Моя страница

11 апреля 2021 в 16:36

Как я убедился в том, что СберБанк напрямую сливает данные клиентов телефонным мошенникам

Вполне очевидно, что при нынешнем размахе телефонного мошенничества следует завести отдельный телефонный номер для получения СМС в рамках услуги "Мобильный банк" СберБанка. Этот же специальный номер следует использовать для приема СМС двухфакторной аутентификации при использовании СберБанк Онлайн. Никаким знакомым, родственникам этот специальный номер не сообщается, в мессенджерах, соцсетях не засвечивается. Более того, номер не используется в работе с партнерами по СберID. Таким образом, о принадлежности такого секретного номера вам как клиенту СберБанка будут знать только в самом банке. Я тоже на это надеялся. До недавнего времени.

На другой публичный номер, который использовался для регистрации на различных сайтах и интернет-сервисах, многочисленные звонки от мошенников поступают уже не первый год. Поскольку запись разговоров с незнакомых номеров у меня включается автоматически, то собралась целая коллекция таких записей. Достаточно при регистрации указать свою фамилию с небольшой опечаткой или не указывать отчество, или "перепутать" фамилию и отчество и звонящий "засветит" источник утечки. Заказ в пункте выдачи в любом случае отдадут, если вы оплачиваете его при получении.

Итак, первая улика против СберБанка. В марте 2021 года начался шквал мошеннических звонков на мой секретный номер. Мошенники называли себя сотрудниками СберБанка, обращались по правильной фамилии, имени и отчеству, называли мой год рождения. Утечку данных от сотового оператора я исключаю, потому что у оператора моя фамилия несколько искажена, а все мошенники обращались ко мне правильно. В начале разговора я обычно сообщаю, что плохо расслышал собеседника и он вынужден два-три раза внятно повторить обращение ко мне, что важно для качественной записи. Ну и для того, чтобы поиздеваться над говорящим. Более того, при разговоре я обычно не подтверждаю, что мошенник говорит именно с тем, ФИО которого он назвал. Это сбивает мошенников с толку и они отключаются. Но в марте меня убеждали, что ошибки быть не может, что я ввожу их в заблуждение и продолжали разговор.

Вторая улика против СберБанка. Абсолютно такой же схемой с секретным номером пользовалась моя родственница. Номер оформлен на меня. И вот в апреле 2021 года на него стали звонить мошенники, называвая её правильно по фамилии, имени, отчеству. Это исключает утечку от оператора сотовой связи.

Третья улика. Все вышеизложенное было представлено в СберБанк в подробном обращении на двух страницах, с требованием установить виновных в утечке персональных данных. Вот ответ СберБанка полностью: "Благодарим за данные, предоставленные в обращении № ***** На основании поступивших данных банк формирует стратегию защиты клиентов от возможных мошеннических действий. Меры безопасности при использовании банковских продуктов и услуг размещены на сайте в разделе «Ваша безопасность» sberbank.ru". Таким образом, СберБанк не отрицает утечку данных, не сообщает о проведённом или проводимом служебном расследовании по заявленным фактам, и тем самым неявно признает такие утечки персональных данных и невозможность противодействия им.

Эта ситуация описана в народном рейтинге:
https://www.banki.ru/services/responses/bank/response/10497377/
Ждем ответа официального представителя СберБанка.

Вопрос для уважаемых участников форума: как часто посетители banki.ru сталкиваются с доказанными фактами утечки данных клиентов именно из СберБанка? Очевидно, что без крота где-то внутри СберБанка такое невозможно...

281

1,4k

Комментарии

99+

Сначала старые Сначала новые

Сначала старые

Показать предыдущие (93)

ia2015

9 октября 2021 в 13:37

----------
Цитата

uGNot пишет:
Правильно, нужно добавить к ним еще и TAN-генераторы, чтобы клиенты вообще боялись карту из сейфа доставать.

----------

А свою карту вообще никому не нужно давать в руки. Даже сейчас.

