Таким способом можно элементарно сделать замену симкарты, или прийти в банк и сделать вообще всё, что угодно.


    Вторая проблема заключается в том, что любые одноразовые пароли, Google Authenticator-ы, смс-коды подтверждения и им подобные методы элементарно обходятся атакой «фальшивый сотрудник между вами и банком». Условно говоря звоним одновременно и клиенту, и в банк. Банк просит верифицировать себя, мошенник просит клиента верифицировать себя, человек называет код мошеннику, мошенник называет код банку, прямо в реальном времени.


    Фактически, единственным более-менее надёжным способом верификации остается снятие биометрии в банке и её сверка с образцом при физическом посещении банка. Биометрические данные, по крайней мере, невозможно так просто скопировать на бумажку и унести с собой, как «кодовое слово», если сотрудники решат слить информацию налево.


    1. vladkorotnev
      30.09.2019 10:31
      +9

      Зато когда эта база биометрии окажется где-нибудь в торе по пять центов за запись, то кроме как хождением в банк ножками вы им пользоваться не сможете. Ибо компьютеру невдомёк, сетчатку со сканера считали, или из базы заново воспроизвели в интерфейс, а новую вы себе просто так не нарисуете.


      Утрированно, но чем-то таким повсеместная биометрия и может грозить.


      1. kvghabr
        30.09.2019 10:58

        «то кроме как хождением в банк ножками вы им пользоваться не сможете.»

        Ну еще можно в дом/офис установить полную телеметрию во всех помещениях, пожалуй, кроме туалета. Тогда биометрию сложней будет «взломать».


      1. K0styan
        30.09.2019 11:08

        Биометрия тем и хороша, что её хранить имеет смысл только в виде сигнатур — т.е. необратимого хэша, а не полных битмапов радужки или n-секундных записей голоса. Сигнатуру же на вход системы подсовывать бесполезно: её надо внедрять между сканером и проверяющей системой, а это соединение должно в любом случае быть защищено.

        Другой разговор, что необратимость (и стойкость к коллизиям) этой сигнатуры-хэша — сильно зависят от каждого конкретного решения. А они свои у каждого вендора, да ещё и закрыты.


        1. vladkorotnev
          30.09.2019 11:10
          +2

          Пароли тоже хранить имеет смысл только в виде необратимого хэша, но на каждую хорошую теорию найдётся свой практикант с монгой, торчащей голой жопой в интернет и списком паролей плейнтекстом внутре...


          1. K0styan
            30.09.2019 11:28

            Пароли можно — технически! — хранить плейнтекстом, это не мешает его использовать (т.е. сравнивать с тем, что вводит пользователь), хоть и противоречит всем правилам безопасности.

            Сырые же биометрические данные для сверки вообще не годятся. Нужна только сигнатура. Их хранение — пустая трата места.

            Но соглашусь, это всё справедливо для рационального мира, в реальном могут быть вариации. Например, тот же отпечаток пальца в виде некоего аналога RAW изображения хранится только в ОЗУ процессора сканера, пока он сигнатуру считает, наружу вообще не выходит. Тут всё более-менее устоялось и безопасно.

            А вот для системы идентификации по голосу в колл-центре банка такого отдельно взятого, замкнутого и не хранящего данные компонента, как «сканер» — нету. И сэмплы вполне могут «сырьём» храниться в базе. Зачем — хз, но могут.


        1. AllexIn
          30.09.2019 12:17
          +3

          Чтобы это все сломалось — достаточно один раз приложить свою биометрию к ненадежному источнику. Который и сохранит всё как есть.
          Никаких преимуществ биометрия не дает пользователям. Она нужна только системе.


      1. Kaballist
        02.10.2019 11:55

        Думается мне, что повсеместная биометрия — это скорее угроза, чем способ защиты, помимо опасности слива персональных данных появится опасность слива биометрических


    1. Gurturok
      30.09.2019 10:44
      +5

      Фактически, единственным более-менее надёжным способом верификации остается снятие биометрии в банке и её сверка с образцом при физическом посещении банка

      Герман Греф, перелогиньтесь!


