Comments 204
Интересно, а если сменить ФИО на какого-нибудь обеспеченного человека, появится ли его универсальный счет?
Возможно, там есть проверка даты рождения, но если это всё что проверяется -то атака становится очень интересной.
Возможно, там есть проверка даты рождения, но если это всё что проверяется -то атака становится очень интересной.
У них конечно колхоз, но не до такой же степени, что счета привязываются только к ФИО.
Привязка различных счетов осуществляется на основании паспортных данных, которые и идентифицируют человека.
Я думаю что не совсем так, паспорт может регулярно меняться (потерял, украли, 20/45 лет)
По идее, вы должны уведомить банк о замене паспорта. У меня с этим столкнулась супруга, поменяв фамилию.
В паспорте есть страница с серией старых паспортов, или потерянных! так что паспортные данные уникальны. и у вас за всю жизнь их будет минимум 3, или больше если вы потеряли! Так что все банки привязываются к НЕ к ФИО, а только к паспортным данным, остальное сбор инфы. для удобства обращений. Поэтому не важно потеряли ли вы свои паспорт или поменяли. банк всегда узнает заглянув на страницу с отметкой о старых паспортах!
Я скажу больше, если вы меняете симку (без смены номера), то банк тоже лучше уведомить и убедиться, что всё работает. Я столкнулся с этим в Альфе. Если кто-то сделал симку с твоим номером телефона и пытается получать твои SMSки, то у него ничего не получится, пока он не выдержит часовой допрос с пристрастием службы поддержки. Меня перекидывали между тремя(!) операторам и не спросили только «какого цвета были на вас трусы, когда вы последний раз снимали деньги с вашей карточки».
А откуда они знают про трусы? Я, конечно, понимаю, что в банкомате стоит камера, но не настолько же :-)
В «Альфе» больше не работает привязка к IMSI. Пару месяцев назад заменил испорченную SIM'ку на новую, банк об этом не узнал. А в прошлом году после смены SIM'ки пришлось наведаться в офис с паспортом.
Лучше так, чем остаться без денег. Зачем выключили, интересно?
Привязка работает. Но очень странным образом — доступ к Альфа-Клик сохраняется, но при попытке, например, перевести деньги наружу появляется уведомление о необходимости подтверждения SIM-карты.
Для этого необходимо позвонить в колл-центр и пройти увлекательный квест с рассказами о том когда последний раз по какой карте были списания и прочая.
Ирония ситуации в том, что доступ к Альфа-Клику у вас есть — и все эти списания вы видите — даже если вы злобных хакер, и смена SIM-карты как раз таки злонамеренная.
Для этого необходимо позвонить в колл-центр и пройти увлекательный квест с рассказами о том когда последний раз по какой карте были списания и прочая.
Ирония ситуации в том, что доступ к Альфа-Клику у вас есть — и все эти списания вы видите — даже если вы злобных хакер, и смена SIM-карты как раз таки злонамеренная.
Счета, открытые на старый паспорт СбербанкОнлайн автоматом не выцепляет и не присоединяет к остальным. Возможно, нужно для этого какое-нибудь заявление вручную написать…
Имея нужные контакты, все это делается при помощи коробки конфет :)
Из опыта работы в банке, счета не привязываются к клиенту автоматом по ФИО. Привязку счета может сделать только операционист, внимательно посмотрев паспорт, в котором есть не только ФИО но и например сведения о ранее выданных паспортах. Так что просто переименовавшись в ФИО известного человека, получить доступ к его счетам у вас не получится. Вы думаете что не бывает полных тезок? Таких людей полно, при чем даже больше чем вы можете себе представить, и ничего в банке у них счета не перепутаны и все пользуются только своими средствами.
Вы думаете что не бывает полных тезок? Таких людей полно...
Сталкивался с ситуацией в ВТБ24, когда пришел получать заказанную карту, а мне её не выдали из-за несовпадения паспортных данных. Выяснилось, что при оформлении оператор невнимательно вбил мои данные и карту выпустили на моего полного тёзку, да ещё и с датой рождения такой же как у меня. Теперь я знаю, что у меня есть двойник ))
UFO just landed and posted this here
В альфабанке, через банкомат, можно получить доступ ко всем счетам.
И это нормально (и удобно кстати).
И это нормально (и удобно кстати).
Это удобно беспорно. И в сбербанке это есть. И затея, дать возможность скрывать вклады в онлай-банке и банкоматах сбера очень хорошая (возможно она уникальна). Но вот реализация подкачала.
В Альфе есть страхование карты от кражи/изготовления копии, стоит копейки, спишь спокойно
И просыпаешься, как только удосужишься прочитать описание услуги. Альфа этим славится…
Проснулись, смотрим…
Вот описание услуги, среди которых:
— получением третьими лицами наличных денежных средств из банкомата с вашего счета, когда в результате или под угрозой насилия в отношении себя или своих близких вы были вынуждены сообщить третьим лицам PIN-код своей карты;
— получением третьими лицами денежных средств с вашего счета в отделении банка с использованием вашей карты путем копирования вашей подписи на платежных документах (слипе, чеке);
получение денежных средств из банкомата по поддельной карте, на которую нанесены данные вашей карты;
— снятие денежных средств для оплаты товаров, услуг, работ с вашего счета в результате использования третьими лицами поддельной карты, на которую нанесены данные вашей карты;
— мошеннические транзакции, осуществленные с применением методов получения от вас информации по карте (в том числе фишинг и скимминг);
— снятия с вашего счета суммы, заведомо большей, чем стоимость приобретаемых товаров или услуг;
— несанкционированным использованием вашей карты третьими лицами в результате ее утраты.
А так же:
— утрата банковской карты вследствие ее утери или хищения (кражи, грабежа, разбоя); случайных механических, термических повреждений, размагничивания и т.п., а также неисправной работы банкомата;
— хищение у вас наличных денежных средств, полученных в банкомате по карте.
Что вам тут не подходит?
