Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 104
Закреплённые комментарии
В вашем случае схема была чуть сложнее чем просто получить смс для входа мошенниками в ваш личный кабинет, им данная смс была и даром не нужна и выдал её какой-нибудь легальный сайт при регистрации в свой кабинет... Тут продолжение было бы другим (присутствовал при таком и остановил человека несколько позже). В момент когда бы вы продиктовали смс, в телефоне пошёл бы шум, потом голоса за кадром сказали что-то типа "Он сказал код, скорее снимай все деньги!" и звонок бы прервался, ну или примерно так. После чего вам бы поступил звонок уже от "поддержки" госуслуг или "прямо из милиции", или смс с текстом "зафиксирована попытка входа в ваш кабинет на госуслугах, если это не вы срочно перезвоните по телефону поддержки и сам телефон", по которому вы бы позвонили и вас бы уже конкретно начали колоть(разводить) про безопасный счёт, кредиты и всё в таком духе.
Недавно приезжали из МВД насчет заявления, так как не смотря на его подачу в электронном виде, им все равно требуется реальная подпись на бумажном документе. Сфотографировали СМС, чтобы приобщить к заявлению и сразу сказали, что это - классический сценарий для оформления кредита в МФО (и я такой у них такой не один).
Еще немного поговорили о перспективах расследования. Как и ожидал, перспектив скорее всего никаких, но на всякий случай посоветовали сделать самозапрет через Госуслуги на дистанционное оформление кредитов и похвалили за телефон :-).
По телевизору каждый раз долбят, в СМС каждый раз пишут: никому не сообщайте однократные коды из СМС, и вот, поди ж ты, людей спасают только кондовые кнопочные телефоны f+. А вот были бы это древние кнопочные сониэрик или нокия, всё могло бы сложиться совсем иначе, потому что в них, вроде, была какая-никакая многозадачность.
P.S. На всякий случай, в приложении МТС можно сообщить о подозрении на мошеннический звонок с указанием номера, с которого он был сделан: Поддержка -> Сообщить о спаме или мошеннике.
P.P.S. Автор, сколько денег тебе заплатила компания f+ за рекламу своих протрояненных кнопочных звонилок? ;)
Я записал заявление в полицию и приложил детализацию звонков. Но вы правы, наверно стоит сообщить еще и сотовому оператору о факте мошенничества.
Что же касается кода в СМС, то меня грамотно перегрузили реальной информацией, которая сняла критический фильтр, в том числе и за счет внутреннего голоса во время записи ручкой (когда про себя проговариваешь список необходимых документов, чтобы не его забыть).
P.P.S. Автор, сколько денег тебе заплатила компания f+ за рекламу своих протрояненных кнопочных звонилок? ;)
Не угадал. Эти телефоны уже сняты с производства и их физически нет в продаже :-)
Что же касается кода в СМС, то меня грамотно перегрузили реальной информацией, которая сняла критический фильтр, в том числе и за счет внутреннего голоса во время записи ручкой (когда про себя проговариваешь список необходимых документов, чтобы не его забыть).
Ну я даже не знаю. Никому нельзя верить, и потому любой звонок — мошеннический, пока не доказано обратное. Даже если звонок пришёл со знакомого номера и абонент говорит голосом знакомого человека.
Кто бы, чем бы, как бы ни грузил, предложение зачитать или переслать СМС с однократным кодом должно немедленно вызывать в мозгу NMI наивысшего приоритета, обработчик которого должен сразу же вешать трубку и тут же блокировать номер, с которого был сделан входящий звонок, вот прям на автомате, не думая. Вреда от этого никакого точно не будет. А вот уже потом, в спокойной обстановке, можно будет и подумать, а надо ли было бросать трубку, или не надо, надо ли было блокировать номер, или не надо. Если что, всегда можно и перезвонить, и разблокировать ошибочно заблокированный номер, а вот деньги уже не вернёшь.
Что касается автоматизма. Знаете, как людей тренируют что-то делать на автомате? Например, японцев с детства учат при первых же признаках землетрясения нырять под стол. Кто не успел за нормативное время — того пинают под стол ногами. Или бойцов по команде «Газы» учат быстро надевать противогаз. Кто не успел — тот умывается слезами, чихает и кашляет, потому что одновременно с командой «Газы», в палатку влетает «Черёмуха». Вот, примерно так же, считаю, следует тренировать в себе и доводить до автоматизма два простых действия: не думая бросать трубку и блокировать номер звонящего, как только на телефон приходит любое СМС с однократным кодом.
Это хорошо в теории, а на практике встречаются ситуации, когда код из СМС требуется сообщить для легитимного действия.
И как я и написал, у меня как раз и сработал инстинкт не сообщать коды из СМС, вот только осознать этот факт получилось только после физического разрыва связи.
