Возможная дыра в безопасности "Сбербанка"

Интересная история - "«СберБанк»: мои персональные данные попали к злоумышленникам — их может предоставлять голосовой робот".  Там есть информация о том, каким образом ваши персональные данные (например, остатки по счетам) запросто могут попадать к мошенникам, а те уже ими будут пользоваться для различных видов развода. Вот краткая выжимка.

Друзья, мы выяснили как такое возможно. Во время общения с младшим сотрудником, старший звонит на номер 900 подставляя на исходящий мой номер. Там робот предлагает продиктовать мне остаток по картам, просит назвать номер, если назвать номер на угад, то робот дружелюбно сообщает что такой карты нет, и называет номера всех действующих карт (Сбер,это реально круто, спасибо). Далее называешь номер любой из карт, и он сообщает тебе остаток. Это просто офигенно. Вопрос про слив данных сотрудником снимается, виноват робот. Новые вопросы к Сберу: почему сотрудники не знают что так можно? Почему вообще так можно?

Шикарная дырища в безопасности, не так ли? Робот услужливо называет номера всех действующих карт и злоумышленник (так утверждается в статье) может продиктовать номер, и ему сообщат остатки по счетам. Гениально!

21.07.2021 10:20
Комментарии 186

21.07.21 10:28
0 58

А что насчёт распознавания владельца по голосу?
21.07.21 10:33
0 0

А что насчёт распознавания владельца по голосу?
Насколько я знаю, распознования по голосу (типа как по отпечаткам пальцев) не существует - голоса не настолько уникальны и не настолько устойчивы.
21.07.21 10:50
0 1

Спектр частот как раз уникален. Причем если подражать будет условный Галкин и близкий родственник подражаемого даже может и не заметить подмены, то спектральный анализ не даст обмануть. Но это все актуально при условии качественного звукового канала, про телефонный канал сложно рассуждать у него диапазон качества может сильно варьироваться. И второй момент - условный галкин совсем не нужен поскольку давно уже есть технология изменения спектра под любого человека при наличии образца голоса.

Спектр частот как раз уникален. Причем если подражать будет условный Галкин и близкий родственник подражаемого даже может и не заметить подмены, то спектральный анализ не даст обмануть.
Это совершенно новая (и если это так, то очень важная) для меня информация. Есть какие-нибудь ссылки, откуда она? Буду очень благодарен.

А что насчёт распознавания владельца по голосу?
При телефонной ширине? "Ню-ню" (с)

Спектр частот как раз уникален
когда простыл, и голос хриплый, особо уникален спектр

так и палец можно обжечь

когда простыл, и голос хриплый, особо уникален спектр

Спектр частот как раз уникален. Причем если подражать будет условный Галкин
есть исследования на эту тему, публикации? Заранее спасибо.
21.07.21 13:21
0 0

Это совершенно новая (и если это так, то очень важная) для меня информация. Есть какие-нибудь ссылки, откуда она?
есть исследования на эту тему, публикации?
Вы серьёзно? Она с прошлого века ещё. "voice biometric identification" в гугол. Удачи.

Я ХЗ, но в Австралии меня так распознавали
21.07.21 13:54
0 0

. "voice biometric identification" в гугол.
там сплошная реклама, пытающаяся продать мне эти технологии.

Удачи
я спрашивал про обоснование уникальности, а не возможность купить.

там сплошная реклама, пытающаяся продать мне эти технологии.
Гугол подстраивается под пользователя, тут я ничем не могу помочь. Рекламу он сортирует вверх, потом идут статьи и ссылки на реализацию. Если у вас колёсико сломалось - можно и кнопочкой вниз потыкать. Не умрёте, это вам не про диванных революционеров верещать.
я спрашивал про обоснование уникальности,
Вам объяснить смысл слова identification или вы способны хотя бы это найти самостоятельно?

Гугол подстраивается под пользователя, тут я ничем не могу помочь.
вы намекаете, что гуголь рассматривает меня скорее как потенциального покупателя данной технологии, нежели как исследователя? Хм... Даже не знаю плакать тут или радоваться...

потом идут статьи и ссылки на реализацию
потом идёт нерелевантеый мусор.

Не умрёте, это вам не про диванных революционеров верещать
если у вас есть ссылка - дайте её. Думаю же, вы, как обычно генерируете полный бред не имеющий никакого отношения к реальности.

Вам объяснить смысл слова identification или вы способны хотя бы это найти самостоятельно?
товарищ бредогенератор, я спрашивал про обоснование заявления уникальности, а не о смысле слова внути этого заявления. Вы даже этого понять не способны, террорист мамкин?

вы намекаете, что гуголь рассматривает меня скорее как потенциального покупателя данной технологии, нежели как исследователя?
Он не настолько умён. Просто он запомнил, что в сайты продажного типа (хм...) вы тыкаете при прочих равных чаще.
потом идёт нерелевантеый мусор.
Купите себе такой же гугол как у меня. Мой это только странице на пятой сыпит.
если у вас есть ссылка - дайте её
На исследования? На доказательство? На реализацию? На опыт применения? На что?
товарищ бредогенератор, я спрашивал про обоснование заявления уникальности, а не о смысле слова внути этого заявления. Вы даже этого понять не способны, террорист мамкин?
Зачем вы спрашиваете вопросы, ответы на которых заранее неспособны осилить?
Однозначная идентификация по свойствам невозможна без уникальности параметров этого свойства у каждого распозноваемого, терпила богоугодный.

есть исследования на эту тему, публикации? Заранее спасибо.
Порылся. Похоже, ничего нет. Спектр вообще ничего не даёт (это к фразе "спектр частот как раз уникален"). Есть некий уровень идентификации по совокупности всего, но и там все не слишком солнечно, для практического применения не годится (типа - 5% ошибок в лучшем случае). В общем, воз и ныне там, ничего близкого к отпечатку пальца или распознования лица.
21.07.21 16:49
1 1

Порылся. Похоже, ничего нет.
Да вы издеваетесь.

Раз, два, три.

Как вы ищите-то?!
для практического применения не годится
Но при этом активно используется на практике - одному вон, только и пытаются, что эти реализации продать. Паноптикум.

(типа - 5% ошибок в лучшем случае). В общем, воз и ныне там, ничего близкого к отпечатку пальца или распознования лица.
А вы как думаете - какой % ошибок на отпечатках?

бесподобно 😁

Но при этом активно используется на практике - одному вон, только и пытаются, что эти реализации продать. Паноптикум.
Не понял, о чем Вы.
Статьи есть, продать пытаются, но качественного распознования - так, чтобы это могло заменить, например, фото ID или верификацию по отпечатку пальца - нет.
Т.е. на настоящий момент нет технологии, позволяющей сделать по голосу пропуска, например.

К вопросу о 5% - вот например продают sdk под любую платформу с такими цифрами "Результаты этой оценки следующие: ID R&D достигло 1 из 50 000 ложных приемов (FAR) в обеих тестовых средах: вождение и в помещении. Средний коэффициент ложного отказа (FRR) составил 9,9%. Тестирование для помещений привело к FRR 6,8%.".

Статьи есть, продать пытаются, но качественного распознования - так, чтобы это могло заменить, например, фото ID или верификацию по отпечатку пальца - нет.
Проблемы применения распознования по голосу относятся вовсе не к качеству, а к постоянству этих хар-ик у человека и к удобству. Лицо у вас с собой "всегда". Отпечатки - ещё более всегда. Голос может "уехать" от болезни или повреждений связок. Просить на проходной сотрудников что-то голосить выдыхая в одно и то же место в нынешних условиях - вообще не обсуждается.
А качество распознования там вполне приемлимое.
Т.е. на настоящий момент нет технологии, позволяющей сделать по голосу пропуска, например.
Продать?

Спектр вообще ничего не даёт (это к фразе "спектр частот как раз уникален").
Ммм...
Вообще, анализом звука нередко руководствуются хоть те же спецслужбы (причём, первые попытки начались ещё глубоко в прошлом веке). Некоторые современные системы безопасности также используют этот параметр в качестве одного из средств идентификации.

Да, технология не даёт никакой "100% точности", конечно. Но точность достаточно неплоха – как минимум, позволяет сразу же отсеивать "уж точно левых". А подыскать подходящего "имитатора" голоса – это надо очень-очень сильно постараться. И только под конкретного "клиента", путём достаточно объёмной работы – для тупого "массового разводилова" такое уж точно никак не подходит... 🙂

Да, технология не даёт никакой "100% точности", конечно.
Ну так никакая не даёт. Даже днк анализ.

Часовой стоит на посту:
-Пароль!
-Кукушка!
-Проходи.
-Пароль!
-...Орел
-Да не орел,а кукушка,проходи.
21.07.21 10:41
0 39

- Стой, кто идет?
- Свои.
- Кто свои? Пароль "пушка" знаешь?
- Знаю.
- Проходи.

- Стой, стрелять буду!
- Стою.
- Стреляю...

- Пароля!
- Пошел на х**!
- Однако, столько лет стою, а паролю не меняют...
21.07.21 12:16
0 16

"Заданный вами пароль не подходит. Такой пароль уже есть у пользователя lunkin. Введите другой пароль."
21.07.21 14:50
0 16

Вот чем больше читаю про российские "меры безопасности", тем больше офигиваю. Конечно, все банки мира время от времени лопушаться, но тут что-то особо интересное.
21.07.21 10:43
8 8

читаю про российские
Плюнуть в Россию - никакого повода не упустим!
21.07.21 11:48
25 4

Плюнуть в Россию - никакого повода не упустим!