Вот описание услуги, среди которых:
— получением третьими лицами наличных денежных средств из банкомата с вашего счета, когда в результате или под угрозой насилия в отношении себя или своих близких вы были вынуждены сообщить третьим лицам PIN-код своей карты;
— получением третьими лицами денежных средств с вашего счета в отделении банка с использованием вашей карты путем копирования вашей подписи на платежных документах (слипе, чеке);
получение денежных средств из банкомата по поддельной карте, на которую нанесены данные вашей карты;
— снятие денежных средств для оплаты товаров, услуг, работ с вашего счета в результате использования третьими лицами поддельной карты, на которую нанесены данные вашей карты;
— мошеннические транзакции, осуществленные с применением методов получения от вас информации по карте (в том числе фишинг и скимминг);
— снятия с вашего счета суммы, заведомо большей, чем стоимость приобретаемых товаров или услуг;
— несанкционированным использованием вашей карты третьими лицами в результате ее утраты.
А так же:
— утрата банковской карты вследствие ее утери или хищения (кражи, грабежа, разбоя); случайных механических, термических повреждений, размагничивания и т.п., а также неисправной работы банкомата;
— хищение у вас наличных денежных средств, полученных в банкомате по карте.
Что вам тут не подходит?
А вы про PIN-код нигде не забыли упомянуть?
Автор видимо настолько неадекватен, что помимо скиммера ещё и камеру снимающую PIN не заметил
А вы настолько самоуверенны, что у вас никто и никогда не сможет увидеть пин?:)
заслонять клавиатуру второй рукой при наборе, это всё равно что мыть руки перед едой или чистить зубы после — привычка элементарная, не надо быть гением или суперменом чтобы до этого додуматься
Скиммер, это не только нашлепка, читающая магнутную полосу карты, но и накладка на клавиатуру, которая может быть выполнена весьма искусно. У меня есть привычка всегда поддевать банкоматную клавиатуру ногтем, но и это не дает полной уверенности…
Читайте внимательнее про «увидеть пин», и тогда не будете выпадать из контекста с
«Скиммер, это не только нашлепка, читающая магнутную полосу карты, но и накладка на клавиатуру» вместо
«Скиммер, это не только нашлепка, читающая магнутную полосу карты, но и камера или накладка на клавиатуру»
«Скиммер, это не только нашлепка, читающая магнутную полосу карты, но и накладка на клавиатуру» вместо
«Скиммер, это не только нашлепка, читающая магнутную полосу карты, но и камера или накладка на клавиатуру»
Прочитал. То, что вы мастерски прикрываетесь рукой от накладки вас не спасет.
Скиммеры бывают совсем разными, вплоть до имитации аппарата.
Давайте не будем превращать обсуждение в фарс.
Думаю никто из местной аудитории, думающей головой не только о внешних признаках мошенничества, так и о внутренних деталях реализации защиты, не полезет в подобный цирк на колёсах. Так что верните картинку туда где вы её взяли — на фишки.нет, и сами туда возвращайтесь
Думаю никто из местной аудитории, думающей головой не только о внешних признаках мошенничества, так и о внутренних деталях реализации защиты, не полезет в подобный цирк на колёсах. Так что верните картинку туда где вы её взяли — на фишки.нет, и сами туда возвращайтесь
Ну не томите, расскажите же, как можно увидеть пин с прикрытой клавиатурой
Элементарно, есть пара вариантов:
1. На клавиатуру делается спец. накладка с кнопками, внутри радио-передатчик, прием старый и проверенный.
2. На клавиатуру наносится спец. реагент, который видно при УФ-лучах. Если нажимаете клавиши, то видно какие нажали, конечно это не скажет какой точно ПИН, но 4 цифры будут известны — остается только выяснить их последовательность.
1. На клавиатуру делается спец. накладка с кнопками, внутри радио-передатчик, прием старый и проверенный.
2. На клавиатуру наносится спец. реагент, который видно при УФ-лучах. Если нажимаете клавиши, то видно какие нажали, конечно это не скажет какой точно ПИН, но 4 цифры будут известны — остается только выяснить их последовательность.
Спасибо, кэп. Как закончите фильмы про хакеров смотреть, обязательно возвращайтесь и пункт 3 про терморектальный криптоанализ допишите.
В случае пластиковых клавиш всё ещё печальнее, там даже последовательность можно узнать. Правда в исследовании не учтён момент, что кроме pin-кода с клавиатуры могут вводиться другие данные (например снимаемая сумма), что несколько снижает эффективность метода, хотя и не очень сильно, так как для снятия предустановленных сумм в большинстве банкоматов сделаны отдельные кнопки.
UFO just landed and posted this here
Поржал, так и представил чувака с чипованной картой закрывающегося в магазине курткой, так что бы со всех сторон видно не было… :)))
бесплатный аудит безопасности для сбербанка. прислушаются?
Ну накладки всякие на клавиатуру тоже вроде бывают, но не заметить ее и скиммер (да и все известные мне банкоматы не просто глотают карту, а возят ее туда-обратно, не давая считать полосу) странно. Хотя я не спец, может знающие детали объяснят.
Господа, вот здесь хорошая подборка видов скиммеров.
clear0conscience.wordpress.com/2012/02/14/skimming/
Для снятия пина, есть и накладная клавиатура, и почтовый «ящичек», с мощной оптикой, висящий неподалеку.
А банкоматы мне незнакомы, я их вижу, бывает, только один раз и не знаю какие там формы, нашлепки и выпуклости, стандартны для каждого конкретного банкомата. И какие детали окружающего ланшафта вдруг поменялись.
clear0conscience.wordpress.com/2012/02/14/skimming/
Для снятия пина, есть и накладная клавиатура, и почтовый «ящичек», с мощной оптикой, висящий неподалеку.
А банкоматы мне незнакомы, я их вижу, бывает, только один раз и не знаю какие там формы, нашлепки и выпуклости, стандартны для каждого конкретного банкомата. И какие детали окружающего ланшафта вдруг поменялись.
А дома вас это не беспокоит?
А он и чип на карте снимет?
