company_banner

Как мошенники делают это. Инструменты обмана

Привет, меня зовут Олег. Я отвечаю за платежные риски в Tinkoff.ru.

Социальная инженерия вышла на первое место в способах кражи денег со счетов и карт физлиц. С помощью психологических приемов мошенники вводят клиентов в заблуждение с целью наживы. Классическая схема такого мошенничества — когда жертве звонят якобы сотрудники службы безопасности банка.

image

Однако арсенал не ограничивается убеждением. Мы собрали пять популярных мошеннических инструментов, с помощью которых «уводили» деньги у ваших коллег и знакомых в 2019 году. Никакой теории — только реальные случаи.

Во всех крупных банках работают системы противодействия мошенничеству, которые анализируют операции, ищут аномалии и мошеннические паттерны.

Развитие инструментов злоумышленников и противостоящих им систем похоже на эволюцию брони и снаряда — это бесконечный процесс. По понятным причинам в статье не будет изложено, что и как именно банки могут вычислить, но важно понимать: как и пожар, обман лучше предотвратить.

В «Тинькофф Историях» в мобильном приложении мы регулярно рассказываем о том как не попасться на уловки изобретательных злоумышленников, а также запускаем сразу несколько тематических проектов, включая мультипликационный сериал.

Базовая схема


Мошенники представляются службой безопасности банка и сообщают о попытке списания денежных средств со счета клиента. Для отмены несанкционированной операции просят назвать полный номер карты и коды подтверждений из СМС. На самом деле в этот момент они либо входят в ваш банковский личный кабинет, либо совершают операции в интернете — тогда попросят еще срок действия и трехзначный код на обратной стороне карты.

Если раньше были типовые портреты таких жертв, самый распространенный из которых — люди преклонного возраста, то сейчас грани стираются. Ни пол, ни возраст теперь не влияют на способность противостоять разнообразным схемам уловок.

IVR


Очевидный минус стандартного сценария для мошенников — это неизбежная борьба со страхами клиентов, их вопросами, которые часто возникают. Например, в том же СМС написано, что никому нельзя сообщать код.

Однако технологии приходят на помощь не только порядочным гражданам. Аферист говорит, что код подтверждения нельзя никому сообщать — это совпадает с текстом СМС и вызывает доверие у жертвы.

Мошенник просит ввести код в тоновом режиме после переключения на IVR (интерактивное голосовое меню), который стандартным дикторским голосом говорит, что нужно ввести код в тоновом режиме после сигнала.

Удаленный доступ


Звонок мошенника обычно застает клиента врасплох. Звонящий представляется сотрудником банка и сообщает о выявлении вредоносного программного обеспечения на устройстве клиента. Для его устранения нужно предоставить доступ к устройству. Жертве необходимо скачать на смартфон программу удаленного доступа — TeamViewer, Anydesk или другую.

image

После установки лжесотрудник банка просит клиента назвать код, отображающийся в приложении. Мошенник вводит этот код в программу на своем устройстве. После того как жертва предоставляет все разрешения (при необходимости скачивает аддон для полного управления), злоумышленник получает в зависимости от ОС и производителя смартфона жертвы:

  • Android (например, Samsung) — полный удаленный доступ к устройству клиента. Мошенник совершает платежи с клиентского устройства, поскольку коды подтверждений операций приходят на него же.
  • iOS и некоторые устройства на Android (например, Nexus) — доступ на просмотр. Мошенник руководит действиями клиента («Нажмите сюда, а теперь — сюда»). В результате клиент сам переводит средства мошеннику.

Подмена номера мошенника


Некоторые злоумышленники звонят с простых симок, купленных горстью у метро. В этом случае жертва получает звонок от лжесотрудников банка с номера с типовыми префиксами 926, 916 и другими.

Другие мошенники в погоне за конверсией звонков в украденные деньги обращаются к телекомуникационным сервисам подстановки номера телефона.

Технически подмена номера возможна за счет эксплуатации уязвимости протоколов телефонных соединений, таких как SIP и ISDN PRI, в которых не предусмотрено механизма контроля достоверности отправителя сообщения.

image

Высветившийся на экране смартфона красивый номер вида 8 (495) ххх-хх-xх притупляет бдительность жертвы.

Cash-in на безопасный счет


Клиенту банка поступает звонок якобы от службы безопасности банка. В ходе разговора выясняется, что счет клиента в опасности и средства с него могут вывести с минуты на минуту.
Аферисты запрашивают номер карты и код подтверждения для входа в личный кабинет, чтобы помочь клиенту. Получив доступ к огромному массиву информации (данные об операциях, счетах, остатках) мошенники без труда втираются в доверие, снимая последние сомнения («Не могут же мошенники столько про меня знать», — думает клиент).

Подготовленной жертве объявляют, что единственный способ спасти деньги — вывести их на безопасный счет. Далее возможны два сценария развития событий.

Перевод. Клиенту предлагают самостоятельно перевести средства на безопасный счет. Мошенники с помощью психологического давления убеждают сделать перевод на счет дропа. Дроп — это человек, который за небольшую плату оформляет на себя обычную дебетовую карту, затем передает ее мошенникам, которые используют ее для обналичивания украденных денег.

Банкомат. Мошенники могут использовать в своих целях банкоматы с функцией cash-in.
Клиенту сообщают, что нужно срочно отправиться к ближайшему банкомату и снять все деньги. Для особо крупных жертв (а мошенники на этот момент видят, сколько денег на счетах) могут даже вызвать такси.

После снятия денег жертву просят положить наличные на счет мошенников. Запугивают штрафами и пенями, а с другой стороны — заманивают обещаниями возместить неудобства денежной компенсацией. В конце концов мошенники одерживают верх, и клиент сам пополняет их счет свежеснятыми наличными.

