Комментарии 91
У меня способ без социальной инженерии есть. Подключаете терминал без 3DS, делаете предавторизации и сразу же их отменяете. Бинарным поиском баланс найдётся где-то с 8-10 попытки.
Имея терминал в теории можно просто запрос баланса послать — с хорошей долей вероятности прокатит. А вот 8-10 предавторизаций думаю приведут к блокировке карты скорее всего
Мой банк дал мне опцию не обрабатывать запросы без 3D Secure. Я рад.
Уточните пожалуйста, а откуда цифра «17 млн» карт у ПриватБанка? Их было сильно больше еще год назад (только картодержателей 30+ млн).
Таблица 4 отсюда, количество активных карт. А так да, всего под 30 млн. карт.
Слава богу у нас (Швеция) такое не прокатит! Нужна авторизация с помощью BankID.
Извините за некоторый оффтоп, в связи с ситуаций с интернетом в России собрался как раз у вас в стране (есть возможность) разместить парочку своих серверов (физически), какие у вас реальные цены на канал примерно в 1gbps, оптика?
Я правильно понимаю, что при звонках в колл-центр можно пройти авторизацию с помощью BankID?
Потому что у меня описана как раз ситуация с авторизацией в телефонном режиме (IVR).
Потому что у меня описана как раз ситуация с авторизацией в телефонном режиме (IVR).
Да, сейчас поголовно все банки переходят на BankID. Лично я звонил недавно в свой, Länsförsärkringar, и сразу же робот предложил авторизоваться при помощи BankID. О старых пин-кодах уже речи не идет.
Про авторизацию при помощи номера карты и дня рождения я, кстати, никогда не слышал…
Про авторизацию при помощи номера карты и дня рождения я, кстати, никогда не слышал…
Спасибо, интересно.
Ну, подход европейских стран к платёжным сервисам отличается от подхода стран экс-СССР. Это не плохо, но и не хорошо. К примеру, насколько я знаю, только у нас распространены сайты-платёжные агрегаторы типа money.yandex.ru/catalogue или vp.ru, а в Европе/США такого нет.
Ну, подход европейских стран к платёжным сервисам отличается от подхода стран экс-СССР. Это не плохо, но и не хорошо. К примеру, насколько я знаю, только у нас распространены сайты-платёжные агрегаторы типа money.yandex.ru/catalogue или vp.ru, а в Европе/США такого нет.
Вы не поняли) На указанных сайтах нет списка платежей для клиента. Я говорил о сайтах, на которые можно зайти и без авторизации оплатить что-то, имея карту любого банка.
Сейчас оплата без 3DSecure уже мало где встречается + антифрод работает, зачем усложнять процедуру оплаты обязательными авторизациями?
Steam, игровые приставки, aliexpress — никакого 3DSecure.
Ну это те торговцы, которые осознанно идут на риски. Если со стороны торговца 3DSecure отключен, а на карте поддержка есть, то в случае спорной ситуации сумму возмещает банк-экваер (банк через которого торговец принимает платежи), а не банк-эмитент (банк выпустивший карту). Поправьте, если я не прав.
Рискует владелец карты. Тем что ему придется топать в банк и выбивать назад свои деньги.
Ну и если бы это так хорошо работало, не осталось бы магазинов без 3DSecure. Сценарий:
- Регистрируем аккаунт на стиме
- Оплачиваем игру, играем месяц
- Требуем от банка деньги назад
- Повторить с пункта 1
Причем тут торговцы вообще? Они не видят этой оплаты, кэш изначально холдится у али, а решение о 3дс принимает банк эмитет.
Тут торговцами называются потребители услуги интернет эквайринг — Steam, игровые приставки, aliexpress. Решение об обработке карт без 3дс принял банк эквайер. Да, банк-эмитент может запретить интернет-платежи без 3дс, но смысл это делать, если в спорных ситуациях платежная система примет решение в пользу банка-эмитента?
На указанных вами сайтах у меня срабатывает 3DSecure банка и просит авторизировать покупку.
Именно на этих сайтах нельзя. Но это агрегаторы, можно платить любой картой плюс напрямую через интернет-банк.