Дело в том, что карты сейчас гибриды. Магнитная полоса всеравно присутсвует. На сайте банки.ру, на форумах, есть информация об уводе денег с чипованных карт. (Там ксати очень много примеров, как окрадывают мошенники держателей карт, независимо от банка.)
Полоса присутствует, но по полосе у меня не оплачивается. Вроде и то и другое используется.
Если бы карта была только с чипом, то с неё было бы невозможно украсть деньги, банально потому что с чипа считать данные не зная ПИНа невозможно, ну варианты есть конечно, но очень дорогие.
Все карты, правильно сказано — гибриды, магнитная полоса присутствует везде, отказаться от неё не могут по одной простой причине — дешевизна оборудования для считывания таких карт.
Даже наличие только одного чипа не является панацеей и не обеспечивает защиту от всех видов нападения.
Если вы «глазастый» человек и обладаете хорошей мгновенной памятью, то сможете легко запомнить 16 цифр номера карты, дату окончания действия, ФИО и код CVV.
К примеру, заходите в магазин, стоите на кассе рядом с богатеньким по виду человеком, который собирается оплатить покупку картой, он подаёт карту кассиру и Вы уже можете увидеть её данные с лицевой стороны, имея миниатюрную камеру можно записать это все на видео, тогда даже не нужно обладать хорошей памятью, только хорошим языком. А далее нужно узнать код CVV, тут можно случайно толкнуть человека, чтобы он выронил карту и Вы её быстро подбираете, оборот карты в руке, уж запомнить 3 цифры сможет каждый, возвращаете карту человеку, извиняетесь за свою «медвежесть» и идете делать покупки через Интернет или пополняете свой счет Webmoney или др. кошельки.
Вариант не держать на карте много денег редко кто использует, поверьте, проверяли. 90% богатых людей держат на карте довольно внушительные суммы.
Такая методика снятия данных с карты на кассе магазина с помощью камеры проверялась на практике, за день было собрано с десяток номеров карт, естественно это был эксперимент, потом владельцам карты было все рассказано и показано и даны инструкции.
В таком раскладе, защита одна — стереть код CVV с обратной стороны карты, я давно так сделал на всех своих картах и Вам рекомендую сделать то же самое. Код можно записать и хранить дома в конверте, но хранить его на карте стало опасно.
Все карты, правильно сказано — гибриды, магнитная полоса присутствует везде, отказаться от неё не могут по одной простой причине — дешевизна оборудования для считывания таких карт.
Даже наличие только одного чипа не является панацеей и не обеспечивает защиту от всех видов нападения.
Если вы «глазастый» человек и обладаете хорошей мгновенной памятью, то сможете легко запомнить 16 цифр номера карты, дату окончания действия, ФИО и код CVV.
К примеру, заходите в магазин, стоите на кассе рядом с богатеньким по виду человеком, который собирается оплатить покупку картой, он подаёт карту кассиру и Вы уже можете увидеть её данные с лицевой стороны, имея миниатюрную камеру можно записать это все на видео, тогда даже не нужно обладать хорошей памятью, только хорошим языком. А далее нужно узнать код CVV, тут можно случайно толкнуть человека, чтобы он выронил карту и Вы её быстро подбираете, оборот карты в руке, уж запомнить 3 цифры сможет каждый, возвращаете карту человеку, извиняетесь за свою «медвежесть» и идете делать покупки через Интернет или пополняете свой счет Webmoney или др. кошельки.
Вариант не держать на карте много денег редко кто использует, поверьте, проверяли. 90% богатых людей держат на карте довольно внушительные суммы.
Такая методика снятия данных с карты на кассе магазина с помощью камеры проверялась на практике, за день было собрано с десяток номеров карт, естественно это был эксперимент, потом владельцам карты было все рассказано и показано и даны инструкции.
В таком раскладе, защита одна — стереть код CVV с обратной стороны карты, я давно так сделал на всех своих картах и Вам рекомендую сделать то же самое. Код можно записать и хранить дома в конверте, но хранить его на карте стало опасно.
Опять же, не во всех Интернет-магазинах требуют код CVV для совершения платежа, вот тут уже вопрос к конкретному банку, выпустившему вашу карту, почему он разрешает производит онлайн-платежи без CVV.
Меня вот интересует почему CVV пишут прямо на карте, а не выдают в конверте по аналогии с PIN'ом? Это ж всё равно что бумажку с паролем на монитор клеить.
Насколько я понимаю указание защитного кода на самой карте (CVV2/CVC2) — это требование стандартов и правил международных платёжных систем. Обвинять наши банки в самодеятельности в этом вопросе думаю некорректно.
А вообще к примеру Visa допускает указание неполного номара карты при эмбоссировании, то есть указывается первые несколько цифр, идентифицирующих платежную система и банк эмитент карты и последние 4 цифры, которые иногда необходимо вводить при оплате в магазинах, а вот будет банк печатать весь номер или часть номера — это его дело.
А вообще к примеру Visa допускает указание неполного номара карты при эмбоссировании, то есть указывается первые несколько цифр, идентифицирующих платежную система и банк эмитент карты и последние 4 цифры, которые иногда необходимо вводить при оплате в магазинах, а вот будет банк печатать весь номер или часть номера — это его дело.
Я этот вопрос задавал сотрудникам банка — не смогли ответить. Да что вы хотите — на сайте мастеркарда НЕТ контактных данных для связи ВООБЩЕ. Хотел им пожаловаться на банк — фиг там.
>>защита одна — стереть код CVV
А вот и фигушки Вам — правила по банковским картам дают право мерчанту изъять у Вас карту при внесении в нее изменений. Понимаю, что маразм, но факт. Единственный вариант — изменить CVV на неправильный.
А вот и фигушки Вам — правила по банковским картам дают право мерчанту изъять у Вас карту при внесении в нее изменений. Понимаю, что маразм, но факт. Единственный вариант — изменить CVV на неправильный.