Переадресация на номере жертвы


Банки не дремлют и, выявив подозрительную операцию, спешат связаться с клиентами.
Обычно лжебезопасники полагаются на свой навык убеждения: они настраивают клиента против настоящих сотрудников банка и внушают необходимость подтвердить операции. Это может выглядеть сюром, но таковы реалии.

image

Но некоторые мошенники больше полагаются на технологичные решения. Вместо сложной обработки клиента просят его набрать на телефоне последовательность символов, которая в действительности является USSD-командой на включение переадресации входящих звонков жертвы на номер мошенников. Кроме того, запрашивают идентификационные данные, по которым будут пытаться выдавать себя за клиента при звонке настоящей службы безопасности.

Заключение


Мошенники могут использовать сразу несколько средств из этого перечня. Поэтому важно быть настороже при любых звонках из банка и не спешить доверять звонящему. Он может угрожать штрафами со стороны банка и соблазнять бонусами за выполнение своих требований.

Поэтому нужно запомнить, что настоящие сотрудники банка никогда не попросят:

  1. Сообщить им код подтверждения операции.
  2. Установить программы на смартфон, тем более с функционалом удаленного доступа.
  3. Выполнить на телефоне USSD-команды.
  4. Перевести или через банкомат внести ваши деньги на счета третьих лиц.

В следующей статье — еще больше о том, как противостоять мошенникам, которые подстерегают вас буквально на каждом шагу: в соцсетях, инвестициях, на досках объявлений и сайтах знакомств.

А уже сейчас можно ознакомиться с материалами www.tinkoff.ru/secure.
Tinkoff.ru
407,97
IT’s Tinkoff.ru — просто о сложном
Поделиться публикацией

Комментарии 118

    0
    А как у вас блокируется перебор в СБП?
      +2
      Вопрос не по тексту, но отвечу :)
      У нас стоит высокотехнологичная антифрод-система, которая ограничивает перебор счетов наших клиентов внутри действующего «периметра» и обеспечивает защиту от бот-сетей. Антифрод-система учитывает профиль клиента и характер операций. При малейших подозрениях включается блокировка, в результате которой клиент не сможет запрашивать информацию на определенное время.
      +4
      А аппаратный генератор One Time Password для подтверждения операций и входа в онлайн банк у вас есть? Чтобы можно было целиком и полностью отвязать банкинг от телефона. Пока в РФ очень скудно с этим. Райф, втб более не предоставляют этот функционал даже за деньги.
        0

        У меня второй кнопочный телефон для смс от банков. Немного неудобно, если сумку забыл дома, но тогда выручают домашние.

          –30
          Проще айфон купить и не нищебродить.
            +2
            Кто заапрувил комментарий от GPT-2??
              –26
              Ребят вы по этому минусуете не видели айфон ни разу, так как он дорогой для большинства здесь присутствующих, так я поясню, там невозможно своровать смс от банка, на звонилку проще вирус поймать.
                +11
                Как такие люди попадают на этот ресурс? И главное — почему они тут остаются?
                  –19
                  Разве я соврал про смс, или про стоимость айфона? А так я и сам не пойму как сюда такие попадают, и как у образованного человека может подыграть от телефона, или от какой-то модели телефона, видно что то с ним не так.
                    +2

                    Британские ученые уже не первый год бьются над этой загадкой. Полагаю, либо это тролли, либо эффект Даннинга — Крюгера срабатывает.

                      –12
                      Когда здоровы половозрелый мужик не может позволить себе жалкий айфон, и ужасно по этому поводу комплексует, британские ученые тут бессильны.
                        +1
                        Когда здоровый(?) половозрелый(?) мужик(?) в топике в котором ещё вчера в 15:38 сказали что вопрос телефона состоит в возможности подделки сим, продолжает наезжать на других людей из за куска стекла с алюминием.
                          –10
                          Я высказываю свою точку зрения и многие здесь похоже дырку в стуле прожгли, ну судя по минусам.
                            0

                            Так и упомянутые вами многие также поступают.

                              –2
                              Но я в отличии от них не оскорблюсь если кто то скажет что андроид безопаснее, или что я не могу позволить себе galaxy fold, и уж тем более не посчитаю это наездом. И вообще я пошутил, ничего не имею против какой-то ОС или производителя телефонов, и не распределяю людей по этому признаку (всегда можно купить айфон).
                                0
                                не распределяю людей по этому признаку

                                Особенно тут: "айфон купить и не нищебродить".
                          0
                          Давайте положа руку на сердце, скажем честно. То что делают сейчас уже не то.

                          Айфоны закончились после смерти Джобса.

                          Да, сейчас это отличные аппараты. И… И ничего революционного.

                          Процессоры не самые быстрые, камеры не самые лучшие, 5G нет. Дизайном в этом году всех обошло Сяоми с аппаратом с круговым экраном.

                          По поводу СМС, да мошенникам вообще всё равно какой у вас телефон. Последняя утечка данный из Билайна это показала.
                            –1
                            Давайте вот без этого. Вы сейчас пытаетесь оправдаться перед самим собой, «почему вы не купили айфон». Мне мерятся письками телефонами не интересно.
                              0
                              Оки. Оки. Давайте мерятся кто с какой версии МакОс начинал работу.
                              И у кого апл айди старше.

                              P.S. «почему вы не купили айфон» о какой конкретно модели вы говорите?
                              Без точного указания, сложно знаете ли оправдываться… И за то что купил, и за то что не купил. :(
                        +4
                        Как такие люди попадают на этот ресурс? И главное — почему они тут остаются?

                        Я как-то встречал мнение, что в этих наших интернетах существует нечто, вроде чемпионата — «получить лычку тролля на Хабре за минимум ходов».
                          0
                          Я как-то встречал мнение, что в этих наших интернетах существует нечто, вроде чемпионата — «получить лычку тролля на Хабре за минимум ходов».


                          Что-то мне кажется, что можно и за 1 сообщение.
                          Вот только если модераторы пропустят.
                      0

                      Ого какой тред. Просто для галки… мне последний iphone нужен для разработки и он у меня есть как основной телефон.

