В общем меня тоже сегодня пытались развести от имени якобы службы безопасности Тинькофф. Так как сам являюсь сотрудником службы безопасности банка решил понять каким образом они получают доступ к личному кабинету.
Сценарий развода следующий - они у пользователя узнают данные, по которым можно восстановить доступ к личному кабинету, а потом на основании этих данных получают к нему доступ и через приложение привязывают карту в Андроид Пэй (у Тинькофф для подключения карты не нужно подтверждение через OTP).
Так что предполагаю - всех кого якобы взломали, они сами сообщили свои данные.
Разговор приложил, запись аудио включил не с самого начала.
Номер с которого звонили +74952360500
74
показа
11K
открытий
Банковская карта сегодня самое опасное место, где можно хранить фиат, а расчетный счёт уже и не банковский счёт а проходной двор, потому что там только ленивый не обобрал вас, начиная с исполнительных гос. органов и заканчивая мошенниками, ворующими доступ.
Сегодня актуален банк без доступа к счету через интернет и сохраняющий тайну вклада, с возможностью анонимного вклада. Что, конечно противоречит действующему законодательству.
Что за бред вы несёте. Если у вас есть базовые понимания по информационной безопасности, то никто Вас не сможет "взломать".
В данном примере используется простая социальная инженерия, пользователи сами сообщают необходимые данные злоумышленнику.
Безопасник? Сразу видна культура изо всех щелей прёт. А ничего, что схемы воровства не заканчиваются только на: обманным путем выудить информацию у держателя.
Да откуда вам знать, вы же новости не читаете.
Я сделал акцент на то, что в "данном примере".
Почему вы решили, что я ограничил все возможные способы взлома только социальной инженерией?
И при чём тут культура и щели?
У вас с логикой всё в порядке?
...Что за бред вы несёте... Это не вы написали?
Так я просто охарактеризовал суть вашего посыла, для меня как для специалиста это выглядит как бред.
Просто оценочное суждение, ничего личного.
В чем вы специалист? Смешной человек зазвездился от должности линейного персонала.) Вы там от инструкции о неразглашении не сильно отклонились? а то получите волшебного пенделя и станете писать статейки от имени бывшего безопасника...)
Не переживайте за меня, я без дела не останусь.
И спешу вас расстроить, я не отношусь к линейному персоналу.
Давайте не будем переходить на личности, это ни к чему хорошему не приведёт.
Удивительно, что человека с псевдонимом «ковид 19» задела фраза «что за бред вы несёте».🤣
Ну меня это меньше всего смутило, у меня тоже ник не совсем адекватный, но это всего лишь ник.
На самом деле я искренне не понимаю, как может это подобие банков называться банками, если конфиденциальность и безопасность вкладов ими не гарантируется.
А истории с опустошением денежных ящиков не читали? В современном банке нельзя быть уверенным в сохранности средств, вот это настоящий абсурд.
ну кстати это правда, изначально в банки несли деньги для безопасности, сейчас реально уже безопаснее под матрасом хранить
Инфляционный налог появился именно как способ вытаскивать деньги из-под матраса, не трогая сам матрас.
"конфиденциальность и безопасность вкладов" это не обязательно требование к тому чтобы банк назывался банком
Без дела? или без денег? Я не могу расстроится из-за диалога с сотрудником отдела внутренней безопасности банка, наобщался, в свое время, достаточно. Ваша служба способна вызывать зуд, или аллергическую реакцию, в этом и есть ваше назачение.
Я не сотрудник внутренней безопасности банка в Вашем понимании, а работаю по направлению связанному с обеспечением информационной безопасности. Я занимаюсь только технической частью в вопросах обеспечения безопасности. Выявление мошенников, написание скриптов и т.п. к моей непосредственной деятельности не относится.
Вы судите о всех людях данного направления, только по опыту общения с конкретными сотрудниками?
Суть специалистов безопасности никому не доверять и искать во всем "врагов".
Информационная безопасность? Объясни тогда, каким образом, в Сбербанке уплыла база с паспортными данными всех клиентов, это было буквально 3 года назад.
Я могу лишь судить по новостям, сотрудник имел доступ к данным и вынес их.
Утечка данных из банка зачастую происходит силами сотрудников этого же банка. С этим пытаются бороться различными способами, с переменным успехом.
Но утечки были есть и будут, это не искоренить.
в ит, в серверных проходной двор, все конечно под спец допуском и ключи с персональным охранником на входе, но поражает количество лиц, имеющих этот допуск.
Спешу расстроить, данные выносят не из серверных...
Ну просто люди тут знают об ИБ только по фильмам типа "миссия невыполнима"))))
То-есть выдернуть жёсткий диск из рейда на горячую никак не получится? И тупо вынести в кармане. Спешу вас расстроить, я вывез ИБП из десятка серверных банка, на основании только одного распоряжения, ИБП размером с шифонер.
Ох завязывайте)))) я давно так не смеялся))))
Ну вытащите вы диск из рейда и дальше что?)))))))) делать что вы с этим диском-то будете?)))))))
Именно поэтому вы и возите только ибп))))))
Да, а вы в курсе какие рейды бывают? 0, 1, 0-1 и т.д.. рассказать вам, как читать данные с дисков из рейда не в зеркале? если вы не в теме, то зачем вставляете свои 5 копеек.