Я понял Вас. Это сайты для бизнеса, я же интересовался платёжными сайтами для клиентов, такими как указал выше, или Portmone.com.ua, EasyPay.ua, iPay.ua. Говорилось о том, что у нас больше распространены такие сайты, а там чаще платят, например, через direct debit.
Но спасибо.
Но спасибо.
сделайте проверку баланса и другие действия в IVR с того номера телефона, который не принадлежит клиенту, невозможнымСовсем запрещать — не вариант. Случаи бывают разные, телефоны, бывает, ломаются. А вот усложнить аутенификацию — вполне себе вариант. Паспортные данные, кодовое слово или еще что-то…
Я ждал подобного комментария)
Если телефон утерян, нет доступа к мобильному или интернет-банкингу, а баланс нужно срочно узнать вот прямо сейчас, ничего не мешает позвонить всё в тот же колл-центр и узнать баланс у живого оператора, пройдя авторизацию.
Но да, проверку нужно усложнять.
Если телефон утерян, нет доступа к мобильному или интернет-банкингу, а баланс нужно срочно узнать вот прямо сейчас, ничего не мешает позвонить всё в тот же колл-центр и узнать баланс у живого оператора, пройдя авторизацию.
Но да, проверку нужно усложнять.
ничего не мешает позвонить всё в тот же колл-центр и узнать баланс у живого оператораСпасибо, я это и имел в виду. Правильнее всего вообще IVR'у позволять какие-то вольности только, если звонок идет с привязанного номера. Если с незнакомого, то получи адрес офисов/банкоматов, расписание работы, а в остальном — принудительный редирект на живого человека.
Имхо, смотря кому усложнять.
Как по мне, в Райффайзен Банке Аваль все правильно.
Что бы узнать всего лишь баланс, нужно знать 8 цифр карты и секретный код, который изначально нужно получить обратившись в службу поддержки банка или в отделение банка.
Как по мне, в Райффайзен Банке Аваль все правильно.
Что бы узнать всего лишь баланс, нужно знать 8 цифр карты и секретный код, который изначально нужно получить обратившись в службу поддержки банка или в отделение банка.
Мне больше понравился подход Альфа-Банка, когда нужно указывать номер паспорта,
чем подход Райффайзен Банка Аваль, когда нужно указывать какой-то код, который нужно получить и знать.
чем подход Райффайзен Банка Аваль, когда нужно указывать какой-то код, который нужно получить и знать.
Как раз номер паспорта — это не лучшее решение.
1. Эта информация как бы публичная и знаете ее не только вы)
2. код = номер паспорта, не получится сменить.
Если вы забыли или каким-то образом разгласили код, можно позвонить в поддержку и попросить его сменить.
1. Эта информация как бы публичная и знаете ее не только вы)
2. код = номер паспорта, не получится сменить.
Если вы забыли или каким-то образом разгласили код, можно позвонить в поддержку и попросить его сменить.
Не совсем понял, почему номер паспорта — публичная информация.
Ещё непонятно про про код, который равен номеру паспорта, «не получится сменить» — ниже Вы пишете «можно позвонить в поддержку и попросить его сменить».
Ещё непонятно про про код, который равен номеру паспорта, «не получится сменить» — ниже Вы пишете «можно позвонить в поддержку и попросить его сменить».
Я полагаю, имеется ввиду что личные данные (типа номеров документов и т.п.) чаще подвергаются утечке благодаря различным факторам, чем единожды сформированный код (как пин к карте, к примеру, скомпрометировать который можно только:
— скимингом;
— безалаберностью владельца (или подставой).
Последние примеры приведены условно, понятно что способов больше, но «потерять» номер паспорта способов намного больше.
— скимингом;
— безалаберностью владельца (или подставой).
Последние примеры приведены условно, понятно что способов больше, но «потерять» номер паспорта способов намного больше.
Если секретным кодом может быть только номер паспорта, то сменить его невозможно.
В отличии от текущей модели Райффайзен Банка Аваль, где код можно сменить позвонив в техподдержку.
В отличии от номера паспорта, секретный код знаете только Вы.