                      +5

                      Как регулируется риск того что Маша из ООО "Ромашка" которая открыла салон под франшизой сотового оператора и имеет полный доступ в БД выпустит дубликат вашей симки?

                        0
                        Во-первых, при выпуске дубликата меняется IMSI. Во-вторых, нужны и другие данные для совершения помимо кода из СМС. В-третьих, выявляются аномальные операции и подтверждаются у клиента с проведением идентификации.
                          0
                          Как регулируется риск того что Маша из ООО «Ромашка» которая открыла салон под франшизой сотового оператора и имеет полный доступ в БД выпустит дубликат вашей симки?

                          Двухфакторная ж.
                          Вы про «второй фактор».
                            +1
                            К сожалению, часто для установки злоумышленником мобильного банка себе на телефон и дальнейшего его использования, второй фактор не нужен достаточно какой-нибудь информации (например один зеленый банк — нужно знать номер карты и один красный — нужно знать номер счета), кстати года три назад (не знаю как сейчас обстоит ситуация) «восстановить» пароль имея доступ к смс и зная номер карты не так сложно.

                            Самое плохое что этим атакам ты подвержен даже если сам не устанавливаешь мобильный банк и тут под угрозой не какой-то там баланс карты про который в основном шла речь в статье, а все счета и вклады
                              0
                              даже если сам не устанавливаешь мобильный банк

                              Разве нельзя в банк прийти с паспортом лично и принудительно отключить себе мобильный банк, если ты все равно им не пользуешься?
                              Заранее, разумеется.

                                +1
                                наверное можно, но как думаете как много людей задумывается о вообще такой возможности, не говоря уже о том что доходят до банка?
                                  0
                                  Нет. Смотрите мой обзор договоров. habr.com/ru/post/464621 как правило в договоре зафиксирован перечень способов авторизации (без указания это «и» или «или») и перечень действий (включая удалённые) которые являются аналогом собственноручной подписи. Везде, где для открытия счёта требуется договор о комплексном банковском обслуживании, в нём всё очень плохо на тему что вы разрешаете а что нет. Ибо вчера вы это запретили и выставили лимиты, а завтра, после прохождения авторизации от вашего имени и удалённый банкинг подключат и запрет снимут и лимиты расширят.
                                    0

                                    Разве нельзя прийти в банк и открыть расчетные счета без карт? Я на такой счет получаю зарплату и храню там деньги. Снимаю только то что нужно на жизнь и уже это кладу на карточку в другом банке. Отделение банка в котором у меня расчётный счет открыт находится прямо в магазине где я покупаю продукты. Раз в месяц отклониться от траектории касса-выход несложно.

                                      0
                                      Необычный вариант! Надежно, но для большинства будет неудобно ходить в отделение. Поэтому основная проблема не в том, что нельзя — можно, но менее удобно.
                                        0
                                        А зачем ходить и вообще эта возня с наличными — «воздушный зазор»?
                                        Не проще ли через онлайн-банк перекидывать нужную сумму на свою карточку в другом банке?
                                        0
                                        Разве нельзя прийти в банк и открыть расчетные счета без карт?


                                        Ваша ситуация — ой как не типична.
                                        99% людей живут от зарплаты до заплаты.

                                        Поэтому после получения зарплаты — нужно или сразу наличку в банке получить. Или на карту — и с нее уже сразу тратить.
                                      0
                                      Знаю только про один красный банк — там при смене симки (а выпуск дубликата — это смена и есть) работа с телефоном блокируется. Чтобы подтвердить валидность новой симки нужно обращаться в банк — или в отделение с паспортом, или по телефону с кодовым словом. Так что при выпуске дубликата доступ к СМС теряется. Ну а без СМС в интернет-банке можно только между своими счетами гонять. Ну и по некоторым шаблонам переводить (чтобы создать или изменить шаблон — нужен доступ к СМС).
                                        0
                                        там при смене симки (а выпуск дубликата — это смена и есть) работа с телефоном блокируется


                                        А как технически определяется новая симка (с тем же номером если она)?
                                          0
                                          Каждая симка имеет индивидуальный идентификатор — IMSI. Поменяли симку — поменялся и этот идентификатор.
                                            0
                                            Каждая симка имеет индивидуальный идентификатор — IMSI. Поменяли симку — поменялся и этот идентификатор.