Я более чем в курсе какие рейды бывают и какие применяются в зависимости от конкретных задач. А ещё я в курсе каким образом защищается информация.
И даже если вы наткнетесь на каких-то идиотов и сможете украсть один жёсткий диск, как вы узнаете заранее, что именно на нем хранится нужная вам информация?))))
Короче, на данный момент, вы лидируете по степени бредовости комментариев и подтверждаете моё сообщение, что обо всем этом вы знаете только из фильмов типа "миссия невыполнима"))))))
Ну и ещё asp.net c#, ну и зачем мне это вам говорить...
Ну-ка расскажите мне как прочитать данные с одного диска из массива ibm ds de или sw например, с пропиретарными дисками?
Я уж не говорю про 6 raid на массиве с 1-8 фабриками...
Вы суть вопроса не уловили, как Сбер потерял базу? а вариант, предложенный мной, всего лишь один из путей, конечно нет смысла дергать диски, и воровать базу с паспортными данными, тоже не имеет никакого смысла, я вам путей воровства базы могу предложить ни один десяток, вопрос ведь не в том, каким путем, а в том, что защита от воровства не сработала, несмотря на то, что там сидит не одна сотня умных безопасников, и толстыми попами протирают стулья до дыр, годами совершенствуя безопасность, но, как оказалось, зря едят свой хлеб.
Тот глупый начальник "по знакомству" теперь сидит, а тот кто его привел никогда не будет работать в сфере банков. А заход у обоих много больше того, что можно выручить за эту базу...
Так что таких идиотов больше не будет...
А относительно защиты, абсолютной защиты не существует.
Например. Образовалась ошибка с вашими счетами в банке (не по вине этого банка в том числе) и? Все вы сидите без денег? Доступа к базе ни у кого нет... А ошибок и по и без вины банка в софте полно + законодательство меняется часто и это иногда требует перестроения всей системы. И преобразования данных в том числе руками. Доступа нет пользователи без данных.
Только вот соотношение той утечки к общему числу пользователей даже не процент. Да и то что там утекло гостиницы при выселении в помойку выкидывают (полные паспортные данные и данные оплаты).
Вы обороты сбавляйте, тот "глупый" начальник был умница, и двигался по карьерной лестнице до должности директора уральского банка всю свою жизнь, переезжая по стране из региона в регион, не говоря уже о размере з.п. измеряемой в млн.р., как и собственно его уход на должность этого же уровня, но в другой федеральный банк, где его с радостью взяли. Ваша неосведомлённость очевидна, в таких крупных структурах, в вашем прямом подчинении находится пара сотен сотрудников, и вы не сможете внедрять инновационные технологии, коих у Сбера, как из рога изобилия, не полагаясь на свою команду, ни как.
...Образовалась ошибка с вашими счетами в банке (не по вине этого банка в том числе)...
Вы бредите? Очевидный же бред, все алгоритмы покрываются тестами, образоваться может ошибка в вашей рукодельной программе, с количеством кодеров <= 1.
Вы представляете сколько систем используется в банке и что многие из них к конкретному банку вообще не имеют отношения и разрабатываются отдельными сторонними организациями?
У сбербанка? Вы совсем идиот...
Ваша токсичность, меня подзае.ала.
...что можно выручить за эту базу...
Вам известно? Сколько было выручено за базу клиентов с паспортными данными?
Могу сказать. База мобильных операторов в 2010 году на савеловском рынке в развес стоила 15000 в ней были полные паспортные данные с пропиской и номерами мобильных телефонов.
Один диск из рэйда? Там не будет читабельной информации, тем более если это рейд для БД.
Если вы незаметно вытащили диск из сервера и вынесли, то по всей видимости там ни о какой информационной безопасности речи и не может быть.
Любое действие с сервером регистрируется в SIEM системе и с помощью триггеров происходит реагирование персонала на то или иное событие.
В общем вы почти от общего к частному переходите.
Т.е. вы утверждаете, что с диска из рейда невозможно извлечь информацию, если не иметь в руках весь рейд? Вы бы для начала проверили, что там можно прочитать. Наивный.
Комментарий недоступен
Отличный вопрос, номер рейда какой?
Комментарий недоступен
Вы пошли углубляться в суть вопроса, конфиг вам зачем? Все равно диски заполняются не разбивая побайтово поток, а пишутся кластерами, секторами и там будут видны вполне читаемые данные. Но это нам с вами не особо важно знать, главное чтоб оно туда писалось и читалось и была возможность замены умершего диска на горячее. Но если бы я не кодером работал, а безопасником ИТ, то наверно я бы вздрогнул, когда у меня из под носа угнали базу, а , даже найти не смог того, кто это сделал. Вот это очень подозрительно.
Комментарий недоступен
Я вот эти подробности не знаю, но знаю, что директора филиала, уволили из сбербанка, наказали человека, который к ИТ не имеет отношения, но кто-то должен отвечать. А порты там да, действительно у всех заблокированы, но, насколько я слышал сплетни, угон состоялся через ит сотрудника, мне так говорили люди из Сбера.