Номер вашего паспорта знаете не только вы.
Вы указываете свои паспортные данные при приёме на работу, при заключении договоров, при возврате товара в магазин.
… банально оператор Новой Почты получает от Вас номер Вашего паспорта когда Вы отправляете или забираете посылку, а 4 последних цифры карты, есть в чеке, если вы оплатили картой услуги НП.
В отличии от текущей модели Райффайзен Банка Аваль, где код можно сменить позвонив в техподдержку.
В отличии от номера паспорта, секретный код знаете только Вы.
Номер вашего паспорта знаете не только вы.
Вы указываете свои паспортные данные при приёме на работу, при заключении договоров, при возврате товара в магазин.
… банально оператор Новой Почты получает от Вас номер Вашего паспорта когда Вы отправляете или забираете посылку, а 4 последних цифры карты, есть в чеке, если вы оплатили картой услуги НП.
В России есть крупные провайдеры IP-телефонии позволяющие генерировать любой CallerID при исходящем вызове. Т.е. в банк можно позвонить с номера телефона «жертвы». Это плохая защита в данном случае. Как обстоят дела с украинскими провайдерами телефонии не знаю.
Во-первых, CallerID != CgPN.
Во-вторых, операторы связи (я имею в виду большой телеком) как правило, фильтруют корректные АОНы, пришедшие с внешних сетей.
Вы сами лично пробовали эту фичу, уверены, что она 100% работает?
Во-вторых, операторы связи (я имею в виду большой телеком) как правило, фильтруют корректные АОНы, пришедшие с внешних сетей.
Вы сами лично пробовали эту фичу, уверены, что она 100% работает?
Внутри РФ это работает. Как при звонках любому сотовому оператору, так и крупному провайдеру вроде РТК или МТТ.
Смотря через какие сервисы вы подставляете CallerID и смотря каким маршрутом идёт звонок.
Если вы подключены напрямую к сотовому оператору или к крупному транзитнику, то вполне можете получить возможность подставлять любой CallerID.
Главное, чтобы оператор на входе в свою сеть не поставил фильтрацию по CallerID, а это уже вопрос правильного обоснования.
И да, это действительно работает.
Если вы подключены напрямую к сотовому оператору или к крупному транзитнику, то вполне можете получить возможность подставлять любой CallerID.
Главное, чтобы оператор на входе в свою сеть не поставил фильтрацию по CallerID, а это уже вопрос правильного обоснования.
И да, это действительно работает.
Безусловно вы правы.
Я и сообщаю, что человек задавшийся целью подмены номера в нашей стране без особого труда сможет это сделать. Потому и не считаю способ защиты по номеру телефона хоть сколько-нибудь надежным.
Я и сообщаю, что человек задавшийся целью подмены номера в нашей стране без особого труда сможет это сделать. Потому и не считаю способ защиты по номеру телефона хоть сколько-нибудь надежным.
А можно более конкретно? Какой оператор, какое подключение? Собрать тестовую схему для меня не составит труда.
Я не удивлен, что у мелких voip-конторок это прокатывает, у них там как правило, трэш и угар на астерисках, господи помилуй.
Я удивлен тому, что магистральщики и сотовые такое позволяют. Любой CID, не близкий к реальному номеру, с отличием в 1-2-5 цифр, а именно любой?
Несколько лет назад, работая в одной мелкой VoIP конторе, проверял на себе/друзьях/коллегах. Приходил любой CallerID — как реальный номер (т.е. можно позвонить человеку «с номера» его жены, начальника, и т.д.), так и какой-нибудь абсурд типа +12345 или +666. Разумеется, звонок шел через магистральных операторов и затем через сотовых. Никто его за плохой CallerID не отбивал. Может, сейчас что-то изменилось, но я с тех пор категорически против использования номера звонящего в качестве надежного аутентификатора.
Как узнать баланс чужой банковской карты, зная её номер?Может быть, стоит назвать статью «Как узнать баланс чужой украинской банковской карты, зная её номер»?
