Перейти к содержимому


Загрузка изображения на ipic.su:




Фотография * * * * * 1 голосов

Немного об ИБ и ИТ: О том как крадут деньги с ваших счетов через Авито и тд



Прочитал сегодня классную историю про даму, которая продавала на Avito.ru куртку и ей позвонила девушка, которая в процессе разговора заявила, что НЕ МОЖЕТ приехать забрать, но ГОТОВА оплатить ее заочно и послать за курткой, которую никогда, не видела ТАКСИ. Параллельно входя в доверие и запутывая кучей вопросов. Затем она узнает номер карты и название банка, после чего просит назвать номер такси, который вот-вот должен прийти по СМС продавщице и та называет этот номер. После чего (но это осталось за кадром, так как "вафсёмвинавадбанкаясфятая") сообщает в догонку и другие сведения (коды) с СМС. ВНЕЗАПНО покупательница сливается, а у дамы пропадают бабки с двух счетов на 150 тыщ рублей и она еще по ним оказавается должна, так как это кредитные деньги.

Естественно тетка мега-эпично все это рассказывает на банки.ру и обвиняет банк во всех грехах, но тут не важен банк даже, схема простая как 5 копеек:

1. На Авито (сейчас это самое гнилое с точки зрения мошенников место) орудуют мошенники, которые социальной инженерией вынуждают девушек (в основном их) предоставить реквизиты их карты.
2. Затем узнают название банка.
3. Затем пробуют по номеру карты или телефону (в 90% случаев он равен тому, куда мошенница звонит) восстановить пароль на портале дистанционного обслуживания или в приложухе банка.
4. Клиенту приходит СМС про сброс пароля, но так как он говорит в этот момент, то на многих устройствах не видно от кого.
5. Мошенница зная точно момент прихода СМС сообщает, что ей нужно удостовериться правильное ли такси приехало и сводит к тому, что прям тока что прийти жертве должен был госномер такси
6. Получая доступ к аккаунту жертвы, злоумышленница (ставлю на то, что там минимум двое человек, одна болтает, другой в фоне все проворачивает) указывает телефон отдельный (свой) в качестве телефона с информированием о списании.
7. Затем переводятся бабки с карты жертвы на карту дропа (левую карту, зареганную на бомжа) и снова выманивается код подтверждения (он приходит на телефон, сменить который можно только в отделении или назовя кодовое слово оператору в колл-центре техподдержки, но я рекомендую ТОЛЬКО отделение).

То, что был 7-й этап с повторными СМС жертва либо не помнит, либо ее просто к этому моменту так сильно заболтали, то она на автомате делает действия, которые не осознает. Либо просто врет, чтобы называть себя невиновной.

Другие схемы с Авито аналогичны, про подобное можно прочитать загуглив "Мошенники на авито", вот общая статья на том же банки.ру: http://www.banki.ru/...eme/?id=9916718

Но давайте не про выявление мошенников или глупость людей поговорим, а проведем ликбез по подобным ситуациям:

1. Банк НИКАК не может отменить перевод с карты на карту. Это требования платежной системы. Не банка. Платежные системы в нашем случае - Виза, Мастеркард, МИР. Иначе бы вы переводили бы бабки человеку, после чего отменяли бы перевод и на бабки попадала бы платежная система.

2. Можно сделать возврат средств, если перевод был на счет организации (например, интернет магазина). Первое правило - в интернете работать с юр.лицами, а не юзерами с номером карты.

3. Если вам нужно дать кому-то информацию для перевода - давайте номер счета.

4. Если номер счета не подходит - через приложение или сайт банка сформируйте ссылку на страницу сайта банка, на которой плательщик просто укажет свои реквизиты и вы получите деньги. У многих банков такое есть. Просто присылаете короткую ссылку по СМС или любым способом и все. Ваши данные никто кроме банка не знает, данные карты плательщика - также не знает никто, даже вы.

5. НИКОГДА НИКОМУ НЕ СООБЩАЙТЕ ДАЖЕ ПОД СТРАХОМ ЛИЧНОГО ФЕЙЛА КОД ИЗ СМС.

6. ВСЕГДА ЧИТАЙТЕ ТОЧНО ЧТО НАПИСАНО В СМС. И пусть весь мир подождет.