плюнуть в того, кто плюнул в того, кто плюнул в Россию -- никогда повода не упустим!
21.07.21 12:41
0 8

Вот чем больше читаю про российские "меры безопасности"
Ты только что совершил русофобию, оскорбил ихнее всё, порушил гордость и всё вот этот вот вот всё вот.
Теперь закидают минусиками и тебе будет стыдно.

Теперь закидают минусиками и тебе будет стыдно.
Мне уже ужас как стыдно.

плюнуть в того, кто плюнул в того, кто плюнул
Ни минуты не сомневался.
21.07.21 12:46
5 0

Вот чем больше читаю про российские "меры безопасности", тем больше офигиваю.
Может в Японии все и прекрасно, в ЮК - я не перестаю удивляться. В России не так уж и плохо, судя по тому что читаю.
21.07.21 14:06
1 3

в ЮК - я не перестаю удивляться. В России не так уж и плохо, судя по тому что читаю.
Часто вам из тюрем звонят и представляются сотрудниками банков?

Проблема телефонного спама стоит тут достаточно остро. Звонят часто. Я не знаю откуда они звонят но номера бывают не только ЮК, американские часто, недавно вот было из Бельгии звонили. Чего хотят не знаю, я не разговариваю с ними. Популярны звонки «мы знаем, что у вас была авария», «заплатите долг», сейчас вот популярны смс о недоставленный посылке и войсмэйле.
Как бы вам этого не хотелось, проблема телефонных мошенников не является специфичной проблемой России. Не, конечно понятно, что в Чехии такого нет, потому что не может быть никогда. Но в ЮК вполне себе цветёт и пахнет.
Из свеженького - билеты на футбол. Погуглите, почитайте.

Проблема телефонного спама стоит тут достаточно остро.
Про телефонный спам из Британии я прекрасно знаю, писал уже - аж до сюда добрызгивает.
Я спрашивал конкретно про мошеннические колл-центры в тюрьмах. Много их? Были звонки?
Как бы вам этого не хотелось, проблема телефонных мошенников не является специфичной проблемой России.
Как вы просто фактом наличия мошенников отвечаете на вопрос "часто ли звонят из тюрем" - только пропагандоны знают, ей богу. Я не понимаю.

Понятно, что при вашем объеме знаний понимать простые вещи несколько сложновато. Какое отношение тюремные колл-центры имеют к топику, например? Как то что кто-то кем-то представляется соотносится с деятельностью основного субъекта? Ели кто-то напишет, что Путин лично благословил Пафнутия Залипако на геройские поступки, как это будет относится к вашим прочим утверждениям?

Я вам написала - я не знаю откуда они звонят. Я не интересуюсь состоянием пенитенциарной системы. Но то, что полиция не в силах расследовать преступления типа массовых краж catalytic converters или справиться с цыганскими таборами, которые засирают округу и терроризируют окрестности - это факт известный всем. Непосаженных явно много. А это оставляет простор для домыслов.

Какое отношение тюремные колл-центры имеют к топику, например?
У меня нет картинки ужа на сковородке, но предствьте, что она тут есть.
Основная сфера деятельности тюремных коллцентров - банковское мошенничество, процветающее из-за дыр в системах безопасности банков.
Но то, что полиция не в силах расследовать преступления типа массовых краж catalytic converters или справиться с цыганскими таборами, которые засирают округу и терроризируют окрестности - это факт известный всем.
.... заявила она после гневной отповеди про отношение к топику. Спасибо хоть, что не про негров личёваных. В России, кстати, с циганскими таборами как? Не в курсе?

Вернёмся.
в ЮК - я не перестаю удивляться. В России не так уж и плохо, судя по тому что читаю.
Итак. В России существует отработанная на государственном уровне система мошеннических коллцентров, в которой завязаны самые высшие чины ФСИН.
Ваше утверждение что "в России не так уже плохо" после упоминания Британии в связи с этим должно чем-то подтверждаться. Чем - катализаторами, которые воруют цигане?

В России существует отработанная на государственном уровне система мошеннических коллцентров, в которой завязаны самые высшие чины ФСИН.
Волга впадает в Каспийское море.

Аргументация на уровне "в Америке негров линчуют"

Как это относится к "дырам" в системах безопасности банков? Как это доказывает, что в России их больше, чем где бы то ни было?

в ЮК - я не перестаю удивляться. В России не так уж и плохо
полиция не в силах расследовать преступления типа массовых краж catalytic converters или справиться с цыганскими таборами, которые засирают округу и терроризируют окрестности - это факт известный всем.
Аргументация на уровне "в Америке негров линчуют"
Жаль, что не могу пожать руку и лично вручить приз за самую многословную версию "кто как обзывается - сам так называется".
Мы говорим про РФ, вы вклиниваетесь с "а вот в ЮК", а про негров личнуют, оказывается - я. Красиво но как-то совсем уж топорно. Может вам пайку урезать чтоб поизящнее соображать начали?
Как это относится к "дырам" в системах безопасности банков?
Потому что виды мошенничества, которыми занимаются эти ребята, без дыр в системах безопасности работать не смогут.
Как это доказывает, что в России их больше, чем где бы то ни было?
Масштабами это доказывает.

Может в Японии все и прекрасно, в ЮК - я не перестаю удивляться. В России не так уж и плохо, судя по тому что читаю.
В Японии тебя замучают безопасностью, каждое дело в банке занимает хрен знает сколько времени, и требуется личная печать и удостоверение личности, и по почте ничего сделать нельзя - только лично.
При этом PIN вписываешь от руки в форму и отдаешь его служащему (но "у нас работают только честные девушки", конечно). В общем, проблем с разводами у меня пока не было.

В России меня удивляет периодические какие-то ляпы, типа электронных подписей, которые ты генеришь не сам, например. Или возможность перевести много денег на карточку по телефону без возможности отыграть все обратно, например.

П.С. Пару раз мне звонил кто-то и говорил по-китайски. Возможно, это была попытка развода, но я не поддался, поскольку нихрена не понял. Кстати, спам на китайском я тоже часто получаю - интересно, это сейчас по всему миру так?
21.07.21 16:38
0 3

Я уже писала, я работала в банке и поэтому имею представление о том, как работают многие процессы изнутри.
Люди уверены, что если они сталкиваются постоянно с банками, они разбираются. А это далеко не всегда так. И начинается вой о том "как все в Рашке плохо". Там плохо, но не все и не всегда там.

Вот например, "возможность перевести много денег на карточку по телефону без возможности отыграть все обратно". Тут что неправильно?

В первую очередь - традиционно карты это средства для оплаты за товары и услуги в точках приема, а не средство для перевода денег. Для перевода денег есть счет. Традиционные кредитные карты даже не позволяют снимать деньги в банкоматах. У меня карточка Барклайса, по дебетной карте я могу снять деньги с банкомата, по кредитной - 100 фунтов в месяц, и этот лимит не меняется. Как-то мужу нужны было сделать перевод, денег на счету не хватало, он хотел взять кредитной карты - ему сказали "низзя". Кредитными (речь о традиционнык кредитках, не дебетовых картах) картами часто нельзя расплачиваться за золото, нельзя гасить ипотеку, нельзя пукупать криптовалюту.

Для карточных транзакций (пукупок) есть протоколы Визы, Мастеркарда, Амекса и т.д., которые одинаковы для банко в России, Британии, Японии и Эсватини, если они работают с этими системами. Там есть четкие процедуры, описывающие случаи, при которых транзакцию можно отыграть. И это работает, люди об этом знают и пользуются, и им кажется, что можно отыграть любую транзакцию. Ну казалось бы, какая разница? Мои деньги, ушли с моего счета, хочу отменить. А фишка в том, что перевод отменить нельзя, переводы не регулируются правилами карточных компаний. Если деньги упали на счет покупателя, нельзя их оттуда просто забрать.

Перевод подразумевает безусловное распоряжение владельца счета. То есть оно не отзывается. Однако надо быть уверенным, что распоряжение на перевод подано владельцем.

К чему я это написала. Если фраза "возможность перевести много денег на карточку по телефону без возможности отыграть все обратно" имела ввиду отменить неавторизованный перевод - это факап российского банка, это должно напрягать но в этом случае не важно, что произошло потом, важно, что доступ к счету получило неавторизованное лицо. А если "я сделал перевод , а потом передумал" - то браво российским банкам, они все сдеали правильно.

Все что я читаю про факапы российских банков не выходит сильно за рамки каких-то мировых тенденций. Везде надо бдить.

"PIN вписываешь от руки в форму и отдаешь его служащему" - Это, кстати, из серии "ужас, ужас, ужас". Если пин доступен "честным девушкам", то остальные методы защиты не особенно важны. Надо охранять этот пин теперь. Пин и является тем самым неотзывным методом авторизации, клиент обязан его держать в секрете. Транзакции с пинами практически не отзываемы. По хорошему, только через уголовку.

