Социальная инженерия вышла на первое место в способах кражи денег со счетов и карт физлиц. С помощью психологических приемов мошенники вводят клиентов в заблуждение с целью наживы. Классическая схема такого мошенничества — когда жертве звонят якобы сотрудники службы безопасности банка.
Однако арсенал не ограничивается убеждением. Мы собрали пять популярных мошеннических инструментов, с помощью которых «уводили» деньги у ваших коллег и знакомых в 2019 году. Никакой теории — только реальные случаи.
Во всех крупных банках работают системы противодействия мошенничеству, которые анализируют операции, ищут аномалии и мошеннические паттерны.
Развитие инструментов злоумышленников и противостоящих им систем похоже на эволюцию брони и снаряда — это бесконечный процесс. По понятным причинам в статье не будет изложено, что и как именно банки могут вычислить, но важно понимать: как и пожар, обман лучше предотвратить.
В «Тинькофф Историях» в мобильном приложении мы регулярно рассказываем о том как не попасться на уловки изобретательных злоумышленников, а также запускаем сразу несколько тематических проектов, включая мультипликационный сериал.
Базовая схема
Мошенники представляются службой безопасности банка и сообщают о попытке списания денежных средств со счета клиента. Для отмены несанкционированной операции просят назвать полный номер карты и коды подтверждений из СМС. На самом деле в этот момент они либо входят в ваш банковский личный кабинет, либо совершают операции в интернете — тогда попросят еще срок действия и трехзначный код на обратной стороне карты.
Если раньше были типовые портреты таких жертв, самый распространенный из которых — люди преклонного возраста, то сейчас грани стираются. Ни пол, ни возраст теперь не влияют на способность противостоять разнообразным схемам уловок.
IVR
Очевидный минус стандартного сценария для мошенников — это неизбежная борьба со страхами клиентов, их вопросами, которые часто возникают. Например, в том же СМС написано, что никому нельзя сообщать код.
Однако технологии приходят на помощь не только порядочным гражданам. Аферист говорит, что код подтверждения нельзя никому сообщать — это совпадает с текстом СМС и вызывает доверие у жертвы.
Мошенник просит ввести код в тоновом режиме после переключения на IVR (интерактивное голосовое меню), который стандартным дикторским голосом говорит, что нужно ввести код в тоновом режиме после сигнала.
Удаленный доступ
Звонок мошенника обычно застает клиента врасплох. Звонящий представляется сотрудником банка и сообщает о выявлении вредоносного программного обеспечения на устройстве клиента. Для его устранения нужно предоставить доступ к устройству. Жертве необходимо скачать на смартфон программу удаленного доступа — TeamViewer, Anydesk или другую.
После установки лжесотрудник банка просит клиента назвать код, отображающийся в приложении. Мошенник вводит этот код в программу на своем устройстве. После того как жертва предоставляет все разрешения (при необходимости скачивает аддон для полного управления), злоумышленник получает в зависимости от ОС и производителя смартфона жертвы:
- Android (например, Samsung) — полный удаленный доступ к устройству клиента. Мошенник совершает платежи с клиентского устройства, поскольку коды подтверждений операций приходят на него же.
- iOS и некоторые устройства на Android (например, Nexus) — доступ на просмотр. Мошенник руководит действиями клиента («Нажмите сюда, а теперь — сюда»). В результате клиент сам переводит средства мошеннику.
Подмена номера мошенника
Некоторые злоумышленники звонят с простых симок, купленных горстью у метро. В этом случае жертва получает звонок от лжесотрудников банка с номера с типовыми префиксами 926, 916 и другими.
Другие мошенники в погоне за конверсией звонков в украденные деньги обращаются к телекомуникационным сервисам подстановки номера телефона.
Технически подмена номера возможна за счет эксплуатации уязвимости протоколов телефонных соединений, таких как SIP и ISDN PRI, в которых не предусмотрено механизма контроля достоверности отправителя сообщения.
Высветившийся на экране смартфона красивый номер вида 8 (495) ххх-хх-xх притупляет бдительность жертвы.
Cash-in на безопасный счет
Клиенту банка поступает звонок якобы от службы безопасности банка. В ходе разговора выясняется, что счет клиента в опасности и средства с него могут вывести с минуты на минуту.
Аферисты запрашивают номер карты и код подтверждения для входа в личный кабинет, чтобы помочь клиенту. Получив доступ к огромному массиву информации (данные об операциях, счетах, остатках) мошенники без труда втираются в доверие, снимая последние сомнения («Не могут же мошенники столько про меня знать», — думает клиент).
Подготовленной жертве объявляют, что единственный способ спасти деньги — вывести их на безопасный счет. Далее возможны два сценария развития событий.
Перевод. Клиенту предлагают самостоятельно перевести средства на безопасный счет. Мошенники с помощью психологического давления убеждают сделать перевод на счет дропа. Дроп — это человек, который за небольшую плату оформляет на себя обычную дебетовую карту, затем передает ее мошенникам, которые используют ее для обналичивания украденных денег.
Банкомат. Мошенники могут использовать в своих целях банкоматы с функцией cash-in.
Клиенту сообщают, что нужно срочно отправиться к ближайшему банкомату и снять все деньги. Для особо крупных жертв (а мошенники на этот момент видят, сколько денег на счетах) могут даже вызвать такси.
После снятия денег жертву просят положить наличные на счет мошенников. Запугивают штрафами и пенями, а с другой стороны — заманивают обещаниями возместить неудобства денежной компенсацией. В конце концов мошенники одерживают верх, и клиент сам пополняет их счет свежеснятыми наличными.
