Комментарии 101
Самое интересное, что когда я написал об этом Альфе в фейсбук, они сразу же пошли в отказ: мы сливами не занимаемся, уверены «что просто совпало». Ушел из этого говнобанка.
Клиент альфа-банка уже 13 лет.
Много отделений, например, в Исландии знаете?
единственное, для чего может звонить правильный антифрод — это пригласить лично прийти в отделение— Это вы сейчас совершаете операцию такую-то?
Обычный вопрос у Тинькова.
Звонящий имитировал антифрод, сообщая, что с карты был подозрительный перевод в другой банк. Разумеется, никаких переводов не было на самом деле. Цель таких звонков — ввести человека в стрессовую ситуацию, и, воспользовавшись этим, узнать код из СМС. После того, как мне продиктовали данные паспорта, я повесил трубку.
Больше всего негодования вызывает позиция банка: у нас все ок, вам показалось, мы надеемся вы им ничего не сообщили, будьте бдительнее! Ну и обычный bullshit про высочайшие стандарты безопасности в банке. А на деле: данные 55 тыс. клиентов Альфа-банка утекли в сеть. Так что пусть каждый решает сам, нужен ли ему такой банк.
Как вы можете так уверенно утверждать кто именно мне звонил? :)
Ну, когда я попытался отправить полмиллиона на ипотечный счёт в ВТБ, звонил именно антифрод, а транзакция встала на паузу :)
После того, как я им назвал сумму с точностью до копейки и р/с получателя — сняли с паузы. А по имени-отчеству они меня всегда называют.
Так что пусть каждый решает сам, нужен ли ему такой банк.
Да уж поклиенториентированнее и потехнологичнее Сбера )
К тому же обслуживание бесплатное )
После того, как я им назвал сумму с точностью до копейки и р/с получателя — сняли с паузы.Очень странная защита.
То есть если бы этот перевод делал мошенник с Вашего счета на свой счет, то он бы не знал точной суммы и куда он их переводит? Как запрос подобной информации защищает от воровста денег на левый счет мошенником?
Как запрос подобной информации защищает от воровста денег на левый счет мошенником?А вдруг мошенник ошибся и переводит не на свой счет? :-)
Раньше пользовался Альфа-страхование. Так вот страховая или её партнёры сливают не только паспортные данные, но и более личную информацию (место работы, должность). Служба поддержки написала, что СБ банка напрямую с клиентами не работает (позвонить им нельзя).
Колоссальный список номеров указан. У меня с 2018 года накопилось всего 90 scam номеров.
— Просим рассмотреть наше суперзамечательное предложение: … Вы можете заказать новую карту прямо сейчас, по телефону. Для того, чтобы убедиться, что я разговариваю именно с Вами, назовите Вашу дату рождения.
— Хорошо, я ознакомлен с вашим предложением подумаю, приду в офис, если заинтересуюсь.
— Вы что ли думаете, что Вам звонят мошенники?!!! Ахаха! Смотрите, я могу назвать Ваш баланс на карте: ... р. ... к.! Так что можете не беспокоиться!
Отвечаю, только больше беспокоясь:
— Спасибо, я информирован о состоянии своего счёта, но всё же оформлю карту через офис в случае необходимости.
Дальше ещё несколько попыток убедить, что по телефону будет удобно и безопасно.
PS. На самом деле, большинство звонков адекватные, но есть и уникальные.
Звонок Альфа (по памяти):
— Просим рассмотреть наше суперзамечательное предложение: …
Правильно отвечать: «Пошли на х** со своей рекламой»
Какая яркая показательная история про уровень HR-специалиста. И это сотрудник, от которого зависит самое главное в любой компании — люди!
/facepalm/
Как именно подделывается номер(думал что такое вообще невозможно)?
И почему все банки не могут скинуть смс своим клиентам что СБ банки ни при каких условиях абоненту не может позвонить потребовать логин/пароль/перевести куда либо деньги.
