Комментарии 218
Как при этом получать прибыль за счет движения курсовИМХО за счёт того, что играть на повышение / понижение уже когда известен результат. Например, создаются две заявки — одна на обмен долларов на рубли, а другая рублей на доллары, а подтверждается только «выигрышная». Ну и так раз за разом играть не на повышение / понижение, а на заведомый выигрыш.
Но скорее всего доход будет очень не большой и реальная прибыль возможно при большом обороте. Банки защищаются от этой атаки огранивая оборот. Скажем, что бы поиметь с прибыли на разнице в курсе в 10 коп. (с уже учетом всех коммисий банка) доход в 1000 рублей нужно провернуть сделку в $10 000. А ограничение на оборот в день в банке составляет, например, 500 000 рублей. Т.е. купите по нынешнему курсу вы меньше $10 000, и продать в этот же день уже не сможете. Более того вы в принципе не сможете уже проводить сделки в этот день.
Что мешает запрашивать суммы n + значение_атаки? округление точно так же будет работать. Просто, предел на операции таким образом быстрее будет достигнут, но это не устраняет причину атаки, а лишь смягчяает последствия.
Устранить такую атаку можно лишь внеся дополнительные порядки, повышающие точность операций.
петля гистерезиса на курсах валют.
Ввести лимит на операции можно, ограничив, например, одним долларом. Больше не получится.
Метод продолжит работать, с меньшей эффективностью, но продолжит. Процент от разницы курсов все так же будет меньше.
Не продолжит. От 1 $ на округления можно поймать не более некой доли 1 цента разницы максимум, т.к. округление до целого цента. Это гарантированно меньше 1% от суммы.
А разница между курсом покупки и продажи внутри одного банка обычно не меньше 1%, чаще ближе к 2%.
Т.е. при минимальной сумме конвертации хотя бы 1$ это уже банк будет зарабатывать на таких операциях, а не хитропопый клиент.
Ну и это уменьшило бы масштабы бедствия, но не предотвратило бы его само.
Грубо говоря, вся финансовая вычислилка привязана к правилам ведения учетных операций. Правила эти прописаны в законах, подзаконных актах и правилах работы различных систем межбанковских переводов денег. Грубо говоря, нельзя проводить финансовые транзакции на доли цента/копейки.
Как уже заметили выше — проблема не решается на уровне софта.
А еще почему-то сейчас вспомнилась статья, сколько знаков после запятой у числа Pi используют в НАСА…
Рациональное число представляется из себя обыкновенную дробь, где числитель — число целое, а знаменатель — натуральное. Все операции над рациональными числами производятся в дробях, без потерь точности. А при необходимости можно получить десятичное представление с нужной точностью.
Ответьте на такой вопрос, пожалуйста: в одной переменной лежит значение 1/3 и она занимает 2 байта, в другой переменной лежит значение a/b, при том 255<a,b<32768 и она, соответственно, занимает 4 байта. Среда выполнения сначала копирует первую переменную, а потом вторую, откуда она берет информацию о том, сколько ей байт копировать?
Можно меньше, если значения упаковать в 1 байт, можно больше, если использовать преаллокацию. Я же вам описал тривиальный случай.
struct Rational {
char a,b
}
Если числитель и знаменатель — числа произвольной точности, то да, будут накладные расходы. Если же это примитивные или POD-типы, то никаких накладных расходов нет, за исключением выравнивания. Но оно не является обязательным на большинстве платформ, и его можно контролировать.
POD-типы накладывают ограничение на максимальный размер числа, для пары беззнаковых байтов — 255. В примере я как раз наложил ограничение.
В России её начали активно использовать именно в 2016 году, используя уязвимости систем дистанционного обслуживания банков.
А какой банк имеет равный курс покупки и продажи безнала?! Хочу хочу такой банк!
К примеру Сбербанк.На округление заработать?! Смешно.
16.05.2016 (c 19 часов 45 мин.) (курс безнала) покупка продажа USD
63.1300 71.6600
Представители банковской отрасли на условиях анонимности поделились информацией, что есть менее трудоёмкая схема мошенничества, когда клиент создаёт заявку на обмен, затем ждёт изменения курса в выгодную сторону, и только после этого подтверждает старую заявку паролем. Поскольку заявка создана по старому курсу, то она меняется по старому курсу.