Переадресация на номере жертвы
Банки не дремлют и, выявив подозрительную операцию, спешат связаться с клиентами.
Обычно лжебезопасники полагаются на свой навык убеждения: они настраивают клиента против настоящих сотрудников банка и внушают необходимость подтвердить операции. Это может выглядеть сюром, но таковы реалии.
Но некоторые мошенники больше полагаются на технологичные решения. Вместо сложной обработки клиента просят его набрать на телефоне последовательность символов, которая в действительности является USSD-командой на включение переадресации входящих звонков жертвы на номер мошенников. Кроме того, запрашивают идентификационные данные, по которым будут пытаться выдавать себя за клиента при звонке настоящей службы безопасности.
Заключение
Мошенники могут использовать сразу несколько средств из этого перечня. Поэтому важно быть настороже при любых звонках из банка и не спешить доверять звонящему. Он может угрожать штрафами со стороны банка и соблазнять бонусами за выполнение своих требований.
Поэтому нужно запомнить, что настоящие сотрудники банка никогда не попросят:
- Сообщить им код подтверждения операции.
- Установить программы на смартфон, тем более с функционалом удаленного доступа.
- Выполнить на телефоне USSD-команды.
- Перевести или через банкомат внести ваши деньги на счета третьих лиц.
В следующей статье — еще больше о том, как противостоять мошенникам, которые подстерегают вас буквально на каждом шагу: в соцсетях, инвестициях, на досках объявлений и сайтах знакомств.
А уже сейчас можно ознакомиться с материалами www.tinkoff.ru/secure.
Комментарии (117)
Aquahawk
11.11.2019 14:19+1А аппаратный генератор One Time Password для подтверждения операций и входа в онлайн банк у вас есть? Чтобы можно было целиком и полностью отвязать банкинг от телефона. Пока в РФ очень скудно с этим. Райф, втб более не предоставляют этот функционал даже за деньги.
alexesDev
11.11.2019 14:28У меня второй кнопочный телефон для смс от банков. Немного неудобно, если сумку забыл дома, но тогда выручают домашние.
kalyan_nishchebrod
11.11.2019 15:15Проще айфон купить и не нищебродить.
kalyan_nishchebrod
11.11.2019 23:50-5Ребят вы по этому минусуете не видели айфон ни разу, так как он дорогой для большинства здесь присутствующих, так я поясню, там невозможно своровать смс от банка, на звонилку проще вирус поймать.
Andy_Big
12.11.2019 00:36+3Как такие люди попадают на этот ресурс? И главное — почему они тут остаются?
kalyan_nishchebrod
12.11.2019 00:51-2Разве я соврал про смс, или про стоимость айфона? А так я и сам не пойму как сюда такие попадают, и как у образованного человека может подыграть от телефона, или от какой-то модели телефона, видно что то с ним не так.
megahertz
12.11.2019 09:36+1Британские ученые уже не первый год бьются над этой загадкой. Полагаю, либо это тролли, либо эффект Даннинга — Крюгера срабатывает.
kalyan_nishchebrod
12.11.2019 11:39Когда здоровы половозрелый мужик не может позволить себе жалкий айфон, и ужасно по этому поводу комплексует, британские ученые тут бессильны.
Aquahawk
12.11.2019 12:31Когда здоровый(?) половозрелый(?) мужик(?) в топике в котором ещё вчера в 15:38 сказали что вопрос телефона состоит в возможности подделки сим, продолжает наезжать на других людей из за куска стекла с алюминием.
kalyan_nishchebrod
12.11.2019 13:09-6Я высказываю свою точку зрения и многие здесь похоже дырку в стуле прожгли, ну судя по минусам.
Aquahawk
12.11.2019 13:15Так и упомянутые вами многие также поступают.
kalyan_nishchebrod
12.11.2019 14:10Но я в отличии от них не оскорблюсь если кто то скажет что андроид безопаснее, или что я не могу позволить себе galaxy fold, и уж тем более не посчитаю это наездом. И вообще я пошутил, ничего не имею против какой-то ОС или производителя телефонов, и не распределяю людей по этому признаку (всегда можно купить айфон).
Andy_Big
12.11.2019 18:20не распределяю людей по этому признаку
Особенно тут: "айфон купить и не нищебродить".
2PAE
13.11.2019 08:09Давайте положа руку на сердце, скажем честно. То что делают сейчас уже не то.
Айфоны закончились после смерти Джобса.
Да, сейчас это отличные аппараты. И… И ничего революционного.
Процессоры не самые быстрые, камеры не самые лучшие, 5G нет. Дизайном в этом году всех обошло Сяоми с аппаратом с круговым экраном.
По поводу СМС, да мошенникам вообще всё равно какой у вас телефон. Последняя утечка данный из Билайна это показала.kalyan_nishchebrod
13.11.2019 14:27Давайте вот без этого. Вы сейчас пытаетесь оправдаться перед самим собой, «почему вы не купили айфон». Мне мерятся
писькамителефонами не интересно.2PAE
13.11.2019 14:43Оки. Оки. Давайте мерятся кто с какой версии МакОс начинал работу.
И у кого апл айди старше.
P.S. «почему вы не купили айфон» о какой конкретно модели вы говорите?
Без точного указания, сложно знаете ли оправдываться… И за то что купил, и за то что не купил. :(
tvr
12.11.2019 12:13+1Как такие люди попадают на этот ресурс? И главное — почему они тут остаются?
Я как-то встречал мнение, что в этих наших интернетах существует нечто, вроде чемпионата — «получить лычку тролля на Хабре за минимум ходов».MR27
12.11.2019 19:04Я как-то встречал мнение, что в этих наших интернетах существует нечто, вроде чемпионата — «получить лычку тролля на Хабре за минимум ходов».