Советую внимательно изучить принципы работы TAN-генераторов. Только имея в руках физическую карту с чипом можно делать переводы в он-лайн банкинге при их использовании. Сейчас, зная только номер карты, даже не имея к ней доступа физически, но держа в руках телефон жертвы, злоумышленик может получить доступ к он-лайн банкингу и увести у жертвы деньги.

Ответить

Бжашичек

9 октября 2021 в 13:55

----------
Цитата

AlekseevIR пишет:
Вот так себе и представляю - сидит в сбере "крот", ждет поступления пособия на смешную сумму, и, как только это пособие поступает, он все сливает, рискую за такие крохи лишиться работы. Не, ну я поверил бы если на счете миллионы лежали, но, из-за пособия... Не, не верю.
----------

А я верю. Сливают ту инфу к которой доступ имеют. Слили 200 карт. Где то пособие , где то миллионы.
Откуда тогда утечка идет в сберкассе? А то что миллионы у клиентов СБ мошенники воруют, в это веришь?

Ответить

uGNot

9 октября 2021 в 13:56

----------
Цитата

ia2015 пишет:
Советую внимательно изучить принципы работы TAN-генераторов. Только имея в руках физическую карту с чипом можно делать переводы в он-лайн банкинге при их использовании. Сейчас, зная только номер карты, даже не имея к ней доступа физически, но держа в руках телефон жертвы, злоумышленик может получить доступ к он-лайн банкингу и увести у жертвы деньги.
----------
Изучал лет 10 назад - уже тогда было очевидно, что это тупиковая ветвь. У дешевых аппаратных TAN генераторов полно проблем с безопасностью и у них очень ограниченная область применения, которая уже неактуальна.

Хотелось бы посмотреть, как вы посреди стада пингвинов на входе в метро в 8 утра будете целиться TAN-генератором в экран мобильного телефона.
Чисто для себя, поржать :)

Ответить

iamvs

9 октября 2021 в 14:48

Достаточно сделать, чтобы переводы от физиков уходили не мгновенно, а через 3 суток. И число мошенничеств сократится раз в сто.
Многим жертвам уже через 5 минут или полчаса становится ясно, что сделали что-то не то... Но поезд (деньги) уже ушел.
И чтобы онлайн-кредиты тоже выдавались через 3 суток после одобрения.

За это время 99% неправильных операций жертвы отменят, а жулики взгрустнут. Ибо напрягаться им придется раз в 100 больше, за те же деньги.
Мгновенные переводы- зло.

Ответить

ia2015

9 октября 2021 в 15:54

----------
Цитата

uGNot пишет:
Изучал лет 10 назад - уже тогда было очевидно, что это тупиковая ветвь. У дешевых аппаратных TAN генераторов полно проблем с безопасностью и у них очень ограниченная область применения, которая уже неактуальна.

----------

Если дадите ссылки - буду признателен. Кроме тех, разумеется что про давно известных троянов:
https://securityintelligence.com/tatanga-attack-exposes-chiptan-weaknesses/

А что значит дешевый TAN-генератор? Они вроде-бы все от 20 до 100 euro ? Можно раскошелиться и на 100 евриков.

TAN-генератор для браузера на PC, не для смартфона, конечно. Идея ведь в том, чтобы исключить использование смартфона, CMC, симок.

Ответить

master12345

10 октября 2021 в 07:02

----------
Цитата

ia2015 пишет:
А что значит дешевый TAN-генератор?
----------

«Файл недоступен»

Ответить

Bismark9

10 октября 2021 в 09:22

----------
Цитата

master12345 пишет:
Прикрепленные файлы
----------

Так отказался ВТБ от таких токенов/генераторов, новые не выдаёт старые работают до их физической кончины, а тут пишут что они сегодня актуальны и нужны.
----------
Цитата

камо пишет:
Банк тут ничем не поможет.
С какого перепуга переходить и вводить - непонятно, если я не оформлял никакие кредиты?
----------

Перепуг тут такой, что в Альфа банке легко и просто можно стать то ли агентом то ли партнёром банка, и на вполне законных и договорных основаниях впаривать их продукты 1му встречному и получать от банка за это деньги.
Мне один раз такая позвонила, ставка по кредитке была адекватной и я сначала посчитал что это звонит работник банка, но сприходом СМС выяснилось что просто агент Альфа банка они ещё емейлы спамят.
Странно даже, как это штатному работнику ВТБ, Альфа банков, у которого клиент банка всегда виноват и не прав, такое всё ещё не известно.