плюсую. регулярно в учережденях и в банках просят назвать какие то коды. приходиться перебарывать рефлексы
Ну одно дело когда ты физически находишься в учреждении и тебе нужно подтвердить действие кодом. И совсем другое когда это нужно сделать по звонку от человека которого ты не видишь и никак не можешь точно знать, что он реально тот за кого себя выдаёт. Тут рефлекс должен быть железным: просят код – идут нафиг.
В целом в любой ситуации когда нужно удаленно вводить коды из смс – лучше напрячься, сделать небольшую паузу, оценить обстановку, адрес сайта, обстоятельства... По горячке самое плохое и происходит.
а вот деньги уже не вернёшь.
Зависит от страны.
Пожалуста, расскажите подробно, что в реальности значат слова "Я записал заявление в полицию и приложил детализацию звонков." Вот так не вставая с дивана написали, приложили... что? куда? что сейчас у Вас на руках?
что в реальности значат слова …
Значат ровно то, что и написано. Вот так, не вставая со стула написал заявление в полицию и отправил в электронном виде вместе с детализацией звонков. Заявление был присвоен ID обращения (заявление должны принять в течение трех дней).
Только сейчас проверил, заявление было зарегистрировано еще вчера и ему присвоен номер в областном УВД. На руках ID обращения, номер заявления и дата его регистрации.
Недавно приезжали из МВД насчет заявления, так как не смотря на его подачу в электронном виде, им все равно требуется реальная подпись на бумажном документе. Сфотографировали СМС, чтобы приобщить к заявлению и сразу сказали, что это - классический сценарий для оформления кредита в МФО (и я такой у них такой не один).
Еще немного поговорили о перспективах расследования. Как и ожидал, перспектив скорее всего никаких, но на всякий случай посоветовали сделать самозапрет через Госуслуги на дистанционное оформление кредитов и похвалили за телефон :-).
tldr; Нет. Это старость. Вы не способны пользоваться информацией. Поздравляю.
Если подробнее, то техники "заговаривания" действительно так и работают. Как можно больше нагрузить информацией, заведомо усложить в целом простую процедуру. Но блин, какие ещё смс-ки сотрудникам? Никогда, вообще никогда не было такого, чтобы по телефону нужно называть какие-то коды. Да ещё и так, что тебе звонят. Если где-то и было, то это очень плохие и кривые процессы, где за по дизайну автоматическую систему зачем-то посадили обезьяну (учитывая низкую трудовую эффективность в нашей стране - это вполне может быть правдой). Но я не помню ни разу, чтобы нужно было называть смс-ку в реальном процессе, когда тебе позвонили. Да, бывает, надо называть смс, когда стоишь в банке и/или в магазине, но там есть визуальный контакт, да и сейчас процессы в целом сделаны так, что ты не код называешь, а сам же его в отдельном сайте вбиваешь (в чём проблема сделать переход по ссылке? нередко так и делают).
У меня лично сформировался триггер на "назовите смс". Каждый раз, когда просят смс у меня где-то просыпается сторожевой пёс в голове и начинает громко лаять. Возможно, мне помогают ещё остатки былой молодости, но блин. Это ж априори должно быть подозрительно, они тебе звонят, на телефон, на тот же, который тебе приходит смс. Зачем смс? Чтобы подвердить, что есть физический доступ к телефону? Ну так ты по нему, блин, разговариваешь! Личность эта смс-ка никак не подтверждает. Текстовые сообщения перехватываются проще, чем голосовые вызовы (достаточно старенькой нокиа для этого - факт). Что это за повальная истерия так хотеть продиктовать смс в телефон?
В общем. Бред это всё. Впрочем, я тоже попадался на скам и развод. Но куда более забавный. После очередной катки в доту (лет 10 назад каждый день почти играл, сейчас ну дюжину от силы в год) - мне приходит реквест в друзья от соперника. Катка была долгой, потной и доброжелательной (насколько это возможно), поэтому я его принял. Не сильно вокруг да около предлагают сыграть в каком-то там турнире. Делать было особо нечего, согласился. Приходит ссылка. Логин через стим. Такое бывает, тот же дотабаф так умеет. Но там как-то очень стрёмно это было. У меня, офк, есть аутентификатор. И кривая форма, будто скринкаст экрана, предлагает войти через QR. Ну... Лан. Аутентифкатор такой - ты из Нидерладов? Понятно, что я из Нидерладов, поэтому ОК. Он говорит, что не, я вижу, что ты в Питере, так что фиг тебе, а не логин. Но мне показалось, что это КВН тупит, поэтому переключил его (а он был выключен), виртуально оказываюсь в Нидерладах и просиходит мэтч. И... Ничего. За жалкие 200 рублей, остатки в кошельке, был куплен редкий предмет на площадке, который стоит 50 копеек на рынке. Это. Было. Фиаско. И не, у меня собака-подозревака чёт мне шептала, типа, эй, зачем, шо ты делаешь? Но во-первых, шептала (ну, я ж не код кому-то называю, а форм кривых я в своей жизни навиделся). А во-вторых, уже какой-то интерес возник. С аккаунта очень мало чего можно взять. Почти на каждое серьёзное действие там нужен аутентификатор. Есть система рефандов. А самое смешное, что недавно валвы ввели рефанд и на действия на торговой площадке.
