В общем меня тоже сегодня пытались развести от имени якобы службы безопасности Тинькофф. Так как сам являюсь сотрудником службы безопасности банка решил понять каким образом они получают доступ к личному кабинету.
Сценарий развода следующий - они у пользователя узнают данные, по которым можно восстановить доступ к личному кабинету, а потом на основании этих данных получают к нему доступ и через приложение привязывают карту в Андроид Пэй (у Тинькофф для подключения карты не нужно подтверждение через OTP).
Так что предполагаю - всех кого якобы взломали, они сами сообщили свои данные.
Разговор приложил, запись аудио включил не с самого начала.
Номер с которого звонили +74952360500
75
показов
11K
открытий
Банковская карта сегодня самое опасное место, где можно хранить фиат, а расчетный счёт уже и не банковский счёт а проходной двор, потому что там только ленивый не обобрал вас, начиная с исполнительных гос. органов и заканчивая мошенниками, ворующими доступ.
Сегодня актуален банк без доступа к счету через интернет и сохраняющий тайну вклада, с возможностью анонимного вклада. Что, конечно противоречит действующему законодательству.
Что за бред вы несёте. Если у вас есть базовые понимания по информационной безопасности, то никто Вас не сможет "взломать".
В данном примере используется простая социальная инженерия, пользователи сами сообщают необходимые данные злоумышленнику.
Вопрос то простой.
Какой банк позволяет полностью отключить возможность входа без пароля в личный кабинет? Я таких не знаю.
Фактически можно просто дать по голове человеку сейчас, разблокировать его телефон пальцем, взять карточку из кошелька и спокойно войти в личный кабинет, опустошить всё и ещё и кредит взять и вывести.
Открою секрет, во первых не все банки используют пароль для входа в приложение. Большинство ограничивается подтверждением по OTP.
Тинькофф позволяет восстановить доступ к личному кабинету, если вы сможете подтвердить, что являетесь владельцем. Эту возможность злоумышленники и используют.
Да - могут дать по голове и зайти по украденной карте, но мы же сейчас говорим о дистанционном мошенничестве, а не о грабеже с применением насилия, не путайте теплое с мягким.
Человек может просто потерять карту и быстро не заметить. Грабежа нет, а суть та же.
Тогда это воровство, я не понимаю зачем эти примеры нужны, речь о другом
Печально, что вы не понимаете. Если раньше человек рисковал только деньгами на карте, то теперь рискует всеми счетами, которые есть в лк. Зная данные карты и личные данные (которые пробиваются за копейки) это возможно, о чем вы сами в посте и пишите.
Риск только в том, что пользователь может сам помочь получить доступ к своим счетам. Универсальной защиты от дурака нет.
Это не на русском языке написано) Риск в помощи заключаться не может. В последствиях этой помощи – да, но это не отменяет того, что было сказано выше.
Риск не в помощи, а в том что пользователь может невольно сообщить чувствительные данные (помочь получить доступ).
Это каким образом человек, потеряв карту, рискует сразу всеми счетами? Есть примеры банков, которые дают восстановить доступ в лк без подтверждения смс/push-кодом?
Секретные вопросы снимают эту проблему.
Комментарий недоступен
Почему? Если у человека украли телефон и пытаются получить ОТР в СМС, то секретный вопрос не даст злоумышленникам этого сделать.
Комментарий недоступен
Когда и кому он сливается? Мы сейчас рассматриваем ситуацию, когда злоумышленник обманом (украл, и.т.л) завладел телефоном клиента и пытается получить на него ОТП, чтобы войти в ЛК. В этом момент, запрос системой ответа на секретный вопрос, как одного из условии отсылки ОТП, остановит атаку.
Это вы рассматриваете, а я смотрю на ситуацию с безопасностью в целом. В этом случае кодовое слово в теории может помочь, а в другой ситуации наоборот сделает хуже.
Так для этого, во всех подозрительных случаях, и нужна двухфакторная авторизация. Связка СМС+секретный вопрос снимает практически все проблемы. Какова вероятность того, что злоумышленник и телефоном завладет, и данные, слитые из банка, получит?
Комментарий недоступен
А в чем разница? Телефон или только сим?
Пряников, не используй слова, значение которых не понимаешь.
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Расскажите как зная данные карты получить доступ ко всему? Максимум вывести деньги с карты через псевдо оплату. Все. Банк по карте вам ничего не даст.
Комментарий недоступен
Липовые документы??? Чтобы прошли проверку? Да ещё к тому же чтобы на лицо были похожи? Я больше поверю в ворованные. Только тогда зачем симка?