Ответить

ia2015

10 октября 2021 в 11:45

----------
Цитата

Bismark9 пишет:
Так отказался ВТБ от таких токенов/генераторов, новые не выдаёт старые работают до их физической кончины, а тут пишут что они сегодня актуальны и нужны.
----------

Уважаемые коллеги,

разрешите подвести итог нашей дискуссии про аппаратные генераторы одноразовых паролей и их применении в банках РФ и за её пределами.

1. В РФ такие генераторы считаются роскошью и доступны только юрлицам. По мнению банкиров чернь (физлица) обойдутся и без них и должны пользоваться SMS-TAN или pushTAN. В последних двух вариантах физлицам приходится только полагаться на добросовестность операторов связи, и сохранность их собственных телефонов. При использовании pushTAN двухфакторность теряется - достаточно украсть/взломать одно устройство.

2. Реализация chipTAN способа аутентификации транзакций в ВТБ была кривой. Что там было - обычное головотяпство, лень или традиционная коррупция при закупках устройств - мы, конечно, не узнаем. Но приглашения придти в банк для замены батарейки впечатляют своим идиотизмом. chipTAN генераторы от ВТБ не имели оптической связи через окошко браузера (photoTAN) и, очевидно, на момент внедрения были морально устаревшими.

3. В Европе chipTAN генераторы с оптической связью через окошко браузера примерно 10-15 лет назад стали одним их основных решений после отказа от бумажных TAN списков или скрэтч-карт. Работают надежно, заменть батарейку может сам пользователь.

4. Возможно, что такие chipTAN генераторы в Европе дальнейшем будут вытеснены mobileID (специальная SIM-карта с шифрованием), photoTAN или pushTAN, см. определения терминов здесь:
https://www.ebas.ch/en/search/?[censored]-in-process

5. Банки РФ не заинтересованы во внедрении современных и надежных технологий защиты удаленных транзакций клиентов-физлиц, поскольку по причине неработающей российской правовой/судебной системы все проблемы легко спихиваются на клиентов. :wall:

6. Хотите надежности - закрывайте все каналы УДБО и ходите в отделение со сберкнижкой или за наличкой в банкомат. А Герман Греф тем временем предоставит клиентам возможность заказать пиццу через банкомат - заодно закажете и её. :ura:

Ответить

Bismark9

10 октября 2021 в 11:59

----------
Цитата

ia2015 пишет:
1. В РФ такие генераторы считаются роскошью и доступны только юрлицам. По мнению банкиров чернь (физлица) обойдутся и без них и должны пользоваться SMS-TAN или pushTAN.
----------

Да нет, физическим лицам в ВТБ и РСХБ их тоже выдавали, у меня один есть такой из РСХБ, там такие тоже раньше выдавали, потом перестали их закупать и выдавать соответственно.
Где то проскакивало что на Митинском радиорынке их одно время продавали, но в ВТБ обладая им, ещё надо было подвязывать аппарат к ДБО иначе не работало.

Ответить

user993581294775

10 октября 2021 в 12:09

----------
Цитата

ia2015 пишет:
поскольку по причине неработающей российской правовой/судебной системы все проблемы легко спихиваются на клиентов
----------

Ошибочное мнение.
Отношения клиента и банка регулируются договором между ними. И на этой стадии - заключения договора - правовая/судебная система вообще никаким боком.
Если клиенту не нравятся условия договора, его никто не заставляет его подписывать. Благо банков в стране около 400. Подписал = согласился с условиями банка. А раз согласился с условиями банка, будь любезен их выполнять, это клиенту любой суд скажет. В любой стране.