Да совет то древний, но в интернет сегодня попадают люди, которые не слышали о смс скаме середины — конца двухтысячных. Вырастают новые поколения, подключаются дальние села, андроид устройство с выходом в интернет стоит порой меньше 100$… Благодаря огромному потоку новых пользователей сети, старые методы скама вернулись.
Полно сервисов sip предоставляющих подобный функционал.
Ну а на выходе его подельники поджидают, и грабят именно тех, кто с флаером. По утверждениям знакомого именно внушаемые люди ведутся на «меня оштрафуют», видимо их проще грабить и можно припугнуть, чтобы в органы не обращались.
Фиг знает, как там на самом деле с внушаемостью, но момент с внезапно появляющимся человеком, которого оштрафуют, если он что-то не сделает, похоже, достаточный маркер, чтобы послать его куда подальше.
А в метро какие то особенно богатые люди ездят?
2. Я, вроде, прямым текстом написал, что рассказываю с чужих слов. Если хотите, могу дать контакты знакомого, спросите у него.
3. Значимый и ценный момент, на мой взгляд в том, что если появляется незнакомый мне человек и заявляет, что если я что-то не сделаю, то у него будут какие-то проблемы, скорее всего это ловушка. Понятно, что этот триггер ещё сработать должен, но лучше когда он есть, чем когда его нет.
По поводу успеха уличного гоп-стопа. Я тут, к счастью, только гипотетически рассуждать могу. Тот знакомый, насколько я понимаю, ссылался на виктимологию, а у неё, насколько я сейчас знаю (тогда не знал), всё не очень хорошо с воспроизводимостью.
С другой стороны знакомый тогда вёл курсы по юридической безопасности (это про вещи, вроде «всегда читайте что подписываете», которые вроде очевидные, но очень многие их не соблюдают), мог приукрасить из методических соображений.
Зачем хранить 120 тысяч на кредитке?
Но у неё, не всё так просто в этой истории. А если она перевела кредитные средства, а не сверх лимита?) Двойной фейл.
Зато когда эта база биометрии окажется где-нибудь в торе по пять центов за запись, то кроме как хождением в банк ножками вы им пользоваться не сможете. Ибо компьютеру невдомёк, сетчатку со сканера считали, или из базы заново воспроизвели в интерфейс, а новую вы себе просто так не нарисуете.
Утрированно, но чем-то таким повсеместная биометрия и может грозить.
Ну еще можно в дом/офис установить полную телеметрию во всех помещениях, пожалуй, кроме туалета. Тогда биометрию сложней будет «взломать».
Другой разговор, что необратимость (и стойкость к коллизиям) этой сигнатуры-хэша — сильно зависят от каждого конкретного решения. А они свои у каждого вендора, да ещё и закрыты.
Пароли тоже хранить имеет смысл только в виде необратимого хэша, но на каждую хорошую теорию найдётся свой практикант с монгой, торчащей голой жопой в интернет и списком паролей плейнтекстом внутре...
Сырые же биометрические данные для сверки вообще не годятся. Нужна только сигнатура. Их хранение — пустая трата места.
Но соглашусь, это всё справедливо для рационального мира, в реальном могут быть вариации. Например, тот же отпечаток пальца в виде некоего аналога RAW изображения хранится только в ОЗУ процессора сканера, пока он сигнатуру считает, наружу вообще не выходит. Тут всё более-менее устоялось и безопасно.
А вот для системы идентификации по голосу в колл-центре банка такого отдельно взятого, замкнутого и не хранящего данные компонента, как «сканер» — нету. И сэмплы вполне могут «сырьём» храниться в базе. Зачем — хз, но могут.
Никаких преимуществ биометрия не дает пользователям. Она нужна только системе.
Фактически, единственным более-менее надёжным способом верификации остается снятие биометрии в банке и её сверка с образцом при физическом посещении банка
Герман Греф, перелогиньтесь!
Нужно срочно вводить биометрию в масштабах всей страныСотрудник Сбербанка, залогиньтесь. Каждый раз, когда прихожу в офис, приходится отбиваться от сберовских работников с их предложениями о биометрии — понятно, что они не виноваты, их сверху заставляют/поощряют, но всё равно бесит.
