«СберБанк»: мои персональные данные попали к злоумышленникам — их может предоставлять голосовой робот
Сегодня 12.07.2021 года в 18:14 поступил звонок от мошенников «Служба безопасности СберБанка» с номера +74959665374.
Мне периодически поступают подобные звонки от "СберБанка". Было свободное время, и я начал диалог с " младшим специалистом". История обычная, попытка перевода на 3000 рублей (остаток по картам меньше 50 рублей, это я знал точно), злоумышленники уже привязали к сберонлайну ещё один номер, который мне не известен, и так далее. Спрашивают остаток который я помню. Говорю что 350 000 там лежит на карте, планирую на выходных покупать авто. Через несколько вопросов, говорит, что есть попытка перевода на 120 000 рублей, и что дело серьезное. Говорит что переводит на "старшего специалиста" и он поможет вернуть деньги и разблокировать карты.
Гудки минуту и берёт старший специалист. После 5 минут разговоров ни о чем, мне внезапно говорят, что я обманываю "сотрудника банка" и 350 000 у меня на свете нет. Я не обратил внимания и говорю что деньги точно есть на карте. Внезапно, мне называют последние цифры всех моих карт, говорят какие виртуальны, а какие нет, указывают что есть "зарплатная" карата и называют точный остаток, до копеек, ХХ рублей и ХХ копеек. После бросают трубку, говоря что меня заблокируют на Государственном уровне за обман сотрудников банка. Ну я посмеялся, но после входа в приложение понял, что мне озвучили точные остатки по всем картам до копеек.
Данная информация ввела меня в недоумение, т.к. я сам не знал точный остаток по картам. Я позвонил на 900 за комментариями. Первый сотрудник твердил как мантру, что сотрудники банка не передают информацию мошенникам. Идите к оператору, но у меня не подключено смс оповещение. Мой оператор не знает этой информации. Я задавал вопрос раза 3, ответ всегда был один: "Мы не знаем как это возможно, банк не передает информацию о счетах". Я пригрозил освещением данной ситуации, меня перевели на старшего специалиста контактного центра. Опять начались отмазки, что банк не при чем. При этом было ничего не предложено для того чтоб обезопасить аккаунт.
Я начал требовать проверить кто и когда входил в мой лк, и с каких устройств. Мне сообщили, сторонние устройства не привязаны, а историю входа через браузеры сообщить отказались, т. к. я звонил с номера, который не привязан к банку. Договорились что я перезвоню с номера который указан контактным и мы все проверим. Но связаться с оператором не получилось т.к. он был "занят". Новый оператор без согласования заблокировал все карты (за это отдельное спасибо) и через силу составила заявку в службу безопасности 2107120744468600 составляла Светлана 38069, прошу проверить все диалоги с сотрудниками на корректность.
Мне заявляли что мошенник мог "просто угадать" остаток. Вы это серьезно? Или тот что мой телефон взломан, зачем вообще мне тогда звонить? В таком случае они бы молча оформили бы кредит через приложение и перевели себе, зачем это шоу? После диалога с банком и обсуждения ситуации с коллегами, которые были свидетелями всего разговора, было сделано заключение, что изначально мошенники не имели информации по остаткам на моих картам, иначе не стали бы тратить время из-за суммы менее 50 рублей. Информацию они получили в режиме онлайн, когда поняли, что намечается крупная сумма. Кроме как имея аффилированного сотрудника в СберБанке узнать номера карт и остатки технической возможности нет или я ошибаюсь?
Через час на заявку приходит ответ:
[12.07.2021 в 20:07] Ваше обращение рассмотрено АЛЕКСАНДР ОЛЕГОВИЧ, ваше обращение 210712-0744-468600 от 12.07.2021 рассмотрено. Благодарим за сообщение о подозрительном звонке. Банк внимательно изучает подобные случаи мошеннических действий. Рекомендуем не терять бдительность и НИКОМУ не сообщать полные данные карт и одноразовые пароли. Банк никогда не просит совершать перевод средств. Меры безопасности при использовании банковских продуктов и услуг размещены на сайте банка в разделе «Ваша безопасность». Ознакомиться с полным текстом ответа вы можете в мобильном приложении Сбербанк Онлайн https://sberbank.ru/sms/ob. Сбербанк
Друзья, мы выяснили как такое возможно. Во время общения с младшим сотрудником, старший звонит на номер 900 подставляя на исходящий мой номер. Там робот предлагает продиктовать мне остаток по картам, просит назвать номер, если назвать номер на угад, то робот дружелюбно сообщает что такой карты нет, и называет номера всех действующих карт (Сбер,это реально круто, спасибо). Далее называешь номер любой из карт, и он сообщает тебе остаток. Это просто офигенно. Вопрос про слив данных сотрудником снимается, виноват робот. Новые вопросы к Сберу: почему сотрудники не знают что так можно? Почему вообще так можно? Добавлю в пост.
Ответ от Сбера через 20 часов после 1 обращения:
Друзья, мы выяснили как такое возможно. Во время общения с младшим сотрудником, старший звонит на номер 900 подставляя на исходящий мой номер. Там робот предлагает продиктовать мне остаток по картам, просит назвать номер, если назвать номер на угад, то робот дружелюбно сообщает что такой карты нет, и называет номера всех действующих карт (Сбер,это реально круто, спасибо). Далее называешь номер любой из карт, и он сообщает тебе остаток. Это просто офигенно. Вопрос про слив данных сотрудником снимается, виноват робот. Новые вопросы к Сберу: почему сотрудники не знают что так можно? Почему вообще так можно?
Добавлю в пост.
Гениально!
Плюс в карму сберовскому постановщику задач, группе тестирования и службе безопасности, согласовавшей эту реализацию.
