Всю жизнь думал, что я такой умный, критически мыслю, что это со мной не случится… Это бабушек разводят на деньги по телефону, а я то не такой. Нет, нет, нет. Я только что вернулся из отделения полиции, где написал заявление о мошенничестве. Уснуть не могу, самобичевание надоело, так хоть в интернете почитаю, какой я идиот.
Меня две недели бомбят с каких-то левых номеров. Трубку я не брал, потому что никого из них не знаю. Но сегодня мне должны были позвонить по работе из Москвы и я поднял трубку.
Позвонила мне девушка с «московского» номера. Представилась сотрудницей тех. поддержки, и спросила, могу ли я услышать Андрея Владимировича. Потом сказала, что зафиксирован подозрительный вход в личный кабинет с IP — адреса из города Омска ( я живу в Красноярске) а также попытка перевода денежных средств на имя какого-то левого мужика. Я говорю нет, и вообще с каких пор Сбербанк звонит с Московских номеров? На что мне ответили, мол я понимаю Ваше недоверие, так что пройдите на сайт Сбербанка в раздел «Контактный центр», я Вам перезвоню с одного из указанного на нем номера телефона:
Перезвонила она мне с этого телефона. Да, сейчас то я вижу, что это для обслуживания корпоративных клиентов, а тогда даже не заметил.
Далее она попросила подтвердить информацию, а именно она продиктовала номер моей карты и дату моего рождения. Я ответил, что все мол так. Потом она перевела меня на сотрудника «службы безопасности». Со мной начал разговаривать молодой человек. Он разговаривал наверное минут 10, обсуждая со мной технические вопросы и варианты где, и как я мог засветить свои данные? Не размещал ли я их где-либо на сторонних сайтах? Есть ли доступ у других лиц к моему компьютеру и т.д. и т.д. Короче, когда он получил ответы по типу ничем таким я не занимаюсь, он спросил далеко ли мой договор на оказание услуг, ведь там есть инструкция при возникновении таких случаев! А я не знаю где он, я заключал его еще наверное в году 2012… Я ответил, что его нет. На что мне любезно предложили скинуть копию на мой электронный ящик. Далее открыть 30 стр. и ознакомиться.
Все то время, что я читал он сидел на проводе и спрашивал все ли мне понятно? При этом и у девушки и у парня фоном был звук работающего колл-центра. Суть того, что там было написано можно свести к следующему: при возникновения несанкционированного входа в личный кабинет, вам нужно пройти процедуру «перестрахования» денежных средств, для этого их надо перевести на следующие номера счетов и идут 5 наборов цифр.
Я все это прочитал, и сказал ок, что нужно то от меня. На что мне ответили, что подождите минуту я свяжусь с IT-поддержкой для подготовки Вашего личного кабинета. Какой подготовки? Мол для того, чтобы с Вас не снималась комиссия за операции Ваш личный кабинет необходимо перевести в особый режим. Ну ок, прошла минута. Далее мне говорят, чтобы я перевел все денежные счета на свою дебетовую карту, которую он мне продиктовал, и проследовал к банкомату. Ну бред же, бред, какие операции могут проводиться только через банкомат? Как я вообще могу снять наличку со своей кредитки?
Меня мило проконсультировали, что в личном кабинете есть кнопка перевода денежных средств со счета на счет. И даже с кредитки на дебетовую карту. О комиссиях мне беспокоиться не надо, ведь мой личный кабинет переведен службой безопасности в особый режим.
После того, как я перевел все деньги на свой дебетовый счет, меня спросили, где я нахожусь? Назвав адрес, они мне сказали, где рядом находится банкомат, который отвечает требованиям. Он оказался в соседнем доме. Сюрприз, сюрприз.
Я дошел до соседнего дома, и этот помощник который все это время весел на телефоне поведал мне, что нужно снять наличные с карты и перевести их на счета со страховкой. А страховка эта заключена с Теле2 и бла бла бла. Тут включился очередной триггер, и я понял, что ну какой-то бред… Сказал, что у банкомата очередь и набрал номер 900.