Ой ли… Покажите мне такой банк. Проводка по счету размазанная по времени. Не верю.
Ну разве что грубая ошибка разработчиков фронта и заодно бэка конкретного банка.
Странные примеры.
Щас же — Теперь разница между курсом покупки и продажи $ в Альфа-Клике всего 1 руб. Разница с курсом ММВБ при обмене $ в Альфа-Клике не более 60 копеек на момент установки курса Банком.
17.05.16
Покупка Продажа
USD 64.1000 65.1000
Спасибо за информацию!
Курсы сбербанка (а для платежей по карте/конвертации они те же) меня уже достали…
Уже пожалел что у Сбера карту завел.
Просто из за соображений "близко к офису".
Нужна была дебетовая карта для разовых покупок за рубли (билеты там или еще что по мелочи).
Не подумал…
Уже пожалел. А уж от их дырявого банк клиента отключился как от ужаса сразу.
Особенно достают предложениями взять кредит и/или получить их карту с кредитной линией.
На попытки в 5-й раз (по телефону) объяснить что мне это не надо — просто не реагируют.
Публичное место — не место для подробностей.
У меня иногда довольно приличные (для меня) суммы на счету бывают.
Банк клиент только с аппаратным токеном…
Все остальное — страшновато. Обойдусь.
SMS — этим только фейсбук можно защищать. И то если не публичное лицо (не политик).
Впрочем, это мое личное мнение и я его не навязываю.
Банк клиент только с аппаратным токеном…
Даже интересно стало, какой банк такую услугу физлицам предоставляет?
Было такое (местный локальный банк + "фактура"). Пользовался именно как физ. лицо. Сейчас не особо нужно и не особо интересовался — остался ли такой сервис.
Ну а будет сильно нужно — буду искать. В конце концов доплатить руб. 500 (розница) за OTP токен или 1000руб PKI карту+(ридер) это не большая цена за безопасность.
Возможно просто интернет-банк предоставляется держателям других банковских продуктов, вроде платежных карт?
ВТБ24 к примеру из крупняка.
«дебетовая карта для разовых покупок за рубли» — у сбера маленький кешбек, вообще нет процентов на остаток, платное обслуживание и в целом грабительские тарифы. Они умудряются брать комиссию даже за перевод внутри банка.
А дилетантство поддержки просто бесит.
Приложение мобильное — бесполезное, умеет только по шаблонам платить.
На iOS и WP, где рутов и б-же упаси кастомов нет, всё вполне работает и без шаблонов.
Комиссию берут только при определенных переводах, большинство из них бесплатные. Зато Вы попробуйте найти в РФ какую-нибудь такую же обширную сеть банковских карт на руках у населения. Я вот с кем не общался, когда требуется перевести деньги, первым же делом спрашиваю «Карта Сбера есть?».
Чтобы избегать этого грабежа, приходилось переводить по схеме Сбер-Тиньков-Сбер. Тиньков брал на себя 2 операции с другим банком и обе без комиссий.
Если есть карта сбера, есть и банковские реквизиты. По ним тиньков отправляет бесплатно и довольно быстро. Можно и 20к в месяц card2card без комиссий только по номеру карты.
Монополистами они стали не из-за выгодных предложений и качества сервиса.
В моем случае на одну такую операцию у сбера есть ограничение в 30к рублей. Откуда этот лимит взялся и как его изменить, за несколько лет никто мне объяснить не смог — ни в офисах, ни по телефону.
И это конечно полный идиотизм. Банк один, а юрлица разные. Я как-то был в другом регионе, и потерял там карту. Мне сказали, что банк не может выдать мне карту здесь с обслуживанием в Воронеже, так как юрлицо другое. Типа или туда карту заказывайте, или меняйте по приезду…
Про разные регионы еще ладно, эта их шиза шороко известна. Но в прошлый разы (не знаю, может за прошедшие 2 года с последнего раза что-то поменялось), мне не то что утерянную карту, а просто карту с заканчивающимся сроком действия для планового перевыпуска отправляли менять на новую внутри одного города, строго только в тоже самое подразделение (район), где она изначально выдавалась! В других перевыпустить и выдать не могли.
