Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 40
Автоматизация в квартплатных сервисах там же позволяет тоже узнать и задолженности, и часто фамилию, и показания счетчика и много чего еще…
Вот только никаких настроек «отключить нафиг мобильный банк, отключить нафиг поиск по номеру телефона» и т.д. нету, что и бесит :(
Вот только никаких настроек «отключить нафиг мобильный банк, отключить нафиг поиск по номеру телефона» и т.д. нету, что и бесит :(
Ну согласитесь, что банковский счет — это все же интереснее, чем задолженность по квартплате, или показания счетчиков.
Последние 4 цифры номера карты — не банковский счет
«Здравствуйте, <И> <О>, я из домоуправления, у вас на счетчике Y показания подозрительные (Z), нужно проверить счетчик и переопломбировать»
отключить нафиг поиск по номеру телефона
Настройки -> Безопасность и доступы -> Настройка приватности -> Не отображать меня как клиента Сбербанк в чужих адресных книгах.
Может, оно?
какой-то вечер капитанства в ИБ на хабре
Такая «фишка» много где работает, не только в Сбере. Можно еще по электронной почте.
В журнале «Хакер» в прошлом году (вроде) описывали.
В журнале «Хакер» в прошлом году (вроде) описывали.
Буквально неделю назад спалил это, но не считаю нужным выделять для этого отдельный пост на Хабре
И да, нормальному человеку эта информация только в помощь. Вы точно уверены что вы не ошиблись и деньги уйдут вашему другу Ивану Ивановичу, а не злобной соседке Кларе Захаровне.
Минус в том что эта информация может (и будет) использоваться нашими любимыми заключенными. Хорошо что они до подстановки АОНов (да, я знаю что оно не так зовётся) пока не дошли
Минус в том что эта информация может (и будет) использоваться нашими любимыми заключенными. Хорошо что они до подстановки АОНов (да, я знаю что оно не так зовётся) пока не дошли
По мне, так это самая классная фича. Можно быть уверенным в получателе денег — не страшно сделать ошибку в номере карты.
У нас вообще-то в ходу до сих пор телефонные справочники, с фамилиями и адресом, кстати. И фигурирует в них в основном люди пожилого возраста, которые наиболее подвержены методам «отъема денег». И счета у них в банках скорее всего есть, многие пенсию на карточки получают.
Ну и что что узнают по номеру телефона имя отчество?
У меня возможно как и у многих, когда звонят и обращаются по имени отчеству с незнакомых номеров сразу в мозгу включаются все режимы безопасности которые только есть :)
Ну и что что узнают по номеру телефона имя отчество?
У меня возможно как и у многих, когда звонят и обращаются по имени отчеству с незнакомых номеров сразу в мозгу включаются все режимы безопасности которые только есть :)
Клёвая фича на самом деле. Мне как-то пару раз даже платили за то, что я по номеру карты узнавал имя, отчество и первую букву фамилии. Просто у меня был Сбербанк-онлайн, а у просящего нет :).
Можно подсказать более крутой способ хакинга: пишем парсер с любого сайта онлайн объявлений, который будет выдергивать имя/отчество + номер телефона и получаем те же данные быстрее и надежнее. Либо тупо находим официальные или не официальные телефонные справочники.
От последних 4 цифр карты толку не будет, а имя+отчество+телефон можно получить кучей других (более удобных) способов, да и карты Сбера чуть ли не у половины всего населения.
От последних 4 цифр карты толку не будет, а имя+отчество+телефон можно получить кучей других (более удобных) способов, да и карты Сбера чуть ли не у половины всего населения.