Комментарий удален модератором
Так тут не разработчики, одни сотрудники придумали, начальники согласовали, аналитики тз написали. Разработчики посмотрели, пальцем у виска покрутили, реализовали.
Ну конечно, разработчики ни при чем. Твари бессловесные. Им сказали - они написали.
Разработчики сделают любую х-ню, если еë согласуют все нужные отделы. Я сам IT шник и знаю ситуацию изнутри. Любой каприз за ваши деньги, в разумные сроки конечно.
Я и говорю, что они делают любую х-ню, а открыть рот и сказать, как можно было бы по-другому, они не могут, потому что брать ответственность на себя не хотят. Это же так надежно "Это они согласовали, я ни при чем".
Есть бизнес, есть разработка, первый несёт ответственность и берет на себя риски, за ним же и последнее слово, можно сколько угодно не давать идей или не говорить, что так работать не будет, если бизнес не согласен, придется сделать, уйти можно, но редко повлияет. Но есть разные случаи, иногда от разработчиков многое зависит, много согласовывают со своей стороны, внутри есть своя система управления, но такое не так часто бывает
Вы из сберки, похоже?
В нормальных местах не так. Безумные идеи бизнеса тщательно анализируются и согласуются, втч с разработкой. Многие на этом этапе отсеиваются. Плюс СБ проверяет. Как бизнес-идею, так и архитектуру реализации. Нормальный отдел разработки завернёт то, что сломает процесс. Технический или бизнес. Я слышал, что в сберке не так, так, что там махровый совок и если начальник сказал пилить от обеда до забора, то рабы пилят, хотя надо было бы копать. Тем хуже для сберки и ещё один повод никогда не иметь с ней дела. Но это вовсе не всеобщее правило.
Похоже, вы не работали в крупных организациях. и разработка и Инф. Безы все говорят и все подсвечивают. Бизнес обычно оценивает , если которотко так . Если мы внедрим этот сервис - заработаем на этом 10 млн. рублей (прибыль), далее оценивают риски - допустим это 1 млн. рублей(убытки). Все, судьба сервиса решена - он будет запущен. и покласть и на разработку и на ИБ. вы зарплату простите, каким образом будете получать, если бизнесу будут указывать что ему можно запускать, а что нет? я вам открою секрет - любой сервис, выведенный в Интернет может быть скомпрометирован. Все взламывается. вопрос только в объемах реализации риска в бабках и отношения к этой ситуации с точки зрения закона. Если штраф за утечку данных клиентов составит 10 млн рублей, а заработают на этом 100, а закрыть этот риск будет стоить 150 млн. рублей, то сервис введут и данные могут утечь.
Почему так? вопросы не к бизнесу, а сами знаете к кому.
Работал. И в российских и в буржуйских. Банки, инвестбанки, биржи. В сберкоподобных шарашках не работал, да. И после вашего описания точно не буду ;). Адекватных пока хватает.
Вот ни фига. Так оно работает только если вы компания, которая разрабатывает небольшой ПРОДУКТ и команда (включая аналитиков, тестировщиков и пр) не превышает 20 человек (а скорее даже 10). В больших компаниях (тем более тех, где софт - не самоцель, а лишь предмет, который упрощает рутиные задачи), задачи ставит бизнес и разработчик может либо сделать задачу, либо уволиться. В любом случае, логику придумывают аналитики и они же придумывают объяснение, почему это дичь.
Мой опыт работы в нескольких изрядно крупных компаниях этого не подтверждает. Я, однако, не работал на всякое гнильё из госок и сберок, возможно, там именно такое самодурство. И никогда не стану, понятно, в таких отстойных местах работать.
Хотите честно? Я бы не хотел работать в компании, где программисты одновременно и руководители и рекламщики и аналитики. Просто потому, что это бардак, а не работа. Каждый должен отвечать за свою часть работы и быть в ней асом, а не разбираться во всем и понемножку
Рекламщики? Аналитики? Вы о чём? Речь о том, что увидев говно отдел разработки должен сказать - это говно, а не засунуть трусливо языки в жопу под угрозой увольнения.
О том, что сантехник не должен говорить сварщику как делать шов, даже если он считает, что лучше сварщика в этом разбирается. У каждого своя зона ответственности и действовать надо в рамках неё, а не считать себя умнее всех. И да, исследованием дырок тоже занимаются отдельные люди, а не программисты))
Вот поэтому ПО сберки и других подобных шарашек - кусок говнища.
Кусок говнища - это когда разработчики мнят себя аналитиками и безопасниками, когда приложение разрабатывается не от требований бизнеса и юзабилити, а от личных хотелок разработчиков
Комментарий удален модератором
Я рад, что ты понял, что то, в чьей разработке ты принимаешь участие - кусок говна )
Ещё раз говорю, что разработчик не может критиковать бизнес требования! Просто хотя бы потому, что он в этом некомпетентен! Каждый должен заниматься своим делом
Смешно. Вот только мои продуктыработают, а твои сливают данные пользователей.
Работать то оно может и работает... Да только не то и не так, как надо бизнесу ) Ради интереса, спроси у пользователей своего продукта, сколько раз они вспоминали тебя исключительно с матом? ))
Но я же в сберке работаю, чтобы маты от пользователей производимого сберкой говна выслушивать. Вы представляете себе что такое поддержка торговли на чикагской бирже? Если бы оно работало не так, как надо бизнесу пол-мира бы рухнуло :).
Не рухнуло бы. Не так, как надо - это когда вместо кнопки "сделай хорошо" есть пункт меню, закопанный так глубоко, что пользователю в самых страшных снах видится
Ну, да, как сберковый "бизнес" пожелал туда его тупые разрабы и закопали. Именно так оно и работает, когда всем насрать.