А еще до этого (правда это уже совсем давно было), при подаче заявки на кредит в своем районе (по месту проживания) требовали ехать и получать бумажные справки о поступлениях з/п на карту — это притом что карта была от самого Сбербанка (как и расчетный счет компании перечислявшей эту з/п — т.е. вообще транзакции внутри банка и даже внутри одного региона), просто выданная в другом районе города (по месту регистрации фирмы).
Мне два года слали смс с предложениями и не реагировали на просьбы не слать, так как я их карту давно закрыл.
Жалоба от имени другого лица помогла.
Лайфхак: просто скажите что у вас уже пять кредитов висит, приставы квартиру опечатали, возвращать нечем, работы нет и прокурор шьет дело за расчлененку малолетних педозоофилов.
Убогий мобильный и веб-банк с ограничением в десять тысяч рублей на перевод, никаких удобств, никаких выгодных предложений, вообще ничего. Гениальная идея кого-то из разработчиков не сохранять сгенерированный логин чего стоит. Полтора банкомата на весь Петербург (плюс ещё меньше от каких-то безвестных банков-партнёров), у меня от дома до ближайшего банкомата было километра два. Никаких виртуальных карт, никаких бонусов за траты. По сравнению с этим совком сбербанк очень продвинут, удобен и современен.
у меня проблем с переводами нет, работает такой финт: я захожу в веб-банк Тинькова и говорю, что хочу пополнить счет с карты другого банка.
Фокус в том, чтобы не перевод, а запрос на пополнение делать.
Такие операции идут практически мгновенно и до сих пор(за пару лет) процента не брали.
В Альфа-Мобайл пишет: сумма платежа не может быть меньше 7.00 рублей.
1) Перевод 1 (одного) рубля в доллары. На выходе получил 2 цента.
2) Перевёл эти доллары в рубли — получил 1.29 рубля.
Действия проводил между своими счетами (есть рублёвые и долларовые).
Затем сразу написал в саппорт об этом эксперименте, чтобы внезапно не оказаться мошенником.
Эксперимент проводил ориентировочно в 17:00.
Возможно, это попытка пофиксить, но по факту уязвимая операция — именно обмен рублей на центы.
Понял Вашу мысль.
Забавно…
Интересно можно ли выполнять подавать заявки на покупку столь мелкими суммами.
И назвать это мошенничеством нельзя. Все в рамках правил банка.
Говорить "особо упорные пользователи" можно только про тех кто это руками делает.
Организовать в банк клиенте скрипт долбящий такую операцию не слишком то и сложно.
Ну сейчас начнется...
не сильно.
Приложение, обрабатывающее SMS — это не сложно под Android.
Погуглил немного:
http://pro-spec.ru/catalog/radiosvyaz/usiliteli-i-marshrutizatory-signala/modemy/siemens-mc35i-terminal.html
Даже за 3к нашёл:
http://www.radio-shop.ru/catalog/abonentskie-ustrojstva/gsm-modemy/id1914.shtml
Ничего даже близкого по цене не нашёл.
Можно другую версию (модема или терминала), похоже, эта модель уже снята с производства.
А то ему красная цена 6к, там нечему большему стоить. Ибо можно простой телефон приспособить через usb. Но возможно будут проблемы с декодированием Юникода, в телефонах с этим беда.
Единственный плюс этих модификаций от обычных телефонов, что у него ударопрочный корпус и порог влажности приличный, я такие для ЦТП в Мостеплоэнерго программировал лет 12 назад.
А то ему красная цена 6к, там нечему большему стоить. Ибо можно простой телефон приспособить через usb.
Вы почему-то путаете энтерпрайз-уровень железяк и всё остальное. Как пример: VoIP-GSM шлюз на одну SIM-карту стоит от 10к. Зачем, ибо можно «прикрутить» к SIP-серверу GSM-модем за 300 рублей.
Пример, работают давно:
http://www.onegsm.ru/show_cat.php?catid=24&grid=5
Вы почему-то путаете энтерпрайз-уровень железяк и всё остальное
Так какая задача, такая и реализация.