Я тоже лично не сталкивалась с мошенничеством, которое вредило мне. Но я не кликаю на ссылки в письмах из Нигерии, не веду бесед об авариях на несуществующей машине и т.п. Но это не значит что мошеничества нет. За исключением оплаты моими собственными детьми какой-то фигни в Роблоксе 😉
21.07.21 18:06
2 5

Вот например, "возможность перевести много денег на карточку по телефону без возможности отыграть все обратно". Тут что неправильно?
Объяснять "сотруднику банка" что плохого в невозможности оспорить операцию тут неправильно.

Какое отношение тюремные колл-центры имеют к топику, например?
Как это доказывает, что в России их больше, чем где бы то ни было?
Оба ваших вопроса взаимосвязаны.
В развитом мире это всё тоже существует, несомненно. Но является "частной инициативой" лишь относительно мелких группировок.

Тут же это всё поставлено "на поток" и активно крышуется самим же руководством пенитенциарных учреждений. А это самое руководство крышуется где-то ещё выше, уже "в кабинетах".

Итого...
• В первом случае – всё зависит лишь от грамотности действий полиции (которая действительно бывает сильно разная)).
• Во втором случае – всё зависит исключительно от "воли сверху".

Неужели вы не видите разницы??? Как вы думаете, в каком из вариантов такой вид мошенничества будет больше процветать???

Сколько раз у вас лично увели деньги при помощи тюремных колл центров?

Сколько раз у вас лично увели деньги при помощи тюремных колл центров?
Простите, но это глупый вопрос.

Я сам по себе весьма хитро...эээммм...пятоточковый – поэтому лично у меня не уводили ни разу. Но это не значит, что не уводили у других.

Так что вы пытались выяснить конкретно этим своим вопросом-то? Я так и не понял, честно... 🙂

Кредитными (речь о традиционнык кредитках, не дебетовых картах) картами часто нельзя расплачиваться за золото, нельзя гасить ипотеку, нельзя пукупать криптовалюту
Это называется квази кэш операции. Прямой перевод денег с карты. Банку сильно невыгодно делать эти операции с кредитных карт вот он их и запретил. Мой российский Альфа Банк разрешает, но берет высокую комиссию за каждый перевод.
22.07.21 06:17
0 0

Сколько раз у вас лично увели деньги при помощи тюремных колл центров?
Вот ты! Да - ты! Ты хоть раз утонул?! Нет?! Ну и нафига нам спасатели тогда?

Шикарная дырища в безопасности, не так ли?
После того, как слили все пароли с сайта Алекса, я перестал верить в то, что где-то нет дыр.
21.07.21 10:44
3 14

звонит на номер 900 подставляя на исходящий мой номер.
Тут недопонял. Почему мошенники этого не делают до звонка потенциальной жертве?
21.07.21 10:48
0 1

Почему мошенники этого не делают до звонка потенциальной жертве?
чтобы инфа была наиактуальнейшей?
21.07.21 11:18
0 1

Почему мошенники этого не делают до звонка потенциальной жертве?
Пототму, что неизвестно заранее: поведёся потенциальная жертва на развод или нет, доступна в сети, ответит на звонок и т.д.. А так, если повелась, то "страший " параллельно пробивает.
21.07.21 11:35
0 0

21.07.21 10:50
0 16

Во время общения с младшим сотрудником, старший звонит на номер 900 подставляя на исходящий мой номер.
Кто-нибудь прорвался сквозь частокол этих букв к смыслу фразы?
21.07.21 10:56
5 23

к смыслу фразы?
Как-то так:
1. Мошенник звонит жертве и представляется "младшим специалистом", они общаются (кстати, зачем?)
2. "Младший специалист" долго разводит лоха, потом говорит, что его полномочия исчерпаны, и он сейчас переключит на старшего
3. Старший даром времени до этого не теряет, а звонит на номер 900 через Voip, маскируясь под номер жертвы и далее совершает указанные в заметке действия.
4. Заполучив все данные, которые ему нужны, он, взяв трубку, переводит развод на новый уровень.
21.07.21 11:26
0 8

Все верно. Именно об этом говорится в статье по ссылке, что дал Алекс.


(кстати, зачем?)
Для того, чтобы у "старшего" было время пробить баланс.
21.07.21 11:30
0 4

Там какая то невнятная лабуда написана , про то что как то привязали к его кабинету мошенники свой номер и звонили с него..
21.07.21 11:57
2 0

может там биометрической вход используется?
"Чтобы сделать обслуживание проще и быстрее, СберБанк использует распознавание по лицу и голосу — только с согласия каждого клиента."
"При звонке в контактный центр пригодится голосовая биометрия — оператор задаст меньше вопросов для подверждения личности."
(источник)
21.07.21 10:59
1 0

А в чем дыра то? Если что, робот не называет номера карта.

"Автор @Александр Лопатин немного приукрасил. Позвонив на 900, запросив баланс, робот спрашивает последние 4 цифры, если назвать отболды, робот действительно говорит о доступных картах, но говорит о типе карты и последних 4 цифрах, то есть номер карты так узнать нельзя. Баланс робот называет. И так, как и раньше для атаки знать номер карты полный, текущая дыра лишь повышает вовлеченность разговора и доверие к звонившему. Но нужно подделать исходящий номер на 900 подставив номер жертвы. А номер карты утек раньше, просто базы обогощали где то."

По факту, робот сообщает последние 4-ре цифры, а не весь номер. По сути, все, что дает эта "дыра", это повышает доверие к липовым "специалистам службы безопасности" так как они могут назвать вам несколько больше реальных фактов.
21.07.21 11:00
5 14

Автор @Александр Лопатин немного приукрасил. Позвонив на 900, запросив баланс, робот спрашивает последние 4 цифры, если назвать отболды, робот действительно говорит о доступных картах, но говорит о типе карты и последних 4 цифрах, то есть номер карты так узнать нельзя. Баланс робот называет
Если «баланс робот называет» непонятно кому, то это уже дырища
21.07.21 11:18
1 13

Если «баланс робот называет» непонятно кому, то это уже дырища
Все же не абы кому, а по мнению систему - владельцу привязанного номера.
Все же подмена номера не такая тривиальная задача и в качестве выхлопа только информация по балансу вряд ли окупит затраты.
21.07.21 11:30
2 2

Все же подмена номера не такая тривиальная задача и в качестве выхлопа только информация по балансу вряд ли окупит затраты
«Информация по балансу», полученная практически бесплатно (время мошенников не в счет, у него их много), дает широкое поле деятельности для поиска жирных клиентов с последующим их обуванием
21.07.21 11:32
1 9

полученная практически бесплатно (время мошенников не в счет, у него их много),
Дело не только во времени. Вы не сможете просто так взять и подменить абы какой номер на абы какой. Это не так просто. Вот тут подробно про техническую сторону процесса: https://habr.com/ru/post/268789/
Все же стоит учитывать, что у банка несколько другой уровень взаимодействий с операторами связи и прочее. Поэтому простая подстановка через VOIP которой достаточно, чтобы убедить пользователя, не достаточно, чтобы обмануть банк.
21.07.21 11:47
4 4

По факту, робот сообщает последние 4-ре цифры, а не весь номер.
Сам по себе номер карты особой ценности не имеет. А вот баланс - да, ценная инфа. "Платежеспособность клиента" для последующего разводняка.
21.07.21 11:48
1 0

Все же стоит учитывать, что у банка несколько другой уровень взаимодействий с операторами связи и прочее. Поэтому простая подстановка через VOIP которой достаточно, чтобы убедить пользователя, не достаточно, чтобы обмануть банк.
Тут мы вступаем на скользкий лед предположений, какой на самом деле «уровень взаимодействия» c операторами именно у Сбербанка. И, главное, каков уровень реализации технических моментов с точки зрения безопасности. Тут я ничего конкретно сказать не могу.
21.07.21 12:28
0 4

уровень взаимодействия "всем насрать"
21.07.21 12:40
2 0

это повышает доверие к липовым "специалистам службы безопасности"
ВСЕГО ЛИШЬ???
Действительно, чего париться! ВСЕГО ЛИШЬ даем в руки мошенников офигительное средство повышения доверия.
Вот я бы реально поверил, что звонок из банка, если бы мошенники предоставили МНЕ такую информацию (последние цифры и остаток)...
Понятно, что снимать деньги через банкомат и переводить их на "безопасный счет" я бы не стал, но кто знает, что они придумают в следующий раз! например, можно выведать номер паспорта и кодовое слово, чего уже достаточно для многих безобразий.
21.07.21 12:59
0 3

Вот тут подробно про техническую сторону процесса:
Ну это лишь один из вариантов "спуфинга Caller ID":

Как мы можем знать, что нет других, более достоверно имитирующих методик, особенно зная "дырявость" протоколов SS-7?
21.07.21 13:13
0 0

(время мошенников не в счет, у него их много)
У времени много мошенников?
21.07.21 13:39
0 2

(время мошенников не в счет, у него их много)У времени много мошенников?
Все наоборот, конечно) typo
21.07.21 14:01
0 0

Я тут случайно знаком с сотрудниками Сбера )
Они говорят, что при звонке на 900 с подставными номерами сотовые операторы блокируют вызов, это же должен быть звонок с сотового, и оператор отлично видит, с устройства с данным номером звонок или из вне. А на городских номерах (8-800- ) этот сервис не работает.
И второе, вызова от этого клиента в эти дни не было.
21.07.21 11:05
1 4