Комментарий недоступен
Доверенность прикладывается к документу удостоверяющем у личность. То есть ещё и варовпнный паспорт нужен с совпадающей физиономией ))) и к этому ещё нужны данные по личному кабинету, где может не быть денег. Ни чего так присесть на 15 лет легко и не принужденно прямо у опсоса за 0 рублей?
Комментарий недоступен
Не выполнение судебного решения и законодательства это интересно. Номер дела сообщите пожалуйста.
Тем более что вся эта информация есть в сорм 1 и 2.
Комментарий недоступен
Пряников-клоун и демагог и стукач его когда фактами подопрешь, он начинает жаловаться инспектору, орать сами ищите, если вам надо, требовать ссылки на какие то нормативные акты.и.т.д.
Комментарий удален модератором
Комментарий удален модератором
А вы ведь так и не привели номер судебного дела где представитель оператора на суде заявил об отказе предоставлять данные....
Комментарий недоступен
Т.е. вы признаете что такого дела не существует, что в принципе так и должно быть. Так как указанный вопрос решается задолго до заседания суда. И более заведения уголовного дела...
Комментарий недоступен
Комментарий удален модератором
Комментарий удален модератором
Что такое ОТР?
One time password
Комментарий недоступен
Авангард например. Можно не ставить приложение (пользоваться только Web-версией) либо не включать биометрию, чтобы лицом/пальцем жертвы, находящейся в несознательном состоянии, не разблокировать. Помимо этого, банк запрещает дистанционное восстановление доступа к интернет-банку/приложению. Первичная регистрация делается легко, по номеру карты. А если доступ утерян — восстановить можно только лично в отделении.
Банк покажется диковатым тем, что не выплачивает кешбек за некоторые популярные категории покупок, например крупные супермаркеты или сетевые АЗС. Но если речь про безопасность, хранить деньги и безопасно (и дёшево, 10 руб любое платёжное поручение; СБП за 0 как положено) переводить деньги, то наверно для повседневных трат можно использовать что-то другое, с небольшим остатком своих денег, зато с щедрой бонусной программой.
Вроде там можно восстановить доступ тоже в меру легко.
Но в целом Ава - реально тема как расчетный банк. Минус только в том, что нет реально интересных пакетов для тех у кого есть немного денежек. Был с ними много лет, но закрыл всё недавно, три банка для меня перебор, а вторым выгоднее было сделать другой. Да и заморозились они как-то последние годы, стали больше банком для переводов в СНГ ((
Насчёт переводов это уже давно, как они внедрили концепцию мини-офисов в магазинах и торговых центрах, одно из основных направлений деятельности это стали переводы от трудовых мигрантов в страны ближнего зарубежья. Да, это тоже проблема, потому что порой я просто прохожу мимо офиса Авы и несу деньги в другой банк, если весь "аквариум" отделения заполнен джамшутами.
Да все банковские приложения при первом логине спрашивают, включить биометрию или использовать пин-код для входа в приложение.По крайней мере, на андроиде, за iOS не скажу, давно не пользуюсь.
А я вот хочу чтобы без пароля нельзя было войти и восстановить его без визита в офис. Без упрощения входа, по старинке. И без восстановления входа просто данными карты.
Но все банки зачем-то хотят упростить доступ к моим деньгам. И тут уже приходится заниматься ерундой соскребая cvc код и т.п.
Шаг 2: записать его на том же месте, увеличив каждую цифру на 1 (9>0) в обратном порядке.
Шаг 3: сделать его неотличимым от бывшего родного (делаю диодным лазером и тонером), вплавляет - не отличить от поюзанно-потёртого.
Если хотите чтобы нельзя без пароля, то удаляйте приложение с телефона каждый раз после использования и ставьте перед использованием. Либо пользуйтесь веб версией.
Таки в веб версиях тоже можно восстановить ЛК по данным карты обычно
То есть если я найду на улице карту то получу доступ к веб версии?
Если будет телефон ещё, то да
Угу. И телефон будет разблокирован.
Только вот проблема. Большинство приложений банков не работают если на телефоне отключена авторизация... (На нее завязано хранилище ключей).
Это как? Это в каком банке двух факторную аутентификацию отменили?
Это уже после авторизации приложения на устройстве, это немного другое.
А зачем так сложно? Если можно дать по голове то наличие пароля ни от чего не защищает. Пара правильных ударов или один паяльник и все пароли от всех банков и телефонов будут доступны. А ещё и деньги что дома у всех родственников лежат...
Также по голове могут дать и вытащить наличку из карманов
И не только банковскую карту, но и все накопительные счета, на которых, совершенно случайно, лежали средства от продажи недвижимости, например.
Для борьбы с этим существует очень простое решение. При любом запросе одноразового пароля клиент сначала должен ответить на пару секретных вопросов. Которые он сам установил ранее.