Pull to refresh

Comments 258

PinnedPinned comments

Банки.ру дорожит своей репутацией и доверием пользователей, поэтому строго соблюдает законодательство  в сфере защиты персональных данных своих пользователей, в том числе ФЗ-№ 152 «О персональных данных».

Направить персональные данные пользователя Банки.ру может только ограниченному числу партнеров, которых указал сам пользователь, и только в том случае, если пользователь дал согласие на обработку данных. Без направления этой информации невозможно получить предложение по финансовой услуге, за которой к нам обратились.

Банки.ру стремится обеспечить надежную и безопасную среду для всех своих пользователей, гарантируя конфиденциальность и защиту их данных. Все сервисы Банки.ру используют несколько уровней защиты данных, на серверах применяются сертифицированные средства защиты, чтобы предотвратить утечку или несанкционированный доступ к информации.

Мда. А если утекло в микрозаймы то вероятность, что всё утекло к мошенникам более чем реальна.

Судя по характеру рассылки, создалось такое впечатление, что банки.ру слили данные какому-то агрегатору мфо. А они уже в интересах ограниченного круга мфо делают однотипные рассылки. И да, ничего не мешает им слить данные мошенникам.

И это на фоне желания депутатов запретить возможность оформления нескольких номеров (виртуальных в частности) на одного гражданина. Борьба не в ту сторону.

это на фоне желания депутатов запретить возможность оформления нескольких номеров

Т.е. я не смогу оформить на свое имя симку для своего несовершеннолетнего ребенка?

Сколько карт в одни руки - они сами не могут определиться. Было несколько версий законопроекта.

Или для ворот от гаража

Зато ворота не подпишутся на гороскопы! </s>

Им главное чтобы "ворота" на "врагов народа" не подписались.

Мегафон сейчас взоржал

А вот как обстоит дело с подобными сим-картами? Сколько сигнализаций ставил на личные авто, везде в комплекте симка со спецтарифом, она обезличенная, получается? Это не противоречит законодательству?

противоречит ФЗ «О связи». Сейчас все симки в РФ должны иметь конкретного владельца. Симки, выдаваемые в организациях, персонализируются через госуслуги конкретных сотрудников, которые эти симки используют

Понятно, что противоречит. Но сотни тысяч машин ездят с такими симками, и хоть бы хны.

Рано или поздно заблокируют. Были уже не раз рассылки от того же starline о необходимости поддвердить личность собственника.

А есть пример такой рассылки?

Не совсем так. Есть ФЗ-533. И там прописано 2 механизма. Для М2М sim-карт персональные данные не требуется.

Просто надо брать сим-карты б/у или бежать отсюда. Нам Интернет отрубят в конце концов, уже переодически кладут Яндекс и связь

Проверить, происходит ли утечка с сайта или с СМС-шлюза: попробовать зарегистрироваться на сайте (чтобы пришла СМС), но не вводить код из неё, чтобы аккаунт не создался.

Есть вероятность, что аккаунт создается не после подтверждения кода из смс, а на этапе ввода номера. Знаю сервисы, которые такое практикуют.
Но мысль интересная для проверки. Тут выше писали, что даже при смене шлюза рассылки все равно продолжаются.

А может все еще хуже? И сливает Яндекс метрика? Она то в курсе всего что вводят на странице.

В копилку "совпадений": после посещения сайта ПИК уже на следующий день мне начали звонить со словами "вы интересовались нашей недвижимостью". Обращались по ФИО. Номер телефона не то чтобы нигде не засвечен, но, думаю, не стоит подчёркивать, что никаких данных ПИКу я не оставлял.

Ладно сайт... Я на стройке работаю, считаю деньги. По долгу службы приходится иногда выезжать на объекты. Дважды почти по полгода сидел прямо в строящихся высотках. Так вот, геолокация. Раз некто постоянно посещает новостройки, значит он ими интересуется. Надо позвонить, повпаривать. Уж не знаю, гугл это палит с геолокацией или меня по вышкам пеленгуют. Но звонят довольно часто. В интернете жилье не искал, остается этот вариант.

Мегафон, например, предлагал таргетированную по геолокация рекламу несколько лет назад юрикам. Так что это уже данность.
Думаю Гугл тоже такую же возможность имеет

Да, это обычный таргет от мобильных операторов. Они это без стеснения продают.

Я уже подготовил материал по этой тематике. На следующей неделе постараюсь опубликовать. Это очень интересная "история"

Подписался, ожидаю и заранее спасибо.

Пфф. Это официальная услуга от того же Мегафона: "если с мобилы зайдут к вам на сайт - мы можем вам слить номер этой мобилы за мелкий прайс". Тут же и была статья об этом, с логами веб-сервера.

На «обычные» сайты где не требуется авторизация заходите через startpage - anonymous view, с российскими рекламодателями они сейчас, можно сказать, не работают, а слив данных существенно сократите, как серверу, так и провайдеру, вообщем двойная польза, типа того, что сейчас нельзя рекламировать, но фактически им не является:-)

В моем случае (сделал нечто похожее случайно, покупая новый телефон в МТС) похоже слили в самом офисе оператора.

Такой вопрос - а продавец должен вставлять симку кудалибо еще перед тем как ее отдать?

Не должен. Он должен отдать запечатанный пластик. Раньше вообще в конвертах запечатанных выдавали.

Да и сейчас выдают, чаще распоковывают для взрослого поколения и сразу активируют.

делают это исключительно в телефоне клиента. я редко бываю в ЦОКах или салонах связи, но стоя там в очереди, подобное наблюдал не раз.

В теле2, в частности, дилеры вынуждают сотрудников ритейла при продаже активировать сим-карту. Мотивируют тем, что иначе клиент может забить на активацию и симка не попадёт в план продаж. Из кнута - используется штраф к ежемесячной премии по непрохождению видеомониторинга

еще была история, что через куки взламывают - буквально работал кейс:

  • логинишься в вк.ру (там есть телефон, но он не виден в интернет)

  • заходишь на сайт, продавцов окон, помоему, и через 5минут тебе перезванивают

всем офисом проверили, человек 10ть

Маразм, банально симка для юсб-модема в ноут нужна вторая, так что не пройдёт. Очередной альтернативно одарённый депутат симулирует когнитивную деятельность.

у меня спам попёр через пять минут после активации симки. прямо на модем

если утекло в микрозаймы то вероятность, что всё утекло к мошенникам более чем реальна

простите, а что микрозаймы по вашему не мошенники?

нет уж, не надо делить гавно на сорта, то что некоторые мошенники действуют в рамках закона не делает их НЕ мошенниками.

Ну я имел ввиду всё же ребят, которые майорами Центробанка МВД представляются и т.п.

После регистрации на данном сайте и подборе ипотеки ( я подтвердил учетку через госуслуги ) через 4 дня спам и самый трешш это взяты на меня 4 микрозайма по 7500 т.р !

так что аккуратнее с этим банкисру

Я поэтому и отметил в статье, что если все сайты внедрят Госуслуги через ЕСИА, это будет треш. Иногда в сами Госуслуги опасно заходить, а для внешних (коммерческих) сайтов я бы уж точно не использовал учетку.

Хорошо, свою услугу продали. Но возникает сразу вопрос, как вы сможете убедить в своей добросовестности? Положим если сейчас услуга работает и я хочу занести вам свой номер - этот вопрос возникает автоматически.

Простите, какую услугу я сейчас продал?

Сервис для борьбы со спамом для пользователей будет бесплатным. И это не имеет отношения к основному направлению бизнеса.

Сервис сейчас не запускается (сайт недоступен), может быть ссылку пока убрать?

Странный упрек. До этого ваши посты были рекламными, в данном посте вы упомянули услугу и ничего не сказали о бесплатности, да и фраза «продал услугу» не обязательно подразумевает денежный обмен. И ко всему прочему, как бесплатность отменяет вопрос о добропорядочности и безопасности?

Посты, которые были рекламные, были оплачены через корпоративный блог компании. Это было очень давно (в 2012 году).
Сейчас все публикуемые материалы носят некоммерческий характер.

Давайте будем точны: я упомянул о проекте, а не об услуге. Сам сервис будет действительно бесплатным для пользователя. Но он будет включать в себя бОльший функционал, что просто отправка "жалобы" по примеру многих сервисов. В этом и будет заключаться новизна проекта.

Что в Вашем понимании "добропорядочность" и "безопасность"? И какая связь здесь с бесплатностью?

Наверное это будет оффтопом, но мне показалось забавным, что разные смс с разных контор имеют почти одинаковые идентификаторы "предложений". Несколько начинаются с izbi, несколько с iyqf. Выглядит странновато.

Есть ощущение, что источником рассылки является одно лицо - какой-то агрегатор, действующий в чьих-то интересах.

Если идентификатор для определения одного лица, то почему он все же разный. Да и если компании аффилированы, то смысл им заваливать человека одним и тем же предложением, но с разных сторон?

Чтобы ответить на этот вопрос, тут мобильные операторы должны проверить принадлежность буквенного имени. И сказать, кто стоит за отправителями.
А разные стороны - здесь может быть модель палаточного рынка: один и тот же товар по разным цена, но собственник у всех палаток один :)

аналогичный телефонный спам как-бы от альфы.

