Comments 61
В случае сомнений лучше отказаться от услуг банка.
Особенно если возможность такого простого способа мошенничества он не считает проблемой.
А ведь по факту проблема в интерфейсе и невнимательности пользователей.
Обычный экран приглашения у банкоматов Сбербанка содержит баннер «вставьте карту».
Ничто не мешает добавить яркий баннер на экран с вводом пин-кода.
Да и слишком частые транзакции на одну карту с разных отправителей обычно провоцируют блокировку платежей, а потом и самой карты.
Обычный экран приглашения у банкоматов Сбербанка содержит баннер «вставьте карту».
Ничто не мешает добавить яркий баннер на экран с вводом пин-кода.
Да и слишком частые транзакции на одну карту с разных отправителей обычно провоцируют блокировку платежей, а потом и самой карты.
Перед использованием терминала нужно нажимать на клавиатуре «Отмена», тогда это все отобъется по задаче, если она была — будет на экране «Отмена операции» гореть…
Хотя когда так платеж заводишь и нажать через карту — окно другое в банкомате СБ со строками сверху — «вставьте карту для оплаты ХХХ рублей» там написано, а не штатное окно со «вставьте карту».
Сегодня тестил эту ситуацию на двух банкоматах — широком и узком. Так что или торопился герой-потеряшка из статьи или не смотрел вообще на экран.
Хотя когда так платеж заводишь и нажать через карту — окно другое в банкомате СБ со строками сверху — «вставьте карту для оплаты ХХХ рублей» там написано, а не штатное окно со «вставьте карту».
Сегодня тестил эту ситуацию на двух банкоматах — широком и узком. Так что или торопился герой-потеряшка из статьи или не смотрел вообще на экран.
Собственно говоря напомнило старый анекдот.
Это не уязвимость банкомата — это уязвимость человека. Уязвимость не устранимая. Такая-же уязвимость, как и забытые в банкомате карты или деньги.
Можно наверное изменить логику и дизайн банкомата, но это не сильно исправит ситуацию.
Это не уязвимость банкомата — это уязвимость человека. Уязвимость не устранимая. Такая-же уязвимость, как и забытые в банкомате карты или деньги.
Можно наверное изменить логику и дизайн банкомата, но это не сильно исправит ситуацию.
Это не уязвимость банкомата — это уязвимость человека.
Причем того самого человека, что составлял сценарий работы банкомата. Ведь вывести информационное окно «Вставьте карту, введите пин-код» это ведь намного проще, чем "Для завершения перевода xxx денег на счет ууу Вставьте карту, введите пин-код"
Причем того самого человека, что составлял сценарий работы банкомата.
Ну «чукча не факт-чекер, чукча писатель».
Извиняюсь за отвратительное качество фото
Первый вариант банкомата. Для оплаты требует сначала авторизоваться картой. Авторизоваться можно с помощью NFC, примерно как описано в оригинальной статье, т.к. если карту пришлось бы вставлять в карт-ридер, то забрать без отмены платежа не получилось бы.
Второй вариант банкомата. Предварительной авторизации не требует. Набил платеж, выбрал оплату с карты.
Третье фото, как выглядит второй банкомат без набитого платежа (первый выглядел точно так же).
Второй вариант банкомата. Предварительной авторизации не требует. Набил платеж, выбрал оплату с карты.
Третье фото, как выглядит второй банкомат без набитого платежа (первый выглядел точно так же).
PS: Наверное есть другие банкоматы. Точнее они точно есть другие. Но отсутствие фото в оригинальной желтой газете, «женщина в хиджабе» и налетевшие хейтеры наводит на мысль об отсутствии состава проблемы.
Но если есть пруфы, прошу меня опровергнуть.
UFO just landed and posted this here
Сбер в своей манере ответил. Типа «Сами виноваты»
Стандартное поведение монополиста. Только выбор другого банка большим количеством людей научит этот банк любить своих клиентов.
Стандартное поведение монополиста. Только выбор другого банка большим количеством людей научит этот банк любить своих клиентов.
В бюджетных организациях с большим скрипом можно продавить бухов на что-то отличное от сбера+мир.
