[ Каскадный ] · Стандартный · Линейный Безопасность банковских продуктов., Несостоявшийся трабл

[hronos24]

Собственно суть..
Вчера вечером, мне позвонило некое туловище, заинтересованное в приобретении товара размещенного в доске объявлений.
Звонок был ориентировочно после восьми вечера. ( Это время мошенники выбирают не просто так). Бдительность человека притупляется, он как правило на расслабоне после трудового дня и т.д.
Вообщем, звонит, интересуется, смогу ли выслать в другой город. ( У звонящего, голос такой масленый, по любому носитель усов...)
Отвечаю ему: да без проблем, перевод на карту, плюс почтовые расходы рублей 300.
Он говорит: хорошо, напишите номер карты, скину сумму покупки и рублей 500 на доставку.
Я говорю: зачем 500 рублей, я уложусь в 300. Ну, максимум 350.
Он: ну что вы, из за каких то 150-200 рублей мелочиться, ничего страшного, скину 500 на доставку.
Вообщем, заливается соловушкой...прям весь такой обходительный. Ну точно гусар с усами. Не иначе как Марио...да простят меня
Вообщем, пишу ему номер карты СМСкой по телефону, он мне скидывает свои реквизиты. ФИО, город, адрес...а вот индекс не скинул, тут же пишу ему СМС с просьбой написать индекс. В ответ тишина...где то на часик...
Пошел бриться, слышу телефон там надрывается..подбегаю, звонит наш соловей...
Беру трубку, он говорит: я сейчас как раз на работе, вот посмотрите, вам должна СМС прийти и там цифры, пытаюсь вам перевести деньги со своего счета, но вот не выходит что то, требуются цифры ввести.
Я ему говорю: не кладите трубку, сейчас посмотрю.
Сворачиваю диалог, открываю СМС и вижу текст следующего содержания: Регистрация в (название банка) далее текст и в конце пароль...
Мне хватило прочитать двух слов чтобы понять в чем дело.
Говорю ему: знаете, что то я впервые с подобным сталкиваюсь, зачем вам цифры?
Он: ну вот, вы цифры мне продиктуйте, и сразу удалите это СМС.
Я ему пожелал всего доброго и положил трубку.
Мораль сей басни такова...будь бдителен товарищ.
А вот ребят, представляете сколько людей попадет на эту тему и различные ее вариации? Жуть.
Бабушки, которые копят себе на лечение, похороны и т.д. Родители вкалывающие и получающие з.п. на карту.
Вот я призадумался, и, потратил пол ночи и весь день сегодняшний на изучение системы "он лайн" банкинга.
И по всей видимости, нашел кое какую дыру в этой системе и офигел.
Еще требуется некоторое время чтобы понять, прав я и или нет.
Возникают вопросы: либо это огрех программистов, или, сделано намеренно.
А дыра я вам скажу недурственная! (если таковой окажется). Не хотелось бы.
Буду звонить тогда в банк и выяснять что за хрень.
Вообщем, ребят, какие есть меры обезопасить себя в данных случаях?
Есть вариант, например, держать пару карт. На одной совершать операции, и, тут же переводить на другую карту, которую нигде не светить.
Прошу прощения админов если тема была уже ранее поднята.

[kitt]

в чем бугурт автора не очень ясно, действительно. ну понятно, что везде, где можно что-то спереть, возникают мошенники, которые пытаются это сделать. но в данном случае достаточно просто быть бдительным и не сообщать никому коды и цифры, которые нельзя никому сообщать, как бы) дыры конкретно здесь нет никакой.

и, кстати, многие и-банки используют дополнительные и альтернативные варианты верификации, такие как криптокалькулятор и google authenticator.

если интересно, в данный момент в способе с смс есть реально только одна потенциальная дыра, но практически это довольно сложно реализуемо, и потому очень мало на практике используется преступниками - клонирование сим-карты и получение доступа к пк/телефону с помощью нехитрых троянов.

[RC_Gremlin]

клонирование сим-карты

Легко если сколотить банду из нескольких салонов связи, карту можно клонировать без ведома владельца, его просто от системы отключит. На хабре показывали таких умных из мегафона.

[kitt]

Легко если сколотить банду из нескольких салонов связи, карту можно клонировать без ведома владельца, его просто от системы отключит.  На хабре показывали таких умных из мегафона.

я не говорю, что это не делается вовсе)

говорю, что для воровства именно доступа к интернет-банкингу используется очень редко. там нужно еще много информации, нужна более сложная схема - зачастую проще пытаться разводить как автора на проверочные коды.

но история знает пару примеров, да. будьте бдительны, проверяйте комп на вирусы (или ставьте линух), никому не давайте никакие коды, и все будет нормально с вероятностью 99,9%.