Сомневаюсь, что описанная проблема касается только одной отдельно взятой страны. Технологии IVR не кастомная украинская разработка, как и идея с его помощью проводить какую-то авторизацию. Учитывая межнациональный характер многих банков, когда головной офис находится в одной стране а «дочки» в нескольких других, спроецировав этот фактор на то, что технологии, как правило, завозятся в «дочку» из ГО — получаем схожесть проблем. Можно сейчас устроить расследование кто из списка имеет филиалы/ГО в другой стране но даже беглый взгляд показал что таковые есть, даже просто по бывшему СССР, не говоря уж о «загранице».
Может быть, стоит назвать статью «Как узнать баланс чужой украинской банковской карты, зная её номер»?
Тогда бы кликбейт (а это именно оно, вполне в духе желтых журналистов) не сработал бы и просмотров статья бы набрала меньше.
P.S.: Просьба к банкам – сделайте проверку баланса и другие действия в IVR с того номера телефона, который не принадлежит клиенту, невозможным.
И так некоторые люди смогут узнать… как же заначка от жены. Жена и номер паспорта знает, и дату рождения и ....
Печально, если нет доверия к жене и приходится делать заначки.
«Сбер» инфу не дает. Никак.
Надо было поговорить о карте жены, она в это время занята была, но рядом. Сотрудник отказался со мной разговаривать, пришлось телефон на громкую связь переводить и паспортные данные диктовать.
Надо было поговорить о карте жены, она в это время занята была, но рядом. Сотрудник отказался со мной разговаривать, пришлось телефон на громкую связь переводить и паспортные данные диктовать.
А 12 лет назад я мамину утерянную карту успешно блокировал.
В «нормальном» банке достаточно позвонить третьему лицу и, имея карту или ее номер на руках, заблокировать ее связавшись с оператором. Более того, это будет его (оператора) святая обязанность — заблокировать карту, номер которой оказался у третьего лица.
У меня не было номера карты (она ж утеряна), я мог только номер счёта назвать (его не спрашивали). Спросили много данных — ФИО, паспорт, дата рождения, адрес регистрации, отделение в котором открывали карту, ну и с пином она утеряна или без, когда последний раз пользовались ею. Ну и мой номер карты знаю не только я — получать деньги от других это так приятно.
Смотря какие у Вас данные. Позвонил по номеру на карте — услугу подтвердили, но сказали «удобная услуга… нужно вводить 5 цифр». Если кто найдёт эту услугу на офф.сайте, — поделитесь ссылкой.
Как хорошо, когда у твоего банка нет никаких вот этих навомодных фишек :)
- Интересно, что в России, так же? 2. Как защищаться, кроме как сменой банка?
Думаю, стоит добавить в таблицу — получается эта информация через IVR, или через живого оператора.
Только что звонил в Альфу — при выборе в меню «Запрос остатка по карте» механический дяденька говорит, что щас вас переключат на оператора и вы с ним поговорите…
Только что звонил в Альфу — при выборе в меню «Запрос остатка по карте» механический дяденька говорит, что щас вас переключат на оператора и вы с ним поговорите…
Подмена номера ничего не решит, по крайней мере с Альфа-банком…
Там идентифицируется еще и номер сим-карты.Пару раз восстанавливал сим-карту и Альфа-банк переставал сразу работать… ничего не могу перечислить с карты на чужую карту в Альфа-клике… Только после звонка оператору после тщательного моего допроса, задавания кучи вопросов оператор прописала номер моей сим-карты в систему Альфа-банка
Там идентифицируется еще и номер сим-карты.Пару раз восстанавливал сим-карту и Альфа-банк переставал сразу работать… ничего не могу перечислить с карты на чужую карту в Альфа-клике… Только после звонка оператору после тщательного моего допроса, задавания кучи вопросов оператор прописала номер моей сим-карты в систему Альфа-банка
Там идентифицируется еще и номер сим-карты.Пару раз восстанавливал сим-карту и Альфа-банк переставал сразу работать…Переставало работать приложение? Это да, известная фича (не только у Альфы). Но если сделать обычный голосовой звонок с подмененным номером — разве на той стороне поймут, что ты звонишь не с родной симки?