Многие и не знают, что имеют такое право.
PS к тому же, для операции «снять все деньги» особой разницы нет. Только теперь операция усложняется — сначала ткнуть отмену, потом — снять.
Многие и не знают, что имеют такое право.
PS к тому же, для операции «снять все деньги» особой разницы нет. Только теперь операция усложняется — сначала ткнуть отмену, потом — снять.
Кстати Греф тут хвастался, что банк ни разу не взломали, все потери средств клиентов происходили с участием самих клиентов либо не добросовестных сотрудников. Тут случай как раз по первой схеме. Греф может опять мы тут не причем)) Хотя условия и почву подготовил сам сбер.
Насчет со скрипом, я например агитирую на смену банка своих знакомых, на любой понравившейся из списка поддерживающих моментальный перевод по телефону по схеме ЦБ.
Насчет со скрипом, я например агитирую на смену банка своих знакомых, на любой понравившейся из списка поддерживающих моментальный перевод по телефону по схеме ЦБ.
Мда, похоже на ту самую пожизненную гарантию: вещь сломалась — гарантия кончилась.
Все потери любой b2c компании можно свести или к участию самих клиентов, или к участию сотрудников.
Все потери любой b2c компании можно свести или к участию самих клиентов, или к участию сотрудников.
Не знаю что там со взломами, но, видя заголовок 'в системе сбербанк-онлайн снова произошел сбой', я думаю 'что дальше?' 'Cегодня в системе сбербанк-онлайн не произошел сбой'?
Конечно с участием клиентов! Как иначе! Это же клиенты (зачем-то) положили/заработали деньги себе на счёт. Это помощь мошенникам, не иначе. А так как жуликов поймать сложно, можно посадить клиентов банка, как соучастников.
Добавлю: многие каким-то чудесным образом не знают, что другими банками тоже можно пользоваться, и у этих других банков — внезапно — тоже есть карты)
люди очень боятся перемен, даже таких простых, как выбор другого банка ДАЖЕ для себя, когда это не связано ни с зарплатой, ни с обязательствами.
люди очень боятся перемен, даже таких простых, как выбор другого банка ДАЖЕ для себя, когда это не связано ни с зарплатой, ни с обязательствами.
UFO just landed and posted this here
И эти банкоматы с кучаей ограничений вроде «макс 15к» и тп. Уже больше года практически не пользуюсь наличными (может быть 5-10к за год снял). В МСК нет проблем, которые мешают отказаться от нала. МСК это 8% населения страны, думаю если бы половина МСК отказалась от сбера, то сбер бы опомнился.
UFO just landed and posted this here
Не искал. Можно найти статистику использования компьютеров по миру, не думаю, что там 100% =)
С 2015 полагается хороший штраф(30-50тыр) если есть касса, но нет оплаты по карте. Сейчас практически не осталось категорий которые не применяют кассу. Но это для тех у кого выручка более 60млн в год.
Потому ине кусают нет у многих. Хотя с выручкой менее 60млн. подключил и понял что зря не спешил. Да там процент за каждую продажу(у меня 2.25%), но выручка стала выше на треть, т.к. меньше уходит народу из за отсутствия налички и меньше очередь.
Потому и
UFO just landed and posted this here
112-ФЗ и статья 14.8
По новой ч. 4 ст. 14.8 КоАП РФ отказ принимать карты к оплате влечет наложение административного штрафа на юридических лиц — от 30 тыс. до 50 тыс. рублей. Если же у магазина есть техническая возможность принимать карты, а продавец всё равно отказывает, то на него могут наложить штраф как на должностное лицо — от 15 тыс. до 30 тыс. рублей.
UFO just landed and posted this here
Комиссии есть и 1,5%, но всегда есть «НО». Если у меня обслуживание бесплатно и до 150тыр можно снять без комиссии(если больше то 1%), то там где эквайринг «дешевле», дорого стоит обслуживание и/или приличный процент за снятие. Надо покупать терминалы(по 10-20тыр за штуку) или они даются под ежемесячную оплату. Я перебрал десяток банков, но у Сбера на удивление нормальные тарифы для малого бизнеса.
