Комментарии 471
На днях наблюдал примерно такую же схему, также звонят в WhatsApp, приходит смс - просят код, как только его зачитываешь, сразу в том же звонке звучит запись: "Роскомнадзор, звонок прерван, вы разговариваете с мошенниками", бросаешь трубку, в этот же момент в WhatsApp(!) приходит сообщения а-ля "перезвоните сюда-то номер, похоже вы связались с мошенниками. Роскомнадзор".
На незнакомые звонки в вотсапе - и отвечать? Это уж вообще просто не в какие ворота, даже доставка так не делает, т.е. просто не брать в 100% случаев и все.
Ну не знаю, я всегда беру. Во-первых это же уникальный способ послушать стендап, побесить человекоподобное существо по ту сторону телефона, называть рандомные цифры в СМС и так далее. Потом пожелать чего-нибудь не очень доброго и под вопли скинуть трубку и весь день ходить улыбаться. А во-вторых, все таки разговор со мной занимает время - авось пока я занимаю это животное, он не разведет другого. Но тут только если однозначно и четко понимать что делаешь - если человек не сильно сведущ, его могут и развести, социальная инженерия у них на месте не стоит.
На номер, который я получил в КЗ за два года ни разу не было ни одного звонка от мошенников (Теле2). А в России постоянно развлекался, когда мне чижики эти звонили. Главное быть готовым к 30 минутному спаму смсками на номер, если сильно их выбесишь.
Простой рецепт, как трепать серьёзно потрепать нервы и вызвать тотальную фрустрацию:
Поманить морковкой. Сильно нервничать и можно даже немного поистерить - потому что эти большие деньги на ваших счетах отложены у на покупку машины или квартиры, чтобы они уже считали ваши денежки.
Обвиняйте их и спрашивайте как они такое допустили, пусть оправдываются. Требуйте начальника, это очень смешно.
В процессе беседы скажите, что вам надо посоветоваться с другом/женой/родителями, потому что им по скрипту нельзя допустить контакта с посторонними. Настаивайте на своём (что сейчас положите трубку и позвоните посоветоваться) как будто вы их не слышите. Тут прямо у многих сдают нервы.
Постоянно ставить их в цейтнот, чтобы совсем отключить им мозги (они делают так же). Вам надо срочно забрать ребёнка из детского сада или что-то такое.
Лейте им в уши всё что угодно, им всё придётся это выслушать. Они к вам намертво прикованы. Постоянно отвлекайтесь от разговора на несущественные вещи. Обычно мы хотим выглядеть умными, а тут есть потрясающая возможность поидиотничать.
Лейте им в уши всё что угодно, им всё придётся это выслушать. Они к вам намертво прикованы.
Не забывайте напоминать, как вы довольны последними успехами армии на фронтах и как вам хочется съездить на тёплые пляжи одного полуострова...
Люди, откуда у вас свободное время, чтобы десятки минут разговаривать с мошенниками да ещё на такие темы?
У вас ведь в сутках всего 24 часа, мне, например, этого хватает, чтобы реализовать дай бог половину от всего, что я бы хотел. И тратить бесценные минуты на рассказывание мошенникам с какой стороны на мне нарисована Белая Длань и какой длины у меня клыки...
Люди, откуда у вас свободное время,
Оттуда же, откуда на Хабр писать
Это не хуже чем всякую политоту читать в рунете и "новости".. Так я не делаю, но, люблю иногда писать жалобы в разные ведомства. Узнал от знакомых как чиновники от этого звереют. Думаю, мошенники не меньше. Самое забавное, когда во время ковида увидел у каких-то чиновников фотку для отчётности без масок. Накатал в РосПотребнадзор, "когда вся страна сомкнув свои ряды в едином порыве борется с эпидемией, некоторые в угоду личным корыстным интересам" и т.д в подражание советской риторике, сам сползаю на пол от смеха.. Потом мне однокурсник из администрации жаловался, что всем приходится надевать маски во время фото для отчетности, ибо какие-то сумасшедшие и до них добрались.. Хорошее настроение на неделю было обеспечено..
Лично для меня это форма творчества, игра, театр одного актёра и я от этого получаю удовольствие и хорошее настроение, особенно когда жена или дети рядом сидят. Моя задача превратить происходящее в абсурд, но при этом сделать так, чтобы мошенник до последнего не понимал, что его разводят (хотя на самом деле на протяжении всей разводки они точно так же понимают, что их разводят, но так же как и их жертвы не пускают это в сознание).
Очень интересно идти по краю и держать баланс - веселиться, но при этом не быть раскрытым. Каждый раз импровизирую и придумываю что-то новое, на ходу. Многие бы очень сильно удивились, насколько люди доверчивы - алчность и жажда быстрой наживы полностью отрубает мозги. И коммуникации это очень интересно, особенно вот такие. Надо хорошо чувствовать человека, вовремя переключать его внимание, манипулировать, вовлекать в свою игру.
а мне интересно, как у людей получивших смс: "Никому не сообщайте код", "Код спрашивают только мошенники", возникает мысль "Надо сообщить код. Это не мошенники".
Что за обратная логика?
Да потому что само по себе требование хранить в тайне к коду, который надо куда-то там применить несколько абсурдно. Мы все регулярно где-то сообщаем коды из смс. В магазине, при обслуживании в банке, при вводе на сайте, еще где-то. А в остальном люди просто не читают что и кому сообщают.
а мне интересно, как у людей получивших смс: "Никому не сообщайте код", "Код спрашивают только мошенники", возникает мысль "Надо сообщить код. Это не мошенники".
Страх и стресс подавляет активность лобных долей. Там где страх, там в принципе не стоит искать логику и рациональность.
Со страхом можно эффективно бороться дыхательными практиками, но я более чем уверен что большинство просто не осознают и не отдают себе отчёт в том, что они этот страх чувствуют.
А Коллега разбирается в теории управления? Да, выглядит так, что рефлексия отключается первой. Тренировка рефлексии в состоянии резкого стресса дело такое, что тренировками добиваются понижения того, что индивидуум воспринимает как стресс.
А Коллега разбирается в теории управления?
Я ваш коллега? В теории управления страхом или вообще?
Тренировка рефлексии в состоянии резкого стресса дело такое, что тренировками добиваются понижения того, что индивидуум воспринимает как стресс.
И да, и нет. Есть ещё задача попытаться научится мыслить (и действовать) при стрессе. И возможно страшно орущий сержант в фильмах про американскую армию это не самая плохая идея.
Как сейчас не знаю, а раньше, когда ногами в отделение банка приходишь, чтобы сотрудник получил доступ к твоим счетам, приходилось ему говорить код, который по смс пришёл.
Нужно бороться с причиной, а не со следствиями. Не должно быть никакой аутентификации по коду из смс. Понос чопиком из берёзы не вылечить.
и как вам хочется съездить на тёплые пляжи одного полуострова
Дак они тоже хотят, только начальник тюрьмы требует подписать "полугодовой" контракт... Вон сколько уже выгребли, аж в камере дышать можно стало...
На номер, который я получил в КЗ за два года ни разу не было ни одного звонка от мошенников (Теле2)
В телефоне, где стоит казахская симка (актив), в истории звонков куча номеров. Некоторые из интереса пробиваю в поисковиках - мошенники.
Осень хорошо работает "вас плохо слышно, потерпите пожалуйста, что-то со связью".. И так раза три-четыре. Можно положить телефон рядом и заниматься делами, иногда говоря "да да, ало, снова не слышно". Рекорд удержания был около часа.
Угу. Тем временем где-то с той стороны будет формироваться ваш профиль. Голос там, манера общения, и т.д. В следующий раз будут разводить ваших знакомых вашим голосом и вашей манерой общения.
Отличный план. Надёжный, как швейцарские часы.
А контакты "наших" знакомых каким образом к ним попадут? Согласен с вами: как можно скорее завершать разговор.
Мне в этом очень нравятся звонки с 900 номера. Я один раз пообщалась, тогда еще не сильно развиты были эти нейронки. Прям игра "да и нет не говорите, белое и черное не называйте" из детства.
Поманить морковкой. Сильно нервничать и можно даже немного поистерить - потому что эти большие деньги на ваших счетах отложены у на покупку машины или квартиры, чтобы они уже считали ваши денежки.
Мой вариант: "Я военный пенсионер и у меня там дань пенсия за двенадцать лет с прОцентами лежит."
Аж слышно становится как шестерёнки арифмометра у мошонника в черепной каропке щёлкают.
Мне спамеры на казахский номер звонили. Хотя я его кроме банков ни где не светила.
В РК (если вы под КЗ подразумеваете Казахстан), есть ненулевое количество вариантов узнать как минимум резидентсво того, кому принадлежит номер (тривиальный, если на номере есть kaspi). У меня в РУ (который РФ) есть номер от красного оператора в одной железке и жёлтого оператора в машине. И там и там оно стоит уже больше 10 лет. И там и там железки умеют показывать, что кто-то звонил. Так вот: первые 2-3 года несколько раз в год кто-то пытался прозвониться. А дальше поскольку звонящим не ответили и номера нигде (при регистрации на сервисах и т.д.) не светился, то на них больше никто не звонит, хотя они 100% времени "онлайн".
Поэтому, простите, как бы это ни звучало обидно: вы для "спасителей денег" из "ЦБ Казахстана" являетесь Неуловимым Джо. =)
А зачем вообще поддерживать такие разговоры? Просто отклоняйте вызов и помечайте как спам, если звонилка позволяет.
Это так же как с цыганками, надо просто уходить не вступая в контакт и не отвечая на вопросы. Иначе они перегрузят все ваши органы восприятия и вы попадете.
О да. Помню, было весело. Минут двадцать по такой схеме. Бедолага понял, что его раскупили только когда сказал ему вынуть куй из своего рта, а то его плохо слышно.
Поугараешь, а потом это животное подпишет твой номер на кучу обратных звонков в разных сервисах.
Жена, ежли пожестит (за дело, точнее за безделие) в школе, её тоже школьники подписывают иногда на кучу всякого.
Все так. Как пример https://habr.com/ru/articles/204000/
Уже сейчас они могут легко скопировать ваш голос, так что я бы просто сбрасывал...
побесить человекоподобное существо по ту сторону телефона, называть рандомные цифры в СМС
...узнать мнение о последних изменениях в политической географии (ЕВПОЧЯ)...
Надиктовывать образец голоса чтоб потом им ломанули очередной дебильный банк?
А зачем соглашаться на биометрию в банках (да и вообще где-либо?).
Биометрия - самый ущербный метод аутентификации - сменить логин с паролем в случае компрометации легко, заменить железный ключ (симку ту же) тоже можно. А голос, отпечатки пальцев или лицо с сетчаткой не поменять никак.
Тут один товарищ рассказывал, как ему в тёмной подворотне биометрию лица изменили...
А представьте, будут такие услуги? В стиле кислоты от Тайлера Дёрдена или дагестанских "ломаем уши":
Скрытый текст
Поясните, пожалуйста, зачем они это делают???
Каждый профиль уха также индивидуален как и отпечатки, как и сетчатка глаз.
Имитируют мужественность. Поломанные уши получают в борьбе зачастую. Если у тебя они поломаны, значит, ты типа жосский, борец. Хотя по мне наоборот - какой-то такой себе из тебя борец, что тебе даже уши сломали
Имитируют мужественность. Поломанные уши получают в борьбе зачастую. Если у тебя они поломаны, значит, ты типа жосский, борец. Хотя по мне наоборот - какой-то такой себе из тебя борец, что тебе даже уши сломали
зачем некоторые мухи имеют раскраску под пчел? маскируются под опасных животных. внешний вид должен говорить: "Не подходи, я опасный".
В данном случае мимикрируют под борцов, рукопашников. Из той же области, что и номерные рамки с надписью "Следственный комитет", полицейская фуражка в салоне, боксёрские перчатки-сувенирные на зеркале заднего вида.
От страха и неуверенности.
В стиле кислоты от Тайлера Дёрдена
Щелочь. Там была щелочь.
В любом случае недальновидно надиктовывать мошенникам пример своей речи.
Кроме банков есть друзья, родственники и коллеги, которые в стрессовой ситуации могут натворить дел, услышав ваш голос.
А меня не спрашивают
Ещё это уникальный способ набрать сэмплов вашего голоса.
Если нравятся стендапы, то лучше участвовать во «Фрод-рулетке» или подобном — в этом случае нельзя однозначно связать ваш номер телефона и голос.
Ну не знаю, я всегда беру. Во-первых это же уникальный способ послушать стендап, побесить человекоподобное существо по ту сторону телефона, называть рандомные цифры в СМС и так далее. Потом пожелать чего-нибудь не очень доброго и под вопли скинуть трубку и весь день ходить улыбаться.
А ещё дать каким-нибудь продвинутым ребятам образец своего голоса, ага.
UPD: а, тут уже пять раз это до меня сказали
Довелось мне как-то диктовать номера кредитных карт по телефону для оформления лакшери круиза, который я неожиданно выиграл в неизвестном розыгрыше... 15 минут диктовал и, вы не поверите, ни одна не подошла!
В чем удовольствие-то? Ну обломаете мошенника, так и просто положив трубку было бы то же. Именно смысл поиздеваться над ними, месть за обманутых бабушек? Вы уверены что эти существа сильно расстроились от ваших издевательств? Ладно бы Вы их как-то полиции сдавали, и те их наказывали, в этом бы был определенный смысл.
Они потратили свое время зря. Если все, кому они позвонили, будут держать их на телефоне по максимуму и издеваться - их работа станет невыгодной.
В итоге мошенники переключатся на другой заработок - пойдут маркетологами в торговую сеть, например.
Да там колл-центры или под зонтиком спецслужб соседней страны, или наши зеки этим промышляют. Такие люди не пойдут работать в другое место, одни на службе, вторые в заключении.
Если все, кому они позвонили, будут держать их на телефоне по максимуму и издеваться - их работа станет невыгодной.
идея хорошая, но "все" это даже не половина, а удачное мошенничество в сотни раз перебивает потери времени, одна бабуся в обносках которая перевела свои 25млн накоплений окупит работу такого коллцентра чутьли не на год вперед
а в торговой сети они там за жалкие пару сотен тысяч будут корячится как проклятые..а учитывая какие *удаки идут на такую работу...чот не верю
Это рецепт для азартных бездельников. Для отстальных - понял что мошенники - молча повесил трубку
А они там слепок голоса заодно не соберут?
А тем временем он соберет твою биометрию и потом будет звонить родственникам и знакомым, рассказывая твоим(!) голосом что ты попал в беду и тебе срочно нужны деньги.