именно. у меня начался ад с телефоном именно после открытия счёта в альфе. именно на тот номер, который указал в договоре

А вы не рассматривали такой вариант, что если вы не нашли нигде упоминание того, что банки.ру могут передавать ПД третьим лицам, рассылкой занимается сам сайт банки.ру.

Эта теория проходит все ваши догадки: 1. ПД никому не передаются. 2. РКН не может никого оштрафовать, потому что как вы и написали "ФАС не сможет свести это по формальным признакам к одному юр.лицу".

Получается это сам сайт как бы делает вам рекламную рассылку с ссылками на микрозаймы, а там уж как повезет, кто то позвонит, кто то нет. Тут можно через налоговую проверить есть у рекламируемых в смс конторах финансовые отношения с банки.ру или нет

Даже если убрать галочку, спам все равно продолжал идти. Я думаю, что все же не сами банки.ру это делают, а через посредника. Слишком велик риск нарваться на штрафы.

Подтверждаю все сказанное выше, та же ситуация по сливу данных микрофинансовым компашкам после поиска страховки в сервисе Banki.ru. При этом атакуют массово и буквально со следующего дня. Плюс увеличивается количество спамерских звонков!

При подготовке публикации я понимал, что не я один должен был оказаться в такой ситуации. Уж слишком топорно все выглядит со стороны banki.ru
Чем больше будет таких подтверждений и история станет публичной, тем быстрее это закончится. И меньше людей пострадают от такой "схемы" работы.

Аналогично. Все как описано в статье. После пользования банками ру минут через 15 начинается спам.

Не закончится. Нету у вас методов против Кости Сапрыкина.. Что вы им сделаете? Публично осудите? Поговорите о репутации? Так им насрать уже. Они на остатках былой славы зарабатывают хоть что-то прежде чем угробить проект окончательно...

Подтверждаю. Такая же хрень началась после расчёта страховки. Писал в поддержку им, начали отмазываться, что они тут не при чём и номер из рассылки уберут на следующий день... В итоге уже месяц прошёл, а это говно до сих пор льётся.

На том же Pikabu не проходит и дня, чтобы человек не опубликовал пост с рассказом регистрации в Banki.ru и перед этим снятием галочки в пункте "Предоставляю свое соглашение на получение рекламы и информационных сообщений" и последующей жалобой на получение спама через SMS или звонок

В моем профиле тоже не проставлены никакие галочки согласия. Да, от banki.ru я пока спама не получал. Но это не мешает им передавать данные и давать возможность рассылать спам другим.

My name is Major Mira Killian and I do not consent to the deletion of this data. I do not consent... I do not consent.
We never needed your consent. Yours or anyone's.

Можно как-то узнать, через кого Банки шлют авторизационную смс?

Я столкнулся с такой же проблемой (только мы авторизационные смс рассылаем по своим сотрудникам для входа в корпоративное мобильное приложение).

Сначала это был провайдер qtelecom - с ними были разборки, они все отрицали. Провайдера я сменил на smsc - и тоже через какое-то время пошел спам - после авторизационной нашей смс-ки начинают прилетать микрозаймы. Последняя волна вот прям на днях. Разборки были и с smsc - мамой клянутся, что это не они, предполагают, что конечные провайдеры продают big data. Но верится с трудом, а доказать - никак.

Сейчас попробую через провайдера МТС делать отправку смс, благо они умеют по всем провайдерам рассылать. Посмотрим, поможет или нет.

По закону все банки должны подключаться к операторам мобильной связи напрямую.
Я в этом материале рассматривал этот кейс: https://vc.ru/money/231624-pochemu-tinkoff-bank-i-renessans-kredit-mogut-sami-postradat-ot-svoih-iskov-mobilnym-operatoram-za-dorogie-sms
И отправка смс через оператора должна идти только абонентам этого оператора. Это требование закона.
Но многие операторы имеют свои "конторки", которые продают через API доступ. И это прямое нарушение закона для банков.

На днях столкнулся с сервисом, когда ребята отслеживают посетителей сайта и определяют номера мобильных телефонов. На вопрос - а как вы это делаете, они отвечают - нам мобильные операторы дают такие данные. Так что монетизация bigdata - это то, что сейчас требуют разрешить операторы. А пока, видимо, они торгует этим "в серую".

Рынок телекома перестал расти уже несколько лет. Вот приходится добирать новыми "сервисами" торговли данными.

То есть иностранные телефонные номера вообще невозможно использовать даже теоретически? И что делать со всякими "виртуальными операторами"?

Для российских банков - невозможно. Это запрещено.

Что Вы понимаете под "виртуальными операторами"? MVNO в классическом смысле или агрегаторов?

По виртуальными я имею в виду "Тинькофф" и подобных, например.

Можно. Потому что у Тинькофф есть свой выделенный пул в ресурсе нумерации. Банк может заключить договор с Тинькофф для отправки смс абонентам Тинькофф. И только этим абонентам.
Для другого виртуального оператора - свой договор.

Именно по этому причине появился СберМобайл - Сбербанк очень сильно начал экономить в расходах для головной компании.

Забавно. В тинькофф банке, например, технически можно на любой номер перенести аккаунт, в том числе на турецкий, в том числе с получением смс.

Неоднократно слышал от понауехавших, что привязывали к нашим банкам иностранные номера.

Ну вот очень интересно было бы посмотреть исполнение требования прямого договора между банком и иностранным оператором связи. Тут скорее ЦБ должен обратить на это внимание.

А зачем банку договор с иностранным оператором? Они смс через шлюз шлют 146% и договор у них с тем оператором, через который они отправляют смс. В других странах это тоже всё прекрасно работает, привязываются иностранные номера к местным банкам.

В свете последних инициатив ЦБ о том, что моб приложения банков будут блокироваться при нахождении клиента за границей, то и привязку иностранных моб номеров, возможно, тоже запретят.

А как же в отпуск ездить, и оттуда следить за финансами?

Там речь про определение резидентства, по-моему, была. Длительное пребывание подразумевалось.

Вы не путаете? Вроде геолокацию собирать хотели, а не блокировать. Это было бы странно, у нас огромное количество людей, которые за рубежом отдыхают и работают на РФ (работники посольств, командировочные и т.д.). Врядли банки будут на ручнике таким микроменеджментом заниматься и фильтровать их.

невозможно. Это запрещено.

Вы ещё скажите, что продавать наркотики невозможно — это же запрещено.

На днях столкнулся с сервисом, когда ребята отслеживают посетителей сайта и определяют номера мобильных телефонов.

В воскресенье зашел на сайт заценить стоимость автомобилей одного китайского бренда. На сайте высветилось "Ваш регион: Петербург?", я нажал да (хотя я не оттуда). Теперь мне звонят каждый день предлагают купить автомобили этого бренда в Петербурге…

Да, я видел презентацию этого "продукта". Лет 7 назад уже был такой сервис, его быстро прикрыли за нарушение тайны связи. Надеюсь, эти ребята тоже недолго протянут.

У меня была похожая ситуация и мне кажется что данные сливает Яндекс. Больше просто некому, на мой взгляд. Тем более я видел предложения по работе с рекламой, а если на нее нажать переходишь на целиком заполненную карточку - ФИО, номер и согласие на обработку персональных данных, только кнопку отправить надо нажать. И там номер и все остальное бралось из аккаунта Яндекса.

в разборах работы мобильных операторов Сергей Потресов очень далеко заходил.всегда было интересно его читать на mobile-review до того,как он покинул этот мир.сейчас даже и не знаю,кто в таком духе что-то пишет

На самом деле у нас лет 15 назад был разработан программый продукт который может более -менее идентифицировать телефон. Даль айпи в apn, IMEIустройства и пошло-поехало. Даже Московское Метро этим пользовалось. Дело в том что телефоны оставляют метки в трффике...в том числе в заголовках запросов хтмл.

Забавно что с планшетами даже того же производителя, это как правило не работало - видимо не могло узнать IMEI.

Как бы нет, не оставляют. Тем более IMEI в HTML. Но какое-то конкретное приложение, несомненно может их так отправлять.

Слушайте, а это интересная версия. Может слив действительно идет на уровне агрегаторов авторизационных смс? Но если Вы сменили несколько компаний, то стрелки должны указывать напрямую на мобильных операторов.

текст смс открыт для операторов.. по ключевым словам в тексте вполне можно понять, что юзер сделал.

замечал, что когда приходила смс о приходе зп - в течении 2-3х дней писали/звонили с предложениями "преумножить мои богатства"

Да, текст действительно идет в открытом виде. И анализировать его легко.
Ну да, операторы сначала "создают" проблемы в виде спама, а потом предлагают их "решить" через всяких защитников и прочие платные системы. Вид монетизации)

Стоило внести деньги на брокерский счёт в одном хорошо всем известном банке, как буквально на следующий же день начали звонить разные "инвестиционные компании", интересоваться, много ли я зарабатываю на бирже и предлагать свои услуги. Тонкость в том, что сам по себе счёт был открыт уже много лет, но денег на нём не было. Совпадение? Свежо предание, конечно...