Не знаю вашего определения «внушительной суммы», но есть такая вещь как дневной лимит на операции по карте. При чем безналичные операции и выдача денег в банкомате имеют раздельные лимиты. На покупки обычно ставят лимит повыше, тк их легче опротестовать и вообще если есть ПИН, то злоумышленник первым делом бежит к банкомату.
Оооо, Алексей Малов там. Недавно читал его «Исповедь кардера», очень понравилось.
Попробовал перевести деньги с моего вклада на счет карты, перевелись в момент. Причем, без всяких подтверждений чеком или смс!
Я, правда, в Канаде, но банк мой сотовый и не знает и никакие СМС мне не шлет, и деньги я могу переводить и платить в онлайне совершенно свободно… Ну и далее все по тексту, что так напугало автора.
Единственное, что, насколько я знаю, получить доступ к онлайн-банкингу из банкомата я не могу, нужно попросить это сделать в любом филиале или по телефону. Хотя, возмжно, и через банкомат можно, а я просто этого не знаю.
Я, правда, в Канаде, но банк мой сотовый и не знает и никакие СМС мне не шлет, и деньги я могу переводить и платить в онлайне совершенно свободно… Ну и далее все по тексту, что так напугало автора.
Единственное, что, насколько я знаю, получить доступ к онлайн-банкингу из банкомата я не могу, нужно попросить это сделать в любом филиале или по телефону. Хотя, возмжно, и через банкомат можно, а я просто этого не знаю.
Вот меня тоже в их системе защиты что-то смущало. Но не думал что все настолько плохо. :(
Да не так уж и плохо.
По умолчанию подразумевается, что имея на руках карту, вы получаете доступ ко всем услугам. Без визитов в офис и прочего геморроя. Да, это не спасёт от скиммеров, и в идеале надо бы сделать возможность блокировки всех действий с онлайн-банком с банкомата, разумеется по выбору. Но это в идеале.
На счёт того, что видно все вклады и карты — лично мне очень понравилось. Во-первых, если откроете вторую карту, не надо подключать мобильный банк (а он платный), если он есть хотя-бы на одной карте. Во-вторых бесплатные переводы между картами и вкладами в любой момент.
Вот и получается, что если человек редко куда-то выезжает, не хранит там крупных сумм, а просто пользуется, то существующий алгоритм работы самый удобный.
По умолчанию подразумевается, что имея на руках карту, вы получаете доступ ко всем услугам. Без визитов в офис и прочего геморроя. Да, это не спасёт от скиммеров, и в идеале надо бы сделать возможность блокировки всех действий с онлайн-банком с банкомата, разумеется по выбору. Но это в идеале.
На счёт того, что видно все вклады и карты — лично мне очень понравилось. Во-первых, если откроете вторую карту, не надо подключать мобильный банк (а он платный), если он есть хотя-бы на одной карте. Во-вторых бесплатные переводы между картами и вкладами в любой момент.
Вот и получается, что если человек редко куда-то выезжает, не хранит там крупных сумм, а просто пользуется, то существующий алгоритм работы самый удобный.
Ну, что касется удобства — соглашусь. Только часто приходится выбирать — или удобство или безопасность.
Я сам всегда смотрю в какой банкомат сую карту. Например, банкоматами в Ашанах не пользуюсь принципиально — у них там что-то слишком уж крупная нашлепка на них стоит. Аналогично и с другими подозрительными банкоматами.
Я сам всегда смотрю в какой банкомат сую карту. Например, банкоматами в Ашанах не пользуюсь принципиально — у них там что-то слишком уж крупная нашлепка на них стоит. Аналогично и с другими подозрительными банкоматами.
А еще сбер выпускает на ваше имя кредитки. А еще нельзя отвязать номер мобильного. И на мобильный приходят уведомления о попытке входа. И на мобильный же падает смс с паролями. Т.е. три года назад вы завели карточку и бросили ее в тумбочку — нужна была на один раз. Сменили, например, работу, сменив при этом и номер мобильника. Через полгода номер мобильника из-за неиспользования улетает в общий пул. Откуда попадает к не чистому на руку человеку. В один прекрасный день вы вспомнили про сбер и попытались войти в банк. Тому человеку приходит смс о попытке входа в банк. Дальше, если он сообразительный, проблем с доступом к вашей кредитке особых у него не будет.
Я смог удалить номер телефона из системы только заблокировав все карточки (при этом удаляется пара карта-номер телефона)
Я смог удалить номер телефона из системы только заблокировав все карточки (при этом удаляется пара карта-номер телефона)
Не знаю, почему у вас не получалось отвязать номер телефона, несколько раз менял симки, приходил в сбер, писал на бумажке номер телефона старый, номер телефона новый, показывал карту и паспорт — все. На старый номер ничего не приходило, все приходило на новый.
А у меня из-за какого-то бага в системе сбербанка не получается сменить номер привязанного к сайту сбербанка-онлайн. Т.е сейчас данные о расходах по карте приходят на один номер, а пароли и оповещения о входе на сайт на старый. Ходил два раза в отделение с этой проблемой — ничего сделать не могут. Через телефонный разговор и письма со сбербанком общаться невозможно — как глухая стена.
Карту выдали больше чем на полгода и денег всё время за обслуживание не брали? Сбербанк так делает?
а как, имея только ваш бывший номер телефона, узнает логин и пароль к вашему аккаунту?
А зачем? Если туда подключен мобильный банк, можно оттуда провести платежи на телефон. Сбербанк не удосуживается блокировать мобильный банк при изменении сим-карты. В результате сплошь и рядом случаи когда мобильный банк был не отключен и увели деньги. У того же альфабанка симка сменилась, доступ залочился. А тут гуляй Вася.
UFO just landed and posted this here
UFO just landed and posted this here
Ну я честно говоря сначала пытался на оффициальных форумах решить свою проблемму.
forum.sbrf.ru/viewtopic.php?f=56&t=23383
www.sbforum.ru/showthread.php?t=8085
Но там ничего толком не подсказали. Потом общался с тех поддержкой, там ссылаются, что дескать такая реализация системы.