А если проанализировать каждый день возникающие здесь на форуме темы, то подавляющее большинство вопящих "Мошенники, ааа!" стали жертвами из-за дыр в собственной голове, которые тщетно пытаются выдать за "дыры" в банках. Психологически понятно: себя лохом никто не считает, виноваты все вокруг, но не я - правовая система, банки, правоохранительные органы и марсиане.

Вот примерчик хороший.
----------
Цитата

Полицейский не смог убедить пенсионерку, которая решила перевести деньги мошенникам.

Женщину, получавшую инструкции у банкомата по телефону, заметили работники банка и сразу вызвали полицию. Приехавший на место сотрудник МВД попытался объяснить пенсионерке, что ее хотят обмануть, но у него ничего не вышло.

Через несколько дней женщина пришла в отделение с заявлением о хищении почти 900 тысяч рублей.
----------

Ссылки на ВК здесь запрещены, это новость в паблике СочиОнлайн за 6 октября. Там же видео, которое снимал полицейский, пытаясь отговорить пенсионерку. Пенсионерка его посылала и на его глазах скормила банкомату деньги для мошенников.
Но виновато всё равно государство :D

Ответить

Mashiro-sama

10 октября 2021 в 12:17

----------
Цитата

Bismark9 пишет:
потом перестали их закупать и выдавать соответственно.
----------

Потому что не стало популярным у самих физ лиц. Основная масса клиентов, которые ищут "карта без ежемесячной платы, да с кэшбеком побольше" на предложение купить дополнительно этот криптокалькулятор смотрела на операционистов большими глазами "да и без него все работает, нафига нам вы его впарить пытаетесь, с нас больше денег только выкачать хотите". А банку вместо больших партий закупать эти устройства поштучно (для единиц клиентов что понимают что это и готовы их купить) невыгодно.

Ответить

user265641651846

10 октября 2021 в 12:22

----------
Цитата

Struzzo пишет:
Но виновато всё равно государство
----------
С бабкой все понятно. Но если посмотреть правде в глаза, все же виновато именно государство. Это его прямая обязанность, не только ловить мошенников, но и предотвращать даже возможность совершения преступлений. :yep:

Ответить

Bismark9

10 октября 2021 в 12:31

----------
Цитата

Mashiro-sama пишет:
на предложение купить дополнительно этот криптокалькулятор смотрела на операционистов большими глазами "да и без него все работает, нафига нам вы его впарить пытаетесь, с нас больше денег только выкачать хотите".
----------

НЕ скажу как было в ВТБ а в РСХБ желающих было не мало, не продавался а выдавался под залог 400-500 руб без оплаты за пользование им. Предлагался на сколько знаю премиальным клиентам, про отказы не слышал т.к был в жутком дефиците.

Ответить

user993581294775

10 октября 2021 в 12:58

----------
Цитата

ssslm пишет:
Но если посмотреть правде в глаза, все же виновато именно государство. Это его прямая обязанность, не только ловить мошенников, но и предотвращать даже возможность совершения преступлений
----------

Крайне показательное высказывание. Отлично иллюстрирует мышление ширнармасс.

Государство ловит мошенников (которые есть и будут всегда пока есть человечество) и предотвращает преступления (о которых вы даже и не знаете, так как они предотвращены).

Психологический тезис "виновато именно государство" по своей сути означает "государство, устрой мне такие условия, где никаких преступлений не было бы в принципе и мошенников тоже бы не было; а ну устрой немедленно, а то буду топать ножкой!".
Но полное отсутствие преступлений возможно только в полностью тоталитарном обществе, где зарегулировано вообще всё, всё под круглосуточным неусыпным контролем видеокамер и стукачей. Вы хотите жить в таком обществе? Я нет.

А там, где есть свобода воли (=свобода договариваться), там всегда будет и злоупотребление доверием, и мошенники, и финансовая безграмотность и требовательная инфантильность "государство, а ну сделай мне безопасно как в детском садике было".

