Деньги на вашем банковском счете никак не защищены и это наше будущее
Ожидает приглашения
Причиной написания данной статьи стало просто повальное увеличение случаев телефонного мошенничества во время карантина. Даже ваш покорный слуга несколько раз получал «Звонки счастья» и каждый раз удивлялся хитростям и схемам для выманивания денег с моего банковского счета, однако, история произошедшая на этой неделе просто перевернула мой мир с ног на голову.
Немного углубимся в прошлое. Раньше не было всех этих новомодных Apple Pay, электронных банковских карт в мобильном, а так же не было такого всемогущего и быстрого интернет-банкинга. Люди ходили в отделения банков с листочками реквизитов, а электронные кошельки только-только появились в нашей жизни. Естественно, банковская сфера, как и любая другая, это бизнес. А в бизнесе выживает тот, кто предложит более быструю, удобную и недорогую услугу. Конечный потребитель это, как правило, обычный рабочий человек, который мало заботится о безопасности своих денег. А если быть точным, мало заботится ровно до того момента, как будет уже поздно.
Похожая ситуация произошла и с вебсайтами, где ради скорости работы было разрешено исполнение JS кода во время загрузки страницы. В наше время браузеры, конечно, пытаются защитить пользователя от подобных дыр, но они не идеальны. Скорость и удобство взамен безопасности.
Возвращаясь в наше время. Наверняка у тебя, читатель, есть банковская карта и удобное мобильное приложение, где можно посмотреть остаток денег на счету, доходы и расходы, а так же быстро перевести деньги с карты на карту к другому человеку. Или, как вариант, можно зайти на сайт практически любого банка и имея под рукой только свой логин и номер мобильного зайти в интернет банк.
Постойте, что? Да, именно так. Фактически, сейчас любому человеку достаточно знать ваш логин и иметь под рукой телефон с номером привязанным ко счету. Никаких паролей или личных данных. Вы можете сказать, что ваш телефон всегда под рукой, на нём стоит защита со сканером отпечатка пальца, а сам телефон всегда на блокировке. Это всё, конечно, здорово, но вы слышали когда-нибудь о Forwarding? Я говорю о том, что любой сотрудник отделения вашего оператора может переключить получение sms с вашей SIM карты на любую другую. И, если это произойдет, то вы об этом даже не узнаете. Разумеется, если вы позвоните в поддержку вашего оператора, то они будут жертвенно клясться, что это невозможно, что для этого обязательно нужны вы и ваш паспорт, что у сотрудников нет таких доступов. Но реальные случаи говорят об обратном. Более того, эти случаи текущего года.
Ну, предположим, мошенники получат доступ к номеру мобильного. Но ведь всё ещё есть логин. Логин выдается банком или выбирается самим пользователем, его так просто не узнать. И как бы оно да, если бы только не базы с личными данными пользователей, которые регулярно сливаются в интернет за какие-то гроши. И там есть ваш логин, будьте в этом уверены.
Не говоря уже о том, что любой сотрудник банка может его посмотреть. Хотя тут уже сложнее, ведь действия на рабочем месте логгируются.
Тем самым, неважно как вы старательно закрываете рукой свой пин код банковской карточки или как бережно вы относитесь к информационной безопасности, вы беззащитны.
А теперь перейдем к истории, о которой я писал ранее. Я сижу на рабочем месте и мне звонит некий сотрудник банка, ну вы знаете. Начинается легенда о том, что к моему личному счету привязали чужой номер телефона и мол, если это не ваш номер, то нужно срочно отменить замену. В качестве доказательства того, что это сотрудник банка, он назвал мне моё имя, фамилию, отчество, дату рождения, и точный остаток денег на счете. Это уже интересно. Собственно на вопрос, что нужно сделать, ответ был следующим: Зайдите в мобильное приложение банка, вам придет Push код из 4 цифр, где будет написано «Подтверждение номера телефона», его нужно продиктовать роботу.
