Comments 244
До сих пор не понимаю, что мешает операторам связи использовать в работе ANI, а не CallerID? Можно сделать даже общую базу сопоставлений ANI и CallerID. Ну, это так - чисто мысли вслух.
Передаваемая информация о вызываемом абоненте ("super" Caller ID), которая используется специальными службами (милиция, скорая помощь и т.д.), некоторыми провайдерами телефонной связи, и телефонными компаниями для билинговых целей не может быть заблокирована. Обычно она не предоставляется обычным пользователям, кроме как в случайных случаях, ну вы понимаете ☻
Вообще можно сделать специальный заголовок и обязать всех его использовать, а звонки без него просто сбрасывать, но опять же – это должны делать все сразу)
А что делать с международными звонками? Писать номер неопределился?
А это уже меньше проблемы — если видно что номер НЕ Российский то уже не скажещь что "можете сами проверить на сайте ФСБ" :)
Тут дело в том, что российские системы и договоренности с международными звонками как минимум на старте работать не будут, поэтому с международкой все останется как было + международные звонки по ряду причин менее успешны для мошенничества:
народ не верит что ФСБ звонит например с Украины (первые цифры - 38) т.е. потребуется придумывать новые схемы
международные звонки дороже
Всего то лишь надо привлекать операторов к ответственности за соучастие. И не будет ни раздачи сим карт, ни безпроверочных соединений.
Но о чем я вообще. Мошенничество декриминализируют. Мошенникам просто пофиг на смешное наказание.
Всего то лишь надо привлекать операторов к ответственности за соучастие
Мы живем не в правовом государстве
Не знаю в каком государстве вы живёте, я вот в правовом
Это легко проверить
Выйдите на красную площадь и разверните "плакат" вообще без всякого текста. Или даже просто сделайте вид, что держите его — раздвинув руки
Я могу рядом с секундомером постоять
Может предыдущий оратор в Норвегии живет?
Может он просто методичку зачитывает?
Странно от программиста такие вещи читать. Что, будем на Норвегию в этом вопросе ориентироваться? А зачем?
Воспринял как прецедентное оправдание подобных практик, если ошибся — прошу прощения.
Касательно правового гос-ва — право оно такое право, может быть любым, даже самым диким со сторонней т.з., так что апеллировать к "цивилизованным" считаю странным, тем более, что нормы у них у всех очень разные и можно найти примеры на любой случай.
Интересно, кому Вы будете звонить, когда попадете в ДТП. Или будете самосуд устраивать?
//смотрит профиль
Ещё один провокатор с методичкой
То есть, за то, что менты помогают разруливать ДТП (на самом деле — скорее нет, чем да) — даёт им право на все остальное?
Не обижайтесь. Но часто полицейские тролли пишут эту коронную фразу "к кому будете обращаться, если что?". Конечно, как законопослушные, и по текущим нормам и правилам будем обращаться в полицию. И это не важно, что погоны и оружие носят так же откровенные садисты и извращенцы, воры и грабители. )) https://www.youtube.com/watch?v=8J4LvCK8GVI
Можно в двух словах и по-русски? :)
И таких было много, ибо там любят "стоять у абортариев", наверняка приходил "стоять" он почти каждый день и все такое
В России его бы скрутили вчетвером, потом избили бы в автозаке, потом сутки пытали бы в обезьяннике, потом вменили бы "нападение на полицейского" и "неподчинение", потом пару месяцев пытали бы в СИЗО. Потом отпустили би и сказали — ты легко отделался
Ну и да, если бы он там приходил почти каждый день, то копы в видео бы про это как-то упомянули бы, наверное.
Да с чего бы?
Правовое государство — это когда за стояние на улице выписывают штраф, а не скручивают вчетвером и избивают
Серьезно, не видите разницы между одним штрафом и парой недель пыток??
Ту чувиху с воблой пытали в СИЗО
Без понятия, не следил. Просто наслушался о том, как избивали и пытали обычных людей, не замешанных в газетной шумихе
Вижу. Только вот, аналогией, если вы не против: в одной стране отрубают палец, в другой — обе ноги
Против, ессно. Потому что это аналогия абсолютна ложна — в штатах у того чувака палец не отрезали
Вопщем — был лучшего мнения. Видимо, некоторые люди абсолютно не способны понять — каково это: "жить в государстве с авторитарной диктатурой"
Это все — не «количественная разница». Если кто-то этого не понимает, то диалог невозможен, в принципе
– Почему решили заняться антигосударственной деятельностью?
– Потому что в истории мира не было более отвратительного государства, – сказал Кетшеф. – Потому что любил свою жену и своего ребенка. Потому что вы убили моих друзей и растлили мой народ. Потому что всегда ненавидел вас. Достаточно?
– Достаточно, – спокойно сказал бригадир. – Более, чем достаточно. Скажите нам лучше, сколько вам платят хонтийцы? Или вам платит Пандея?
Человек в белом халате засмеялся. Жуткий это был смех, так мог бы смеяться мертвец.
Что должно произойти в Штатах, чтобы вы посчитали, что разница таки количественная, а не качественнаяа?
Там должна установиться авторитарная диктатура
Определение в википедии
И что, вашему царю там корона на четверть века вросла в череп? И самопереизбирается по кулдауну?
До такой степени наглый передерг — что дальше без меня
Звучит прямо как двухпартийная система, где обе партии срослись в ту самую uniparty, а любые другие партии или независимые кандидаты имеют околонулевое влияние.
Если темой интересовались, может, расскажете? Мне было интересно, что должно произойти, чтобы в двупартийной системе сменился один из двух или появился третий, и я почитал про вигов как про популярную, но исчезнувшую партию. Я правильно понимаю, что третий появиться не может: должны облажаться обе партии, как это было в социально-экономический переход и гражданскую, и тогда появятся две новые?
Собсно, вопрос: мне кажется, или действительно двупартийная система изначально задумывалось как закрытый клуб и место для кулуарных переговоров, примерно как "План четырех полицейских"?
Тут только надо учитывать одну мелочь. Если вы заставите всех операторов что-то делать, то они вряд ли будут оплачивать это из своего кармана. То есть они просто переложат расходы на пользователей.
Это не значит что так в принципе нельзя делать. Надо просто сначала хотя бы бы примерно прикинуть как плюсы, так и минусы таких решений.
конечно, кажется, что поэтому никто и не спешит интегрировать решение, которое хоть как-то поможет рядовым пользователям.
Во первых вопрос только в том что вы понимаете под "рядовыми пользователями". То есть если какая-то проблема у всех пользователей, то это одно дело. Если проблема у 0,000001% пользователей это другое дело.
И опять же если из-за решения проблемы у всех пользователей абонентка подскочит на 0,000001%, то это одно дело. Если на 100%, то совсем другое.
А может вообще дешевле, проще у правильнее всего будет не трогать операторов, а решит проблему как-то по другому. Например улучшив безопасность авторизации трансакций у банков. Или дать больше денег полиции чтобы они успешнее раскрывали такие преступления. Или, как бы смешно это не звучало, просто покрывая ущерб отдельных людей из бюджета.
И никто не говорит что вообще ничего не надо делать. Просто прежде чем что-то делать стоит подумать что конкретно.
кажется, что проблема с мошенническими звонками не настигла разве что людей, у которых вовсе нет мобильных телефонов, поэтому будет странно увеличивать абонентскую плату, когда решается всеобщая проблема, в том числе и операторов (они же теряют деньги, клиентов и т.д.)
более того, проблема же не только в банковским системах безопасности, кто-то наверху высказал интересную мысль - не могут мошенники так долго работать безнаказанно, если только это не выгодно кому-то еще кроме них:)
поэтому будет странно увеличивать абонентскую плату, когда решается всеобщая проблема
С чего это вдруг. По такой логике вообще мобильная связь должна быть бесплатной. Ведь она решает всеобщую проблему и странно за это брать абонентскую плату.
Если решение проблемы стоит денег, то за это кто-то должен платить. От этого никуда не деться.
вы хотите сказать, что ваша безопасность не должна быть включена в стоимость мобильной связи и платить за сохранность данных стоит отдельно?)
Не вижу с чего вы это взяли. Она вполне себе может быть включена в стоимость мобильной связи. Но платить за неё всё равно кто-то должен. Сама по себе она из воздуха не возьмётся.
кажется, что вендор, предоставляющий услуги, обязан о ней беспокоится, ведь мы, как пользователи, уже платим за сервис. В идеальном мире платить за сохранность данных не представляется нормой:)
кажется, что вендор, предоставляющий услуги, обязан о ней беспокоится, ведь мы, как пользователи, уже платим за сервис.
Почему это он обязан? И даже если, то почему он обязан делать это себе в ущерб?