Знакомые и дальние родственники все уведомлены (и через соцсети, и в личном общении), что бездомных поросят спасаем и помогаем неграм в Африке только при личной встрече, а никак не по звонку с неизвестного номера или через мессенджер. ;)
С близкими родственниками договорились, что при малейшем подозрении - спрашиваем друг у друга то, что можем знать только мы. Типа - как звали твоего приятеля, с которым вы стол в деревне прожгли свинцом? Или - куда уехал первый котенок от родительской кошки?
Поэтому мошенники могут хоть на тысячу голосов вещать - только выслушают о себе много нелестного.
Это все классно, но образец голоса для голосовой модели я тоже не стремлюсь давать. Детство, конечно, но вот верю.
Так вы с точки зрения мошенников как раз самая лучшая жертва - дурак, который считает, что он умный. Именно с таких у них основные прибыли)
Всё должно быть намного проще. В мессенджерах есть настройка "не приниать звонки с неизвестных номеров" или "принимать звонки только от контактов". По умолчанию она выключена. А должна быть наоборот включена. Люли в своей массе существа ленивые и юзают дефолтные настройки. Сделать разрабам эти опции включёнными по дефолту и 95% схем развалилось бы даже не начавшись.
Тем не менее такие люди ещё есть
Доставка как раз и делает, не самокаты с Яндексом а всякие деловые линии и пониэкспрессы мне всегда звонили с Вацап.
Звонок от «Технический отдел» с телефона +7 (924) 420-64-71 (по whatsup)
Мне так звонили , вечером после работы, когда я на улице с собакой гулял. Видимо рассчитывали, что уставший после рабочего дня.
Этой разводке, скоро год.
Смешнее только когда по WahtsApp звонит "главный следователь МВД . Петровка 38".
Капчу "Чей Крым?" они уже научились проходить. В перезагрузку не выпадают ;-)
я в статье апдейт дописал - этот капчу не прошел :)
этот капчу не прошел
Старая версия стало быть была. А так то да, весело и забавно слушать как они бубнить и мямлить начинали.
А вообще , если серьезнее - я на звонки с незнакомых номеров вообще не отвечаю . Очень редко , под настроение, когда скучно и делать нечего.
А штатно - общаюсь, только с теми кого знаю по предварительной договоренности по альтернативным каналам связи. Т.е. я отвечаю только тем кого я знаю заранее.
Иногда , подобный подход дает , неожиданные профиты , например когда странный манагер вечером в субботу до меня дозвонится не может. А штатные каналы коммуникации не знает или не хочет использовать. В результате у меня спокойный вечер субботы ;-)
Вот да ;) я под этим соусом послал звонок с 900 номера, а потом оказалось, это рекрутер звонила из Сбера ;)) они бы там немного подумали, что народ спам звонки с 900 номера давно не берет!
весело и забавно слушать как они бубнить и мямлить начинали
Весело и забавно читать, как люди, не брезгующие в своих радиоспектаклях прикидываться сотрудниками спецслужб/врачами и даже родственниками - причем вполне успешно, вдруг "сыпятся" на предсказуемом вопросе уже 10 с лишним лет подряд. Ох уж этот забавный мир влажных фантазий аудитории пикабу.
Еще они просят сделать демонстрацию экрана телефона если человек тупит и не может разобраться в телефоне, пытаются через видеосвязь звонить (они вас видят а с их стороны выключена), оповестите всех пожалуйста!
Капчу "Чей Крым?" они уже научились проходить.
Еще можно просить их гимн России спеть. Ну не знают они слов....
Последняя версия, которую я помню, начинается со слов "союз нерушимый". Так что не показатель. Гимн в школе учат, а я в школе учился еще в СССР.
Прошу прощения за оффтопик, но
вспомнилось
Однажды, в студеную зимнюю пору,
Сплотила навеки Великая Русь.
Гляжу, поднимается медленно в гору
Единый, могучий Советский Союз!Союз нерушимый республик свободных,
Уж больно ты грозен, как я погляжу!
Да здравствует созданный волей народов:
«Отец, слышишь, рубит, а я отвожу».На эту картину так солнце светило,
И Ленин великий нам путь озарил;
Как будто всё это картонное было,
На труд и на подвиги нас вдохновил.В победе бессмертных идей коммунизма
Я из лесу вышел; был сильный мороз.
И Красному знамени славной Отчизны –
Лошадка, везущая хворосту воз.
Мы, возможно, удивитесь, но гимн с тех пор не сильно изменился.
Вспомнилась история с чемпионата Европы по футболу в Португалии. За пару лет до этого вернули гимн Михалкова/Александрова. Начало матча, играет гимн, весь стадион поёт "Союз нерушимый...". На следующие игры нашим болельщикам раздавали майки, на которых на спине написан новый текст гимна (чтобы тот, кто стоит сзади - мог читать текст со спины). Но стадион всё равно пел "Союз нерушимый"
Все госслужащие обязаны знать слова гимна.
Где это закреплено и что будет, если не знать?
Это с некоторых пор требуют при сдаче экзамена на государственную службу. К сожалению, не у всех.
Законодательно это не закреплено, хотя это пытаются изменить, чтобы не было таких вот ситуаций.
Опросил 17 человек - только двое знают дальше второй строчки.
И это плохо. Может, нужно менять самосознание?
Ещё в середине 90ых в городке Приморске (бывшем когда-то финским Koivisto) многократно наблюдал картину: к старой финской кирхе (там музей быта) приезжали автобусы, выходили финские пенсионеры (они ехали туда, потому что их детство или жизнь их родителей были связаны с этим местом), собирались у автобуса и сами, не из-под палки, не по команде а капелла пели свой гимн.
Слова гимна СССР знал практически любой школьник (он в том числе печатался на обложке школьных тетрадей), он исполнялся на всех официальных мероприятиях...
Сейчас гимн скорее знают некоторые подростки (его исполнение вернули в школу), чем остальное население страны.
https://www.anekdot.ru/id/921189/
Анекдот №921189
В ФСБ: - Да никакой я не шпион, свой я, свой. - Вот сейчас и проверим. Вы знаете слова третьего куплета гимна России? - Ну, конечно, знаю: "Широкий простор для мечты и для жизниГрядущие нам открывают года..."- Стоп! Вот ты и попался, большинство россиян дальше первого-то не знают...
Сейчас другое поколение, все привыкли моментально получать нужную информацию.
А раньше доступные источники информации были лишь книги, радио и ТВ.
Другие привычки - зачем запоминать, если можно погуглить?
И это плохо - в случае ядерной войны население лишится всей электроники и бумажных носителей, и это будет сильнейшая деградация - ведь в голове ничего полезного не хранится.
А что случится с районными библиотеками, библиотеками ВУЗов в небольших городах? С тысячами компьютеров, на которых хранится копия торрента lib.rus.ec - там, если что, много и учебников и профессиональной литературы. Да, погибнет большая часть населения Земли, но это не будет фатально для цивилизации.
Главное, потом пережить ядерную зиму ;)
В случае ядерной войны, останутся миллионы жёстких дисков и сотни тысяч километров магнитной ленты, ведь бомбить будут в первую очередь крупные военные объекты и в крайнем случае города. Дата центры, если и пострадают, то не существенно. Что диски, что лента, неплохо защищены от электромагнитного излучения. Плюс на личных жёстких дисках много хранится. Правда на большинстве прон, но уж какое поколение.
Госслужащие - это все, кто работает на "государство" - образование, медицина, всякие соцфонды, наука и т.д. Вплоть до уборщиц. Очень и очень сомневаюсь что там хотя бы половина сотрудников полностью знает слова гимна и это хоть как-то отражено в трудовых документах.
Не путайте госслужащих с сотрудниками бюджетных организаций.
Государственная служба — профессиональная служебная деятельность граждан по обеспечению исполнения полномочий государства, государственных органов и лиц, замещающих государственные должности.
Госслужащие - это все, кто работает на "государство" - образование, медицина, всякие соцфонды, наука и т.д. Вплоть до уборщиц.
Это не так. Вы сильно заблуждаетесь. Почитайте Федеральный закон "О государственной гражданской службе Российской Федерации".
К слову, все перечисленные Вами как раз к госслужбе отношения не имеют:
«Не входят в число государственных служащих и работники бюджетной сферы. Это медсестры, врачи, санитары, учителя, методисты и многие другие. Они хоть и играют важную роль в обществе, но не связаны с непосредственным выполнением государственных функций — лишь получают заработную плату от государства. Пенсию им, как и другим работникам, выплачивает не государство напрямую, а Социальный фонд России.»
Я гимн учил в школе. В СССР. Так что другого тоже не знаю... И я россиянин. И таких старше 50 основная часть.
да там много вариантов...
как то звонит мне какой то капитан Федоров из ФСБ
я, помнится, ответил что пару дней назад мне звонил майор Иванов и был послан нах.
не знает ли капитан Федоров не очень ли сильно обиделся майор?
Я однажды что-то затупил и спросил "Киев чей?". Чем похоже вызвал переклин мозгов у звонившей стороны.
Я, например, дальше первой строчки не знаю. Ну вот ни разу в жизни мне не требовалось это знание. Ровно так же, например, я не знаю, как выглядит герб моего города.
Капчу "Чей Крым?" они уже научились проходить. В перезагрузку не выпадают ;-)
Неужели есть еще люди, которые не понимают, почему после этой фразы диалог обычно заканчивается? Кто-то реально думает, что политика играет хоть какую-то роль, когда речь идет об очень больших деньгах? :)
Ps по фразе легко понимается, что человек в курсе развода и нет смысла тратить на него время, когда есть миллионы других людей...
Смешная капча, особенно когда эти колцентры в Москве накрывают.
В Москве накрывают, а вна не накрывают, в этом разница
Смешные и унылые люди бросились минусить карму за этот коммент :-))) Карма имеет нулевую ценность, пусть минусят :-))) Смешно, понимают, что возразить нечего, но нагадить хочется. Всё, что могут :-)))
Глупости, везде накрывают. Легко гуглится
А если не только гуглить, но и ещё немножко читать нагугленное?
По данным следствия, трое организаторов, включая доверенное лицо «вора в законе», создали мошеннические колл-центры на территории Днепропетровской области, откуда совершали звонки на номера жителей Латвии.
Ущерб, причиненный потерпевшим, еще уточняется, поскольку группировка действовала долгое время и обманывала граждан стран Евросоюза, в том числе Латвии.
Злоумышленники создали подпольный колл-центр, действовавший под видом одного из независимых финансовых регуляторов Евросоюза - в частности, мошенники выдавали себя за «экспертов» и представителей различных учреждений, которые предлагали вернуть ранее потерянные средства
А в контексте Хабра все же по умолчанию обсуждается развод россиян. То, что хозяев нельзя кусать, это и так понятно
В Москве накрывают
Вы хотели сказать - открывают. Прямо при тюрьмах, да. Это просто факт, хоть расшибись.
сам оттуда?
Похамить решили? Нет, я на это не ведусь.
А эти - названивают. Я у них доброжелательно интересуюсь, дают ли в тюрьме макароны. Ух, как бесятся! :)
Люди, которые троллят мошенников, по моим наблюдениям делятся на два вида. Одни спрашивают про макароны и статью, другие - про Крым и жёлуди.
И, что характерно, мошенники всегда бесятся.
Обидеть художника может каждый. Представьте, вы старались, играли Гамлета старшего консультанта ЦБ, а вас закидали тухлыми яйцами спрашивают про макароны и Крым.
..и вы этот искромётный стендап от очередного юмориста прослушиваете 501 раз ..
Ну почему же? Мне еще ни разу не повторялись. То "ЦБ", то "СК", то "доставка" какая. Правда мне почему-то сразу, буквально с первых слов понятно, что пошел стендап.
Интересно, минус каменту моему выше - это кто-то не согласен, что мошенник бесится от того, что его дерьмовую игру раскусили, и имеет другое мнение? Или что-то другое?
Я не про то. Просто задумайтесь, сколько раз тот сотрудник колцентра слушал остроумные шутки про Крым ;)
Правда мне почему-то сразу, буквально с первых слов понятно
Вы - не их ЦА.Специально для вас никто ничего разрабатывать не будет, пока есть более доступные цели.
сколько раз тот сотрудник колцентра слушал остроумные шутки
Ну мог бы уже шкуру потолще отрастить и не реагировать.
Кстати, я про Крым спросил ровно один раз, когда шутка только появилась. Обычно я вежливо стараюсь следовать указаниям мошенников без выдачи личной информации. Наоборот, живо интересуюсь, что им еще известно обо мне. Вот после таких долгих и бесполезных разговоров они бесятся гораздо больше, чем от шуток про Крым.
В Москве накрывают, а вна не накрывают
Тоже накрывают, но есть нюанс...
В начале войны - накрыли. Примерно на месяц количество телефонных мошенничеств тогда упало почти в сто раз.
Про рассказ есть вопросы. По описанию
Действительно, пришло сообщение от Roolz (номер +370 682 70239)
c кодом от Госуслуг. А как оно к ним попало, чтобы переслали и почему они тогда сразу напрямую воспользоваться не могли, если уж умеют перехватывать?
c кодом от Госуслуг. А как оно к ним попало, чтобы переслали
а кто сказал что номер от Roolz (номер +370 682 70239) - принадлежит Roolz?
а кто сказал что
Да это не важно. Вопроса вида 'почему код, полученный неизвестно от кого, подошел для Госуслуг?' - не возникает что ли?
Никто ничего не перехватывает.
Мошенник инициирует вызов с кодом на ваш телефон (банально "забыл пароль", "регистрация") и ему ваш код может даже не быть интересен. Просто при получении вами этого кода на фоне кто-то говорит "код подошел/мы его взломали, быстрее бери кредит", чтобы вы это услышали.
И вот у вас смс с кодом и чьи то слова что "код подошел". Вы ПАНИКУЕТЕ и дальше вам звонит "поддержка" с "вас взломали" или смс с "просьбой позвонить" и далее предлагаются действия по вашему "спасению". Человек в панике уже особо не думает - на это и рассчитано.
В данной схеме немного модифицировано - у вас выпрашивается код левого сервиса, а потом "пугающая фраза на фоне" и тревожная смс от "госуслуг". Но принцип тот же - "пугающая фраза"+"смс от госуслуг" должна вызвать панику - и вам предложат "помощь".
И вот у вас смс с кодом и чьи то слова что "код подошел".
Понятно. Что, в общем, лишний раз подтверждает, что вход в такие сервисы в принципе должен быть невозможен по чему-то, что легко продиктовать/показать.
хороший комментарий, жалко плюсануть не могу. действительно, там спектакль разыгрывается, а жертва в нем в панике...
Чего уж проще -- никогда никому не говорить никаких кодов по телефону.
Чего уж проще -- никогда никому не говорить никаких кодов по телефону.
Ну, попросят зайти на какой-нубудь сайт и ввести код там.