7. Если вы не входили в мобильное приложение банка или на сайт дистанционного обслуживания (ДБО), то сразу же бейте тревогу и звоните в банк, если вам пришла СМС сомнительного содержания.

8. Не используйте для входа в ДБО левый комп. Например, в комп. клубе.

9. Не используйте (по возможности) андроид для работы с банковскими приложухами. Можно любые холивары вести Android vs iOS, но 99,99% воровства денег с использованием вируса - на андроиде. Просто для того, чтобы вы понимали. Если вы заходите в приложение банка, вам приходит СМС и код из нее автоматом вставляется в приложение банка (ну удобно же!) - поздравляю, шансы протерять бабки с такими настройками вашего телефона возрастают. Для информации - у нас в банке ведется статистика по воровству бабок через приложухи и кроме социальной инженерии в лидерах - вирусы под андроид. В Сбере, например, вообще работникам запрещают юзать под внутрибанковские приложухи что-то кроме iOS.

10. Сайты ДБО всегда имеют HTTPS соединение. я не буду в рамках данной статьи разбирать как и это можно обойти, об этом было в прошлых статьях данной серии. Остерегайтесь фишинга.

11. Никогда не делайте фото своей карты, никому не сообщайте информацию, которая написана на вашей карте.

12. Не передавайте карту официантам, кассирам и тд. Все, что написано на карте кроме названия банка - конфиденциальная информация. Если кассир требует вашу карту в руки (помочь вставить в терминал, так как вы не дотянитесь и тд) - постарайтесь вежливо отказаться и попросить провести карту через терминал самостоятельно. Начинает бычить - зовете администратора и сообщаете, что согласно требований вашего банка (а такие требования есть) вы не можете передавать карту и должны держать сведения о ней в секрете от третьих лиц.

13. В магазинах на кассе камеры. Если вы не хотите, чтобы скучающий охранник ЧОПа перемотав запись накупил за ваш счет всякой ерунды на алиэкспресс и тд - вводите PIN, закрывая кнопки набора второй рукой. В банкоматах также.

14. Сделайте себе отдельный счет, где будете хранить все сбережения, а карта пусть привязана будет к другому счету, где будет лежать сумма, которую вы готовы потерять. Какбэ за овердрафт карты ничего не скажу, но вы понимаете к чему я все это предлагаю выше. Но если вы отдадите в руки злоумышленника доступ к вашему аккаунту - разделение не поможет.

15. Платите через бесконтактный метод (PayPass / PayWave / ApplePay/ AndoidPay/SamsungPay). До 1000 рублей не требует PIN, что дико удобно. В страшилки про хацкера, что стащит переносным терминалом бабки с вашего счета - это скорее фантастика. Обывательская, но нормальная статья на эту тему: https://www.kaspersk...-security/8608/

16. Лучше всего заведите под банковский аккаунт отдельный телефон-звонилку под отдельную симку. Либо подключите OTP токены, если ваш банк такое предоставляет. В таком случае при входе в приложуху или на сайт ДБО - вы вводите код с отдельного устройства. Отдельную симку используйте только под банковский функционал. Один минус - чтобы симкарту не заблочили, придется периодически с нее тратить деньги и пополнять. Точнее узнавайте у оператора, но, думаю, будет достаточно просто отсылать какую-нить SMS с данного номера раз в месяц или даже полгода.

17. Если вам звонят и представляются службой безопасности Банка просто так (а не, например, поинтересоваться вы ли это переводите со своей карты на неизвестную деньги) и просят что-то там сообщить из СМС - шлите нахуй. В крайнем случае сообщите, что не можете говорить и перезвоните. После чего зайдите на сайт банка и посмотрите как позвонить в колл-центр. Это касается сомнительных разговоров, например, вам позвонили и просят для подтверждения личности назвать кодовое слово. Входящий же звонок либо на подтверждение перевода (кодовое слово не называете, как и любую другую инфу кроме как "да, я хочу перевести 500 рублей на данный телефонный номер"), либо с предложениями от банка. Хотите от оператора какую-то услугу подключить или отключить, которая требует кодовое слово - кладете трубку и перезваниваете на тот телефон, который указан на сайте банка.