      1. PurpleTentacle
        30.09.2019 12:05
        -1

        Господа, вы в своём страхе ужасов биометрии зашли так далеко, что не осознаёте, что биометрия используется уже лет 100, так как единственный способ проверки по паспорту – это ваша фотография. И вот это реально ненадёжно, потому что только на погран.контроле в аэропорте в вас вглядывается пограничник секунд 5-10, а ни банковские клерки, ни мальчики-девочки в салонах не делают даже этого. Пол совпадает, возраст более-менее подходит, окей, принято, вот вам новая симка, подпишитесь. ДАЖЕ ПОДПИСЬ не совпадает у 90% людей с паспортом, никто этого не сверяет. Паспортные данные – это текст. Фотка — это картинка. Их формат одинаков у всех людей страны и всех банков. Их слить в сеть или выписать на бумажку – дело крайне нехитрое для недобросовестного работника. Хэш биометрии же – это код в базе данных, причём у всех банков он будет свой. Кто-то будет требовать приложить палец, кто-то сетчатку глаза, кто-то образец голоса. Вкупе с паспортом и паролем это уже хоть какая-то защита. Украсть это и подделать ваш палец по хэшу куда сложнее, чем выписать ваш номер паспорта и фио на бумажку.

        Без биометрии всё, чем вы «типа защищены» – это ваша фотка 15-летней давности. Лёгкость вектора атаки с подменой документа просто поражает воображение.


    1. Fenzales
      30.09.2019 11:57

      Нужно срочно вводить биометрию в масштабах всей страны
      Сотрудник Сбербанка, залогиньтесь. Каждый раз, когда прихожу в офис, приходится отбиваться от сберовских работников с их предложениями о биометрии — понятно, что они не виноваты, их сверху заставляют/поощряют, но всё равно бесит.


      1. PurpleTentacle
        30.09.2019 12:09
        -1

        Сбером я не пользуюсь уже лет 10, из-за их чудовищного сервиса, толп тёток «заплатить жкх» к банкоматам и полнейшей тупости консультантов, которые даже справку для посольства не могут выдать в нужной форме. Но они крупнейший банк страны, вектор атаки почти всегда нацелен на сбер. Грефа можно понять иногда, им нужно как-то защищать миллионы эти самых «простых людей» у которых уводят деньги со счёта. Когда у вас клиенты не IT-сообщество, а тётки 60+, нужно как-то выкручиваться.


        1. DMGarikk
          30.09.2019 13:06

          за последние 10 лет сбер стал сильно лучше. а тупость консультантов это проблема всей отрасли пока самое днище я видел у ВТБ которым надо было доказывать свою правоту путём звонка в их-же техподдержку


          1. ne_kotin
            30.09.2019 18:23

            Немножко не та отрасль, но как по мне, самое днище — это саппорт Yota.
            Который хлопает глазками и повторяет заученную по скрипту мантру «Ненене, Дэвид Блэйн, мы не ограничиваем и не шейпим трафик!».


            1. isden
              01.10.2019 11:26

              Почему днище? Несколько раз обращался — все было быстро и адекватно.
              А про ограничения на безлимитных тарифах, у них, емнип, прямо в условиях написано.


              1. ne_kotin
                01.10.2019 12:29

                VPN в ограничениях не указан, а его шейпят


                1. isden
                  01.10.2019 15:06

                  Гугл первой ссылкой вот что сказал.


                  1. mig126
                    02.10.2019 11:23

                    Получается раньше они для ПК/ноутов p2p не резали.


                    1. isden
                      02.10.2019 11:26

                      Буквально пару недель назад пользовался (у меня запасной канал доступа через Йоту, модемная симка) — все нормально было с VPN. Насчет p2p — не знаю, не проверял.


        1. ptica_filin
          30.09.2019 18:01

          Зачем за справкой идти к консультанту? Справки выписывает не консультант, а операционист. Консультант у Сбера — это девочка у терминала, которая подсказывает, куда взять талончик.


        1. Dolios
          01.10.2019 00:08

          Ни с чем из перечисленного в сбере последние года 3 не сталкивался. 10 лет назад беда была, да. Но сейчас и в банке я больше 15 минут не проводжу и справки какие хочешь, причем сразу, а не как в днище ВТБ — заплати нам 3к за справку, которую мы обязаны тебе дать или жди месяц.
          И интернет банк у них далеко вперед шагнул, огромное количество операций вообще теперь не вставая с дивана делать можно.
          Недавно сбер даже осилил наконец показывать в интернет-банке все счета и карты, открытые в разных городах.


          Что там с банкоматами, я, правда, не знаю, не пользуюсь ими. Но очередей никаких не замечал в фойе, где они стоят.


          1. Whuthering
            01.10.2019 10:35

            Недавно сбер даже осилил наконец показывать в интернет-банке все счета и карты, открытые в разных городах.
            А в отделениях по-прежнему с картами, выпущенными в других городах, сделать вообще ничего нормально нельзя. 21 век на дворе, блин.


            1. Dolios
              01.10.2019 11:10

              Уже можно написать заявление и «перевести» карту в ближайшее, насколько я знаю.
              Но комиссия при переводе из сбера в сбер, если отправитель и получатель в разных городах, конечно, расстраивает.