Еще раз, для труднодоходчивых - никому не говорить и никуда и никогда не вводить никаких кодов, если вы не инициировали этот ввод сами. Те, вы инициализировали платеж, появилась форма, пришел код - тогда можно. Вы зарегистрировались где-то, появилась форма, пришел код - можно. А когда КТО-ТО ПРОСИТ куда-то что-то ввести - ну камон, что с вами не так. Это же базовая информационная гигиена, дошкольная группа. Эти коды всегда предназначены только для вас и только для очевидных ситуаций, что с ними делать. Не бывает таких кодов, котрые требуют внешнего пояснения от незнакомца по телефону. Конечно, есть и социнженеринг, и фишинг, но это более редкие и сложные случаи. В 9 случаях из 10 жертвы сами просто так дают хз кому коды, как автор поста. Тут уж медицина кибербезопасность бессильна.
Еще раз, для труднодоходчивых - никому не говорить и никуда и никогда не вводить никаких кодов, если вы не инициировали этот ввод сами.
Тут есть некая мутная грань, что именно считать инициацией. Вон, в банках. Общаюсь вживую с оператором. Она говорит 'сейчас SMS пошлю, скажите мне ее'.
Ну вот народ и путается. Потому что если на телефоне сотрудник банка и он сказал, что... - то почему бы и не сказать, что просит?
Так то понятно, что как я тут уже привык говорить - либо вообще трубку не брать, либо 'Предъявите документы, гражданин'.
Общаюсь вживую с оператором. Она говорит 'сейчас SMS пошлю, скажите мне ее'.
Но тут вы ведь сами инициировали общение с сотрудником банка. И как выше написали, вводить/говорить код можно, если вы стали инициатором какой-либо операции, при проведении которой вам придет код.
Но тут вы ведь сами инициировали общение с сотрудником банка.
С чего бы это? Это банк захотел, чтобы я к ним подошел и обновил данные паспорта какие-нибудь. Т.е. инициировал он и достаточно давно.
Нет, это вы инициировали, став клиентом банка (доведём до абсурда)
Вот именно, вы доводите до абсурда. Во-первых, для меня это все ещё выглядит как развод) Если в смс с кодом не было явно указано, что это код для передачи сотруднику, то я бы проверил ваши карты)) Если же все ок, название банка в студию - банков, использующих такие дырявые с точки зрения ИБ схемы, надо избегать) Ни разу за более 20 лет нормальные банки не просили у меня надиктовывать никакие коды. Во вторых, понятие "инициатива" довольно широкое. Например, сравните ситуации - в магазине одежды вы выбрали вещи, подошли на кассу - кассир просит вас зайти в приложение лояльности, нажать кнопку и сказать ему код. Или вы сидите на лавочке, едите мороженое, к вам подбегает человек в форме магазина одежды и говорит "мы хотим начислить вам бонусов, сейчас придёт код, продиктуйте его". Чувствуете разницу?
Ни разу за более 20 лет нормальные банки не просили у меня надиктовывать никакие коды
Лет ... много назад, сидя в отделении Сбера нужно было сказать код менеджеру для подключения телефона в банке. И, да, там вроде так и было написано "назовите этот код сотруднику для подключения такой-то услуги"
У меня сейчас создалось ощущение, что мы о разных сторонах цилиндра говорим )
Мой коммент относился к ситуации: общаемся вживую с сотрудником банка в отделении (куда пришли осознанно с определённой целью). Боюсь, что не вспомню сейчас какой текст содержат СМС в подобных случаях: может быть там есть "про назовите этот код", может и нет. Но не вижу сильной угрозы в этой ситуации: маловероятно что этот сотрудник использует этот код чтобы тут же сделать перевод на свой счёт ) Или что с соседнего стула мошенник подслушает и успеет что-то там мошенническое сделать.
Разумеется, все просьбы о коде в режиме телефонного звонка - сразу нет; тут обсуждать даже нечего.
Вон, в банках. Общаюсь вживую с оператором. Она говорит 'сейчас SMS пошлю, скажите мне ее'.
У меня так же было. Я сходу ей сказал, что никаких кодов называть не буду. Она просто сказал: а вы прочитайте хотя-бы. Я прочитал, а в СМС "Это код из банка %BANK_NAME%, пожалуйста назовите его сотруднику". Это, правда, было при личном нахождении в отделении и код там же поступил.
Примерно так же получал код сидя в магазине при оформлении рассрочки на стиралку, продиктовал его сотруднику банка в магазине.
В моём случае на стене ровно за этим сотрудником висел большой телевизор на котором крутился ролик о безопасности банковского обслуживания. И там был текст: "никогда не сообщайте код из смс другим лицам. сотрудники банка никогда не просят сообщить код." (ключевое слово "никогда")
В тех банках где мне такое встречалось - там как раз в таких СМС сказано что сказать сотруднику можно.
Все так.
Вот только когда мне пришло сообщение о назначенной встрече в МФЦ с просьбой захватить с собой пароль к гос услугам - я вот тоже долго думал что это могло бы быть ;)
Человеческий фактор никто не отменяет
были случаи еще проще - "сейчас вас переключим на робота, так как мы не имеем права спрашивать у вас код. в тональном режиме введите его роботу для подтверждения что вы это вы" и в таком духе. а тональный думаю легко конвертируется в обычный потом.
Вот вы ржёте, а я отель в Турции бронировал по телефону и там таки переключали на робота которому надо было номер карты вводить и это был не скам. Правда, я сам в этот отель позвонил изначально. По телефону бронировал, потому что на сайте у них не был доступен нужный мне вариант, а по звонку сказали, что любой каприз за мои деньги.
В Израиле достаточно часто люди диктуют по телефону данные карты, включая CVV, разным сотрудникам, типа, например, рандомных менеджеров телефонного оператора, которые потом абсолютно добросовестно настраивают на своей операторской стороне автоплатеж за телефон с карты - и это считается нормально и в порядке вещей, и для других онлайн-платежей типа тех же отелей или авиабилетов. При этом мошенники тоже встречаются, судя по тому, что в новостях пишут, что их ловят.
Такое работает там, где есть нормально работающая zero liability.
и для других онлайн-платежей типа тех же отелей или авиабилетов
вы перечислили два основных кейса и чутьли не единственных где такое в принципе применялось и применяется везде до сих пор
специально для отелей и авиабилетов (уже подзабылось но у премиальных карт есть обычно служба консьержа, когда человек со стороны банка купит вам билет на самолет, забронирует отель и вызовет такси) сделаны исключения в правилах МПС чтобы такие фокусы срабатывали
Звонят на замену счетчиков(доставку письма...) и просят озвучить код очереди. Код приходит с нужным текстом, что это код очереди, но от левого номера. Далее на испуг берут, старая схема.
Проще класть трубку при странных звонках, особенно голосом с акцентом. И обязательно поставить контрольный вопрос на восстановление госуслуг, при этом забавные разговоры выходят при желании поговорить.
Вот именно...
Все схемы разводки по одному шаблону:
Я представляю компанию/госорган Х, у вас произошло событие Y, сообщите код.
( X + Y = код из СМС)
Тупо меняют переменные и по новой пошла волна"потекла моча по трубам"
Когда-то давно мошенники, чтобы атереться в доверие, представлялись добропорядочными гражданами.
Не так так давно стали представляться сотрудниками правоохранительных органов.
Теперь же мошенники представляются ....
тадаммм!!!.... мошенниками.
К Госуслугам давно можно прикрутить TOTP и не нужные никакие коды из смс.
Как опция он есть (в профайле можешь активировать) при двух факторке.
К Госуслугам давно можно прикрутить TOTP и не нужные никакие коды из смс.
Прикрутить можно, но все равно, оно просачивается в разных сценариях восстановления доступа, когда говоришь 'я все забыл'. Сервис не решается просто послать сходить ножками в МФЦ, а предлагает способы разной степени сомнительности.
1) и как вы будете обучать людей ими пользоваться?
2) якупилновыйтелефон, что делать как войти в госуслуги? опять по смс?
якупилновыйтелефон, что делать как войти в госуслуги? опять по смс?
Да есть небольшой список способов. Набольшее количество вопросов вызывает тот, который про 'восстановить пароль онлайн через банк'.
1) я всех родственников научил - ничего особо сложного, основная проблема - чтобы человек успел переключить приложения, тут да, нужно было натаскать на последовательность действий.
2) бэкап ключа двухфакторки?
По пункту 2.
ГуглАутентификатор по дефолту хранит отп-ключи в профиле. Просто ставишь приложение на новом телефоне, и там всё как и было. Это про андроид, если что
Выглядит офигенно небезопасненько...
Почему? Чтобы достать эту резервную копию из гуглоаккаунта, атакующему нужно, как минимум, в этот гуглоаккаунт залогиниться. То есть, нужно уже получать несанкционированный доступ не к одной, а к двум учёткам (сначала узнать логин-пароль от гуглоакка, затем как-то пройти там двухфакторную авторизацию, вытащить резервную копию секретов и ещё узнать логин-пароль от госуслуг, чтобы, наконец, там этот секрет применить). Это заметно усложняет задачу.
А для параноиков есть аутентификаторы, позволяющие организовать резервное копирование секретов в надёжно зашифрованный файл, который уже можно смело класть в какое-нибудь облако.
Совершенно нет желания защищать еще и гуглоаккаунт. Совершенно неизвестно как когда и кто сможет получить к нему доступ.
Нормальные люди на отдельном несетевом устройстве такие вещи держат. Ну т.е. у меня в голове не укладывается сама мысль держать коды подтверждения на чем-то что онлайн, а ключи где-то еще в сети. Это безумие какое-то массовое ? Всё ради удобства ? И те, кто понимают, что это безумие по вашему мнению имеют проблемы с психикой :)?
ГуглАутентификатор по дефолту хранит отп-ключи в профиле
Это, кстати, относительно недавно так сделали. В старой версии ключи хранились только локально, и, если правильно помню, если инициировать их перенос на новое устройство, они со старого удалялись. Поэтому бэкап ключа всегда делал в момент активации, так как потом его уже было не достать.
и как вы будете обучать людей ими пользоваться?
Вводить коды из SMS-ок научили же. Тут так же, только смотреть надо не в сообщения, а в другое приложение. Но, увы, оно все равно плохо - мошенник запросто убалтает сообщить и код из генератора.
TOTP в какой-то мере спасает от взлома Госуслуг путем угона номера телефона, а не от таких мошенников.
Имея телефон залогинятся в сбер итп и после этого скинут пароль к госуслугам....
Имея телефон залогинятся в сбер итп и после этого скинут пароль к госуслугам....
Там есть тонкости...
В банке номер телефона должен отличаться от номера, ранее зарегистрированного на Госуслугах, а паспортные данные должны совпадать с данными на портале
Если нет другого номера, оформите электронную сим‑карту в личном кабинете сотового оператора. Телефон должен поддерживать технологию eSIM
Мудрено и наверняка какой-нибудь дурной сценарий есть, когда смогут - потому и 'в какой-то мере'.
Для доступа к банкам и госуслугам в качестве второго фактора должен использоваться аппаратный токен, например, fido2 u2f, тогда никакой мошенник по телефону доступ туда не получит. Также должен быть запрещён сброс пароля по коду из смс.
Хотя бы добровольно эта опции должны присутствовать для тех, кому не наплевать на безопасность.
Этого не произойдёт: Госуслуги продвигают биометрию и Госключ, а банки зарабатывают на мошеннических списаниях, так как большинство пострадавших выплачивает взятые кредиты.
На самом деле было бы неплохо, если бы кто-то объяснил им, что аппаратные госключи - это золотое дно. Их же продавать можно. Каждый. За деньги.
Их же продавать можно. Каждый. За деньги.
Аппаратные ключи банки выдают даром. Но для онлайна не пользуются. Чего я совершенно не понимаю.
Забавно, но банк в котором я работал выдавал аппаратные ключи вовсе не бесплатно. Правда, выдавал только юрикам.
выдавал аппаратные ключи вовсе не бесплатно.
Времена изменились. Сейчас приблизительно все банковские карты - с чипом. Который именно аппаратный ключ. И которому, причем, банки и платежные системы доверяют хотя бы в смысле одобрения расходов. Но вот использовать его для входа в кабинет - вот не знаю, что мешает. Ридер же для этого либо уже в порядочном количестве смартфонов есть (NFC), либо вообще копеечный.
Так полно таких банков за пределами рф. Почему этот способ не использует "самый удобный в мире финтех" (с) - это другой вопрос.
Так полно таких банков за пределами рф.
А можно примеры мне в коллекцию? Когда используется, вставляя в отдельный независимый 'калькулятор' - видел.
А такое, чтобы либо просто в ридер, либо прямо по NFC с банковской карточкой общалось приложение - еще не нет.
"Калькулятор" потому, что банковская карта не имеет собственного воода вывода, а затрояненный комп может подписывать такой картой любые операции показывая пользователю не верную информацию. Тут всё правильно.
одписывать такой картой любые операции показывая пользователю не верную информацию
Затрояненый комп может показывать любую информацию и при использовании обычного аппаратного (который USB) токена. Т.е. как если мы согласны на такие токены (очень много где согласны) - то просто карты доже должно хватать.
якупилновыйтелефон
В аутентификаторе на старом телефоне "экспорт", на новом "добавить", отсканировать QR-код со старого телефона камерой на новом. Работает даже между эпплом и андроидом, без всяких облаков.
del, выше уже сказали
Где ж вы свои номера телефонов оставляете, чтоб вам звонили такие интересные кадры? Мне перестали звонить уже года два как, причем на все номера, а я бы с радостью пообщался :(
То же самое. Отключи защиту в гугл-звонилке :)
Да я как-то в магазине напольных покрытий оставила номер, почти сразу тааакие интересные звонки пошли!
Я первый раз зарегался на OZON что-то купить, так мне столько после этого звонков поперло сразу после этого! Конечно не отвечал на них
Мой номер телефона привязан ко многим сервисам, и оставляю для связи часто, и я бы не сказала, что спам-звонков много. Последний всплеск недели на две был от того магазина, остальные более-менее ровно, два-три в неделю. Дочке летом купила симку, уведомления идут где-то о паре звонков с неизвестных номеров в месяц, но у неё в часах белый список, нигде кроме вотсапа не регистрировалось. В ковидные времена у старшей в таких же условиях была симка теле2, там даже три года белого списка и отсуствие регистраций не спасало от минимум одного спам-звонка в неделю (иногда пробивала что за номера звонили). Белый список на детских часах - звонок с номера в телефонной книге проходит по назначению, о звонках с неизвестных номеров отправляется сообщение в приложение на телефон родителей.
Дочке летом купила симку, уведомления идут где-то о паре звонков с неизвестных номеров в месяц, но у неё в часах белый список, нигде кроме вотсапа не регистрировалось.
