В общем меня тоже сегодня пытались развести от имени якобы службы безопасности Тинькофф. Так как сам являюсь сотрудником службы безопасности банка решил понять каким образом они получают доступ к личному кабинету.
Сценарий развода следующий - они у пользователя узнают данные, по которым можно восстановить доступ к личному кабинету, а потом на основании этих данных получают к нему доступ и через приложение привязывают карту в Андроид Пэй (у Тинькофф для подключения карты не нужно подтверждение через OTP).
Так что предполагаю - всех кого якобы взломали, они сами сообщили свои данные.
Разговор приложил, запись аудио включил не с самого начала.
Номер с которого звонили +74952360500
75
показов
11K
открытий
Банковская карта сегодня самое опасное место, где можно хранить фиат, а расчетный счёт уже и не банковский счёт а проходной двор, потому что там только ленивый не обобрал вас, начиная с исполнительных гос. органов и заканчивая мошенниками, ворующими доступ.
Сегодня актуален банк без доступа к счету через интернет и сохраняющий тайну вклада, с возможностью анонимного вклада. Что, конечно противоречит действующему законодательству.
Что за бред вы несёте. Если у вас есть базовые понимания по информационной безопасности, то никто Вас не сможет "взломать".
В данном примере используется простая социальная инженерия, пользователи сами сообщают необходимые данные злоумышленнику.
Так банки должны это учитывать и делать это невозможным. Надо, чтоб по таким случаям банки тоже несли ответственность, сразу задумаются, что и как, а так очень удобно лохом клиента обозвать и не нести никакой ответственности.
Невозможно что-то сделать невозможным (ауффф).
Нет защита от дурака, банки бессильны в тех случаях, когда сами пользователи сообщают чувствительную информацию злоумышленникам.
так может стоить уменьшить количество чувствительной информации, потому что информация штука такая, эфемерная, добыть ее часто несложно
а также предоставить клиентам опции ограничить возможности мошенникам украсть деньги, типа запретить проводить некоторые операции онлайн?
но банкам похер на безопасность, им главное что бы не они были крайними, а клиент сам дурак
Отвергаешь - предлагай:
По каким только данным предлагаете оставить возможность восстановления доступа к личному кабинету.
по личному визиту в офис
ну уж явно не по паспортным данным и по сумме операции :)
Вообще-то паспортных данных и суммы операций недостаточно. Нужны последние операции и кодовое слово. И то и другое вещь конфиденциальная. Раз вы разгласил при чем тут банк?
А как быть тем банкам у которых в принципе нет офисов?
Тот же самый Тинькофф.
Комментарий удален модератором
Ну.ну. Клиенты сольются все и сразу. Тут каждая вторая тема, о том, как же сложно ждать курьера ))) или а вдруг курьер вскрыл и подсмотрел...
Комментарий удален модератором
Безопасники, которые просят решения у третьих лиц, вероятно некомпетентны. Удобных и выгодных решений масса, но предлагать и внедрять их должны те, кому за это платят.
У нас есть много предложений, но мы о них вам не расскажем.
Хотя бы один пример...
С какой целью спрашиваешь? Даже одноразовые коды на бумаге были безопаснее. Сейчас их можно генерировать программно на стороне клиента в неограниченном количестве, но банкам это не нужно. Не самое оптимальное и удобное решение, всего лишь пример.
От этих кодов как раз когда-то ушли, так как не удобно этим пользоваться.
Остаться без денег и выплачивать чужой кредит удобнее? Я же сказал не самое оптимальное и удобное решение, но даже оно лучше нынешней дыры в безопасности клиентских счетов.
В таком случае давайте прибегать к радикальным мерам, отлючаем всем возможность пользоваться и распоряжаться средствами дистанционным способом. Только через банкомат с помощью пластиковой карты.
Если вы слишком доверчивый, то вас и так смогут обмануть.
К чему эти страшилки и зачем всё отключать, если некомпетентные безопасники не могут найти эффективное решение? На западе не отключают и безопасность там выше, следовательно, задача вполне решаемая. Слишком доверчиво в принципе пользоваться российскими банками, потому что эти дыры в безопасности ни за что не желают отвечать.
Комментарий удален модератором
На что банкам похер? Если вы рассказали всю свою поднаготную мошенникам, то они могут и не с банка снять, а с ваших родителей, бабушки и дедушки. Вы же им все и так выложили. Разницы никакой. Если вы сливает все данные, то извините Вы виноваты и только вы а не ваши родственники и банк.
Комментарий недоступен
Вы странно смотрите. Я выше уже расписал, что схема не однопроходовая. С вас имеют данные 1 го уровня, потом второго, а потом вы сами в полной уверенности подтверждаете то что нужно ))).
На чистой психологии только щеки работали. Сейчас это конвейер по сбору данных.
Комментарий недоступен