В Мск если в сбере счёт, то 500р за выезд.
В Мск если в сбере счёт, то 500р за выезд.
Иногда вариантов просто нет. Ну нет в некоторых местах просто в округе другого банкомата, а на снятие денег через него с карт других банков идет конская комиссия.
Однако, конкурентное преимущество сбера — лучшее покрытие банкоматами.
Плюс уже упомянутое навязывание сберовских карт (не всегда, впрочем, сберовских, может быть абсолютно любой другой банк, но сбер намного чаще) во многих случаях. Не каждый сможет надавить в ответ.
есть лимит снятия без комиссий в разных банках
Бывают зарплатные проекты, когда снятия без комиссий. Бывают карты уровнем выше, когда условия использования позволяют. Бывают банкоматы-партнёры. А есть банки, до которых ехать на оленях. Много чего бывает, всё анализировать и считать надо. И только у Сбера каждая собака знает во что ему будет обходиться обслуживание карты.
Только выбор другого банка большим количеством людей научит этот банк любить своих клиентов.
А нету других. В глубинке домининует сбер.
А нету других. В глубинке домининует сбер.
Так вот, злоумышленник выполняет все эти шаги и выбирает вариант «Оплата картой», после чего достаёт свою карту и уходит.
Я так понимаю, что никакую карту он не достает, а просто не вставляет. Ведь если вытащить карту, то все готовящиеся операции отменятся.
в терминалах других банков стандартные настройки предполагают сначала выбор способа оплаты (карта или наличные), а уже потом ввод реквизитов платежа. С такими настройками подобное мошенничество исключено.
Вот и решение. Впрочем, нанотехнологии Грефа работают как всегда:
в Сбербанке не считают проблемой текущие настройки терминалов
Ведь если вытащить карту, то все готовящиеся операции отменятся
Кажется это проблема бесконтактных карт — там карта все время в руке пользователя банкомата, хотя об этом кажется в статье не слова. Но решается проблема просто — сверка реквизитов карты при операции и разные экраны при авторизации и при вводе пин кода соответствующий текст что совершается.
Т.е. любой человек у банкомата который внезапно обнаружил, что забыл карту внезапно оказывается мошенником?
Самое смешное, что если настройки поменяют-таки, те же самые люди первыми начнут возмущаться: «Раньше было удобнее!» :)
Ни понимаю зачем вообще дана возможность что-то делать с банкоматом, если карта не вставлена/не считана беспроводным способом.
Некоторые сберовские банкоматы позволяют платить наличными (сдачу можно сбросить на другой платеж), а пациент может передумать (нет столько наличных, или купюры большого калибра, а сдачу наличкой банкомат не выдает) и заплатить картой.
Однако, удобство в ущерб безопасности.
Можно просто сумму указывать после выбора: «С карты» и её втыкания.
Если и тогда не смутятся, то тут уже ничего не сделаешь.
Но тем не менее за СБ Сбера тут конкретный косяк. Полгода знают о ситуации, но не пошевелились для её исправления.
Мошенничество тут тоже сложно доказать, тем более если скрывают лицо и пользуются одноразовыми симками. Полиция должна на такое реагировать. Но это надо сотрудничать с СБ Сбера и сотовыми операторами, чтобы как минимум выяснить не единичный ли это случай.
Если и тогда не смутятся, то тут уже ничего не сделаешь.
Но тем не менее за СБ Сбера тут конкретный косяк. Полгода знают о ситуации, но не пошевелились для её исправления.
Мошенничество тут тоже сложно доказать, тем более если скрывают лицо и пользуются одноразовыми симками. Полиция должна на такое реагировать. Но это надо сотрудничать с СБ Сбера и сотовыми операторами, чтобы как минимум выяснить не единичный ли это случай.
UFO just landed and posted this here
Я, конечно, доступа к статистике сбера не имею, но на мой взгляд это один из самых редких кейсов. И то — его можно было бы реализовать адекватней, разделив оплату картой и оплату наличкой (если разработчик хоть немного реализовывал что-то для банкоматов и понимает как там UI работает и чего от него ожидают, а не стажер-выпускник по ИТ-специальности. Тогда к нему претензий никаких, претензии к тому, кто выпустил такую систему в бой).