В идеальном мире платить за сохранность данных не представляется нормой:)
Вообще не проблема. Правда тогда в вашем идеальном мире скорее всего просто не будет телефонной связи.
Кстати помимо прочего это должно помочь отсечь и рекламные звонки и прозвоны, на этих товарищей тоже сложно жаловаться, работают по принципу мошенников но в более легальном поле.
Или дать больше денег полиции чтобы они успешнее раскрывали такие преступления.
А они прям, бедные, за идею работают. И если вы дадите им денег, то из чьего кармана будут вынуты деньги? Кто бюджет наполняет?
Я очень много общался с нашим оператором телефонии, их дрюкают совершенно нереально, еле успевают отбиваться, особенно хреново стало сейчас когда мобильные операторы стали налево и направо добавлять в черные списки "спам номера".
Все дело в том что оператора мошенников искать нужно а в силу целого ряда причин этого не делается. Ну вот например с теми же "спам номерами" стали пачками блокировать городские номера легальных коллцентров занимающихся подтверждением заказов итд Причем закономерность выяснить не удалось, узнается постфактум и через претензию блок снимается. Но при этом количество спама, причем реального, от самих опсосов только увеличилось.
Ну-ну. Почему-то когда начинаешь пробивать номера очередных "служб безопасности" с кодом 495 почему-то выходишь на конкретных мелких провайдеров, которые перепродают одни и те же блоки номеров спамерам и мошенникам.
Они в спам попадают из-за холодного обзвона. Вот позвонит мне кто-то на мобильный, да начнёт рекламу втюхивать. Я сразу вспомню ФЗ "о рекламе", да накатаю жалобу своему мобильному оператору. Больше меня звонки с этого номера не беспокоят, а я доволен.
И меня совершенно не должно волновать, что это был номер какого-то крупного колл-центра, ну вот вообще не должно.
Как раз если бы попадали изза холодного обзвона, это бы удивление не вызывало, в том то и дело что нет, а номер доставали из спама уже несколько раз. Для сравнение количество абуз по транзакционным письмам того же колцентра 1 на 50 000 писем.
Я тоже люблю ФЗ "о рекламе" но вот билайн и мтс достали уже так что мочи просто нет, по ходу пора в суд. Что это, некоторые перед законом "ровнее"?
Заодно @maledog отвечу: дак в том то и суть. Вычислить проблемы нет, очень давно нет, все лица известны, звонки идут сотнями тысяч.
Вообще во всю эту чушь про спам, которую постоянно пишут перестаешь верить после первого же квеста с пробросом номера между провайдерами с соблюдением всех требований.
Но о чем я вообще. Мошенничество декриминализируют. Мошенникам просто пофиг на смешное наказание.
То есть вы хотите сказать, что самые главные соучастники заседают прямо в <аж страшно сказать где, это ж может на "экстремизм" потянуть> ?
Всего то лишь надо привлекать операторов к ответственности за соучастие
Так можно и на себя выйти :)
del
Я обычно, когда есть настроение поразвлекаться, некоторое время поддерживаю беседу с мошенниками. Чаще всего звонят из "Управления МВД". Мой вопрос "какое именно управление? их там много..." чаще всего ставят мошенников на некоторое время в тупик и они отвечают "Управление МВД России" :)
да! еще очень любят позвонить из Центрального банка и, как Питер Пэн, решать дела простых граждан:)
Вроде ж лучше вообще с ними не разговаривать, так как целью может быть получение образца вашего голоса?
Поэтому у меня наготове старая пранкерская нарезка фраз неадекватных пенсионеров. Громкость компа повыше, телефон сую микрофоном в амбушюр наушника и кидаю файлики пожёстче в окно mp3-плеера, развлекаюсь. А если не до того - просто подставляю телефон под динамик радио, пусть с радиоведущим общаются.
а если со всеми не знакомыми номера общаться зажав нос?
Я наоборот стараюсь разговаривать подольше. Чем больше мошенник потратит времени на меня, тем меньше потратит времени на более доверчивых товарищей. Ну и заодно неплохая практика в софтскиллах.
надеемся, что такая технология еще недоступна нашим мошенникам, но точно знаем, что отвечать "Да"/"Нет" не стоит, потому что эта запись может дать доступ к банковским данным
хотя странно, проверку кодовым словом и паспортными данными никто не отменял же:)
А у меня прикол — отвечать на все их реплики "ну". Через десяток сообщений скрипты у них в голове ломаются.
интересная мысль, надо прикинуть, сколько займет все это воплотить в жизнь и завести миллион бумажек, где это все прописано – без этого, к сожалению, никак)
Просто гонять SIP строго через TLS с аутентификацией по клиентским сертификатам. А сертификаты выдавать по паспорту
Проблема не в SIP, при подключении через Е1 имеется точно такая же проблема. Контроль исходящего номера возможен только в точке подключения к ТФоП, т.к. соединяющиеся стороны знают, какие номера должны быть в потоке. Если контроль отсутствует, то номера могут быть любыми.
Возможны и другие забавы. Например когда оператор заворачивает к вам в поток чужие исходящие (не на Ваши номера). В этом случае имеется возможность прописать на Вашей АТС соответствующий входящий номер и составить разговор. :)
Простой, но рабочий совет – если вы оказались в подобной ситуации, а в глубине души появилась хоть толика сомнений, кладите трубку и самостоятельно перезванивайте в банк, полицию и даже ФСБ на официальные номера.
Не так. Всегда. Вообще всегда надо просить номер на который можно перезвонить. Никаких или тут быть не может. Никаких сомнений - если это не звонок с номера знакомого которого вы знает по голосу и обсуждается не поездка на дачу то сразу перезваниваете. Ну или используйте второй фактор проверки.
А решение на самом деле простое и не следует новых законов. Я как пострадавший продаю в суд на своего оператора. Если он знает откуда пришел звонок то он привлекает к разбирательству третью сторону. Та четвертую. И так до тех пор пока обвиняемым не окажется тот самый гендир мелкого оператора который барыжил симками без проверки паспорта и позволял подменять номера.
по поводу правосудия через органы здесь высказали очень много интересных мнений на этот счет, можно присмотреться)
Достаточно давно, но не думаю, что что-нибудь поменялось, имел сомнительное удовольствие общаться с финмониторингом нескольких банков первой десятки.
Им нельзя перезвонить, в принципе. Свои номера не дают, коллцентр с ними не соединяет. На вопрос "как мне убедиться, что вы те, за кого себя выдаёте", мне говорили не выпендриваться, и либо сразу блокируют счёт, либо у меня есть шанс.
Идея правильная по хорошему именно так и надо. Но боюсь не сработает, никто даже запариваться не будет, оператор вообще заявит, что он не несет ответственности за абонентов и на этом боюсь все закончится. Хоть и жаль.
Мелкий оператор не продаёт симки, а заключает договора на аренду номеров с доступом по SIP. С юрлицами или ИП. Оператор должен взять на себя функции следователя и ввести уголовную проверку деятельности ООО до момента заключения договора ? Так эта левая ООО там всё что угодно нарисует, и даже сайт создаст какого-нибудь псевдомагазина, чтобы получить вожделенные номера.
Так что не надо перекладывать ответственность следователей на мелких операторов, у них таких функций и компетенций нет и не будет.
Ой, таки если у него есть договор, то он привлекает N+1 сторону к ответу. У него же есть паспортные данные. Есть, да? Я
Я же не говорю "идём не до последнего оператора", а до последнего в цепочке кто сможет обоснованно доказать что он не верблюд. Если у оператора нормальный договор, то он спокойно переводит стрелки дальше как и первые в цепочке.
Даже следующая фирма на самом деле могла давать сами своих номеров в субаренду. Наверное. И если у них есть договор то и они спокойно переводят стрелки дальше.
А вот последний кто не смог - сорри, не повезло.
Знаем, что чаще, чем спойлеры к последнему сезону «Игра престолов»
Странная отсылка, последний сезон игры престолов вышел 4 года назад
Большинство граждан живёт с хорошо привитым чувством вины и ощущением бесправности.
Этому способствует насаждаемый патернализм и желание дистанцироваться от неких структур, отчасти из воспитанной уличной романтики, отчасти из недоверия.
Мошенники уже много лет названивают всем россиянам. И ни разу никого не поймали. Вывод? В этой схеме участвуют самый верх государства - ФСБ, Сбербанк, полиция. Иначе давно бы всех мошенников поймали и закрыли. Столько бы майоров стали полковниками.
Вывод? В этой схеме участвуют самый верх государства - ФСБ, Сбербанк, полиция.
Напомнило мем, как Шерлок отгадывает пароль от WiFi: "Синяя помада на столе, дверца шкафа приоткрыта, запах сладкого одеколона... Ну конечно, пароль от wifi: p@s$w0rd !"