            1. DMGarikk
              01.10.2019 11:58

              зато они научились таки перевыпускать карту из другого региона в местном отделении и даже без короткого замыкания в мозгах у оператора (в отличии от ВТБ)


    1. Am0ralist
      30.09.2019 12:51

      Нужно срочно вводить биометрию в масштабах всей страны, потому что проверять в ультрафиолете и фмсных базах данных ваш паспорт никто не будет,
      В втб каждый раз мой паспорт суют куда-то, потом сверяют с экраном, сканируют.


    1. Petrenko2001
      01.10.2019 08:35

      биометрия вообще другая тема. Например в Украине видают биометрические паспорта, но с нашей правовой системой, как и в других странах СНГ, твои отпечатки пришьют куда хочешь, потом ищи алиби, адвоката и полно гемора, чтоб пару раз не запарить и получить визу на загран.


      1. PurpleTentacle
        01.10.2019 17:50
        -1

        Такое ощущение, что аудитория перебрала киберпанка и наивно считает, что отказ сдать пальцы в банк их от чего-то там защитит. Камон, бизнес и государств уже знает о нас всё, от посещаемых сайтов до переписки, от звонков до трекинга прогулок по городу. Ребят, вы правда смешные. Яндекс-навигатор в машине, Гугл и Эпл с биометрией в телефоне, полное досье на ИП и бизнес в налоговой, полная инфа о пересечении границ, кредитная история, лог всех покупок по картам, камеры на каждом шагу, мы оставляем такой цифровой шлейф за собой, что боязнь отпечатка пальца в банке – это страх уронить чашку во время землятресения.

        Особенно доставляет токсичность местного сообщества, со своей милой чертой засрать карму за любое, отличное от тренда сообщества мнение. Крабий русский рефлекс во плоти.


  1. A114n
    30.09.2019 11:44

    А потом этот эйчар (причём буквально этот, «Об увольнении или чём-то подобном речи не идёт вообще.») будет определять, насколько ты хороший специалист.

    Больше HR кровавому богу отрицательного отбора!


    1. AllexIn
      30.09.2019 12:19
      -1

      HR не определяет технические скиллы. Так что претензия не понятна.


      1. Aquahawk
        30.09.2019 12:39
        +2

        Но обычно фильтрует на входе. Если вы думаете что каждое резюме попадает на техлида, то я вас расстрою.


        1. AllexIn
          30.09.2019 12:49

          Этот фильтр как правило имеет вид чеклиста и не имеет отношения к навыкам HR в плане технической грамотности.


          1. Gar02
            30.09.2019 20:34
            +1

            Ну, конечно, не имеет. Именно чек-лист, где гусеницы у танка — не из стали, а «из того же материала».
            Моего коллегу из отдела процессинга не очень крупного банка, собеседовали в hh.ru.
            HR попросила его нарисовать схему работы процессинга. Парень нарисовал и всё подробно объяснил.
            — Вы никогда не работали в отделе процессинга (кривая рожа прилагается)!
            — ???
            — Вот! И показывает схему процессинга Сбербанка.
            Коллега пытался донести до этой макаки, что не каждый банк имеет свой процессинг, ибо дорого. Некоторые арендуют услуги например, в Магнитогорском Компасе +. Ничего не смог доказать, так и ушёл ни с чем.
            HR вообще не должен чекать технические навыки. Проверил адекватность соискателя — передал дальше.


            1. AllexIn
              30.09.2019 20:45

              Да нет, должен, только не на собеседовании, а в резюме. По чек листу.
              Вот на днях проходил собеседование.
              HR посмотрела резюме, написала мне предложение пройти собес.
              На собесе HR + тех лид.
              Следующий собес HR + менеджер проекта.
              И так работает большинство HRов. О её уровне технчиеской грамотности я не знаю вообще ничего и по моему он никакой роли не играет.


              1. Gar02
                30.09.2019 21:03

                Не играет, если там присутствует техлид, а она сама не играет роль вершительницы судеб.
                Клиенты кадровых агентств, пытаясь сэкономить своё время, снабжают HR чек-листами, с которыми те не в состоянии адекватно работать. И технарей там рядом нет, поэтому проверка по такому «расширенному» чек-листу отсеивает хороших специалистов.


              1. Whuthering
                01.10.2019 10:42
                +2

                Да нет, должен, только не на собеседовании, а в резюме. По чек листу.
                Ага, и будет что-то типа «Мы, к сожалению, не можем пригласить вас на интервью, поскольку вы не подходите под требования к этой позиции — у вас большой опыт .Net-разработки, а в проект, согласно описанию вакансии, нужен C#-разработчик» (это я сейчас не шучу, реальный случай).