В принципе. Это могло бы быть подводкой к тому, что никто не застрахован. Но на самом деле, это констатация факты - думать головой надо. Я в тот момент осозновал, что вряд ли будет очень приятно. Просто я дурак, тяга такая. Вижу кипяток в кастрюле, но ведь интересно - горячий он или как?
P.S. На всякий случай, в приложении МТС можно сообщить о подозрении на мошеннический звонок с указанием номера, с которого он был сделан: Поддержка -> Сообщить о спаме или мошеннике.
На сайте МТС написано, что это можно сделать только в их мобильном приложении и судя по всему других вариантов сообщить им о телефонных мошенниках не предусмотрено.
З.Ы. Кстати, звонок был с номера МТС, а какой сотовый оператор в здравом уме будет бороться со своим денежным потоком?
На сайте МТС написано, что это можно сделать только в их мобильном приложении и судя по всему других вариантов сообщить им о телефонных мошенниках не предусмотрено.
Так я же так и написал: «в приложении МТС». Какие ещё приложения у операторов сотовой связи бывают, кроме мобильных?
Кстати, звонок был с номера МТС, а какой сотовый оператор в здравом уме будет бороться со своим денежным потоком?
Сообщить это никак не мешает. Те же полицейские, если заявление не вернут, то обязательно спросят: «А какие вы предпринимали меры со своей стороны для противодействия мошенникам? Никаких? А почему?».
По телевизору каждый раз долбят, в СМС каждый раз пишут: никому не сообщайте однократные коды из СМС
Это, к сожалению, не работает, потому что есть куча сервисов, где на самом деле нужно сообщить другому человеку код из СМС. Самый типичный пример - всякие программы лояльности, "- Баллы списываем или копим? - Списываем. - Скажите код подтверждения из смс."
"- Баллы списываем или копим? - Списываем. - Скажите код подтверждения из смс."
Так это же при личном контакте делается, а не по телефону.
Так всё равно паттерн ломается. Я как-то был в Сбере, там тоже понадобилось СМС-подтверждение. В тексте даже было написано про "сообщите код сотруднику", причин сомневаться в легитимности запроса не было - но я подвис на несколько секунд, мозг привычку челленджил.
Тут я в роли совы из анекдота выступлю, но всё же хотелось бы, чтобы среди банков, магазинов, госуслуг и т.п. сложился простой и унифицированный набор правил по СМС-подтверждениям.
Так всё равно паттерн ломается.
СМС спросили по телефону? Нет, при личной встрече, в офисе банка. Звонка нет, сбрасывать нечего, блокировать тоже нечего. Паттерн не ломается.
В тексте даже было написано про "сообщите код сотруднику", причин сомневаться в легитимности запроса не было - но я подвис на несколько секунд, мозг привычку челленджил.
Ну, это нормально, здоровая паранойя ещё никому не вредила :)
Когда я последний раз что-то делал в отделении Сбера, то оператор не спрашивала никаких СМС. Просто поставила передо мной терминал и я вводил сам эти коды. Наверное, это делается как раз для того, чтобы не создавать ложный шаблон.
Да, почему в обоих случаях какие-то цифры? Это путает людей и заставляет лишний раз задумываться. А люди не любят задумываться и действуют привычным способом.
Для легальных ситуаций, когда нужно что-то сообщить сотруднику, можно было бы, например, использовать какой-нибудь набор произвольных слов.
Тогда у людей было бы очевидное разделение: слова - чтобы сказать вслух, цифры - всегда вводить самому.
Неважно, да вон ниже другой пример есть. Тут одно дело безусловное правило "никому и никогда", и совсем другое - "то можно и нужно, то нельзя". Причем для обычного человека ситуации, когда "нужно", распространены как бы не шире, чем когда "нельзя". А уж играть на таких условностях - это прямо хлеб мошенников.
Я реально не понимаю, почему наше гос-во так странно "борется" с мошенниками.
Вот в США, например, на автосервисе обманул ты пенсионера - вместо подкачки колеса накрутил ему сход-развал и полную диагностику - а он оказался инспектором и натянул тебя с твоей конторой на дикие штрафы.
В РФ нашими данными не торгует разве что ленивый. А почему бы МВД не устраивать такие же провокации: предлагать чинушам и персоналу всяких контор продать им данные, а потом - отправлять таких ухарей на нары?
Неэтично? "Им жи кушоц хоца"? Идите к чёрту: негодяй знает, что с данными, который он продал, человека разденут до трусов. А то и до уголовки дотянут (поджоги банкоматов не забыли?).
