В общем меня тоже сегодня пытались развести от имени якобы службы безопасности Тинькофф. Так как сам являюсь сотрудником службы безопасности банка решил понять каким образом они получают доступ к личному кабинету.
Сценарий развода следующий - они у пользователя узнают данные, по которым можно восстановить доступ к личному кабинету, а потом на основании этих данных получают к нему доступ и через приложение привязывают карту в Андроид Пэй (у Тинькофф для подключения карты не нужно подтверждение через OTP).
Так что предполагаю - всех кого якобы взломали, они сами сообщили свои данные.
Разговор приложил, запись аудио включил не с самого начала.
Номер с которого звонили +74952360500
75
показов
11K
открытий
Банковская карта сегодня самое опасное место, где можно хранить фиат, а расчетный счёт уже и не банковский счёт а проходной двор, потому что там только ленивый не обобрал вас, начиная с исполнительных гос. органов и заканчивая мошенниками, ворующими доступ.
Сегодня актуален банк без доступа к счету через интернет и сохраняющий тайну вклада, с возможностью анонимного вклада. Что, конечно противоречит действующему законодательству.
Что за бред вы несёте. Если у вас есть базовые понимания по информационной безопасности, то никто Вас не сможет "взломать".
В данном примере используется простая социальная инженерия, пользователи сами сообщают необходимые данные злоумышленнику.
не совсем ясно из поста какие данные пользователи сами сообщают для юридически достоверной идентификации клиента банка и авторизации установки нового приложения тинькова? баланс по карте и сумму последней транзакции - и этого достаточно?
У мошенников уже ест ваши перс данные, по остальным данным, которые из вас выпытывают можно восстановить доступ.
это исключительно проблема тинькова тогда что он разрешает левым людям "восстановить доступ". Клиент не будет виноват. Для авторизации должны быть запросы на авторизацию (явные) в смс, кодовые слова и т.п. или с паспортом в офис. Сумма операции не является никак кодами авторизации. Просто представьте что вы получали бы доступ к клиент-банку для юрлиц просто назвав его реквизиты и сумму операции - вот такая же чушь
Сумма последней операции это пыль в глаза. Их больше всего интересует остаток на карте. Вдруг вы нищеброд и тогда нет смысла тратить время.
речь же не об этом. а том как авторизует тиньков своих пользаков. сбер балансы карт сам говорил до недавнего времени, так что не большой это секрет - достаточно было подменить номер и позвонить на 900
Речь об этом. Банк не авторизует по балансу карты. Баланс карты спрашивают мошенники, якобы для авторизации, а на самом деле чтобы узнать стоит ли тратить на вас время.
ну если вы посмотрите - мой вопрос к автору, специалисту по безопасности - как он заявил сам, и как он упомянул разговоре "схема давно известна" - а как именно банк авторизует-то? что мошенники время свое драгоценное потратят - особо меня не беспокоит
Сейчас используется многоходовка.
Вначале узнают данные первого уровня. Карты, счета операции. Проверяют корректность данных ФИО телефон привязку к личному кабинету.
Далее второй уровень. Звонки уже по по полученной информации. Или сразу атака или получение развернутой информации для перехвата счета.
И третий этап (иногда совмещён со вторым) - атака. Очень часто это разные команды использующие разные опросники и по.
Прямых атак с зоны (на чистой психологии) сейчас мало, точнее они тонут в количестве массовых атак коллцентрами с бывших республик (в основном Украины).
Спрашивают последние операции. Баланс это повод поговорить про то что он стал больше меньше и т.п.
Я могу рассказать мошенникам свои 15 последних операций и точный остаток по карте. По этим данным их не пустят в банк.
Только по этим нет. А в связке с другими данными - да.
Это как раз их не интересует. Кроме карт у вас могут быть счета, ценные бумаги и т.п.
Получив доступ к личному кабинету открываются широкие возможности. Включая получение кредита.