Ага, вот это уже реальная инфа, а не фейк.
21.07.21 12:22
0 1

Они говорят, что при звонке на 900 с подставными номерами сотовые операторы блокируют вызов
Сбер ДУМАЕТ, что умеет различать подставные и реальные номера. Насколько реально это умение на практике - мы можем только гадать.
Обатный номер - это так себе способ авторизации, что бы ни говорили эффективные менеджеры.
21.07.21 12:55
0 2

Отвечу как человек немного знакомый с телефонией и работой конакт-центров:
1. Для звонков по коротким номерам, хоть 900, хоть 4242, надо заключать договор с оператором сотовой связи на маршрутизацию этих вызовов на номер заказчика. То есть для номера 900 с МТС, Билайном, Мегафоном (может Теле2 и кто-то еще) заключается договор на эту услугу. То есть позвонить с устройства вне сотовой сети по номеру 900 нельзя.
2. Оператор смотрит на номер сим-карты, а номер телефона - это уже наши человеческие алиасы, так сказать. То есть что бы сделать звонок с подставного номера надо подделать заголовок запроса от сим-карты, а вот это оператор как раз проверяет. Или подделать все данные сим-карты. "Но это уже совсем другая история" )
21.07.21 13:41
0 3

1. Для звонков по коротким номерам, хоть 900, хоть 4242
Короткий номер — это тоже «алиас». Если мошенникам стал известен «обычный» номер (и если он существует, конечно), который ему соответствует, то можно позвонить на него с подмененного номера (и вне сотовой сети, в теории), и тут уже операторский фильтр (по симке и ИМЕИ) не действует, например. Зависит от настроек маршрутизации на эти короткие номера, получается
21.07.21 13:56
1 3

То есть что бы сделать звонок с подставного номера надо подделать заголовок запроса от сим-карты, а вот это оператор как раз проверяет.
1) Как проверит оператор? На каждый звонок – запрос в БД мобильного оператора? Там ничего не треснет ни с одной стороны с такого количества запросов?
2) Это МЫ думаем, что "проверяет". На деле же, даже если вдруг реально проверяют (в чём очень-очень сильно сомневаюсь, см. выше) – простейший элемент MITM, многие операторы тупо в запарке от звонков и "проверять" ничего не будут. На то и расчёт...

Ляпы у Сбера не возможные, а реальные.
21.07.21 11:08
1 3

Робот услужливо называет номера всех действующих карт
Не верю. Скорее всего сообщает последние 4 (максимум 6) цифр номера карты.
А, вот выше тоже написали.
21.07.21 11:17
0 8

так и есть, только что проверил на себе, но все равно это неправильно,
назвал роботу неверный номер, а тебе в ответ все нормальные перечисляют.
21.07.21 12:38
0 3

Если у вас привязана одна карта (распространенная ситуация, согласитесь), то и гадать не надо. Говоришь роботу "остаток по карте" и он сам тебе назовет и номер и остаток.
21.07.21 12:52
0 0

кому назовёт? Любому желающему или тому, кого считает владельцем счета? Если первое - серьезный факап, а если второе - в чем проблема? В том что владельцу счета сообщен его баланс? Это конечно ужасная дыра безопасности, надо запретить владельцам счетов запрашивать остатки.
Другой вопрос - как робот убеждается, что позвонивший и есть владелец счета. Так что если там и есть дыра в безопасности, то на этапе идентификации звонящего. И тут не понятно, почему мошенники останавливаются на этапе узнавания остатка, почему не уволят деньги со счета, если они могут получить к нему доступ.
21.07.21 23:30
2 1

И тут не понятно, почему мошенники останавливаются на этапе узнавания остатка, почему не уволят деньги со счета, если они могут получить к нему доступ.
Элементарно ведь. Главное для мошенников – собрать достаточные данные для дальнейшей "социальной инженерии" (с минимумом рисков раскрытия преступного замысла уже на начальном этапе). Остальное жертва сообщит сама. А там уж...

Зачем социальная инженерия если вы так легко можете обмануть робота и получить доступ к счетам? Зачем усложнять и так нелегкий путь к деньгам?

Зачем социальная инженерия если вы так легко можете обмануть робота и получить доступ к счетам?
Вам ведь комментарием ранее сказали. Обман робота сам по себе не даёт доступ к счетам – он всего лишь "ключ" к социальной инженерии по дальнейшей обработке жертвы.

с другого номера пробовали узнать баланс своей карты ? или со своего номера баланс чужой карты?

Что-то прямо не дыра, а дырища. Знаю лично программиста сберовских систем, попробую узнать у него, в курсе ли он про такую шляпу, и кого там надо пнуть, чтобы поправить. Вот только он в отъезде сейчас.
21.07.21 11:35
6 0

А при чём тут программист?
Это эффективные менеджеры, которые заставили программистов написать такой скрипт.
Продвигают как "полезную услугу" для клиентов. Премии за это получают годовые.
21.07.21 12:21
0 5

Это эффективные менеджеры, которые заставили программистов написать такой скрипт
а пограммисты сберки засунули в жопу языки и породили такое уродство. Конечно, они здесь не при чём...
21.07.21 13:15
3 0

Ой, да будто вы не работали в крупных компаниях.
Я вас умоляю. За такие зарплаты будете молчать в тряпочку и делать что угодно.
21.07.21 13:24
0 1

Ой, да будто вы не работали в крупных компаниях
в сберке - не работал. В более крупных и за более крупную зарплату - работал. Не представляю, чтобы кто-то из меня или коллег согласился делать откровенную подставу. Начиная с профессиональной этики (понимаю, что пограммистам сберке это сочетание слов незнакомо) и заканчивая тем, что в подобных сберке заведениях тебя же стрелочником потом и выставят. Видимо, в сберку совсем уже сброд собирают...
21.07.21 13:29
3 1

Сброд или нет, а зарплаты платят хорошие.
21.07.21 13:56
1 0

Видимо, в сберку совсем уже сброд собирают...
Не надо за глаза поливать всех грязью. У меня там знакомые работают в айти, весьма годные спецы. За всех работников понятное дело сказать не могу, но в любой крупной конторе есть и отличные, и так себе. И кстати в статье какие-то фантазии, сберовский робот никогда не называл номера всех карт.
21.07.21 14:34
2 0

У меня там знакомые работают в айти, весьма годные спецы.
годные, но делают говно. На vc они выжимают слезу, - ну, а чо, нам говорят делать говно, мы и делаем говно... - по-моему, сброд и есть. Ни чести ни совести.

И кстати в статье какие-то фантазии, сберовский робот никогда не называл номера всех карт.
того, что называет - более, чем достаточно.
21.07.21 15:04
3 1

Ни чести ни совести.
Вы разработчик? Мне кажется, нет. Вам руководство ставит задачу, нужно написать вот такой функционал, вам лично этот функционал не нравится, и вы говорите - я это писать не буду, я увольняюсь. Так, что-ли? Вы в какие-то крайности впадаете.
21.07.21 15:08
0 3

Сброд или нет, а зарплаты платят хорошие.
там как-то волнами. Мне как-то предлагали, но зарплата была так себе. Когда спросил могут ли побольше и что для этого нужно сделать, погрустнели и сказали, что для инженера это верх, больше только у манагеров. А потом, через некоторое время, опять выше рынка предлагали, но мне уже не интересно было.
21.07.21 15:09
1 0

Вы разработчик? Мне кажется, нет.
последние 20 лет - разработчик.

Вам руководство ставит задачу, нужно написать вот такой функционал
функционал - это - это отображение из произвольного множества в кольцо.
И то, что вы описали - задачки для разработчиков уровня джуна. Или уровня сберки.

вам лично этот функционал не нравится, и вы говорите - я это писать не буду, я увольняюсь. Так, что-ли?
нет. В нормальных организацииях и процессах этому этапу предшествует ещё несколько этапов на части из которых я могу обоснованно сказать - ребята, это - говно, если мы это сделаем, то огребём там-то и там-то. Обычно, колеги достаточно вменяемые, чтобы не игнорировать потенцииальные проблемы.

Вы в какие-то крайности впадаете.
если в сберке процесс построен именно так, как вы описали, то это и есть какая- то запредельная крайность и дикость (да, я тоже слышал, что там на лизании жопы грефа всё прстроено). Тогда неудивительно, что такой результат.
21.07.21 15:20
5 2

Где, в сбертехе? Ну если речь о лет 5 назад, то да, ЗП там были оччень хорошие.
Теперь уже не очень.
21.07.21 15:42
0 0

если в сберке процесс построен именно так, как вы описали, то это и есть какая- то запредельная крайность и дикость
Я не в курсе, как там процесс построен, не интересовался и никогда там не работал. Про крайность я имел ввиду, что вы на основе фантазий (а фантазии в его рассказе присутствуют) какого-то недовольного клиента, который где-то в интернете высказался, строите мнение обо всех специалистах, которые в сбере работают.
21.07.21 15:46
0 0

Про крайность я имел ввиду, что вы на основе фантазий
ну, это не фантазия. Несмотря на то, что весь номер СЕЙЧАС они не выдают, это пахнет преизрядно. Подтверждения про то, что ранее выдавался и весь номер я тоже читал.
Стоны сберковских, - нам сказали, мы сделали под угрозой увольнения, - читал на vc.ru , да, вот и вы, судя по вашим сообщениям, считаете, что нормально. А я считаю, что это нормально только для сброда, себя не уважающего.