                                            Это-то понятно.
                                            Но разве рядовое прикладное ПО имеет доступ к IMSI?
                                            Если это так — то всяческие анонимизации в интернете — лишены смысла наполовину.
                                              0
                                              Ну, видимо может иметь по договору с оператором. Или, может быть не к самому IMSI, а к какому-то хэшу от него. Или, может быть, только к факту того, что IMSI был изменен. Не в курсе подробностей :) Но в интернет-банке прямо пишется красным: «Операции с СМС-подтверждением невозможны, т.к. у Вас изменилась SIM-карта. Для возобновления обратитесь в ближайший офис банка, при себе иметь паспорт.». Раньше, не помню точно сколько лет назад, тоже блокировали, но ничего не писали, приходилось звонить в поддержку и выяснять почему у меня заблокированы денежные переводы.
                                                0
                                                Andy_Big MR27
                                                Вот пример одного из банков типа с именем:
                                                Проверка идентификатора сим-карты (IMSI) осуществляется по определенным критериям, которые банк не раскрывает и это может продолжаться месяц
                                                www.banki.ru/services/responses/bank/response/8941386
                                                Банк может сам по «техническим причинам» отключить двухфакторную авторизацию (с этим моментом я столкнулся лично)
                                                www.banki.ru/services/responses/bank/response/10155779
                                                Райффайзен онлайн можно подключить не зная кодовое слово
                                                www.banki.ru/services/responses/bank/response/10173932
                                                  0
                                                  Особенно про подключение онлайн банка. Добыли вашу карту (сперли, заснифали, нашли, что угодно), по имени владельца узнали оператора, выпустили дубликат сим, и приделали ноги всему что там есть.
                                                    0
                                                    На самом деле атака вымирающая, гайки телекомы закручивают, да и банки внедряют дополнительные методы аутентификацииы, чтоб одного номера карты и смс-кода было недостаточно.
                                                      0
                                                      Тем не менее, для грамотных людей, OTP генератор был и остаётся превосходной опцией, которая на корню пресекает огромное множество векторов атаки. И почти исключены третьи лица(код то мы всё равно передаём по канала связи), и нельзя использовать даже получив физический доступ(что выгодно отличает его от карт с кодами), и изменение передаваемого кода каждый раз (в отличие о пароля и кодового слова)
                                                0
                                                Но разве рядовое прикладное ПО имеет доступ к IMSI?
                                                помню ещё со времён выхода модуля xprivacy для xposed любое ПО требовало всё что захочет. Сейчас с этим намного хуже, анонимности с телефона не существует и никогда не было. Это же проприетарщина.
                                                  0
                                                  Ни на IOS, ни на Android у приложений нет доступа к IMSI. К счастью или к сожалению — вопрос открытый.
                                                    0
                                                    да xprivacy могла показаться весьма сложной в освоений и нужно было потратить не один день чтобы понять что к чему. Или лучше кто-нибудь поставьте ваш софт и проведите полный анализ запросов и пакетов чем то типа wireshark для полноты картины. Можно даже всех банковских приложений и дальше по списку по гос.софту и находясь подальше от стран постсовка=))Найдёте много интересного, заслуживающего отдельной статьй на хабре или в прокуратуре=))
                                                    функционал xprivacy модуля
                                                    For easy usage, data is restricted by category:

                                                    Accounts
                                                    return an empty account list
                                                    return fake account info
                                                    return empty authorization tokens
                                                    Browser
                                                    return an empty bookmark list
                                                    return empty search history
                                                    Calendar
                                                    return an empty calendar
                                                    Calling
                                                    prevent calls from being placed
                                                    prevent SMS messages from being sent
                                                    prevent MMS messages from being sent
                                                    prevent data messages from being sent
                                                    Contacts
                                                    return an empty contact list
                                                    content://com.android.contacts/data
                                                    content://com.android.contacts/raw_contacts
                                                    content://com.android.contacts/phone_lookup
                                                    content://com.android.contacts/profile
                                                    Dictionary
                                                    return an empty user dictionary
                                                    E-mail
                                                    return an empty list of accounts, e-mails, etc (provider)
                                                    Identification
                                                    return a fake Android ID
                                                    return a fake device serial number
                                                    return a fake host name
                                                    return a fake Google services framework ID
                                                    return file not found for folder /proc
                                                    Internet
                                                    revoke access to the internet
                                                    return fake disconnected state
                                                    return fake supplicant disconnected state
                                                    Location
                                                    return a random or set location
                                                    return empty cell location
                                                    return an empty list of (neighboring) cell info
                                                    prevents geofences from being set
                                                    prevents proximity alerts from being set
                                                    prevents sending NMEA data to an application
                                                    prevent phone state from being sent to an application
                                                    Cell info changed
                                                    Cell location changed
                                                    prevent sending extra commands (aGPS data)
                                                    return an empty list of Wi-Fi scan results
                                                    prevents connecting to Google Play services
                                                    Media
                                                    prevent recording audio (including from the microphone)
                                                    prevent taking pictures
                                                    prevent recording video
                                                    you will be notified if an application tries to perform any of these actions
                                                    Messages
                                                    return an empty SMS/MMS message list
                                                    return an empty list of SMS messages stored on the SIM (ICC SMS)
                                                    return an empty list of voicemails
                                                    Network
                                                    return fake IP's
                                                    return fake MAC's (network, Wi-Fi, bluetooth)
                                                    return fake BSSID/SSID
                                                    return an empty list of Wi-Fi scan results
                                                    return an empty list of configured Wi-Fi networks
                                                    return an empty list of bluetooth devices
                                                    NFC
                                                    prevent receiving NDEF discovered
                                                    prevent receiving TAG discovered
                                                    prevent receiving TECH discovered
                                                    Phone:
                                                    return a fake own/in/outgoing/voicemail number
                                                    return a fake subscriber ID (IMSI for a GSM phone)
                                                    return a fake phone device ID (IMEI)
                                                    return a empty ISIM/ISIM domain
                                                    return a empty IMPI/IMPU
                                                    return a fake MSISDN
                                                    return fake mobile network info
                                                    Country: 001 (test network)
                                                    Operator: 00101 (test network)
                                                    Operator name: fake
                                                    return fake SIM info
                                                    Country: XX
                                                    Operator: 00101
                                                    Operator name: fake
                                                    Serial number (ICCID): fake
                                                    return empty APN list
                                                    return no currently used APN
                                                    return an empty call log
                                                    return an empty list of voicemail messages
                                                    prevent phone state from being sent to an application
                                                    Call forwarding indication
                                                    Call state changed (ringing, off-hook)
                                                    Mobile data connection state change / being used
                                                    Message waiting indication
                                                    Service state changed (service/no service)
                                                    Signal level changed
                                                    Storage
                                                    revoke permission to the media storage
                                                    revoke permission to the external storage (SD card)
                                                    return fake unmounted state
                                                    Shell
                                                    Linux shell
                                                    Superuser shell
                                                    Load/library (by default not restricted)
                                                    System
                                                    return an empty list of installed applications
                                                    return an empty list of recent tasks
                                                    return an empty list of running processes
                                                    return an empty list of running services
                                                    return an empty list of running tasks
                                                    return an empty list of widgets
                                                    return an empty list of applications (provider)
                                                    prevent package add, replace, restart and remove notifications
                                                    View
                                                    prevent links from opening in the browser
                                                    you will be notified if an application tries to open a link
                                                    xprivacy скрин
                                                    image

                                            0
                                            Знаю только про один красный банк — там при смене симки (а выпуск дубликата — это смена и есть) работа с телефоном блокируется.