А если серьезно, то если они никого ещё не поймали, то можно сделать огромное количество предположений, но не выводов. Выводы делаются на основе логических заключений, когда все остальные варианты исключены. Например я могу ещё накинуть предположений, почему ещё не поймали:
1) Нарушители находятся вне юрисдикции РФ. Банально в той же Украине.
2) Нарушителя найти не удаётся, т.к. для сокрытия ip-адреса используется сеть подставных серверов (VPN), в том числе за границей.
3) Как уже было сказано, нарушители вероятно используют своих мелких провайдеров, которые предоставляют услуги телефонии и подстановки номера. На бумаге всё чисто - вот договор, вот обязательство предоставление телекоммуникационных услуг. А чем занимался абонент - вообще то не дело оператора. Оператор вообще не имеет права подслушивать разговоры, за это ему ещё больше прилетит. Заранее знать, кто из его новых клиентов мошенник - оператор не может (хотя есть куча техник от тех же банков).
4) Может да, какие-то сотрудники правоохранительных органов не чисты на руку, всё спалили, и про всех всё знают, стригут кассу.
5) Могу ещё 100500 предположений сделать, но на основе них всё-равнонельзя сделать никаких выводов.
Ваши варианты имели бы место, если бы деньги налом воровали, и контробандой вывозили из страны.
А тут безналом десятки миллиардов рублей в год уходят, и МВД и ЦБ ничего не могут сделать.
Все уводы денег в целом сводятся к выводу на дропов.
Что с этим можно поделать? Ограничить клиентов банков в снятии своих же денег? Так пойдет волна возмущений "мои деньги банки зажимают и крутят". Сделать обязательную задержку перевода в неделю, допустим? Так пойдет волна возмущений "все тормозит что они там деньги улитками возят".
Фильтровать дропов? Каким образом? Дискриминируя по внешнему виду? По другим субъективным факторам? А потом пойдет волна возмущений на "синдромы вахтера", мол "я усталый в банк пришел счет открыть, а мне отказали".
Качественного фильтра тут сделать принципиально невозможно, потому что любой шаг в защиту "доверчивых клиентов" будет аукаться людям которые хотят адекватно пользоваться банковской системой, без параноидальных и субъективных фильтров.
Мне кажется, что дроп на то и дроп, что у него явный паттерн поведения сводится к тому, что:
1) полученные бабки тут же снимает. Ок, получил зарплату, снял. А если не зарплату? Можно и заморозить снятие таких денег на сутки.
2) либо пересылает дальше. Но рано или поздно их надо обналичить, либо вывести из страны. С обналичкой см п.1, с выводом из страны аналогично. Хочешь отправить куда-то зарубеж бабки, которые тебе только что пришли п2п переводом? Подожди сутки, милок.
На что конкретно должны уйти эти сутки?
На решение суда? Потому что по закону других причин запрещать распоряжение своими деньгами (а деньги на счету = свои деньги) нет. Фантастика.
На заявление отправителя о том что деньги надо вернуть и сам возврат? Будет обратное мошенничество, Вам переведут деньги, Вы успокоитесь (отдадите сделанную работу, отдадите товар), а деньги возвращаются.
Хочешь отправить куда-то зарубеж бабки, которые тебе только что пришли п2п переводом? Подожди сутки, милок.
"Милок" он ровно до тех пор, пока это не Вы:) А когда из-за этих лишних суток Вы потеряете деньги из-за прыжка курса или просто не сможете их отправить из-за изменившихся правил переводов за рубеж или влетите на штрафы за несвоевременное погашение кредита, то у Вас скорее начнется отношение "почему я из-за доверчивых людей должен страдать".
дроп на то и дроп, что у него явный паттерн поведения
Далеко не всегда, а пожалуй даже редкость. Карту оформляют на дропа, потом с ней бегает обычный человек и совершает обычные покупки и обычные переводы, может даже кредит взять и платить его какое-то время. Банкам лишние проблемы тоже не нужны, на блок влететь не сложно
Потому что по закону других причин запрещать распоряжение своими деньгами (а деньги на счету = свои деньги) нет
Деньги в банке - не ваши деньги, а деньги банка. И банк может вам их выдать на определенных условиях.
К примеру, если вы попробуете снять свои* доллары в РФ, то сильно удивитесь. Или к черту доллары, попробуйте два ляма рублей своих снять.
На заявление отправителя о том что деньги надо вернуть и сам возврат?
Будет обратное мошенничество, Вам переведут деньги, Вы успокоитесь
(отдадите сделанную работу, отдадите товар), а деньги возвращаются.
Будет такое - будет обмен за нал, будут договора и прочая.
"Милок" он ровно до тех пор, пока это не Вы:) А когда из-за этих лишних
суток Вы потеряете деньги из-за прыжка курса или просто не сможете их
отправить из-за изменившихся правил переводов за рубеж
"Свои"* деньги это "свои"* деньги, мы тут ведём разговор за дропов. У дропа вполне четкая обязанность - обналичить или передать дальше по цепочке. Причем обналичить не свои, а свежеполученные от другого(!) человека. Есть достаточно четкий профиль поведения, и источника средств, который указывает на то, что данная персона - дроп. Если вы снимаете зарплату - вы, в теории, можете быть обнальщиком, но точно не дропом в мошеннических п2п переводах. Если у вас лежал свой* лям на депозите, а потом вы его решили снять - то это тоже не сценарий дропа.
несвоевременное погашение кредита
Дропы, которые гасят свой кредит? Ну, может быть где-то существуют такие, но это не случай по умолчанию.
---
Сутки - вполне достаточный срок, чтобы заблокировать деньги на счёте (если поступит таковая жалоба), и отправить обоих людей в суд или в полицию - и там пусть сколько надо, столько и разбираются.
Деньги в банке - не ваши деньги, а деньги банка
По закону - деньги на счету это деньги владельца счета. 845 и 847 гк рф, да и в целом тот раздел ГК.
Обсуждение вне правовых рамок бессмысленно, т.к. тут полет фантазии ничем не ограничен.
Дропы, которые гасят свой кредит? Ну, может быть где-то существуют такие, но это не случай по умолчанию. ... .. (куча сценариев). ... не сценарий дропа.
Успешный мошенник практически ничем не отличается от честного человека ровно до момента когда он скрывается с деньгами. Именно в похожести на реального человека и есть его секрет успеха.
Поэтому - таки да, дропы берут и гасят кредиты, оплачивают ноутбуки в магазинах вместо вывода нала, платят за коммуналку, переводят деньги по поводу и без, открывают фирмы и так далее и тому подобное.
Сутки - вполне достаточный срок, чтобы заблокировать деньги на счёте (если поступит таковая жалоба), и отправить обоих людей в суд или в полицию - и там пусть сколько надо, столько и разбираются.
Отличная идея. Вам переведут старый долг 10млн, поступит жалоба и идите в полицию - разбирайтесь там 3 года по судам, пока вокруг девальвация, инфляция, обрушение рынков, банков. Главное ведь что потом полиция разберется и когда выяснится что жалоба необоснованая- Вам отдадут Ваши 10млн, купите на них беляшь:)
Ваше предложение в принципе аннулирует сам смысл отправки кому-либо денег. Какой практический толк от денег которые пришли к Вам на счет, если фактически без согласия отправителя Вы не можете ими распоряжаться? С тем же успехом можно было бы и не отправлять их.
Обсуждение вне правовых рамок бессмысленно, т.к. тут полет фантазии ничем не ограничен.
Законы - мертвая бумага, если не смотреть как они исполняются. А исполняются они с кучей звездочек и полёт фантазии банка на земле реально чем ограничен, а вот ограничения банка на владельца счёта обычно не укладываются на один лист.
И я не вижу никакой проблемы планировать операции так, чтобы были лишние сутки, а не впритык.
Впрочем, спорить дальше я не вижу смысла. Вашу позицию я понял, думаю, вы мою тоже уже поняли.
И я не вижу никакой проблемы планировать операции так, чтобы были лишние сутки, а не впритык.
А кто-то другой видит. Или вот для примера а почему вы считаете что именно ваше решение самое лучшее? Ведь гораздо безопаснее будет если просто все трансакции надо будет авторизировать лично придя в банк. В принципе так в куче стран мира люди жили 10-15-20-30 лет назад когда никакого онлайн-банкинга не было.
То есть такое в принципе тоже не то чтобы невозможно планировать. Давайте снова так будем делать :)
Или вот для примера а почему вы считаете что именно ваше решение самое лучшее?
Возможно, оно не самое лучшее, но лучших решений я пока не вижу.
Тем более, во многих местах hold на 24 часа реализован, вписан в соглашения, и, в общем-то, действительно работает, уменьшая размер проблемы.
Возможно, оно не самое лучшее, но лучших решений я пока не вижу.
Например законодательно повесить ответственность за мошенничество по умолчанию на банки. Как это делается в куче стран мира.