Зарабатывать центы на переводах — не похоже на стабильный бизнес :)
Вы почему-то путаете энтерпрайз-уровень железяк и всё остальное.
Под этими словами я подразумевал, что словами «А то ему красная цена 6к, там нечему большему стоить» некорректно сравнивать железку для энтерпрайза и железку для дома.
На данный момент: 65,00 (продажа) — 64,35 (покупка) = 0,65 рубля. При курсе ММВБ 64,51 рубля.
А раз нельзя делить копейку, то приходится после всех вычислений ее округлять, и не забывать о проверке, что бы сумма рассчитанных данных равнялась исходной сумме. Остаток необходимо куда то добавить, а лишнее откуда то вычесть (желательно в пользу надзорных органов).
Так что в конечном хранилище сумм должно быть два знака после запятой, что бы соответствовало отчету 1 к 1.
Хранить в базе одно, а округлять только при выводе в отчет, крайне неверно, сумма просто напросто не пойдет.
PS: И тут все понятно пока мы работаем с одной валютой, а вот с конвертацией начинаются серьезные проблемы.
Даже количество знаков в курсе является источником споров, одно дело когда курс применяют к маленькой сумме, другое дело когда к миллионам.
От такого поможет только поднятие минимальной суммы для обмена, что бы потери при округлении были меньше чем прибыль на разнице курсов. А вот насчет можно ли это сделать по закону я не знаю.
С другой стороны, есть ли здесь мошенничество? Систематические операции — ну да, вроде как с умыслом, но ведь инструментарий только тот, что выдан банком. Это как примерно говорить, что в офисе банка бесплатный кулер с водой стоит, а вы им отрепортите, что из него можно попить не один, а аж два и более раза подряд, за что банк заплатит совсем непроизводительно?..
Это да, но ликвидность у денег несколько выше, чем у воды из кулера, никто не будет напиваться впрок.
https://www.youtube.com/watch?v=rhcfjFD7bW8
Слева доход в рублях при конвертации рубль-доллар-рубль, справа — результат в долларах (при обмене рубль-доллар)
На сумме в 33 коп. получаем 0.01 доллар. Если так сделать 100 раз, то выйдет 1 доллар за 33 рубля.
Если так сделать 100 раз, то выйдет 1 доллар за 33 рубля.
тоесть в вышеуказанном примере из 29 копеек на счёт зачисляется 0.00 доллара)))
https://ru.wikipedia.org/wiki/%D0%9E%D0%BA%D1%80%D1%83%D0%B3%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5
Упс, промахнулся. Это реплика джентельмену повыше. (@yul)
Представители банковской отрасли на условиях анонимности поделились информацией, что есть менее трудоёмкая схема мошенничества, когда клиент создаёт заявку на обмен, затем ждёт изменения курса в выгодную сторону, и только после этого подтверждает старую заявку паролем. Поскольку заявка создана по старому курсу, то она меняется по старому курсу.
В сбере такое точно не катит. У них прямым текстом при совершении обмена написано, что результат обмена может отличаться от того что сейчас на экране, потому что операция проводится по курсу на момент операции. А операция в свою очередь так и вообще может через несколько часов после подтверждения пройти.
По факту
Первый способ не работает, т.к. округление идет в меньшую сторону. Получишь не 1 цент, а 0 центов или же обмен не пройдет вообще.
Второй способ не работает, т.к. не важно когда ты подтвердил заявку, выполняется она по курсу на то время, в которое непосредственно произошел обмен, а не когда выставил заявку.
В общем банки ждут типичных буратин, которые будут в первом случае дарить им центы, во втором случае прибыль с обмена, в ход пошли уже откровенные сказки.
2. раздел «обмен валют».
3. смотрим курс. 1 к 65.10 на 17.05.2016
4. вычисляем минимально доходную сумму: 0.055 -> 0.6 значит 0.055 * 65.10 = 3.5805, т.е. надо переводить 3.59 в баксы
5. вычисляем доход. 0.06 * 64.10 = 3.846 = 3,85
6. значит профит 3,85 — 3,59 = 0,26 руб
7. совершаем операцию 3,59 в баксы (будет 0,06)
8. совершаем операцию 0,06 в рубли (будет 3,85)
9. смотрим историю операций
10. радуемся
В общем, юристов в студию! Есть здесь что-то противозаконное или нет?