                                            Повторю свой коммент:
                                            «Менял симку перед НГ, краснобанк издал вопль по этому поводу месяца через три-четыре».
                                              0
                                              Мне кажется у них (и не только у них) настроена система на аллерты только по определенным паттернам (аля поменял симкарту и сразу же начал выводить), чтобы не беспокоить лишний раз пользователя лишними блокировками, когда последний раз менял симку ни один банк ничего не нашел подозрительного и ничего не блокировал
                                              0
                                              Злоумышленнику не обязательно перевыпускать симкарту, просто нужен доступ к смс (он возможен разными путями, начиная от угона телефона и кончая доступом через оператора мобильной связи, например переадресацией смс), проблема то в том что вдруг неожиданно в каком-то месте двухфакторная аутентификация вдруг становится однофакторной и причем это не пароль, а непонятные смс о которых ты мог и не думать (только вчера видел про человека которому чужие смс приходят и он никак их не может отключить, видимо хозяин карты ошибся в номере телефона когда открывал счет)
                                                0
                                                Факторов очевидно должно быть больше двух, тут вы правы.
                                                А сценарий восстановления пароля, так тем более самый рисковый в жизненном цикле клиента.
                                          +1
                                          У меня для банкинга СИМ-ка Мегафона, там при замене СИМ карты на сутки блокируется СМС на уровне системы. То есть фокус с дубликатом СИМ-карты уже не провернуть так просто… ну только если жертва не заметит, что у него сутки мобильная связь не работает :)
                                            0
                                            Проблема может быть в том, что если у человека
                                            для банкинга СИМ-ка Мегафона (пчелайна, Йоты, etc.)

                                            то очень вероятно что стоит она в отдельном телефоне и вовремя заметить, что связь пропала может быть проблематично.
                                        0
                                        Нет, но с точки зрения защиты от описанных инструментов социнженерии, этот способ аутентификации ничем не лучше СМС. Если вас убедили совершить операцию, то аппаратный токен вас не остановит.
                                          +5

                                          Ну это сродни цыганка загипнотизировала и я деньги сама отдала. Я не вношу это в угрожающие мне риски. А вот авторизации банка перед клиентом обычно нигде нет. Мне както банк по делу звонил и сходу спрашивал кодовое слово. Там был рили банк, но никак авторизовать себя не смог. И был послан.

                                            0
                                            В вашем случае можно было спросить по какой карте у них вопрос, т.е. вы их спрашиваете, а не они вас. И далее слушайте, что от вас хотят, если коды из СМС или установку программ удаленного доступа, то мошенники.
                                              +1
                                              В том случае банк сказал что мы можем предоставить информацию только владельцу счёта и никакой информации до подтверждения личности не скажем, назовите кодовое слово.
                                                0
                                                Назови ложное кодовое слово (главное попади в параметры)
                                                  0
                                                  Если отказываются отвечать, тогда лучше перезвонить самому.
                                            0
                                            По поводу ВТБ24. Как только появилась возможность приобрести генератор одноразовых паролей я сразу же этим воспользовался. Не считая, что первые два экземпляра мне пришлось поменять из-за брака, это самое безопасное решение из предлагаемых банками. Сгенерировать ответ без физической карты и знания пин-кода невозможно. Почему любимый ныне мною Тинькофф не предоставляет возможности перейти на подобное — это отдельный вопрос.

                                            ЗЫ Интересный момент: шло время, ВТБ'шная карта осталась не у дел, её срок истёк… но я только что авторизовался в ВТБ-Онлайн с помощью неё и этого самого генератора, поддержка которого официально «того». Ни карт, ни счетов в интерфейсе нет, но возможность авторизации не сломана.

                                            ЗЗЫ С картой Тинькофф ВТБ'шный генератор тоже работает, пин принимает, но ответы даёт слегка загадочные, т.е. не просто 6 цифр, а набор символов. Толку от такой «работы» скорее всего ноль, но, если бы появился родной генератор и его поддержка, то взял бы, не раздумывая.
                                              0

                                              А новые они уже не продают.

                                                0
                                                Боюсь для физлиц действительно хардтокены уходят в прошлое, атаки от которых они эффективно защищали встречаются все реже, а минусы у них тоже есть — отсутствие мобильности, доставка, обслуживание (в вашем случае замена брака) и тп.
                                                А сканирование физической карты через NFC-ридер смартфоны было бы удобным вам как клиенту и вызывает доверие?
                                                  +1
                                                  Нет. Я не отношу телефон(и вообще всё, что подключено к интернету) к устройствам высшей категории защищённости(это я только что термин придумал), т.к. несмотря на степень защищённости доступность для атак открыта всемирная а время не ограничено. Использовать временно после авторизации, произведённой с устройством высшей категории защищённости — пожалуйста.
                                                0
                                                Ну не знаю у меня работает Генератор А и Б до настоящего времени.
                                                  0
                                                  Да, работает. А новых не продают. Только что звонил в банк уточнял.
                                                  0
                                                  Насчёт хардовых генераторов одноразовых паролей — они реинкарнируют в генераторы динамических CVV, встроенных в сами карты: habr.com/ru/company/icover/blog/366733
                                                    0
                                                    Так и не прижились на рынке, насколько я знаю.
                                                      0
                                                      Да, люди экономят на своей безопасности, к сожалению.
                                                +1
                                                Клиенту нужно придумать кодовое слово, чтобы сотрудники банка при звонке его называли. Представляется сотрудником банка, не называет кодовое слово — мошенник :-)
                                                  +4
                                                  Ну видя сколько в последнее время утечек, верить нельзя и кодовому слову, мне можно )
                                                    0
                                                    Это да. Столько законов, защищающих данные, а толку — ноль
                                                    0
                                                    И не забыть его
                                                      0
                                                      Вы сильно всё осложняете. Проще самостоятельно позвонить в банк и всё. В обратную сторону звонок работает нормально.
                                                        +1
                                                        Концептуально перспективно, в реалиях сложнее: организовать сбор, донести до клиентов зачем это, каким-то образом напоминать это кодовое слово, чтобы не забыли. А в итоге велика вероятность, что или забудут про это, либо мошенники как-то и это обыграют в своих скриптах.
                                                        Лучше перезванивать в банк, как только начинаются странные вопросы или просьбы.
                                                          +1
                                                          Я так для всей семьи придумал слово, которое надо написать в СМС или назвать при звонке, при любых критических ситуациях.
                                                          Пара учений с левых номеров, сейчас чётко. Никаких критических данных или денежных операций, без кодового слова. Один раз помогло против СМС мошенничества.
                                                            0
                                                            Хорошая тема!
                                                            +1
                                                            придумать кодовое слово «я хочу заняться сексом с вами», просить переключить на оператора женского пола
                                                            +1