18. Включаете здравый смысл. Даже если вы решили что-то продать на Авито - купите отдельную симкарту или сделайте виртуальную симку. НИКТО И НИКОГДА не купит вашу куртку, либо подобные вещи удаленно. Сами посудите, вы готовы купить куртку у незнакомого человека? Вы вообще в курсе, что у вещей есть фасон, что условный размер 48 может быть на вас большим, а другой размер 48 - маленьким? Вы вообще часто видели ТАКСИСТОВ, которые готовы поехать в другой конец города и забрать вещь, чтобы доставить ее на другой адрес?

У банка нет других забот, кроме как стащить у вас деньги и выслушивать на сайтах и блогах тонны помоев в свой адрес. Банковский бизнес это прежде всего доверие. Если банки действительно будут просто так воровать ваши скромные бабки - они потеряют доверие. Куда проще кинуть по-крупному и свалить, пока ЦБ вводит на твой банк санацию. Но это уже мудацкие банки и обычно это лебединая песня, которая простых смертных не касается.


Что же банк делает на своей стороне, чтобы помешать мошенникам? И делает ли вообще?

Да, делает, многие вещи. Как я уже сказал - все дело в репутации. Не связывайтесь с топ594-ым банком, а берите из первых десятков - в таком случае и контроль ЦБ за такими банками жестче и репутацию такие банки берегут.

Что же делается, чтобы защитить клиентов? Всего не знаю (не мой профиль), но существуют совершенно различные способы помочь вам защититься (примите как факт слово "помочь", а не "защитить", 99,999% слезливых историй - 100%-ая вина клиента, который юзает андроид с трояном или раздает мошенникам коды из СМС):

1. Куча разных систем анти-фрода. Внезапные переводы хз куда, подключение хз откуда (из другой страны, города), подозрительные действия (по патернам действий вирусов).

2. Мониторинг и отсев мошеннических счетов и карточек. Да, кидают в большинстве своем на картах дропов (левых бомжей), но часто кидают на карты, которые юзаются не только под вас конкретно и может так случится, что служба безопасности заблочит счет (если он в их банке) злоумышленника, либо перевод на данный счет.

3. Конечно банки внедряют интеллектуальные системы с самообучением и тд, но тут баланс между удобством и безопасностью. Если анально огородить процесс, то с вероятностью 95% отпадут все схемы, но каждый перевод средств будет сопровождаться перестраховочным звонком, либо ручной проверкой вашей операции живым человеком. Это не нужно ни вам, ни банку. Практика показывает, что 50/50 ваш перевод на неизвестный ранее счет/карту будет либо заблочен до звонка вам за подтверждением, либо никакого звонка не будет и он пройдет. Почему так - хз.

4. У карт есть лимиты (но когда у мошенника доступ к вашему ДБО - не факт что это поможет), картам можно запретить операции в инете. К сожалению у меня нет ответа почему переводы в 15к рублей НА НОМЕР БИЛАЙНА или на левую карту в обязательном порядке не проверяется подтверждающим звонком. Но идея есть - злоумышленники выбирают сложные дни для своих злобных дел (например, предпраздничные дни, дни зарплаты и тд). В этот момент всплеск активности клиентов и просто нет возможности 100% операций подтверждать оператором. Штат не резиновый.

5. Для Юр. лиц безусловно защита серьезнее. Но тут как я уже писал - удобнее поймать улетевшие деньги. Да, если собрать инфу с внутренней кухни различных банков - воровство на десятки миллионов - не редкость. Об этом не особо пишут. Мне знакомы случаи, когда реально успевали безопасники застопить уход в неизвестность сумм порядка 1 миллиона баксов. И это только из того, что щас вспомню. "Юриков" грабят вирусней, подделывая на ходу реквизиты при переводе средств. Останавливает подобное во многом то, что юрику не так просто физику (физ. лицу) на карту слить бабло. Это сомнительная операция (если конечно речь не о зарплатном проекте и з/п на карту работников). Поэтому сливают бабки на счет подставной конторы "Рога и копыта", зареганной на очередного бомжа.