Комментарий недоступен
Тут ещё зависит от типа рэйда.
Но скорей всего информация с одного диска вам ничего не даст
Дак ещё как даст, займитесь на досуге, я также думал, пока сам не проверил, там вполне читаемые данные, да они будут разорваны, на части, но читаемы. Фамилии, и паспортные данные будут видны. Сохраненные в файлах видны без дополнительных действий. В базе данных придется повозиться.
Я конечно извиняюсь, но посмотрите принцип работы рэйд массивов.
Если у вас один диск из рэйда 5-го уровня, то по сути у вас ничего нет.
Да и вообще сейчас в серверах данные не хранятся, все выносится на СХД.
Ну вот, а что схд это уже абстракция или облако? Точно такое-же хранилище, сейчас модно создавать ЦОД где-нибудь в дальнем углу страны, а регионы не имеют физического доступа, да, уровень безопасности повышается, но, сам факт воровства базы говорит о несовершенстве методов обеспечения этой самой безопасности.
На примере ibm это система с пропиретарными дисками использующими отличный от sas стек команд и пропиретарную разбивку. Даже для типовых видов рейд.
Теперь далее в 5-6 рейдах на дисках даже не черезполосица, а хэшированный блок с контрольной суммой.
Вы умеете по хэшу делать обратное преобразование?
Да? Ух ты. Не хотите подработку по восстановлению данных. Каждый не поднятый диск вы оплачиваете клиенту. У ва же все так классно читается...
Вы представляете что бд не хранится не то что на одном диске массива (где через полосица) но даже не на одном хранилище и даже не в одной стойке.
Да у него БД хранится в ибп, судя по тому бреду, что он здесь пишет))))
Ну у вас точно заклинило на рейде, сегодня восстанавливать рейд вообще нет никакой необходимости, замена павшего на новый приводит к полному восстановлению данных с других дисков. Их там по 10 штук в рейде ставят.
Стоп. Вы же выше писали что легко можете данные восстановить? Уже все, слились?
Я не просто сказал, что могу, я сказал, что восстанавливал, и вполне успешно, в том числе с ремонтом убитого контроллера жёсткого диска, и восстановлением работоспособности всего рейда. Но перед тем как спасать диск, я внимательно смотрел содержимое живых дисков.
Э???? Это как? Вы что смотрели? Смысл восстанавливать данные с 1 диска если в 5-6 рейдах избыточность 2 диска????
Т.е. вы опять подписались в незнании устройства рейд и ещё и обманываете )))
Очень кстати интересно что вы "ремонтировали" в убитом контроллере? В 99% случаев там нечего ремонтировать. Процессор сгорел/Флэш "ушел" и досвидания. 1% это лет этак 15 назад у ibm были диски у которых безболезненно выгарал ключ контура питания. Но там восстанавливать нечего было. Ключ меняешь и всё работает. А если весь контролёр лег, то тоже проблем нет. Аналогичный ставишь (желательно, но не обязательно с переброс Флэша, если возможно), и можно спокойно в штатном режиме использовать...
Сложно если сгорел блок головок. Но тоже восстанавливается... Правда один раз и если объем большой то лучше в "чистой" камере.
Самый геморрой поднимать "руками" ata командами...
В случае raid-0 действительно по большей части может не получится восстановить информацию особенно если применялось шифрование.
Рекомендую проверить лично, возьмите и почитайте. Шифрование отдельный вопрос. Я же не сказал, что это единственный способ утащить персональные данные. И конечно тащить будут архивные копии баз, но наш глубокоуважаемый безопасник не смог внятно ответить на вопрос, к которому мы и подошли сейчас - а как можно так бездарно организовать хранение и доступ к данным, чтоб их вообще удалось утащить?
Слушайте, я с рейдами работал когда вы еще под стол пешком ходили.
Строго говоря raid-0 это не рейд де-факто. Поскольку он ни разу не redundant.
Поэтому давайте-ка это вы сходите и почитаете матчасть. А еще лучше поработает с ней.
Прежде чем нести бред про рейды и про определения банков. Ну и про банковские карты тоже.
Там какие-то фантазии у человека, видимо курил рядом, где про рейд разговаривали.
Началось..., дедушка, подгузник на ночь оденьте, а то вам ночью бомбить Берлин еще... Знаток рейда...
Что-то я искателя в теме не вижу какой банк плохой со своими длинными сообщениями.
Оказывается клиент олух такое тоже бывает и деньги украли у него!
Расскажите мне как снять данные с global hotspare 8 фабричной ibm на raid 6.
Ну или с отечественных хранилок на Эльбрусе...
P.s. пошел за чипсами и пивом....
Именно. Так. С 5-6 рейда вы никаких данных сняв один диск пула не получите. С 0 вероятность есть, но получить структурированную информацию (например часть бд доступную для обработки) не получится точно. А произвольный кусок текста никому не нужен...
Что-то прицепились к этому рейду. Диск большой, неудобный. Гораздо проще вынести базу на плашке из redis! Можно даже несколько в карман засунуть!
А к чему вы это мне пишите? Это вы covid-19 напишите. Он легко восстанавливает все данные по любому диску из массива (даже по hotspare). А руководители уровня зам директора филиала работают с базой клиентов и ее выносят на продажу в даркнет.