                                                            Спасибо, познавательно! Не понятно почему телекомы до сих пор не прикроют у себя возможность подмены номера, по идее ФЗ о связи запрещает подменять Generic Number

                                                              0
                                                              Вы не представляете какое количество телекомов, особенно в регионах работает на совершенно невнятном оборудовании лохматых годов, с сотрудниками совершенно не понимающими что происходит вокруг. Стандартная история — когда в техподдержке крупнейшего провайдера на второй линии спрашивают что-то вроде «Я не понимаю что значит „присылаете инвайт“, вы мне скажите — гудок в трубке есть или нет?»
                                                              +1
                                                              Потому, и не только, никогда не разговариваю с позвонившими якобы работниками банков. Надо, схожу в офис. Заодно отсекается спам и коллекторы (бывает иногда задерживаю платежи, извините. Но при этом честно оплачиваю ваши бешеные штрафы за это). Зато Тиньков отличился тем что, где-то год назад позвонил моей маме и сообщил точную сумму долга, когда я «забыл» заплатить. Спрашивал у знакомых: ни у кого такого беспредела не было.
                                                                0
                                                                Как выше уже обсуждалось, достаточно самому перезвонить. Ходить никуда не нужно.
                                                                  0
                                                                  Вопрос: зачем?
                                                                    0
                                                                    Это может быть звонок настоящей СБ Банка, которые хотят подтвердить подозрительную операцию. Если сбросить и не перезванивать, то можно остаться с заблокированной картой/учеткой.
                                                                +8
                                                                Никаких связей со Сбером у меня нет, проживаю в Краснордаре. Недавно раздался звонок и между мной и мужчиной на том конце состоялся такой разговор:
                                                                — Здравствуйте, Вас беспокоит служба безопасности Сбербанка. У нас в базе зафиксирован доступ к Вашему счету из города Саратов. Вы можете подтвердить эту информацию?
                                                                — Да, конечно могу.
                                                                — То есть все правильно? Там с вашего счета выводят 30 тысяч рублей.
                                                                — Да-да, все правильно. Пусть выводят, не мешайте им.
                                                                — А еще у нас в базе зафиксировано, что ты петух и козел.
                                                                — Так это Вы смотрите список своих сотрудников.
                                                                И бросили трубку :(
                                                                  0
                                                                  Легенда про Сбер обычно используется при холодном обзвоне, т.к. потенциальный охват шире.
                                                                  А так вы, конечно, правы — последнее время хамят сразу, как разоблачают их. Раньше некоторые хоть шутили)
                                                                    +3
                                                                    А так вы, конечно, правы — последнее время хамят сразу, как разоблачают их. Раньше некоторые хоть шутили)


                                                                    Работа тяжелая.
                                                                    Вы представляете сколько звонков нужно совершить?
                                                                    А сколько все же не ведутся?
                                                                    А у скольких на карте нет серьезных сумм?
                                                                    Вот они после сотого звонка, «заработав» на том 50 рублей — очень напряженные.