Который хлопает глазками и повторяет заученную по скрипту мантру «Ненене,
Ни с чем из перечисленного в сбере последние года 3 не сталкивался. 10 лет назад беда была, да. Но сейчас и в банке я больше 15 минут не проводжу и справки какие хочешь, причем сразу, а не как в днище ВТБ — заплати нам 3к за справку, которую мы обязаны тебе дать или жди месяц.
И интернет банк у них далеко вперед шагнул, огромное количество операций вообще теперь не вставая с дивана делать можно.
Недавно сбер даже осилил наконец показывать в интернет-банке все счета и карты, открытые в разных городах.
Что там с банкоматами, я, правда, не знаю, не пользуюсь ими. Но очередей никаких не замечал в фойе, где они стоят.
Но комиссия при переводе из сбера в сбер, если отправитель и получатель в разных городах, конечно, расстраивает.
Больше HR кровавому богу отрицательного отбора!
Моего коллегу из отдела процессинга не очень крупного банка, собеседовали в hh.ru.
HR попросила его нарисовать схему работы процессинга. Парень нарисовал и всё подробно объяснил.
— Вы никогда не работали в отделе процессинга (кривая рожа прилагается)!
— ???
— Вот! И показывает схему процессинга Сбербанка.
Коллега пытался донести до этой макаки, что не каждый банк имеет свой процессинг, ибо дорого. Некоторые арендуют услуги например, в Магнитогорском Компасе +. Ничего не смог доказать, так и ушёл ни с чем.
HR вообще не должен чекать технические навыки. Проверил адекватность соискателя — передал дальше.
Вот на днях проходил собеседование.
HR посмотрела резюме, написала мне предложение пройти собес.
На собесе HR + тех лид.
Следующий собес HR + менеджер проекта.
И так работает большинство HRов. О её уровне технчиеской грамотности я не знаю вообще ничего и по моему он никакой роли не играет.
Клиенты кадровых агентств, пытаясь сэкономить своё время, снабжают HR чек-листами, с которыми те не в состоянии адекватно работать. И технарей там рядом нет, поэтому проверка по такому «расширенному» чек-листу отсеивает хороших специалистов.
Занятно, кстати, очевидный косяк технического специалиста вы свалили на ни в чем неповинного HRа. Я как раз и пытаюсь донести мысль, что HR работают по вполне конкретным правилам, и часто совсем не они виноваты в том, что эти правила кривые. А HR который что-то понимает в технической части — это скорее зло, потому что не являясь профильным специалистом он начинает делать суждения на которые не имеет квалификации.
Негодяи могут взять наши фото из соцсетей и подсунуть их на вход системы аутентификации (хотя вряд ли это сработает).
Но подсунуть на вход эту самую модель или хэш из ворованной БД — бесполезно, ибо их там не ждут.
В БД провайдера услуги аутентификации хранится либо как математическая модель отпечатка пальца | рисунка вен на ладони | фотографии лица, либо как хэш.
Откуда вам это известно?
Если к Вам придёт провайдер с аутентификацией по исходным сканам, гоните его мокрыми тряпками.
Вот я как пользователь пришёл куда-то, где меня просят сдать биометрию. Ну, например, палец приложить к сканнеру. Каким образом я могу убедиться в том что скан не сохранят?
Я не знаю, есть ли детальные требования к провайдерам, оказывающим услуги аутентификации по биометрическим параметрам, которые прямо запрещают им
Статья 4.3 149-ФЗ говорит нам: «Порядок хранения и использования включенной в состав архивных фондов документированной информации устанавливается законодательством об архивном деле в Российской Федерации». Вряд ли в законах об архивном деле будут такие требования.
Поэтому я не раздаю свою биометрию кому попало. Только Сбербанк и государственные структуры. Остальные могут внедрить решения самого сомнительного качества.
Неплохой вирусняк пиарщики Рокетбанка придумали.
Upd. об этом даже целую статью запилили.
Телефонные мошенники представились «Рокетбанком» и обманули сотрудницу этого банка