В общем меня тоже сегодня пытались развести от имени якобы службы безопасности Тинькофф. Так как сам являюсь сотрудником службы безопасности банка решил понять каким образом они получают доступ к личному кабинету.
Сценарий развода следующий - они у пользователя узнают данные, по которым можно восстановить доступ к личному кабинету, а потом на основании этих данных получают к нему доступ и через приложение привязывают карту в Андроид Пэй (у Тинькофф для подключения карты не нужно подтверждение через OTP).
Так что предполагаю - всех кого якобы взломали, они сами сообщили свои данные.
Разговор приложил, запись аудио включил не с самого начала.
Номер с которого звонили +74952360500
75
показов
11K
открытий
Банковская карта сегодня самое опасное место, где можно хранить фиат, а расчетный счёт уже и не банковский счёт а проходной двор, потому что там только ленивый не обобрал вас, начиная с исполнительных гос. органов и заканчивая мошенниками, ворующими доступ.
Сегодня актуален банк без доступа к счету через интернет и сохраняющий тайну вклада, с возможностью анонимного вклада. Что, конечно противоречит действующему законодательству.
Что за бред вы несёте. Если у вас есть базовые понимания по информационной безопасности, то никто Вас не сможет "взломать".
В данном примере используется простая социальная инженерия, пользователи сами сообщают необходимые данные злоумышленнику.
А может быть дело в дырявых протоколах безопасности банков, которые готовы предоставлять третьим лицам доступы к счетам по телефону на основании непонятно какой информации?
Да, банки предупреждают что никому нельзя говорить пин код или пароль из смс. Но я например ни разу не видел предупреждения о том, что баланс карты или последняя операция это также строго секретные сведения. Более того, в некоторых случаях, например при подаче на визу, требуется выписка банковского счета (с балансом и операциями) или чек из банкомата.
А при чем тут банки? Вы остановились в гостинице. Вот вам ФИО+телефон+банк.
Вы купили что то в интернет магазине. Вот опять ФИО телефон банк.
База ушла в даркнет и вот уже вам звонят бравые молодцы с Украины. Проверить что у вас есть счёт - легко. Формируем в любом приложении любого банка перевод и сбп выдает куда по указанным данным можно кидать деньги.
И каким образом этот пассаж оправдывает напоевательское отношение банка к безопасности, и готовность дать доступ к счету первому встречному, назвавшему девичью фамилию матери и ещё какую-нибудь общедоступную информацию?
Какому первому встречному? Вы слили кодовое слово, которое ни разу не общедоступное, кстати каки девичья фамилия матери. Такую информацию даже в паспортном столе получит сложно. Это архив и по запросу от суда. И получается имя что уже Вы, а не банк, виноваты. Это закрытая информация.
Если вы отдали незнакомцу ключи и он обнес вашу квартиру, виноват застройщик или президент?
Что вы несете? Мы точно с вами на одной планете живем? Есть конторы, которые например занимаются генеалогией. И там свободно все узнают хоть до 10 колена. Кодовое слово в принципе не предназначено ни для каких критичных операций. Максимум для чего можно его использовать – для блокировки карты.
До 10 колена? Ну ну. Моя мама узнала, что ее прабабка относилась к потомственному Вологодскому дворянству, только когда ее сводная тетка умерла, она душу облегчила. Это было в 2000х. А до этого все числились по официальным документам пролетариями (рабочими и крестьянами). И на то бумага есть.... А прадед по отцу женился второй раз и документов по первой жене не осталось. С так бы шлепнули в 36. Так про какое 10 колено вы говорите?
Я из рассекреченных архивов Минобороны только узнал за какие годы дел был награждён так как в наградных не указано в связи с испытанием секретных образцов... А уж про то что мне не могут в базе 14 лет поправить паспорт и Я продолжаю быть прописан в снесенном доме и говорить не приходится.