Что-то мне кажется, что можно и за 1 сообщение.
Вот только если модераторы пропустят.
Aquahawk
11.11.2019 15:38Как регулируется риск того что Маша из ООО "Ромашка" которая открыла салон под франшизой сотового оператора и имеет полный доступ в БД выпустит дубликат вашей симки?
F_Buster Автор
11.11.2019 23:15Во-первых, при выпуске дубликата меняется IMSI. Во-вторых, нужны и другие данные для совершения помимо кода из СМС. В-третьих, выявляются аномальные операции и подтверждаются у клиента с проведением идентификации.
MR27
11.11.2019 23:22Как регулируется риск того что Маша из ООО «Ромашка» которая открыла салон под франшизой сотового оператора и имеет полный доступ в БД выпустит дубликат вашей симки?
Двухфакторная ж.
Вы про «второй фактор».rinaty
11.11.2019 23:59К сожалению, часто для установки злоумышленником мобильного банка себе на телефон и дальнейшего его использования, второй фактор не нужен достаточно какой-нибудь информации (например один зеленый банк — нужно знать номер карты и один красный — нужно знать номер счета), кстати года три назад (не знаю как сейчас обстоит ситуация) «восстановить» пароль имея доступ к смс и зная номер карты не так сложно.
Самое плохое что этим атакам ты подвержен даже если сам не устанавливаешь мобильный банк и тут под угрозой не какой-то там баланс карты про который в основном шла речь в статье, а все счета и вкладыMR27
12.11.2019 00:01даже если сам не устанавливаешь мобильный банк
Разве нельзя в банк прийти с паспортом лично и принудительно отключить себе мобильный банк, если ты все равно им не пользуешься?
Заранее, разумеется.
rinaty
12.11.2019 00:10+1наверное можно, но как думаете как много людей задумывается о вообще такой возможности, не говоря уже о том что доходят до банка?
Aquahawk
12.11.2019 08:44Нет. Смотрите мой обзор договоров. habr.com/ru/post/464621 как правило в договоре зафиксирован перечень способов авторизации (без указания это «и» или «или») и перечень действий (включая удалённые) которые являются аналогом собственноручной подписи. Везде, где для открытия счёта требуется договор о комплексном банковском обслуживании, в нём всё очень плохо на тему что вы разрешаете а что нет. Ибо вчера вы это запретили и выставили лимиты, а завтра, после прохождения авторизации от вашего имени и удалённый банкинг подключат и запрет снимут и лимиты расширят.
dhaenoor
13.11.2019 11:49Разве нельзя прийти в банк и открыть расчетные счета без карт? Я на такой счет получаю зарплату и храню там деньги. Снимаю только то что нужно на жизнь и уже это кладу на карточку в другом банке. Отделение банка в котором у меня расчётный счет открыт находится прямо в магазине где я покупаю продукты. Раз в месяц отклониться от траектории касса-выход несложно.
F_Buster Автор
13.11.2019 22:26Необычный вариант! Надежно, но для большинства будет неудобно ходить в отделение. Поэтому основная проблема не в том, что нельзя — можно, но менее удобно.
tvr
14.11.2019 11:04А зачем ходить и вообще эта возня с наличными — «воздушный зазор»?
Не проще ли через онлайн-банк перекидывать нужную сумму на свою карточку в другом банке?
MR27
14.11.2019 17:04Разве нельзя прийти в банк и открыть расчетные счета без карт?
Ваша ситуация — ой как не типична.
99% людей живут от зарплаты до заплаты.
Поэтому после получения зарплаты — нужно или сразу наличку в банке получить. Или на карту — и с нее уже сразу тратить.
Andy_Big
12.11.2019 00:35Знаю только про один красный банк — там при смене симки (а выпуск дубликата — это смена и есть) работа с телефоном блокируется. Чтобы подтвердить валидность новой симки нужно обращаться в банк — или в отделение с паспортом, или по телефону с кодовым словом. Так что при выпуске дубликата доступ к СМС теряется. Ну а без СМС в интернет-банке можно только между своими счетами гонять. Ну и по некоторым шаблонам переводить (чтобы создать или изменить шаблон — нужен доступ к СМС).
MR27
12.11.2019 01:02там при смене симки (а выпуск дубликата — это смена и есть) работа с телефоном блокируется
А как технически определяется новая симка (с тем же номером если она)?Andy_Big
12.11.2019 01:52Каждая симка имеет индивидуальный идентификатор — IMSI. Поменяли симку — поменялся и этот идентификатор.
MR27
12.11.2019 02:25Каждая симка имеет индивидуальный идентификатор — IMSI. Поменяли симку — поменялся и этот идентификатор.
Это-то понятно.
Но разве рядовое прикладное ПО имеет доступ к IMSI?
Если это так — то всяческие анонимизации в интернете — лишены смысла наполовину.Andy_Big
12.11.2019 02:51Ну, видимо может иметь по договору с оператором. Или, может быть не к самому IMSI, а к какому-то хэшу от него. Или, может быть, только к факту того, что IMSI был изменен. Не в курсе подробностей :) Но в интернет-банке прямо пишется красным: «Операции с СМС-подтверждением невозможны, т.к. у Вас изменилась SIM-карта. Для возобновления обратитесь в ближайший офис банка, при себе иметь паспорт.». Раньше, не помню точно сколько лет назад, тоже блокировали, но ничего не писали, приходилось звонить в поддержку и выяснять почему у меня заблокированы денежные переводы.