Скорее всего так и есть. На Хабре на эту тему уже даже писали, тоже в приложении к банковской сфере https://habr.com/ru/articles/561774/

Операторы связи не стесняются читать ваши СМС, находить сообщения от банков и иных коммерческих контор, на основании этого собирать профиль интересов на ваш телефонный номер и продавать его для СМС спама на сторону.

Я сменил всего одного аггрегатора на второго. Вероятность того, что они оба сливают - слишком высока, чтобы делать выводы на такой малой выборке.

ФАС с 2022 стала как минимум частично, без зубов. Может только пальчиком погрозить.

Чем многие сейчас активно и пользуются, как тот же Эвотор.

а что с Эвотор? Тоже занимаются спамом и сливом данных?

На счёт сливов не знаю, но спамом они занимались, активно рассылали одно время рекламу на кассы, пока владельцы не начали массово жаловаться. Потом они начали блокировать кассы, если они работали с "левой" СИМкой, под предлогом того что это "небезопасно"(после предупреждения от ФАС одумались), заставляя покупать свои с в два/три раза более дорогим тарифом. Потом они начали самостоятельно ставить приложения для рекламы в чеке левых сервисов(без какой либо компенсации владельцу кассы и даже уведомления).

Сейчас они придумали новый способ доить своих клиентов. Те у кого есть товароучётная система(платная естественно), всё равно должны платить за тот же функционал в кассе(приёмка/инвентаризация). При том что раньше, этот базовый функционал в кассе был бесплатным. Я написал по этому поводу в ФАС, но они сказали что Эвотор, IT компания(не смотря на то что основной их бизнес это продажа оборудования) и сейчас они ей могут только пальчиком погрозить.

Эвотор таки окончательно скурвились? Ожидаемо...

Эвотор таки окончательно скурвились? Ожидаемо...

Так они с самого начала были "ну такоооое себе гауно"

Лично работал с повсеместным внедрением онлайн касс, внедрением 54-ФЗ (когда ещё и касс то не было, особенно для аппаратов самообслуживания), постиг ту жеппу (особенно когда ФН-1 то было не достать, лол) со снятием старых фискальников с ЭКЛЗ и заменой на новые с ФН-1 (которых даже в продаже не было), угу.

Они просто были одними из первых для розницы, и всего то

Hidden text

Их лого иначе как "ЕБОТУП" и не читается, по понятным причинам ))

Они изначально были на своей волне. Критические ошибки месяцами не исправлялись(и так оно и осталось), обновления заливались сырыми, из за чего были регулярные проблемы с кассами. Как кончилась гарантия, их ТП посылала оплатить продление гарантии в ответ на сообщения о багах. При том что баги были критическими и касались всех пользователей, но это их не волновало.

Цены в своём магазине приложений, они устанавливают сами, вне зависимости от желания разработчиков этих приложений и последствий для них(массовый отказ пользователей от приложения после трёхкратно взлетевшей цены и слив рейтинга в ноль, обычное дело). Регулярное навязывание платных услуг и так далее.

Когда ожидаемо сливали их приложения, они упрашивали владельцев касс удалить коммент, а если их ожидаемо посылали, то сами его скрывали.

И это только то что я вспомнил на лету, а так подобного ещё полно было.

Вы не можете, например, отправить Oracle сообщение об ошибке в Solaris, это только для paying customers. Для других продуктов, вероятно, также, не интересовался. С ходу не припомню, но, кажется, мне такое попадалось не только у оракула. Так что в этом Эвотор не оригинален.

UFO just landed and posted this here

У меня чуть проще: виртуальный номер от тиньки. Чуть что - легко сменить. А вот те, кто этот номер таки распознаёт, как фейковый, как раз катится ко всем чертям.

UFO just landed and posted this here

И как это, интересно, сделать? Вроде бы в России невозможно оформить симку без паспорта (по крайней мере законными путями).

UFO just landed and posted this here

Это незаконно. Для оператора штраф от 300 тыс до 500 руб руб за такое "оформление".

Скорее всего просто оформляют на бомжа пачку симок и потом продают, не будет такого, что симка ни к кому не привязанна

либо с присланной симкой идет бумажка с инструкцией по активации, где указано, что надо написать на мейл организации (потому что почти все такие озоновские симки - корпоративные и числятся за кем-то), чтобы твои пд внесли на этот номер. иначе симка скурвится через н времени.

это серая схема, и не анонимная.

Есть такая схема. 10 дней дается на валидацию корп симки по ФЗ-533.
Но знаю, что некоторые b2b отделы мобильных операторов закрывают такие "колхозы". Может еще старые запасы какие-то на рынке гуляют.

Ну, не только корпоративные (я в этом бульоне одно время варился) - сравнительно недавно покупал смартфон в мобильном салоне, и мне с ним "в нагрузку" впарили симку... оформленную на гражданина Казахстана, Улугбека Аглы Саимова (условно) - уже несколько месяцев "полёт нормальный", т.к. у нерезидентов с разрешением на работу нет валидации через "Госуслуги" (куда все ОпСоСы усиленно сгоняют своих абонентов), а пользователей сотовой связи с таким статусом ой, как немало...

А что за оператор такие симки впаривает?

В моём конкретном случае это был "Связной" на излёте своей истории, года 3 назад ровно с таким же сценарием сталкивался в мини-салоне Мегафона (в полноценных салонах такого не встречал). Возможно, ещё кто-то из "агентов" может до сих пор эксплуатировать данную схему.

план "подбивают" перед закрытием, оформляют их на взятые из головы данные. Потом как подарок пихают

Лично сталкивался с тем, что на одном мероприятии стоял представитель одного из операторов, продавал SIM-карты.

Ты ему 300 руб и паспортные данные, он тебе симку с 300 руб на счете.

В результате через месяц я начал получать на эту симку SMS-ки о том, что мне необходимо предоставить паспортные данные в ближайшем офисе оператора. При входе в ЛК профиль был пустой.

В итоге, через несколько месяцев эти оповещения приходить перестали, симка продолжила работать, а в ЛК прописались какие-то данные Рулона Обоева, наверняка даже не существующего в реальной жизни.

В общем, если у оператора найдется кто-то неряшливый, то симка действительно может оказаться без привязки к существующему лицу.

P.S.: работал у одного оператора и знаю, что некоторые продавцы способны спокойно наподключать одних и тех же услуг на одного и того же человека, просто изменив одну-две буквы в фамилии абонента. Если абонент не придет с претензией, то это часто даже не вскрывается.

Так и было написано Рулон Обоев, или это новый имярек?

Это террорист из известной банды!

Рулон Обоев, Рекорд Надоев, Подрыв Устоев, Погром Евреев, Расстрел Арабов, Отряд Ковбоев, Поджог Сараев, Улов Налимов, Парад Уродов, Карман Пистонов, Рожок Патронов, Загон Баранов.

В магазинах на кассах подобные. Только обычно в течении недели прилетает СМС что надо зарегистрироваться иначе услуги будут приостановлены.

грязные "колхозы" aka "непубличные [корпоративные] тарифы" - могут без этого пожить подольше

На кассах симки для регистрации через Госключ и подтверждение данных через ЕСИА. Есть такой способ заключения договора на мобильную связь. Но им мало кто пользуется в реальности.

Там нужно отправить скан паспорта и активировать симку перед использованием.

Мне нравится эта позиция, и я бы её придерживался, но как Вы с ней банками пользуетесь?

Мне кажется, сейчас уже все банки без исключения требуют номер телефона. И это я ещё не говорю о менее необходимых сервисах, которым тоже порой очень нравится требовать номер телефона.

UFO just landed and posted this here

Уже не только Яндекс-такси. А работу как ищете? Там и сами сайты по поиску работы номер телефона требуют, и сайты вакансий отдельных компаний, и работодатели для собеседования. Много мест возможной утечки.

UFO just landed and posted this here

И мессенджерами Вы, наверное, пользуетесь, а они почти все требуют номер телефона. И примерно все интернет-магазины.

Получается, в итоге Ваша позиция "Если какому то сайту нужен мой номер телефона, значит этот сайт мне не нужен", к сожалению, сводится к обычной цифровой гигиене. Вы не даёте свой номер телефона недоверенным сайтам, а остальные, большие и нужные сервисы, особенно выбора не дают.

Этого и я придерживаюсь. А хотелось бы так, как в Вашем первом сообщении.

UFO just landed and posted this here

Как человек который любит реверс-инженерить мобильные приложения, и ковырявший, ради интереса, приложения в том числе и банков, могу сказать - правильно делаете. Мобильные приложения банков в РФ собирают неприлично много информации о пользователе, в таких количествах, в которых она им явно не требуется. Особенно с переездом в российский RuStore, т.к. там нет политик ограничивающих использование например сбор информации об установленных на устройство приложениях (QUERY_ALL_PACKAGES), в то время как гугл просто не даст приложению запрашивающему такие права опубликоваться в официальном маркете.