Но нет, у нас запрещают вэпны и телеги.
Вот в США, например, на автосервисе обманул ты пенсионера - вместо подкачки колеса накрутил ему сход-развал и полную диагностику - а он оказался инспектором и натянул тебя с твоей конторой на дикие штрафы.
а как инспектор докажет что не нужна была машине полная диагностика и сходразвал? ну кроме случая когда авто реально новое и имеет отметку что 15 минут назад офф.дилер признал что это не нужно..да даже если и так, при визуальном определении что "у вас резину жрет, давайте развал посмотрим и диагностику подвески" - это очевидное предложение услуги, важно чтобы её не навязывали насильно..вот тут да, это единственный факт мошенничества может быть в таком сценарии
Та никак! Они ж там все тупые (ни хрена).
Перед поездкой к негодяям на исправной машине, эксперты выдают полную диагностику. Всё документируется. А потом - приспускают колесо или вносят ещё какую-нибудь неисправность. Всё снова документируется.
Та никак! Они ж там все тупые (ни хрена).
а это тут причем?
чем запрещено клиенту предлагать услугу диагностики подвески?
Навязывать путем введения в заблуждение - да, судя по всему вы это и имеете в виду, но тут грань такая...мм...если человек приехал на старом авто. то вполне очевидно предложить ему диагностику (главное не сказать ничего лишнего, типа а вот у вас тут рычаг кривой..а он не кривой), а тут получается что можно просто так притянуть мошенничество просто за предложение ((хоть и настойчивое) услуги
вобщем конкретики нужно
А почему бы МВД не устраивать такие же провокации
потому что контрольные закупки были запрещены, наверное где-то около 2010.
В разных сферах полицаи очень часто злоупотребляли этим.
И вроде даже в США в такой практике суд очень часто оправдывает мошенника указывая на то, что контрольная закупка - это склонение к преступлению
Как именно можно склонить негодяя к продаже данных граждан, если он не хочет этого делать? Типа, "я не куплю у тебя эти E-Mail'ы, если ты не продашь мне ещё и сканы вон тех паспортов"?
-- Гражданин судья, я не хотел! Но они дали мне денег!
-- Оправдан! Менты его подставили!
ну он обычно хочет, просто сам факт того что сотрудник полиции пришел покупать наркоту - это натолкнул обвиняемого на совершение преступления по ее продаже, буквально. сам по себе факт преступления - вызван просьбой сотрудника полиции по покупке.
тут вопрос скорее в опдеделении такого деяния...получается что можно перегородить дорогу, а потом радостно штрафовать тех кто по встречке ездит в объезд препятствия...ведь суть таже-самая. действия сотрудников наталкивают человека на преступление. и из ситуации "мы слышали что он нарушает" получается "мы сделали так чтобы он нарушил"
Муде к бороде. Перегородить дорогу - это создать непреодолимое препятствие. Либо по встречке, либо никак.
Ну и как мент создаёт такое препятствие? Он что, ЗП у негодяя изымает, чтобы тот голодал? Нет. Может, под ствол его ставит? Снова нет. Может, он ему любовницу с огромными запросами подкладывает? И снова мимо.
Он просто предлагает деньги за преступление. И негодяй сам, добровольно, соглашается, хотя никаких препятствий к честной жизни ему не было.
Перегородить дорогу - это создать непреодолимое препятствие. Либо по встречке, либо никак.
ну я просто пример привел схожий, можно например начать штрафовать за обочину тех кто по обочине препятствие объезжает, если она сильно разбита и сразу заехать на дорогу нелья быстро...например там очень большая выбоина..а надо проехать чуть дальше
гайцы вообще таким часто пользуются и сейчас, известны истории с тракторами которые могу или медленно ехать или вообще снижать скорость до 1кмч...формально обгонять его нельзя - он же движется и препятствием не является...или едешь 1 час 1 км или встречка(обочина) - а дальше мент с фотками
Он просто предлагает деньги за преступление. И негодяй сам, добровольно, соглашается, хотя никаких препятствий к честной жизни ему не было.
вы правы конечно, по этому тут тема спорная.
просто сам факт что вы не можете на 100% исключить факт что человек мог бы и никогда не совершить преступление если бы его на него не натолкнули (даже если очевидно что он его точно совершит, это не важно, важно что у вас нет сто процентной уверенности)
Понятное дело будет много злоупотреблений, когда хитроумные полицейские ради палок найдут какой-нибудь закон, с помощью которого можно подловить человека, а он в это время будет думать "эх, какой я молодец - надурил систему" не понимая всей серьёзности ситуации.
Однако мне кажется это нужно делать в областях, где сотрудники бы подписывали документы, где чётко объясняется какие действия в рамках их служебных обязанностей несут риски нарушения закона в случае некорректного их исполнения и они понимают и принимают эти риски. И раз в два года заново подписывать аналогичный обновлённый документ.