Aquahawk
12.11.2019 08:48Andy_Big MR27
Вот пример одного из банков типа с именем:
Проверка идентификатора сим-карты (IMSI) осуществляется по определенным критериям, которые банк не раскрывает и это может продолжаться месяц
www.banki.ru/services/responses/bank/response/8941386
Банк может сам по «техническим причинам» отключить двухфакторную авторизацию (с этим моментом я столкнулся лично)
www.banki.ru/services/responses/bank/response/10155779
Райффайзен онлайн можно подключить не зная кодовое слово
www.banki.ru/services/responses/bank/response/10173932Aquahawk
12.11.2019 08:50Особенно про подключение онлайн банка. Добыли вашу карту (сперли, заснифали, нашли, что угодно), по имени владельца узнали оператора, выпустили дубликат сим, и приделали ноги всему что там есть.
F_Buster Автор
12.11.2019 13:39На самом деле атака вымирающая, гайки телекомы закручивают, да и банки внедряют дополнительные методы аутентификацииы, чтоб одного номера карты и смс-кода было недостаточно.
Aquahawk
12.11.2019 13:53Тем не менее, для грамотных людей, OTP генератор был и остаётся превосходной опцией, которая на корню пресекает огромное множество векторов атаки. И почти исключены третьи лица(код то мы всё равно передаём по канала связи), и нельзя использовать даже получив физический доступ(что выгодно отличает его от карт с кодами), и изменение передаваемого кода каждый раз (в отличие о пароля и кодового слова)
User2Qwer
12.11.2019 16:48Но разве рядовое прикладное ПО имеет доступ к IMSI?
помню ещё со времён выхода модуля xprivacy для xposed любое ПО требовало всё что захочет. Сейчас с этим намного хуже, анонимности с телефона не существует и никогда не было. Это же проприетарщина.F_Buster Автор
12.11.2019 22:25Ни на IOS, ни на Android у приложений нет доступа к IMSI. К счастью или к сожалению — вопрос открытый.
User2Qwer
14.11.2019 11:06да xprivacy могла показаться весьма сложной в освоений и нужно было потратить не один день чтобы понять что к чему. Или лучше кто-нибудь поставьте ваш софт и проведите полный анализ запросов и пакетов чем то типа wireshark для полноты картины. Можно даже всех банковских приложений и дальше по списку по гос.софту и находясь подальше от стран постсовка=))Найдёте много интересного, заслуживающего отдельной статьй на хабре или в прокуратуре=))
функционал xprivacy модуляFor easy usage, data is restricted by category:
Accounts
return an empty account list
return fake account info
return empty authorization tokens
Browser
return an empty bookmark list
return empty search history
Calendar
return an empty calendar
Calling
prevent calls from being placed
prevent SMS messages from being sent
prevent MMS messages from being sent
prevent data messages from being sent
Contacts
return an empty contact list
content://com.android.contacts/data
content://com.android.contacts/raw_contacts
content://com.android.contacts/phone_lookup
content://com.android.contacts/profile
Dictionary
return an empty user dictionary
E-mail
return an empty list of accounts, e-mails, etc (provider)
Identification
return a fake Android ID
return a fake device serial number
return a fake host name
return a fake Google services framework ID
return file not found for folder /proc
Internet
revoke access to the internet
return fake disconnected state
return fake supplicant disconnected state
Location
return a random or set location
return empty cell location
return an empty list of (neighboring) cell info
prevents geofences from being set
prevents proximity alerts from being set
prevents sending NMEA data to an application
prevent phone state from being sent to an application
Cell info changed
Cell location changed
prevent sending extra commands (aGPS data)
return an empty list of Wi-Fi scan results
prevents connecting to Google Play services
Media
prevent recording audio (including from the microphone)
prevent taking pictures
prevent recording video
you will be notified if an application tries to perform any of these actions
Messages
return an empty SMS/MMS message list
return an empty list of SMS messages stored on the SIM (ICC SMS)
return an empty list of voicemails
Network
return fake IP's
return fake MAC's (network, Wi-Fi, bluetooth)
return fake BSSID/SSID
return an empty list of Wi-Fi scan results
return an empty list of configured Wi-Fi networks
return an empty list of bluetooth devices
NFC
prevent receiving NDEF discovered
prevent receiving TAG discovered
prevent receiving TECH discovered
Phone:
return a fake own/in/outgoing/voicemail number
return a fake subscriber ID (IMSI for a GSM phone)
return a fake phone device ID (IMEI)
return a empty ISIM/ISIM domain
return a empty IMPI/IMPU
return a fake MSISDN
return fake mobile network info
Country: 001 (test network)
Operator: 00101 (test network)
Operator name: fake
return fake SIM info
Country: XX
Operator: 00101
Operator name: fake
Serial number (ICCID): fake
return empty APN list
return no currently used APN
return an empty call log
return an empty list of voicemail messages
prevent phone state from being sent to an application
Call forwarding indication
Call state changed (ringing, off-hook)
Mobile data connection state change / being used
Message waiting indication
Service state changed (service/no service)
Signal level changed
Storage
revoke permission to the media storage
revoke permission to the external storage (SD card)
return fake unmounted state
Shell
Linux shell
Superuser shell
Load/library (by default not restricted)
System
return an empty list of installed applications
return an empty list of recent tasks
return an empty list of running processes
return an empty list of running services
return an empty list of running tasks
return an empty list of widgets
return an empty list of applications (provider)
prevent package add, replace, restart and remove notifications
View
prevent links from opening in the browser
you will be notified if an application tries to open a link
tvr
12.11.2019 12:15Знаю только про один красный банк — там при смене симки (а выпуск дубликата — это смена и есть) работа с телефоном блокируется.