Еще до всяких банковских приложений Альфа-банк(российский) получал как-то(судя по всему не совсем легальными схемами) от ОПСОСов информацию, что номер получил новую сим-карту и блокировал любые операции с авторизацией через смски пока не докажешь их оператору, что ты не верблюд. По крайней мере так у меня было в 2010 году. Как только я получил новую симку мне пришла смска «А вы поменяли симку и фиг вам, а не покупки в интернете, ляляляля, ваш Альфа-банк».
Простите, но в статье описан украинский Альфа-Банк.
Да, вспомнил, переставало работать приложение, вместо разового пароля приходило SMS-сообщение с просьбой позвонить в коллцентр…
Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственности за любой возможный вред, причиненный материалами этой статьи
Сейчас я тут взорву всех к чёртовой матери. Я не несу за это ответственности. Ну просто потому, что я сделал такое заявление.
Здесь речь идет о любом банке или каком то конкретном? Я не уверен, что подобную операцию можно провернуть в том же Привате..
У моего банка есть такое понятие как «телефонный пин-код». Т.е. когда Вы звоните в банк, узнать ли баланс или что-то другое, робот в первую просит вас ввести этот самый пин, если не ввели, единственное что вам останется, переключиться на оператора, который первым же делом спросит, почему вы не ввели телефонный пин?
Тот же банк один раз звонил моей жене уточнить какие-то вопросы, она передала трубку мне, мол разберись, я не понимаю чего они от меня хотят, я взял трубку и услышал «Извините, но мне запрещёно обсуждать вопросы клиента с третьми лицами, не могли бы Вы вернуть трубку супруге пожалуйста».
В общем не всё так плохо, как может показаться.
Тот же банк один раз звонил моей жене уточнить какие-то вопросы, она передала трубку мне, мол разберись, я не понимаю чего они от меня хотят, я взял трубку и услышал «Извините, но мне запрещёно обсуждать вопросы клиента с третьми лицами, не могли бы Вы вернуть трубку супруге пожалуйста».
В общем не всё так плохо, как может показаться.
Не надо на карте деньги хранить! Никогда! Есть же счета!
А как вы будете оперировать этими деньгами? Выписывать чеки? Просить форму для свифит-перевода в качестве оплаты и ждать до 7 операционных дней пока торговая точка их получит? Пересылать деньги по звонку «на вооон тот номер счета что мне дали в магазине»?
Через онлайн банкинг скидываешь нужную сумму на карту и оплачиваешь. Разве не так? Со счета на карту деньги переводятся моментально.
На самом деле нет, изменяется видимость (доступный остаток), движения по счетам осуществляются несколько раз в сутки, а не по каждому требованию. Если почитать все условия мелким шрифтом, то там наверняка будет что-то вроде «может занимать до 7 рабочих дней», просто пока вам везло с моментальными переводами, вы даже не задумываетесь об этом. Пока не застрянете в 3 часа ночи на заправке с неоплаченным счетом, потому что остаток на карте почему-то не захочет увеличиваться моментально.
А как вы будете оперировать этими деньгами? Выписывать чеки? Просить форму для свифт-перевода в качестве оплаты и ждать до 7 операционных дней пока торговая точка их получит? Пересылать деньги по звонку «на вооон тот номер счета что мне дали в магазине»?
прошу удалить, глюк — задвоилось
...
Номер карты сам по себе является конфиденциальной информацией. Получить одновременно дату рождения и номер карты человека не так уж и просто.
Считаю проблему надуманной.
Считаю проблему надуманной.
Вовсе нет. Сбер по сути создал свою платежную систему — все переводят друг другу деньги. Как у других банков не знаю. Подсмотреть номер карты — также достаточно просто. Во время совместной оплаты чего-то в магазине. Возврат мелкого долга на карту, и т.п… Обычно интересен остаток на карте именно у тех людей которых знаешь. Так что вероятность знать их год рождения — также велика.
(Для Сбера это правда неприменимо — нужно кодовое слово).
(Для Сбера это правда неприменимо — нужно кодовое слово).
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как узнать баланс чужой банковской карты, зная её номер?