Приведу пример из того что я находил лично. Насколько я понимаю, в приложения банков встраиваются специальные антифрод системы, в виде внешних зависимостей. Формально, насколько я понимаю, их цель благая - иметь возможность в случае разбирательств по мошенничеству по максимуму идентифицировать устройство с которого открыта сессия и использовать это как техническое доказательство. Вот только фактически это работает так, что они собирают всю информацию на устройстве до которой только могут дотянуться, и отправляют её раз в несколько секунд на бэк, причём даже не на домен самого банка, а на домен другой компании - крупного российского вендора в сфере информационной безопасности.

Среди этой информации - точная локация. Если на неё приложению не выдано пользователем соответствующее разрешение (например для функционала просмотра карты расположения банкоматов), то по возможности собирается информация о ближайших сотовых вышках и точках, по которой локацию тоже можно определить с точностью до пары десятков метров. Подумайте, ваша точная локация, с данными которые идентифицируют вас на 100% (сессия с учёткой банка -> привязка к sim-карте -> привязка к паспорту) раз в несколько секунд, улетает "куда надо". И, разумеется, этот функционал крутится в отдельном сервисе, который прилагает все усилия для того, чтобы продолжить работу даже после того как приложение будет закрыто, стартует вместе с загрузкой устройства, и т.д. 

Причём, особенно интересно то, что эта система, судя по всему, скрывает свой функционал даже от самих разработчиков банка, и они сами не знают что это за функционал вшит в их приложении и работает там втихаря. Все передаваемые данные шифруются вшитым в классы публичным ключом RSA и на сервер вендора улетают в зашифрованном виде, с контролем в обе стороны сертификатов при установке соединения. Т.е. даже если вы исследуете приложение под mitm прокси, на рутованном устройстве, с подсунутым на устройство в системное хранилище сертификатом, этот код не будет ничего совершать и как-то выдывать запросы к серверу, а если вы сымитируете на эмуляторе окружение в котором системная openssl будет выдавать доверие любому сертификату, то увидите только пошифрованные бинарные данные, и, поскольку это шифрование публичным ключом RSA, то этот фарш уже невозможно провернуть назад. Только исследование памяти работающего процесса под динамической инструментацией выявило всю эту историю.

Я бы даже и не полез ковырять эту штуку, но уж больно мутно и подозрительно она выглядела и хотелось разобраться что к чему. Я совершенно не удивлюсь тому, что во многих российских приложениях есть подобный функционал, и что разработчики доработали его таким образом чтобы не выдавать его наличие в коде любопытствующим мимокрокодилам вроде меня. Так что, если вы пользуетесь хотя бы одним из них, то уже имеете шансы серьёзно скомпрометировать себя и докладывать куда нужно о своём местоположении в реальном времени.

Уверен, что все соглашения об обработке персданных составлены нужным образом, и предъявлять что-либо банкам или вендору бессмысленно, потому что "всё для вашего блага" и "соглашение вы подписали", но этичность подобных действий, лично для меня, под большим вопросом. Что интересно, в иностранных приложения такой дичи я встречаю куда меньше. Комбайны по массовой слежке типа фейсбука не в счёт - это отдельная история. А вот в России у компаний, как будто бы, просто какой-то бзик на слежке за клиентами

Думаю не стоит скрывать компанию, которая разрабатывает такие "функциональные" решения: SDK от Group-IB сейчас используют в очень многих приложениях, в том же Spar, Mvideo собирается вся возможная информация об устройстве, вплоть до текущего заряда батареи и свободной памяти, это меня просто в ступор поставило, когда увидел тот огромный json с откровенным мусором даже с точки зрения fingerprinting`а пользователей. А без отправки этих метаданных многие приложения вообще отказываются работать. Оно как бы понятно почему, но зачем столько-то данных собирать, выглядит так, как будто собирают базу реальных отпечатков устройств для своих целей

Я обычно, когда вынужден писать негатив, напрямую название компании не называю. Те кто знают, те узнают. Мне скорее хотелось донести серьёзность ситуации, но да, это они.

Причём, в условиях нынешней политики и факта того что управление компанией, как и несколькими другими до неё, перехватило государство, а оригинальный основатель отправлен на бутылку по статье, с которой невозможно даже с материалами уголовного дела ознакомиться, то всё становится ещё пикантнее.

Откровенно говоря, я подозреваю, что в нынешних условиях любое, хотя бы одно, установленное российское приложение на устройстве == 24/7 доклад о себе товарищу майору

И самое неприятное то, что сейчас мобилки идут со 100500 предустановленых российских приложенек. И никак их штатными средствами не выпилить. Только через прошивку аппарата. А это моментальный слёт с гарантии.

В судах слёт с гарантии легко отменить, если гарантийный случай связан с железной проблемой. В этом случае суд считает, что программная часть не влияет на железную и снятие гарантии на ПО не снимает гарантию на, например, брак экрана.

Это только для андроид актуально?)

Почему-то увидев заголовок со словом "неужели" сразу захотелось поставить картинку:

Hidden text

Согласен с комментарием выше - нечего оставлять телефоны везде.

Есть нюанс: при хождении через инет от оператора — вполне себе добавляются лишние заголовки с номером. Оно, конечно, только в http, но вы всегда по https ходите, даже на незнакомые сайты или всё ж кликаете в ссылку?

Я уже давно держу у себя платный аккаунт на протоне для почты. По платной подписке тебе разрешают использовать свои доменные имена. Регистрируешь пошлинафиг.рф, подключаешь к протону, и выставляешь правило catch-all, тобишь любое сообщение, приходящее на домен придёт тебе на твой емеил.

После чего, каждому вендору выдаётся емеил по имени вендора. Например, banki@пошлинафиг.рф, ozon@пошлинафиг.рф, alibaba@пошлинафиг.рф и так далее.

Весь спамчик, приходящий от вендоров очень удобно сортировать по правилам в таком случае. Плюс, у них ломаются системы слежения за тобой. Зачастую емеил является уникальным ID в базах данных, но они не могут понять, что вася@пошлинафиг.рф это тот же ваня@пошлинафиг.рф и думает, что это два разных клиента.

В отличии от таких инструментов как 10minutemail и других сервисов, которые выдают тебе одноразовое мыло, личные домены намного реже блокируются системами "дай нам настоящий емеил, иначе мы тебе не дадим подписку". Но в то же время, приколы гугля типа email+forspam@google.com спамеры фильтруют намного лучше.

А когда начинает приходить спамчик, то ты просто отмечаешь для себя, какой дебил это сделал, и выставляешь фильтр, который автоматически убивает входящую почту.

Конечно, для России Протон - не самый удобный сервис. Он уже давно там забанен, но думаю, найти другие можно будет.

Конечно, можно поднять свой почтовик, но его содержать намного сложнее. Если вы просто приписываете свой домен к уже существующему почтовику, то намного меньше шанс, что вас забанят или вам надо будет проходить муку сертификатами.

А базы текут у всех. Каждый день какой-то недокормленный и не особо этичный одмин решается пойти и продать базу данных клиентов какой-то компании в дактвебе за вполне реальные деньги. Даже можно не в дарквэбе, а просто выставить как email list.

Да, отправка на Proton у многих российских хостеров и компаний не работает, т.к. в он блоклисте РКН.

Какие есть в РФ почтовые сервисы, где можно привязать свой домен бесплатно?

Не думаю, что вы такие найдёте. На самом деле, нас гугл приучил к тому, что "всё бесплатно". А в действительности за услуги надо платить. Я плачу примерно по 20 баксов в месяц протону за емейлы и хранилище. Момент в том, что использую его для семьи и бизнеса, посему цена выше, чем просто так, но я получаю туеву хучу услуг. А самое главное - никакой рекламы. И на моих данных никто не тренируется.

Для меня переломным моментом стало то, что гмыло начало показывать рекламу прямо в почте, и тогда я понял что надо уходить. Тяжко вздохнул. Хотя, если платить по 200 баксов в месяц с бизнес аккаунта - то не так-то всё плохо.

гмыло начало показывать рекламу прямо в почте

Вот если бы были такие протоколы, который позволяют использовать сторонние клиенты вместо веб-версии... в этой временной линии их не изобрели, но в другой их называют POP3 и IMAP.

Сарказмите сколько хотите, но гмыло спокойненько сканирует вашу почту и привязывает к ней рекламу. А клиент или IMAP - им пофиг. Вы думаете они Gemini свою не на ваших письмах учат?

А если и не учат, то просто говорят что не учат.

яндекс почта для домена. Бесплатно для двух почтовых ящиков (адресов можно много). Сейчас как-то геморно подключать, но можно.

а там можно разве зарегиться без телефона и оплатить криптой?

по неизвестной причине кто‑то в banki.ru менее чем за сутки после регистрации на сайте сливает данные своих пользователей;

Сдается мне, что причина как раз хорошо известна и называется невнимательностью, а проявляется - при чтении ToS, который у банки.ру по умолчанию включает право рассылать спам и торговать ПД налево и направо, но есть нюанс галочка, которую можно снять. Это я Вам как пользователь и не получатель спама от банки.ру говорю.

Я Вам больше скажу. Перед публикацией я сделал запрос в поддержку банки.ру До сих пор ответа нет.
И далее. Читаем ст. 18 ФЗ "О рекламе": "Рекламораспространитель обязан немедленно
прекратить распространение рекламы в адрес лица, обратившегося к нему с таким
требованием". Я обратился к ним с таким требованием - спам после обращения продолжает идти. То есть banki.ru не исполняют требование ФЗ в части отзыва согласия на распространение рекламы.

