Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 74
Так в чем опасность? Ну прислали смс что сняли, потом что вернули. Никаких данных никому отправлять не нужно. На фишинг не похоже.
Насколько я понял смс о снятии могла придти настоящая, а о возврате ложная. Т.е. злоумышленник снял с кредитки жертвы сумму и отправил липовую смс о возврате.
Доверяй, но проверяй
Сбер обычно на любую операцию присылает номер карты — последние цифры и тип карты (у вас в примере — VISA0421). Эти цифры запомнить совсем не сложно, они со временем сами запоминаются.
Хуже, что злоумышленник может знать номер карты, раз уж может снять деньги :)
Хуже, что злоумышленник может знать номер карты, раз уж может снять деньги :)
А Вы до конца читали? Или это для тех кто недочитал?
И это несмотря на то, что в отправленных мной сообщениях номера карт поддельные (я ж не знал какие у них карты). А у злоумышленника может быть больше информации о своей жертве.
Вы об этом? Да, читал, именно по этому и написал — специально проверять не надо, они и так на памяти. Если уж вообще ни на что внимания не обращать, тогда зачем sms читать?
Может я что-то не понимаю, но вы пишите тоже самое, что только прочитали и говорите что и написали потому что только что прочитали.
Ну ладно, не будем развивать тему, тем более немного новизны в комменте есть — про то что не обратить внимание трудно и запомнить цифры легко.
Ну ладно, не будем развивать тему, тем более немного новизны в комменте есть — про то что не обратить внимание трудно и запомнить цифры легко.
Они на памяти для кредиток, номера которых постоянно вводишь — там я уже весь номер наизусть знаю. А вот от зарплатной дебетки вообще ни одной цифры не помню.
Хорошая шестизначная «Dostupno» :) Есть о чём переживать…
сберовский мобильный банк позволяет узнать выписку по карте запросом в sms
странно, что никто не воспользовался этой командой
странно, что никто не воспользовался этой командой
Ну во-первых, меня бы такая ситуация серьезно насторожила даже с «отменяющей» смской, а во-вторых, вижу только один сценарий получения выгоды от такого усыпления бдительности: не допустить скоропостижной блокировки карты и выдоить еще одну максимальную сумму снятия на следующий день (уже со второй-то смски даже самые наивные должны позвонить в банк). Хотя тоже неплохая прибавка к выручке)
Блин, в случае со СберБанком — даже если захочешь не получится, ибо банкоматы часто не работают.
В Вашем тесте сумма 15.000 снятие с банкомата — уже это должно было настрожить. У сбербанка, насколько мне попадались банкоматы, 7.500 высший предел.
Есть больше. Видел 10к
Я собственноручно снимал 120К.
Ничего подобного. Лимит выдачи на сутки ограничен 150 т.р., а максимальная сумма выдачи за операцию — зависит от настроек банкомата и от находящейся в нём суммы (то есть чем меньше денег в банкомате, тем меньше он даёт снять за одну операцию, чтобы один пользователь не смог выдоить железяку до упора). Лично я снимал за раз 75 т.р. — может быть, дало бы и больше, не проверял — всё равно за второй раз столько-же мог толь снять, до суточного лимита.
7500 это по чужой карте.
Это по картам сторонних банков у них такой лимит.
По своим можно 40тыр. снимать если по 1к купюры без проблем.
По своим можно 40тыр. снимать если по 1к купюры без проблем.
У банкомата есть два лимита: а) суточный лимит на снятие нала (устанавливается банком в зависимости от разных факторов) — обычно даже по электрону это не меньше 100К (Рублей), а уж по голду может лего за 500К перевалить, б) ограничение на количество банкнот, которые банкомат способен выдать за раз (техническое ограничение банкомата) — около 50 купюр, т. е. 50К — 250К за одну трансакцию снять можно вполне легко.
150тр снимал. В обычном сберовском банкомате.
Как вариант, банк может в таких смсках указывать кодовое слово, которое было задано пользователем. Тогда всегда можно знать — смс подлинная. Разумеется, если злодей знает все пароли и т.д., то это не спасет, хотя можно и не показывать пользователю это слово, а при его смене просто попросить ввести старое, как часто делают с паролем, тогда и знание паролей к банкингу не поможет.
Ну люди даже не проверяют, что это не их номер карты, а уж кодовое слово — тоже не каждый увидит, что это не его.
Так номера карты-то все разные, а слово можно одно и то же для всех карт поставить)
не знаю, меня необычность такого подхода (именно самому задать) удивила, я теперь всегда смотрю.
конечно, если человек невнимателен, там хоть голых теток в смс вставляй — не обратит внимания.
конечно, если человек невнимателен, там хоть голых теток в смс вставляй — не обратит внимания.
А я банально не знаю номер своей карты. Да он записан на ней, но никогда не утруждал себя запоминанием ее номера.
мне на телефон зачислено 1000 руб. Я очень обрадовался: ведь я деньги на телефон не кидал.Нет что бы расстроится за того, кто возможно протерял свою 1000р:) В ряде случаев в случае ошибки вернуть деньги или трудно или нереально.
В Вашем тесте сумма 15.000 снятие с банкомата — уже это должно было настрожить. У сбербанка, насколько мне попадались банкоматы, 7.500 высший предел.Снимали по 15,000, afaik и 30,000 можно.