                1. AllexIn
                  01.10.2019 11:58

                  Это косяк техлида, который писал чек лист и не указал синонимы.
                  Занятно, кстати, очевидный косяк технического специалиста вы свалили на ни в чем неповинного HRа. Я как раз и пытаюсь донести мысль, что HR работают по вполне конкретным правилам, и часто совсем не они виноваты в том, что эти правила кривые. А HR который что-то понимает в технической части — это скорее зло, потому что не являясь профильным специалистом он начинает делать суждения на которые не имеет квалификации.


  1. andrey_aksamentov
    30.09.2019 11:51

    Сейчас в банках предлагают оставить биометрические данные, для очень надежной надежности. Что бы они тоже потом оказались в Интернет?..


    1. Gar02
      30.09.2019 12:39

      Пускай окажутся. В БД провайдера услуги аутентификации хранится либо как математическая модель отпечатка пальца | рисунка вен на ладони | фотографии лица, либо как хэш.
      Негодяи могут взять наши фото из соцсетей и подсунуть их на вход системы аутентификации (хотя вряд ли это сработает).
      Но подсунуть на вход эту самую модель или хэш из ворованной БД — бесполезно, ибо их там не ждут.


      1. slonopotamus
        30.09.2019 12:44
        +2

        В БД провайдера услуги аутентификации хранится либо как математическая модель отпечатка пальца | рисунка вен на ладони | фотографии лица, либо как хэш.


        Откуда вам это известно?


        1. Gar02
          30.09.2019 12:56

          Оттуда, что я тестировал подобные решения. Рисунок вен ладони, отпечаток пальца и сканирование лица. Ни в одном случае не хранится исходный скан.
          Если к Вам придёт провайдер с аутентификацией по исходным сканам, гоните его мокрыми тряпками.


          1. slonopotamus
            30.09.2019 13:52

            Вот я как пользователь пришёл куда-то, где меня просят сдать биометрию. Ну, например, палец приложить к сканнеру. Каким образом я могу убедиться в том что скан не сохранят?


            1. Gar02
              30.09.2019 15:03

              К сожалению, никак.
              Я не знаю, есть ли детальные требования к провайдерам, оказывающим услуги аутентификации по биометрическим параметрам, которые прямо запрещают им быть лохами так делать.
              Статья 4.3 149-ФЗ говорит нам: «Порядок хранения и использования включенной в состав архивных фондов документированной информации устанавливается законодательством об архивном деле в Российской Федерации». Вряд ли в законах об архивном деле будут такие требования.
              Поэтому я не раздаю свою биометрию кому попало. Только Сбербанк и государственные структуры. Остальные могут внедрить решения самого сомнительного качества.


      1. andrey_aksamentov
        30.09.2019 20:13

        Все же это всего лишь постоянный набор цифр, как пинкод только больше.
        Правильный набор цифр в правильном месте…


  1. Gar02
    30.09.2019 12:29

    «Дипломированный психолог и специалист по семейным отношениям, естественно, проявила эмпатию»… Стало быть, естественно не иметь мозгов бдительности, здравого смысла и не знать основных способов мошенничества.


  1. e_fail
    30.09.2019 12:29
    +1

    «Любимый Рокет», «котики Рокета»…
    Неплохой вирусняк пиарщики Рокетбанка придумали.


    1. Gar02
      30.09.2019 12:46

      Но это же какая-то антиреклама получается.
      Вы думаете, что люди понесут деньги в банк, где работают такие лохушки?


  1. Berd90
    30.09.2019 12:56

    А многие люди мне не верят, когда я призываю все деньги выводить в кеш и хранить наличкой в разной валюте в разных местах…


    1. Whuthering
      30.09.2019 13:52

      И правильно делают, что не верят. До тех пор, пока у вас в этих «разных местах хранения налички» нету правильно установленного качественного сейфа и охранно-пожарной сигнализации, весь этот ваш кэш в валютах точно так же совершенно ни от чего не защищен.
      Не говоря уж о том, что этих «разных мест» у людей в принципе может не быть в наличии, и тогда вариант «часть в кэше, часть в разных банках» может оказаться гораздо надежнее, чем «всё в кэше». Диверсификация рисков, ага.


  1. helgihabr
    30.09.2019 20:42

    Больше похоже на рекламный фейк. Сложно поверить, что на «переведите куда-то деньги и мы их там застрахуем» кто-то может повестись.


  1. Cast_iron
    03.10.2019 11:05

    По словам «Коммерсанта» в СБ тоже произошла утечка данных 60 млн. клиентов. На днях эти файлы всплыли на одном из специализированных форумов.
    Upd. об этом даже целую статью запилили.