«СберБанк»: мои персональные данные попали к злоумышленникам — их может предоставлять голосовой робот
Сегодня 12.07.2021 года в 18:14 поступил звонок от мошенников «Служба безопасности СберБанка» с номера +74959665374.
Мне периодически поступают подобные звонки от "СберБанка". Было свободное время, и я начал диалог с " младшим специалистом". История обычная, попытка перевода на 3000 рублей (остаток по картам меньше 50 рублей, это я знал точно), злоумышленники уже привязали к сберонлайну ещё один номер, который мне не известен, и так далее. Спрашивают остаток который я помню. Говорю что 350 000 там лежит на карте, планирую на выходных покупать авто. Через несколько вопросов, говорит, что есть попытка перевода на 120 000 рублей, и что дело серьезное. Говорит что переводит на "старшего специалиста" и он поможет вернуть деньги и разблокировать карты.
Гудки минуту и берёт старший специалист. После 5 минут разговоров ни о чем, мне внезапно говорят, что я обманываю "сотрудника банка" и 350 000 у меня на свете нет. Я не обратил внимания и говорю что деньги точно есть на карте. Внезапно, мне называют последние цифры всех моих карт, говорят какие виртуальны, а какие нет, указывают что есть "зарплатная" карата и называют точный остаток, до копеек, ХХ рублей и ХХ копеек. После бросают трубку, говоря что меня заблокируют на Государственном уровне за обман сотрудников банка. Ну я посмеялся, но после входа в приложение понял, что мне озвучили точные остатки по всем картам до копеек.
Данная информация ввела меня в недоумение, т.к. я сам не знал точный остаток по картам. Я позвонил на 900 за комментариями. Первый сотрудник твердил как мантру, что сотрудники банка не передают информацию мошенникам. Идите к оператору, но у меня не подключено смс оповещение. Мой оператор не знает этой информации. Я задавал вопрос раза 3, ответ всегда был один: "Мы не знаем как это возможно, банк не передает информацию о счетах". Я пригрозил освещением данной ситуации, меня перевели на старшего специалиста контактного центра. Опять начались отмазки, что банк не при чем. При этом было ничего не предложено для того чтоб обезопасить аккаунт.
Я начал требовать проверить кто и когда входил в мой лк, и с каких устройств. Мне сообщили, сторонние устройства не привязаны, а историю входа через браузеры сообщить отказались, т. к. я звонил с номера, который не привязан к банку. Договорились что я перезвоню с номера который указан контактным и мы все проверим. Но связаться с оператором не получилось т.к. он был "занят". Новый оператор без согласования заблокировал все карты (за это отдельное спасибо) и через силу составила заявку в службу безопасности 2107120744468600 составляла Светлана 38069, прошу проверить все диалоги с сотрудниками на корректность.
Мне заявляли что мошенник мог "просто угадать" остаток. Вы это серьезно? Или тот что мой телефон взломан, зачем вообще мне тогда звонить? В таком случае они бы молча оформили бы кредит через приложение и перевели себе, зачем это шоу? После диалога с банком и обсуждения ситуации с коллегами, которые были свидетелями всего разговора, было сделано заключение, что изначально мошенники не имели информации по остаткам на моих картам, иначе не стали бы тратить время из-за суммы менее 50 рублей. Информацию они получили в режиме онлайн, когда поняли, что намечается крупная сумма. Кроме как имея аффилированного сотрудника в СберБанке узнать номера карт и остатки технической возможности нет или я ошибаюсь?
Через час на заявку приходит ответ:
[12.07.2021 в 20:07] Ваше обращение рассмотрено АЛЕКСАНДР ОЛЕГОВИЧ, ваше обращение 210712-0744-468600 от 12.07.2021 рассмотрено. Благодарим за сообщение о подозрительном звонке. Банк внимательно изучает подобные случаи мошеннических действий. Рекомендуем не терять бдительность и НИКОМУ не сообщать полные данные карт и одноразовые пароли. Банк никогда не просит совершать перевод средств. Меры безопасности при использовании банковских продуктов и услуг размещены на сайте банка в разделе «Ваша безопасность». Ознакомиться с полным текстом ответа вы можете в мобильном приложении Сбербанк Онлайн https://sberbank.ru/sms/ob. Сбербанк
Друзья, мы выяснили как такое возможно. Во время общения с младшим сотрудником, старший звонит на номер 900 подставляя на исходящий мой номер. Там робот предлагает продиктовать мне остаток по картам, просит назвать номер, если назвать номер на угад, то робот дружелюбно сообщает что такой карты нет, и называет номера всех действующих карт (Сбер,это реально круто, спасибо). Далее называешь номер любой из карт, и он сообщает тебе остаток. Это просто офигенно. Вопрос про слив данных сотрудником снимается, виноват робот. Новые вопросы к Сберу: почему сотрудники не знают что так можно? Почему вообще так можно? Добавлю в пост.