В ст.18 забавный правовой пробел: согласие Вы даете одному, а распространять может другой (я соглашаюсь на передачу моего адреса для рассылки спама любым третьим лицам) и отзывая согласие у того самого одного, Вы не отзываете его у всех, кому он продал Ваш адрес.

Есть позиция о том, что давать согласие третьим лицам не совсем корректно. В тексте соглашения требуется указать, кому именно дается согласие. В том же согласии banki.ru обратите внимание, какой список идет прямых согласий для банков и страховых.

Это не позиция, а норма закона, но закон тот о персональных данных, в законе о рекламе такой нормы нет. Есть практика ФАСа, поддержанная судами, что согласие должно быть явным и добровольным, а вот это вот все "соглашайся получать спам, иначе нет регистрации" - таковым не является, хотя имярек и сам жмакал кнопку "согласен". Но адрес электронной почты (насчет телефона не поручусь) в чистом виде, без ФИО, персональной данной у нас не считается, так что ой. И не только лишь все рекламодатели курят закон и практику а потом обижаются, когда административку получают и бухтят, что нефиг было чуть что - сразу мусориться, не пацан чо ли?

Вы абсолютно правы, что сейчас практика разделения согласия на обработку ПД и согласия на рекламу. И позиция ФАС действительно такая. И многие сайты разделяют эти галочки.
Вопрос в том, можно ли в согласии указывать согласие и для третьих лиц? В законе четко это не обозначено. Есть лишь условие предъявления согласия. И не более. Поэтому я и говорю, что тут разные позиции.
Телефон в чисто виде тоже не является ПД.

Вопрос в том, можно ли в согласии указывать согласие и для третьих лиц?

Законных препятский не знаю, этических - не вижу. Если гражданин действительно согласен, почему бы и нет?

Телефон в чисто виде тоже не является ПД.

По логике РКН с адресом электронной почты - нет, по логике закона - бабка надвое сказала, т.к. вообще-то телефон - вполне себе информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Тут надо курить практику. ЕМНИС, кто-то из руководства РКН публично заявлял, что телефон - это персональное данное, в отличие от e-mail, если только он не вида vasya.pupkin@example.com

ВС не занимал вообще никакой позиции, поскольку:

доводы кассационной жалобы не подтверждают наличие оснований, предусмотренных статьями 2916, 29111 Арбитражного процессуального кодекса Российской Федерации, для передачи жалобы для рассмотрения в судебном заседании Судебной коллегии Верховного Суда Российской Федерации и
пересмотра обжалуемых судебных актов, поскольку не позволяют сделать вывод о том, что при рассмотрении дела допущены нарушения норм материального права и (или) норм процессуального права, приведшие к судебной ошибке существенного и непреодолимого характера.

Т.е. ВС не рассматривал дело по существу, а лишь решил, что заявитель не был убедителен в соответствующей просьбе и в решениях не видно явных процессуальных косяков, при этом они могут быть неверными по сути.

Спам идёт не через Банки.ру, а через таргетированные услуги мобильных операторов. Т е в МТС/Билайн/Мегафон пришёл клиент и сказал: "хочу отправлять смс всем, кто зашёл на сайт banki.ru / alfabank / сайт МФО или получил смс от них", оплатил тариф. Как только клиент мобильного оператора получает смс от этого Алиса, либо заходит через мобинтернет на сайт, попадает в воронку клиента и начинает получать смс. Самый прикол в том, что таких клиентов на таргет смс не 1 и не 3 на каждый сегмент потзователей, и несчастный абонент получает по 30-50 смс одинаковых предложений и услуг.

Вы будете удивлены, но номер, на который пришел спам, не обслуживается перечисленными Вами операторами. Это номер относится к MVNO проекту. И согласия на получения рекламы там не зафиксировано. Поэтому данный канал распространения невозможен.

а вам есть что сказать по этому поводу?

"Мы тут сасем-сасем ни при чём. Чесна-чесна! <глаза Кота-в-сапогах>"

Тут есть одна тонкость. Пользователь не дает согласия на рассылки от условного ООО "Вектор", но про ООО "Скаляр" речи не шло. Посему банки.сру отписываются, что ничего никому не рассылают и про спам с рекламой микрозаймов в душе не ведают, поэтому претензий к ним вроде бы и никаких не может быть.

все рекламные SMS составлены так, чтобы государственные надзорные органы в лице ФАС и РКН не смогли ничего предъявить за спам.

Ваша статья как будто завершилась на полуслове, поэтому решил довести её до конца.

Посмотрел по whois - многие домены сайтов, на которые ведут ссылки из спам-сообщений, зарегистрированы через Beget на компанию "ООО СМС Лидс". Судя по сайту компании, она предоставляет услуги СМС-рассылки с уточнениями: "поможем собрать базу под ваше предложение", "найдём подходящую аудиторию среди абонентов операторов".

А установить связь этой компании с компаниями, выдающими микрозаймы, оказалось поразительно легко. Если перейти на главную страницу любого сайта по ссылке из СМС, можно увидеть много рекламы микрозаймов. У каждой из них есть код "erid", по нему можно однозначно установить связь компаний

Всё. То, как случилось, что Ваш номер при вводе на финансовой платформе, находящейся в реестре ЦБ, попал в руки рекламщиков и почему микрокредитные организации этим так пользуются, я думаю, уже смогут установить ЦБ, ФАС и Роскомнадзор по Вашему обращению.

Буду ждать продолжения статьи по результатам обращений.

Я не стал дальше эту историю раскручивать, потому что заранее знаю ответ ведомств типа РКН и ФАС. Особенно с учетом их "мантры" про невозможность внеплановых проверок.

Единственно, что в данном случае может иметь действие, это обращение в ЦБ. Завтра с юристами обсужу этот момент. Спасибо за наводку.

Вам будет интересно почитать. TL;TR: сперва Вы даете понять ФАСу, что с живого все равно не слезете, потом он будет щелкать Ваши заявления как орешки. Ну пока Вы не пожалуетесь на спом от госоргана или какого-нибудь ОНФ - как раз по этому поводу у меня сейчас арбитражи идут.

Да, я знаю, как это работает. Госорганы только других госорганом что-то воспринимают. Граждане для них мусор, не стоящий внимания.

Мы все это знает. Поэтому и планируем сделать сервис, которые упростит этот механизм для обычных пользователей.

Уже делали, потом забросили почему-то :( Можете из моей брошюры болванки заявлений взять - претензий к ним (к самим болванкам) у ФАСа еще не было (к заявителям - были, но это см. выше - пока пару стюардесс не закопаешь лично...)

Посмотрел Ваш профиль. Полезными делами тоже занимаетесь, респект Вам :)

А что за брошюра?

  • все рекламные SMS составлены так, чтобы государственные надзорные органы в лице ФАС и РКН не смогли ничего предъявить за спам. Действия лиц по предварительному сговору?

То, как составлен текст смс, не имеет никакого значения. Достаточно только увидеть признаки рекламы в тексте, чтобы запустить машину. ФАС отправляет запрос оператору, оператор агрегатору, агрегатор своему клиенту, тот своему и так далее, пока запрос не дойдёт до конечного заказчика. Заказчик в ответ присылает согласие абонента, которое обратно по этой же цепочке возвращается в ФАС. Ну или не возвращается и тогда ФАС штрафует оператора, тот перекладывает штраф на агрегатора и так далее.

Ключевое здесь - запустить машину. А она стоит без движения почти всегда. Кроме случаев "показательной порки"
Несмотря на то, что ФАС обязаны принимать заявления через email или госуслуги, они отказываются это делать. Трактуют закон так, как им "удобно".

И далее они просят не просто текст, а предоставить, например, логи с email серверов о факте получения письма. Слабо такое прислать с публичных серверов типа mail.ru? С sms там тоже есть нюансы. Находят 1000 и 1 причину, чтобы не отправлять те самые запросы, о которых Вы пишете. Тут фактуры на целую статью наберется для обсуждения.

Само по себе точно не рассосётся

Правительство установило мораторий до конца 2024 года.

То, как случилось, что Ваш номер при вводе на финансовой платформе, находящейся в реестре ЦБ, попал в руки рекламщиков и почему микрокредитные организации этим так пользуются, я думаю, уже смогут установить ЦБ, ФАС и Роскомнадзор по Вашему обращению.

К сожалению, нет. ЦБ в таких случаях отправляет в РКН. ФАС молчит. РКН максимум проверит документацию по обработке персональных даных и выпишет штраф 5000 р.

Подтверждаю про смс, ставил их приложение (Android) в прошлом году. Сразу начали приходить смс от микрозаймов, и до конца дня их пришло почти два десятка (!!). Я был готов конечно, к какому-либо количеству спама, но чтобы настолько...