Повторю свой коммент:
«Менял симку перед НГ, краснобанк издал вопль по этому поводу месяца через три-четыре».rinaty
12.11.2019 13:04Мне кажется у них (и не только у них) настроена система на аллерты только по определенным паттернам (аля поменял симкарту и сразу же начал выводить), чтобы не беспокоить лишний раз пользователя лишними блокировками, когда последний раз менял симку ни один банк ничего не нашел подозрительного и ничего не блокировал
rinaty
12.11.2019 12:58Злоумышленнику не обязательно перевыпускать симкарту, просто нужен доступ к смс (он возможен разными путями, начиная от угона телефона и кончая доступом через оператора мобильной связи, например переадресацией смс), проблема то в том что вдруг неожиданно в каком-то месте двухфакторная аутентификация вдруг становится однофакторной и причем это не пароль, а непонятные смс о которых ты мог и не думать (только вчера видел про человека которому чужие смс приходят и он никак их не может отключить, видимо хозяин карты ошибся в номере телефона когда открывал счет)
F_Buster Автор
12.11.2019 13:41Факторов очевидно должно быть больше двух, тут вы правы.
А сценарий восстановления пароля, так тем более самый рисковый в жизненном цикле клиента.
IsyanovDV
12.11.2019 01:43У меня для банкинга СИМ-ка Мегафона, там при замене СИМ карты на сутки блокируется СМС на уровне системы. То есть фокус с дубликатом СИМ-карты уже не провернуть так просто… ну только если жертва не заметит, что у него сутки мобильная связь не работает :)
SandroSmith
13.11.2019 15:20Проблема может быть в том, что если у человека
для банкинга СИМ-ка Мегафона (пчелайна, Йоты, etc.)
то очень вероятно что стоит она в отдельном телефоне и вовремя заметить, что связь пропала может быть проблематично.
F_Buster Автор
11.11.2019 14:35Нет, но с точки зрения защиты от описанных инструментов социнженерии, этот способ аутентификации ничем не лучше СМС. Если вас убедили совершить операцию, то аппаратный токен вас не остановит.
Aquahawk
11.11.2019 15:40Ну это сродни цыганка загипнотизировала и я деньги сама отдала. Я не вношу это в угрожающие мне риски. А вот авторизации банка перед клиентом обычно нигде нет. Мне както банк по делу звонил и сходу спрашивал кодовое слово. Там был рили банк, но никак авторизовать себя не смог. И был послан.
F_Buster Автор
11.11.2019 23:18В вашем случае можно было спросить по какой карте у них вопрос, т.е. вы их спрашиваете, а не они вас. И далее слушайте, что от вас хотят, если коды из СМС или установку программ удаленного доступа, то мошенники.
Aquahawk
12.11.2019 08:34В том случае банк сказал что мы можем предоставить информацию только владельцу счёта и никакой информации до подтверждения личности не скажем, назовите кодовое слово.
eisaev
12.11.2019 21:51По поводу ВТБ24. Как только появилась возможность приобрести генератор одноразовых паролей я сразу же этим воспользовался. Не считая, что первые два экземпляра мне пришлось поменять из-за брака, это самое безопасное решение из предлагаемых банками. Сгенерировать ответ без физической карты и знания пин-кода невозможно. Почему любимый ныне мною Тинькофф не предоставляет возможности перейти на подобное — это отдельный вопрос.
ЗЫ Интересный момент: шло время, ВТБ'шная карта осталась не у дел, её срок истёк… но я только что авторизовался в ВТБ-Онлайн с помощью неё и этого самого генератора, поддержка которого официально «того». Ни карт, ни счетов в интерфейсе нет, но возможность авторизации не сломана.
ЗЗЫ С картой Тинькофф ВТБ'шный генератор тоже работает, пин принимает, но ответы даёт слегка загадочные, т.е. не просто 6 цифр, а набор символов. Толку от такой «работы» скорее всего ноль, но, если бы появился родной генератор и его поддержка, то взял бы, не раздумывая.Aquahawk
12.11.2019 21:52А новые они уже не продают.
F_Buster Автор
11.11.2019 23:48Боюсь для физлиц действительно хардтокены уходят в прошлое, атаки от которых они эффективно защищали встречаются все реже, а минусы у них тоже есть — отсутствие мобильности, доставка, обслуживание (в вашем случае замена брака) и тп.
А сканирование физической карты через NFC-ридер смартфоны было бы удобным вам как клиенту и вызывает доверие?Aquahawk
12.11.2019 08:32Нет. Я не отношу телефон(и вообще всё, что подключено к интернету) к устройствам высшей категории защищённости(это я только что термин придумал), т.к. несмотря на степень защищённости доступность для атак открыта всемирная а время не ограничено. Использовать временно после авторизации, произведённой с устройством высшей категории защищённости — пожалуйста.
ErshoffPeter
12.11.2019 13:42Насчёт хардовых генераторов одноразовых паролей — они реинкарнируют в генераторы динамических CVV, встроенных в сами карты: habr.com/ru/company/icover/blog/366733
vilgeforce
11.11.2019 14:31Клиенту нужно придумать кодовое слово, чтобы сотрудники банка при звонке его называли. Представляется сотрудником банка, не называет кодовое слово — мошенник :-)
Dimano
11.11.2019 14:54+1Ну видя сколько в последнее время утечек, верить нельзя и кодовому слову, мне можно )
Daggett_the_beaver
11.11.2019 23:22Вы сильно всё осложняете. Проще самостоятельно позвонить в банк и всё. В обратную сторону звонок работает нормально.