Работодатель как бы говорит - вот выжимка из закона, будь внимателен.
Например, хорошо бы чтобы такое подписывали сотрудники, которые работают с личной информацией.
Или вот я не так давно узнал, что у нас до сих пор в открытую берут взятки при сдаче на права.
Вот в отношении людей, которые подписали некое "напоминание о рисках" следует проводить проверки склоняющие их к нарушению закона и причём именно того закона об информированности о котором они подписывали бумаги.
Просто прочитайте УК РФ ст. 33 п. 4. А чем это иногда заканчивается в реальности, можно узнать, погуглив "дело Сугробова".
Можно запугать, можно долго и настойчиво ездить по ушам, уговаривая что ничего страшного, и оплата хорошая, да много чего придумать можно, так из рядовых наркопотребителей делали "наркобаронов", просто месяцами упрашивали и уламывали "помочь" с запрещенкой, даже если до этого потребитель ничем в общем-то не торговал. Это прямое подначивание к преступлению
контрольные закупки были запрещены, наверное где-то около 2010
Ссылку на соответствующий НПА можно? Потому что фактически сейчас половина посадок по 228 идет с контрольных закупок, например.
А я давеча столкнулся с таким же, но не мошенниками - в звонке из "банка" попросили код из СМС для подтверждения "дистанционного приема". Причем я связался с банком, историю подтвердили, я им высказал, что это 1:1 как действует мошенник, обещали принять меры.
+1, некоторые банки реально отправляют СМС которые надо назвать оператору, и там даже в СМС написано "продиктуйте код оператору"
Примерно на это во время разговора мошенники и напирали. “В СМС же не написано, что этот код нельзя сообщать? Тогда читайте его, чтобы зарегистрировать время посещения.”
А там действительно не было написано? Это тогда тоже дырка, но уже в том сервисе, от которого код.
Увы, не было :-(
В вашем случае схема была чуть сложнее чем просто получить смс для входа мошенниками в ваш личный кабинет, им данная смс была и даром не нужна и выдал её какой-нибудь легальный сайт при регистрации в свой кабинет... Тут продолжение было бы другим (присутствовал при таком и остановил человека несколько позже). В момент когда бы вы продиктовали смс, в телефоне пошёл бы шум, потом голоса за кадром сказали что-то типа "Он сказал код, скорее снимай все деньги!" и звонок бы прервался, ну или примерно так. После чего вам бы поступил звонок уже от "поддержки" госуслуг или "прямо из милиции", или смс с текстом "зафиксирована попытка входа в ваш кабинет на госуслугах, если это не вы срочно перезвоните по телефону поддержки и сам телефон", по которому вы бы позвонили и вас бы уже конкретно начали колоть(разводить) про безопасный счёт, кредиты и всё в таком духе.
А что вообще было написано в СМС?
Сам сервис, кстати, может быть полумошенническим (какая-нибудь МФО, например), и быть в сговоре со звонящим.
Меня вот что тут напрягает: не первый раз слышу о попытках развода, очень удачно совпадавших с реальными взаимодействиями с разными организациями. Вот как здесь: звонок был не то, чтобы ожидаем - но абсолютно в контексте ситуации.
Выглядит так, будто налажен слив информации о тех, кто недавно как-то в организациях засветился.
Вот как здесь: звонок был не то, чтобы ожидаем - но абсолютно в контексте ситуации.
Я сперва тоже так подумал. Но потом критически разобрал случившееся и понял, что это я сам себя уговорил про контекст ситуации и в реальность звонка из СФР, хотя было довольно много не состыковок, но как и любому когнитивному искажению, мозгу легче поверить в то, что говорят, чем напрягаться и начать критически думать. :-(
Но то, что мои персональные данные утекли, это реальный факт.
Или просто сработал закон больших чисел...
Вероятно мошенники пользуются теми же сервисами, что и бизнес для таргетированной рекламы. Не обязательно данные сливают именно организации, которые на виду. Например, это могут быть приложения навигации, которыми пользовались ранее, чтобы проложить маршрут. Или вообще какие-нибудь игры, которые имеют доступ к геолокации. Причем, они могут делать это даже не со зла, а предоставлять как часть стандартного маркетингового функционала.
В кнопочном телефоне можно зайти в СМС во время звонка. Но такое смс автоматом в приложение не будет принято, не какая пакость в модном телефоне его не перехватит. Но слабое место человек. Он сам мошенникам перезвонит и код сообщит.
А в СМС-то что было написано? Я полностью согласен с предыдущими комментаторами, что защита должна была сработать на предыдущих этапах, но если уж до этого дошло - то СМС с текстом "Для восстановления пароля введите код" или "Для входа на Госуслуги введите код" точно должна была насторожить. А если там ничего такого не было написано - то что это за СМС вообще такая и для какой цели её собирались использовать мошенники?