Количество номеров не бесконечное. Последние лет 10 купить чистый новый номер невозможно - они все БУ. У меня знакомый купил полгода назад номер а ещё через пару месяцев стали названивать судебные приставы, спрашивая какого-то гражданина. Пришлось ехать к ним и показывать доказательства, что номер куплен недавно и тогда они отстали.
Сливы баз периодически происходят. Потом сразу волна мошеннических спамерских звонков.
Номер они оставляют у сотового оператора. У меня был запасной телефон, он никуда вообще не подключен и нигде не использовался. Поменял на нём симку (сломалась) в тот же день начали звонить.
Сейчас в РФ массово поубирали человеческую схему с логином-паролем и везде аутентификацию по телефону+код из смс делают. Иногда приходится пользоваться такими сервисами.
2FA от гугл можно подключить к Госуслугам
2FA от гугл можно подключить к Госуслугам
Это вы так TOTP обозвали? Он не от гугла, вы можете использовать любой аутентификатор, хоть самописный скрипт в 5 строчек на питоне. Речь не про 2FA. Был у меня, например, аккаунт имейл + пароль в спортмастере, потом они добавили альтернативу телефон + код из смс и оно работало параллельно, а потом логин + пароль выпилили и оставили вход только по смс.
И, кстати, разработчики госуслуг тут писали, что пароль всё равно можно сбросить по смс, через банк-партнёр, забив на TOTP в касестве второго фактора.
Ну вот мой номер, например, светился в сливах данных от вполне приличных контор...
Моему номеру скоро 25 лет. Так что он наверняка во всех базах надёжно прописался...
Впрочем, я с мошенниками предпочитаю не общаться и сразу кладу трубку, а в мессенджерах звонки заблокированы.
и сразу кладу трубку,
Я даже этого не делаю, потому что с задачей "выключить звук и сбросить звонок" прекрасно справляется антиспам. Какой смысл подрываться на каждый мошеннический звонок, когда гораздо удобнее их даже не слышать и не видеть?
А уж тем более, как некоторые в ветке выше, тратить десятки мнут своего времени на разговоры с мошенниками - это вообще преступление по отношению к самому себе.
Некоторые обстоятельства располагают к тому, чтобы отвечать на все входящие звонки. А вот сбрасывать вызов не спешу: там же никто благотворительностью не занимается, за каждую секунду разговора заплачено. Если в фоне есть какой-то разговор, то вообще отлично : эти замечательные люди могут долго говорить сами с собой.
Антиспам не стопроцентно срабатывает. А звонки в рабочее время я принимаю все, мне кто угодно позвонить может. В нерабочее уже по настроению. Но вот общаться с мошенниками у меня настроения нет никогда.
Всякие whocalls-like приложения покрывают где-то 90% спам-звонков. Не всегда оперативно покрывают только совсем свежие номера. Плюс подсвечивают, если вы номер не знаете, а он принадлежит организации. Удобно-с.
Ну так я и говорю - не стопроцентно срабатывает. Кто-то да прорывается.
А мне приходили звонки с пометкой "подозрение на спам" от организаций, с которыми я хотела общаться и сама им оставляла свой номер.
Видимо, гораздо большее количество людей не хотело общаться с этими организациями, раз кидали их номера в спам.
И? Обычно всё же это довольно большие организации и если принято решение с ними взаимодействовать, то стоит принимать все звонки. Главное чтобы общение начинали с того, чтобы сразу сообщали кто и зачем звонит. А то мне так с московского номера звонили с простым "здраствуйте" по моему заказу. Ну кто ждет от звонка с московского номера чего-то нормального?
Потому что эти организации с одного и того же номера звонят с "очень полезными" предложениями, звонками нужными клиенту и звонками когда они чего то от клиента хотят (а клиенту слегка пофиг).
Мегафон вот некоторое время назад со своего номера техподдержки 0500 взялся звонить с голосовой рекламой своей и при этом не проверяют даже (и каждый раз сильно удивляются) - на том номере куда звонят - уже та услуга что предлагают - есть?
Последний раз после записи к врачу были звонки. Но, возможно, просто совпадение.
А сколько времени вам принадлежит номер? Старшей не удачную симку купили - там по началу было очень много спам звонков, благо стояла она в часах с белым списком. И до сих пор бывают, хотя сколько лет прошло, а из регистраций к вотсапу только тинькоф добавился. С младшей получше, почти год пользуемся номером, но тоже вон от 6 апреля звонок, номер бьется как рекламный, за месяц таких пара бывает.
Где ж вы свои номера телефонов оставляете, чтоб вам звонили такие интересные кадры?
Даже без слива баз, номера можно просто напарсить таким образом: робот делает звонки перебором номеров, дожидается первого гудка и тут же сбрасывает. Таким образом узнаём, что номер "живой".
А далее пробуем делать перевод на этот номер по СБП, оттуда узнаем Имя-Отчество владельца номера и привязанный к СБП банк "жертвы". Этого достаточно, чтобы обратиться к жертве по имени-отчеству и сказать ей из "СБ" какого банка звонок.
Но, думаю, что всё-таки по слитым базам откуда-то мошОнникам дествовать проще, например окучивая только возрастных пенсионеров, воронку то нужно сужать.
Да где угодно - заказы в интернет-магазинах, доставки, логистические компании, банки. В худшие дни и по 5-6 звонков с левых номеров бывает.
За звонок на WhatsApp или Телегу любой незнакомый номер должен нахер идти, даже если не мошенник
Диктуйте в таких случаях рандомный код в hex или бинарном виде. Говорите что других цифр не знаете. Разрыв шаблона на той стороне гарантирован )))
Ничего не понял, в чем же заключается схема взлома? Какой-то поток сознания, который никак не облечь в какую-либо схему.
Главное, так и не понятно, им удалось войти на госуслуги или нет? Если удалось, то каким образом, если был продиктован только код, который они сами и выслали? Маразм какой-то.
Да нет там никакого взлома. Там делают вид, что взломали, ставят жертву в стрессовую ситуацию, а дальше обычная соц.инженерия в стиле "мы вас спасем, мы специальная организация по спасению жертв от мошенников", чтобы жертва добровольно сказала настоящий код для доступа на госуслуги
- Вань, а тут его на удержание поставил, проверь, подошел ли код. – Да, подошел! – Можешь тогда действовать!
Да никто и не пытался в ваши Госуслуги заходить, это имитация взлома с целью запугать.
Разводили бы дальше уже фейковые фсбэшники: "На вас оформили доверенность, переводят деньги на Украину, бла-бла-бла..."
ПТ 28 февраля, 10 утра, суета на работе. Вдруг звонит тварь. "Здрасьте, ФИО. Я из почты, ваша посылка осталась в распределительном центре, не знаем куда отправить. Зайдите в нашего ТГ бота, впишите адрес. Открывайте сейчас ТГ, там есть значок лупы, на него нажимайте, набирайте ru_postal_bot. Там надо адрес набрать. Набрали?" Отвечаю: "Мне это сейчас нахер не надо, когда буду свободен, сделаю. Бросил трубку". Потому что кринж, сидит дурная 50+ лет, объясняет как поиск в ТГ работает. Думаю, это и сыграло. В наших госструктурах свидетели Горбачёва, зачастую, далёкие от современных технологий, сидят. Подумал, что вполне может сидеть, по бумажке читать для совсем ретардов. Зашёл туда, значит, набираю. Адрес не поменять, "Госуслуги" просят. Ну, раз "Госуслуги", то сейчас в приложение официальное зайду, найду вкладку с почтой, всё сделаю. Ничего нет. Забил. Опять звонок. Опять дурная: "Ну что? Когда сделаете? Сейчас уже?". Отвечаю аналогично первому разу, но говорю, что там авторизация и не буду делать. Потом бомбёжка десятком звонков за пару минут. Очко от работы горит, тут спам ещё. Решил быстро сделать что дурная просит, да и дело с концом. Ввожу пароль, логин. СМС не приходит для входа. Пробую ещё. Снова ничего. Упорно стараюсь, и вот получается. Ввёл всё. Сразу на почту оповещение "ваш аккаунт взломан, пароль изменён". СМС подтверждения на кредиты по номеру телефона. Ну всё, тильт. Захожу на почту, а там сообщение, что выгрузили данные, туда-сюда. Стилизация под "Госуслуги", номер телефона снизу. Ну я и позвонил.
На той стороне: "Здрасьте, меня зовут Матвей, я из технической поддержки "Госуслуг". Туда-сюда, видим вход с территории государства 404. Сейчас главное сохранять спокойствие и не совершать необдуманных действий. У вас много на счетах? Какие банки? Чем могут мошенники завладеть? Кредиты есть? Как так получилось?"
Пояснил ему, что в первом абзаце, назвал все банки, суммы, счета брокерские, где наличка, сколько золота в каких ячейках, адрес проживания назвал, сказал, что ЗП в конверте. Вот. Ну и он отвечает: "Что у них такой порядок, могут организовать разговор с ЦБ через их каналы, ибо ЦБ с физлицами не работают. Но вы должны молчать, никому про это не говорить. Если скажете, что останетесь со своей проблемой 1х1". Я уже всё, готовенький. Мысль "делайте всё, лишь бы бабки не угнали. Якобы переводит меня на сотрудника, это занимает минут 10. Руки трясутся, заветный сотрудник появляется.
"Туда-сюда, меня Алина. Ознакомились с ситуацией. Как вы так попались? Вот вы знаете, что мошенники такое делают, но попались. Ещё вы нарушили условия банковского обслуживания, и работаете неофициально". Ну всё, добила. Пусть всё делают, лишь бы не потерять ничего.
Опустим детали. Слезла с ушей моих, отправила заявление писать на обработку данных для ЦБ.. Ну, я быстро оформил всё, фотки кинул. Жду. А потом решил на почту зайти, куда сообщение от "Госуслуг" пришло. Открываю, а там залупа. Это сообщение стилизованное под сервис уже изначально от них было. Всё. Окончательно в тильте, жене пишу, что я дебил. Ей не говорил даже, нельзя ведь. Писал, что всё нормально. Рофл. Сразу в полицию звонок, в банки все. Счета забанил. С работы в МФЦ пошёл, услуги восстановил, потом в отделение. Заявление написал, что никакие бабки не потерял, кредиты не оформлял, если они сегодня появились, а данные мои украли. Такие дела.
Вчера девочке на работе тоже звонили. Такие же фрики из почты. Будьте осторожны. Во время суеты, когда очко горит, можно и мать продать похоже.
Накидайте репортов, если не лень, на бота. Вдруг поможет.
с территории государства 404
Почему-то после прочтения такого совершенно не удивлен, что вас удалось обмануть.
Недавно звонок с мобильного - беспокоит Почта России, посылку с таким-то номером забирать будете? (действительно, тогда на почте лежал пакет с алиэкспресса) Я, с наездом, - вы с 10 работаете, я утром никак не могу, а в сб забываю. Пусть лежит, заберу до окончания срока хранения. Она, помедлив, - вы не поняли, посылка на складе хранения, а накладная утеряна.
Тут у меня щелкнуло - какая накладная, какой склад, и с чего такая забота обо мне и моей посылке? Прервал разговор, заблокировал номер, отправил его в МТС и в Сбер.
Пугает, что чуть не разговорили.
Странно, что для кого-то это новость.
В наших местностях в телеграмме к тебе по имени-отчеству обращается любимый начальник, которого ты в глаза три года не видел с упоминанием, что к вам имеет очень большие вопросы замначальника по безопасности и он вам щаз лично все скажет. Может не только текстом, но и позвонить, в том числе и видео звонок. Рассказывают даже о видеозвонке от любимого начальника во время персональной встречи с этим самым начальником.
А насчет госуслуг - очень странно, что тут никто так и не сказал о двухфакторной аутентификации
А насчет госуслуг - очень странно, что тут никто так и не сказал о двухфакторной аутентификации
Оно не поможет. Человек, диктующий по телефону кот из SMS c тем же успехом продиктует код из генератора (ведь это же имеется в виду?). Самое смешное, что всеми нелюбимая биометрия - поможет гораздо с большей вероятностью.
ну вот я лично сначала продиктовал код из смс, потом дошло откуда это смс, потом паника, ляля-тополя, потом не могу зайти на госуслуги, потому что эти балбесы назвали это не двухфакторной аудентификацией и только потом вспомнил, что сам же ее и включил. А продиктовал код, потому как очень четко развели на социальную инженерию в точное время, в том числе с голосом зачуханой тетки, которая целый день занимается нудной социальной поддержкой и которую никто не жалеет. А биометрия она только в приложении, на сайте вроде ее нет
Самое смешное, что всеми нелюбимая биометрия - поможет гораздо с большей вероятностью.
Особенно, при аудио/видео звонках, ага. Утерянный пароль изменить можно. Удачи вам в смене своих биометрических данных.
Именно Госуслуги один из немногих сайтов, который позволяет использовать биометрию вместе с паролем. Там что даже с видео звонком (оно, кстати, что, в самомом деле обманывается таким образом? А где статьи 'мы сломали...'?) - мошенникам придется еще пароль от Госуслуг как-то из жертвы вытаскивать.
Что, впрочем, не отменяет общую бестолоковость такого настойчивого ее прикручивания куда надо и куда не надо.
Но конкретно от атаки 'жертву уболтали по средствам связи' - оно защищает лучше чем TOTP.
Жаль! Жаль, что нам так и не довелось услышать начальника транспортного цеха!
Вот еще вариант атаки, звонок на якобы из СФР (бывший ПФР), представляются говорят что надо уточнить данные по стажу, просят придти в их филиал в твоем городе, при этом правильно называют адрес, просят когда удобно, если соглашаешься записывают в электронную очередь и просят код из смс, код приходит НО от входа на госуслуги или от личного кабинета твоего мобильного номера.
Пенсионерам могут позвонить якобы с целью перерасчета пенсии.
просят код из смс, код приходит НО от входа на госуслуги или от личного кабинета твоего мобильного номера.
А адресат, пославший смс - не виден разве? Смски от банка, госуслуг, опсоса - подписаны ими.
В том-то и дело, что вместо номера высвечивается "Социальный фонд РФ". Схема та же, что и со звонками якобы с номера 900.
Светится в смс СФР? Так явная лажа.
Да и с номера 900 - реальные звонки невозможны.
Сценарии, рассчитаные для совсем уж недоумков..
Не правда твоя. Звонки с 900 нормально так приходят!
Чушь!
Банки никогда не звонят своим клиентам! Об этом даже предупредиловки печатные выдают, всем новичкам, заводящим счета/карты etc
Не чушь. Было дело, при переводе крупной суммы позвонил робот и попросил подтвердить, что я действительно намерен сделать перевод.