И какого размера бд вам удалось вытащить из бесперебойника? Вы же его имели ввиду, написав ибп?
Это проблема в абсолютно любой структуре. Везде найдется такая крыса. Просто окно возможностей разное- кто то с работы тащит таблетки цитрамона, а кто-то сливает бд. Суть одна, масштабы где то незаметны(пачка цитрамона), а где-то реальный ущерб репутации.
Да, да... Это в теории, а на практике, читая внутренние сводки ограблений банка собственными сотрудниками, я всегда удивлялся, и задавался вопросом - чем там занимаются эти безопасники?
Логичный вопрос.
Я могу сотню таких задать:
- людей убиваю, чем занимаются органы охранения правопорядка?
- людей сбивают, чем занимается ГИБДД?
- люди по тысяче человек в день умирают на больничных койках от ковида, чем занимаются врачи?
Это жизнь, от всего не возможно предостеречься.
Вот тут я совершенно точно могу дать исчерпывающие ответы - органы правопорядка не выходят из кабинетов и занимаются всем, чем угодно, кроме правопорядка.
ГИБДД, вот на счёт понижения аварийности реально работают и понижают.
От ковида не существует действенных методов лечения, кроме сомнительной вакцинации, а вот ка как можно выкинуть денежный ящик из банкомата, на помойку, потому что в нем случайно сработала защита и купюры окрасились, а премия на носу, и остаться без премии не хочется, так как можно было не заметить пропажи ящика?
Вы приводите какие-то примеры которые завязаны на человеческий фактор...
"ГИБДД, вот на счёт понижения аварийности реально работают и понижают"
Охохо, вот это вот критически ошибочное заявление то.
Снижение аварийности это и проектирование безопасных улиц, в согласование которых ГИБДД вставляет палки всегда. При этом они закрывают глаза и согласуют абсолютно небезопасные "гоночные трассы". Сюда же относится и постройка под/надземных переходов там, где можно и нужно делать наземный. Но нет, нужно сделать мнимую безопасность, чтобы гонщикам было проще.
Снижение аварийности это и принятие ужесточающих законопроектов и снижение нештрафуемых порогов, в которые опять же вклиниваются ГИБДД
ГИБДД это не про безопасность, не нужно путать создание комфортных широких взлетных полос со снижением аварийности.
Хм. Не знаю, как связана "широкая взлетная полоса" с безопасностью, в вашем понимании, а мое - чем больше полос - тем проще двигаться без перестроений, что однозначно снижает аварийность.
Если есть возможность сделать подземный переход, а вы считаете, что это мнимая безопасность... о чем с вами ещё говорить?
Я вижу, что делают они в городах в этом направлении, перекрёстки все крупные под камерами, переходы не на перекрестках оснастили лежачими полицейскими, развязки, у меня а городе, изменили, так что увеличилась пропускная способность, все опасные съезды разметили с дополнительной полосой разгона. большое им спасибо.
"О чем с вами ещё говорить?"
Вот именно, мне с вами не о чем говорить, если вы считаете, что подземный переход безопаснее наземного. Я вас удивлю, но статистика по сбитым пешеходам около подземок и возле адекватно обустроенных наземок скажет вам об обратном. При желании вы можете найти данные. И если постараться, то вы с лёгкостью обнаружите причину такого явления, если представите себя на месте пешехода, а ещё лучше маломобильного, коих у нас не мало.
Не нужно путать удобство для водителей и увеличение пропускной способности с безопасностью улиц. Это совсем не одно и то же. Описанные вами кейсы - противоречат "снижению аварийности".
С точки зрения водителя и правда удобно, но ни широкие гоночные трассы, ни подземные переходы не являются безопасными внутри города. Это доказано мировым опытом, есть хороший опыт по снижению аварийности в европе, можете прочитать про Vision Zero, если вам правда интересно. ГИБДД всячески мешают внедрению такого опыта у нас, делая город опаснее.
Если бы вы подумали не только с точки зрения своего водительского удобства, вы бы это поняли. Для и самих водителей множество "удобств" также являются опасными.
Просто на досуге, посмотрите статистику дтп в России и сравните с любой страной Западной Европы, можно даже со Швецией, которые сильно смогли снизить аварийность при внедрении программы снижения смертности, посмотрите при каких условиях происходили аварии в России.
Очень вызывающее, но пока голословное утверждение.
Мне и правда интересно, и я посмотрел в гугле, что такое Vision Zero, и, оказывается, подземные переходы как раз таки четко вписываются в эту концепцию.
Просто потому что позиция "Пешеход! Умирая на зебре, помни - ты был прав!" это как раз то, против чего Vision Zero в явном виде и задумывалась.
"подземные переходы как раз таки четко вписываются в эту концепцию"
Не совсем так. Как раз 0vision учитывает и удобство для маломобильных людей в том числе. Я не говорю, что они вообще не делают под/надземки.
Конечно делают, если это действительно оправдано, в том числе их делают за пределами города, чтобы не ставить заведомо опасные наземки на скоростных трассах. Могут делать и в черте города в каких-то случаях, если это оправдывается например местностью, низкой пешеходной пропускной способностью или наличием скоростной дороги или переездов. Все делают, только масштабы сильно другие.