И тогда как по волшебству исчезают скрытые галочки на "онлайн-кредиты" в договорах. И появляются адекватные методы авторизации переводов. И так далее и тому подобное.
Например законодательно повесить ответственность за мошенничество по умолчанию на банки. Как это делается в куче стран мира.
Как представитель пролетариата, я всегда за. Однако боюсь, что мы вернёмся к
Ведь гораздо безопаснее будет если просто все трансакции надо будет авторизировать лично придя в банк.
Что будет абсолютно законно, и прописано в договоре с банком.
Что будет абсолютно законно, и прописано в договоре с банком.
По опыту других стран скорее нет чем да. Потому что этот вариант для банков один из самых невыгодных. Потому что надо держать кучу дополнительного персонала и филиалов.
То есть какой-нибудь трёхфакторной авторизации с паролем, биометрией и адекватной привязкой к железу вполне достаточно для того чтобы это перестало быть проблемой.
А в банк достаточно будет лично приходить только если например хочешь что-то в договоре поменять. И даже это в общем-то опционально если банк готов слегка рискнуть.
То есть какой-нибудь трёхфакторной авторизации с паролем, биометрией и адекватной привязкой к железу вполне достаточно для того чтобы это перестало быть проблемой.
У меня коллега бывший живёт в Югославии Сербии. Там банковское приложение было написано студентом на летней практике в 2012 году и с тех пор не обновлялось. Конечно, в Сербии денег нет, но
сам получил зарплатную карту на Кипре (ЕС), и здесь банковское приложение едва ли сильно лучше, хотя и сильно новее и даже умеет в биометрию (или не умеет, потому что у большинства не получается пройти). Но о какой безопасности и актуальности идёт речь, если местные до сих пор пользуются чековыми книжками, а перевод идёт 3 рабочих дня? И лишь недавно сроки переводов сократили.
И ничего, никто не стонал, что ему там ипотеку платить :)
Это всё условности, имхо. А крутилка безопасность-удобство легко крутится в нужную сторону по желанию банка и клиенту деваться будет некуда.
Я не знаю как выглядят законы в Сербии и на Кипре. Но если там ответственность за трансакции лежит на банке, то какая вам как пользователю разница насколько безопасно приложение?
То есть если что-то случится, то всё за счёт банка. Не ваши проблемы.
Ну либо там тоже ответственность не на банках и тогда это не особо хороший пример.
либо там тоже ответственность не на банках и тогда это не особо хороший пример.
Ну вот, видите, мы дошли до торга: если ответственность на банке, то 3 рабочих(!) дня уже норм, а если на клиенте, уже не норм.
Ну вот, видите, мы дошли до торга: если ответственность на банке, то 3 рабочих(!) дня уже норм, а если на клиенте, уже не норм.
Я не уверен что "3 рабочих(!) дня" там именно по причине безопасности.
Почти уверен, что не по причине безопасности.
Но если бы риск лежал бы на банке, то и 3 дня вроде норм, и дают "оперативный" простор схватиться за голову и подать на розыск и отзыв платежа.
И деньги до их зачисления на счёт еще точно не клиента-получателя, что еще удобнее. Нужно лишь отменить поручение на оплату и вуаля, всем всё хорошо.
сам получил зарплатную карту на Кипре (ЕС),
И ничего, никто не стонал, что ему там ипотеку платить :)
Это на Кипре, несколько лет назад, больше 300 баксов не снять кэшем было, не говоря уже о постриженных депозитах и других ограничениях? Точно хотите как на Кипре?:)
И даже тогда — была такая вещь как чеки. И чековые книжки. И система кое как работала.
И я не вижу никакой проблемы планировать операции так, чтобы были лишние сутки, а не впритык.
Сутки только в том случае если отправитель не собирался Вас кидать.
В противном случае не сутки, а по Вашим же словам "отправить в суд - и сколько надо, столько и разбираются.", при том что Вы буквально только что сказали " Законы - мертвая бумага ", то есть не только сроки получения денег не регламентированы в Вашей схеме, но и сам факт их получения под сомнением.
Мы сейчас боремся с мошенниками "Ака главное управление ФСБ по ЦБ, переведите нам денех, а если их нет возьмите кредит и переведите его нам" или про кидание отправителями?
Мы живём в несправедливом мире, любая сделка - особенно с "контрагентом", которого видишь в первый и в последний раз - несёт определенный риск. Не готовы нести конкретно этот риск - просите налик. С наликом тоже есть риск - поддельные купюры, неправильная сумма (ака "заломы").
Но сделки с контрагентами - это другое. Совсем. Если вы ничего не продаёте и не оказываете услуги, то у вас этот риск находится в районе нуля; а вот "ГУ ФСБ по ЦБ/СБ вашего банка" звонит почти всем по несколько раз в месяц, независимо, продает человек что-то или нет.
Некоторые вон, скриншоты в фотошопе с "отправленными" деньгами фотошопят, и кто-то на это даже ведётся.
К примеру, я сейчас плачу за аренду, и мой платёж идёт 3 рабочих дня. Условие владельца - что к определенному числу, прописанному в договоре, мой платёж должен быть зачислен на счёт его юрлица. И это не его проблема, а моя.
Если не зарплата (формально) а перевод средств от ИП?(а по смыслу таки зарплата, ИП свое)?
Вывод из страны — а если он внезапно не SWIFT'ом с которым куча проблема а через обменник на крипту? Для банка — выглядит как P2P перевод внутри России с карты/qiwi
Кстати речь про календарные сутки, 24 часа с момента перевода или про 1 рабочий день? Если третья — то если деньги пришли вечером 30-го декабря — привет блокировка на почти полмесяца. Если первое — по какому часовому поясу эти сутки считаются и как быть если клиент начнет жаловатся что сутки в его часовом поясе прошли а нифига?
Как должна система учитывать переводы от ИП Вася Пупкин физлицу Васе Пупкину? Как учитывать ситуации когда деньги зарабатывает один человек а домом занимается другой (и даже фамилия не та) и просто раз в неделю скидывается на расходы (и часть из этого да — снимается)(совместные карты — не вариант, неудобно). Как быть если платеж по кредиту из-за этого подвис? Вообще платеж по кредиту считается датой платежа или датой разблокировки? Кстати а если допустим счет в банке в минусе и банк очень хочет(и получает) вот прям сейчас а то штраф? и так далее. Кстати а как быть с оплатой в магазинах — она тоже блочится? Если нет — как ее потом откатывать если что, если да — получаем опять жалобы что не сработала оплата хотя деньги есть и отключился интернет/кофточки красивые в магазине кончились и так далее и кто виноват?
Кстати, а зачем при схеме с блокировкам вообще нужна СБП? Обычный банковский перевод по нормативам 3 рабочих дня идет, а реально обычно максимум на следующий рабочий день приходит.
Кстати а как быть с оплатой в магазинах — она тоже блочится?
Регулярно вижу захолденные платежи, которые я совершал в магазинах. Разблокируются в пользу продавца, как правило, сами.
Это совсем другое.
Речь про ситуацию когда деньги пришли на счет, заблокировались по схеме выше. Были использованы для оплаты чего нибудь картой, прилетал холд на сумму и тут выяснилось что надо делать откат прихода денег на счет… но вот только если банк уже дал повесить холд в рамках оплаты картой, решить внезапно что списать нельзя просто так — он не имеет права. Имеет право инициировать чарджбэк но нужны основания (при этом "мы тут решили что денег у клиента реально не было" это НЕ основание) и этот процесс совсем не гарантированный. Также, бывают случаи (обычно на маленькие суммы, но есть некоторые ситуации когда будет на большие) когда холд не прилетает а прилетает сразу списание, с задержкой. Если у клиента денег реально нет — он попадает в теховердрафт а деньги платит банк и потом решает с клиентом.
Но вот только если при откате пополнения счета загонять в теховердафт то что делать если/когда выяснится (см другие ответы на исходный коммент) в суде что откат не очень то корректный был — клиент попал на комиссии и штрафы, их с кого списывать? С клиента? А в честь чего? С того кто инициировал некорректный откат?
А банкам нужны риски теховердрафтов на ровном месте, из-за которых точно будет повышенное количество судов?
Помнится старая байка о том, что американцы искренне считали, что бензин с водой не смешивается. До приезда эмигрантов из СССР. Да и Остап Ибрагимович, с его 200-ми способами сравнительно честного отъема денег у населения, не подкачал. К чему я? Находчивость изобретателей всяких схематозов всегда опережает машину правоохранительных органов независимо от страны. Разница в скорости наступления неотвратимости наказания.
Ваши варианты имели бы место, если бы деньги налом воровали, и контробандой вывозили из страны.. МВД и ЦБ ничего не могут сделать.