Нереал полный. Не может быть звонков из банка. Даже от робота. При любой сумме.
Они сами об этом и предупреждают - всех, всегда.
Скажите это юрикам, за которыми закреплены свои клерки-операционисты. Что касается физиков, то некоторые банки могут прозванивать, некоторые нет. И это будет звонок от клерка с вопросом "операция на сумму Х вы сами делали, подтверждаете?". Без какого либо выпытывания ПД или кодов. Звонок под запись, как и все звонки в банк.
Что касается СБ - вот они никогда никому не будут звонить, даже жирным юрикам. Нужны их услуги? Добро пожаловать в филиал (в отделении как правило их нет). И то, в 70% случаев вас обслужит клерк, т.е. напрямую с СБ вы вряд-ли встретитесь. Работал в банке, кухню знаю изнутри.
Про юриков вообще ничего не знаю. Но для частниклв/физиков звонки невозможны, со стороны банка.
Конечно возможны, именно с "900".
Мне ежегодно менеджер звонит "Все ли ок? "
И я не юрик, я ИП.
P.S. Кстати, никак не пойму, робот ли звонит, или реальный чел, хотя сам в теме. Спрашивал - не признается. Приходи-погляди говорит.
Но голос уж слишком нормальный, не может быть такого у работника среднего звена, да в Сбере. Должен быть замученный )
Подтверждаю, мне тоже звонили при попытке оплатить большой заказ онлайн. И оплата не проходила, пока я не получил звонок и не подтвердил, что все нормально и это я оплачиваю. Правда, никаких кодов из смс не спрашивали.
Большой заказ - это сколько в рублях/баках?
Больше 100к рублей, порядок примерно такой.
В подобной ситуации я сразу расстался с банком, когда они мне зарубили простейший платёж, с простецкой зарплатной дебетовой карты. Там было около 300к рублей. Если они начинают гадить на такой мелочёвке - надо держаться от них подальше. Поскольку организация имела дело только с одним банком, по делам зарплатным, то пришлось зайти в бухгалтерию и написать завявление на получение зарплаты наличкой.
Расставаться с банком, в котором нормально антифрод работает? А зачем?
Поскольку организация имела дело только с одним банком, по делам зарплатным, то пришлось зайти в бухгалтерию и написать завявление на получение зарплаты наличкой.
Вы имеете право по закону получать зарплату на счёт в любом банке.
Мне удобнее наличка. Она универсальная, принимается везде.
Ага, попробуйте оплатить проезд наличкой в наземном транспорте спб.
Это проблемы транспортных служб.
Но если повезёт и появятся контролёры на маршруте - примут наличку.
В любом случае - наличка является официальным платёжным средством и обязательна к приёму для всех видов платежей.
В соответствии с пунктом 1 статьи 140 Гражданского кодекса Российской Федерации рубль является законным платежным средством, обязательным к приему по нарицательной стоимости на всей территории Российской Федерации, а согласно статье 30 Федерального закона «О Центральном банке Российской Федерации (Банке России)» банкноты Банка России обязательны к приему по нарицательной стоимости при осуществлении всех видов платежей, для зачисления на счета, во вклады и для перевода.
погодите погодите, этот вопрос уже обсасывался
вы не можете требовать принять у вас оплату наличкой внутри автобуса ссылаясь на ГК 140
потому что вы можете пойти в кассу и купить билет за наличку в кассе, всё, услуга вам МОЖЕТ быть без проблем оказана за наличку. а то что вы зайдя в автобус хотите оплатить наличкой - это уже ваши трудности. Ведь вы не можете например зайти в самолет Москва-Магадан и оплатить пилоту пачкой нала за билет? у вас не вызывает негодования то что вам запрещают это сделать?
вот тут тоже самое
В самолете и терминалов для оплаты картами нет, однако же в автобусах они наличествуют. То есть цифровым способом оплатить внутри автобуса можно, а аналоговым нельзя, что является явным нарушением ГК и вопиющей дискриминацией
однако же в автобусах они наличествуют.
наличие терминала оплаты картами обязывает рядом с терминалом наличку принимать?
Вы будете требовать чтобы в пятерочке на КСО у вас наличку принимали по ГК140? ведь до стационарной кассы еще ногами идти надо от терминала.
оплатить внутри автобуса можно, а аналоговым нельзя
где в ГК написано что место оплаты должно быть строго в одном месте
Оплатить наличкой вы можете на кассе - оплатить услугу, выходите из автобуса и оплачивайте, оплатить картой в автобусе. в ГК не написано ничего про точку расчета, там сам факт возможности указан - возможность у вас ЕСТЬ. то что она вне автобуса находится - это отдельный разговор и в законе требований на это никаких нет
==
мне этот разговор напоминает споры по запрету шлагбаумов во дворах с ссылкой на то что он ограничивает свободу доступа людей 27й статьи Конституции...когда люди трактуют это так что свобода перемещения почемуто относится к перемещению всенепременно на механическом транспорте, а не только ногами.
это бюрократическая казуистика конечно, но вот да, если хотите ссылаться на закон то не додумывайте формулировки так чтобы они попадали под хотелки
В самолете и терминалов для оплаты картами нет
Есть такая турецкая авиакомпания Pegasus. лоукостер. Там есть.
чай продают или билеты?
чай продают или билеты?
Еду, напитки, если в процессе покупки билета не выбрал. Обычный беспроводной терминал. В следующий раз надо будет проверить, работает ли Google Pay/Wallet в телефоне, или только карты.
По крайней мере, Apple Pay работает.
работает ли Google Pay/Wallet в телефоне, или только карты.
А чего бы им не работать, терминал не знает, физическую карту к нему поднесли или телефон.
В самолете и терминалов для оплаты картами нет,
Куда делись? Всякие закуски/выпивку/сувениры там по-вашему за наличку продают?
В каких кассах продаются билеты на наземный транспорт СПб?
Да и до лампочки - упираешься в ГК 140 и шлёшь всех по любому адресу.
купить билет без комиссии можно в кассах Петербургского метрополитена и в точках продаж СПб ГКУ «Организатор перевозок».
на сайте написано
Но если повезёт и появятся контролёры на маршруте - примут наличку.
Естественно, но только в виде штрафа за безбилетный проезд. Посадка в транспорт с намерерием оплатить наличкой это не факт оплаты за проезд. И вас примут как фактического безбилетника, ведь вы уже едете но не оплатили.
У нас тут много было историй, когда ушлоганы намеренно катались в транспорте с крупной купюрой, в надежде на то, что кондуктор/контроллёр не примет оплату в виду отсутствия сдачи. Когда таких умников стали массово штрафовать феномен сошёл на нет.
но только в виде штрафа за безбилетный проезд
Для штрафа - нужно доказать умысел на "поездку зайцем". Наличность для оплаты проезда есть? Отказа в оплате проезда не было? Ну так и принимайте кеш, именно за поездку, а не в виде штрафа.
Просто из интереса, а вы пробовали подобную схему?
Ситуация каким образом в городе можно НЕ иметь умысел проехать зайцем имея только наличные деньги представляется весьма неординарной. Если это условно региональный маршрут между населенными пунктами например - тут да, понятно, прибыл издалека и не имел возможности купить за наличку билет, хотя и имел намерение. Но в городе? Каким же таким образом у вас без вашей вины не оказалось билета при намерении воспользоваться общественным транспортом? Вас на скорой доставили в больницу, только выписали и вот вы в одиночестве стоите на остановке с целью добраться до вокзала и домой, но вот беда - только наличные деньги имеются?
Да элементарно - подорожник оказался пустой. Ближайшая станция метро, где его можно пополнить - в пяти остановках на автобусе.
Да элементарно - хоть каждую поездку проверяйте баланс подорожника. Задерживаете карточку у "большого" валидатора и он показывает баланс. Если заканчивается - нужно пополнить.
Большой или малый валидатор, в автобусе/трамвае/троллейбусе - не показывают остаток. Только на турникете метро появляются цифры.
Маленький не показывает, большой показывает. Сколько списано, сколько осталось, сколько еще длится "часовая" скидка. Нужно задержать карточку на несколько секунд. Более того, валидатор справа от центрального входа позволяет "активировать" безналичное пополнение, с ними бывает сбои, иногда не видит пополнение, но процентов 90 нормально записывает пополнение.
Умысел в том, что вы едете и до сих пор не оплатили. Как только вы выйдете из транспорта на другой остановке это уже будет совершённое действие "безбилетный проезд", которое доказательств не требует.
Еду и не оплатил - ожидаю уполномоченных, которые могут принять оплату в госвалюте РФ, в том её виде, который обязателен к приёму для совершения любых платежей (ГК 140)
А что "ГК 140"? Это гражданские правоотношения, подавайте в суд. А перед этим отправляйте досудебную претензию. На которую они вам сообщат адрес приёма налички.
В ГК не написано, что должны принимать наличку в удобном для вас месте.
Еду и не оплатил - ожидаю уполномоченных
Неоплаченный проезд карается штрафом. Но вы можете, конечно же, попытаться переубедить уполномоченных, что они должны сначала продать вам тикет ;)
Окно продажи тикета обычно между посадкой и первой проеденной остановкой. Начиная со второй остановки это уже явный проезд зайцем. Единственный момент - доказать, что ты сел более одной остановки назад, раньше это могло быть проблемой. Сейчас же камеры и видеорегистраторы, так что не оплатил до первой остановки - ты виноват в безбилетном проезде. Но человек просто не отдупляет, потому что в культурной столице слишком культурные и терпеливые. А жаль.
Для штрафа - нужно доказать умысел на "поездку зайцем".
Нужно очень сильно прокачанное умение в риторику, чтобы доказать контроллеру отсутствие умысла Коцанный тикет катит за отмазку, некоцанный приводит к гнилому базару (ц)
Для штрафа - нужно доказать умысел на "поездку зайцем".
Легко: "Административное правонарушение признается совершенным умышленно, если лицо, его совершившее, сознавало противоправный характер своего действия (бездействия), предвидело его вредные последствия и желало наступления таких последствий или сознательно их допускало либо относилось к ним безразлично"
Хотел оплатить, но не оплатил и поехал - сознавал противоправный характер действия.
Ничего не имею против налички, как таковой, но мы тут про зарплату. Если вы её не тратите каждый месяц целиком и не живёте от зарплаты до зарплаты, то вам её 2 раза в месяц в банк носить нужно. Что удобным не назовёшь.
И мой комментарий был к фразе "организация имела дело только с одним банком". Это незаконно, организация обязана переводить вашу зарплату туда, куда вы скажете.
Зачем мне дважды в месяц относить зарплату в банк? Мне наличка удобнее и приятнее, во всех отношениях. Да и надёжнее многократно - её невозможно заблокировать на стороне банка.
У меня похожих звонков было несколько всего за всю историю. Первый раз - таки оплата не проходила и прошла после подтверждения что да это я покупаю, да - в (якобы офлайн) магазине в далеко не соседней стране и через ввод данных вручную (магазин назывался Apple Store, у Apple тогда так оплата подписки разработчика была)
А другой раз (и тоже давно весьма) - покупка на 100+к и вопросы а это я? а что? Ну это реально я (оплата товара в ПВЗ в 15 минутах от дома).
Ну и недавно случай - операция блокируется, прилетает СМС что карты временно заблокированы, перезвоните нам, и звонок от банка. Спрашивали что и зачем и понимаю ли что откат если что не выйдет, после ответа - разблок (операция - пополнения билайна (моего же номера) на насколько тысяч рублей, вторая в этот день. Зачем так надо было - если кратко - Paradox'ы виноваты со своими распродажами в Steam)
С 900 звонили, просили подтвердить что это я перевод делаю.
Нереал полный. Не может быть звонков из банка. Даже от робота. При любой сумме. Они сами об этом и предупреждают - всех, всегда.
Ну все, значит 5 лет премиального обслуживания, когда менеджер вполне себе звонил мне приснились :)
Постоянно звонят. Тинькоф, втб, сбер, мтс...
Они же сами предупреждают клиентов - никаких звонков от банка быть не может.
ну и не обижаются, когда их мягко посылают.
Был звонок с 900 с предложением кредита. Я не стал разговаривать объяснив, что "если Вы это сотрудник сбера, то зачем звонки с номера, который предназанчен для уведомления?". Аналогичное предложение по кредиту (1в 1) пришло почти сразу в приложение. В то же день был в офисе сбера (по другим делам) и спросил, практикуются ли звонки с 900. Подтвердили, что это возможно.
Глупо и странно. Но видимо Сбер большой и левая нога не знает что делает правое ухо.
А вообще верить обратному номеру... ну ну. В asterisk любой обратный номер нарисую. Если опсос не порежет в предоставленном канале (в аренду даются, да и субаренду то же)
Кто предупреждает? Они только говорят код не диктовать. А звонки из всех банков есть. Как минимум - подтверждение операции запросить, даже если на рекламу глаза закрыть.
Специально залез в журнал звонков - были входящие звонки с 900.
Банки никогда не звонят своим клиентам!
Чушь. Мне звонила реальная "сб" российского банка через 5 минут после того, как заблочили мой платёж, потому что антифрод возбудился. Пообщались, они убедились, что это я с здравом уме оплату делаю, после чего сказали повтрить платёж и на этот раз он прошёл.
Буквально вчера звонили, именно с номера 900. Заманивали в офис.
Мне звонили с 900, реальный менеджер из банка.
Ага, очень реальный.. Служебное удостоверение предъявил?))
Нет, всего лишь договорились о встрече в офисе банка.
Фигня в том, что инициатором контакта может быть только клиент, а не сотрудник/служба банка. Звонок может быть только от клиента в банк, а не наоборот.
Хорошо, как скажете. Только от клиента, значит только от клиента.
Так об этом дают даже распечатку, при первичном посещении любого банка, например, с целью открыть счёт/карту
Да я уже понял. Персональный менеджер банка с которым я три раза встречался в офисе это призрак, или мошенник. Ну или то что он мне иногда звонит с номера 900 это галлюцинации.
Персональный менеджер в банке? Нафига он нужен? Да и если он реально персональный, на личном договоре с клиентом - почему использует корпоративный канал, не позволяющий его идентифицировать по любому внешнему маркёру?
Персональный менеджер в банке? Нафига он нужен?
забавно но эта штука крайне полезная
я тут терял документы с карточками и звонил в банк чтобы их перевыпускать, и, учитывая что 900 уже упомянули, именно перс.менеджер этого банка внезапно доступен прям 2м шагом после робота и гооворит он не скриптом из 2х предложений, а реально чтото делает
а вот в другой банк где было 24 раньше в названии я звонил, это пи..ц какойто, 10 минут борьбы с автоматом. и человек на другой стороне впервые слышит что люди теряют карты и что при этом надо делать..и в любой непонятной ситуации начинает читать скрипт "не разговаривайте с мошенниками"
забавно но эта штука крайне полезная
я тут терял документы с карточками
Может быть и полезная и забавная.