строите мнение обо всех специалистах, которые в сбере работают.
ну, отчего же? Я имел неудовольствие контактировать и с другими их, с позволения сказать, "продуктами".
21.07.21 16:29
0 1

Подтверждения про то, что ранее выдавался и весь номер я тоже читал.
А чего только я не читал в интернете, такие истории, что закачаешься. И про банки тоже, и про что угодно, часто дивные совершенно фантазии, к реальности мало имеющие отношения. В одной из прошлых тем я приводил пример про одного бывшего сотрудника нашей компании, который такие небылицы рассказывал про компанию после увольнения, что мне подумалось, что он или под веществами, или у него крыша съехала.

ну, отчего же? Я имел неудовольствие контактировать и с другими их, с позволения сказать, "продуктами".
Я пользуюсь услугами четырех банков - альфа, газпром, сбер и райфайзен. Сбер не хуже многих. Да, когда-то это был один из худших банков по обслуживанию, но сейчас он вполне нормален. Мне больше нравится райфайзен из перечисленных, но я не могу сказать, что сбер вот прямо кошмар, вполне нормальный.

да, вот и вы, судя по вашим сообщениям, считаете, что нормально
Не нужно мне приписывать того, чего я нигде не заявлял. Кроме того, никакой секретной информации робот не выдает, тем более, посторонним лицам. К тому же, чтобы получить от него какие-то хотя бы частичные данные, нужно подменить номер телефона клиента, и обойти проверку поддельных номеров, а это сделать непросто, просто это только у мамкиных знатоков, начитавшихся ужасов в интернетах. Поэтому совершенно непонятно, с чего вы разработчиков называете сбродом и людьми без чести и совести, робот что, предоставляет данные всем и каждому? Нет, не предоставляет. Поэтому я и написал, что вы впадаете в крайности, к тому же по надуманному поводу.
21.07.21 17:18
1 3

Вы разработчик? Мне кажется, нет. Вам руководство ставит задачу, нужно написать вот такой функционал, вам лично этот функционал не нравится, и вы говорите - я это писать не буду, я увольняюсь. Так, что-ли?
DevSecOps? Нет, не слышали.
21.07.21 20:02
0 0

Здрасте, приехали.
Сведения об остатках на счетах - банковская тайна, вообще-то.
21.07.21 20:16
0 0

пограммисты
У вас это постоянная опечатка прямо-таки.

Здрасте, приехали.
Сведения об остатках на счетах - банковская тайна, вообще-то.
Ну и? Робот всем желающим эту тайну сообщает? Нет, не сообщает. Только при звонке с телефона, который клиент указал как свой личный номер при оформлении договора, то есть когда робот идентифицирует человека как клиента. Вы никак не можете узнать чужой остаток честным образом. Ну а хакерство, социальная инженерия и прочее - это буйным цветом растет в современном мире уже давно, и то, что сложным образом подделав номер, что доступно далеко не каждому, можно узнать не так уж и много информации - не делает сбер плохим. На фоне компаний, где уходят клиентские данные миллионами аккаунтов, где воруют целые базы данных, включая текущие разработки, все это негодование сбером по текущей истории (приукрашенной) выглядит раздутым из ничего.
21.07.21 23:07
1 1

DevSecOps? Нет, не слышали
И что вы хотели этим сказать? С секьюрностью там все нормально, а подделка номеров телефонов это даже не сбера проблема, а оператора связи. Хотите максимально закрыть возможные утечки? Отменяйте весь интернет-банкинг, приложения на телефонах, пластиковые карты, банкоматы, и так далее, и возвращайтесь к сберкнижкам.
21.07.21 23:09
0 0

пограммисты
У вас это постоянная опечатка прямо-таки.
нет, конечно. Я ж в самый первый ещё сказал 😄
Эти криворукие пограммисты не заслуживают высого звания программиста 😉.

Робот всем желающим эту тайну сообщает?
именно так.

и то, что сложным образом подделав номер, что доступно далеко не каждому,
какая разница, каждому иои не каждому? Ключевое слово - доступно.

На фоне компаний, где уходят клиентские данные миллионами аккаунтов, где воруют целые базы данных, включая текущие разработки
обана - #ачотакова, #всетакделают! Ещё про негров забыли написать. Которых вешают.
21.07.21 23:20
3 2

Сведения об остатках на счетах - банковская тайна, вообще-то.
"Ну, как - тайна..
Так, секретик..."
21.07.21 23:21
0 0

С секьюрностью там все нормально
нет, вообще не нормально. Критически важная информация доступна любому скрипт-кидди без какой либо аутентификации. Все нормальные люли второй, а то и третий фактор аутентификации добавляют, а дебилы сберки отрывают последний и единственный. Передайте вашим знакомым недоспециалистам из сберки, что они - болваны. Полные.
21.07.21 23:23
3 0

И что вы хотели этим сказать? С секьюрностью там все нормально, а подделка номеров телефонов это даже не сбера проблема, а оператора связи. Хотите максимально закрыть возможные утечки? Отменяйте весь интернет-банкинг, приложения на телефонах, пластиковые карты, банкоматы, и так далее, и возвращайтесь к сберкнижкам.
Нет, это я к тому, что если руководство ставит задачу написать какой-то функционал, и этот функционал вам не нравится (по причине того, что он небезопасен), то вы просто прямо говорите руководству, что этот функционал реализовать невозможно.
21.07.21 23:32
0 0

Что то мне не кажется, что среди программирований такая уж безработица, что надо делать заведомо небезопасные продукты за мизерные деньги.
21.07.21 23:36
0 0

именно так.
какая разница, каждому иои не каждому? Ключевое слово - доступно.
У вас в одном ответе противоречащие высказывания. 20 лет говорите разработчик? Вы в двух предложениях путаетесь, боюсь представить, что у вас в коде происходит.

Критически важная информация доступна любому скрипт-кидди
Какая еще критически важная? Остаток по счету? Да уж, обосраться какая критичная инфа, все сгорело, бежим.

Передайте вашим знакомым недоспециалистам из сберки, что они - болваны. Полные.
С чего вообще вы сделали выводы, что мои знакомые каким-то образом причастны к разработке этого телефонного робота? Вы непоследовательны и делаете допущения на каждом шагу.

обана - #ачотакова, #всетакделают! Ещё про негров забыли написать. Которых вешают.
Пошли передергивания. Думаю, пора нам с вами прекращать этот диалог, мне уже неинтересно, а вы судя по всему просто потроллить зашли.
21.07.21 23:39
1 2

Нет, это я к тому, что если руководство ставит задачу написать какой-то функционал, и этот функционал вам не нравится (по причине того, что он небезопасен), то вы просто прямо говорите руководству, что этот функционал реализовать невозможно.
Как правило такие вещи обсуждаются, и нормальные разрабы понятное дело постараются не допустить такой код до продакшена. В данном случае какой-то серьезной проблемы не наблюдается, во-первых, нужно подделать номер, что в общем сложно назвать проблемой сбера, во-вторых, ничего серьезного робот не сливает даже в таком случае.
21.07.21 23:41
0 0

Как правило такие вещи обсуждаются, и нормальные разрабы понятное дело постараются не допустить такой код до продакшена. В данном случае какой-то серьезной проблемы не наблюдается, во-первых, нужно подделать номер, во-вторых, ничего серьезного робот не сливает даже в таком случае.
Если верить первоначальному посту (проверить, увы, не могу - у меня нет счёта в Сбере), то всё-таки робот сливает информацию, составляющую банковскую тайну. Пусть даже и ограниченную (остаток на счёте).

И если это действительно работает так, как было описано, то Сберу следует изменить процедуру идентификации пользователя. А если не работает, то выпустить соответствующий пресс-релиз.
22.07.21 00:05
0 0

Если верить первоначальному посту (проверить, увы, не могу - у меня нет счёта в Сбере), то всё-таки робот сливает информацию, составляющую банковскую тайну. Пусть даже и ограниченную (остаток на счёте).
Да, если звонить с привязанного номера, то узнать остаток можно. Возможно сбер собирает биометрики в частности для повышения безопасности в дальнейшем. Но вообще это кривовато конечно, например робот альфы при запросе баланса отправляет смс, вслух не проговаривает цифры. В общем-то я догадываюсь, зачем в сбере сделали такую функцию роботу - у них много клиентов пенсионного возраста, и им бесполезно смски слать, они их не читают, к примеру, отец моей жены до сих пор не выучился обращаться со смартфоном и пользуется древним кнопочным телефоном, причем только звонками. Видимо надо вводить какой-то запрос пароля, с другой стороны, они эти пароли постоянно забывать будут. Может там взвесили возможные риски и количество случаев подмены номера, и решили, что серьезной проблемы нет.
22.07.21 01:07
1 0

В данном случае какой-то серьезной проблемы не наблюдается, во-первых, нужно подделать номер, что в общем сложно назвать проблемой сбера, во-вторых, ничего серьезного робот не сливает даже в таком случае.
А в третьих мы не знаем главного - причин по которым так было сделано. По опыту взаимодействий со сбером не раз сталкивался со странными на первый взгляд решениями с моей точки зрения, но вполне логичными с точки зрения банка вынужденного оперировать с очень разными пользователями, уровень технической грамотности которых оставляет желать сильно лучшего.
22.07.21 09:26
0 2