Ну а так как, сам интересуюсь информационной безопасностью, подумал черкануть статью на хабр. Сам был удивлен быстрым инвайтом.
forum.sbrf.ru/viewtopic.php?f=56&t=23383
www.sbforum.ru/showthread.php?t=8085
Но там ничего толком не подсказали. Потом общался с тех поддержкой, там ссылаются, что дескать такая реализация системы.
Ну а так как, сам интересуюсь информационной безопасностью, подумал черкануть статью на хабр. Сам был удивлен быстрым инвайтом.
Я для перестраховки в своем банке завел 2ю карту на жену и по мере необходимости снятия денег перекидываю со своей карты, привязанной к счетам и кабинету, на её и сразу снимаю.
Благо внутри-банковские переводы проходят моментально.
Благо внутри-банковские переводы проходят моментально.
Безопасность и удобство всегда были диаметрально противоположными вещами. Одним «несекурно», другим «геморно».
Каждый банк находит свою какую-то золотую середину между двумя полюсами, только и всего.
Каждый банк находит свою какую-то золотую середину между двумя полюсами, только и всего.
Я конечно тоже за безопасность итд итп. Но вот из-за таких людей как автор, мне чтобы перевести деньги с карты на яндекс-деньги, нужно высрать пару кирпичей и отправить смску.
Предлагаю автору проинспектировать методику намазывания масла на хлеб, для начала конечно ввести подтверждение через смс…
Спасибо что делаете нашу жизнь труднее!
Предлагаю автору проинспектировать методику намазывания масла на хлеб, для начала конечно ввести подтверждение через смс…
Спасибо что делаете нашу жизнь труднее!
Мечтаю чтобы ЦБ ввел единые стандарты Онлайн-банкинг.
1. Касаемо переводов между счетами в внутри сбера, насколько я помню, без подтверждения до определённой суммы.
2. У меня две карты майстро, на одну открыт сбер-онлайн, а второй пользуюсь. Насколько я помню со второй карты нельзя получить чек с паролями, только по первой.
2. У меня две карты майстро, на одну открыт сбер-онлайн, а второй пользуюсь. Насколько я помню со второй карты нельзя получить чек с паролями, только по первой.
шикарно
Яндекс-Метрика сбербанка.
это ни в какие рамки —
персональные данные
Пипец. Особенно доставила дата в теге Вы им скиньте описание дырки то…
Да уж. А потом вежливый человек звонит на Ваш телефон, представляется менеджером сбера, называет Вас полностью по ФИО и ненавязчиво так, добивается нужного.
www.banki.ru/services/responses/bank/?responseID=3466241
www.banki.ru/services/responses/bank/?responseID=3466241
Я на втором курсе устроилась работать в Сбербанке промо-консультантом, наивная думала, что заплатят хорошо. Моей задачей было предлагать клиентам этот Сбербанк Онлайн. А т.к. я без 2-х лет специалист по безопасности информационных систем, то система крайне меня смущала. Соглашусь с автором, что если карта попадет кому-нибудь в руки, то все вклады и т.п. и т.д. полетят к чертям.
В один из таких моих слава Богу прошлых рабочих дней к нам в банк прибежала женщина лет 50 с криками, что у нее с карты пропадают деньги. К моему адскому удивлению ей просто дали распечатку операций с картой. Суммы были ужасающие. Женщина говорит, что делать дальше, куда обращаться, мне же на карточку ЗП приходит? На что ей отвечают — жалобу на имя директора и ждать ответа из Москвы.
В один из таких моих слава Богу прошлых рабочих дней к нам в банк прибежала женщина лет 50 с криками, что у нее с карты пропадают деньги. К моему адскому удивлению ей просто дали распечатку операций с картой. Суммы были ужасающие. Женщина говорит, что делать дальше, куда обращаться, мне же на карточку ЗП приходит? На что ей отвечают — жалобу на имя директора и ждать ответа из Москвы.
Это уже клиника. А отдела безопасности на местах в сбербанке не предусмотрено?
В филиалах никакого отдела безопасности). Реально жалко было тетку. Она слезно попросила администратора, чтобы ее пустили без очереди для разборок, но «Нет, ждите очереди!». Так что отношение ужасное. И глядя на это, создается впечатление, что с безопасностью у них такая же беда под названием «Ждите ответа из Москвы».
Это странно, так как карта блокируется по звонку за 5 минут, нужен номер паспорта и кодовое слово, сам проверял ))) А вот потом разблокировать можно только в отделение, причем в том где и получали карту…
А я уже так и живу в альфе почти год.
2 счета доступ к ним только из интернет банка — мобильного или на сайте. Но все через мобильник авторизируется, так что нужно только его беречь. Банкомат торой счет не видит.
Так и делаю — перевожу тыщу в день примерно перед первой покупкой и все ок. Заграницей, где интернет дорогой раз в пару дней по паре сотен евро.
Действительно, удобно, если это просто и быстро.
2 счета доступ к ним только из интернет банка — мобильного или на сайте. Но все через мобильник авторизируется, так что нужно только его беречь. Банкомат торой счет не видит.
Так и делаю — перевожу тыщу в день примерно перед первой покупкой и все ок. Заграницей, где интернет дорогой раз в пару дней по паре сотен евро.
Действительно, удобно, если это просто и быстро.
у втб аналогично. Карта и три счета бесплатных. Но альфа милее чтоле сейчас… втб не развивается инет банк.
А что это за второй счет? Еще один «текущий счет», «мой сейф» или еще какой
?
?
Возможно, зарплатный, насколько я знаю, это сейчас единственная возможность заиметь там два счёта в одной валюте.
Не совсем верно, можно открыть карту космополитан на имя другого человека, вместе с ней будет открыт еще один текущий счет, потом эту карту уничтожить и выпустить к этому счету такую карту, какую хочется уже на свое имя.
По крайней мере мне так сегодня в альфа-банке сказали.
Про видимость других счетов с этой самой карты космополитан или другой карты подключенной к этому счету я не уточнил, а зря.
По крайней мере мне так сегодня в альфа-банке сказали.