                                                                      0
                                                                      Дело даже не в этом.
                                                                      Люди мало того что стали грамотнее, так еще и через одного издеваются.
                                                                      Поматросят и бросят, а них план горит.
                                                                      Так бы успели еще где-нить бабку-дедку развести, а им в вовсю в уши дуют что прям щаз деньги переведут, а сами или коды неправильные говорят, или при вводе «ошибаются».
                                                                      Занервничаешь тут ))
                                                                        0
                                                                        Угу, на над душой менеджер висит и стращает штрафами за невыполнение плана. С занесением в грудную клетку. Личный рейтинг эффективности падает, премия накрывается, а еще ипотеку платить и кредит за айфон. Собачья работа.
                                                                        0
                                                                        Я то думаю откуда все биржи труда завалены этими операторами call-центров
                                                                          0
                                                                          Мошенники часто работают с «зональных» call-центров (с тюрем).
                                                                          На биржах труда вакансии — это «втюхивальщики».
                                                                          Арендуешь комнату-квартиру-офис или вообще нанимаешь «пионЭров на дому», регаешься как ООО «СуперМедиаКонтактЦентр» и пошел предлагать услуги холодного обзвона на оутсорсе. Заодно наполняется своя телефонная база, которую банки могут передавать третьим лицам, как обычно написано в договоре об обработке персональных данных.
                                                                      0
                                                                      А я вот только не совсем понимаю, почему бы мошеннику не потратить пару минут на то, чтобы выяснить полное ФИО по номеру телефона?
                                                                      Хотя бы для ВТБ, Сбера это уже покроет большой процент потенциальных жертв.
                                                                      Например, заходим в онлайн банк, выбираем перевод по номеру телефона, высвечивается буква фамилии (или первая с последней) и имя-отчество, можно и не платить совсем. А можно заплатить рубль, и посмотреть в детализации ФИО полностью. А если по СБП пробить вначале — ещё проще.
                                                                      Знание ФИО значительно повышает доверие потенциальной жертвы. Я как-то сам в какой-то мере проверил — кто-то случайно указал мой номер в онлайн банке ВТБ, видимо, где-то ошиблись. И стали мне сыпаться смс об оплате всего чего он там платит… Как-то я выяснил номер (оказалось, вместо 937 он указал 927), узнал ФИО, звоню ему, и, обращаясь по имени-отчеству, объясняю, что он указал неправильный номер в онлайн-банке, и ему нужно его сменить в банкомате или в отделении банка. Ну, там мужик понял, сказал, поменяет, но он до конца думал, что ему из банка звонят, пока я не сказал, что пусть побыстрее делает, а то мне его смски надоели уже.
                                                                        0
                                                                        Видимо, это был обзвон номеров «наудачу» :) Хотя со мной и знание ФИО не прокатит, но для многих — да, это будет весомым фактором доверия.
                                                                      0
                                                                      Предупредить клиента о возможных вариантах мошенничества — это хорошо.
                                                                      Но это не пресекает мошеннические действия в отношении клиентов от слова совсем.
                                                                      Абсурдность ситуации в том, что мошенника может остановить только вынесенный судебным решением срок, а тут у нас беда.
                                                                      Во-первых, банки ничего не предпринимают к доведению попыток мошенничества до суда, аргументируя отсутствием полномочий.
                                                                      Во-вторых, по закону наказывается только совершенный факт мошенничества, т.к. попытка мошенничества труднодоказуема.
                                                                      А чтобы довести попытку мошенничества до факта — читай пункт первый.
                                                                        –1
                                                                        Для начала я бы посоветовал «Олегу» сделать нормальный интернетбанк.
                                                                        Даже так скажем — вернуть его, после того как хипстеры взяли почту, банк и телеграф ИБ стал образцом лажи, хуже него только Рокет.
                                                                        Нафига Зачем мне подтверждающая СМС при входе в банк, если внутри можно пулять деньги без ввода кода?
                                                                        «Мой дом — моя крепость», по аналогии заходя в ИБ я считаю что нахожусь в некоторой закрытой (от внешнего мира) зоне, но не тут-то было.
                                                                        При входе на главную страницу клиент попадает не в ИБ, а в царство спама — аляповато раскрашенный раздел «Для вас».
                                                                        Ладно тыкаем в карты, окно растопыривается и карты уходят в левую панель, которая регулярно скачет как коза, на некоторых разрешениях экрана.
                                                                        Верхнее меню «БИЗНЕС ИНВЕСТИЦИИ СТРАХОВАНИЕ МОБАЙЛ» — если там нажать, то вроде как «вышел из ИБ», но нифига подобного.
                                                                        Клиент остается залогиненым, только не видит этого. Если в этот момент сказать — «Вася, там на первом этаже тебя девушка спрашивала», то Вася может и не понять что ИБ открыт и спокойно уйти. А так как однажды совершенные деяния в ИБ не требут подтверждения, то можно поприкалываться и отправить все деньги с карты, например, в налоговую или куда там Вася платил последние разы.
                                                                          0
                                                                          Кто-то из команды Олега не поленился сходить плюнуть в карму ))
                                                                          Но люди-то помнят старый «модульный», настраиваемый, ИБ, который был образцом эффективности и удобства.
                                                                          На «банках» ветка обсуждения Тинькова за несколько лет уже 8 раз отправлялась в архив из-за переполнения, и переполнялась в основном от возмущения пользователей новым, «стильным-модным-молодежным», кривым ИБ.
                                                                            0
                                                                            В последнее время на компе столько всего, что даже дома отходя от компа надо уже на автомате жать win-L или shift+ctrl+eject)
                                                                              0
                                                                              Суть в том что не виден факт нахождения в залогиненом ИБ.
                                                                              Любое неосторожное движение и ты отец купил страховку или тур по «средиземью». ))
                                                                              PS Дома лочу комп только от кошки — та еще хакерша. ))
                                                                                0
                                                                                shift+ctrl+eject

                                                                                Куда куда, простите, жать? Или это из разряда «выдернуть шнур, выдавить стекло»?
                                                                                0
                                                                                Не очень понял суть проблемы. Зашел даже в свой ЛК, чтоб проверить.
                                                                                После авторизации справа в углу появляется мое имя и, если ее установить, аватарка. При переключении между сервисами Тинькофф, например, Инвестиции, сессия продолжается, и я вижу это все в том же углу. Если хочу разлогинится, то жму на эту аватарку с именем и жму «выйти». Всё прозрачно, имхо.
                                                                                  0
                                                                                  Не очень понял суть проблемы. Зашел даже в свой ЛК, чтоб проверить.
                                                                                  После авторизации справа в углу появляется мое имя и, если ее установить, аватарка.
                                                                                  А Вы колесико мышки на себя крутаните.
                                                                                  Если бы панелька с автаркой была прибита к «колонтитулу» страницы, то еще куда бы не шло.

                                                                                  Но вот если Вы зайдете на «Мобайл», то там есть еще кнопка «Войти в Мобайл» — нажмите её и попробуйте понять где Вы находитесь? Банковый логин с аватаркой вообще исчезает.
                                                                                  У меня нет связи «от Олега», но позреваю что если войти в мобайл, то «банк» там не будет виден, от слова абсолютно. При этом логин в ИБ держится пока не отвалится по таймауту.

                                                                                  Вообще на «банках.ру» представитель банка на указанные косяки сказал что это не баг — это фича )).