Может там взвесили возможные риски и количество случаев подмены номера, и решили, что серьезной проблемы нет.
Почти наверняка так. Была у меня как-то история - звонил я в сбер, там у меня запросили кодовое слово (давно дело было, еще до всяких роботов), я его называю, а мне говорят - неверное, извините. Я аж офигел. Долго бодался, разбился, вышел на менеджера, который реально помог разобраться в вопросе, а не просто оправил в пешее эротическое и таки выяснилось все.
На моей текущей работе только-только перешли на зарплатный проект в сбер и на всех сотрудников заказали выпуск какрт. Не спрашивая их. Типичная практика в те года была.
Я, так как уже имел карту, при получении своей написал отказ, конверт с картой не вскрывал и брать ее не стал. А как оказалось, что работодатель вместе с представителем отделения которое выпустили карты оказали всем сотрудникам "услугу" и заполнили за них все анкетные данные. И, вот тут самое волшебное, в качестве кодового слова всем прописали их даты рождения. Учитывая основной наш рабочий контингент такое действие опять же было более, чем оправдано. А в итоге получилось, что работодатель сделал как считал лучше. Сбер отработал по регламенту и при оформлении нового договора с новым кодовым словом поменял кодовое слово в системе (так как кодовое свое слово не помнил практически никто, я специально опрашивал коллег), а я оказался тем самым исключением которое споткнулось о работающий механизм.
В итоге, кстати, все закончилось тоже интересно. Тот самый менеджер, осознав что гонять меня лично с паспортом, писать заявления и прочее не слишком красиво применил изящный лафхак. Он заказал на мое имя еще одну, новую карту, котору привезли в то отделение, куда мы договорились. Я получил карту, вписал новое кодовое слово при заполнении документов, а карту порезал на медиаторы. 😉
22.07.21 09:37
0 1

А в третьих мы не знаем главного - причин по которым так было сделано. По опыту взаимодействий со сбером не раз сталкивался со странными на первый взгляд решениями с моей точки зрения, но вполне логичными с точки зрения банка вынужденного оперировать с очень разными пользователями, уровень технической грамотности которых оставляет желать сильно лучшего.
Оставлять явную дыру в безопасности (пусть даже вам она и не кажется серьёзной) ради клиентов с низкой технической грамотностью - это, как минимум, странно. А вообще за это контролирующие органы должны Сбер наказать рублём. Это, разумеется, в случае, если исходный пост - правда.
22.07.21 09:45
0 3

Все больше утверждаюсь во мнении, что старый добрый нал по-прежнему акутален.:))
21.07.21 11:41
0 0

Зато Сбер активно пихает в свое приложение антивирус "от товарища майора", который [антивирус] призван защитить пользователя от разного рода мошенничества и слива информации. 🙄
21.07.21 11:49
4 7

И что, это плохо?
21.07.21 12:20
3 2

И что, это плохо?
Для товарища майора, несомненно - хорошо. В случае, когда довольствия не хватит на очередную ауди, можно торгануть данными и ничего тебе за это не будет.
У. Удобство.

Ну вы прям наивный человек.
Товарищ майор знает о вас всё при желании, законы о слежке давно подписаны.
А вы на антивирус гоните.

Товарищ майор знает о вас всё при желании, законы о слежке давно подписаны.
Чтоб "по закону" - это тужиться надо. А тут - мимо законов, мимо логов и в один клик.

Ой, ладно, не буду мешать вам бояться.

Ой, ладно
Надоев! Тут в слове "всё" ошибки.

ПолуОФФ: ещё более красивая дыра - у айфонов (если верить оскандалившимся NSO group): их iMessage способен запустить вложение (или пойти по ссылке) от ЛЮБОГО абонента, даже если его вообще нет в списке контактов.

iMessage способен запустить вложение (или пойти по ссылке) от ЛЮБОГО абонента, даже если его вообще нет в списке контактов.
а должен ходить по ссылкам только от абонентов из списка? Но почему?!?

а должен ходить по ссылкам только от абонентов из списка?
Вам слово "даже" ни на что не намекает?

Вам слово "даже" ни на что не намекает?
нет, а должно? Если мне прислал ссылку кто-то, кого ДАЖЕ нет в списке контактов, то айфон должен запретить мне по ней перейти? Но почему?!?

Если мне прислал ссылку кто-то, кого ДАЖЕ нет в списке контактов, то айфон должен запретить мне по ней перейти?
А, я понял, заднеприводное чтение.
iMessage запускает. Сам. Не пользователь.

-
21.07.21 12:50
2 0

И что мошеннику даст знание текущего счёта моей карты? Я, например, совершенно не знаю точной суммы остатка на свой карте, ибо расплачиваюсь постоянно ею и могу лишь контролировать порядок остатка, да и то не всегда. Если мошенники сообщат мне точный остаток на моей карте, буду благодарен им, ибо не придётся самому подавать запрос на это дело.
21.07.21 12:53
1 2

И что мошеннику даст знание текущего счёта моей карты?
следующий уровень доверия к "специалисту службы безопасности".
21.07.21 13:19
3 2

Как-то при моей попытке перебросить на счёт моей племянницы некоторой суммы денег со своей карты, банк мгновенно заблокировал мою карту, приняв это за подозрительную транзакцию. О чём более говорить?
21.07.21 13:26
1 0

О чём более говорить?
вы о сберке? Да, эти идиоты часто блокируют карту на нормальных транзакциях и позволяют снимать произвольные суммы мошенникам. Я бы не пользовался банком, оставляющим меня без средств за перевод племяннице.
21.07.21 15:30
3 1

Это нормальная реакция банка - банку пофиг племянница там или Греф
Разблокируется тоже в течение 5 минут
21.07.21 16:50
1 1

Это нормальная реакция банка
нормальная реакция банка на перевод? До сих пор считал, что нормальная реакция банка на перевод - это перевод денег. Оказывается, нет. Чудны дела твои, осподи!
21.07.21 18:26
4 2

Это нормальная реакция банканормальная реакция банка на перевод?
На перевод крупной сумы клиенту с которым ранее не проводилосьт никаких операций? Да, более чем нормальная. После этого идет остановка подозрительной транзакции, а банк у владельца запрашивает дополнительное подтверждение операции, и если все ок, снимает операцию с холда. И нет, при подобных операциях карта не блокируется, приостанавливается конкретный перевод до выяснения. А вот если "выяснение" показало, что владелец плавает в показаниях, то тогда да, могут и карту блоканут от греха подальше и опять же будут правы.
22.07.21 09:18
0 2

Клиентом сбера уже давно не являюсь. Но сбер не забывает ))
Однажды лет пять назад на телефон стали приходить смски о чьих-то операциях, можно было баланс запросить и тд. Какая-то неизвестная мне девушка, явно небогатая.Не знаю, насколько глубокая дырка безопасности была. Будучи честным человеком, пошел пешком в сберовское отделение и написал жалобу по этому поводу. Доступ закрыли
А перед этим однажды обнаружил у себя дома в почтовом ящике сберовскую карту, со вскрытым конвертом (!) и письмом типа "вот вам наша новая карта"
21.07.21 13:22
6 3

PS Мое убеждение – с этой конторой иметь дело нельзя.
А по нормальному, так и вообще ее нужно дробить и приватизировать.
21.07.21 13:24
5 1

А по нормальному, так и вообще ее нужно дробить и приватизировать
банкротить и, наконец, выплатить украденные в 90х вклады.
21.07.21 16:30
4 0

Ой, у меня в сбербанке СССР был открыт "детский" счет с 1000 рублей которые можно было получить по достижении совершенолетия.
К моим 19 годам тысяча не то что были не денги - но парится с их полчением на каникулах ну никак не хотелось, потом Павлов, заморозки вкладов, Независимость, потом переход на тенге, потом ка кто все закрутилось и году таки в 2007 ХалыкБанк решил вернуть награбленное удержанное. В общем награда нашла героя, милая девушка с плохо сдерживаемым возмущением поинтересовалась когда же я приду забирать свои сбережения (аккурат пачка сигарет, кружка разливного пива и на чай официанту).
Натурально, билет туда-сюда до города моего детства стоил раз в 7 дороже, а никаких вариантов кроме как "где счет открывали, туда и идите" не предусматривалось, Барышне было предложено засунуть эти деньги на благотворительность и больше я с ними никаких дел в качестве клиента никогда не имел.
21.07.21 22:37
3 1

Жаль вас с Михаилом разочаровывать, но вас обворовали не в 90-е, а намного раньше. Советские деньги не были обеспечены товарами и услугами в достаточном объеме, и пока этих товаров было в дефиците, вы эти деньги откладывали. Вам платили фантиками, похожими на деньги, а потом однажды обман раскрылся.
21.07.21 23:59
2 7

и пока этих товаров было в дефиците, вы эти деньги откладывали.
нет, иам другая история.
28.07.21 19:53
1 0

Некоторое время назад мне на электропочту стали приходить письма от Сбербизнеса, в котором человек с такими же как у меня именем и фамилией зарегистрировал ИП. В письмах были номера ИНН, счетов, названия эккаунтов, и т.п. При этом я клиентом ни Сбера, ни Сбербизнеса не являюсь, и мне не хочется получать письма с персональными данными других людей.
В службу поддержки звонил 4 раза, они не могли решить проблему в течение двух недель (потом всё же решили -- письма перестали приходить). В какой-то момент специалисты признали, что их система не требует подтверждения почты. В 21-м году 21-го века, господа! Человек пишет любую почту (допуская ошибку), не подтверждает её (это ведь мне приходит, не ему), и далее закономерно ничего не получает, а его персональные данные начинают утекать налево. Мне-то что, нажал кнопку Спам и забыл, но сложно поверить, что остальное у них сделано менее криворуко...
egi
21.07.21 13:31
0 2

Если вам станет легче - это не только проблема Сбера или России.