6. Банк записывает все разговоры с вами, имеет полную инфу по всем посланным вам СМС, движения всех ваших средств и тд. Не только от того, что это позволяет все про вас знать. Такие требования ЦБ. Вроде лет за 5 или даже 10 вся эта инфа должна быть у банка сохранена. И каждый год к этой инфе добавляют новые и новые параметры.

Но будьте уверены - самый главный ваш защитник - вы сами. Если вас обокрали и вы прибежали в отделение или позвонили в банк - до подключения полиции с вероятностью под 100% вами никто не будет заниматься. Особенно если явно вы накосячили. Вам помогут, если вы VIP клиент, либо если ваш случай попал в СМИ, например. Причина не в том, что банку пофиг на вас - на это просто нет людей. Девушки, что продают куртки на Авито, отключая мозг, к, сожалению, не редкость. Да и мужики точно такие же. Мошенники опытные манипуляторы и хорошие психологи. Если они видят, что вы суетливый, что у вас очевидно мозг другим занят - они хватаются за вас как коршуны и вынуждают слить важную инфу.

Еще из опыта общения с банками, а также из опыта, подчерпнутого в инете - на первой линии взаимодействия с клиентами стоят неопытные работники. Поверьте, работа адская, текучка дикая. Воспринимайте человека перед вами в отделении банка как скрипт. Он работает по скриптам, которые в него заложили на обучении и примерно ежедневно проверяют на летучках. Хорошо, если он знает то, что вам предлагает (кредитный продукт, инфу о дебетовой карте по новой акции и тд), но с вероятностью 100 к 1, он хреново разбирается с чуть более сложными задачами. Например, как действительно заблочить ваш счет, как удалить левый номер, как закрыть счет и тд. У него есть такой скрипт, но не под рукой и обычно ваш случай совпадает со скриптом не полностью и человек путается. Конечно перед вами может сидеть конченный распиздяй и мудило, который хуй клал на работу и получив от вас документы на закрытие счета сегодня, закинул их в дальний угол на разбор через неделю, хотя прекрасно видит, что вы на его глазах сходите с ума. Для всех таких случаев или в случае, если оператор начинает гнать дичь типа "мы не принимаем бумажных заявлений здесь" и тд - зовете старшего оператора и так до управляющего отделением/офисом. Требуйте ото всех выполнить вашу запрос прям сейчас, узнавайте каковы регламентные сроки, если для вашего запроса нужно время (обычно это связано с подлючением живых людей из ЦО или филиала) и каким образом вы узнаете, что ваш запрос успешно выполнен.

Даже после радостных СМС "ваш запрос выполнен, все ок" - идите в ДБО или ножками в отделение и перепроверяйте. Если вы закрываете кредитный договор, например, то где-то 30 дней после вашего заявления, даже при 0 на счету и отсутствии долгов, его реально закроют. Это связано с проверками, которые регламентированы. Как только вам приходит SMS о закрытии счета - идете в отделение и получаете бумажку с печатью, что ваш кредитный договор закрыт и у вас перед банком нет никаких задолженностей. Эту бумажку домой под стекло и храните до скончания веков. Потому как если ВНЕЗАПНО окажется, что че-то кто-то напутал и вы реально должны остались банку условные 1к рублей, то через время эта сумма убежит к большой сумме и вам начнут звонить из отдела взыскания, а потом и коллекторы (коллекторы не имеют отношения к банку, как бы они не представлялись, это левая которая, работающая по хуй знает каким правилам, к которым ваш долг ушел за условные 500 рублей, но они спросят как за миллиард).

