ЦБ нашёл схему кражи денег с карт с использованием голосового меню одного из банков Статьи редакции
Используя подменные номера телефонов, мошенники звонили сначала в систему интерактивного меню банка и узнавали остаток на счетах клиента, а потом потенциальной жертве.
ЦБ нашёл схему, в которой мошенники могли получить информацию об остатках на счетах клиентов одного из банков через систему интерактивного голосового меню. Об этом пишет РБК со ссылкой на письмо Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), направленное банкам.
- Злоумышленники подменяли номер телефона на номер клиента и звонили в систему голосового меню банка, чтобы узнать остаток на счетах.
- Чтобы получить эту информацию, надо ввести последние четыре цифры номера банковской карты. Номера телефонов и последние четыре цифры карт мошенники могли получить из клиентской базы маркетплейса Joom, которая оказалась в открытом доступе ранее в 2020 году, следует из письма ЦБ. Однако полной уверенности в этом нет, добавил регулятор.
- После этого мошенники звонили самим клиентам, представлялись сотрудниками банка. Так как они знали суммы остатков на счетах жертв, им было легче войти в доверие к ним и узнать данные, необходимые для кражи денег.
ФинЦЕРТ указал банкам на то, последние четыре цифры карты не могут быть средством проверки клиента, рассказал РБК представитель ЦБ. Для защиты данных регулятор порекомендовал банкам использовать дополнительный секретный код.
Банки при обслуживании клиентов в системе телефонного банкинга в автоматическом режиме должны использовать дополнительный параметр аутентификации, например секретный код, который устанавливается клиентом при заключении договора.
Кроме того, последние четыре цифры номера карты не могут являться дополнительным параметром аутентификации. Соблюдение таких рекомендаций позволит банкам предотвратить подобные инциденты.
А у них там разве есть голосовое меню?
Сейчас у банков и мобильных операторов больше нельзя без хитрых трюков дозвониться до человека.
Есть один жёлто-чёрный банк. Он не идеален, и на VC его разносили не раз, но по звонку на номер банка мне всегда отвечает живой оператор.
Если и эти прогнутся, то я даже не знаю, куда дальше бежать.
Обычно разносят не сам банк, а их продукт по Инвестициям. Он сыроват.
Сам банк топчик по крайне мере из того что есть у нас на рынке.
Так речь про райф вроде
Жаль, что и разрабы повсеместно ебанаты и просто люди, лишены логики.
Вот тупой, как пробка кейс, который уничтожит 99% атак типа "звонок из банка":
Покупаем бабушкофон (ок, подойдет и просто любой отдельный смарт чистый с нуля на котором только аппки банков, но и бабушкофон уровня простая звонилка с 0 умением в какие либо приложения это тоже тема нивелирущая wifi взломы)
Ставим в нее новую симку, и во всех банках прописываем этот номер как основной.
Больше ни для чего этот номер не использовать. И теперь реальные сотрудники, которые назовут ваше имя будут звонить на него, а весь остальной скам на ваши обычные номера.
Цена защиты = ~2000 р. + позвонить/протопать банки на тему смены номера
Эффект уровня Бог.
1) Номера часто берут из всяких баз кредитных, страховых и прочих куда банки сливают данные.
2) Можно неприятно удивиться, когда через N месяцев неактива симка перестанет работать. Или в ответственный момент разрядится телефон, используемый раз в месяц.
3) Предложенный метод — для самых хитрых. Все атаки вида "звонок из банка" перебором ищут самых нехитрых. Пытаться так обмануть самых хитрых бесполезно, они просто перезвонят по номеру банка.
Как вам уже написали, это создает другие проблемы, если телефон «ни для чего другого не использовать», очень легко забыть, что его с него раз в квартал надо платные действия совершать и можно легко потерять номер.
«Всего две тысячи рублей», это для вас всего, а вы предлагаете всему экономически активному населению завести по доп телефону и доп симке. В нашей стране для многих даже две тысячи это приличные деньги.
Банки могли бы наворотить много всего, например любой чих обязательно подтверждать кодами, биометрией и ста подтверждениям «вы точно хотите сделать этот перевод?», но все ищут баланс между безопасностью и удобством. Поверьте, способ с отдельной симкой - это неудобно. Я последние пару лет по работе жил за границей, банки были привязаны к Российской симке, а основная была местная. Основной телефон всегда под рукой, что на работе, что в любом месте, а второй номер - нет, всегда и везде ходить с двумя телефонами, не забыть зарядить оба - неудобно.
цена вопроса безопасности... не совершаю платные звонки, года 3, номер не теряется, баланс не утекает, 99р. как было так и есть.
Потеряется номер, заведи новый и перепропиши в банках (так даже надёжнее если обновить), но говорю, вы выдумываете про раз в месяц платные звонки, достаточно симку в сети держать.
Это не так, некоторые операторы через 45 дней, некоторые через 90 начинают списывать плату за неактивность пока баланс в ноль не уйдет. Каждый раз при потере номера бегать по всем банкам и сервисам и перепрописывать номер - так себе идея.