А что если злоумышленник воспользуется одним из таких сервисов? Сначала снимет деньги, а потом отправит липовую sms об отмене операции снятия денег?Помнится был «бодрый» сайт для пополнения мобильных телефонов то ли за вебмани, то ли за яндекс. С дисконтом 10% от суммы (что бы заманить) и условием типа «текущий баланс не меньше 1000р» (что бы не пополнение не было бы таким заметным), после оплаты присылали смс-ку мол «Вам зачислено блаблабла»:) Спалились достаточно быстро, даже прославиться толком не успели, но в общем — уже пользуются этим злоумышленники.
В ряде случаев в случае ошибки вернуть деньги или трудно или нереально.
Обычно сложно если нет чека. В иных случаях без проблем: идешь с чеком, пишешь заявление и даже если ноль у того, кому положили — спишут в минус.
Обычно сложно если нет чека. В иных случаях без проблем: идешь с чеком, пишешь заявление и даже если ноль у того, кому положили — спишут в минус.
7500 — это по чужим картам. Если в сберовский банкомат вставить, например, карту Альфы, то будет как раз такое ограничение. Казалось бы, выдавай сколько хочешь, жалко что-ли? А вот жалко. Ведь платежная система даст за это Сберу фикс в размере 30—50 рублей, запросив чуть побольше с Альфы. При этом платежная система запрещает эквайеру (в данном случае Сбер) брать комиссию за операцию. Еще одно ограничение от платежной системы — эквайер должен позволять снимать как минимум эквивалент в 200 евро. Эдакая минимальная максимальная сумма :) Вот поэтому все банки и жмотятся, выставляя эту сумму как можно меньше — выстави хоть 200 тыщ, один хрен получишь свою тридцатку. И да, эквивалент в 200 евро разные банки понимают по-разному: от 6000 до 10000 рублей.
Насколько сложно подделать отправителя смс? Вот у меня, например, приходят треды от «Swedbank» и «PUMB».
То есть мошенники должны не только данные карты иметь (допустим, скиммером снимут), но еще и номер мобильного? Слишком маловероятно, как по мне
Да уж, а на Ураине ситуация еще хуже — приходится проверять все и всегда, так как сам банк шлет откровенную лажу. У знакомого вот прям недавно случилось — Криват банк на букву П 29-го октября прислал — снято 40 грн. за интернет банкинг в октябре, после этого 1-го ноября приходит та же смс — за услуги в октябре, он проверяет по платежкам — только одна от 1-го ноября. Итог — банк от имени клиента распоряжается со счетом как хочет и когда хочет, при этом даже не утруждается уведомить об ошибочной или отмененной транзакции!
P.S. как оказалось в итоге — действительно были проведены ошибочные транзакции, которые потом отменили и перепровели 1-го числа, но итог тот-же — в телефоне 2 смс о снятии 40 грн и ни одной про ошибку.
P.S. как оказалось в итоге — действительно были проведены ошибочные транзакции, которые потом отменили и перепровели 1-го числа, но итог тот-же — в телефоне 2 смс о снятии 40 грн и ни одной про ошибку.
Не понятно, собственно, нахрена дропам, снявшим деньги с карточки заморачиваться и слать какие-то смс…
Но таки-да, какое-нибудь кидалово на этой идее сочинить вполне возможно… :(
Но таки-да, какое-нибудь кидалово на этой идее сочинить вполне возможно… :(
Нужны цифровые подписи для смс.
Вообще самый простой способ: отправлять сообщение о поступлении денег на счет, а потом просить о том, чтобы вернуть деньги. Очень не многие будут дополнительно проверять счет.
Вы только что помогли куче злоумышленников, подарив им прекрасную идею. Но я думаю проблема в том, что у злоумышленника нет номера телефона.
Нет.
Вы пишете, что на тему отправки sms с произвольного номера нашли кучу сервисов.
Не могли бы Вы указать хотя бы один конкретный сайт,
который будет выполнять заявленное и при этом,
не подпишет введенный номер на платные услуги
и не добавит указанный телефонный номер в базу смс-спаммеров?
Не могли бы Вы указать хотя бы один конкретный сайт,
который будет выполнять заявленное и при этом,
не подпишет введенный номер на платные услуги
и не добавит указанный телефонный номер в базу смс-спаммеров?
есть способы потратить денег с карточки так что смс владельцу не придет
у друга так произошло, он долго с райфом созванивался но так ничего вразумительного от них и не добился
я так понял надо внимательно изучить протокол визы или маестро и тогда будет понятнее в каких случаях такое происходит
у друга так произошло, он долго с райфом созванивался но так ничего вразумительного от них и не добился
я так понял надо внимательно изучить протокол визы или маестро и тогда будет понятнее в каких случаях такое происходит
У меня в смс сообщении также указывается достаточная сумма, и вот если он не сойдутся, то точно буду перепроверять. То есть через веб платежи не прокатит, так как остаток злоумышленнику будет не известен.
На днях получил в 7 утра СМС об отказе платежа. В этот момент только проснулся, никаких платежей, соответственно не делал. Да и карте месяц всего — засветить нигде не успел еще. Проверил баланс онлайн — вроде все в порядке. Очень заинтересовало подобное поведение, но в банк разбираться лень было да и Сбербанк — полдня потеряешь.
Чувак, на айфоне есть встроенная функция снятия скриншота. Home+Power.
Ваша атака успешна в том случае, если злоумышленник имеет доступ в Вашей карте (или информации о ней) и знает номер телефона на который приходят СМС (ведь у Вас для банкинга отдельная незасвеченная симка, не так ли, сэр?). Наиболее вероятно это тот человек который Вас знает, увы. А это проблема безопасности уже другого характера…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
А Вы доверяете sms-информированию?