Чёт нет открывается

Через vpn открывается, но вот как-то так:

Hidden text

Во первых - несекьюрно:

Во вторых - если по секьюрному через принудиловку - вовсе лесом шлёт:

Думаю, что данные утекают через сервис рассылки sms. Мы сотрудничаем с smsc, вроде один из самых крупных сервисов. И пользователи периодически жалуются, что на чистые номера приходит спам после регистрации у нас. А мы, точно знаю, номера никому не передаём.

А почему все решили, что они должны заботиться о безопасности (предположим, что слив данных - это не конкретно их деятельность, а отдельных работников)? Хоть домен и зарегистрирован в 1999 году, но по сути это просто рекламное агенство "Banki.ru News Agency" Ltd.

Речь же не о безопасности. А о поведении, не соответствующем деловой этики.

Какая может быть деловая этика у рекламного агенства? Весь контент на сайте ради зарабатывания бабок. Ну просто определенная сфера.

Посмотрел ветку. Но не нашел официальных ответов со стороны banki.ru на подобные жалобы.
Неужели для них такое наплевательское отношение к посетителям стало нормой?

Там несколько лет назад сменились собственники, основатели - раскрутившие сервис, ушли, а новым владельцам надо отбивать бабло, которое, как известно, не пахнет.

Банки.ру уже не торт (с)

https://www.rbc.ru/technology_and_media/09/11/2020/5fa92d459a7947d536653eda

Я в курсе ;) Ключевое - "основатели ушли", всё, обычно сервис можно хоронить. Из любимого детища он превращается в дойную корову. KPI, эффективные совы с тушканчиками и т.д.

Судя по запросам, они сливают ваши данные как минимум в: mail.ru, vk.com, yandex.ru, uxfeedback.ru, google.com, scarabresearch.com.

Как видим не только фронтендеры криворуки, а менеджеры безответственны, но и безопасники.. просто отсутствуют.

Полгода назад так же попал - зааааапарился добавлять в смс антиспам фильтры эту ересь

А моем случае "оператором" являюсь как бы я сам (через партнера). Поэтому слив тут невозможен. Плюс я второй номер использовал от второго партнера для исключения этого варианта.
Здесь слили либо сами банки.ру, либо их поставщик API для sms авторизации.

А Вам не кажется, что в это все борьба с ветреными мельницами? В плане что объем данных уже таких масштабов, как и количество заинтересованных ими пользоваться в той или иной форме, что невозможно как-то это отрегулировать. Ни законами, ни нормами, ни штрафами. В добавок вспоминаем об эффективности мер ряда контролирующих структур в отношении проблем простых граждан.

Хорошо, что есть всякие антиспам приложения. И что на уровне телефона можно просто блочить вызовы и смс с незнакомых номеров. И опять, нет гарантий, что они не собирают свою бд, которую могут продать.

Как мне кажется, надо пересматривать парадигму телефонных звонков. Например реализовать механизм на уровне оператора, что звонки могут происходить только по предварительному одобрения вызываемого, а вызываемый может сам составлять белые списки. Раньше до мобилок были большие телефонные справочники и были востребованы, а сейчас наоборот хочется свой номер спрятать от всех подальше.

Не хочу заниматься рекламой телекома, но у нас есть такой продукт для наших клиентов.
Полноценный виртуальный офис на sim-карте - любые настройки по управлению звонками. Мы это реализовали для b2b. Но уже просчитываем кейс для b2c. На сколько это было бы востребовано?

Тут зависит от конкретного телекома, ибо формально такая штука многим бы пригодилась для родителей\детей и денег, но там где симки перевыпускаются даже без особого криминала, одним социальным инженирингом только, всё это лишено смысла...
...а когда речь идёт о защите от криминальных действий, нужно понимать что возможно всё, вопрос сложности и цены вопроса, и здесь настройка процедур внутри компании, важна и телекомы получаются очень разными

По моим ощущениям, это должно быть чем-то вроде сетевого экрана и работать не через сторонний софт на телефоне, а на уровне провайдера. Думаю, что вполне всотребованно, сами посмотрите на количество скачиваний всяких антиспам сервисов, плюс появляение таких решений от крупных игроков рынка - яндекс, тинькофф и т.д. Вопрос окнечно стоимости и качества открыт.

Я вот не понимаю, что мешает провайдерам бороться с роботами и рекламой. Ну, помимо очевидных причин не делать это, так как за это они поулочают деньги, а так урежут себе прибыль. Ведь типичный прозвон очень легко вычислить на уровне првоайдера - много вызовов на разные номера, разрыв через пару секнуд. Туда же роботы и спамеры, которые имеют схожий паттерн, но наверное только чуть длинее продолжительность разговора.

Просто после того, как мой телефон по ряду причин отказался в открытом доступе, а после кем-то был сопоставлен с одной организацией, мне регулярно звонят и предлагают все, что только можно - и поставку продуктов, и банковские продукты, причем как для ФЛ так и ЮЛ, какие-то услуги, по 5-10 звонков каждый день. И когда я блокирую через локлаьнео приложенеи на телефоне, я понимаю, что это капля в море. И гораздо эффективнее просто блокировать возможность дозваниваться до меня всем подряд, кроме тех, кто сохранен в книге.

просто блокировать возможность дозваниваться до меня всем подряд, кроме тех, кто сохранен в книге

Root Call SMS Manager умеет так делать даже в бесплатной версии.
Но нужен рут телефона в большинстве случаев.

Например реализовать механизм на уровне оператора, что звонки могут происходить только по предварительному одобрения вызываемого, а вызываемый может сам составлять белые списки.

А потом за отдельную плату пропускать звонки от спамеров. Кому-кому, а опсосам доверия ни малейшего нет.

Запускаем АНТИСПАМ!

у вас DNS_PROBE_FINISHED_NXDOMAIN

да и в целом whois намекает что рановато вы домен засветили:

   Registered:    2024-02-15
   Last modified: 2024-02-15
   Expires:       2025-02-15

различных антиспам сервисов в целом уже много, и некоторые спалились на том что воюют не в ту сторону. увы но наблюдая за этим цирком много лет начинаю думать что единственное что спасёт от спама это если некоторому кол-ву людей ответственных за спам в колленную чашечку попадёт некоторое кол-во свинца выпущенного из некоторого приспособления активно использующегося как представителями закона так и представителями преступного мира (причём не столь важно от кого из них будет исходить этот подарок).

была такая прилажуха rosspam, я ей целую кучу спамеров прижал, даже пару раз ездил в другие города на заседания комиссии УФАС. Эта прилажуха автоматом делала скриншот смс и текст письма.

Нечто подобное, но с новыми возможностями планируется в нашем решении.

С высокой вероятностью данные сливает сервис рассылки. У нас в фирме поднимали сервис авторизации по СМС через SMSЦентр, на чистые корпоративные номера через день-два повалил спам.

А характер спама был какой? Тематический спам или все подряд?

UFO just landed and posted this here

Давайте пруфами, дядя)
1. Какие провайдеры продают такие логи? Я кого можно купить? Я с удовольствием это сделал бы для теста
2. Вы лично видели такие сделки? Сколько это стоит?
Вы путаете "продажу" таргета от моб операторов и продажу информации, которая охраняется тайной связи.

UFO just landed and posted this here

при заходе на ваш сайт по http в заголовки добавлялся номер абонента

Это одна из причин по которой много лет уже я всегда выхожу в сеть только через прокси сервер, который сам контролирую. Заодно решаю и проблему региональных блокировок.

Понимаем, из текста статьи могло показаться, что если номера из емкости билайна — значит билайн участвует в обзвонах.

Хотим уточнить, что заключить договор и приобрести номер, а потом совершать с этого номера звонки может любое физическое или юридическое лицо. Если эта деятельность не противоречит условиям договора или закону, мы не можем ее ограничивать. Бывает и так, что купленный у любого оператора номер используется для распространения назойливой рекламы — для пресечения таких звонков и создана система антиспама, которая сейчас работает у всех крупных операторов связи.

Также у нас есть сервис «Этикетка», который показывает название компании на экране, когда вам поступает звонок.

По указанным в статье номерам мы проведем проверку.

Спасибо, что указали нам на этот случай.

Уважаемый Билайн.

Если Вы действительно хотите разобраться в ситуации, давайте пойдем по пунктам:

  1. Из Ваших же правил https://static.beeline.ru/upload/images/business/doc/24561_usloviia_okazaniia_uslug_sviazi_beeline_b2b_25_02_20.pdf следует, что «Абонент обязан:не использовать предоставляемые по Договору телефонные номера для: • организации доступа с сети связи общего пользования к модемным пулам, узлам передачи данных и телематических служб, карточным платформам, телефонным центрам обработки вызовов, операторским и информационным службам и т.п.;" а также «Использовать Услуги исключительно для внутрипроизводственных и иных нужд, не связанных с получением дохода от Услуг;». То есть компания, которая мне звонила с номеров Билайна нарушает условия, которые Вы для нее определили в рамках заключенного договора. Они перепродают услугу телефонной связи для спам-звонков. Блокировка должна была быть немедленно с Вашей стороны. Иначе грош цена Вашему Антифроду. Почему Вы это не блокируете?

  1. Буквально сегодня на номер МТС с номера 9617659500 (сеть Билайн) поступил спам-звонок. При условии, что МТС и Билайн подключены в Антифроду РКН, подстановка номера исключена. Тогда объясните, как Вы допустили массовые звонки с этого номера сегодня? Кто является абонентом (ИНН организации) для подготовки заявления в ФАС необходима информация.