Про диктовку роботу это смешно, а вот про уведомление интересно. Я много раз видел, когда мошенники присылали SMS с номера 900 или звонили с номера банка, это простая подмена, а вот эмулировать Push оповещения внутри мобильного приложения — что-то новое. Какого было моё удивление, когда оно действительно пришло. Ошибки быть не может, это уведомление пришло от банка.
В таких ситуациях я обычно стараюсь отключить панику и сразу идти в отделение. На моменте, когда я сказал мошеннику об этом, он сразу бросил телефон, а вот в отделении люди пришли в замешательство. Так как происходящее действительно и совершенно точно происходило как от сотрудника банка. Смысл мошенничества был вынудить меня оформить кредитную карту на некий адрес, а что с ней бы там делали — вопрос риторический.
То есть, что мы имеем. Либо сотрудник банка, либо мошенник, который по какой-то причине имеет полный доступ к системам банка, имели на руках все возможные данные обо мне и стоило бы им лишь озаботиться тем, чтобы сделать Forwarding моего номера телефона на другую симку, то они смогли бы перевести все деньги с моего счета на любой другой, а так же набрать пачку кредитных карт. И всё, я могу даже не узнать что что-то произошло. Думаете, что банк согласится, что это были мошенники и вернет деньги?
Скажу вам по моему опыту — нет.
Отговорка будет простой. Вы подтвердили свои действия посредством кода из SMS сообщения. Так что банк не может признать эти действия мошенническими, а значит никакого возврата так же не будет. Ах, и если вы думаете, что переводя крупную сумму, скажем, в 100 тыс. рублей, банк обеспокоится и позвонит вам с вопросом — «а вы ли это?», то нет. Никто не позвонит, это ваши деньги и банку до них нет дела.
Что можно сделать? Второй счет, где попросить банк запретить интернет-банк и мобильное приложение на этом счете. Никаких банковских карт. Единственный способ взаимодействия со счетом — паспорт и ваша улыбка в отделении. Неудобно? Да. Утомительно? Верно. Но пока мы живем в таком будущем, это единственный способ, чтобы спать спокойно и быть уверенным в том, что деньги останутся там, где они и должны быть.
Немного углубимся в прошлое. Раньше не было всех этих новомодных Apple Pay, электронных банковских карт в мобильном, а так же не было такого всемогущего и быстрого интернет-банкинга. Люди ходили в отделения банков с листочками реквизитов, а электронные кошельки только-только появились в нашей жизни. Естественно, банковская сфера, как и любая другая, это бизнес. А в бизнесе выживает тот, кто предложит более быструю, удобную и недорогую услугу. Конечный потребитель это, как правило, обычный рабочий человек, который мало заботится о безопасности своих денег. А если быть точным, мало заботится ровно до того момента, как будет уже поздно.
Похожая ситуация произошла и с вебсайтами, где ради скорости работы было разрешено исполнение JS кода во время загрузки страницы. В наше время браузеры, конечно, пытаются защитить пользователя от подобных дыр, но они не идеальны. Скорость и удобство взамен безопасности.
Возвращаясь в наше время. Наверняка у тебя, читатель, есть банковская карта и удобное мобильное приложение, где можно посмотреть остаток денег на счету, доходы и расходы, а так же быстро перевести деньги с карты на карту к другому человеку. Или, как вариант, можно зайти на сайт практически любого банка и имея под рукой только свой логин и номер мобильного зайти в интернет банк.
Постойте, что? Да, именно так. Фактически, сейчас любому человеку достаточно знать ваш логин и иметь под рукой телефон с номером привязанным ко счету. Никаких паролей или личных данных. Вы можете сказать, что ваш телефон всегда под рукой, на нём стоит защита со сканером отпечатка пальца, а сам телефон всегда на блокировке. Это всё, конечно, здорово, но вы слышали когда-нибудь о Forwarding? Я говорю о том, что любой сотрудник отделения вашего оператора может переключить получение sms с вашей SIM карты на любую другую. И, если это произойдет, то вы об этом даже не узнаете. Разумеется, если вы позвоните в поддержку вашего оператора, то они будут жертвенно клясться, что это невозможно, что для этого обязательно нужны вы и ваш паспорт, что у сотрудников нет таких доступов. Но реальные случаи говорят об обратном. Более того, эти случаи текущего года.