F_Buster Автор
11.11.2019 23:27Концептуально перспективно, в реалиях сложнее: организовать сбор, донести до клиентов зачем это, каким-то образом напоминать это кодовое слово, чтобы не забыли. А в итоге велика вероятность, что или забудут про это, либо мошенники как-то и это обыграют в своих скриптах.
Лучше перезванивать в банк, как только начинаются странные вопросы или просьбы.
VIPDC
12.11.2019 05:16Я так для всей семьи придумал слово, которое надо написать в СМС или назвать при звонке, при любых критических ситуациях.
Пара учений с левых номеров, сейчас чётко. Никаких критических данных или денежных операций, без кодового слова. Один раз помогло против СМС мошенничества.
burzooom
12.11.2019 09:58придумать кодовое слово «я хочу заняться сексом с вами», просить переключить на оператора женского пола
Denio
11.11.2019 14:47Спасибо, познавательно! Не понятно почему телекомы до сих пор не прикроют у себя возможность подмены номера, по идее ФЗ о связи запрещает подменять Generic Number
pit_art
11.11.2019 18:05Вы не представляете какое количество телекомов, особенно в регионах работает на совершенно невнятном оборудовании лохматых годов, с сотрудниками совершенно не понимающими что происходит вокруг. Стандартная история — когда в техподдержке крупнейшего провайдера на второй линии спрашивают что-то вроде «Я не понимаю что значит „присылаете инвайт“, вы мне скажите — гудок в трубке есть или нет?»
Treviz
12.11.2019 20:44Потому, и не только, никогда не разговариваю с позвонившими якобы работниками банков. Надо, схожу в офис. Заодно отсекается спам и коллекторы (бывает иногда задерживаю платежи, извините. Но при этом честно оплачиваю ваши бешеные штрафы за это). Зато Тиньков отличился тем что, где-то год назад позвонил моей маме и сообщил точную сумму долга, когда я «забыл» заплатить. Спрашивал у знакомых: ни у кого такого беспредела не было.
F_Buster Автор
11.11.2019 23:28Как выше уже обсуждалось, достаточно самому перезвонить. Ходить никуда не нужно.
Andy_Big
11.11.2019 22:25+6Никаких связей со Сбером у меня нет, проживаю в Краснордаре. Недавно раздался звонок и между мной и мужчиной на том конце состоялся такой разговор:
— Здравствуйте, Вас беспокоит служба безопасности Сбербанка. У нас в базе зафиксирован доступ к Вашему счету из города Саратов. Вы можете подтвердить эту информацию?
— Да, конечно могу.
— То есть все правильно? Там с вашего счета выводят 30 тысяч рублей.
— Да-да, все правильно. Пусть выводят, не мешайте им.
— А еще у нас в базе зафиксировано, что ты петух и козел.
— Так это Вы смотрите список своих сотрудников.
И бросили трубку :(F_Buster Автор
11.11.2019 23:35Легенда про Сбер обычно используется при холодном обзвоне, т.к. потенциальный охват шире.
А так вы, конечно, правы — последнее время хамят сразу, как разоблачают их. Раньше некоторые хоть шутили)MR27
12.11.2019 00:00+1А так вы, конечно, правы — последнее время хамят сразу, как разоблачают их. Раньше некоторые хоть шутили)
Работа тяжелая.
Вы представляете сколько звонков нужно совершить?
А сколько все же не ведутся?
А у скольких на карте нет серьезных сумм?
Вот они после сотого звонка, «заработав» на том 50 рублей — очень напряженные.
GeBoN
12.11.2019 01:30Дело даже не в этом.
Люди мало того что стали грамотнее, так еще и через одного издеваются.
Поматросят и бросят, а них план горит.
Так бы успели еще где-нить бабку-дедку развести, а им в вовсю в уши дуют что прям щаз деньги переведут, а сами или коды неправильные говорят, или при вводе «ошибаются».
Занервничаешь тут ))agat000
12.11.2019 06:29Угу, на над душой менеджер висит и стращает штрафами за невыполнение плана. С занесением в грудную клетку. Личный рейтинг эффективности падает, премия накрывается, а еще ипотеку платить и кредит за айфон. Собачья работа.
neurocore
12.11.2019 09:20Я то думаю откуда все биржи труда завалены этими операторами call-центров
GeBoN
12.11.2019 10:07Мошенники часто работают с «зональных» call-центров (с тюрем).
На биржах труда вакансии — это «втюхивальщики».
Арендуешь комнату-квартиру-офис или вообще нанимаешь «пионЭров на дому», регаешься как ООО «СуперМедиаКонтактЦентр» и пошел предлагать услуги холодного обзвона на оутсорсе. Заодно наполняется своя телефонная база, которую банки могут передавать третьим лицам, как обычно написано в договоре об обработке персональных данных.
AVX
12.11.2019 23:04А я вот только не совсем понимаю, почему бы мошеннику не потратить пару минут на то, чтобы выяснить полное ФИО по номеру телефона?
Хотя бы для ВТБ, Сбера это уже покроет большой процент потенциальных жертв.
Например, заходим в онлайн банк, выбираем перевод по номеру телефона, высвечивается буква фамилии (или первая с последней) и имя-отчество, можно и не платить совсем. А можно заплатить рубль, и посмотреть в детализации ФИО полностью. А если по СБП пробить вначале — ещё проще.