Нет, извините, но так рассуждения не ведутся. Нельзя строить свои утверждения лишь на том, что у кого-то (МВД/ЦБ) гипотетически есть техническая возможность найти человека (дропа).
Если вы утверждаете, что кто-то кого-то покрывает, то предоставляете конкретные доказательства - кто и когда брал.
То, что сейчас переводами с карты на карту итд можно совершать мошенничества - так это творится не только в России, так по всему миру. Вы наверняка видели фильмы, где преступники, которые взяли людей в заложники просят перечислить (Перечислить, КАРЛ! Цифровым методом!) деньги на свой счет в каком-то банке! Представьте, что весь мир видит, как злодей убивает людей, ему таки переводят деньги по реквизитам в какой-то банк, и эти деньги уже никому не становятся доступными (кроме злодея). Там тоже все продажные сволочи, которым лень пойти в банк, и попросить их не выдавать деньги злодею?
Так вот к чему я. Везде есть правила игры. Как выше верно написали - деньги выводятся через кардеров. Это когда приходит в общагу человек, платит 5 тысяч каждому студенту, который пойдет и откроет себе сразу 5 счетов в самых крупных банках, и закажет себе там премиальные карты (у которых лимит снятия побольше), подключит интернет-банки, и передаст все карты ему. Деньги мошенники переводят такому студенту, мошенник в балаклаве снимает деньги в уличном банкомате, и пропадает. А все стрелки указывают на бедного студента.
Какой вывод вы теперь можете сделать? Действительно ли можно утверждать, что все в МВД-ЦБ-ФСБ-ИТД такие продажные/ленивые не хотят работать, всех преступников покрывают, или схема с кардерами - и правда проблема?
и МВД и ЦБ ничего не могут сделать
И вот, вы кажется уже пришли к неким выводам). Как минимум, что первоначальный ваш вывод про крышевание на самом верху государства - не поддается критике. *Upd: извините, первоначальный вывод был не ваш.
Я вот только одного не понимаю, в чём проблема вздрючить этого бедного студента, на которого всё указывает, по всей строгости. Пара тройка показательных их как ветром сдует. А уж за что будет варьироваться в каждом конкретном случае, от причинения вреда по не осторожности до организованной преступной группы.
Мой вам совет: не используйте кванторы всеобщности при выдумывании информации. Это сразу выдаёт идиотский фейк, ведь достаточно одного опровержения.
Например, Куйбышевский суд Санкт-Петербурга недавно вынес приговор по 44 подобным звонкам. Аналогичные истории вы можете легко найти, изучая дела по статье 158 УК РФ в разных судах страны.
Кстати, есть такой расхожий миф, что якобы значительная часть подобных звонков приходит из тюрем. В 2021-м году ФСИН даже специальные меры по ликвидации тюремных колл-центров якобы предпринимала.
Если принять данный миф за правду, то становится понятным, почему таких мошенников невозможно посадить - они ведь уже и так сидят.
ФСИН даже специальные меры по ликвидации тюремных колл-центров якобы предпринимала
В нашем районе в исправительных учреждениях глушилки поставили, как результат жильцы рядом расположенных домов стали жаловаться даже на проблемы с WiFi, не то что с сотовой связью.
А зачем ставить глушилки, если можно пресекать появление в камерах телефонов и возможности их зарядки?
Наверное потому что пресекание не особо хорошо работает. Например потому что поставить глушилку это решение начальника тюрьмы и он чист как стёклышко. А "пресекают появление " отдельные надзиратели и они могут брать взятки.
Видимо "так положено", при входе за периметр все сотрудники УФСИН, а тем более посторонние, обязаны сдавать телефоны. Сотрудники общаются исключительно по рации.
А что делает Роскомнадзор в ответ на жалобы? Это ж (а не защита взрослых от аниме) их изначальная прямая работа — решать проблемы с помехами.
Мошенники названивают не только россиянам. Тоже уже давно. Беглый гуглёж показывает, что американские граждане попали в сумме на 30 млрд за 21-ый год. Там тоже никого не поймали. Таким образом, исходя из вашей логики, мы необходимо приходим к выводу, что схема курируется международными структурами. Видимо, ООН и МСЭ.
Если раньше звонок проходил, не вызвав подозрений, то сейчас, прежде чем дать звонку пройти, Билайн «постучится» в Мегафон и уточнит, действительно ли номер принадлежит оператору и звонок с этого номера совершается в данный момент.
Я одного не пойму: а как до сих пор операторы между собой расчитывались, если не знали, кто (чей абонент) на самом деле звонит? Вот, скажем, я Вымпелком и моему абоненту поступает звонок с горячей линии ФСБ, т.е. городской московский, т.е. Ростелеком. В конце месяца я выставляю счет Ростелекому и... а) он неглядя оплачивает, б) он посылает меня далеко и надолго, а я утираюсь что ли? Если вариант б, то почему ко мне 100% звонко не приходило с подменой номера, если а - то почему я еще не единственный опсос, когда все остальные разорились?
Думаю там работают договоры на честном слове. Помню в начале нулевых соседу пришел огромный счет, за международные звонки. Кто-то для звонка его номер использовал. Доказать кажется не смог, всё на честном слове...
Хм, интересный вопрос. Но если я всё правильно понял из статьи, то мы имеем "цепочку" по которой звонок "передаётся" от оператора к оператору. И соседние звенья этой цепочки всегда знают друг друга.
То есть для расчёта между операторами ведь неважно с какого номера там действительно звонили. Важно от какого оператора пришёл звонок.
То есть при желании можно по цепочке отследить звонок.
Насколько я помню объснения, почему ничего поделать нельзя - это потому, что номер подменяют и установить, кто на самом деле звонил следствие никак не может. Конечный оператор тоже должен знать реального звонившего, кто и заплатит за звонок в конечном счете. Иначе на каждом углу стояли бы темные личности с "клонированными симками", как в 90-е.
Конечный оператор тоже должен знать реального звонившего, кто и заплатит за звонок в конечном счете
Не особо понимаю зачем ему нужно знать номер звонящего. Грубо говоря его интересует объём трафика и оператор от которого ему пришёл звонок. И он может просто выставить счёт этому оператору и остальное его не интересует.
Клонировать симку сейчас нельзя.
Дыры в алгоритмах шифрования закрыли.
Даже штатно (когда клиент хочет именно клон и оператор не против) — нельзя (у белорусов можно — https://www.mts.by/help/dopolnitelnye-uslugi-i-servisy/podklyuchenie/chto-takoe-twin-karta/ )
Есть соединение оператор-оператор и вот по трафику в этом соединении операторы между собой расчитываются.
Ну а мошенники - находят неумного оператора, который не фильтруя а-номер транзитом передает дальше (а в транзите уже по определению asis идёт инфа).
Если представить условных операторов а и б - то в среднем между ними (по их стыкам) пролетает примерно равное количество жульнических звонков и баланс около нуля.. Это если не считать того что жульнический трафик в общих объёмах - околонулевой.
Т.е. неумный оператор знает, кто это звонит, но не передает инфу дальше и выступает по сути анонимайзером. Но сам-то при этом знает и "невозможность" найти звонящего объясняется исключительно ленью правоохренителей?
Собственно да - неумный (злоумышленный) оператор так и делает.
Но вот момент - он вообще может находится в произвольной юрисдикции... Или транзититься через таких.
Притом по сути кроме него все остальные операторы в цепочке транзита - добросовестные и политика "трахать по цепочке" применительно к ним - не очень корректна. Да и даже искать - нет у операторов прав и функций выполнять оперативно-розыскные меропртятия и требовать от коллег сенситивную информацию...
Хотя как я слышал операторы полуформально ведут списки нечистоплотных операторов и полуформально с ними борятся
Понятно, спасибо. Не очень корректно, но другого выхода не вижу: на ком цепочка оборвалась - тот и водит. Но при этом должно быть законное основание футболить тех операторов, кто не передает (корректно) реальный номер. Потому что вся эта полулегальщина объяснима: с одной стороны - ничестоплотность и нежелание в этом участвовать, а с другой - связность сети и обязательства по пропуску трафика, за нарушение которых можно и лицензию на стол положить.
Да, не очень приятная схема "назначения" виноватыми.
А так - операторы как раз-таки корректно и неизменно передают этот самый номер. И даже тот самый конечный оператор на голубом глазу может заявлять что он передал этот номер... Скромно умолчав что дал спамеру операторский стык вместо абонентского подключения. А поймать за руку - сложно.
Мне вот другое непонятно. Почему, при всем развити телекоммуникаций, невозможно придумать некий секьюрный протокол специально для госструктур или корпораций, когда проверяется - откуда, из какой физической подсети пришел звонок? Условно, есть кабель, идущий в Сбербанк - и вот только звонки с этого кабеля и считаются сбербанковскими. Или какую-нибудь схему шифрования, когда после получения звонка от "сбербанка" провайдер связывается со специальным сервером в Сбербанке и проверяет, а был ли звонок и давала ли настоящая служба безопасности Сбербанка права на коммуникации с этого номера. А далее провайдер ставит уже в Caller ID некий признак "проверено", как замочек в браузере.