Ну, предположим, мошенники получат доступ к номеру мобильного. Но ведь всё ещё есть логин. Логин выдается банком или выбирается самим пользователем, его так просто не узнать. И как бы оно да, если бы только не базы с личными данными пользователей, которые регулярно сливаются в интернет за какие-то гроши. И там есть ваш логин, будьте в этом уверены.
Не говоря уже о том, что любой сотрудник банка может его посмотреть. Хотя тут уже сложнее, ведь действия на рабочем месте логгируются.
Тем самым, неважно как вы старательно закрываете рукой свой пин код банковской карточки или как бережно вы относитесь к информационной безопасности, вы беззащитны.
А теперь перейдем к истории, о которой я писал ранее. Я сижу на рабочем месте и мне звонит некий сотрудник банка, ну вы знаете. Начинается легенда о том, что к моему личному счету привязали чужой номер телефона и мол, если это не ваш номер, то нужно срочно отменить замену. В качестве доказательства того, что это сотрудник банка, он назвал мне моё имя, фамилию, отчество, дату рождения, и точный остаток денег на счете. Это уже интересно. Собственно на вопрос, что нужно сделать, ответ был следующим: Зайдите в мобильное приложение банка, вам придет Push код из 4 цифр, где будет написано «Подтверждение номера телефона», его нужно продиктовать роботу.
Про диктовку роботу это смешно, а вот про уведомление интересно. Я много раз видел, когда мошенники присылали SMS с номера 900 или звонили с номера банка, это простая подмена, а вот эмулировать Push оповещения внутри мобильного приложения — что-то новое. Какого было моё удивление, когда оно действительно пришло. Ошибки быть не может, это уведомление пришло от банка.
В таких ситуациях я обычно стараюсь отключить панику и сразу идти в отделение. На моменте, когда я сказал мошеннику об этом, он сразу бросил телефон, а вот в отделении люди пришли в замешательство. Так как происходящее действительно и совершенно точно происходило как от сотрудника банка. Смысл мошенничества был вынудить меня оформить кредитную карту на некий адрес, а что с ней бы там делали — вопрос риторический.
То есть, что мы имеем. Либо сотрудник банка, либо мошенник, который по какой-то причине имеет полный доступ к системам банка, имели на руках все возможные данные обо мне и стоило бы им лишь озаботиться тем, чтобы сделать Forwarding моего номера телефона на другую симку, то они смогли бы перевести все деньги с моего счета на любой другой, а так же набрать пачку кредитных карт. И всё, я могу даже не узнать что что-то произошло. Думаете, что банк согласится, что это были мошенники и вернет деньги?
Скажу вам по моему опыту — нет.
Отговорка будет простой. Вы подтвердили свои действия посредством кода из SMS сообщения. Так что банк не может признать эти действия мошенническими, а значит никакого возврата так же не будет. Ах, и если вы думаете, что переводя крупную сумму, скажем, в 100 тыс. рублей, банк обеспокоится и позвонит вам с вопросом — «а вы ли это?», то нет. Никто не позвонит, это ваши деньги и банку до них нет дела.
Что можно сделать? Второй счет, где попросить банк запретить интернет-банк и мобильное приложение на этом счете. Никаких банковских карт. Единственный способ взаимодействия со счетом — паспорт и ваша улыбка в отделении. Неудобно? Да. Утомительно? Верно. Но пока мы живем в таком будущем, это единственный способ, чтобы спать спокойно и быть уверенным в том, что деньги останутся там, где они и должны быть.