Личный опыт общения с телефонными мошенниками
В общем меня тоже сегодня пытались развести от имени якобы службы безопасности Тинькофф. Так как сам являюсь сотрудником службы безопасности банка решил понять каким образом они получают доступ к личному кабинету.
Сценарий развода следующий - они у пользователя узнают данные, по которым можно восстановить доступ к личному кабинету, а потом на основании этих данных получают к нему доступ и через приложение привязывают карту в Андроид Пэй (у Тинькофф для подключения карты не нужно подтверждение через OTP).
Так что предполагаю - всех кого якобы взломали, они сами сообщили свои данные.
Разговор приложил, запись аудио включил не с самого начала.
Номер с которого звонили +74952360500
75
показов
11K
открытий
Банковская карта сегодня самое опасное место, где можно хранить фиат, а расчетный счёт уже и не банковский счёт а проходной двор, потому что там только ленивый не обобрал вас, начиная с исполнительных гос. органов и заканчивая мошенниками, ворующими доступ.
Сегодня актуален банк без доступа к счету через интернет и сохраняющий тайну вклада, с возможностью анонимного вклада. Что, конечно противоречит действующему законодательству.
Что за бред вы несёте. Если у вас есть базовые понимания по информационной безопасности, то никто Вас не сможет "взломать".
В данном примере используется простая социальная инженерия, пользователи сами сообщают необходимые данные злоумышленнику.
Так банки должны это учитывать и делать это невозможным. Надо, чтоб по таким случаям банки тоже несли ответственность, сразу задумаются, что и как, а так очень удобно лохом клиента обозвать и не нести никакой ответственности.
Невозможно что-то сделать невозможным (ауффф).
Нет защита от дурака, банки бессильны в тех случаях, когда сами пользователи сообщают чувствительную информацию злоумышленникам.
так может стоить уменьшить количество чувствительной информации, потому что информация штука такая, эфемерная, добыть ее часто несложно
а также предоставить клиентам опции ограничить возможности мошенникам украсть деньги, типа запретить проводить некоторые операции онлайн?
но банкам похер на безопасность, им главное что бы не они были крайними, а клиент сам дурак
Отвергаешь - предлагай:
По каким только данным предлагаете оставить возможность восстановления доступа к личному кабинету.
по личному визиту в офис
ну уж явно не по паспортным данным и по сумме операции :)
Вообще-то паспортных данных и суммы операций недостаточно. Нужны последние операции и кодовое слово. И то и другое вещь конфиденциальная. Раз вы разгласил при чем тут банк?