Но в общем концепция достигается за счёт снижается средней скорости на оживленных улицах города, в том числе и искусственно, за счёт, например, искривлений проезжей части, препятствий. Снижение скорости же позволяет спокойно ставить наземку, где риск дтп приближается к нулю.
Понятное дело, что на "гоночных трассах" вхерачивать наземку никто не будет. Тут нужна работа в совокупности и главное, не перепутать этапы.
У нас же просто все делают ровно наоборот, в городе в местах, где объективно безопаснее ( школы, сады, больницы и прочие госы с неплохим потоком ) и дешевле сделать наземку - часто вфигачивают подземку направо и налево, тратя неплохие бюджеты.На этом участке растет аварийность, т.к. детишки/бабушки очень верят в свое бессмертие, стараясь сэкономить силы на подземке. И многих можно понять, в том числе мамочек с колясками - не везде подземки оборудованы нормальными пандусами даже.
"это как раз то, против чего Vision Zero в явном виде и задумывалась" в каком-то смысле можно сказать и так именно за счёт снижения аварийности. Образно, они ищут виноватых не в водителях или пешеходах, а в проектировании. Смысла винить водителя нет, если дорога сама предполагает гоночный режим. Смысла винить пешехода нет, что ему физически сложно перейти по подземке.
Справедливости ради, отмечу, что у них нулевая смертность работает в совокупности с рядом других направлений, например, снижением автомобилизации и увеличением привлекательности использования городского транспорта. Что малодостижимо в самом ближайшем будущем, всё-таки. Но когда-то и в Европе был такой этап все же.
Вопрос то простой.
Какой банк позволяет полностью отключить возможность входа без пароля в личный кабинет? Я таких не знаю.
Фактически можно просто дать по голове человеку сейчас, разблокировать его телефон пальцем, взять карточку из кошелька и спокойно войти в личный кабинет, опустошить всё и ещё и кредит взять и вывести.
Открою секрет, во первых не все банки используют пароль для входа в приложение. Большинство ограничивается подтверждением по OTP.
Тинькофф позволяет восстановить доступ к личному кабинету, если вы сможете подтвердить, что являетесь владельцем. Эту возможность злоумышленники и используют.
Да - могут дать по голове и зайти по украденной карте, но мы же сейчас говорим о дистанционном мошенничестве, а не о грабеже с применением насилия, не путайте теплое с мягким.
Человек может просто потерять карту и быстро не заметить. Грабежа нет, а суть та же.
Тогда это воровство, я не понимаю зачем эти примеры нужны, речь о другом
Печально, что вы не понимаете. Если раньше человек рисковал только деньгами на карте, то теперь рискует всеми счетами, которые есть в лк. Зная данные карты и личные данные (которые пробиваются за копейки) это возможно, о чем вы сами в посте и пишите.
Риск только в том, что пользователь может сам помочь получить доступ к своим счетам. Универсальной защиты от дурака нет.
Это не на русском языке написано) Риск в помощи заключаться не может. В последствиях этой помощи – да, но это не отменяет того, что было сказано выше.
Риск не в помощи, а в том что пользователь может невольно сообщить чувствительные данные (помочь получить доступ).
Это каким образом человек, потеряв карту, рискует сразу всеми счетами? Есть примеры банков, которые дают восстановить доступ в лк без подтверждения смс/push-кодом?
Секретные вопросы снимают эту проблему.
Комментарий недоступен
Почему? Если у человека украли телефон и пытаются получить ОТР в СМС, то секретный вопрос не даст злоумышленникам этого сделать.
Комментарий недоступен
Когда и кому он сливается? Мы сейчас рассматриваем ситуацию, когда злоумышленник обманом (украл, и.т.л) завладел телефоном клиента и пытается получить на него ОТП, чтобы войти в ЛК. В этом момент, запрос системой ответа на секретный вопрос, как одного из условии отсылки ОТП, остановит атаку.
Это вы рассматриваете, а я смотрю на ситуацию с безопасностью в целом. В этом случае кодовое слово в теории может помочь, а в другой ситуации наоборот сделает хуже.
Так для этого, во всех подозрительных случаях, и нужна двухфакторная авторизация. Связка СМС+секретный вопрос снимает практически все проблемы. Какова вероятность того, что злоумышленник и телефоном завладет, и данные, слитые из банка, получит?
Комментарий недоступен
А в чем разница? Телефон или только сим?
Пряников, не используй слова, значение которых не понимаешь.
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Расскажите как зная данные карты получить доступ ко всему? Максимум вывести деньги с карты через псевдо оплату. Все. Банк по карте вам ничего не даст.
Комментарий недоступен
Липовые документы??? Чтобы прошли проверку? Да ещё к тому же чтобы на лицо были похожи? Я больше поверю в ворованные. Только тогда зачем симка?
Комментарий недоступен
Доверенность прикладывается к документу удостоверяющем у личность. То есть ещё и варовпнный паспорт нужен с совпадающей физиономией ))) и к этому ещё нужны данные по личному кабинету, где может не быть денег. Ни чего так присесть на 15 лет легко и не принужденно прямо у опсоса за 0 рублей?