Мне ответил сбербанковский бот. Я его очень сильно люблю, потому что пару месяцев назад мне заблокировали карту за «подозрительную» операцию. Я полдня потратил на ее разблокировку, потому что бот не мог понять мои ответы «да/нет». А этот разговор, я никогда не забуду: «Здравствуйте, Андрей Владимирович! Мы зафиксировали операцию. Вы хотите ее подтвердит?! » «Нет» «Чем я могу вам помочь?» «Свяжите меня с оператором?» « Я поняла, что Вы хотите связаться с оператором, но может я все же могу помочь? Назовите вопрос, по которому вы хотите связаться с оператором?» « Мне нужна тех. поддержка!» и на этом моменте связь обрывается и мне снова звонит «служба безопасности Сбербанка».
Далее он снова «ведет» меня к банкомату, где я как последний идиот перевожу 45000 рублей на первый «счет — номер в Теле2». Тут меня начинает уже трясти, мол что за х*рня вообще происходит? Сзади уже начинает собираться народ, я отхожу от банкомата и говорю, что мол мне нужно отойти, тут народ собрался. Мне отвечают ок. Я вешаю на удержание и снова набираю номер 900 где мне отвечает бот: «Здравствуйте, Андрей Владимирович! Чем я Вам могу помочь?» — Я печатаю этот текст, а меня аж трясёт! — «Мошенничество!» «Вы кому нибудь сообщали данные своей карты?» «Нет!» « Вы кому нибудь сообщали данные из см?!» «Нет!» «Тогда Вы все сделали правильно! Чем еще я могу вам помоч?! » я уже стою и не знаю, что делать. Меня трясет, с меня пот льется, я в последний раз говорю «Мошенничество» «В случае мошенничества пожалуйста перейдите на наш сайт и заполните специальную форму. Либо вы можете сделать это в своем личном кабинете…» Я уже ору, «да *****!» И тут мне снова звонит «служба безопасности Сбербанка».
Если я долго не отвечаю, номер набирается автоматически. Меня снова «ведут» к банкомату и я перевожу еще 45 000 рублей. Меня снова клинит, деньги же из рук уходят! Что за бред. Ну бред же, бред, бред. Я снова говорю что собрался народ, снова отхожу от банкомата и судорожно думаю, как не попасть на этого тупого бота. Пишу в телефоне «Сбербанк» нахожу номер начинающийся на 8 ххх ххх ххх звоню в надежде, что мне подтвердят, что это действительно служба безопасности. Что это всё действительно нужно сделать! Но тут мне отвечает уже любимый голос робота «Здравствуйте, Андрей Владимирович! Вы находитесь в России?» « Да!» «Тогда пожалуйста зайдите в личный кабинет и позвоните по одному из указанных номеров…». В третий раз мне звонят из «службы безопасности».
Меня опять «ведут» до банкомата. Я кидаю еще 15 000 рублей. И тут всё, меня всё выбесило. Я начинаю орать, что я хочу сходить в банк, всё выяснить! Что я Вам не доверяю! Мне начинают давить на жалость, мол успокойтесь, мы просто делаем свою работу, что у Вас вызвало такое недоверие? Почему вы говорите, что это все бред? Андрей Владимирович, успокойтесь! Я говорю нет, я иду в банк. На что мне говорят хорошо, давайте тогда я пока повешу с Вами на линии. Сколько Вам нужно времени? Я говорю минут 15. Провисел он 2 минуты.
Дальше я бегу до Сбербанка. Объясняю ситуацию. Мне говорят, что это 100% мошенники. Я отдаю работникам свои квитанции (5 штук по 15 000 рублей, т.к. пока бежал я потерял 2 квитанции) и они пытаются отменить операции. Сначала дали надежду, что операции ее не прошли, они «в обработке». Но в итоге ничего сделать не смогли. Приняли от меня заявление о мошенничестве и я поехал в полицию.
Ах да, пока работники Сбербанка пытались спасти деньги идиота, я два раза позвонил в службу поддержки Теле2. В первый раз на мою историю, они мне сказали, чтобы я шел в полицию. Во второй раз я попытался схитрить, и сказал, что я ошибся номером и перевел деньги случайно, на что мне посоветовали сходить в отделение «Теле2» написать заявление, но блокировать счет или замораживать на нем деньги «Они не имеют право. Они таким не занимаются».