Знание ФИО значительно повышает доверие потенциальной жертвы. Я как-то сам в какой-то мере проверил — кто-то случайно указал мой номер в онлайн банке ВТБ, видимо, где-то ошиблись. И стали мне сыпаться смс об оплате всего чего он там платит… Как-то я выяснил номер (оказалось, вместо 937 он указал 927), узнал ФИО, звоню ему, и, обращаясь по имени-отчеству, объясняю, что он указал неправильный номер в онлайн-банке, и ему нужно его сменить в банкомате или в отделении банка. Ну, там мужик понял, сказал, поменяет, но он до конца думал, что ему из банка звонят, пока я не сказал, что пусть побыстрее делает, а то мне его смски надоели уже.Andy_Big
12.11.2019 23:39Видимо, это был обзвон номеров «наудачу» :) Хотя со мной и знание ФИО не прокатит, но для многих — да, это будет весомым фактором доверия.
karavan_750
12.11.2019 00:41Предупредить клиента о возможных вариантах мошенничества — это хорошо.
Но это не пресекает мошеннические действия в отношении клиентов от слова совсем.
Абсурдность ситуации в том, что мошенника может остановить только вынесенный судебным решением срок, а тут у нас беда.
Во-первых, банки ничего не предпринимают к доведению попыток мошенничества до суда, аргументируя отсутствием полномочий.
Во-вторых, по закону наказывается только совершенный факт мошенничества, т.к. попытка мошенничества труднодоказуема.
А чтобы довести попытку мошенничества до факта — читай пункт первый.
GeBoN
12.11.2019 01:16Для начала я бы посоветовал «Олегу» сделать нормальный интернетбанк.
Даже так скажем — вернуть его, после того как хипстеры взялипочту, банки телеграфИБ стал образцом лажи, хуже него только Рокет.
НафигаЗачем мне подтверждающая СМС при входе в банк, если внутри можно пулять деньги без ввода кода?
«Мой дом — моя крепость», по аналогии заходя в ИБ я считаю что нахожусь в некоторой закрытой (от внешнего мира) зоне, но не тут-то было.
При входе на главную страницу клиент попадает не в ИБ, а в царство спама — аляповато раскрашенный раздел «Для вас».
Ладно тыкаем в карты, окно растопыривается и карты уходят в левую панель, которая регулярно скачет как коза, на некоторых разрешениях экрана.
Верхнее меню «БИЗНЕС ИНВЕСТИЦИИ СТРАХОВАНИЕ МОБАЙЛ» — если там нажать, то вроде как «вышел из ИБ», но нифига подобного.
Клиент остается залогиненым, только не видит этого. Если в этот момент сказать — «Вася, там на первом этаже тебя девушка спрашивала», то Вася может и не понять что ИБ открыт и спокойно уйти. А так как однажды совершенные деяния в ИБ не требут подтверждения, то можно поприкалываться и отправить все деньги с карты, например, в налоговую или куда там Вася платил последние разы.GeBoN
12.11.2019 09:50Кто-то из команды Олега не поленился сходить плюнуть в карму ))
Но люди-то помнят старый «модульный», настраиваемый, ИБ, который был образцом эффективности и удобства.
На «банках» ветка обсуждения Тинькова за несколько лет уже 8 раз отправлялась в архив из-за переполнения, и переполнялась в основном от возмущения пользователей новым, «стильным-модным-молодежным», кривым ИБ.
D01
12.11.2019 11:50В последнее время на компе столько всего, что даже дома отходя от компа надо уже на автомате жать win-L или shift+ctrl+eject)
GeBoN
12.11.2019 11:56Суть в том что не виден факт нахождения в залогиненом ИБ.
Любое неосторожное движение и тыотецкупил страховку или тур по «средиземью». ))
PS Дома лочу комп только от кошки — та еще хакерша. ))
SandroSmith
13.11.2019 15:27shift+ctrl+eject
Куда куда, простите, жать? Или это из разряда «выдернуть шнур, выдавить стекло»?
F_Buster Автор
12.11.2019 14:32Не очень понял суть проблемы. Зашел даже в свой ЛК, чтоб проверить.
После авторизации справа в углу появляется мое имя и, если ее установить, аватарка. При переключении между сервисами Тинькофф, например, Инвестиции, сессия продолжается, и я вижу это все в том же углу. Если хочу разлогинится, то жму на эту аватарку с именем и жму «выйти». Всё прозрачно, имхо.GeBoN
12.11.2019 14:52Не очень понял суть проблемы. Зашел даже в свой ЛК, чтоб проверить.
А Вы колесико мышки на себя крутаните.
После авторизации справа в углу появляется мое имя и, если ее установить, аватарка.
Если бы панелька с автаркой была прибита к «колонтитулу» страницы, то еще куда бы не шло.
Но вот если Вы зайдете на «Мобайл», то там есть еще кнопка «Войти в Мобайл» — нажмите её и попробуйте понять где Вы находитесь? Банковый логин с аватаркой вообще исчезает.
У меня нет связи «от Олега», но позреваю что если войти в мобайл, то «банк» там не будет виден, от слова абсолютно. При этом логин в ИБ держится пока не отвалится по таймауту.
Вообще на «банках.ру» представитель банка на указанные косяки сказал что это не баг — это фича )).
PS В нормальных ИБ все рекламно-втюхивательное открывается в новых вкладках, даже если само предложение было в виде рекламы в самом ИБ.F_Buster Автор
12.11.2019 16:26Теперь боль понятна. Со своей стороны скажу, что не сталкивался с несанкционированными операциями после такого не разлогона. Но коллегам посыл про «прибить» передам на рассмотрение.
GeBoN
12.11.2019 16:38Тут даже не столько «несанкционированные операции» сколько общее впечатление от того что вылетаешь непонятно куда нажав на «рекламу».
Если бы реклама открывалась в новых окнах, то это бы создавало чисто визуальный комфорт: «вот мой банк — моя крепость», а вот (в новых окнах) открылись предложения от банка и партнеров.