Взрослеть пора. И если уж не научились нести ответственность за свои глупые поступки в финансовой сфере, научитесь хотя бы просчитывать последствия своих действий на шаг вперёд.
На два шага - задача уже непосильная, понимаю.

Ответить

ia2015

10 октября 2021 в 13:59

----------
Цитата

Bismark9 пишет:
НЕ скажу как было в ВТБ а в РСХБ желающих было не мало, не продавался а выдавался под залог 400-500 руб без оплаты за пользование им. Предлагался на сколько знаю премиальным клиентам, про отказы не слышал т.к был в жутком дефиците.
----------

Вот ещё обсуждение, правда, пятилетней давности:

https://www.banki.ru/forum/?PAGE_NAME=message&FID=13&TID=308953#forum-message-list

Действительно, не пошла эта технология в массы. :|
Видимо, банки средней руки опрометчиво пытались на этом заработать. В результате - продукт оказался нишевым.

Ответить

Client507

10 октября 2021 в 21:01

----------
Цитата

ia2015 пишет:
разрешите подвести итог нашей дискуссии про аппаратные генераторы одноразовых паролей и их применении в банках РФ и за её пределами.
----------

по пунктам
1. физические лица отказывались от подобных устройств, даже, если предлагалось использовать после внесения залоговой стоимости, не говоря уже о приобретении. Генерератор обязательно привязывается к внутреннему серверу банка. Смена элемента питания недоспустима, т.к. при этом происходит рассинхронизация часов и/или теряется доверие к ключам, зашитым в память аппаратного генератора.
2. и 3. не стоит путать фантазии продавцов генераторов паролей и реальность. Для рядового немца написанные Вами слова абсолютно непонятны и в реальной жизни им не использовались ни 15 лет назад, ни сейчас. Нет такого у рядового потребителя. Не гика, конечно.
4. В Германии ситуация с одноразовыми паролями регулируется положением psd2 (https://www.bundesbank.de/en/tasks/payment-systems/psd2/psd2-775954 - eng), в котором явно указано, что требуется использование 2 любых факторов из следующих:
Knowledge factors (e.g. PIN, password ...)
Possession factors (e.g. mobile phone, card, TAN generator ...)
Inherence factors (e.g. fingerprint ...)
Приятный Вашему слуху TAN generator - это программа для смарта, для справки.
Перечисленное было предоставлено банкам всем потрепевшим в описанных случаях, но не явилось гарантией защиты от мошенничества. Приведенный пример пост является идеальной иллюстрацией, что проблема лежит не в технической плоскости, а в голове владельца счета. Допущение факта, что деньги в виде наличных, которые держишь в руках, нужно внести на безопасный счет для повышения безопасности от кражи по каналам ДБО - это уже поле деятельности психиатра. Однако же имеет место.
5. Нравится это Вам или нет, но в описанных случаях банки России полностью удовлетворяют требованиям германского регулятора в деле обеспечения безопасности. Понимаю, что это утверждение идет в разрез с картиной мира в голове ssslm и им подобным, но что есть, то есть. Убедить, правда, в обратном невозможно. Нужен личный опыт, а не интернет-чтение :D

Ответить

ia2015

10 октября 2021 в 22:07

----------
Цитата

Client507 пишет:
Генерератор обязательно привязывается к внутреннему серверу банка. Смена элемента питания недоспустима, т.к. при этом происходит рассинхронизация часов и/или теряется доверие к ключам, зашитым в память аппаратного генератора.
----------

Уважаемый Client507,, спасибо за комментарии. Позже я укажу на некоторые ошибки в них, но начну самой очевидной. Да есть OTP или TAN генераторы устаревшего типа с синхронизацией по времени, NTP. Их надо нести в банк на замену элемента питания, синхронизацию, возможно перепрошивать. Возможно, что именно такие упоминались выше. Я не веду о них речь. Смотрите здесь

https://www.youtube.com/watch?v=PwDkLwBC_3g

как клиенты самостоятельно меняют CR2025 в устройствах с оптической связью про которые я здесь рассказываю. Там другой принцип синхронизации. Конечно, нам за державу обидно, но здесь нас обошли... :o

Ответить

uGNot

10 октября 2021 в 23:49

----------
Цитата

ia2015 пишет:
В РФ такие генераторы считаются роскошью и доступны только юрлицам.
----------
Для подавляющего большинства физиков даже 10 баксов за годовое обслуживание карты - дорого. Юрлицам TAN-генераторы вообще нужны как слону самокат - у них и так все транзакции подписываются ЭЦП с аппаратного токена.