На самом деле проблема серьезная. Почитайте в интернете сколько пользователей ведутся на фишинг-sms типа «Ваша карта заблокирована! Для свяжитесь с сотрудником банка по телефону 8902.....». А теперь представьте на сколько увеличится процент удачного фишинга, если в сообщении будет текст вида: «Добрый день, Василий Альбертович! Ваша карта ***9999 заблокирована. Позвоните по телефону.....». Ну либо подобные схемы…
Проблема в том что для этого надо иметь «СбербанкОнлайн», и так реализовывать парсинг тысяч телефонов (что не факт что получится в нормальных сервисах всегда стоит защита от ботов). А так как «СбербанкОнлайн» напрямую привязан к паспорту, то это очень палевно, после такого фишинг к вам придут очень быстро.
У меня нет СбербанкОнлайн (не являюсь клиентом Сбера), но, насколько я понял из статьи, до смс-подтверждения дело не доходит. Так что парсить можно на ура.
Идем на сайт онлайн-банка Сбербанка: online.sberbank.ru. Логинимся в свой аккаунт.
1) Кто мешает Сбербанку блокировать тех клиентов, кто начнет злоупотреблять этой функцией? Иметь тысячи логинов-то не получится (каждая карточка регистрируется на только собственные паспортные данные), то есть типовые методы парсинга из-под тысяч прокси и фейковых ip адресов тут не сработают и банальная защита под кол-ву запросов тут сразу отрубит такого клиента.
2) Кто мешает при жалобах поднять историю онлайн-банка Сбербанка и отправить маски-шоу к конкретному клиенту, который парсил из-под логина с собственными паспортными данными?
То есть можно представить что сначала взломают сотни чужих онлайн-банков и под них напишут парсер, потом использующийся для фишинга, но больно это муторно получается.
Спасибо за коммент. Согласен с Вами, я заблуждался.
Иметь тысячи логинов-то не получится
У моего знакомого два логина в сбере :) Он даже ходил разбирался, просил объединить — ничем не помогли. Т.е. он раньше открывал вклад и получал карту на старый паспорт, а когда заказывал новую карту, они не искали по старым паспортным данным видимо, а создали новую учетку
Ломать сотни онлайн банков не получится, чтоб зайти с браузера надо sms подтверждение однако
Согласие получателя на раскрытие его данных по номеру телефона, естественно, никто не спрашивал.
С чего вы это решили? Получатель такой же клиент банка, как и отправитель и согласие с него на использование ПД было получено при начале обслуживания. И в этом случае, я не думаю, что «раскрытие» как термин подходит к ситуации. ПД получателя используются банком для исполнения своих обязательств перед этим самым получателем.
ФИО — и так являются общедостуными ПД, а в данном случае, фамилия как таковая отсутствует.
Конечно, связка ИО + номер телефона, с последними цифрами номера карты позволяет идентифицировать некоего клиента банка, но «субъекта ПД» по этим данным определить сложно.
КМК, с точки зрения закона — все в рамках.
PayPal по адресу электронной почты полные инициалы выдает.
Очень удобно, недавно, чуть получателя не перепутал.
И еще много кто. Всегда где удобно, менее безопасно.
Очень удобно, недавно, чуть получателя не перепутал.
И еще много кто. Всегда где удобно, менее безопасно.
Кстати, наберите в гугле/яндексе что-нибудь вроде «владимир александрович телефон», они вам выдадут по полмиллиона результатов, нужно только их распарсить и выделить мобильные телефоны. И так для любых распространенных пар имени/отчества.
Нам как то делали зарплатные карты сбера, и чтобы не подключали никаких смс услуг я не стал указывать мобильный телефон в договоре. И что вы думаете, сотрудники сбера вбили какой-то дефолтный номер на который приходили смс о моей ЗП. Об этом я узнал через годы, когда перестал получать на карту зарплату. Мрошло уже много лет, а с меня по прежнему пытаются списать деньги за ту незаконно подключенную услугу.
Вобще ведь, для проверки идентичности в кол-центрах порой требуют как раз последние 4 цифры номера карты… Не в Сбере, но в некоторых онлайн-сервисах точно.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Сбербанк Онлайн: узнаем персональные данные по телефону