Каскадный · Стандартный · [ Линейный ] Безопасность банковских продуктов., Несостоявшийся трабл

[hronos24]

Собственно суть..
Вчера вечером, мне позвонило некое туловище, заинтересованное в приобретении товара размещенного в доске объявлений.
Звонок был ориентировочно после восьми вечера. ( Это время мошенники выбирают не просто так). Бдительность человека притупляется, он как правило на расслабоне после трудового дня и т.д.
Вообщем, звонит, интересуется, смогу ли выслать в другой город. ( У звонящего, голос такой масленый, по любому носитель усов...)
Отвечаю ему: да без проблем, перевод на карту, плюс почтовые расходы рублей 300.
Он говорит: хорошо, напишите номер карты, скину сумму покупки и рублей 500 на доставку.
Я говорю: зачем 500 рублей, я уложусь в 300. Ну, максимум 350.
Он: ну что вы, из за каких то 150-200 рублей мелочиться, ничего страшного, скину 500 на доставку.
Вообщем, заливается соловушкой...прям весь такой обходительный. Ну точно гусар с усами. Не иначе как Марио...да простят меня
Вообщем, пишу ему номер карты СМСкой по телефону, он мне скидывает свои реквизиты. ФИО, город, адрес...а вот индекс не скинул, тут же пишу ему СМС с просьбой написать индекс. В ответ тишина...где то на часик...
Пошел бриться, слышу телефон там надрывается..подбегаю, звонит наш соловей...
Беру трубку, он говорит: я сейчас как раз на работе, вот посмотрите, вам должна СМС прийти и там цифры, пытаюсь вам перевести деньги со своего счета, но вот не выходит что то, требуются цифры ввести.
Я ему говорю: не кладите трубку, сейчас посмотрю.
Сворачиваю диалог, открываю СМС и вижу текст следующего содержания: Регистрация в (название банка) далее текст и в конце пароль...
Мне хватило прочитать двух слов чтобы понять в чем дело.
Говорю ему: знаете, что то я впервые с подобным сталкиваюсь, зачем вам цифры?
Он: ну вот, вы цифры мне продиктуйте, и сразу удалите это СМС.
Я ему пожелал всего доброго и положил трубку.
Мораль сей басни такова...будь бдителен товарищ.
А вот ребят, представляете сколько людей попадет на эту тему и различные ее вариации? Жуть.
Бабушки, которые копят себе на лечение, похороны и т.д. Родители вкалывающие и получающие з.п. на карту.
Вот я призадумался, и, потратил пол ночи и весь день сегодняшний на изучение системы "он лайн" банкинга.
И по всей видимости, нашел кое какую дыру в этой системе и офигел.
Еще требуется некоторое время чтобы понять, прав я и или нет.
Возникают вопросы: либо это огрех программистов, или, сделано намеренно.
А дыра я вам скажу недурственная! (если таковой окажется). Не хотелось бы.
Буду звонить тогда в банк и выяснять что за хрень.
Вообщем, ребят, какие есть меры обезопасить себя в данных случаях?
Есть вариант, например, держать пару карт. На одной совершать операции, и, тут же переводить на другую карту, которую нигде не светить.
Прошу прощения админов если тема была уже ранее поднята.

[mr.Shepenyk]

эту тему обсуждали в районе НГ в автомобильной передаче.

Схема такая, я например продаю авто, мне звонят и говорят все покупаю! давайте вам перешлю залог, чтобы тачка не ушла.
Я пишу номер карты и вот этот код, про который написано, мошенники списывают бабки с карты...

[Sentenced]

Какая дыра-то? Если только у тебя в голове. Тебе же в СМС написано, чтобы ты этот код ни одной живой тваре не сказал.

Сообщение отредактировал Sentenced - Четверг, 03 марта 2016, 19:15

[kostyarc]

А сказать телу код от балды чтоб он порадовался, религия не позволяет?

[hronos24]

Sentenced, за языком следи, уважаемый. И читай внимательней.

Сообщение отредактировал hronos24 - Четверг, 03 марта 2016, 19:18

[hronos24]

Код я никому не говорил и не собирался.

Сообщение отредактировал hronos24 - Четверг, 03 марта 2016, 19:20

[EV1L]

Я не понял одного: они что-ли онлайн банк за тебя регистрируют?