А если там ничего такого не было написано - то что это за СМС вообще такая и для какой цели её собирались использовать мошенники?
Там было только “код для регистрации в личном кабинете” и у меня и в мыслях не было усомниться, что код прислал кто-то другой.
"Код для регистрации в личном кабинете" точно не выглядит как СМС для подтверждения записи в СФР.
Ну и чисто любопытства ради - что это за личный кабинет в итоге, который пытались зарегистрировать? По отправителю СМС и тексту ведь можно наверняка нагуглить. Не получается придумать, что за ЛК, которого у Вас раньше не было, может быть использован для каких-то мошеннических действий. Разве что ЛК оператора сотовой связи, где можно настроить переадресацию и потом уже развивать атаку дальше...
Вы наверно не внимательно прочитали последовательность.
Текст СМС я увидел только после того, как сбросил звонок от мошенницы. И после это мозг и начал по понемногу включаться. И уже при повторном звонке у меня начали закрадываться сомнения, т.к. СМС хоть и имеет продиктованное мошенницей содержание, но не соответствует общей теме разговора. Ведь речь шла о записи на примем и регистрации в электронной очереди, а тут мне регистрируют личный кабинет, о котором речь вообще не шла.
Я к тому, что даже если бы Вы не сбросили звонок - текст СМС однозначно показал бы, что Вам звонят мошенники. И если я с большим трудом могу себе представить как можно заморочить человеку голову до этого этапа, то на моменте прочтения СМС, даже во время разговора, шансы мошенников обмануть любого минимально адекватного человека стремительно достигают нуля.
Блин. Вот тут тот случай, когда регуляторам нашим любимым действительно впору вмешиваться. Обязать писать про "не сообщайте", если код запрошен в онлайне а не при личном посещении, и про то, к чему этот код открывает доступ.
Так вроде как раз в этом случае всё ясно. Для регистрации ЛК - явно не для сообщения кому-то. Я, честно говоря, думал, что там было что-то нейтральное типа "Ваш код подтверждения Х" и всё, и мне было интересно, кто такой талантливый шлёт такие СМС (при том, что они представляют интерес для мошенников). Но тут не тот случай.
Ну недостаточно этого. То есть да, само по себе сообщение ни о чём, но всё равно надо вчитаться, отбросить мысль, что оно тупо составлено на отвали и т.д. И это всё когда вам в ухо жужжат. Автор сам пишет, что у него щёлкнуло только когда он в спокойной остановке перечитал.
Это я не говорю про то, что у мошенников может быть и легенда про личный кабинет.
Прописать то, что это за кабинет, плюс ещё раз напомнить про "не сообщайте никому!" - действие копеечное, но конверсию в поведшихся уже снизит.
Там было только “код для регистрации в личном кабинете” и у меня и в мыслях не было усомниться, что код прислал кто-то другой.
Ыых! Ну ладно код, но логин и пароль-то от этого кабинета у кого? Как надо думать в такой ситуации? А вот как. Что за личный кабинет такой? Я сам этот личный кабинет регистрировал? Нет. А раз нет, значит, полундра, грабят!!!
Ну так у меня и включился сигнал полундра :-)
Я же пишу про то, что если бы у меня не было вынужденной паузы в разговоре на чтение СМС и минимальное осмысление ситуации, то я бы реально продиктовал код подтверждения :-(
… если бы у меня не было вынужденной паузы в разговоре на чтение СМС и минимальное осмысление ситуации, то я бы реально продиктовал код подтверждения :-(
Тренировать надо в себе умение делать паузы на осмысление ситуации без применения технических средств в виде кнопочных телефонов.
Чётки какие, например, носить, и при каждой просьбе назвать СМС вежливо говорить, что очень волнуюсь, руки трясутся, цифры-буквы на экране пляшут, и потому, что в СМС написано — не вижу, а чтобы успокоиться, очистить сознание и зачитать код, должен сначала несколько раз прочесть с выражением священную мантру «Наму Амида Буцу», перекидывая бусины на чётках, чтобы не ошибиться с количеством повторений. А чётки, надо говорить, у меня длинные, поэтому я Вам потом перезвоню :)
Именно из-за таких историй управляющая компания мне не могла три месяца паспорт от нового счетчика отопления передать. Я просто бросал трубки и думал что опять мошенники звонят. "Добрый день это из водоканала, у нас тут заявка на ваш адрес" "Я никаких заявок не оставлял" бросаю трубку, блокирую номер
Именно из-за таких историй управляющая компания мне не могла три месяца паспорт от нового счетчика отопления передать. Я просто бросал трубки и думал что опять мошенники звонят. "Добрый день это из водоканала, у нас тут заявка на ваш адрес" "Я никаких заявок не оставлял" бросаю трубку, блокирую номер
Примерно такой же цирк с конями случился со мной летом прошлого года, когда мой местечковый провайдер внезапно позвонил и попросил прислать паспортные данные для переоформления договора. Спросил: «Зачем?», и мне ответили, что договор был заключен пятнадцать лет назад, реквизитов паспорта в них нет, а органы грозят и требуют беспаспортных в интернет больше не пускать. Вежливо сказал, что по интернету ничего такого не пересылаю и пришёл ногами к ним в офис. А вот уже в офисе, заполняя реквизиты в новом договоре, с улыбкой наблюдал, как абоненты сразу же посылали обзванивавших их сотрудников и бросали трубку, стоило тем только попросить прислать паспортные данные. Сотрудники грустно жаловались на жизнь, но продолжали звонить.