Но по такой мелочи, как карты? Потерял - позвонил и блокнули. При ближайшем посещении офиса - перевыпустили карты, разблокировали счета - там дел на несколько минут. Никаких предварительных договорённостей не требуется.
В моей жизни был банковский индивидуальный клерк, но там были ячейки с ценностями и счёт шёл на лямы зеленью. Да и клерк работал лишь в пределах офиса банковского.
У них, кстати, симметричный ответ на идентификацию голоса в телефоне: словестный пароль. Но вот блокировка карт, почему-то, не требует называть его, чем обиженные мошонки и пользуются. Кстати, в обратную сторону некоторые несостоявшиеся жертвы тоже так делают, знаю такие случаи. Но заблокировать дропа - там 100 новых готово уже, а тебе блокирнут - топай в отделение лично.
Но вот блокировка карт, почему-то, не требует называть его
Возможно потому что тогда непонятно как отрабатывать ситуацию: вообще левый чел нашел карту (честно нашел а не), там написан номер телефона (иногда и прямо про позвоните), он звонит и дальше что? Пароля он не знает. Карта находится у третьего лица и что делать?
Другое дело что логичнее сделать разные скрипты для пластика и виртуалок (виртуалку потерять так чтобы потом кто-то нашел и позвонил - невозможно).
Вам уже много людей отписались, что это не так и привели примеры из своего опыта. Зачем вы упорно продолжаете отрицать реальность, чтобы что? Учитесь признавать свои ошибки, в жизни пригодится.
Мне пофигу на опыт.
Меня интересует лишь уведомления банков, где сообщается, что банк никогда не звонит своим клиентам. Завтра зайду в ближайший офис и возьму обычную распечатанную уведомиловку об этом. Покажу скан.)
Зачем мне ваш скан? Если там будет написано, что Земля плоская, тоже поверите? В целом, это ваше дело, реальности пофигу на ваши фантазии о ней.
Мне не надо верить. Это просто банковские правила, это реальность.
Я вам верить не собирался, вы невнимательно читаете. Это вы верите тому, что написано в непонятных бумажках, отрицая реальность. Ещё и обобщающие выводы делаете на всю российскую банковскую систему, получив бумажку с творчеством "маринки" из какого-то одного отделения банка. Но даже если вы так хотите верить бумажкам, читайте те, которые называются "условия банковского обслуживания" и содержат подписи и печати. Впрочем, это ваше дело, как я уже написал. Ваше неумение признавать свои ошибки будет вам мешать жить, а не мне.
И не верьте. Но я на всякий случай оставлю это здесь: https://www.kp.ru/daily/27269.5/4403056/
Да, покажите, интересно. Желательно из Сбера, раз уж разговор зашёл про номер 900. Но и из других тоже подойдёт.
Госуслуги были чуть ли не первыми из моего списка желаемых сайтов кто реализовал 2FA с помощью TOTP. Включите 2FA, отключите SMS. Я понимаю, что подавляющее большинство в обществе несколько далеки от такой идентификации, но вряд ли тот, кто хабр-то читает и тем более пишет на него. Почему и зачем вам до сих пор подтверждение по SMS?
Ещё бы банки уломать на подобную аутентификацию и об SMS можно забыть как страшный сон...
Почему и зачем вам до сих пор подтверждение по SMS?
Потому что проще и универсальней, не надо ставить дополнительный софт, не остаёшься без входа в сервис, если вдруг телефон сдох/потерялся - просто меняешь симку.
Само собой, удобство - это противоположность безопасности. Но лучше уж смс, чем вообще ничего.
Как раз с TOTP удобства больше, не останешься без входа в сервис в подвале или на даче, где не ловит твой опсос или за границей, где опсоса забанили из-за санкций. Не потеряешь доступ к сервису, т.к. опсос отобрал у тебя номер и продал другому. Если вдруг телефон сдох/потерялся - просто восстанасливаешь секреты из бэкапа.
А самое главное, телефон нафиг не нужен, я его могу по несколько дней в руки не брать.
Если у вас что-то случится с сотовой сетью, то вы рискуете вообще не попасть куда надо. Со мной просто это случилось очень давно и было "вот прям надо сейчас", но урок я усвоил. А проблемы со связью сейчас в разных уголках нашей страны наблюдаются периодически.
Ну и нет-нет, не скажу что часто, но и не единичный случай, когда что-то случается, владелец SIM переходит в временный offline в жизни, ОПСОС загоняет баланс карты в минус и вдруг уже через полгода кто-то оформляет этот номер себе и начинает восстанавливать доступ к всяким интересным ресурсам.
Я не ради холивара, просто объяснил, чем мне не нравится SMS. Основная проблема сотового номера для меня в том, что он не моя собственность и отбирается у тебя уж очень легко.
А вот это прям очень ценное замечание! Спасибо, задумался...
Как выше написал - каждый сам оценивает свои риски и удобства. Я бы, к примеру, в куче мест входил бы по простому паролю - но владельцы строго по коду или звонку пускают.
Или хотел бы подтверждение на почту - чтобы телефон в руки не брать. Но нет, только смс.
Но коды люблю ещё меньше - ради них же тоже телефон надо в руки брать. Потому что на компьютере их настраивать - так я за разными компьютерами работаю, а иногда и без них.
ВТБ и Т2 стали первыми, кто внедряет дополнительную защиту СМС от банков для самых уязвимых категорий — клиентов 14–21 года и 60+. Теперь оператор будет задерживать сообщения с кодом доступа в онлайн-банк, поступающие во время телефонного разговора, на случай, если звонят мошенники.
Вчера только говорили и вот сегодня в новостях вычитал. Очередной звоночек - банк будет решать когда вам доступ будет к собственным деньгам, а не вы. По ночам можно вообще запретить вход. Безопасно и очень удобно - всё ради дорогих клиентов.
:-) Тут ситуация гораздо хуже...
В паре банков я операционистам прямо говорил (когда становился клиентом). "Готов подписать бумагу/заявление, где я беру на себя ответственность за собственную удаленную аутентификацию только по паролю. Возможно у вас это сделать? Могу я сам определять безопасность собственных средств?"
Ни один не предоставляет такую услугу.... :-(
Я вот например думал над этим.
TOTP vs SMS -
(+): Удобнее (лично мне. Заныкать куда ни будь бумажку с QRC/ключом не сложно). Если уведут номер - не уведут 2-й фактор и с ним веcь доступ.
(-): Но.. будет утечка данных из Госуслуг? Утекут и TOTP ключи.. Они же у них 100% не в HSM.
Но чисто технически, красть телефонный номер (SIM) будут только целенаправлено по наводке (знаю случаи). И это требует каких то физических действий (поддельный паспорт, сговор с сотрудником салона и пр.)
А вот данные TOTP паролями.. это просто данные.
Не верю я в то, что "не может утечь БД Госуслуг". Может уже утекла. Просто наверняка это широко известно только в узких кругах. Кто же таком признается то.
Если делать всё правильно, то база TOTP - совершенно другая изолированная и зашифрованная база, доступ к которой не должен пересекаться у людей, имеющих доступ к базе с данными авторизации, пароли в которой, между прочим, в явном виде не хранятся. Слив этой базы - это вероятный фактор, который должен учитываться. Но для получения доступа слив баз должен быть консистентным, что уже должно быть сложно.
Понятно, что всё это должно, а как там на самом деле организовано никто ж не знает) Разумеется, если вы пользуетесь TOTP, то это не отменяет правила периодической смены логинов/паролей.
Если делать совсем правильно, то ключи TOTP вообще должны лежать под ключем LMK HSM в БД. А проверка TOTP должна выполняться внутри HSM (железки).
Именно такую реализацию для банков я когда то делал и для TOTP/OTP и для одноразовых паролей, "генерируемых" EMV картой. (FM прошивка HSM. HSM в девичестве Eracom).
НО вопрос стоимости всегда превыше безопасности. Поэтому в жизнь не пошли ни брелки c одной кнопкой и ЖК экраном на 6..8 цифр (TOTP), ни технология генерации (MasterCard) одноразовых паролей на ARQC чиповых карт (такие забавные ридеры размером с карту и маленьким ЖК экраничиком).
Банкам оказалоьс проще и дешевле брать с клиентов за "обслуживание" (отправку SMS) и использовать SMS чем поддерживать безопасную систему проверки паролей.
Зная уровни компетентности, текучку сотрудников и пр. в банках, и то как бабло побеждает все - ооочень сомеваюсь даже про отдельную БД в Госуслугах.
Так что не... не доверяю.
Наличие ТОТР не отменяет периодическую смену паролей для критических доступов. Таким образом, обнуляются прошлые сливы.
Я сейчас подумал что и TOTP тогда следует периодически отключать/подключать с целью обновления ключа TOTP. Если уж пытаться правильно всё делать)
Несколько лет назад читал исследование, согдасно которому регулярная обязательная смена пароля не повышает, а понижает безопасность.
Регулярная смена делает пароль уязвимым для разных социальных техник, это провоцирует оставлять пароль сохраненным в ненадежных источниках.
Интересно - а причины понижения какие?
Там ключевое слово — "обязательная", а не "понижает". Суть в том, что если это регулярная обязательная смена пароля, то она обычно делается из-под палки и на отвяжись: юзер либо придумывает какой-то слишком простой пароль, либо минимально изменяет свой предыдущий пароль, либо вообще пишет новый случайно сгенерированный сложнозапоминаемый пароль на бумажке и располагает её рядом с компом на видном месте — отсюда и понижение безопасности.
А вот если юзер добровольно меняет пароль, чтобы "обнулять прошлые сливы", как вы писали выше, то тут можно рассчитывать на то, что такой сознательный юзер пользуется менеджером паролей и ответственно отнесётся к смене пароля — и снижения безопасности не будет.
а причины понижения какие?
пароль, который часто насильно заставляют менять, человек перестаёт запоминать и записывает куда-нибудь на бумажку, например на клейкий стикер рядом с компом.
НО вопрос стоимости всегда превыше безопасности.
Когда экономит банк, а убытки несёт клиент, так и будет. Нужно чтобы банк не зарабатывал на мошенничествах (люди возвращают левые кредиты с процентами) а нес убытки вместо клиента. Тогда ситуация исправится моментально.
Нужно чтобы банк не зарабатывал на мошенничествах (люди возвращают левые кредиты с процентами) а нес убытки вместо клиента.
Ну.. (вспоминая недавно опубликованные новости) тут есть пачка поручений президента. Народ слегка побурчал по поводу части из них, но вообще-то там было и
Пр-706, п.2 а)-3
возмещения кредитными организациями и операторами связи гражданам Российской Федерации денежных средств, списанных с их счетов в результате совершения мошеннических действий, в случае непринятия кредитными организациями и операторами связи мер противодействия, определив условия, размер и порядок такого возмещения;
...
Пр-706, п.2 а)-3
установления обязанности кредитных организаций возместить денежные средства клиентам, а также иных мер ответственности кредитных организаций в случае хищения денежных средств клиентов с использованием подвергшихся взлому посредством вредоносного программного обеспечения приложений кредитных организаций, установленных на устройствах клиентов;
Ну и далее по списку.
Это популизм. Банк должен возмещать деньги безо всяких условий по первому обращению клиента. Если клиента обманули мошенники, значит банк не предпринял всех необходимых действий и т.д. Единственно, что должно оставаться у банка, это право обратиться в правоохранительные органы, если банк считает, что мошенником является сам клиент. Если это будет доказано, такой клиент-мошенник должен получить заслуженное наказание.
Это как с ПДД, "водитель обязан выбирать безопасную скорость и т.д.", если вы приехали кому-то в зад, вы виноваты по умолчанию, до тех пор, пока не докажете обратного.
Это популизм.
Но умеющие в бюрократические виды единоборств могут пальцем показывать и палочкой тыкать разные организации. Может чего из этого и выйдет.
Здесь нет бюрократического татами. Поручение президента не является нормативным актом, за его невыполнение не следует ответственность, несоответствие чьего-либо поведения этим поручениям не влечет юридически значимых последствий.
Единственное, чем рискуют получатели таких поручений — снятие с должности. Единственный субъект, имеющий полномочия такую меру ответственности применить — сам президент. Если захочет. Всякие суды, прокуратуры — в пролёте.
Это как с ПДД, "водитель обязан выбирать безопасную скорость и т.д.", если вы приехали кому-то в зад, вы виноваты по умолчанию, до тех пор, пока не докажете обратного.
Если клиента обманули мошенники, значит банк не предпринял всех необходимых действий
Получается, что вы въехали кому-то взад потому, что не держали дистанцию, но обвиняете производителя авто в том, что он не защитил вас от возможности так сделать?
В 100% случаев жертва сама что-то такое делает, сама передаёт код из смс или даже сама идёт снимать деньги из банкомата, а потом передаёт их курьеру. Тот есть как бы банки не защищали клиента, например принудительно навязывая TOTP, всё равно будут случаи, когда жертвы введут всё, что нужно.
Если бы действия жертвы были бы не важны, то звонков бы не было. А раз мошенники звонят, значит без действий жертвы они не могут ничего украсть. Банки, конечно, пытаются всё подозрительное блокировать, но порой жертвы так зомбированы, что не верят ни работникам банка, ни полицейским рядом. Что тут банк может сделать, если клиент сам хочет снять все деньги, плюс взять кредит и отдать их мошенникам?
вы въехали кому-то взад потому, что не держали дистанцию
Отчего же, держал. Сколько там на 100 км/ч считается безопасным? Метров 50? Вот в такое окно с соседней полосы влезает мудло и бьет по тормозам, чтобы успеть вписаться в поворот (ведь заранее перестраиваются только лохи). Регистратора у тебя нет. Твои действия на разборе ДТП?
Получается, что вы въехали кому-то взад потому, что не держали дистанцию, но обвиняете производителя авто в том, что он не защитил вас от возможности так сделать?
Нет так не получается. Если вы приехали в зад кому-то, то виноваты вы, потому что вы управляете транспортным средством, даже если оно принадлежит вашеву другу. Банк взял в управление деньги клиента. Если в отделение приходит бабуля с квадратными глазами, которая не выпускает телефон из рук и снимает пару миллионов, чего не делала никогда, а потом еще и кредит берёт, то виноват банк. Если банк одобряет кредит человеку, доходы которого не позволяют этот кредит обслуживать, то виноват банк. Если банк отказывается использовать аппаратные ключи, хотя клиент об этом просил, а потом мошенник получает доступ к аккаунту, сбросив пароль с помощью кода из смс, то виноват банк. Банк существует не для красоты и не для оплаты яиц куаркодом, его основная задача обезопасить деньги клиентов. Иначе проще хранить нал дома.