IsyanovDV
12.11.2019 03:25Всегда удивляюсь, как люди на такое ведутся. Но судя по новостям — ведутся.
Johnny_Boy
12.11.2019 09:11Не так давно звонили мошенники и просили сказать какому-то там роботу по телефону фразу: «Отменяю операцию по моей карте *полный номер карты*». Зачем им это нужно? Чтобы просто получить номер карты? Хотя возможно там дальше что-нибудь поинтереснее придумали бы, но были посланы далеко и надолго коллегой.к сожалению не выяснил чем удивить еще смогли бы
GeBoN
12.11.2019 09:42Не так давно звонили мошенники и просили сказать какому-то там роботу по телефону фразу: «Отменяю операцию по моей карте *полный номер карты*»
Ну вот сбер недавно хвастался что тестирует «голосового» помощника. Голосового не в смысле что говорит робот, а в смысле что опознает по голосу. Поэтому не советую при звонке на телефон отвечать «Да», лучше «Слушаю» или «У аппарата» ))Johnny_Boy
12.11.2019 09:44Да, это я знаю. Но фраза «отменяю операцию» поставила меня в легкое недоумение… Зачем она им нужна?
Aquahawk
12.11.2019 09:52Чтобы усыпить вашу бдительность и вы назвали номер карты. Потом видимо вам скажут что снятие обнаружено и заморожено, но отменить мы можем только если вы подтвердите это кодом, сейчас вам на телефон придёт код, скажите его роботу также.
F_Buster Автор
12.11.2019 13:49Согласен, по опыту мошенники очень много лишнего говорят, не ходят «по прямой», чтобы создать ощущение, что только из банка такое будет говорить.
GeBoN
12.11.2019 09:53Возможно для начала просто набор готовых фраз, потом может еще чего-нить попросили бы — «Типа подтверждаю отказ».
И уже можно склеить «Отменяюподтверждаю операцию по моей карте *полный номер карты*»
jegebe
12.11.2019 09:53Всё это кажется очевидным, пока очередной знакомый не лоханется. И ведь не динозавры, а продвинутые люди (казалось бы). Потом рассказывают мне о запредельной убедительности разводил, ещё и подловивших в какой-то особенный момент. Судя по посту, Бендеры день и ночь новые схемы комбинируют, хотя в 2k19 люди продолжают деньги давать вперед и выручать друзей в ВК.
Anselm_nn
12.11.2019 12:28Уважаемый Тинькофф Банк, вы все такие модные и технологичные, сделайте альтернативу смс-OTP (например гугл аутентификатор), будет работать в и роуминге, перехват не страшен, а симкарта не нужна
Programmierus
12.11.2019 13:26Да хотя бы через PUSH начните уже слать как альфа-банк, а не по SMS — уже хлеб был бы.
Anselm_nn
12.11.2019 13:50Что-то приходит через push, но не всегда. Покупки приходят, а коды подтверждения в самом приложении им интернет банке а виде СМС. Да и push работает не всегда, приложение если выгружается или нет инета. OTP рулит, настроил его везде, где есть поддержка
Programmierus
12.11.2019 14:13Да ОТР было бы вообще супер, но что называется на безрыбье… ;) Что еще раздражает, что когда отключаешь платную услугу уведомления о платежах по СМС (меня раздражает сам факт бесконечных СМС), то пуши вырубаются тоже.
Aquahawk
12.11.2019 13:56а вас не парит что после пуша ничего не остаётся и в правовом поле вам никак не удастся доказать что банк, например, не уведомил вас о транзакции. Вы владеете сейчас историей трат 5 месяцев назад? Не так что в банке оно лежит, а так что лично вы владеете и, если банк закроется, то вы продолжите владеть этой историей.
GeBoN
12.11.2019 14:14а вас не парит что после пуша ничего не остаётся и в правовом поле вам никак не удастся доказать что банк, например, не уведомил вас о транзакции.
Альфа стала хранить историю пушей в МБ, но тоже аднака не панацея — МБ полностью в руках банка и при большой необходимости, я думаю, туда можно будет дописать «недостающий» пуш.
Programmierus
12.11.2019 14:15Очень хотелось бы посмотреть на практическую ситуацию в правовом поле, когда наличие какой-то там СМС что-то решило. Про историю трат — выписки хранить не пробовали?
Aquahawk
12.11.2019 14:341. Если говорить про Банк, то в законе о национальной платежной системе указана обязанность банка вас уведомлять. Если уведомление не случилось то будет вопрос кто обосрался. В случае смс этой информацией владеет три лица, вы, банк, сотовый оператор, и у него, судебным запросом может быть эта информация запрошена. В случае пушей — только банк. В каком случае ваша позиция сильнее и шансов больше?
2. Вот лично мой кейс когда оператор, по требованию ФАС, сам на себя компромат выдавал в виде подтверждения того факта что смс была направлена. Это моё заявление. br.fas.gov.ru/to/orenburgskoe-ufas-rossii/389c86f6-c5f1-4072-a0fa-8db45f4fa6f5
3. Про выписки. Да, это вариант, но требующий кучи телодвижений и менее точный (могу как нибудь расписать почему он менее точный) Но много ли народу так делает.
denis-19
А как у вас блокируется перебор в СБП?
F_Buster Автор
Вопрос не по тексту, но отвечу :)
У нас стоит высокотехнологичная антифрод-система, которая ограничивает перебор счетов наших клиентов внутри действующего «периметра» и обеспечивает защиту от бот-сетей. Антифрод-система учитывает профиль клиента и характер операций. При малейших подозрениях включается блокировка, в результате которой клиент не сможет запрашивать информацию на определенное время.