Про видимость других счетов с этой самой карты космополитан или другой карты подключенной к этому счету я не уточнил, а зря.
Мой сейф и текущий.
Деньги в сейфе, текущий проецируется на карту. Почему называю это проекцией — потому что есть несколько карт и несколько счетов и в 1 клик можно перепривязать любой текущий к любой карте.
Деньги в сейфе, текущий проецируется на карту. Почему называю это проекцией — потому что есть несколько карт и несколько счетов и в 1 клик можно перепривязать любой текущий к любой карте.
Самый лучший способ защиты от Сбера — иметь счет в другом банке!
Увы, поверьте — «зарплатные проекты» впаривают на многих предприятиях не спрашивая работников:
«вот здесь распишитесь, сдесь галочку поставьте, идите.»
«вот здесь распишитесь, сдесь галочку поставьте, идите.»
Забавно. Я когда устраивался, у меня спросили — вам налом платить или на карту? Я говрю — карта. Мне — сходить в банк, принисите реквизиты. Все — любая карта, любой банк. У меня альфа, у коллеги сбер.
Это вы просто не в курсе, что такое «зарплатный проект» в банке. Он не предполагает и не позволяет выбора, так как операции с фондом заработной платы осуществляются на стороне банка.
Хотя можно написать заявление и получать деньги на свою стороннюю карту при этом.
Так-то ТК РФ не отменял никто. Имеете право выбора, что бы там бухгалтерия не вещала.
www.garant.ru/consult/work_law/257352/
www.garant.ru/consult/work_law/257352/
Это ж очевидно. Хотя ссылка на закон в особо запущенных случаях может быть полезна.
Закон, конечно есть закон. Но Сбербанк — это уже монополия на уровне менталитета среднего российского человека. К сбербанку уже все привыкли, и простой обыватель всех этих «тонкостей» работы сбербанка с картами (и не только) просто не знает — люди сталкиваются с проблемами, когда они уже начались. Поэтому, мне кажется, тут надо копать в сторону создания законов, защищающих собственность человека, который работает с тем или иным банком, причем без всяких там дополнительных услуг, типа «страхование карты». А то странная штука получается, я заключаю договор с банком, даю ему свои деньги, и при этом я должен еще платить за «мобильный банк», «страхование вкладов» и т.д., да еще и боятся, что мои деньги могут украсть, и банк при этом мне ничего не вернет. Кому нужна такая «философия»?
А в Связном можно держать мелочь на карте, а остальные деньги на счете SAFE c 10% годовых :)
Меняйте свою зарплатную безчиповую «циррусовку» на мастер или визу с чипом.
Все сберовские карты с чипами, их копировать пока не научились, а копию карты без чипа сберовский банкомат не примет.
Практически у всех онлайн служб есть забавный глюк, на который редко обращают внимание, это даже не кодовое слово, которое обычно девичья фамилия матери (у ситибанка даже в инструкции было прописано именно девичью фамилию использовать). Первым делом задаются вопросы — номер паспорта, день рождения, кодовое слово, причём говорить надо громко и отчётливо… на всю улицу или на весь офис!!! Всё равно что свой пароль не набирать, а диктовать компьютеру через микрофон громко и по буквам. Какая нафиг защита. Достаточно испортить считыватель или клавиатуру банкомата и постоять рядом с включённым диктофоном, как база такого рода информации будет собрана. Что уж с ней потом делать — вопрос фантазии.
Да, я тоже об этом давно говорю окружающим. Тупизм, фактически можно даже без технических средств «проснифать» авторизационные данные.
Алгоритмы фрогбастера. Если вы подслушаете сведения такого рода для несвойственной операции, вам зададут еще один вопрос на который у вас не будет ответа.
>(у ситибанка даже в инструкции было прописано именно девичью фамилию использовать
О! Спасибо, а то я сомневался, какое же у меня кодовое слово:)
О! Спасибо, а то я сомневался, какое же у меня кодовое слово:)
Год назад подключал себе как раз онлайн банк от сбербанка на зарплатную карту. Также получил логин и пароль в банкомате. Но в онлайн банке не было ни одной карты. Оказалось что надо написать 1-страничное заявление на подключение онлайн банка(в нем насколько я помню можно указать какие карты должны быть видны), кроме того с января 2012 онлайн банк не работает если не подключена услуга СМС-информирования. Так как я подключал ранее 2012 и без услуги СМС информирования(хотя смс кодами приходили на мобильный), то сразу после нового года онлайн банк меня перестал работать, пришлось съездить в отделение и подключить информирование за 30р\месяц. Могу предположить что автор статьи изначально при подписании договора, подписал бумажку на онлайн банк и СМС-информирование!
sms-информирование входит в пакет экономный мобильного банка.
Ну я про это и писал что услуги зависит от пакетов(услуг) которые указаны в договоре на обслуживание карты и скорее всего автор статьи согласил на эту услуги подписав изначальный договор. Насколько я понимаю утверждение в статье что всем пользователям сбербанка по умолчанию доступен онлайн банк не совсем корректно!
При входе в сбербанк-онлайн падает СМС со словами «вы залогинились». Так что если смс пришла, а вы не логинились, значит что-то тут не так.
Странно, я мобильный банк смог подключить только по визиту в офис, что частично решает проблему. Регион — Москва. Может поменялась политика за последнее время? Нужно будет изучить возможности банкомата.
Меня больше волнует другое. На карточках есть VISA 3-D Secure, т.е. в комплексе с мобильным банком любые платежные операции без ввода пина (например через интернет) должны подтверждаться по СМС.
На некоторых сайтах — это так, а на некоторых (пример — Яндекс.Директ) деньги просто снимаются по CVV2. Т.е. достаточно иметь ксерокс карточки с двух сторон. Этого я не понимаю: если технология есть, почему она работает не везде?
Меня больше волнует другое. На карточках есть VISA 3-D Secure, т.е. в комплексе с мобильным банком любые платежные операции без ввода пина (например через интернет) должны подтверждаться по СМС.