Просто в корпоративных коммуникациях все это давным-давно реализовано. Например, нелегально послать письмо с официального домена сбербанка - задача нетривиальная.
Проблема не в придумать. Проблема скорее в том чтобы сделать это повсеместным стандартом.
В США в последние два года внедрили SHAKEN/STIR.
Вначале его внедрили крупные операторы, потом мелкие. В течение двух лет большинство операторов внедрили SHAKEN/STIR (иначе если не используешь, то звонки не пройдут). Сейчас звонков с подменой номера или совсем нет или они помечаются на смартфоне, как спам. Да, можно купить SIP номера оптом, но подменять номера уже не получается.
Я не утверждал что это невозможно. Только что придумать такой протокол это не основная проблема.
Kaк оказалось, проблема внедрить SHAKEN/STIR большинству операторов оказалась решаемой, в масштабе 330-миллионной страны в течение нескольких лет. Я тоже не верил, но сейчас на мой мобильник и мобильник жены практически перестали поступать спам-звонки. Раньше - несколько звонков в день (robocalls), сейчас - где-то раз в неделю, причем без подмены номера.
Причем из-за необходимости принимать звонки из-за границы, чтобы исключить false positives (иногда бывает), я в настройках оператора указал "помечать звонок как спам, но не обрубать", то есть какие-то звонки до меня доходят, но на экране появляется "spam call". Где-то раз в неделю, как я сказал, пробивается один спаммер.
А вот я не очень понимаю другое — почему в России нельзя было этот же STIR/SHAKEN задействовать? Что там такого сложного? Или реализация на практике закрытая?
А почему США не хотят его пропихнуть как международный стандарт? Или опять политика и проблемы из серии "а у кого корневой центр сертификации?"
А почему США не хотят его пропихнуть как международный стандарт?
Например потому что другие страны либо просто не имеют такой проблемы, либо нашли для себя другой вариант решения.
Есть RFC. На практике, чтобы внедрить такое дело каждый оператор должен купить/настроить оборудование, которое будет добавлять сертификат при приёме звонка от абонента и проверять сертификат при приёме звонка от другого оператора. Операторы такого не хотят, потому что это стоит денег. Причём, без отдачи: люди не отказываются от мобильной связи из-за мошенников
Систему должны все поддерживать.
Со Сбербанком и почтой работает только потому что они реализовали общие для того чтобы почтовый сервер получателя мог проверить от кого это, и решить что делать с письмом.
А в корпоративных коммуникация реально безопасных — я вот вспоминаю ситуацию с моей рабочей почтой. Просто отправить письмо вовне — можно ой мало кому (в нашей команде product owner так может и все), получить извне — с некоторых пор тоже не очень просто.
Ах да, чтобы почту внутреннюю почитать (или отправить) — коннектимся к секурному VPN через токен, запускаем VDI-клиент, запускаем outlook внутри виртуалки. Все просто и удобно. И враг не пройдет!..
Только люди, кому эта виртуалка не нужна для других целей, почему то могут днями не читать почту.
Билайн «постучится» в Мегафон и уточнит, действительно ли номер принадлежит оператору и звонок с этого номера совершается в данный момент.
Т.е. достаточно будет найти достаточно занятую линию, с которой обзванивают абонентов и правильно угадать оператора?
Или какого-нибудь сотрудника с возможностью позвонить с того номера в нужный момент.
Ещё, если принять во внимание, что люди гуглят телефон, достаточно будет сделать похожий сайт, где разместить нужный телефон.
Кмк меры недостаточны
Не понимаю почему проблема в номере. Проблема в голове. На телефоне высвечивается номер и что? Переписывать номер лезть в интернет и проверять номер? А если нет под рукой компьютера. А если этого номера нет в списке? Я вообще не смотрю на номер. "Лейтенант Пётр Петрович" будет мной послан с любого номера. А у вас есть "правильный" номер лейтенанта? Так же как и служба безопасности банка. А если номер "правильный" то вы всему поверите?
Прикол в том, что "службы безопасности банка" иногда реально звонят, и, кто бы мог подумать, по делу. Например, мой банк мне звонил при снятии наличных в банкомате во внезапной стране, когда я ещё бывал в отпусках в разных странах.
Мне просто при покупке (на где то половину доступной на карте суммы) звонили как то — но вот только на тот момент покупка была завершен и если бы ответ с мой стороны был "не могу эту тему обсуждать, напиште хоть на e-mail контактный или в чат в приложении" то… и что? Автоматический чарджбэк по желанию банка на основании слов клиента по телефону и без заявления клиента?
Просто блокировка карты до визита в офис?(ближайший офис этого банка в ~10 минутах пешком)
Мой банк 10 лет назад просто блокировал карту и звонил уже я. И хотя я тогда сильно матерился, когда приходилось кроме кодового слова отвечать почти по всем ПД, известным банку, сейчас я понимаю, что это было безопаснее, чем исходящий от банка.
Вообще практика: сначала блокировка, а потом разбирательство (инициированное клиентом!) гораздо безопаснее, чем звонки от банка с уточнениями.
Ага, и вы можете очень красиво влететь по вине банка, если, например, вы едете в аэропорт, и у вас карту блокируют при попытке купить билет на электричку до аэропорта.
в этом плане у Т было круто: пишешь боту, собираюсь в такую и такую страны с такого-то по такое.
То то последние месяцы на vc вал постов на тему того что банк блокирует карту и счет и либо требует кучу странного либо… просто явится в офис лично. Вот только клиент — вне России и покидал ее слегка внезапно.
А уж со снятием блока каждый горазд на всю голову.
А банки не знают, что что-то случилось?) Ну, новости там не смотрят...
А в новостях пишут про каждого Иванова И.И., что он "слегка внезапно покинул"? И должны ли банки мониторить новости в этой части?
Зачем про каждого? Но то, что определенная часть среднего класса немного поуехала слышал даже грузчик :)
Зачем про каждого?А как иначе понять сам Иванов И.И. делает транзакцию из-за рубежа или мошенники? На основании, что «часть среднего класса немного поуехала»?
3d secure?
3-D Secure — протокол, используемый как дополнительный уровень безопасности онлайн-кредитных и дебетовых карт, для двухфакторной аутентификации пользователя.Какими такими кредитными и дебетовыми картами, выпущенными нашим банком в РФ, пользуется наш условный Иванов за рубежом?
Максимум, что Иванов может сделать за рубежом — это открыть приложение банка и сделать перевод из него, например по СБП.
Давайте я еще раз объясню, на что тригеррится банк (по моему имхо):
Иванов в РФ ходил в пятерочку, оплачивал жкх, рестораны и кино. Платил по 150 руб. по сбп за сигареты и т.п. Потом вдруг бац и крупный перевод денег физлицу, инициированный с иностранного IP (например покупка крипты, но банку это неведомо, он только перевод физлицу видит).
Другими словами резко нарушены поведенческие паттерны по мнению антифрод системы банка.
Окей, тогда OTP.
Что я знаю - пароль от моего банка клиента
Что я имею - симку или заранее рабочую связку телефон-приложение банка, которые генерируют мне TOTP.
Еще раз: Клиент легитимно входит в приложение, например, через смс, но с необычного IP и с неожиданной транзакцией. Это типично для ситуации, когда мошенники уболтали клиента и он сообщил код из смс.
Если развели на код из смс, то и ОТР получат. Технические средства защиты бессильны против социнженерии. Дополнительная защита от такого — антифрод и блокировка.
Технические средства защиты бессильны против социнженерии.
Вы может быть не можете полностью нейтрализовать социнженерию техническими средствами. Но вы можете при помощи технических средств очень усложнить её использование.
Каждый банк ищет тут свой баланс с учетом нормативки.
Эээ, зачем банку нужно чтобы вы совершали транскрипции больше и чаще? Он у вас что за каждую отдельную транскрипцию деньги берёт?
Извините, что вопросом на вопрос.
Банк бесплатно работает?
Ну хоть СБП возьмем. Есть лимит, после превышения которого следующие переводы пойдут с комиссией. Банк заинтересован, чтобы Вы превысили лимит.
Или перевод с карты на карту в другой банк — чаще всего сразу с комиссией, но конечно зависит от тарифов банка.
Если транзакция идет без комиссии банка, не стоит обольщаться, что она бесплатная, плата за нее включена в тариф.
Извините, что вопросом на вопрос. Банк бесплатно работает?
Нет. Но это не значит что он обязательно берёт деньги за трансакции. И что ему выгодно чтобы их было много.