Но это я уже ухожу за рамки статьи. Про кредиты будет отдельный пост и не в данной серии. К чему ж я все это выше написал? К тому, что не задача банка смотреть за кошельком в вашем кармане. Он обеспечит многие процессы, которые сделают вашу работу с банком наиболее безопасной (на самом деле у любого приличного банка из-за постоянных аудитов со стороны ЦБ и тд защита средств клиентов и финансовых операций жестко регламентирована), где-то серьезнее подход (в плане вбухивания средств на перестраховку), где-то соблюдают просто минимум (на самом деле подключиться к платежной системе типа Визы или Мастеркадр с чистым полем вместо безопасности - невозможно) У нас в банке так повелось, что на всё что можно (в том числе и на безопасность) достаточно либерально всегда выделяли средства (в том плане, что никто не ставил вопрос "а нафига нам тратить деньги на улучшение антифрода или DDoS защиты?" и тд). В каком-нить Сбере вообще небось суммы на подобное куда больше. Но даже если внедрить все решения на стороне банка, обезопасить ваш карман с кошельком при вашем попустительстве невозможно. И сложно ругать банк за отсутствие эмоциональной составляющей с их стороны, когда у вас по вашей вине стащили деньги, они ушли хз куда (допустим, с вашей карты в Тинькова на карту Бинбанка) и у вашего банка нет тупо возможностей без полиции сообщить банку мошенника заблочить карту до выяснения. Подобное можно провернуть разве что при хорошем знакомом в вашем банке, который мало того, что занимается антифродом, так еще и знает лично ребят из банка мошенника, чтобы в каком-нить вацапе их попросить заморозить средства по подозрению в мошенничестве. Либо у вас, не дай бог, стащат большую сумму и вы будете ОЧЕНЬ настойчивы и сможете пробиться сквозь операторов к службе безопасности.

Поэтому соблюдайте правила информационной гигиены и включайте голову, особенно в моменты, когда кто-то явно от вас чего-то хочет. Да еще и прям сейчас.

p.s. Что еще почитать по теме:
http://www.banki.ru/...ss/?id=10019272- про воровство статья
http://www.banki.ru/...stionId=7984458- схема из жизни с Авито на примере Сбера (не важно какой банк)
http://www.banki.ru/...stionId=8340843- снова про Сбер
http://www.banki.ru/...stionId=9203340- и еще раз Сбер (блин, я ничего не имею против Сбера, просто поиск на Банки.ру выдает их чаще из-за бОльшего числа клиентов в сравнении с другими банками.
http://www.banki.ru/...ponse/10081690/- Альфа, с этой статьи все и началось (смотрел отзывы месяца и наткнулся), рекомендую комментарии, там куча примеров. Отзыв месяца конечно дали за тонну текста и замечательную актерскую игру.


И примеров куча.



Развод этот далеко не нов. Но почитать всю схему полезно.
  • Жалоба

Ну можно конечно что то подразобрать. Но сегодня лень, скоро отпуск. Конечно всегда есть риск что упадет "кирпич", но на улицу мы все равно пойдем. Это цитата вроде "политики из России". Я бы сказал что можно держать в валюте, но у меня язык не повернется. 1 я за государство. 2 это тот "парадокс" ты покупаешь, покупает ЦБ потому что считает что товар востребован. А потом ты не сможешь это втюхивать. Вот этими бумажками ты и будешь потеряться, а не договором как говорила та истеричка. Или тебе будут рассказывать какой там оуеный туризм. Это после того как ты вкладывал деньги стараясь не потерять и "приумножить". Так вот если есть риск так зачем все это делать. Можно вспомнить 3 вариант это экономия и разобрать "а кто больший экономист". Тот кто покупает дешевое или тот кто покупает то что потом подражает(можно вспомнить жетоны метрополитена).

  • Жалоба

Онлайн игры сделали закалку моей жопы и внимательности максимальной, когда это относиться к моим финансам). Была пролита не одна горькая слеза, когда меня в первый раз наебали на сет Романтика)). 

 

А про Авито, сделки только в фейс на фейс, товар то еще надо проверить мне или другому человеку.

  • Жалоба

Warning

Все тексты опубликованные в данном журнале - ИМХО и плод моей фантазии. Любые суждения - оценочные. Не нравится - не читайте.

Реклама(r)

пользователей просматривает

0 пользователей, 43 гостей, 0 анонимных


Ahrefs (3), Bing (7), Google (1)

Последние комментарии

Яндекс.Метрика
Наши кнопки

Гильдийный счет (Яндекс.Деньги) 41001343732038

Огромное спасибо компании ЗЕНОН www.zenon.ru за отличный хостинг!

Любая перепечатка материалов форума insane.su - только с разрешения администрации или самих авторов.
В онлайн-издания перепечатка разрешена при указании ссылки на оригинал.