В 2015 году у меня была зарплатная карта «Альфабанка». Из конторы уволился, срок действия карты вышел. Выбросил ее и забыл.
Несколько месяцев назад Альфа стала надоедать СМСками - "телеграфируем о кредитной карте".
Звоню в банк (автоинформатор сразу же приветствует по имени(!)), перехожу на оператора:
- Добрый день, перестаньте дониматься СМСками, вашим банком давно не пользуюсь.
- Добрый день. Как вас зовут?
- [Представляюсь]
- А у вас до сих пор открыто два счета.
- Но счета же пустые?
- Нет, на счете есть сумма Х тысяч рублей.
- Для снятия нужно зайти в офис с паспортом?
- Нет, можно поставить приложение. Вход по СМС и номеру счета. Номер счета сейчас пришлю в СМС.
- Спасибо. O_o
Ставлю приложение, авторизуюсь, перевожу деньги в другой банк.
Карта моя, номером пользуюсь более 10 лет, все в порядке. Но получается, что любой человек, получивший доступ к сим-карте, и узнавший имя человека, может получить доступ к деньгам.
Два вопроса к Альфабанку.
1. Звонит человек, который не знает, есть ли на счету деньги. Счетом не пользовались более пяти лет. Почему не возникли подозрения и даже не спросили кодовое слово и номер паспорта?
2. Какой смысл авторизовать клиента в мобильном приложении по связке телефон + номер счета, если номер счета легко узнать в контакт-центре?
Александр, проверили информацию.
Чтобы узнать номер счёта, надо назвать только ФИО, если вы звоните со своего номера. Если звоните с чужого номера, либо если во время звонка нужно сделать какую-нибудь активную операцию — запросим кодовое слово.
Если есть подозрения, что у третьих лиц есть доступ к вашей сим-карте, её нужно сразу заблокировать, позвонив мобильному оператору. После блокировки номера никто не сможет получить доступ к вашим данным.
Для таких ситуаций у нас защитный механизм: если мы видим, что была смена сим-карты, для её обновления запросим кодовое слово и паспортные данные. Таким образом у злоумышленников не останется шансов 👌
со "своего" номера, нам звонят ваши же "службы безопасности".
вам не кажется, что это уже не эталон безопасности? что вам посоветовать? повесить трубку и перезвонить абоненту?
а кодовое слово: "дада, пошел я нахер".
Но смс получить на подменный номер нельзя же
Достаточно уже того, что без всяких СМС была разглашена банковская тайна.
Лично я против банковской тайны, давайте за символическую плату в 100р за каждый запрос буду вам давать информацию об остатке своего счета.. или выписку за месяц.. как вы ее монетизируете?
Твой конкретно счет не интересен. Интересна возможность, пусть даже перебором, найти такой счет, на котором достаточно много средств, чтобы дальнейшие противоправные действия (вымогательство, похищение, грабёж, мошенничество) оправдывали риск.
Собственно, для исключения именно этого и было введено понятие "банковская тайна".
ЗЫ. Хорошая попытка монетизировать свой счёт с парой тысяч остатка по кредитному лимиту.
"Банковская тайна" была введена богатыми чтобы другие люди не могли проверить как они стали богатыми. Имхо.
Теперь про атаку. У сбера такая дыра есть, пару месяцев назвд писали, и кажется ее не закрыли.. либо в сбере нет кого шантажировать, либо это все же не работает.
Это понятие еще в древнем Китае было в ходу, разве что название было иное. А в те времена всем было совершенно начхать, от чего и как.
Ну раньше и крепостное праао было и рабство, а суда не было... давайте вспомним что сейчас 2021ый. Рабство отменено, и далее по списку.. но вот провеить честность трат бюджета например нельзя, типа "тайна"
Тут вы уже частность рассматриваете, а выше обобщенное понятие обсуждается. Так-то, безусловно, определенные вещи сделаны именно по указанной причине
Ты никогда не сможешь узнать "как", если получишь сведения только о том, "сколько на текущий момент итого". Хотя банковская тайна распространяется и на данные о конкретных платежах, датах, отправителях и получателях, если бы было так, как говоришь ты, текущее состояние было бы выведено из-под понятия банковской тайны. Потому что все прекрасно знают тех богатых, которые имеют достаточно влияния, чтобы вводить запретительные нормы в законодательство.
А вот если ты видишь перед собой молодого щупленького одинокого парнишку в одежде из ближайшего "Черкизона", но при этом имеешь и возможность достоверно установить, что на счетах у этого парнишки вполне себе отмораживаются без должного внимания пара десятков миллионов конвертируемой валюты, то начинают вырисовываться варианты.
Теперь про атаку и Сбер: что-то не слышно жалоб о мошенниках из "службы безопасности" от тех, у кого на счетах кроме непосильных долгов и взять-то нечего. Не потому ли, что, пробивая остаток, "службы безопасности следственного комитета полиции из прокуратуры ФСБ" исключают безнадёжных из базы обзвона?
Парниша рискует тем что по 115-фз его деньги блокирнут и пока не докажет банку их легальность - не увидит...
И даже если у него такие деньги есть, то охрана/крыша ему нужна по-любому, и не только от тюремного коллцентра с подменой номера.
Парниша ничем не рискует, потому что у него всё законно и со всего уплачены все причитающиеся налоги.
Нужна или не нужна ему охрана-крыша, решать только ему.
Давай начнем с того, что банк - это коммерческая структура, она не должна выполнять полицейские функции. Банки сейчас злоупотребляют 115-ФЗ, в связи с чем происходит уход в нал
Давайте разводить полциейские и налоговые.
Банки в РФ выполняют налоговые и валютные функции, и частично коллекторские и судебноприставские...
И еще не должны содействовать отмыванию денег, что есть отдельная статья.
Условно, к тебе приходит тип и говорит, "давай на твой счет сейчас упадут деньги, ты их снимешь и отдашь мне, твои 10%". Ты не полицейский, но если ты согласишься - кажется можешь быть соучастником в чем то плохом.
Алексей, вы меня извините, но я не знаю как до вас донести тезис о том, что банк это коммерческая компания, которая не должна выполнять функции гос. служб.
Не донесете. Так же как нельзя в магазине торогвать наркотиками, хотя это тоже коммерция
Вы всерьез не понимаете разницу между наркотиками и деньгами?
Можно, цена вопроса - порядка 16 долларов
https://arstechnica.com/information-technology/2021/03/16-attack-let-hacker-intercept-a-t-mobile-users-text-messages/
Это только у одного Опсоса и по его процедурам и потому что не проверили валидность доверенности. Глобально это пока не дыра. Причем еще смс и не доходили, думаю сразу было понятно что проиходит бяка
Глобально этой дыре уже чёрт знает сколько. Протокол на базе которого работает вообще вся мировая телефонная сеть не имеет механизмов аутентификации. Вообще. (ну кроме административных ограничений и фаерволов для него и у опсосов и не только). Искать можно по ключевым словам SS7 или ОКС7.
https://www.cyberscoop.com/finally-happened-criminals-exploit-ss7-vulnerabilities-prompting-concerns-2fa/ - просто для примера. 2017-й но ценник видимо был несколько дороже.