Комментарий недоступен
Не выполнение судебного решения и законодательства это интересно. Номер дела сообщите пожалуйста.
Тем более что вся эта информация есть в сорм 1 и 2.
Комментарий недоступен
Пряников-клоун и демагог и стукач его когда фактами подопрешь, он начинает жаловаться инспектору, орать сами ищите, если вам надо, требовать ссылки на какие то нормативные акты.и.т.д.
Комментарий удален модератором
Комментарий удален модератором
А вы ведь так и не привели номер судебного дела где представитель оператора на суде заявил об отказе предоставлять данные....
Комментарий недоступен
Т.е. вы признаете что такого дела не существует, что в принципе так и должно быть. Так как указанный вопрос решается задолго до заседания суда. И более заведения уголовного дела...
Комментарий недоступен
Комментарий удален модератором
Комментарий удален модератором
Что такое ОТР?
One time password
Комментарий недоступен
Авангард например. Можно не ставить приложение (пользоваться только Web-версией) либо не включать биометрию, чтобы лицом/пальцем жертвы, находящейся в несознательном состоянии, не разблокировать. Помимо этого, банк запрещает дистанционное восстановление доступа к интернет-банку/приложению. Первичная регистрация делается легко, по номеру карты. А если доступ утерян — восстановить можно только лично в отделении.
Банк покажется диковатым тем, что не выплачивает кешбек за некоторые популярные категории покупок, например крупные супермаркеты или сетевые АЗС. Но если речь про безопасность, хранить деньги и безопасно (и дёшево, 10 руб любое платёжное поручение; СБП за 0 как положено) переводить деньги, то наверно для повседневных трат можно использовать что-то другое, с небольшим остатком своих денег, зато с щедрой бонусной программой.
Вроде там можно восстановить доступ тоже в меру легко.
Но в целом Ава - реально тема как расчетный банк. Минус только в том, что нет реально интересных пакетов для тех у кого есть немного денежек. Был с ними много лет, но закрыл всё недавно, три банка для меня перебор, а вторым выгоднее было сделать другой. Да и заморозились они как-то последние годы, стали больше банком для переводов в СНГ ((
Насчёт переводов это уже давно, как они внедрили концепцию мини-офисов в магазинах и торговых центрах, одно из основных направлений деятельности это стали переводы от трудовых мигрантов в страны ближнего зарубежья. Да, это тоже проблема, потому что порой я просто прохожу мимо офиса Авы и несу деньги в другой банк, если весь "аквариум" отделения заполнен джамшутами.
Да все банковские приложения при первом логине спрашивают, включить биометрию или использовать пин-код для входа в приложение.По крайней мере, на андроиде, за iOS не скажу, давно не пользуюсь.
А я вот хочу чтобы без пароля нельзя было войти и восстановить его без визита в офис. Без упрощения входа, по старинке. И без восстановления входа просто данными карты.
Но все банки зачем-то хотят упростить доступ к моим деньгам. И тут уже приходится заниматься ерундой соскребая cvc код и т.п.
Шаг 2: записать его на том же месте, увеличив каждую цифру на 1 (9>0) в обратном порядке.
Шаг 3: сделать его неотличимым от бывшего родного (делаю диодным лазером и тонером), вплавляет - не отличить от поюзанно-потёртого.
Если хотите чтобы нельзя без пароля, то удаляйте приложение с телефона каждый раз после использования и ставьте перед использованием. Либо пользуйтесь веб версией.
Таки в веб версиях тоже можно восстановить ЛК по данным карты обычно
То есть если я найду на улице карту то получу доступ к веб версии?
Если будет телефон ещё, то да
Угу. И телефон будет разблокирован.
Только вот проблема. Большинство приложений банков не работают если на телефоне отключена авторизация... (На нее завязано хранилище ключей).
Это как? Это в каком банке двух факторную аутентификацию отменили?
Это уже после авторизации приложения на устройстве, это немного другое.
А зачем так сложно? Если можно дать по голове то наличие пароля ни от чего не защищает. Пара правильных ударов или один паяльник и все пароли от всех банков и телефонов будут доступны. А ещё и деньги что дома у всех родственников лежат...
Также по голове могут дать и вытащить наличку из карманов
И не только банковскую карту, но и все накопительные счета, на которых, совершенно случайно, лежали средства от продажи недвижимости, например.
Для борьбы с этим существует очень простое решение. При любом запросе одноразового пароля клиент сначала должен ответить на пару секретных вопросов. Которые он сам установил ранее.
не совсем ясно из поста какие данные пользователи сами сообщают для юридически достоверной идентификации клиента банка и авторизации установки нового приложения тинькова? баланс по карте и сумму последней транзакции - и этого достаточно?
У мошенников уже ест ваши перс данные, по остальным данным, которые из вас выпытывают можно восстановить доступ.
это исключительно проблема тинькова тогда что он разрешает левым людям "восстановить доступ". Клиент не будет виноват. Для авторизации должны быть запросы на авторизацию (явные) в смс, кодовые слова и т.п. или с паспортом в офис. Сумма операции не является никак кодами авторизации. Просто представьте что вы получали бы доступ к клиент-банку для юрлиц просто назвав его реквизиты и сумму операции - вот такая же чушь
Сумма последней операции это пыль в глаза. Их больше всего интересует остаток на карте. Вдруг вы нищеброд и тогда нет смысла тратить время.