А что мешает отправить СМС или письмо по адресу?..
которые никто не прочитает, ага
Попробовать настроить коммуникацию всеми возможными способами - это одно, а не дозвониться и сказать что "у нас лапки" - совершенно другое.
Попробовать настроить коммуникацию всеми возможными способами - это одно, а не дозвониться и сказать что "у нас лапки" - совершенно другое.
Возможно, я Вас неправильно понял. Если Вы о том, почему сотрудники провайдера обзванивали абонентов, а не рассылали СМС и/или письма, то сообщаю Вам, что рассылали и то, и другое, кому могли. У кого-то в договоре был указан старый адрес почты, у кого-то — номер стационарного телефона. Тем, соответственно, возможности отправить что-либо не было. Ну а те, кому смогли отправить письмо или СМС, как нетрудно догадаться, решили, что это мошеннический спам, и дружно проигнорировали его. А сроки, между тем, поджимали, вот и пришлось обзванивать абонентов по телефону.
А что мешает отправить СМС или письмо по адресу?..
И СМС, и письмо по электронной почте — это всё передача через интернет, который всегда считается недоверенной средой.
Сам провайдер, будучи оператором персональных данных, отвечает за сохранность реквизитов моего паспорта, переданного им оговоренным способом, по закону, а вот всякие организации, предоставляющие промежуточные почтовые сервера и среду для передачи СМС — нет. И если во время передачи сведений через интернет случится утечка данных, то некого будет привлекать к ответственности. А раз некого — значит, утечка точно случится. Но мне же не нужно, чтобы на меня повесили быстрокредит под конские проценты по реквизитам моего паспорта? Правильно, не нужно. Поэтому я лучше сам обеспечу сохранность своих персональных данных, лично явившись со своими докумантами в офис своего интернет-провайдера.
Мы с вами на разной волне :) - речь была про запрос со стороны организации, а не чтобы вы отправляли им паспорт по смс.
Мы с вами на разной волне :) - речь была про запрос со стороны организации, а не чтобы вы отправляли им паспорт по смс.
Прошу прощения, уже догадался.
а помнишь, когда "интернет по паспорту" было ироничной шуткой? Хорошие были времена, мы не ценили
а помнишь, когда "интернет по паспорту" было ироничной шуткой? Хорошие были времена, мы не ценили
Помню. Но это, собственно, всего лишь шутка. Договора на оказание стационарных услуг связи с физлицами уже очень давно заключаются только при предъявлении паспорта, а мобильной связи — так и вообще с самого начала ЕМНИП.
Мне как-то звонили из банка, тоже в контексте моего разговора день назад. Тоже все сведения обо мне были каким-то чудесным образом известны. Но как только сказали, что сейчас пришлют код на телефон для активации услуги, я сразу ответил, что нет, так дело не пойдёт, мой железный принцип #1 - никогда не диктовать смс по телефону, а дойти ногами до отделения. Сразу бросили трубку, даже не прощаясь. Стоит взять это на вооружение.
"Хоть я и технарь с опытом работы в ИТ, включая информационную безопасность, "
"кнопочный телефон устроен так, что на нем физически нельзя одновременно говорить и читать SMS (точнее, может быть и можно, но я не умею)."
никак не могу определиться что хуже: читать ИИ-статьи или вот такие невыдуманные истории которые пишут все кому не лень
Cамое забавное, что существует ненулевая вероятность, что мошенники с того конца провода и хабр читают, и комментируют неразведенных и разведенных параноиков :)
мне действительно нужно сходить в социальный фонд и написать заявление
буквально в двух словах хотелось бы видеть что за сладкий пряник там дают
Основываясь на прецеденте блокировки Телеграма за опасность мошеннических звонков, наверное, логично было бы заблокировать всех сотовых операторов связи. Как тебе такая идея, РКН?
https://www.rbc.ru/society/02/04/2026/69ce37f49a79479bcb0ecf35
ну они уже идут по этому пути
Моей маме звонил этот социальный фонд, просили либо приехать в отделение, либо заполнить что-то там онлайн. она догадалась что это мошенники, попросила адрес отделения, ей сбросили трубку
А сколько проблем с sms кодами и мошенниками исчезнет, если каждый код в сообщении будет снабжен подробным и однозначным описанием от кого и для чего... просто в самом сообщении - 'это от такого то банка код на регистрацию личного кабинета'/'... подтверждение получения кредита' и все, и любая схема мошенников разваливается уже на этом этапе.