Если альфа просечет, банков-то много… :)
решение для банка: в мобильном банке округлять до 4-5 знаков, ограничить операции перевода до 1 в 5-10 минут
кто-то начал писать автомат кнопания в программе мобильного альфабанка под андроид-эмулятор?
За 1 транзакцию с обменом туда-сюда-обратно вы имеете 25 копеек с воздуха!
Т.е. скрипт на 100000 транзакций через веб-апи и… считайте дальше сами)
На ютубе 1 просмотр это тоже 0.001 доллар с рекламы. Мало? Да.
Но если у вас 40 000 000 просмотров… То понятия «мало» и «норм» меняются.
Далее, если банк обратит внимание на такие телодвижения, ему проще будет выслать вам письмо счастья типа «извините, мы не можем более обслуживать ваш счет». Там же наверняка в договоре есть пунктик «банк имеет право письменно вас послать за сколько-то там дней».
Система безопасности банка должна такое оперативно выявлять и реагировать по блокированию особо умных.
Во времена нестабильных курсов на Украине — люди расчитывались гривневой картой по долларовым счетам по одному курсу, через день курс взлетал и сумма списания увеличивалась на глазах. На мелких покупках — не сильно заметно, а вот на крупных (заказы в заграничных интернет-магазинах, путешествия заграницу) — очень заметно.
хотя бы даже копейку.это из области фантастики.
Упс, уже упомянули выше, сразу не нашёл.
После этого ТБ ввёл комиссию за конвертации (пополнение дебетовых валютных карт), начиная с 5 пополнения.
СУ и СЖ сейчас сидят, читают, и слезы льют.
Привет, @
Конечно, за минувшее с примерно 2010 года время очень многие банки различными способами прикрыли данную дыру. Не все, да.
Но прошу заметить — имеются модификации, которые внутрибанковскими процедурами прикрыть практически невозможно. Так, тот же самый ТКС — его пример выше в комментариях уже разобрали частично, который (получивши заряд от конвертоботов) сначала ввёл в ИБ минимальную сумму перевода между счетами в 10 руб, в результате стал получать на сводный рублёвый счёт для конвертации на валютные контракты по 33 копейки. После чего в тарифе появилось про 1 цент/евроцент, начиная с пятой конвертации в расчётный период. Но вы всерьёз думаете, что такой банк как Тинькофф может реально отгородиться? Конечно же, нет. Его можно продолжать гнуть на конвертации и дальше, правда применив некоторые обходные пути.
Далее, некоторые банки стали округлять всегда вниз. Как бы в свою сторону. Вы уже поняли, что «как бы» в этой фразе оставлено совершенно не случайно.
В общем привет всем! Бесслёзный. :)
@.
О внебанковских процедурах даже не думал, а оно вот как, оказывается. Знать бы какие местоположения позволяют в нужных объемах генерировать потоки…
Внутрибанковский способ был известен, но руки не доходили до реализации чего-то интересного, видимо, сейчас уже и поздно пробовать…
Ну а вообще, добро пожаловать, уважаемый @, на этот ресурс, а то все птички-рыбки :)
P.S. Здесь настало время очередной интересной мысли. 51% с нано-сумм это конечно здорово и прикольно, и в процентном выражении перекрывает ВВП многих государств. Однако, в реальном мире для практических целей пусть 0.2%, но с 1 млн это всё-таки интереснее. Так что всё же птички-рыбки и прочие хомячки.
@.
По гражданскому кодексу возможно квалифицировать как незаконное обогащение, основанное на эксплуатации уязвимости системы (фрод). Что может повлечь иск со стороны банка о расторжении сделки и возврате к первоначальному состоянию. С другой стороны, очень похоже на ситуацию с находкой денег, которые по факту еще не принадлежат нашедшему. Только по истечение полгода (или год, хз) после подачи заявления и отсуствии реакции со стороны владельца найденного имущества, либо его согласии оставить найденное в собственности у нашедшего.
@.
Сообразительные пользователи уводят деньги у банков на округлении валюты при конверсии