речь же не об этом. а том как авторизует тиньков своих пользаков. сбер балансы карт сам говорил до недавнего времени, так что не большой это секрет - достаточно было подменить номер и позвонить на 900
Речь об этом. Банк не авторизует по балансу карты. Баланс карты спрашивают мошенники, якобы для авторизации, а на самом деле чтобы узнать стоит ли тратить на вас время.
ну если вы посмотрите - мой вопрос к автору, специалисту по безопасности - как он заявил сам, и как он упомянул разговоре "схема давно известна" - а как именно банк авторизует-то? что мошенники время свое драгоценное потратят - особо меня не беспокоит
Сейчас используется многоходовка.
Вначале узнают данные первого уровня. Карты, счета операции. Проверяют корректность данных ФИО телефон привязку к личному кабинету.
Далее второй уровень. Звонки уже по по полученной информации. Или сразу атака или получение развернутой информации для перехвата счета.
И третий этап (иногда совмещён со вторым) - атака. Очень часто это разные команды использующие разные опросники и по.
Прямых атак с зоны (на чистой психологии) сейчас мало, точнее они тонут в количестве массовых атак коллцентрами с бывших республик (в основном Украины).
Спрашивают последние операции. Баланс это повод поговорить про то что он стал больше меньше и т.п.
Я могу рассказать мошенникам свои 15 последних операций и точный остаток по карте. По этим данным их не пустят в банк.
Только по этим нет. А в связке с другими данными - да.
Это как раз их не интересует. Кроме карт у вас могут быть счета, ценные бумаги и т.п.
Получив доступ к личному кабинету открываются широкие возможности. Включая получение кредита.
А при чем тут Тиньков? Вы оставили в гостинице ФИО и оплатили картой... Все. Вот данные мошенникам. Даже можно картой не платить ФИО + телефон и о всех ваших банках мошенникам известно через сбп.
А может быть дело в дырявых протоколах безопасности банков, которые готовы предоставлять третьим лицам доступы к счетам по телефону на основании непонятно какой информации?
Да, банки предупреждают что никому нельзя говорить пин код или пароль из смс. Но я например ни разу не видел предупреждения о том, что баланс карты или последняя операция это также строго секретные сведения. Более того, в некоторых случаях, например при подаче на визу, требуется выписка банковского счета (с балансом и операциями) или чек из банкомата.
А при чем тут банки? Вы остановились в гостинице. Вот вам ФИО+телефон+банк.
Вы купили что то в интернет магазине. Вот опять ФИО телефон банк.
База ушла в даркнет и вот уже вам звонят бравые молодцы с Украины. Проверить что у вас есть счёт - легко. Формируем в любом приложении любого банка перевод и сбп выдает куда по указанным данным можно кидать деньги.
И каким образом этот пассаж оправдывает напоевательское отношение банка к безопасности, и готовность дать доступ к счету первому встречному, назвавшему девичью фамилию матери и ещё какую-нибудь общедоступную информацию?
Какому первому встречному? Вы слили кодовое слово, которое ни разу не общедоступное, кстати каки девичья фамилия матери. Такую информацию даже в паспортном столе получит сложно. Это архив и по запросу от суда. И получается имя что уже Вы, а не банк, виноваты. Это закрытая информация.
Если вы отдали незнакомцу ключи и он обнес вашу квартиру, виноват застройщик или президент?
Прикалываетесь? Реально трудно узнать фамилию бабушки/дедушки?
Вы наверное тоже сотрудник такой службы 'безопасности' , угадал? 🤣
Бабушка и дедушка это по законодательству даже не родственники. Такой информации нет в банках регистрации ))) вы у нотариусов наследство открывали хоть раз? Если бы открывали, были бы в курсе сколько времени занимает только проверка предоставленных документов (свидетельство о рождении, свидетельство о браке бабушек и дедушек, и родителей). А не тем более их поиск. Готовы поискать фамилию моего дедушки по матери, если это так просто )))
Вам для размышления: девичья фамилия матери будет храниться в базах данных огромной кучи государственных и частных организаций, где она была клиентом. Также есть ИНН - он не меняется при смене фамилии. Есть реестры прав на недвижимость, где можно увидеть смену. Я уже не говорю про старую добрую социальную инженерию.
Собственно, уровень компетенции понятен, не вижу смысла дальше продолжать разговор. Если так доставляет удовольствие ставить минусы вместо шевеления своими мозгами - разрешаю, на здоровье 🤣
ИНН открыт и это не фамилия.
Вас послушать так у украинского коллцентра прав больше чем у связки прокуратура + суд+ полиция. Уровень отсутсвия ваших знаний и того, что вы пересмотрелись американских низкопробныз фильмов про "кулхацкеров" - виден.
Чья бы корова мычала про уровень знаний то...
Что вы несете? Мы точно с вами на одной планете живем? Есть конторы, которые например занимаются генеалогией. И там свободно все узнают хоть до 10 колена. Кодовое слово в принципе не предназначено ни для каких критичных операций. Максимум для чего можно его использовать – для блокировки карты.