----------
Цитата

ia2015 пишет:
По мнению банкиров чернь (физлица) обойдутся и без них и должны пользоваться SMS-TAN или pushTAN. В последних двух вариантах физлицам приходится только полагаться на добросовестность операторов связи, и сохранность их собственных телефонов.
----------
Доля мошенничеств, когда виноваты операторы связи пренебрежимо мала, к тому же в этом случае у жертв очень хорошие шансы в суде. Случаев, где была бы доказана вина провайдеров PUSH-сообщений, пока нет вообще. В подавляющем большинстве случаев виноваты сами жертвы, в остальном слишком вольное обращение банков с основами информационной безопасности.

----------
Цитата

ia2015 пишет:
При использовании pushTAN двухфакторность теряется - достаточно украсть/взломать одно устройство.
----------
Совсем не так. Двухфакторность теряется из-за того, что банки в угоду большинству, которому сложно и неудобно помнить и вводить логины/пароли, отказываются от фактора знания, оставляя только фактор владения. И TAN-генераторы тут ничем не помогут - это ровно тот же фактор владения, что и sms и push.

Да и в общем основная проблема не в защите каждой конкретной транзакции, а в том, что крайне легко сменить сам фактор обладания и банк никак его не проверяет. Если номер телефона есть в договоре с банком, то экземпляр мобильного приложения не фигурирует нигде. В некоторых банках даже невозможно узнать какие устройства привязаны к учетной записи клиента.

P.S. Не пытайтесь примерить забугорный опыт на нашу действительность, особенно дистанционно и не понимая сути проблемы.

Ответить

master12345

12 октября 2021 в 06:51

----------
Цитата

ia2015 пишет:
5. Банки РФ не заинтересованы во внедрении современных и надежных технологий защиты удаленных транзакций клиентов-физлиц, поскольку по причине неработающей российской правовой/судебной системы все проблемы легко спихиваются на клиентов.
----------

Менеджмент крупняка(квазигосударственная пентархия+Буква+2Дочки иностранцев) действительно нацелен исключительно на финансовые показатели, и ориентирован иерархически. Злые языки, с которыми я согласен только частично, утверждают, что при найме на работу его резюме просматривают на наличие успешно завершенных проектов по ст.159. ч.4, а не по внедрению чего-либо нацеленного на клиентов.
Но есть и банки, которые пусть и субъективно мною, но воспринимались клиентоориентированными, м. б. не столько в плане защиты ДБО, а вообще. Но тут какая то странность. Все кого я считал таковыми (начиная от Мастербанка и до Нейвы) лишились лицензии по подозрению в проведении сомнительных операций.(исключение Велосипедист, но у него крыша не по зубам аборигенам из надзора ЦБ) То ли фин. ресурс на инновации настолько огромен, что намутить его можно только схемами, то ли о клиентах думают исключительно как о прикрытии мошенники.

Ответить

ia2015

13 октября 2021 в 23:00

----------
Цитата

uGNot пишет:
В подавляющем большинстве случаев виноваты сами жертвы, в остальном слишком вольное обращение банков с основами информационной безопасности.

----------

Следуя Вашей логике тогда вообще не стоит беспокоиться об информационной безопасности. Зачем предлагать клиентам банков устанавливать сложные пароли, если методами фишинга они станут всё равно известны телефонным мошенникам?

Стоит ли вплетать в обсуждение технической стороны ДБО какую-то безумную бабушку?

Ответить

Показать еще (168)