Что тут банк может сделать, если клиент сам хочет снять все деньги, плюс взять кредит и отдать их мошенникам?
Камон, вам бармен пива не нальёт, если увидит, что вы не в адеквате, а банк не может, у него лапки. У банка есть СБ и антифрод.
Я пару лет назад обратился в несколько банков и попросил из о 3 простых вещах:
Запретить сброс пароля на моём аккаунте любым способом кроме личного визита в отделение с паспортом и запретить вход без пароля.
Запретить использование мобильного приложения с моим аккаунтом, только интернет-банк мне нужен.
Установить на моём аккаунте в качестве второго фактора любой аппаратный ключ, удобный банку, который я обязуюсь купить самостоятельно.
Все банки, в которые я обратился, по всем 3 пунктам ответили мне отказом, рассказав, что у них прекрасный антифрод. Так вот, после этого я считаю, что любую ответственность, связанную с моими деньгами обязан нести банк, потому что именно он забил на безопасность, а не я.
Так вот, после этого я считаю, что любую ответственность, связанную с моими деньгами обязан нести банк, потому что именно он забил на безопасность, а не я.
Кстати о птичках, именно поэтому следует очень осторожно формулировать заявление в полиции. Например, деньги на ваших счетах не ваши, они банка. Банк лишь имеет обязательство перед вами ими распоряжаться. Это, кстати, изначальная функция бумажных денег, лол: bank note. Однако, в сознание обывателя вложили червячка что деньги его. И тут вот какая засада.
Если вы напишете "у меня украли деньги со счёта банка" то юристы банка лихо соскочат с дела или крайне минимизируют свою деятельность, ведь юридически вы заявили о своих деньгах.
А следует писать "с моего счёта у банка украли деньги" и ситуация в корне меняется, ибо вступает в дело договорное обязательство банка о ведении счёта клиента. И тогда их юристы будут работать на полную мощность, такого ресурса вы себе не сможете обеспечить. Правда, это не значит, что они не будут пытаться халтурить, но у вас будет законный рычаг.
Ещё бы банки уломать на подобную аутентификацию и об SMS можно забыть как страшный сон...
Для начала уломать бы банки на использование пароля, как обязательного фактора, железного фактора! Невосстанавливаемого дистанционно фактора!
Крупные банки к 2025-му году таки разродились настройками запрета дистанционного восстановления пароля. Уже прямо огромный шаг с их стороны) Полазьте у себя в настройках онлайн-банкинга.
А с TOTP я ежегодно в саппорт письма отправляю, мол давно уже много где введено, ну когда уже наконец-то?
А толку то? Например, я в своем банке ставил раньше такой запрет, а потом банк ввел возможность смены способа аутентификации путем привязки нового устройства через одну единственную смску и не требуя при этом ввода пароля. Тем самым любые пароли вообще оказались бессмысленными. Нужен законодательный, железный (!!!) запрет нивелировать парольную защиту. Иначе толку нет, при открытых форточках.
По ТВ сказали что за прошлый год обманули на 200 с лишним миллиардов.
Возникают сомнения, что можно найти столько сумашедших, добровольно отдавших деньги.
Поэтому скорее всего деньги переводят внутри банка как будто это сделал сам клиент
и звонят под видом мошейников для маскировки.
И ничего не докажешь: мошейники звонили, деньги перевёл, сам виноват.
Возможно ли такое?
По ТВ сказали что за прошлый год обманули на 200 с лишним миллиардов.
Показания, как обычно, расходятся. Если я правильно понимаю, у ЦБ другое мнение насчет этой суммы.
У ЦБ заниженная минимум на порядок цифра. В статистике ЦБ только те, кто смог настоять на том, что в отношении тебя совершено мошенничество. Банк будет давить на то, что "раз сами код сообщили мошенникам, значит добровольная операция". Там надо заяву писать в полицию на возбуждение уголовного дела, потом в прокуратуру на бездействие полиции и т.д. вплоть до спортлото.
А так цб сами сообщали, что не смотря на наличие правовой базы нет ни одного прецедента возврата денег клиенту, т.к. всё типа добровольно. (ни одной перевыпущенной или украденной симки, ни одного подобранного кода, ага, верим).
SMS это именно та дыра, которая делает участие других лиц в мошенничестве недоказуемым со стороны клиента. Думать надо не только о том кому говорить или не говорить код, а еще о том, как вы будете доказывать, что вы сделали именно так как сделали.
А зачем соглашаться на биометрию в банках (да и вообще где-либо?).
Кнопкой "закрыть", ага.
Биометрия - самый ущербный метод аутентификации - сменить логин с паролем в случае компрометации легко, заменить железный ключ (симку ту же) тоже можно. А голос, отпечатки пальцев или лицо с сетчаткой не поменять никак.
Нормальный способ, когда ты можешь убедиться что владелец биометрии и источник волеизъявления - одно лицо. Например при личном визите в банк (случаи грима и наклеенных отпечатков не рассматриваем как экзотику и проблемы конкретного считывателя). Надёжнее паспорта по факту.
Кнопкой "закрыть", ага.
Уже писал, что принципиально не пользуюсь услугами банков на Т и на А, которые позволяют себе неуважение к клиентам. (Тау-банк и Астартес-банк, если что ;) ).
Сбер такого не делает, периодически пытается соблазнить меня на сдачу биометрии, но после получения четкого отказа - отваливается.
ВТБ меня просто очеровал, когда клерк сказал "без проблем" на просьбу убрать лишние галки из договора.
В Альфе этого "не даст сделать программа", а клерк откажется заверять бумажный договор с вычеркнутыми пунктами и ты либо "добровольно соглашаешься на условия банка", либо уходишь с пустыми руками.
Тинькофф где-то посередине с позицией "прокатило/не прокатило", но у них маркетплейс вместо ДБО и невыгодные условия обслуживания.
Да, дополню вдогонку - я не против биометрии как "логина", но к ней должен обязательно прилагаться второй сменяемый фактор (пароль, смарт-карта, TOTP...). Тогда получается достаточно надежно.
Как на телефоне сейчас - разблокировать можно по faceID, но в банковское приложение или менеджер паролей зайти - будь добр ввести пин-код.
Там надо заяву писать в полицию на возбуждение уголовного дела
Неверно. Писать заяву в полицию - это первое, что предлагает сделать банк (и чего, соответственно, делать нельзя ни в коем случае!), потому что как только возбуждено уголовное дело - банк вам больше ни чего не должен (что юридически подтверждается фактом наличия уголовного дела). Вам отныне должны неустановленные лица, у которых теперь ваши деньги (не у банка).
Правильная позиция - у меня ни кто ни чего не крал. Банк в нарушение правил обслуживания сделал перевод - пускай он теперь отменяет перевод. Ни какой уголовки (а значит банк вынужден доказывать, что он не верблюд, клиент в таком случае ни чего доказывать не обязан). Если банк полагает, что было какое-то мошенничество, кража и т.п. - ну пусть сам тогда пишет заявление и ищет тех самых людей, которые у него украли деньги. На взаимоотношения с клиентом это ни как уже не повлияет.
Если не учитывать стрессовые моменты, то тут есть как минимум 2 слабые точки. Первая - это звонок от незнакомого номера в WhatsApp. Может не сработать, если человек часто пользуется данным мессенджером. Вторая:
- ой, я вас понимаю, но что мне делать, я не могу взять посылку без него.
- Не мои проблемы, прошу прощения.
Первая - это звонок от незнакомого номера
Вот этого уже и достаточно. Когда с какого-то незнакомого номера вам звонят и начинают говорить, что нужно сделать "что-то" - сразу заканчивать разговор. И не важно, что требуют: назвать код, пойти поджечь дверь военкомата, пройти опрос... Незнакомый человек звонит и что-то требует - идёт лесом быстро, решительно.
Не так всё просто... Например, действия мошенников могут быть весьма изощренны. Например, вы сделали заказ в интернет-магазине, ждете доставку, вам звонит человек и представляется курьером... Вас это звонок насторожит? Очень опасная ситуация, когда мошенник вклинивается в шаблонную цепочку действий, не так просто его распознать.
Звонки и сообщения в мессенджеры от всяких служб, магазинов и т.п. - это сразу признак того, что вас хотят развести. Звонок голосом или смс. Другие каналы общения - побоку.
Не, само собой, и голосом вас тоже запросто обманут. Но звонок в ваззапе - это стопроцентные мошенники.
Внезапно CAINAO в смысле доставка от алиэкспресса вполне себе может сообщение прислать в ВК например, если аккаунт на этот номер есть, на вопросы отвечают что все безопасно и это вообще сервис у ВК такой, коды получения для постомата могут прислать по СМС если прямо попросишь в чате.
Внезапно CAINAO в смысле доставка от алиэкспресса вполне себе может сообщение прислать в ВК например, если аккаунт на этот номер есть
Могут. И пятёрочка туда шлёт. И мвидео в телеграм может коды слать... Но вконтакт я захожу раз в месяц, сообщения же вообще могу через несколько месяцев только увидеть. А на "телеграммы" от ботов у меня уведомления отключены. Потому жду, пока пришлют смс.
А что мошенники могут разрушительного сделать в Госуслугах, кроме взятия кредита? И как это в аккаунте запретить?
Если уж добрался - может удалить аккаунт.
Какие кредиты выдают на госсуслугах - неведомо.. это же не финансовая организация.
Наверное, вот такие: https://www.banki.ru/news/daytheme/?id=11007974
Так зачем давать доступ к своим данным всяким банковским барыгам? Для них всё изначально заблокировано мной. Надо будет получить кредит - дойду до ближайшего офиса и буду оперировать классическими бумажными документами..
А все виды жуликов, которые вздумают меня развести - всегда в пролёте, даже беспокоиться по этому поводу не надо.
Взять кредит (подтверждение личности через госуслуги достаточно для получения кредита онлайн).
Утащить вашу информацию и далее её использовать.
Получить налоговый вычет. Хотя это долго и сомневаюсь, что будут заморачиваться.
Ещё можно было квартиру продать, хотя там кроме госуслуг ещё подпись нужна была электронная.
Можно поставить на телефон приложение Госключ, авторизоваться через учетную запись госуслуг и получить усиленную квалифицированную цифровую подпись. Дальше, мне кажется, открывается свобода для творчества)
Перевыпустить симки. Сейчас для них даже специальный сервис сделали чтобы мошенникам удобно было посмотреть список симок.
У моей мамы взламывали Госуслуги. По списку действий, авторизовались в сервисе проверки кредитной истории и проверили список объектов недвижимости во владении. Включили TOTP двухфакторку. Больше ничего не сделали, возможно потому что недвижимости не нашли.
Например, могут загрузить в раздел доверенностей поддельный документ, где нарисовано «подписано электронной подписью» и ваше ФИО
Если человек и так в стрессовой ситуации, то такой легитимно выглядящий документ («отправитель: Портал Госуслуг») его добьёт, и ещё надёжнее посадит на крючок.
Лично была свидетелем, как с использованием такой схемы украли все накопления у пенсионерки (меня попросили заехать, помочь заблокировать звонки в мессенджерах, плюс поменять везде пароли)
могут загрузить в раздел доверенностей поддельный документ, где нарисовано «подписано электронной подписью» и ваше ФИО
Не могут. Этот раздел не пополняется с клиентской стороны.
Значит они нашли какую-то иную лазейку (или загрузили в более «общий» раздел), потому что я своими глазами видела эту пдфку на госуслугах, с пометкой что отправитель сам портал.
Если её не могли загрузить, взломав аккаунт (а его взломали), то значит в госуслугах есть дыра размером в сарай, позволяющая произвольному кругу лиц отправлять документы любого содержания анонимно, да ещё и от имени портала. Хотелось бы верить, что такого [трындеца] там не допустили
Буквально на днях звонили по поводу обновления полиса с бумаги на пластик, попросили один документ для записи, дал ИНН(его любой может накопать)
Через час звонок, "здравствуйте это поддержка госуслуг, в ваш аккаунт привязали номер телефона, это были вы?" Далее передача с одного оператора на другого, изображение бурной деятельности.
Третий оператор оказался мужчиной, захотел ещё какую то информацию, на что я возразил что на моих госуслугах двухфакторка с OTP, и я как нибудь сам справлюсь с заходом на аккаунт без спешки и отвяжу номер. Тут чел бомбанул и начал грубить😆, ну я отчитал его за непрофессионализм и повесил.
нашей службой был заблокирован звонок на ваш номер. Он помечен как подозрительный. Можете объяснить что было?
Заблокировали они, а объясняться вам? Интересно. Раз они заблокировали, значит знали почему - никто же просто так не блокирует
Что значит заблокировать звонок? Вам позвонили - значит, блокировка не удалась. Если вам не позвонили, то откуда вы знаете о том, чего не произошло
Там ещё нужно понимать, что если кто-либо говорит, что на вашем счету что-то подозрительное, то стопудово мошенники. Обычно просто блочат аккаунт, пока не докажешь, что не верблюд. Никто там тебе звонить по этому поводу не будет.
Мне один раз позвонили и сказали, что пресекли несанкционированный доступ в мой личный кабинет XYZ-банка. Я сначала поблагодарил, а потом не сдержался и начал ржать.
Во первых, какой же он несанкционированный доступ если доступа то и не было? А, во вторых, я услугами этого банка уже ооочень много лет не пользуюсь. Они пытались сказать что ничего смешного нет, но я понял, что схему мне уже в таком состоянии дальше не пройти и повесил трубку.
Но ведь скрипт рассчитан на человека, который должен на слова "несанкционированный доступ" стриггерится... только я стригерился не в ту сторону.
А так мне нравится им подыгрывать, что бы схему понять. Но видимо я часто палюсь.... что-то давно уже не звонят, похоже я в их блеклист попал...
Писал статью на тему телефонных мошейников (https://habr.com/ru/articles/759514/)
И там описывал кейс как защитить себя от этого заведя 2 номера телефона:
- один для госуслуг, ФНС, Банкинга, СБП
- второй для знакомых, программ лояльности, договоров и везде где хотят ваши фио + номер
После этого у вас на 99% не будет проблем с мошейниками
Я перестал советовать такой способ. Есть же принцип, что сокрытие не является усилением безопасности. Закрытый код - не гарантия отсутствия дырок. При этом второй номер будет тут же известен как только будет первый перевод по СБП. Продали что-то на avito и номер уже у другого человека / компании. Понятно, что можно не принимать звонки на этот номер, а работать только с сообщениями, но где гарантия, что в базах нет связки номера-человек.