                                                                                  PS В нормальных ИБ все рекламно-втюхивательное открывается в новых вкладках, даже если само предложение было в виде рекламы в самом ИБ.
                                                                                    0
                                                                                    Теперь боль понятна. Со своей стороны скажу, что не сталкивался с несанкционированными операциями после такого не разлогона. Но коллегам посыл про «прибить» передам на рассмотрение.
                                                                                      0
                                                                                      Тут даже не столько «несанкционированные операции» сколько общее впечатление от того что вылетаешь непонятно куда нажав на «рекламу».
                                                                                      Если бы реклама открывалась в новых окнах, то это бы создавало чисто визуальный комфорт: «вот мой банк — моя крепость», а вот (в новых окнах) открылись предложения от банка и партнеров.
                                                                                0
                                                                                Всегда удивляюсь, как люди на такое ведутся. Но судя по новостям — ведутся.
                                                                                  0

                                                                                  О, про тоновый набор это новинка, надо родителей предупредить. Спасибо.

                                                                                    0
                                                                                    Не так давно звонили мошенники и просили сказать какому-то там роботу по телефону фразу: «Отменяю операцию по моей карте *полный номер карты*». Зачем им это нужно? Чтобы просто получить номер карты? Хотя возможно там дальше что-нибудь поинтереснее придумали бы, но были посланы далеко и надолго коллегой.к сожалению не выяснил чем удивить еще смогли бы
                                                                                      0
                                                                                      Не так давно звонили мошенники и просили сказать какому-то там роботу по телефону фразу: «Отменяю операцию по моей карте *полный номер карты*»
                                                                                      Ну вот сбер недавно хвастался что тестирует «голосового» помощника. Голосового не в смысле что говорит робот, а в смысле что опознает по голосу. Поэтому не советую при звонке на телефон отвечать «Да», лучше «Слушаю» или «У аппарата» ))
                                                                                        0
                                                                                        Да, это я знаю. Но фраза «отменяю операцию» поставила меня в легкое недоумение… Зачем она им нужна?
                                                                                          0
                                                                                          Чтобы усыпить вашу бдительность и вы назвали номер карты. Потом видимо вам скажут что снятие обнаружено и заморожено, но отменить мы можем только если вы подтвердите это кодом, сейчас вам на телефон придёт код, скажите его роботу также.
                                                                                            0
                                                                                            Согласен, по опыту мошенники очень много лишнего говорят, не ходят «по прямой», чтобы создать ощущение, что только из банка такое будет говорить.
                                                                                            0
                                                                                            Возможно для начала просто набор готовых фраз, потом может еще чего-нить попросили бы — «Типа подтверждаю отказ».
                                                                                            И уже можно склеить «Отменяю подтверждаю операцию по моей карте *полный номер карты*»
                                                                                        0
                                                                                        Всё это кажется очевидным, пока очередной знакомый не лоханется. И ведь не динозавры, а продвинутые люди (казалось бы). Потом рассказывают мне о запредельной убедительности разводил, ещё и подловивших в какой-то особенный момент. Судя по посту, Бендеры день и ночь новые схемы комбинируют, хотя в 2k19 люди продолжают деньги давать вперед и выручать друзей в ВК.
                                                                                          +2
                                                                                          Уважаемый Тинькофф Банк, вы все такие модные и технологичные, сделайте альтернативу смс-OTP (например гугл аутентификатор), будет работать в и роуминге, перехват не страшен, а симкарта не нужна
                                                                                            0
                                                                                            Да хотя бы через PUSH начните уже слать как альфа-банк, а не по SMS — уже хлеб был бы.
                                                                                              0

                                                                                              Что-то приходит через push, но не всегда. Покупки приходят, а коды подтверждения в самом приложении им интернет банке а виде СМС. Да и push работает не всегда, приложение если выгружается или нет инета. OTP рулит, настроил его везде, где есть поддержка

                                                                                                0
                                                                                                Да ОТР было бы вообще супер, но что называется на безрыбье… ;) Что еще раздражает, что когда отключаешь платную услугу уведомления о платежах по СМС (меня раздражает сам факт бесконечных СМС), то пуши вырубаются тоже.
                                                                                                0
                                                                                                а вас не парит что после пуша ничего не остаётся и в правовом поле вам никак не удастся доказать что банк, например, не уведомил вас о транзакции. Вы владеете сейчас историей трат 5 месяцев назад? Не так что в банке оно лежит, а так что лично вы владеете и, если банк закроется, то вы продолжите владеть этой историей.
                                                                                                  0
                                                                                                  а вас не парит что после пуша ничего не остаётся и в правовом поле вам никак не удастся доказать что банк, например, не уведомил вас о транзакции.
                                                                                                  Альфа стала хранить историю пушей в МБ, но тоже аднака не панацея — МБ полностью в руках банка и при большой необходимости, я думаю, туда можно будет дописать «недостающий» пуш.
                                                                                                    0
                                                                                                    Вот, об этом и речь. Вопрос кто владеет этим.
                                                                                                    0
                                                                                                    Очень хотелось бы посмотреть на практическую ситуацию в правовом поле, когда наличие какой-то там СМС что-то решило. Про историю трат — выписки хранить не пробовали?
                                                                                                      0
                                                                                                      1. Если говорить про Банк, то в законе о национальной платежной системе указана обязанность банка вас уведомлять. Если уведомление не случилось то будет вопрос кто обосрался. В случае смс этой информацией владеет три лица, вы, банк, сотовый оператор, и у него, судебным запросом может быть эта информация запрошена. В случае пушей — только банк. В каком случае ваша позиция сильнее и шансов больше?
                                                                                                      2. Вот лично мой кейс когда оператор, по требованию ФАС, сам на себя компромат выдавал в виде подтверждения того факта что смс была направлена. Это моё заявление. br.fas.gov.ru/to/orenburgskoe-ufas-rossii/389c86f6-c5f1-4072-a0fa-8db45f4fa6f5
                                                                                                      3. Про выписки. Да, это вариант, но требующий кучи телодвижений и менее точный (могу как нибудь расписать почему он менее точный) Но много ли народу так делает.

                                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                              Самое читаемое