Нам (в ЮК) в течении недели пришло несколько писем из разных графств на имя Джона Ли (имя уже намекает как бы) со штрафами на машину, зарегистрированную на наш адрес. Мы естественно никакого Джона Ли не знаем, на этом адресе уже много лет живем и такая машина нам тоже не известна. Как можно зарегистрировать машину на адрес без ведома жильцов - мне не понятно. Я им всем позвонила, мне сказали - ноу проблем. Просто пошлите это письмо обратно, а на конверте напишите, что получатель не известен по этому адресу. Ок, сделала. Позвонила в DVLA (это где машины на учет ставят). Там мне сказали - донт ворри, напиши нам письмо. Ок, сделала.

Мне продолжали приходить напоминания об этих штрафах, я отправляла письма обранто. Недавно пришло письмо от коллекторов. Позвонила им, рассказала, они удивились потому что обычно (то есть это не необычная ситуация!) все решается по первому звонку.

Ну что сказать, не удивлюсь если коллектор постучит нам в дверь. Придется доказыват, что я не Джон Ли.
21.07.21 14:01
1 7

. Придется доказыват, что я не Джон Ли.
Вот ты и попался, Джон Ли! 😄
21.07.21 15:08
0 10

Полный тезка как-то оформил билет на аэрофлот а в почте допустил очепятку.
В итоге я охренел от того, что я лечу в Нижневартовск.
21.07.21 15:38
0 2

Полный тезка как-то оформил билет на аэрофлот а в почте допустил очепятку.
В итоге я охренел от того, что я лечу в Нижневартовск.
Ну тут же на Аэрофлота вина, как я понимаю? Опечатку допустил клиент.

А кстати, как в России проверяют адреса? Точнее говоря, проверяют ли их. Я не владею текущей информацией, но 10 лет назад в Латвии адреса не проверялись. Мне кажется, можно было самому свой адрес в системе менять. Короче, я работала в банке, не помню никакого гемора с проверкой адресов. Более того, помню мы как брокерская кантора открывали счет на Западе и у директора попросили счет за коммунальные услуги на его имя. Он жил в съемной квартире и все счета были на владельца и мы все сидели и дружно возмущались тому, какие нереальные запросы нам выставляют.

Теоретически, клиент мог сам указать неверный адрес (не знаю с какой целью, но в принципе).
21.07.21 15:54
0 0

Придется доказыват, что я не Джон Ли.
Может, твой муж шифруется?
21.07.21 17:18
0 4

Может, твой муж шифруется?
А это вариант!
21.07.21 18:23
0 2

Может, твой муж шифруется?
А это вариант!
Идея для сериала "Тайная жизнь Джона Ли". 😄
Вспомнилась одна история: medialeaks.ru

А кстати, как в России проверяют адреса? Точнее говоря, проверяют ли их.
Я пользовался многими сервисами, где надо указывать емэйл, так как на него будут приходить уведомления, счета, квитанции... Многие проверяют указанную почту. На неё приходит письмо со ссылкой, которую надо нажать и всё. Очень простая операция. Но немало и тех, кто не проверяет, и мне приходили чужие документы, в том числе и финансовые. Часто это бывает там, где клиент лично заполняет данные в офисе в бумажной форме, например, в ИНВИТРО. Мне приходил документ из ИНВИТРО с чужими результатами диагностики! Медицинская тайна, йопта...
22.07.21 14:21
0 0

Меня вообще несколько напрягают все эти телефонные дела. В ЮК ты звонишь по телефону и тебе зададут стандартные вопросы - имя, номер телефона, адрес, день рождения, эта информация есть во стольких местах, что я ее не рассматриваю как приватную. Иногда спрашивают кодовое слово, но не все (речь не только о банках тут, самоуправление, коммунальные компании, штрафы. Я уже как-то расслабилась, у меня на личном счету деньги обычно перманентно начинают заканчиваться, так что много не уведешь.

Опять таки номер карты это хорошо, но не достаточно. нужен еще срок годности и код (хотя вот на Амазоне код не нужен, а что-то никто не орет про дыру в безопасности, хотя я не понимаю, как это может быть в 21 году 21 века). Опять-таки транзакции по картам оспариваются.
А вот ситуация с директ дебит меня напрягает. Я регулярно оформляю разные директ дебиты на счет мужа 😉, но это по крайней мере наши семейные расходы, но ведь так можно и черт знает что привязать к счету и как потом доказывать, что это был не ты?

На самом деле в вопросах автоматизации я не перестаю удивляться отсталости британских банков в сравнении с тем,что я видела в Латвии (я сужу как пользователь). Двадцать лет назад это обяснялось тем, что нам повезло и надо все делать с нуля и мы имеем шанс делать все на новых технологиях, тогда как на Западе уже устоявшеся системы и там трудно что-то менять. Но прошло 20 лет, а все так же.
21.07.21 13:45
1 2

отсталости британских банков
осталости британского всего. Чего ты хочешь от страны, где не все еще знают о смесителях, и туалеты даже в самых навороченных офисах -- типа "бачок"

А в Сантадере три шкуры снимут по телефону, не отделаешься DOB и т д
21.07.21 17:06
0 0

А вот ситуация с директ дебит меня напрягает. Я регулярно оформляю разные директ дебиты на счет мужа 😉, но это по крайней мере наши семейные расходы, но ведь так можно и черт знает что привязать к счету и как потом доказывать, что это был не ты?На самом деле в вопросах автоматизации я не перестаю удивляться отсталости британских банков в сравнении с тем,что я видела в Латвии (я сужу как пользователь). Двадцать лет назад это обяснялось тем, что нам повезло и надо все делать с нуля и мы имеем шанс делать все на новых технологиях, тогда как на Западе уже устоявшеся системы и там трудно что-то менять. Но прошло 20 лет, а все так же.
Отсталость, не отсталость - но мне банки в UK всегда возвращали деньги на счёт в случае транзакций, которые я не совершал. Без малейших вопросов. Даже по дебетовым картам. И бесплатно скомпрометированные карты перевыпускали. А вот с Альфа-Банком в России мне как-то пришлось пройти семь кругов Ада, чтобы оспорить какие-то жалкие 5тыс. рублей.

А с Direct Debit - нужно просто следить за счётом. Хотя я, честно говоря, ни разу не слышал, чтобы через DD кто-то что-то воровал. 😄
21.07.21 17:46
0 0

А с Direct Debit - нужно просто следить за счётом. Хотя я, честно говоря, ни разу не слышал, чтобы через DD кто-то что-то воровал. 😄
Тут где-то привели пример про Кларксона и чарити.
Я вот регулярно на мужа какие-то регулярные платежи вешаю 😉

Вопрос не в отмене покупок, тут да, все хорошо, там много чего операционно странно.

Например, только недавно стали проверять соответствие номера счета и имени получателя.
Лишь пару лет как стало возможно видеть остатки по кредитной карточке в интернет банке
Как-то раз я сделала перевод, а потом через пару месяцев мне надо было снова туда же заплатить, казалось бы, чего проще, зайди в историю транзакций и скопируй платеж - ан нет, нельзя.
Нельзя сделать выписку за долгий период времени. Надо печатать несколько месячных отчетов.
У нас потребительский кредит в Барклайсе, когда захотели узнать, каков по нему остаток - выяснилось, что это сделать нельзя. Надо сделать запрос, они посчитают и пришлют письмо домой. В интернет банке этот кредит в принципе не виден.
Я уже не говотю про лимит в 30 символов для цели платежа.

И таких старнностей полно.
Это все в Барклайсе, может в других местах потехнологичней.
21.07.21 18:22
0 2

Это все в Барклайсе, может в других местах потехнологичней.
Видимо всё-таки от банка зависит. В HSBC есть (и много лет уже было) и остатки по кредитным картам, и по потребительским кредитам, и история получателей переводов (хотя полностью скопировать всю информацию нельзя - видимо для безопасности).

Выписку за долгий период в HSBC сделать нельзя. Но мне эта услуга требовалась всего пару раз и нужны были официальные бланки, так что всё равно пришлось идти в отделение банка. А там не важно за какой период требуется выписка - всё равно их делают со скоростью смертельно усталой черепахи.
21.07.21 19:50
0 2

На самом деле в вопросах автоматизации я не перестаю удивляться отсталости британских банков
Мне повезло, что я уже 20 лет с "Barclays", их мобильное приложение меня устраивает на все 100, я в "brick-and-mortar" филиалы банка не заходил уже года два, потому что все нужные мне услуги доступны в приложении. Даже чеки "обналичиваю" ("cash in") через приложение - делаю камерой смартфона фотографии лицевой и оборотной стороны чека, и все дела. Очень удобно.