Т.е. проблему может решить компания-отправитель короткого кода.
Это не помешает, но толку мало. В шторке телефона видно только первые строчки. А длинные описания в таких случаях будут читать лишь единицы - это осознанное действие. Но кто включает сознание, те редко становятся жертвами.
Вы прикалываетесь или что?
Сбербанк: код подключения личного кабинета 1234
КредитыЗаМинуту: код выдачч кредита 1234
Telegram: код подключения нового устройства 1234
И так УЖЕ делают многие компании (только формат кто во что горазд).. кроме банков естественно (газпромбанк например пишет - 'код подтверждения', а чего подтверждает, согласие на получение ипотеки с залогом почки или подключение услуги - поздравление в уведомлении каждый день, не ясно)
В шторке телефона видно только первые строчки.
И вот в этих первых строчках кода быть не должно! Он должен быть в самом конце сообщения.
Народ, кто диктует коды из смс, не читает эти тексты. А если и читает, то в момент разговора с мошенником не воспринимает написанное по существу, т.к. внимание перегружено и критическое мышление отключено. Это уже потом приходит осознание и "ой, там же написано никому не сообщать". В остальном, мошеннические звонки это редкий случай - доли процента - и ломать удобство тем, кто обычно пользуется нет большого смысла.
В свете того, что написано вот в этом комментарии, мошенникам необходимо и достаточно прислать свою собственную СМС, в которой может быть написано всё, что угодно, вплоть до инструкции зачитать присланный код оператору по телефону.
Все-таки хорошо, что воспитал в себе рефлекс сначала внимательно читать СМС. Там же написано - никому не сообщайте код. Все, никому не сообщаю.
Чтобы избежать таких ситуаций, достаточно выработать в себе безусловный рефлекс: если вы сами не делали никаких активных действий, требующих подтверждения одноразовым кодом, как-то: покупка на маркетплейсе или в онлайн-магазине, вход в приложение, требующее авторизации одноразовым кодом, любые действия, где вам не голос в трубку, не тётя, позвонившая из любого учреждения, а вы сами что-то делали на доверенном сайте, а не фишинговой или скам-странице, и инструкция на экране говорит: либо “укажите номер телефона” и кнопка “прислать код подтверждения”, либо вы в какой-то системе и она сообщает, что отправила вам код для подтверждения действия. Вот тогда и только тогда ещё можно ожидать пуш- или смс-сообщение с одноразовым кодом. Во всех остальных случаях, никаких сообщений и никаких кодов. И второй и самый главный рефлекс — всегда внимательно читать сообщение до полного просветления и спрашивать себя — “это точно соответствует тому, что мне говорят и просят?” И вообще, всегда лучше перебдеть, чем недобдеть. Все подобные разводы наиболее эффективны, когда человек находится в психически неуравновешенном состоянии — стресс, сильные переживания, какое-то потрясение. К сожалению, никто не застрахован, я не исключение. Поэтому важно в любых обстоятельствах сохранять спокойствие и критическое мышление, как бы это ни было трудно. Я сам неоднократно был целью самых разнообразных мошенников — от скам-писем, до звонков из всевозможных “госучреждений” по поводу нового медполиса, из “полиции” по поводу мошенничества в мой адрес, всего уже и не упомню. Иногда развод почти удавался, что меня спасало — не знаю, Бог, интуиция, здравый смысл, критическое мышление, или всё сразу. А, вспомнил, один раз таки попался — когда в 2019-м летел в Краснодар с оффером и необходимостью релокации, “снял” по объявлению в Авито студию за 5 тыс. в месяц, “очень удачно”. Когда прилетел ночью в Пашковский, пришлось срочно искать ночлег в незнакомом городе. ) Всем добра. Заранее извиняюсь, если повторил банальные вещи, все комментарии не читал.
А я наивно полагал, что это только в нашем местном отделении налажен слив инфы о времени приема.
В моем мелком городишки есть 2 отделения.
Одно, где вечно толпа и в силу перегруженности работает живая очередь. И второе, куда ходит в разы меньше человек и можно спокойно записываться и приходить ко времени. Не спрашивайте объяснение сего феномена, список услуг предоставляется одинаковый, а расстояние между ними буквально минута хотьбы - через дорогу располагаются
Так вот, если записаться в свободное отделение, то в течении максимум пары часов обязательно будет мошеннический звонок, иногда даже из здания выйти не успеваешь.
А кнопочный телефон устроен так, что на нем физически нельзя одновременно говорить и читать SMS (точнее, может быть и можно, но я не умею).
Так старая Nokia в очередной раз спасла день.
Текст написан нейронкой. На этом всё
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
История о том, как я поверил «Социальному фонду России», а оказалось, что это мошенники