На некоторых сайтах — это так, а на некоторых (пример — Яндекс.Директ) деньги просто снимаются по CVV2. Т.е. достаточно иметь ксерокс карточки с двух сторон. Этого я не понимаю: если технология есть, почему она работает не везде?
Странно, я мобильный банк смог подключить только по визиту в офис, что частично решает проблему.
Подключение мобильного банка в банкомате имеется.
Подключение мобильного банка в банкомате имеется.
На сколько я понимаю, то за платежи без 3-D Secure несет ответственность получатель.
3-D Secure — это просто один из способов авторизации.
Если получатель не поддерживает 3-D Secure, то, в целях обратной совместимости, используется более старый способ.
Если получатель не поддерживает 3-D Secure, то, в целях обратной совместимости, используется более старый способ.
Давайте я вам все расскажу) Устанавливаете лимит на снятие денег с карты/счета…
Профит, больше определенной суммы у вас не снимут.
В через банкомат видно только остаток от лимита, лимит можно установить/снять только лично, с паспортом, через окошко сбербанка.
Даже имея доступ в сбербанк онлайн, вы ничего не получите сверх лимита.
P.s. Я честно нашел только такой выход, со сбербанком я намучился. Намучился с некомпетентными сотрудниками, одно время хотел совсем переехать в другой банк, но потом решил остаться.
p.s.s. Если вас, уважаемые сотрудники сбербанка, интересует с чем я намучился и в каком именно отделении это происходило, все вопросы в личку.
Профит, больше определенной суммы у вас не снимут.
В через банкомат видно только остаток от лимита, лимит можно установить/снять только лично, с паспортом, через окошко сбербанка.
Даже имея доступ в сбербанк онлайн, вы ничего не получите сверх лимита.
P.s. Я честно нашел только такой выход, со сбербанком я намучился. Намучился с некомпетентными сотрудниками, одно время хотел совсем переехать в другой банк, но потом решил остаться.
p.s.s. Если вас, уважаемые сотрудники сбербанка, интересует с чем я намучился и в каком именно отделении это происходило, все вопросы в личку.
Установка лимитов — это не выход, а если мне самому потребуется купить что то сверх лимита? Бежать в час ночи в сбер и увеличивать лимиты? А если я за границей, куда тогда бежать?
Вообще на мой взгляд самое правильное решение в защите онлайн-банка — это карта одноразовых кодов на операции, такое решение используется в ВТБ24 уже много лет. Помимо карты конечно должен быть логин и пароль на вход. Конечно хакеры придумали как красть деньги и при такой защите, но как говориться — против лома нет приема. Не используйте интернет-банк в публичных местах — это единственный совет. И купите хороший антивирусник — если вам дороги свои деньги.
Или что еще лучше, используйте для банкинга отдельный компьютер или виртуальную машину, которому разрешен выход строго на определенный набор сайтов.
Вообще на мой взгляд самое правильное решение в защите онлайн-банка — это карта одноразовых кодов на операции, такое решение используется в ВТБ24 уже много лет. Помимо карты конечно должен быть логин и пароль на вход. Конечно хакеры придумали как красть деньги и при такой защите, но как говориться — против лома нет приема. Не используйте интернет-банк в публичных местах — это единственный совет. И купите хороший антивирусник — если вам дороги свои деньги.
Или что еще лучше, используйте для банкинга отдельный компьютер или виртуальную машину, которому разрешен выход строго на определенный набор сайтов.
Согласен совершенно, вот здесь, кстати дал такие-же рекомендации пользователям сбера.
www.sbforum.ru/showthread.php?t=8024
Еще мне нравится, что в некоторых онлайн банках, по умолчанию, используется виртуальная клавиатура на скриптах. Дополнительная защита логина и пароля от клавиатурных шпионов.
www.sbforum.ru/showthread.php?t=8024
Еще мне нравится, что в некоторых онлайн банках, по умолчанию, используется виртуальная клавиатура на скриптах. Дополнительная защита логина и пароля от клавиатурных шпионов.
Мне кажется, вам лишь бы поспорить. Задам пару вопросов.
Как часто вы совершаете покупку в час ночи?
Вы пробовали использовать карту сбербанка за границей? Как результаты?
Или что еще лучше, используйте для банкинга отдельный компьютер или виртуальную машину, которому разрешен выход строго на определенный набор сайтов.
Этот совет меня умиляет еще больше. В ответ — предлагаю таки сделать бункер, с доступом по сетчатке глаза, отпечаткам пальцев и анализу крови, а так же 2 криптостойких пароля и голосовая активация системы на котором стоит самый дорогой антивирус, и пара десятков специалистом мониторят ее состояние.
В конце концов это нужно для того, чтобы вы могли быть защищены от хакеров! Хотя можно и денежки прямо в бункере хранить.
Еще раз и серьезно. Есть большая сумма, делайте пополняемый вклад в любом банке, без возможности снятия до определенного срока. Устанавливайте лимиты, многие уже вполне взрослые и месячный бюджет определяют с погрешностью 1к руб. Топик стартер вот, корректно описал проблему, надеюсь банки обратят на это внимание и скоро чтобы снять деньги со счета надо будет сдать анализ крови))
Проблема есть, надеюсь ее решат.
Как часто вы совершаете покупку в час ночи?
Вы пробовали использовать карту сбербанка за границей? Как результаты?
Или что еще лучше, используйте для банкинга отдельный компьютер или виртуальную машину, которому разрешен выход строго на определенный набор сайтов.
Этот совет меня умиляет еще больше. В ответ — предлагаю таки сделать бункер, с доступом по сетчатке глаза, отпечаткам пальцев и анализу крови, а так же 2 криптостойких пароля и голосовая активация системы на котором стоит самый дорогой антивирус, и пара десятков специалистом мониторят ее состояние.
В конце концов это нужно для того, чтобы вы могли быть защищены от хакеров! Хотя можно и денежки прямо в бункере хранить.