Насколько я знаю, там номер всё же не теряется по достижении нуля))), а в "отстойник" попадает на несколько месяцев и его оттуда можно себе вернуть. Конечно, если не спустя год спохватиться
Должны в отстойник, да. Но есть нюансы, вот тут на vc было, как Билайн продал номер без «отстаивания»
Я купил под это gsm телефон-визитку, который даже java не умеет, заряда в режиме ожидания, для приёма смс хватает наверное недели на 2... места ну не больше водительского удостоверения..
я же не выдумываю гипотетический кейс, а делюсь 3х летним опытом, мне норм.
а вообще "всю систему надо менять" (с)
переходить к децентрализованной с +/- PoA суверенной цифровой личности.
офф: митап про цифровое гражданство как на днях светился
Хаха нет, базы сливаются на уровне сотрудников банка. Недавно в этом убедился
Ну кроме инцидента с утечкой у Сбера, я не знаю таких примеров. Реально есть карты всех топ-5 банков, телефон молчит как рыба уже 3й год... зато на обычный звонки от "сб Сбербанка были"... вот всякие сайты и недосервисы сливают или утекают это точно.
Понятно, что метод не 100%, но так и написано, что от 99% закроет, по крайней мере от банальных методик.
Мой пример, никто не звонил, завёл карту сбера - звонок уже к концу дня, на след день ещё. Явно сливают сотрудники
Я загуглил логотипы и узнал много нового. Прикол в том, что я не про тинькофф говорил :)
Райф же. Прям сразу узнал
Так он устаревает. Я не так часто видел клиентов этого банка, но как правило это дядьки уже под пятьдесят с кнопочными телефонами
Не, банк тоже разносят. И Олега (лицо, никак не связанное с банком) разносят) есть за что, хотя все равно по качеству продуктов и их возможностям этот банк на голову опережает любой ВоронежАгроХолдингРусПатриотГазЛизингКредитБанк
Это тот у которого проблемный онлайн банк и стрёмные тарифы ?
Комментарий недоступен
А я наоборот всегда спрашиваю Олега, а мне вечно подсовывают спеца. Хотя спрашиваю банальные вещи по тарифу или подобное, с ответами на которые хорошо справится и бот.
Комментарий недоступен
Так этот сукобот, пока его не пошлёшь, не соединяет со специалистом. Зато сразу предлагает рассказать о себе.
Приходится поговорить.
Ты чо, это же новые сберинновации.
На самом деле хуй знает, может и есть.
Интересный подход к информации (если вы клиент сбербанка)
Как можно пользоваться сервисом не зная привилегий или сервиса который они должны предоставить и тот который оплачиваемый.
Ну миллионы людей както пользуются же
Так на этом и наживаются. Когда народ умнее станет? Тут уже говорим не о стране или районе. Говорим об отношении к себе и своих знаниях в финансах.
Кринж с этой фразы
Если нетрудно, можно ответить мне более понятней?
Не совсем понимаю вашу фразу. Заранее спасибо.
Ну когда народ умнее станет, тогда и поймете мою фразу :)
Достойный ответ. Но все же можно конкретики? Помогите обществу, объясните?
Ну камон, че именно не понятно? Слова или смысл комента?
Кринж - испанский стыд, можно было бы уже загуглить миллион раз
А смысл комента такой:
Когда народ умнее станет?Никогда. Крайне странно вообще этого ждать
Спасибо за пояснение, вы не ленитесь объяснить людям свою позицию (когда вежливо просят). Ведь самый глупый вопрос который не задали. Я задал вопрос вам, а не гуглу. И испанский я не учил. Спасибо за ответ.
А вот теперь реальный кринж с этой фразы
Сбер не хуже других банков в плане безопасности, но тут играет роль размер. Если вы первый по размеру клиентской базы то именно к вам будет самое пристальное внимание преступников, а новости про банк будут вызывать самый большой резонанс. Если у вас работает 280 000 человек то наверняка найдется ублюдок который захочет умыкнуть базу. И так во всем.
Можете стать клиентом задрыпинск банка. Только тогда не удивляйтесь отсутствию банкоматов, отделений, наличию забалансовых вкладов, отзыву лицензии, отсутствию нормальных онлайн сервисов и нулевого реакции общества на возникшие у вас проблемы.
тут даже базу не надо красть. делаешь обзвон номеров подряд и если банк крупный то у большинства будет карта этого банка. а дальше дело техники. если на той стороне "провода" "лапух", то можно его спокойно крутить...
В целом вы правы, но я говорил за то что много пользователей банка не умеют даже соглашение прочитать. И лишний раз для себя понимаю что потратить 30 минут на ознакомления соглашения с банком, это необходимость. А люди просто подписывают, а потом возмущаются что подписали. В этом и есть глупость.
Вы правильно написали, как-то пользуются. Вот так всю жизнь и прожили, от слова как-то.
Комментарий недоступен