Ну хоть СБП возьмем. Есть лимит, после превышения которого следующие переводы пойдут с комиссией. Банк заинтересован, чтобы Вы превысили лимит.
У меня счета в трёх разных банках. У жены ещё в одном. Никаких подобных лимитов нет ни в одном.
Если транзакция идет без комиссии банка, не стоит обольщаться, что она бесплатная, плата за нее включена в тариф.
Но тогда банку как раз не выгодно чтобы было много трансакций.
У меня счета в трёх разных банках. У жены ещё в одном. Никаких подобных лимитов нет ни в одном.Наверное ваши операции просто никогда не выходили за лимиты
При переводе денег госучреждениям или юрлицам комиссия не взимается — при условии, что продавец или учреждение пришлет QR-код, чтобы оплата прошла через кассу.
Банки — участники системы вправе устанавливать собственные тарифы на переводы, но при этом не могут выходить за перечисленные значения.
Максимальная сумма единоразового перевода через СБП — до 1 млн рублей. Однако у некоторых банки есть ограничения. Так, в Сбербанке нельзя переводить больше 50 тыс. за один раз и столько же за день, в ВТБ — 50 тыс. в день и 300 тыс. рублей в месяц. А вот у «Тинькофф» нет собственного лимита, там за один раз можно перевести 1 млн, а за месяц — не более 5 млн.
www.banki.ru/news/daytheme/?id=10978070
Но тогда банку как раз не выгодно чтобы было много трансакций.Это зависит от тарифа. Если банк зарабатывает на процентах по кредиту, то он может все транзакции сделать бесплатными, как бонус, и тогда ему да, не выгодно много транзакций.
Пожалуй, пример с транзакциями неудачный. Давайте я перефразирую то, что хотел сказать:
Да, и тут возникает противоречие. Чем выше защита, тем менее удобно пользоваться. И тут у банка конфликт интересов. Его задача, чтобы Вы пользовались его услугамичитай: совершали транзакциибольше и чаще. А защита этому сильно мешает. Заблокированный клиент денег не приносит.
Каждый банк ищет тут свой баланс с учетом нормативки.
Окей, тогда последняя линяя защиты - его собственное приложение. Грубо говоря, банк знает, подключался ли человек с этого телефона этим приложением или нет.
с этого телефона этим приложениемIMEI? Откуда он у банка? Фингерпринт?
Ну допустим что-то такое. А если телефон сел/разбит и человек переставил симку?
Вариантов масса, суть одна — Иванов снова не отличается от мошенника.
Какими такими кредитными и дебетовыми картами, выпущенными нашим банком в РФ, пользуется наш условный Иванов за рубежом?
У меня недавно (осень 2022) была необходимость за рубеж и обратно скататся (на очередь в Верхнем Ларсе посмотреть не получилось). Внезапно были транзакции:
- перевод денег со счета в банке на QIWI(а с киви на счет в теньге и дальше на оплату)
- снятия наличности (на тот момент там куда была поездка — вполне себе были банкоматы где выдавали местный нал по картам МИР). Насколько я в курсе — в некоторых других близких карта е — есть варианты но с Union Pay
- переводы сумм на счет мне, и почти сразу — снятие.
- все это — при заходе через местный интернет.
Да, один из двух банков карты которого использовались, теоретически мог быть в курсе что незадолго до этого — был врублен (просто про запас, реально местная sim использовалась) специальный роуминговый пакет на симке от MVNO этого банка
Внезапно были транзакции:И что из этого Вы подтверждали через 3-D Secure?
перевод денег со счета в банке на QIWI(а с киви на счет в теньге и дальше на оплату)
снятия наличности (на тот момент там куда была поездка — вполне себе были банкоматы где выдавали местный нал по картам МИР). Насколько я в курсе — в некоторых других близких карта е — есть варианты но с Union Pay
переводы сумм на счет мне, и почти сразу — снятие.
все это — при заходе через местный интернет.
Это я понимаю. Сейчас в очень близкой сфере.
Но банк должен учитывать ситуацию и иметь штатную процедуру удаленной идентификации для таких вот случаев, пусть последний год их больше стало.
Видеосвязь на что? Возможно — через предоставленное банком средство (обход дипфейков). Проверит что клиент реально уехал можно ж — билеты попросить показать (ну или хоть скриншот посадочного талона если он электронный) и визу(если визовая страна)? Придумать можно много что. Если думать.
Представлялись как "Вы конечно будете смеяться нам не поверите, но мы правда из службы безопастности банка" ?
Мне вот один раз действительно звонили менты по делу. Мы с бригадой ночью ехали по трассе после починки порыва на кабеле, а в это время в деревне произошло изнасилование, и они искали и опрашивали тех, кто попал тогда в зону действия вышки связи в той деревне. Если б я его просто послал, не факт, что мне было бы потом лучше. Так я просто сходил к ним и объяснил (письменно) кто я и что там делал, а после посыла отношение ко мне могло бы быть менее доброжелательное)
Звонок, по делу, сильно отличается от звонка "не по делу", имхо. Огульно, "с порога", слать всё таки не стоит, лучше потратить несколько секунд(ципсошники быстро палятся), на выяснение обстоятельств.
Если звонит "Главное центральное управление МВД по ЦФО", то оно идёт лесом, а вот если УМВД по N-ской области, расположенное по адресу N-ская ул. дом ZZ, то для успокоения совести, можно задать пару уточняющих вопросов и напроситься к следователю "живьём", и в 100% случаев, он согласится вас принять. Или сославшись на невозможность сейчас разговаривать(то же шум на улице) мешает, перезвонить по номеру управления, через несколько минут , и попросить соединить с следователем, который вам только что звонил, опять же соединят 100%.
Я использую оба варианта.
За последний месяц пообщался вразнобой с реальными представителями власти и с мошенниками.
Понял, что еще звонок по делу отличается от мошенников непередаваемой интонацией звонящего. Реальные участковые, следователи и т.д. имеют определенную проф. деформацию. По голосу чувствуется, что человек... ну просто залюбился на работе. Он грустный и уставший. Он хочет поскорее разделаться с этим неинтересным делом, он бы не звонил, но вот, приходится. Но при этом человек обличен властью, это тоже невольно прорезается
Мошенники - тоже деформированы, но по-другому. По голосу сразу понятно, что им от тебя что-то надо. Что они переигрывают. Раздувают серьезность происходящего. Чего-то сразу требуют. Пугают.
Понятно, что идея различать их по голосу - так себе. Это просто любопытное наблюдение.
Не посчастливилось (и хорошо наверное) связываться с действительными следователями по телефону. Но вот только на неделе звонил "следователь" в WhatsApp. И очень с хорошей дикцией. Будто приговор зачитывает - очень быстро и четко.
Примерные вырезки из разговора
"...произошло преступление предусмотренное статьей *номер статьи*, а именно мошенничество с применением служебного положения со стороны работника ЦБ РФ - главного банка страны..."
"Вы не являетесь по этому делу обвиняемым или пострадавшим, но привлечены в качестве возможного свидетеля. Поскольку Вы и место преступления находятся в разных регионах Российской Федерации мы связываемся с Вами посредством сотовой связи"
"... напоминаю, что ни банк, ни его служащие ни правоохранительные органы никогда не попросят у Вас номер карты или код из смс, никогда не передавайте им свои персональные данные..."
После этой фразы я сказал "Хорошо. Не буду. Спасибо." И отключился
Так что деформация мошенников - факт. Слишком уж переигрывают.
Хорошая задача для искусственного интеллекта!
Насколько я помню закон "О полиции", все следственные мероприятия только лично. Т.е. или вызывают вас повесткой, или лично приезжают. Собсна, потому люди и ведутся на звонки из УВД и ФСБ, потому как милиции и сбшникам закон не писан.
Требуйте долива после отстоя пены от мошенников установления доверительного диалога путем перевода 10к$ на ваши реквизиты. Если мошенник не в состоянии подтвердить свою надежность, то не тратьте на него время - он пустышка.
Автор, сказали "А", говорите и "Б".
К маю 2024 года заработает на сетях всех телефонных операторов федеральная система верификации вызовов, которая будет существенно усложнять схему подмены номера для конечных и транзитных операторов.
Посмотрим, какие это даст результаты для всех нас. Операторы мобильной связи между собой уже с прошлого года обмениваются верифицированными вызовами из своей и смежной нумерации.
Всё равно варианты останутся. Будут на бомжей или тупо на поддельные паспорта регить симки и с них звонить. Будут использовать потерянные, украденные симки. Могут использовать фейковую микросоту рядом с жертвой (такой вектор атаки на Хабре вроде описывали, там стояла задача повторить ситуацию из какой-то игры, вроде WatchDogs, когда у всей толпы начинают звонить мобильники). Наконец, будут названивать через мессенджеры, а не через ТФоП. Прижмут звонки - будут аналогичные разводы с письмами по почте якобы из органов и пр.