Еще раз и серьезно. Есть большая сумма, делайте пополняемый вклад в любом банке, без возможности снятия до определенного срока. Устанавливайте лимиты, многие уже вполне взрослые и месячный бюджет определяют с погрешностью 1к руб. Топик стартер вот, корректно описал проблему, надеюсь банки обратят на это внимание и скоро чтобы снять деньги со счета надо будет сдать анализ крови))
Проблема есть, надеюсь ее решат.
Вы это, не бейте только…
old-hard.ru/upload/a0707799881f514669adfc0da276ca50.jpg
old-hard.ru/upload/a0707799881f514669adfc0da276ca50.jpg
Похоже на ситуацию с "программистом в столовой"
Я может не совсем понял, а что у вас в Сбербанке кодовое слово вводить не надо при операциях?
У нас в БТА — банке в онлайн банкинге, при любой операции будь то оплата сотовой связи, квартплата или перевод денег, и тд тп, сначала высылвается жетон (номер) на сотку или почту, вводишь его, затем памятное слово и все.
По логике памятное слово навряд ли кто-то сможет выяснить
У нас в БТА — банке в онлайн банкинге, при любой операции будь то оплата сотовой связи, квартплата или перевод денег, и тд тп, сначала высылвается жетон (номер) на сотку или почту, вводишь его, затем памятное слово и все.
По логике памятное слово навряд ли кто-то сможет выяснить
По логике, любой вирус первым делом украдет ваше памятное слово. Все, что известно заранее (логины, пароли, кодовые слова) все это если вводится с клавиатуры, то потенциально может попасть к злоумышленнику. Такая вещь как одноразовый пароль заранее не известен и поэтому отчасти безопасен при вводе с клавиатуры, ввел один раз, все пароль прекратил свой жизненный цикл.
В статье рассматривались вопросы скиминга ведь, а не воровства паролей с компьютера пользователя
Ну можно комбинировать, одноразовый пароль смской, на один только номер (без возможности добавлять еще), смена номера телефона только в банке.
И кодовой слово. Должно быть безопасно
И кодовой слово. Должно быть безопасно
Да кстати скрипты клавиатур тоже защита от кражи пароля, как написано выше
Как бы я не недолюбливал СберБанк за их обслуживание, но честно отмечу — служба безопасности у них одна из лучших, если не лучшая, в России среди оных служб других банков.
Атака: Злоумышленник через банкомат регистрирует свой телефон, оперативно получает код СМС на открытие видимости вкладов, с появившихся вкладов, оперативно переводит все деньги на карту и обналичивает.
По идее, держателю карты придёт смс о появлении нового телефона. Если держатель успеет отреагировать на это быстрее, чем злоумышленник начнёт этим пользоваться — хорошие шансы защититься
как хорошо, что я обслуживаюсь в Альфе
Сбербанк — понять и простить.
Странно, что бы войти в сбербанк онлайн обычно ведь требуется код, приходящий по смс?
По-умолчанию нет, никаких смс не приходит.
Не требуется, требуется только логин и пароль из банкомата.
и одноразовый пароль с чека оттуда же. А если телефон привязан, то есть выбор смс или одноразовый чек.
Одноразовый пароль с чека требуется только для части операций.
для входа требуют же
Не требуют.
Значит от чего-то еще зависит. У меня для входа постоянно требуют пароль с смс или с чека.
Значит мы с tnz чем-то угодили Сбербанку, что без СМС не пущают в Онл@йн
ага, вот еще яндекс метрика сбербанка :)
Ну да, комменты читать необязательно ведь!
Только сейчас вспомнил: по крайней мере у сбера сейчас можно менять пинкод (хе-хе, правда 6-ти значный(как позволяет стандарт) сделать не удалось). Что и рекомендую делать после рискованных операций.
Это еще более-менее, вот у ПромСвязьБанка, до не давнего времени, интернет-банк запоминал, помимо логина еще и пароль (причем виртуальной клавиатуры нет!), и только месяца два назад сделали после логина еще и ввод пина с карты пластиковой и вы не были в интернет-банке ПромСвязьБанка, после моей альфы — просто непонятная информационная каша без навигации должной
Сбербанк повернулся «лицом» к клиенту. Когда я подключал мобильный банк и сбербанк онлайн мне приходилось топать в офис. Доступ в сбербанк онлайн — это вообще был целый квест.
Квест, в котором заставляли заводить еще и сберкнижку, т.к. «без нее сбербанк онлайн не подключить...» :)
им надо было куда-то списать четыре склада этих книжек, а добровольно их уже ни кто не заводит :)
Вот тут ничего не могу сказать, у меня в то время было две. Одна в этом же отделении, где карту заказывал, другая в соседнем регионе (я с Урала, карточка в Сибири). Заводил, т.к. не было тогда у нас пластика.
Чувак, как ты с такой паранойей живешь-то?
Может кто уже и видел. Интересное видео, хотя и старое.
rutube.ru/tracks/5064145.html
Служба безопасности Сбера отвечает на вопросы.
rutube.ru/tracks/5064145.html
Служба безопасности Сбера отвечает на вопросы.
Больше всего меня поразили их системы самообслуживания. Если такая есть в отделении, то за детский сад можно платить только в ней. Интерфейс настолько кривой и не интуитивный, что сами девочки консультантки запариваются.
Айтишники Сбера, где вы, ау!!?? Хотел бы познакомиться, чтобы знать кого не стоит брать на работу.
Айтишники Сбера, где вы, ау!!?? Хотел бы познакомиться, чтобы знать кого не стоит брать на работу.
Злоумышленник через банкомат регистрирует свой телефон, оперативно получает код СМС на открытие видимости вкладов, с появившихся вкладов, оперативно переводит все деньги на карту и обналичивает.
Если он имеет доступ к банкомату — он сразу же может снять деньги и не париться с регистрацией нового телефона
Похоже схемой увода денег из всех вкладов на ломаную карту мошенники давно уже используют. Я америку не открыл.
www.banki.ru/services/responses/bank/?responseID=3716305
www.banki.ru/services/responses/bank/?responseID=3716305
Sign up to leave a comment.
Логические дыры в безопасности Сбербанк ОнЛ@йн