Как-то раз я сделала перевод, а потом через пару месяцев мне надо было снова туда же заплатить, казалось бы, чего проще, зайди в историю транзакций и скопируй платеж - ан нет, нельзя.
Странно, у меня в мобильном приложении Barclays есть раздел "Pay & Transfer" (в середине нижнего ряда иконок на главном экране приложения), там в левом верхнем углу иконка "Pay a recent or new payee", все получатели платежей видны, всё наглядно и просто. Какой смысл в копировании платежей из истории транзакций? Вы давно обновляли приложение вообще? Такое впечатление, что у вас оно какое-то обрезанное (в плане функциональности).

Хотя я, честно говоря, ни разу не слышал, чтобы через DD кто-то что-то воровал. 😄
Я тоже никогда не слышал таких историй и сам не становился жертвой мошенников, слава богу.

и туалеты даже в самых навороченных офисах -- типа "бачок"
Сказки какие-то рассказываете. В современных офисных зданиях установлена отличная сантехника. В следующий раз сделайте фотку "бачка" и укажите название "навороченного офиса", и выложите фото здесь, чтобы вас не сочли пустословом.

транно, у меня в мобильном приложении Barclays есть раздел "Pay & Transfer" (в середине нижнего ряда иконок на главном экране приложения), там в левом верхнем углу иконка "Pay a recent or new payee", все получатели платежей видны, всё наглядно и просто. .
Так это те, кого вы сохранили. А если не сохранили? За последние года три-четыре ситуация с интернет банком улучшилась, но все равно то с чем мы работали 10 лет назад в Латвии было технологически продвинутее.
Хотя я, честно говоря, ни разу не слышал, чтобы через DD кто-то что-то воровал. 😄
Я тоже никогда не слышал таких историй и сам не становился жертвой мошенников, слава богу.
А я на счет муж втайне привязываю директ дебеты 😉

Чеки - это вообще бред какой-то

На самом деле, меня устраивает, просто факт - видали и получше.

и туалеты даже в самых навороченных офисах -- типа "бачок"Сказки какие-то рассказываете. В современных офисных зданиях установлена отличная сантехника. В следующий раз сделайте фотку "бачка" и укажите название "навороченного офиса", и выложите фото здесь, чтобы вас не сочли пустословом.
не могу не согласиться. Возможно, конечно в Лестере и ужас ужасный, но если честно за 10 лет если я и видела раковину без смесителя, то это было скорее в пабе как декорация старой-доброй-англии. Туалет типа бачок - видела, да но не в навороченом офисе (там обычно другая проблема - Урри, где у него кнопка?). У моей знакомой есть, но она живет в съемном жилье по девизом "не мое и не надо", у нее и свет в туалете веревочкой включается.

у нее и свет в туалете веревочкой включается
У меня жилье свое, но веревочка в верхней ванной комнате осталась от прежних хозяев, я переделывать не стал. Смысл в том, что при этом исключается риск касания выключателя мокрыми руками, поэтому я веревочку в общем и целом одобряю!

Так это те, кого вы сохранили. А если не сохранили?
В смысле? Да не сохранял я их, что вы такое говорите? Достаточно один раз в приложении сделать денежный перевод на чей-либо счет (введя "sort code and account number" получателя), и данные получателя сохраняются автоматически. В следующий раз имя и реквизиты получателя будут в списке, появляющемся по нажатию на "Pay a recent or new payee".
У меня вот такие функции есть в разделе "Pay & Transfer" (см. скриншот), у вас ведь так же?

Чеки - это вообще бред какой-то
Ну почему же, мне от Royal Mail приходят чеки, когда она теряет мои посылки. Других вариантов возврата денег Royal Mail не предлагает. Могут еще почтовыми марками дать, но это если ты сам согласишься на это.

Возможно это одно из улучшений, сделанное в их интернет банке. Не скажу, что мне это надо было ежедневно, за 10 лет однажды понадобилось и тогда этого не было.

за 10 лет однажды понадобилось и тогда этого не было
Ну так мы ведь здесь обсуждаем настоящее, а не прошлое. Так можно довспоминаться до тех времен, когда карта Oyster оформлялась на конкретного человека (ее обязательно надо было показывать вместе с photocard), и другим людям было запрещено ею пользоваться. Сейчас ведь это уже не так.

Похоже, надо смириться с тем, что мошенники знают о счетах практически все. Мне звонили из "как бы Альфа-банка". Они тоже знали остаток. И из "как бы Райффайзена". Они знали номер карты. Ребенку звонили из "как бы Сбера".
Уже то, что они знают телефон, привязанный к счету, о многом говорит.
Последний рубеж - "волшебные три цифры".
Да и то, некоторые сайты(типа Али), суки, их тоже хранят
21.07.21 15:20
0 5

Иногда бывают ситуации, когда возможность обойти вопрос об остатке на счетах очень помогает. Когда-то, много лет назад, меня угораздило оказаться в Венеции с заблокированной карточкой. Кредитная компания сказала что доставить мне новую займет 4-5 дней, а пока они могут прислать мне 500 евро Вестерн Юнионом. Фигня вопрос, соглашаюсь, иду в ближайший офис WU - а там кроме паспортных данных требуют назвать сумму. Говорю "500 евро" - "не угадали, мы вам деньги выдать не можем". И никакие уговоры на них не действуют. Возвращаюсь в гостиницу, по дороге вижу еще один офис. Там "500 евро" прокатило, и выдали мне ... 450 с копейками. Оказалось, что с 500 евро взяли комиссию, плату за пересылку и т.п.
21.07.21 15:58
0 2

Это удивляет. Я с WU тоже имел дело. Такие же, как и другие системы перевода. Если хочешь перевести 500 евро, то и переведут 500 евро, а комиссию возьмут с отправителя сверх того. Или банкир был таким жлобом, что дал исполнителю именно 500 евро на всё, и как хочешь, так и выкручивайся?
22.07.21 14:28
0 0

Зачем вообще пользоваться дебетными картами, кроме снятия кеша в автомате? А у кредиток никаких остатков на счетах нет, только долги банку, и воровать их тоже дураков нет.
21.07.21 21:07
7 0

ваша наивность просто поразительна
21.07.21 21:57
0 3

Возможно. Или, возможно, народ как-то себе странно представляет разницу между кредитом и дебетом.
21.07.21 22:22
0 0

Да уж куда народу-то понять. С дебетовой карты утекает то, что выстужен заработали, а с кредитной - ваши будущие заработки
21.07.21 22:32
0 4

И на какой возможны остатки по счетам?
21.07.21 22:43
0 0

Остатков не ни на какой. Есть лимиты трат. На дебетовой карте этот лимит равен остатку ваших денег, а на кредитной - остатку кредитного лимита, который для вас открыл банк. И если ваш лимит с кредитной карты будет потрачен транзакциями, которые вы не сможете по какой-то причине отозвать, вы будете с банком расплачиваться своими деньгами.
21.07.21 23:21
0 4

И если ваш лимит с кредитной карты будет потрачен транзакциями, которые вы не сможете по какой-то причине отозвать, вы будете с банком расплачиваться своими деньгами.
Именно так, и было полно ситуаций когда мошенники переводили кредитный лимит в нал, а владелец карты мало того, что обязан был погасить задолжность, так он еще и на не хилую такую коммисию за обналичку с кредитки попадал.
22.07.21 09:12
0 0

Я как-то завёл сберовскую карту только для зарплаты, вообще её нигде не светил. И в ночь с 30.12 на 31.12 (подарок к новому году) года 4 назад, с неё снимают 5 раз по 500$, (суточный лимит 150000р.) в банкомате hsbc ny, и суки, ещё баланс за 1$ проверили. Но сбер всё вернул через месяц. Как это было сделано- хз.
21.07.21 23:21
0 1

Как это было сделано- хз.
Чудес не бывает! Дамп сброшен на "белый пластик", а копия и ПИН-код получен "скиммингом". Готов поспорить, что Вы эту сберовскую карту хоть раз, но вставляли где-то в банкомат, или в РФ или в NY. Это как минимум, раз говорите, что "нигде не светили". В максимуме добавляются еще другие варианты.
23.07.21 03:58
0 0

Теперь понятно. А я уж подумал, что сам Герман Греф сливает данные,иначе кто ещё.

У сестры пытались снять деньги с карты которая вообще никогда нигде не использовалась.
22.07.21 01:00
1 0

О какой "безопасности" в сбере может идти речь, если там перевыпущенные карты сотрудник банка приносит в открытом виде! Что я получал 3 года назад карточку, баба принесла ее без всяких конвертов, что жена только вчера получала карту и точно так-же номер и CVV код был засвечен по крайней мере сотруднику банка. А уж как торгуют персональными данными сами сотрудники, я думаю объяснять не нужно!
23.07.21 09:09
0 0
Теги
Сортировать по алфавиту или записям
BLM 16
Calella 109
exler.ru 118
авто 351
видео 2771
вино 291
еда 362
игры 104
кино 1302
ПГМ 1
попы 147
РКН 2
РФ 1
РЩД 668
СМИ 1563
софт 756
США 19
тип 2
тмп 11
шоу 6