Надо работать над тем, чтобы наказание за любое нарушение закона было неотвратимым с вероятностью хотя бы процентов 70. Взять хотя бы дорожное движение: на дорогах творится вакханалия, иду по городу и за день вижу сотни нарушений, от поворотников и парковки до проезда внаглую на красный и быкования с угрозами, и год от года всё хуже. Почему? Безнаказанность. Хотя техническая возможность прекратить это давно есть: признайте криптографически подписанное видео доказательством, раздайте желающим официальные видеорегистраторы и платите 10% снявшему нарушение от выписанного по этому нарушению штрафа. И наступит железный порядок за неделю. Но не хотят. То же самое с этими звонками: наверняка органы могут положить мордой в пол все эти колцентры, но не хотят...
В сфере Интернет-нахлобучинвания ситуация не лучше. Запросто мошенники могут получить от reg.ru SSL-сертификат на фейковый сайт типа https://uslugifssp.ru/ , который сразу же перенаправляет на какой-нибудь фишинговый https://jxg6o.potemoh.xyz/ с заполнением данных банковской карты . Я с этим столкнулся сам. Долго искал куда надо обращаться - нашёл совет что надо сразу писать по 5-ти адресатам , включая отдел К и Роспотребнадзор. Первая реакция последовала лишь недели через 2, когда аферисты наверняка облапошили сотни доверчивых граждан и схема давно перестала работать. Это оппозиционеров ловят за считанные часы. Но к чести сказать представитель отдела К к концу 2-х недельного общения сообщил что они вышли на аферистов и готовят задержание. Чем дело кончилось я так и не узнал.
Ответ reg.ru : Компания REG.RU не вправе самостоятельно применять санкции к доменному имени на основании претензий третьих лиц. И далее в том же духе.
И нет никаких механизмов проверки подозрительных сайтов, косящих под официальные государственные.
Запросто мошенники могут получить от reg.ru SSL-сертификат на фейковый сайт типа https://uslugifssp.ru/
Зачем так сложно? Letsencrypt сделает всё без участия мешков с мясом. Но это, в общем, и хорошо, иначе TLS было бы вообще не внедрить массово.
Рекомендую чуваков из Tg:in2security
У них есть более/s рабочие варианты взаимодействия с российскими хостерами и регистраторами.
Кидайте им, они дальше передадут по цепочке.
Сколько раз, отвечая на звонок, вы слышали «Иван Иванов? Добрый день! Лейтенант Петр Петрович, главное управление МВД/ секретная служба безопасности Центрального банка России/ Следственный комитет/ подставьте свое»? Знаем, что чаще, чем спойлеры к последнему сезону «Игра престолов»
Ни разу. Просто не принимаю звонки с неизвестных номеров.
Элементарная гигиена.
Такой подход возможен, но далеко не всем и не всегда. Я тоже обычно не отвечаю на звонки с номеров не нашего региона (тут плюс, когда живёшь на периферии), но бывало, тебе например сказали, что по работе должны позвонить, а ты в солнечный день переходишь десяток жд путей и оп, звонит телефон, остановиться и рассматривать номер на экране не самое удачное решение, отвечаешь и слышишь очередного "следователя". Но эта песенка настолько заезжена, что даже скучно и тратить свое время я не буду.
Просто не принимаю звонки с неизвестных номеров.
Хорошо вам если вы так можете. Но это работает далеко не для всех...
ситуации бывают разные, согласитесь, но ваш подход отрежет бОльшую часть таких мошенников)
И до вас не доедет ни один курьер...
И до вас не доедет ни один курьер...
Дополнительный плюс.
Но речь как бы не о том что все дураки а я один умный и красивый.
Это ответ автору утверждающему
Знаем, что чаще, чем спойлеры к последнему сезону «Игра престолов»
Это не так. Множество людей не испытывают этой проблемы. Например я, причина выше.
После получения курьером новой дебетовой банковской карты мой номер утек в сеть. И тут начались звонки со «СБ Банка», «Полиции» и тд. Разные способы пробывать. Из действенных оказалось только два:
Вы совершали данную транзакцию? — это был Я. После такого ответа они не знают, что ответить.
Ничего не отвечая сбрасывал звонок. Удивительно, но перезванивают.
Самый забавный случай, когда мне звонили из «Управления МВД России» с Латвийского номера))
Мне мошенники начали на домашний названивать. Раньше просто по слитым базам звонили, а теперь, видимо, номера перебирают
Подобная схема позволила мошенникам заработать 45 млрд рублей за 11 месяцев в 2022 году.
А 45 млрд - откуда такая оценка? Просто видел инфу, что по данным ЦБ в целом за 2022 год сумма мошеннических операций составила 14 млрд., в том числе с использованием социальной инженерии - 9 млрд.
Впечатляет количество использованных мошенниками телефонных номеров (из того же обзора ЦБ):
В 2022 году Банк России направил операторам связи с целью принятия соответствующих мер реагирования 756 072 номера телефона, используемые злоумышленниками для хищения средств у граждан.
Цифра из статьи РИА Новости, а у них от замначальника Следственного департамента МВД России:) Но, знаете, цифры - вещь такая, которую всегда можно от источника к источнику видоизменять, поэтому взяли не среднюю по больнице, а внушительную
Очевидно, из-за этого Ростелеком так серьезно и испугался, что купил систему фрод-безопасности, что утечки данных клиентов его Теле2 дальше приобретут крупномасштабный характер. У самого мобильная связь Теле2, так неоднократно звонили то "юристы", предлагавшие решить вопрос со счетом у паевого фонда моей покойной матери (а его никак не решишь, поскольку фонд признан банкротом, тем более мама на момент вложения туда уже была больна раком крови, а при онкологии никто наследнику ничего не должен в таком случае), то следователи СК, утверждавшие, что я привлекаюсь по статье за мошенничество. Из СК никому никогда не звонят, просто опера выясняют твое местонахождение и берут тебя под белы руки в подъезде где-нибудь, а потом уже разговаривают. Причем по имени-отчеству называли. Очевидно, имеет место утечка при обработке паспортных данных. При таком раскладе можно достаточно легко выяснить, что у человека умер близкий родственник и куда он вкладывал деньги, - у этих фондов, очевидно, тоже утечки - обычное дело.
Недавно тоже получил звонок от мошенников. Надо сказать, они прогрессируют. Попытка применить гипноз была хороша настолько, что решил нажаловаться на них в отдел "К" на сайте МВД. Благо доказать ст. 194 (самовольное присвоение звания или власти должностного лица) должно быть сильно проще, чем мошенничество.
После подачи электронного заявления последовали звонки от реальных представителей власти. Заявление спустили моему участковому. С которым потом пришлось составлять бумажный протокол опроса.
Блин.
Вот что участковый может сделать, кроме как потерять время?
а вы еще далеко продвинулись, так что может все не зря! кстати, а запись разговора у вас осталась?
надеемся на позитивный исход истории, держите в курсе, интересно)
В чем конкретно заключается "прогресс" мошенников? Любопытно узнать
О, разница между мошенниками прошлого и настоящего - радикальна. Приблизительно, как между одноголосым гнусавым переводом "Терминатора" из 90-х и профессиональной озвучкой "Аватара".
Лет 5 назад у них были одинаковые простые скрипты и бесталанные исполнители. "Специалист безопасности Сбербанка" в лоб просил продиктовать все, что написано на карте с одной и с другой стороны.
Сейчас они "работают" минимум в паре. Разводила + технарь. Возможно, еще коуч-психолог, но это не точно. Разводила имеет четко поставленный голос, прокачанную харизму и неплохие скрипты по работе с возражениями.
Сейчас они не ограничиваются Сбером. На них можно напороться, продавая диван на Авито. И даже многочисленные "следователи" постоянно меняют тактику.
На прошлой неделе на мне отработали цыганский гипноз. Представившись представителем власти, перегружали мой мозг запугиванием, потоком слабосвязанной информации, и параллельным потоком безобидных команд (возьмите ручку, запишите, проверьте фамилию в интернете). После загрузки мозга следовали вовсе небезобидные приказы.
Зачетная была попытка, я почти впал в транс.
Вот это я и называю "прогрессом", в плохом смысле этого слова.
Было бы интересно узнать как мошенники получают наши данные и почему никто не несёт ответственность за их сохранность, а также о счетах на которые переводятся деньги.
Мне каждый раз интересно, как вообще мог появиться и прожить столько лет протокол, позволяющий подставить любой номер безо всяких проверок? Даже если он появился очень давно, на заре сотовой связи, что мешало его довести до ума еще двадцать лет назад?
На связи следственный комитет РФ — как мошенникам удается обходить все мыслимые и немыслимые законы