[УльтраБлокС]

И по всей видимости, нашел кое какую дыру в этой системе и офигел.
Еще требуется некоторое время чтобы понять, прав я и или нет.
Возникают вопросы: либо это огрех программистов, или, сделано намеренно.
А дыра я вам скажу недурственная! (если таковой окажется). Не хотелось бы.
Буду звонить тогда в банк и выяснять что за хрень.

Лучше этого не делать. В отличие от всяких IT-компаний, вроде гугла, банки не проводят Bug Bounty и за найденную дыру не то, что не дадут вознаграждения, но и могут начать угрожать статьёй.

Был даже случай, когда Почте России сообщили о дыре (даже не требуя вознаграждения), а людям в качестве благодарности начали угрожать.

[hronos24]

EV1L, Да. Если сообщите код который пришел в СМС.
Войдут в систему, поменяют номер и все.

[hronos24]

УльтраБлокС. Спасибо. Тоже об этом думал. Просто выбесило. Это сейчас у меня на карте нет денег особо. А лежало тысяч 900

[kostyarc]

Я всегда говорю код, когда просят, вот первый что в голову придет и говорю

[Sentenced]

Sentenced, за языком следи, уважаемый. И читай внимательней.

Ну если тебе полночи понадобилось понять, что с мобильным телефоном и номером карты можно получить доступ к средствам на карте, то до гения тебе далеко. Но ты можешь и дальше искать "огрехи программистов". Kitt тебе может даже методологии дать, если попросишь хорошо.

[EV1L]

hronos24, это эпично. Там же еще, вроде как, нужен номер паспорта или его кусок, поэтому кто-то просеял базу. Последнее время вообще очень много подобного. Хоть под подушкой все храни...

[hronos24]

Sentenced
Беру трубку, он говорит: я сейчас как раз на работе, вот посмотрите, вам должна СМС прийти и там цифры, пытаюсь вам перевести деньги со своего счета, но вот не выходит что то, требуются цифры ввести.
Я ему говорю: не кладите трубку, сейчас посмотрю.
Сворачиваю диалог, открываю СМС и вижу текст следующего содержания: Регистрация в (название банка) далее текст и в конце пароль...
Мне хватило прочитать двух слов чтобы понять в чем дело.
Говорю ему: знаете, что то я впервые с подобным сталкиваюсь, зачем вам цифры?
Он: ну вот, вы цифры мне продиктуйте, и сразу удалите это СМС.
Я ему пожелал всего доброго и положил трубку.

[hronos24]

EV1L. Да, на счет телефона согласен, скорее всего нужно в банк с паспортом для смены номера. Но думаю есть еще какие то варианты...

[Hahahoj]

Я всегда говорю код, когда просят, вот первый что в голову придет и говорю

Потом твой же счет блокируют из-за попыток несанкционированного доступа, если особо тупой кидала появляется. Хорошая идея.

[Sentenced]

Ну и где дыра-то, которую ты полночи искал?

[kostyarc]

Потом твой же счет блокируют из-за попыток несанкционированного доступа, если особо тупой кидала появляется.  Хорошая идея.

Ой ли, сам придумал или кто подсказал? Уже лет 10 блокируют никак заблокировать не могут не надо придумывать то чего нет ))) так бы всем подряд и блокировали, номер карты не является секретной информацией. Других данных по сути у злоумышленника нет

Сообщение отредактировал kostyarc - Четверг, 03 марта 2016, 19:38

[Sentenced]

Ой ли, сам придумал или кто подсказал? Уже лет 10 блокируют никак заблокировать не могут не надо придумывать то чего нет ))) так бы всем подряд и блокировали, номер карты не является секретной информацией. Других данных по сути у злоумышленника нет

Это ты зря, кстати. Политика от банка к банку сильно отличается как бы, так что Вова дело говорит.

[kostyarc]

Это ты зря, кстати. Политика от банка к банку сильно отличается как бы, так что Вова дело говорит.

Вова в ступе воду мутит, это да, а политика банков сильно притянута к политике ЦБ, но я могу вам дать номер сберовской карты код придумывайте сами, и вперед на амбразуры.