Там нужно нажать на «Оплата наличными». Выбора карты при способе оплаты наличными я ни разу не видел… Поэтому я очень удивлён.
Там вроде в оригинале речь не про банкоматы была, а про платёжные терминалы.
Которые, чтобы кинуть денег на телефон; оплатить разные квитанции, штрафы и т.д.
Они больше были на наличку заточены (чтобы по одной купюре деньги вкладывать); выдачи с них никогда не было.
Вполне возможно, что по этой причине и ПО там не "банкоматное" а своё, особое.
Оффтоп, но уж очень мучает меня…
этот вопрос
Почему некоторые публикации, доступные к чтению и комментированию, не отображаются в списке всех публикаций habr.com/ru/news/t/452626? Например вот эта вот. Я ее вижу в рубрике «Читают сейчас», но в общем списке найти не могу ни за сегодня, ни за вчера. И это уже не первый случай.
Ну и заодно: почему некоторые публикации появляются «задним числом»? Ну то есть вот пролистал я вчера вечером новые публикации, почитал интересное… А сегодня смотрю — между просмотренными вчерашними публикациями появились новые, которых вчера там не было.
Ну и заодно: почему некоторые публикации появляются «задним числом»? Ну то есть вот пролистал я вчера вечером новые публикации, почитал интересное… А сегодня смотрю — между просмотренными вчерашними публикациями появились новые, которых вчера там не было.
Возможно, у вас там фильтр (на хабы или потоки).
Возможно, что это опубликованные черновики. Или переопубликованные статьи.
Возможно, что это опубликованные черновики. Или переопубликованные статьи.
А что у вас в шапке выставлено:
Да, все именно так — «все подряд» и «без порога».
Ну баги тут периодически бывают. У меня к примеру раза четыре возникала ситуация с оповещением. Когда на колокольчике цифра есть, а заходишь в трекер и ничего не показывает. Приходится ставить галочку «выделить все» и помечать как прочитанное.
Порой еще и вниз сползают. Т.е. идут вперемешку с новыми коментами и без.
Порой еще и вниз сползают. Т.е. идут вперемешку с новыми коментами и без.
«многие дилеры операторов сотовой связи позволяют оформить сим-карту на другое лицо».
Есть подробности? примеры?
Есть подробности? примеры?
На banki.ru эту схему обсуждали несколько месяцев, от Сбера особой реакции не последовало — хотя, казалось бы — запретить проводить операцию, если подтверждающая карта отличается от той, с которой началась сессия — и проблема решена, не надо даже таймауты укорачивать.
Неужели предыдущий платёж не отобьётся по тайм-ауту?
Впрочем, в Сбербанке не считают проблемой текущие настройки терминалов: «Все системы самообслуживания нашего банка надежно защищены, — заявил представитель Сбербанка в комментарии «Коммерсанту».Ну в общем как обычно: ''Мы то тут причём? Мы просто мину на дороге оставили, пострадавший Сам на неё наступил- его проблемы '' Да уж, с таким подходом Спермбанк (Статью за оскорбление корпораций не ввели ведь ещё? Нет? Ну тогда так и оставлю написание) может потерять часть клиентов.
Для злоумышленника это довольно рискованный способ мошенничества, потому что пользователей терминала обычно снимает видеокамера.если нет вывода денег потом, то доказать будет нереально, может человек передумал совершать скажем перевод, вынул карту и ушел. ну а так не удивлен, зеленый банк и хороший софт, вещи несовместимые.
Сбербанк это интересная контора. Однажды мне понадобилось перевести крупную сумму через мобильный банк. Сделать мне этого не дали и попросили подтвердить перевод по телефону. Так уж вышло, что во время подтверждения я с 3 попыток не смог назвать кодовое слово — перевод заблокировали. Однако через 10 минут я совершенно спокойно перевел деньги как три разных перевода с суммами поменьше, никаких подтверждений на этот раз не требовалось. :)
Sign up to leave a comment.
Обнаружена простая схема мошенничества через терминалы Сбербанка