До 10 колена? Ну ну. Моя мама узнала, что ее прабабка относилась к потомственному Вологодскому дворянству, только когда ее сводная тетка умерла, она душу облегчила. Это было в 2000х. А до этого все числились по официальным документам пролетариями (рабочими и крестьянами). И на то бумага есть.... А прадед по отцу женился второй раз и документов по первой жене не осталось. С так бы шлепнули в 36. Так про какое 10 колено вы говорите?
Я из рассекреченных архивов Минобороны только узнал за какие годы дел был награждён так как в наградных не указано в связи с испытанием секретных образцов... А уж про то что мне не могут в базе 14 лет поправить паспорт и Я продолжаю быть прописан в снесенном доме и говорить не приходится.
Так банки должны это учитывать и делать это невозможным. Надо, чтоб по таким случаям банки тоже несли ответственность, сразу задумаются, что и как, а так очень удобно лохом клиента обозвать и не нести никакой ответственности.
Невозможно что-то сделать невозможным (ауффф).
Нет защита от дурака, банки бессильны в тех случаях, когда сами пользователи сообщают чувствительную информацию злоумышленникам.
так может стоить уменьшить количество чувствительной информации, потому что информация штука такая, эфемерная, добыть ее часто несложно
а также предоставить клиентам опции ограничить возможности мошенникам украсть деньги, типа запретить проводить некоторые операции онлайн?
но банкам похер на безопасность, им главное что бы не они были крайними, а клиент сам дурак
Отвергаешь - предлагай:
По каким только данным предлагаете оставить возможность восстановления доступа к личному кабинету.
по личному визиту в офис
ну уж явно не по паспортным данным и по сумме операции :)
Вообще-то паспортных данных и суммы операций недостаточно. Нужны последние операции и кодовое слово. И то и другое вещь конфиденциальная. Раз вы разгласил при чем тут банк?
А как быть тем банкам у которых в принципе нет офисов?
Тот же самый Тинькофф.
Комментарий удален модератором
Ну.ну. Клиенты сольются все и сразу. Тут каждая вторая тема, о том, как же сложно ждать курьера ))) или а вдруг курьер вскрыл и подсмотрел...
Комментарий удален модератором
Безопасники, которые просят решения у третьих лиц, вероятно некомпетентны. Удобных и выгодных решений масса, но предлагать и внедрять их должны те, кому за это платят.
У нас есть много предложений, но мы о них вам не расскажем.
Хотя бы один пример...
С какой целью спрашиваешь? Даже одноразовые коды на бумаге были безопаснее. Сейчас их можно генерировать программно на стороне клиента в неограниченном количестве, но банкам это не нужно. Не самое оптимальное и удобное решение, всего лишь пример.
От этих кодов как раз когда-то ушли, так как не удобно этим пользоваться.
Остаться без денег и выплачивать чужой кредит удобнее? Я же сказал не самое оптимальное и удобное решение, но даже оно лучше нынешней дыры в безопасности клиентских счетов.
В таком случае давайте прибегать к радикальным мерам, отлючаем всем возможность пользоваться и распоряжаться средствами дистанционным способом. Только через банкомат с помощью пластиковой карты.
Если вы слишком доверчивый, то вас и так смогут обмануть.
К чему эти страшилки и зачем всё отключать, если некомпетентные безопасники не могут найти эффективное решение? На западе не отключают и безопасность там выше, следовательно, задача вполне решаемая. Слишком доверчиво в принципе пользоваться российскими банками, потому что эти дыры в безопасности ни за что не желают отвечать.
Комментарий удален модератором
На что банкам похер? Если вы рассказали всю свою поднаготную мошенникам, то они могут и не с банка снять, а с ваших родителей, бабушки и дедушки. Вы же им все и так выложили. Разницы никакой. Если вы сливает все данные, то извините Вы виноваты и только вы а не ваши родственники и банк.
Комментарий недоступен
Вы странно смотрите. Я выше уже расписал, что схема не однопроходовая. С вас имеют данные 1 го уровня, потом второго, а потом вы сами в полной уверенности подтверждаете то что нужно ))).
На чистой психологии только щеки работали. Сейчас это конвейер по сбору данных.
Комментарий недоступен
Отлично. Вы отдали свой кошелек подержать на улице бандиту. Очень красноречиво говорил. Теперь производитель кошелька вам должен из за того что деньги пропали. Деньги же в кошельке были. Тут все тоже самое...
Ага, есть только небольшая разница. Люди как правило все свои деньги в кошельке не носят.
Люди как правило и все свои деньги на одной карте не держат... Страховая выплата всего с 1300000...
На карте нет, а в одном банке вполне. Пускай будет миллион. Вы много знаете людей, которые носят в бумажнике миллион?
Граф Монте-Кристо?
Сотрудник банка может "взломать" без вашего ведома. У меня так было в Сбере - преступная группа получала данные от сотрудника, меняла Симки с помощью "формы 2п". Никак нельзя от этого защититься.
Сотрудника посадили, более 100 клиентов кинул
Этот номер зарегистрирован за компании «СВС технологии» (IT-компания)
Мошенники используют подмену номера с помощью caller-id