  2. В скриншотах указаны буквенные имена. Будьте добры, сообщите, кто стоит за указанными номерами: можно ИНН организации или DEF-номер. Эта информация необходима для обращения в ФАС. И она у Вас есть, поскольку это платные имена и Вы валидируете их при согласовании.

  3. Компания СМС Лидс (ИНН 9701243086), на которую зарегистрированы указанные в скриншоте домены, является Вашим клиентом. Вы оказываете им услуги связи. Компания, которая признала сегодня, что занимается спам-рассылками. Но не может объяснить происхождение базы и предоставить письменные согласия пользователей, которых они задалбывают спамом. И они использует Ваши ресурсы. Как Вы это объясните?

    С нетерпением жду обстоятельных комментариев по каждому из пункту. Спасибо.

Здравствуйте, Ярослав. Спасибо за вопросы.

Данные о клиентах, которые вы запросили в пунктах 2-4, мы передать не сможем из-за требований закона о связи. Однако сейчас расследуем случаи из ваших примеров, и будем признательны, если вы поможете с этим.

Далее по пунктам в соответствии с вашими вопросами:

  1. Чтобы применить возможные меры воздействия, нужно убедиться, что есть нарушения. Публичный договор на услуги связи обязывает нас оказывать услуги всем заинтересованным клиентам, а также не запрещает совершать исходящие вызовы, в том числе в интересах третьих лиц, если соблюдены требования законодательства и имеется согласие абонента на получение рекламных звонков. Мы намерены проверить, есть ли такое согласие у юрлица, с чьей стороны поступали вызовы. Для проверки нам нужно знать номер получателя звонка, номер, который определил АОН и время вызова.

  2. Этот звонок мы тоже готовы проверить — потребуется номер, на который он поступил, и время входящего вызова. После проверки сможем прокомментировать подробнее.

  3. Аналогичную проверку мы выполним и по части SMS, которые вы получили. Для этого просим поделиться конкретными примерами: номер (или номера — на скриншоте видим, что они разные), куда пришли сообщения, имя отправителя и время поступления. Лучше, если примеров будет несколько: выясним, кем были отправлены сообщения, и если рассылка проведена с нарушениями, привлечем клиента к ответственности.

  4. Здесь для проверки также потребуется пример аналогично пункту 3.

Пожалуйста, пришлите нам в личные сообщения или на почту VAB2BSupport@beeline.ru детали, которые мы уточняем выше.

Мы все проверим и обязательно вернемся с ответом.

Я написал Вам в личные сообщения с деталями. Пока Ваш комментарий не внушает оптимизма.

Добрый день! Благодарим за ответ, Ярослав. Вернемся.

Три дня уже прошло, можно в полицию заявление о пропаже подавать...

Да какое три дня, уже полгода скоро!

Итог нашего "общения" с Билайном для общественности. Надо сказать, неутешительный.

1. Билайну были предоставлены все данные о фактах спам-звонков. Но проверку они почему-то поручили некому "партнеру".
2. Билайн признал, что звонки совершал некий "партнер", которого по понятным причинам не захотел раскрывать. Но кто эта компания - всем очевидно.
3. Билайн голословно утверждает, что партнер-спамер якобы имеет согласие на распространение спам-звонков. Никаких доказательств представлено не было. Организовать прямой диалог с "партнером" Билайн тоже отказался. Спам-партнер игнорирует любые попытки запросить у них информацию и блокирует все попытки к нему дозвониться.
4. Главный вывод: Билайн утверждает, что любая компания может использовать сеть оператора связи для организации телефонных спам-звонков в интересах третьих лиц - то есть легализует спамеров, извлекающих коммерческую выгоду от такой деятельности, на своей сети. Что, на мой взгляд, прямо противоречий условиям и правилам, установленных сами Билайном. Это отличное доказательство того, как часто слова расходятся с делом.

Есть ощущение, что Билайн стал самым удобным оператором для спамеров. Просмотрел свой список заблокированных номеров за прошедший месяц, так 95% - билайновские. Даже больше, из 30 номеров только один не-Вымпелком.

Чтобы было предметно, если это читают сотрудники оператора, гляньте статистику номера +79689806378. Это похоже на нормального пользователя услуг? Или это робот-обзвонщик?

На фоне двузначных цифр падения исходящего трафика (все звонки уходят в мессенджеры) спам-звонки - это единственный способ для операторов не потерять в выручке.

Как контрмера, антиспам программа уже становится обыденностью в смартфонах.

У меня у самого, у родственников и знакомых она уже давно установлена, т.к. за день порой может быть с десяток спам звонков. И что то у государства, которое уверяло что приструнит спамеров, получился очередной пшик.

Ну по факту сейчас есть сговор(договоренность в виде меморандума) государства (в лице ФАС) с мобильными операторами об игнорировании проблемы на уровне государства. Вместо официальной формы жалобы на сайте ФАС сделали ссылку на сайты моб операторов, которые даже не смотрят эти жалобы.

После этого сообщения в приват написал кто-то из Вымпелкома, попросил телефоны и т.д, было это уже достаточно давно...

@Beeline_tech- расскажете, чем всё закончилось?

Ничем. Билайн написал, что "своих" они не сдают.

Да, похоже, что Билайн - реально убежище для спамеров всех мастей. Чтобы не быть обвиненным в клевете, у меня очередная пачка билайновских спам-номеров в ЧС имеется.

Незнакомый билайновский номер - скорее всего или застройщик, или автосалон, или стоматология, или юристы, которые жаждут помочь мне с долгами. Тьфу..

Так-то мне кажется, что большая часть клиентов в РФ уже на пакетных тарифах с абонентской, и оператору без разницы, интернетом они пользуются или голосовой связью - платят они при этом одинаково..

Банки.ру дорожит своей репутацией и доверием пользователей, поэтому строго соблюдает законодательство  в сфере защиты персональных данных своих пользователей, в том числе ФЗ-№ 152 «О персональных данных».

Направить персональные данные пользователя Банки.ру может только ограниченному числу партнеров, которых указал сам пользователь, и только в том случае, если пользователь дал согласие на обработку данных. Без направления этой информации невозможно получить предложение по финансовой услуге, за которой к нам обратились.

Банки.ру стремится обеспечить надежную и безопасную среду для всех своих пользователей, гарантируя конфиденциальность и защиту их данных. Все сервисы Банки.ру используют несколько уровней защиты данных, на серверах применяются сертифицированные средства защиты, чтобы предотвратить утечку или несанкционированный доступ к информации.

Вот это было смешно.

Имел неосторожность использовать услуги вашего сервиса - маркета. И даже сделал вклад, с регистрацией через Госуслуги. Требовался доступ, насколько я помню, к паспорту и прописке. Ну ок, тут никуда не денешься.

А когда подошло время забирать, для входа через Госуслуги потребовался ещё доступ к информации о моей зарплате и чему-то ещё такому же наглому. А кроме как, никак.

Больше к вам ни ногой, естественно. И вы ещё имеете наглость ещё присылать мне регулярно предложения.

 и только в том случае, если пользователь дал согласие на обработку данных

без этого согласия, регистрация закрыта

Направить персональные данные пользователя Банки.ру может только ограниченному числу партнеров, которых указал сам пользователь

Утечки не может быть, потому что мы в своих документах написали, что у нас не бывает утечек потому что не может быть.

Расследовать конкретный пример с пруфами мы, конечно, ни в коем случае не будем. А то вдруг утечку найдём. А её не может быть. У нас же так в докУментах написано.

Banki.ru официально признали, что не состоят ни в каких отношениях с ООО "СМС ЛИДС". Согласие на распространение рекламы на мой номер они якобы не передавали.


Одновременно с этим известно, ООО "СМС ЛИДС" признало, что распространяла sms-спам и признала достоверность скриншотов.

Banki.ru утверждают, что я регистрировался на сайтах ООО "СМС ЛИДС". Но на сайтах, принадлежащих ООО "СМС ЛИДС", я никогда не был и не регистрировался.

Так откуда у ООО "СМС ЛИДС" согласие на спам-сообщения и звонки?

И если эта схема работает не только с моим номером, значит banki.ru действительно "сливают данные"? Иных объяснений ни banki.ru, ни ООО "СМС ЛИДС", ни Билайн представить не смогли.

Хоть бы статью сначала прочитали, прежде чем такую формальную отписку публиковать... Хотя кому я это пишу...

Автору за данное исследование жирнейший лайк, почтение, а всем родным и близким автора здоровья и благополучия!

Тоже сталкивался с волной спама из-за banki.ru

А вот недавнее интервью с Еленой Ищеевой, одной из бывших владельцев banki.ru: https://www.youtube.com/watch?v=udR-lSZUb3E

Довольно интересна история как у них отжали данный портал. Насколько ей можно верить - решайте сами.

О, большое спасибо, очень интересно!

Сказали "а" - говорите и "б".