Ответ от Сбера через 20 часов после 1 обращения:
Друзья, мы выяснили как такое возможно. Во время общения с младшим сотрудником, старший звонит на номер 900 подставляя на исходящий мой номер. Там робот предлагает продиктовать мне остаток по картам, просит назвать номер, если назвать номер на угад, то робот дружелюбно сообщает что такой карты нет, и называет номера всех действующих карт (Сбер,это реально круто, спасибо). Далее называешь номер любой из карт, и он сообщает тебе остаток. Это просто офигенно. Вопрос про слив данных сотрудником снимается, виноват робот. Новые вопросы к Сберу: почему сотрудники не знают что так можно? Почему вообще так можно?
Добавлю в пост.
Комментарий недоступен
Делают, только пока не у нас. На западе есть инициатива FCC - провайдеры обязаны постепенно внедрить новый протокол аутентификации номера звонящего в IP-сетях, который называется STIR/SHAKEN. Он позволит проверять принадлежность номера звонящего тому, кто звонит.
Вроде как уже должны были до 30 июня 2021 внедрить на IP-сетях провайдеров ip-телефонии. Многие западные SIP-операторы это уже сделали.
https://www.fcc.gov/call-authentication
https://www.rbc.ru/technology_and_media/28/01/2020/5e2f10b69a794756e68a8fe4
Это обычная услуга. Все операторы имеют такую возможность, например, чтобы организовать многоканальную линию или развести входящие и исходящие линии на разных операторов.
Комментарий недоступен
Ты че, Навального не смотрел? Там ж все на примере показано, как наши величайшие фсбшники оказывается халтурят стрикой трусов) такие базовые вещи надо знать)
Комментарий недоступен
Комментарий недоступен
и при чем здесь трусы навального?
Комментарий недоступен
Вы не поняли как происходит дело:
1) Пока "младший обманщик" звонит ТСу, "старший обманщик" подменяет CLID на номер ТСа.
2) ТС висит на линии с младшим, а "старший обманщик" звонит на короткий номер 900 в голосовой помощник и получает данные через него.
3) потом звонит "старший обманщик" и с полученными данным заявляет кару за обман "младшего обманщика"
Комментарий недоступен
Видимо сбер считает звонок с определенного номера доверительным. Те помощник идентифицирует - по номеру, которые привязан к клиенту.
плюсую вашему ответу, сбер проверяет привязку номера карты и сообщает и при идентификации считает номер доверительным, сообщая необходимую информацию. Так понимаю из комментов, что в ситуации как раз использовался номер, который привязан к карте.
Там даже когда соединяют с оператором, не просят ни кодового слова ничего: просто говорят Здравствуйте *ФИО*, чем могу вам помочь?
В ВТБ кодового слова не просят, только ФИО и дату рождения.
Комментарий недоступен
Гугловский голосовой помощник на всякую ерунду постоянно реагирует. Было как-то забавно, на какую-то фразу среагировал на моем телефоне и на чужом одновременно.
Комментарий недоступен
Формально они проверять должны отправкой смски на номер или голосового сообшения с кодом. Но операторов много да еще хохлов...
Отправлять сообщение с кодом на телефон с которого звонят - это, мягко говоря, немножко странно
По номеру, "с которого" звонят, а не на этот телефон
Не понял
Если вы просите оператора поставить на ваши исходящие звонки через него другой номер (например, ваш единый входящий номер), то оператор сначала должен отправить на этот номер смску и получив ее от вас убедиться, что это таки ваш номер.
Могут обойти при помощи MITM атаки. Оператор отправит код на телефон реального владельца. "Младший обманщик" скажет жертве "Подтвердите свою личность и назовите пришедший код". Этот код он передает "Старшему обманщику" и он его в итоге называет сотруднику банка.
А вы не говорите код обманщику
Это понятно, что не нужно говорить никакие коды)
Я к тому, что советовали выше по ветку - отправлять код на номер владельца карты для подтверждения личности. И что этот вариант не реализуем, т.к. в этом случае в смс надо будет банку писать что-то вроде "назовите этот код оператору", что и не даст сомнений пользователю передать этот код "младшему обманщику".
Слишком сложно. Мелкие операторы просто ставят любой номер без подтверждений.
Напиши сбер знает о постановке входящего номера - да. Если нет и сдать всем - получит 100 млн недовольных клиентов.
*если сбер знает
гадим Великороссии как могём
Не надо политизировать. Просто зарабатывают, как могут.
а нехохлам деньги видимо аллах присылает?
Ну как сказать, это только в либеральной голове все равны и имеют одинаковые возможности.
А в реальной жизни есть разделение на стареньких и новеньких, где последним приходится брать на себя выполнение того, что не нравится делать первым. И новеньким приходится быть менее разборчивыми в методах заработка, потому что на хорошей работе уже есть свои люди.
Украина сейчас обслуживает частично ЕС (лес кругляк), а частично РФ (служба безопасности сбербанка) потому, что своего рынка нет, а на чужих есть свои игроки. Это нормально. Ты же не удивляешься, что киргизы идут почему-то в такси, а не в топ-менеджеры?
Я удивляюсь что армяне идут в топ-менеджеры
просто ты не знаешь как владельцы обращаются с топ-менеджерами
Если вызов поступает из "страны ближнего зарубежья", где контроль за этим ослаблен или не существует, то дальше номер передаётся по нашим операторам в неизменном виде.