Зная ваш номер телефона, я узнаю, как вас зовут примерно секунд за 30. Достаточно начать оформлять перевод по СБП по номеру и мне тут же услужливо подскажут, что вы Михаил Самуэлевич П. и покажут в каких банках у вас есть счета. Сам перевод, при этом, отправлять не надо.
И после этого всплывает например проблемы вида:
знакомые хотят перевести вам денег - надо объяснять про второй номер
оплата на озонах и прочих гнилых ягодах - там или надбавка за более нормальный способ или оплата - переводом по СБП на свой счет в маркетплейсобанке (счет для вас завели уже бесплатно).
программы бизнесзалов в аэропортах (да, они работают, в том числе и в России сейчас), на некоторых банковских тарифных планах оно бесплатно с лимитами но надо либо входить тем же номером телефона либо вообще через приложение банка
Странно, на Хабре вроде люди умные, а судя по комментариям большинство мошенникам образец своего голоса предоставили.
Мда. Претензия к МТС ярко показывает, насколько персона "прошаренная".
Самое стремное, что схема на самом деле всегда одна и та же, формула та же, просто меняют переменные:
Я представляю компанию/госорган Х, у вас произошло событие Y, сообщите код.
( X + Y = код из СМС)
Переменную X поменяли +100500 обманутых
Переменную Y поменяли еще +100500 обманутых
Понять не могу одного: Тяжело что ли запомнить схему и как-то уже перестать тригерить на смену переменных ?
Да простой же алгоритм защитный: если пытаются заставить тебя что-то сделать, что ты сам не просил (абсолютно любое действие) - это мошенники. Что банковские спаммеры, что цыгане, что прочие твари, на чей звонок ты зачем-то ответил.
Исключение: автоматическое информирование о долгах по оплате услуг :) (пассивное)
+7(996)712-8518. К слову, МТС!
Мне таким макаром звонили "сотрудники Мегафона" по поводу "продления договора". Тоже с МТСовских номеров.
Что поразительно, почти 100% телефонного спама приходит из номерной ёмкости МТТ (она похожа на мобильные номера, см. план нумерации)
У них даже услуга есть - Автообзвон роботом
Заголовок не соответствует содержанию, это не схема взлома Госуслуг.
Печально, что такое публикуют на IT-ресурсе
С приходом вот таких комментаторов хабр уже давно стал ресурсом для домохозяек.
Так это же Хабр не сам постит...
Будет пользоваться спросом. Готовый бокс с микрофоном и динамиком, куда можно положить телефон. И сервис с ботом,нейросеткой. Бот будет общаться с мошенниками и держать в тонусе.
Социальная инженерия не стоит на месте. Проще не поднимать незнакомые номера совсем. Кому нужно - найдут способ связаться и доставить повестку. А уж если вас действительно поставят целью взломать - обязательно взломают, стоит просто расслабиться и получать удовольствие, слишком уж много уязвимостей в современном мире.
Только сейчас не аккаунты взламывают, а мозги жертвы, она сама отдаёт деньги "курьерам"
Способ не лучший - но рабочий: тратить всё сразу, а не копить и взять кредит самому и не платить, чтобы ни один мошенник не мог взять кредит с твоей ужасной кредитной историей.
P.S. На самом деле это практически мой образ жизни, так уж сложилось)
И вот иногда думаешь...как бы на свое общение повесить контроль внешним кодом(можно на базе нейросети :)), который ты контролируешь при этом (но отключение части контроля либо прописанным там же способом либо авторизация по SSH на сервер (со своими мерами безопасности) и ручками ручками)
И как опыт показывает, даже «прошаренных» в IT делах персон можно разыграть.
Вот это правильно! Опасно думать, что "уж со мной то такого никогда не произойдет"...
Реальный пример. В доме была плановая замена электросчетчиков, во всём доме поменяли. Мой счетчик стал зависать. Звоню в мосэнергосбыт по горячей линии, оставляю заявку... Буквально через полчаса-час звонок в дверь... электрик! Давайте смотреть щиток... И только каким-то чутьем, на уровне подсознания, стал понимать, что что-то не то. После нескольких (технических) вопросов-ответов окончательно понял, что это развод, что это псевдоэлектрик и вероятно будет раскручивать на дорогостоящие работы... Настоящий электрик, кстати, до меня так и не дошел, проблема была решена дистанционно.
Я это к чему? К тому, что мошенник может вклиниться в цепочку ваших обыденных шаблонных действий, и выглядеть это может совершенно естественным образом. Как в моем случае: вы вызываете электрика, к вам приходит электрик... Что в может показаться странным?...
ЗЫ
Сейчас повадились названивать на городской телефон с сообщением, что якобы с телефонного узла звонят, сообщают, что номер телефона будет изменен через несколько дней, диктуют новый номер. При этом никаких кодов не спрашивают, многоходовочка по-видимому у них...
нет слов, а что Федеральный закон 149-ФЗ от 2023 г. никто не знает. Госучереждениям, бюджетным организациям и организациям с гос. участием запрещено использовать в повседневной деятельности иностранные мессенджеры в том числе WhatsApp, Telegram и все остальные. Любые звонки от любых органов по WhatsApp, Telegram и прочему это однозначно мошенники, организациям запрещено передавать через эти мессенжеры персональные данные, платежные реквизиты, пин коды и прочее. Штрафы для организаций до 700 000 руб.
Недавно мама так чуть не попала. Только позвонили напрямую, а не через WhatsApp. Представились как Энергосбыт, так же история с кодом и т.д. Взломали гос услуги. Прислали СМС "Замечена подозрительная активность по банковским счетам, срочно связаться и номер".
Я с ними Нади интереса 50 минут общался. Там схема такая:
Ломают госуслуги и смотрят там ваш доход (выписка из пенсионного, недвига, авто)
Дальше присылают смс что срочно нужно связаться с Роскомнадзором, Центробанком и т.д.
В моем случае был "сотрудник" центробанка.
И там начинается развод, он представляется, называет номер удостоверения, должность - всякий бред. Потом сообщает что на гос услугах от вашего имени выпущена доверенность сроком на 3 года на УКРАИНСКОГО ТЕРРОРИСТА и теперь он может распоряжаться вашим имуществом и счетами, а вас за связь с ним могут посадить, НО вам очень повезло и он сейчас все заблокирует, сейчас вам позвонит сотрудник фин мониторинга. Через какое то время звонит "сотрудник" фин мониторинга, спрашивает в каких банках счета, сколько, что срочно все нужно перевести на бизнес счёт. Скидывает какие-то бумаги и договора с которыми надо ознакомится и сказать что ознакомлен))) Потом идёт сотрудник ФСБ которому нужно по видеосвязи увидеть ваше лицо (тут то я и прокололся). Но конец мы все знаем из новостей, где люди отдают и переводят миллионы.
Если честно все диалоги безграмотные, объяснения крайне глупые и ограниченные, но люди почему то им верят.
Если честно все диалоги безграмотные, объяснения крайне глупые и ограниченные, но люди почему то им верят.
Звонят же не одни и те же всем
Если честно все диалоги безграмотные, объяснения крайне глупые и ограниченные
Это специальный фильтр чтобы не тратить время на тех, кто обман раскусил бы
"С вами говорит генерал-капитан Сидоров, ФСБ"
Недавно в родительском чате было:
Одному из детей нашего класса позвонила на телефон ЯКОБЫ учитель ОДНКНР , и сказала, что в электронном дневнике произошли изменения и ей нужен код, который сейчас придёт ребёнку на телефон, чтобы устранить неполадки.... Ребёнок сообщил код из смс, после чего Goggle аккаунт мамы взломали. Ребёнок уверен, что разговаривал не посредственно с учителем и что голос тоже учителя. После всего этого ребёнку стал названивать другой человек, говорить о том, что ребёнок совершил ошибку и требовать номера телефонов родителей.
Кстати, электронный дневник теперь подключается через госуслуги.
Ребёнок сообщил код из смс, после чего Goggle аккаунт мамы взломали.
Что за чушь???
Для вас является чем-то фантастическим что к гугл учетке мамы был привязан номер телефона ребенка как один из номеров двухфакторки/восстановления? Я, в общем-то не удивлюсь если гугл автоматически привязал этот номер (или мама согласилась на это) когда она вошла в свой аккаунт на телефоне ребенка. Может даже был какой-то пуш от гугла и ребенок сам добавил его в учетку.
Даже если привязан номер - как это отменит необходимость введения логина и пароля, для входа в гуглоаккаунт?
Логин и пароль уже были известны злодею и введены в браузерный аккаунт на его стороне?
Нереал же..
В чем невозможность того что люди используют один и тот же пароль везде и этот пароль рано или поздно утекает или настолько простой что подбирается?
Да запросто и очень часто. Просто на телефоне предоставлен полный доступ к учетке мамы, а не заведен отдельный детский аккаунт (это же еще что-то настраивать надо, это же сложно). Для того чтобы "восстановить доступ" достаточно номера телефона и одноразового кода с авторизованного устройства (а разблокированый телефон подключенный к учетке - авторизованое устройство). И кстати вроде была возможность даже логина по одноразовым кодам с авторизованного устройства, и эта мама с ребенком вполне могли принять за смс служебное сообщение от гугла с кодом для входа. В истории "сохранена авторская орфография", так что за техническую грамотность не ручаюсь.
Между прочим тем же фемели линк от гугла большинство знакомых родителей прямо таки отказываются пользоваться - это сложно и не удобно. У меня ребенок чуть ли не единственный в классе с ним, остальные дети или вообще лишены "гаджетов" и ходят с кнопочным телефоном "звонилкой", или не имеют никаких ограничений кроме тарифного плана (из-за чего у них вечно "закончился интернет")
Уж сколько раз твердили... и все не в прок
Во! Прислали ;)
Ровно по этой причине у меня 2 номера телефона. 1 - для регистрации на всяких ресурсах который я везде и всегда указываю. 2 - для личных и рабочих нужд, который я даю для связи со мной лично тем, кого знаю или с кем держу контакт. И за 5 лет такой схему - на первый номер постоянно приходят спам звони, предложения и прочая канитель. На второй номер может 1-2 раза в год пробивается какой то спам. Но я обычно не беру первый телефон, если понимаю что мне не надо сейчас звонить - нет никаких доставок, вопросов из приложений и тд.
Вы смеётесь, а мне правда звонили из ГУВМ МВД и сказали идти забирать неправильно оформленные документы в МФЦ.
Топикстартер, я что-то не понял, а вы кому-то из этих звонящих мошенников сказали номер из смс?
Все региональные каналы МинЦифры в телеграме забиты постами как не надо покупаться на уловки мошенников, и рассказами о схемах этих мошенничеств.
Добавлю свои 5 копеек. Сижу дома, работаю. Звонок на телефон с незнакомого номера, отвечаю. Здравствуйте ИО и сразу, подскажите Вам сколько ключей от домофона делать (сам живу в частном доме, но теща в квартире с домофоном, пожилой человек 78 лет), думаю наверно она переадрисовала (всегда все вопросы решает через меня или реже через жену). Начинает рассказывать какой у нас современный домофон будет, ля ля тополя .... Придумайте 4 значный код для электронной карточки домофона. Говорю код. Давайте теперь зарегистрируем ее якобы на мой телефон, сейчас придет код по СМС. На автомате конечно давайте и через секунду сразу в голове СТОП какое СМС, что то очень подозрительно. Спрашиваю (СМС пока не было), а вы на какой адрес ключи доставите, сразу ой мы не доставляем ключи самим забрать нужно будет. А по какому адресу забрать? Я вам после регистрации в смс пришлю всю информацию. Дальше уже не стал разговаривать звонок сбросил. После как сбросил СМС пришла от SRAVNI.
Хотя всех своих пенсионеров постоянно предупреждаю никаких СМС никому, сам в рутине дня чуть не купился.
Не понял, почему автор кинулся срочно менять пароль на госуслугах. Как можно связать https://roolz.net с госуслугами? Автор чего-то напридумывал и решил написать статью.
Мне недавно звонили, сказали, что давно не обновлял свои данные и нужно проверить правильность. Я начал им левую информацию давать, они повесили трубку.
Сыну приходили СМС - "обновите свои данные, а не то заблокируем!" Он или не читал, или воспринял как мошенников. И что вы думаете, заблокировали ведь 8-()
Второй день ждет разблокировки. :) Потому что умный Ростелеком в процессе обновления паспортных данных через Госуслуги шлет СМС для подтверждения, а СМС прийти не может - номер уже заблокирован... Упс. Пришлось подавать данные через голосовую техподдержку.
#ростелеком #т2
Если у вас имеются какие-либо нерешенные вопросы-вы всегда можете написать нам в социальных сетях (Вконтакте- https://vk.com/rostelecom или в Одноклассниках-https://ok.ru/rostelecom.official). Также, ваш вопрос можем решить по телефону горячей линии-8 800 100 0 800, в чате в ЛК- rt.ru Все проверим и поможем!
В чат написал первым делом, на горячую линию позвонил вторым (когда за сутки не разблокировали). Ждю теперь ;)
PS: Коллеги, за что поддержку минусуете? Так никого тут не будет, билайн заминусили, мегафон тоже... Смысл?
Уй, блин.... Ну и приколы бардак же у вас. ;)
Две поданные заявки на обновление паспортных данных закрыли, одну просто без комментариев, другую - с весьма странным комментарием.
Фото и документы из чата в приложении до поддержки не доходят, висят с часиками и всё. Пришлось в ходе разговора с поддержкой логиниться в личный кабинет на компьютере, и кидать в чат там - увидели.
Уточнить данные по другому телефону (по нему обновлял через Госуслуги, по ссылке - хотел узнать, актуальные там или нет) поддержка не смогла...
К сожалению, у нас не отобразились данные для сверки, система выдала результат о требовании актуализировать. Заявка будет решена до 13.04.2025 включительно, пожалуйста, ожидайте. Благодарю за обращение. Всего доброго!
и создала заявку на обновление паспортных данных. Надеюсь, меня сейчас не забло....
"Да, кум, пока не перевелись олухи на Руси, что подписывают бумаги не читая, нашему брату можно жить" (с)
Автор долго шел к статье. Месяц назад мне звонили из "ОЗОН" по Whatsup про доставку курьером, подтверждающая смс пришла от OBI. После минут пяти препирательств, почему от ОБИ, если ОЗОН, послал матом. Собственно, заказов в ОЗОНе в тот момент не было. И "майоров" уже давно не было, раньше всё звонили из ФНС, счета блокировали, разговорчивые были ребята, а сейчас все какие-то скучные.
А так сливам уже поздно удивляться. Лечусь по ДМС в двух сетях клиник. В одной выяснили диагноз и потребуется операция. Тут же из другой вечером пришло письмо со скидками на услугу операции.
Схема взлома аккаунта на ГосУслугах