Короче я поехал в полицию. Там у следователя я узнал, что в соседних кабинетах сидят еще 4 потерпевших и пишут заявления по подобным случаям. И все это в одном районе. Все это за 3-5 часов. Сказали, что шансов вернуть деньги — мизерные. Если и поймают, то обычно денег у преступников не оказывается.
Мораль, которую я вынес? Я идиот. Зря я думал, что меня не развести. Моя самоуверенность стоила мне 105 000 рублей. Спасибо Сбербанку за их рекламу «Позвони по номеру 900 и узнай не звонят ли тебе мошенники». Это прям работает. И отдельное спасибо Теле2 за их Push — уведомление пока я сидел в полиции аля «Несколько способов, чтобы снять напряжение. Подключить?». Это было прям во-время.
Пожалуйста, не будьте самоуверенными идиотами. Не учитесь только на своих ошибках.
Просто оставлю это здесь
Только я протер свои глаза от крови как кровавая пелена вновь застилает мои глаза. Имев честь лицезреть данный ответ от оф.представителя крупнейшего банка великой державы у меня возник вопрос к уважаемым леди и джентльменам сведущим в кибербезопасности. Скажите, пожалуйста, какие элементы пунктуации и другие параметры помогут обезопасить денежные средства, если злоумышленники вводят тупопароль из буковок в нижнем регистре. Кроме банального device_id устройства / ip и т.д.
На самом деле, важна не сложность, а длинна. Поэтому парольные фразы рулят. Доказано математически. Если очень надо, могу поискать ссыль.
Разве слова и их комбинации не перебираются по словарю очень быстро?
Тут подробнее. Даже долго искать не пришлось.
https://habr.com/ru/post/357406/
Чем длиннее пароль, и чем больше в нем мутаций - тем сложнее хакнуть брутфорсом вне зависимости от пула доступных IP.
если взять основные скажем 30к слов, то пароль из 4 слов это уже 30К^4 комбинаций = 8,1e+17. Если 100К и 8 слов = 1,e+45.
А если точнее важна длина фразы и размер алфавита.
Эстонец? 😏
Так, а у Сбера есть ограничение пароля по длине?
Что говорить если они не так давно свой сайт перевели на HTTPS, даже мой бложек работал по защищенному протоколу, а сбер утверждал что незашифрованный HTTP это безопасно. Подумаешь кто угодно может перехватить или подменить данные - "вы все сами виноваты" 😁
Сайт без авторизации без https не оч, конечно, но не безумно критично.
Но сайт и СБОЛ — не одно и то же, там ssl очень давно. Да и на самом сайте тож давно, так что непонятно это "не так давно"
23 июля, 2018 писал статью, там был еще сбер без HTTPS.
https://medvedevseo.com/banki/
Ну, фишка что когда люди из метро или левых сетей заходили на HTTP-морду сбера или других банков - можно подменить контент, например меню или ссылки на личный кабинет. Все знают что провайдеры любят какие-то свои рекламные фичи добавлять в код страниц втихую. Какой-нибудь Петя-Админ добавит код чтобы люди свои карты и cvc на сайте банка вводили ну или просто фишинговую ссылку). Поисковики карают SEO если бложек про котиков без HTTPS, а тут банк... ну ок, 5000р на сертификате сэкономить наверное выгоднее)
Так это не СБОЛ, самое ужасное — провайдер мог подпихнуть рекламу(привет, Мегафон, да?)
И в 2018 ssl был, просто не было редиректа.
Да и где примеры таких атак? Банк не маленький, есть зафиксированные случаи?
Можно подменить ссылку на сбол, люди же не будут ожидать что им через HTTP на официальном сайте подкинут фишинг.
У нас в городе ни разу не было взрывов АЗС из-за того что там кто-то курил - получается, можно курить?
14-ти символьный регистрозависимый пароль такой-же по безопасности, как 16-ти символьный регистронезависимый