Вы не можете с уверенностью утверждать, что рассылает вам не ваш сотовый оператор, а третьи лица - подавайте в суд на вашего сотового оператора за рассылку всех этих собщений и требуйте оштрафовать и выплатить вам по 10 рублей за моральный ущерб.

Оператор сам по каждому факту сдаст все " прокладки"-юрлица, через которые пришла рассылка и будут писать, что в каждом случае они неправильный ответчик и вот реальный ответчик. Тоже самое можно делать и по спам-звонкам.

По идее штрафовать должны "прокладки", но по факту они скорее всего тихо-мирно отключатся от шлюзов сотового оператора.

Если процедуру повторять достаточно часть с разными телефонными номерами и достаточно эффективно, то такой канал быстро прекратит существование. Хотя для реального эффекта надо несколько десятков или даже сотен человек, которые будут планомерно по каждому факту спама судиться из-за нарушений закона о рекламе.

Скажу и в)
Потому что Вы слабо себе представляете, как работает телеком. И "ваш сотовый оператор" - это я и есть. Только с одной стороны. А с другой стороны (рассылка телефонного спама) - как раз Билайн. Который делает вид, что "заинтересован", а по факте не делает ничего. Ведь это для него отличные деньги за таргет.

Потому что Вы слабо себе представляете, как работает телеком.

17 лет опыта работы в сотовых операторах из "большой тройки" в сервисных платформах и и инфраструктуре сотовых сетей даёт мне право предполагать, что я достаточно хорошо представляю, как работают сотовые операторы :)

В том числе видел как работают "очень токсичные услуги на грани уголовного кодекса" и в рамках моей зоны компетенции и ответственности пытался сделать их более адекватными (у инженера не так много рычагов влияния, но подсветить руководству неприятные моменты я всегда мог).

Так вот, я к чему - сотовые операторы при всём желании должны исполнять законы, в том числе связанные с привязкой симок к реальным пользователям. На какие-то ухищрения они пойти могут, могут прикрывать симки левыми юрлицами, левыми регистрациями, но всему есть некоторый предел. По каждой жалобе операторы будут проводить пусть и формальное, но расследование - это ресурсы. По каждой жалобе им потребуется принять какое-то решение, причём более менее адекватное - иначе уже регулятор может прийти и сказать "сейчас буду делать вам больно".

Как только "стоимость обработки жалоб" превысит выручку от токсичной услуги - токсичную услугу свернут или резко повысят стоимость для конечных клиентов. А когда очередной мошеннической "клинике" стоимость привлечения клиентов выйдет за пределы окупаемости - это направление просто закроют.

Сейчас "стоимость" такой смс или звонка в виде штрафа - до 500 тыс руб.

Рассылка на 10 тыс клиентов = 5 млрд руб. Это недостаточно высокая стоимость за токсичную услугу?
Почему государство бездействует?

Заинтересовал, конечно, заголовок к прочтению кейса) А прочитав увидел неплохую рекламу антиспама) К слову, оформлял КАСКО в прошлом году на Банки.ру, изучил все мелкие и не очень шрифты от и до, оформил полис, спама не было в дальнейшем в рассылке

Вы почти 4 года ждали с момента регистрации на Хабре, чтобы оставить первый комментарий на мою публикацию?

Когда оформлял страховку на Банки.ру, после приходили на почту сообщения от самого Банки.ру. Сразу отписался и проблем не было. Никакого спама не увидел.

Вы почти полгода ждали с момента регистрации на Хабре, чтобы оставить первый комментарий на мою публикацию?

Странный кейс. Прямых доказательств нет, зато заголовок цепляющий, чтобы увеличить читаемость.

Вы почти 4 года ждали с момента регистрации на Хабре, чтобы оставить первый комментарий на мою публикацию?

Не думаю, что такой крупной компании выгодно кому-то что-то сливать... Считаю, что на таком уровне репутация важнее. это же не микрофинансовая организация какая-то.

Зарегистрирован

17 февраля
Еще один бот?

Когда оформлял страховку на Банки.ру, после приходили на почту сообщения от самого Банки.ру. Сразу отписался и проблем не было. Никакого спама не увидел.

Вы почти 4 года ждали с момента регистрации на Хабре, чтобы оставить первый комментарий на мою публикацию?

Да они даже с текстом комментариев не заморачиваются:

stanleymoan 1 час назад

Когда оформлял страховку на Банки.ру, после приходили на почту сообщения от самого Банки.ру. Сразу отписался и проблем не было. Никакого спама не увидел.

Sergey_0287 1 час назад

Когда оформлял страховку на Банки.ру, после приходили на почту сообщения от самого Банки.ру. Сразу отписался и проблем не было. Никакого спама не увидел.

Банки.ру достигли дна, но решили не останавливаться на достигнутом и начали закапываться глубже.

П-палево). Они, видимо, не сообразят, что это не комментарии к видео с ВК или ОК, поэтому так топорно работают.

Нет, ну до этого момента ещё можно было сомневаться и допустить, что утечка не у них, а где-то в другом месте и автор что-то где-то перепутал или недоговорил)

Но если официальная реакция компании на статью - быстро решительно пойти закупать комментарии фейков - это фиаско, и буквально подпись "ДА ЭТО МЫ" от лица компании под каждым словом в статье.

Снял галочку в пункте "Предоставляю свое соглашение на получение рекламы и информационных сообщений" когда вклад оформлял в январе на банки ру. После никто никакими рассылками не донимал. В наше время главное самому внимательно следить за своими данными

Вы почти 4 года ждали с момента регистрации на Хабре, чтобы оставить первый комментарий на мою публикацию?

Сейчас столько вариантов, кто может данные слить. И таргетинг телеком операторов в их числе. Советую копать глубже, раз уж истины хотите. Не думаю, что Банки.ру таким заниматься будут, зачем им это? Чтобы пользователей растерять? Да и закон о неразглашении данных есть

Зарегистрирован

вчера в 17:15

Еще один бот банки.ру?

UFO just landed and posted this here

Я в статье не просто так упомянул "повторную" авторизацию на следующий день. Скорее всего, они отслеживают "активность" профиля. И если было несколько входов на сайт, вероятнее всего, профиль передают под спам. Это своего рода "защита" - чтобы сразу не "палиться" перед пользователями.
И Ваш пример еще одно доказательство такой механики.

Аналогично зарегался на banki.ru через телефон. И понеслась...

Я солидарен с автором в том плане, что после подачи жалобы на banki.ru (в 2021) тоже получил лавину рекламы (не готов вспомнить, какой именно, но запомнил, что сайт небезопасен).

У меня вопрос "в тему" для участников дискуссии. У нас в области стали частыми звонки от застройщиков: звонит (часто незасвеченный в антиспаме) мобильный номер и предлагает квартику от застройщика, не называя его имени. В конце сообщения предлагается подождать, чтобы связаться с оператором.

Если я запишу весь разговор (в т.ч. с оператором, пытаясь вызнать компанию застройщика и место застройки), а затем подам жалобу в ФАС с записью полного разговора, такой вариант примут?

также решил, что banki.ru токсичен в плане микрозаймов, и несколько месяцев назад удалил там аккаунт. Прямо буквально через несколько минут меня накрыл шквал смс от микрозаймов...

Так что мой вывод подтвердился. И автор статьи также это подтверждает.

Походу не зря я держу второй номер для регистрации в такие помойки.

Райффайзенбанк тоже шлет спам при заказе карты. Был у меня тихий спокойный личный номер, только оставил заявку и как прорвало..

Пытался я как-то воспользоваться калькулятором КАСКО на этом когда-то уважаемом ресурсе. После ввода всех данных, как водится, надо было нажать кнопку "Рассчитать". Но чтобы она стала активна, надо было поставить (а точнее они уже стояли) две галки: Согласен на обработку персональных данных и Согласен на получение рекламы. Хотел снять галочку со второго пункта, но промахнулся, и скачал сам текст согласия. Потом галочку снял, конечно же кнопка стала не активна, я плюнул и ушел с сайта. Но потом все-таки изучил сам документ, озаглавленный "Приложение No2 к Приказу No226 от 19.12.2023 г. Согласие на распространение рекламы по сетям электросвязи пользователя сайта www.banki.ru"

И тут мне открылись бездны: на 27 страницах список из 81 компании, которым я разрешаю присылать мне спам в любой удобный для них момент. В течение 5(пяти) лет, а если не откажусь, то автоматически продлевают согласие каждые 5 лет... Но особенно впечатлил один абзац, привожу его на скриншоте.

Приложение No2 к Приказу No226 от 19.12.2023 г. Согласие на распространение рекламы по сетям электросвязи пользователя сайта www.banki.ru, стр 27
Приложение No2 к Приказу No226 от 19.12.2023 г. Согласие на распространение рекламы по сетям электросвязи пользователя сайта www.banki.ru, стр 27

учитывая конечное количество номеров и их перепродажу, при покупке сим-карты всё чаще будет оказываться, что она подписана на кучу разного г**на и номер числится везде где можно. и едва ли что-то можно с этим сделать...

Сейчас и банк сливает номер, к примеру, я взял рассрочку в банке, так через несколько минут сразу же начали поступать звонки от всяких ботов и т.д

Название банка можете озвучить?

Sign up to leave a comment.

Articles