Адрес для входа в РФ: exler.wiki
Что-то новое у банковских мошенников
В Райффайзенбанке исключили возможность утечки персональных и платежных данных клиентов. Об этом в пятницу, 4 сентября, сообщили «Известиям» в кредитной организации.
В кредитной организации при этом подчеркнули, что сейчас наблюдается повышенная активность мошенников по обзвону граждан.
В Банке России при этом не ответили на запрос о всплеске мошеннических звонков в отношении клиентов Райффайзенбанка.
Ранее 4 сентября стало известно, что в интернете продается база данных с информацией о 27 тыс. клиентов Райффайзенбанка.
«Известия» изучили эту базу в виде таблицы, отметив, что по формату она похожа на утечку из маркетплейса Joom, который занимается доставкой товаров из Китая. 27 августа СМИ писали, что произошла утечка 55 тыс. персональных и платежных данных о клиентах этой торговой площадки.
Представитель Райффайзенбанка заявил «Известиям», что банк связался со всеми клиентами, карты которых были скомпрометированы из-за этого слива. Организация предупредила держателей карт об их блокировке и необходимости перевыпуска. Собеседник издания не уточнил, сколько карт содержалось в утекшей базе Joom. (Отсюда.)
Да, была утечка именно из Joom, и они это сами признали. Причем утекли следующие данные, цитирую:
В ней содержались первые шесть и последние четыре цифры номера карты, срок ее действия, указание платежной системы и банка, который выпустил карту, а также ФИО, телефон, электронная почта и адрес проживания пользователя.
И в Joom это все в открытом виде хранили, судя по всему? Красавцы...
Но дело не в этом. В ленте попалась ссылка на очередную историю развода клиентки "Райффайзена" со стороны мошенников. Развод достаточно стандартный, дама сама наступила на те грабли, которые уже сто раз описаны, и сама злоумышленникам продиктовала коды из SMS, хотя прекрасно известно, что никакие сотрудники банка не могут просить продиктовать коды из SMS.
Так что интересного в этой истории? Вот это. Дама утверждает, что злоумышленники в точности знали все ее транзакции за последние несколько дней.
Чтобы свериться, что я - это я, мошенница (сотрудница) назвала мне все последние мои транзакции за 2 дня. Копейка в копейку, магазин в магазин, перевод в перевод. Внимание, никаких кодовых слов и ничего я не предоставляла. Она знала все мои транзакции в момент звонка без доп инфо от меня.
Это уже что-то новенькое. Если это так, то значит - была какая-то утечка, потому что иначе откуда злоумышленники могли получить подобные данные.
Также она утверждает, что:
Я никогда не совершала покупок ни на Joom, ни Aliexpress и тд.
А сама история развода - повторяет подобные разводы прям под копирку. Вот это выглядело трогательно:
Звонок был с официального номера - цифра в цифру, буква в букву. Я почуяла неладное, положила трубку и перезвонила на него - это был Райфайзен. Потом опять с него позвонили.
Почуяла неладное, положила трубку, перезвонила - это оказался номер "Райффайзена". И когда ей якобы с этого же номера позвонили злоумышленники (я как-то показывал, насколько простейшим способом любой может подделать исходящий номер на какой угодно), она стала с ними разговаривать. Вместо того, чтобы попросить номер телефона и добавочный номер для связи и перезвонить самой, предварительно убедившись в том, что это номер "Райфайзена". (Классический способ избавиться от подделанного номера.)
Ну и уж то, что она стала по телефону сообщать коды из SMS - ну это совсем ни в какие ворота. Все банки постоянно предупреждают о том, что никакие сотрудники, никакие "роботы" ни под каким видом не могут у вас просить сообщить коды из SMS - и все равно люди наступают на эти грабли.
Зашел на днях в отделение за новой картой - все в масках такие, стеклом Маринок и Виталиков отделили от ковида, санитайзер на стене. Думаю хрен там - расписаться за карту все равно общей ручкой. А нифига. Виталька спрашивает мобильное приложение есть? Сейчас код придет на подтверждение получения карты. Но его не назвать надо а прямо в мобильном приложении в обратку вбить. Приколько. В конце месяца пойду в сбере карту перевыпущенную получать посмотрим как там с ковидлом. Особенно учитывая что я по программе "премьер" там обслуживаюсь.
А вообще, эта служба безопасности может реально позвонить? Имеет смысл с ними вообще разговаривать о чем-то?
В другой раз, когда я картой расплатился в кафе тоже за границей, опять звонили, но там у меня телефона под рукой не было и они заблокировали карту.
Сбер, зарплатная карта. Ушло у знакомой около 80 т.р., покупками в Озоне и Вайлде. Пока идёт переписка с магазинами, может, что и вернут (хм-м-м...), но, главное, в ДАННЫЙ МОМЕНТ, есть возможность относительно безопасно делать покупки с чужой карты в этих магазинах. Суть вот в чём: на периферии (не столицы, проверено личным опытом на Владимире и паре райцентров) в пунктах выдачи достаточно назвать код, полученный на ЛЮБОЙ номер телефона при покупке "без регистрации". Меня у родственников в районе при получении гладильной доски за 3 тыс. рублей спросили только код, не уточнив даже фамилию! Видели меня там первый раз в жизни.
Т.о., при утекании данных карты и "прекрасной" новой особенностью указанных инет-магазинов, заключающейся в отсутствии требования Secure-кода подтверждения покупки - можно безболезненно тратить чужие деньги. Сколько раз видел CVV-код на чужих картах, когда они бесконтактным способом оплачивают покупки в сетевых магазинах. Да и канал утекания данных через сбер никто, увы, не отменил.
Так что как минимум, заклеиваем CVV-код. Как норма - делаем отдельную карту с лимитами и светим в офф-лайн магазинах только её. В инет-магазинах лет 15 уже пользую только виртуалки. Однако, насколько я знаю, в сбере их нет, как класса.
Главное тут в том, что для воровства при наличии данных карты не нужен номер телефона владельца карты. И получать заказ можно кому угодно. Ранее в том же вайлде нужно было писать типа "придёт за товаром не Иванов-заказчик, а Петров". А теперь даже фио не спрашивают. Нет проверочного смс при получении, нет подписи. Код из трёх цифр и все.
на память - с них недоступно снятие в банкоматах, выпускается мгновенно
Это я не про очередную "городскую страшилку" пишу. Я про то, что крупные инет-магазины теперь покупки позволяют делать без полной регистрации и оплату снимают без проверочного кода. Сам так в вайлде делал: нажимаешь "купить без регистрации", вводишь номер телефона и пишешь любую фамилию. Оплачиваешь картой, чьи данные ты знаешь, и ждёшь кода на получение. При получении просто называешь код, зачастую без фамилии, получаешь. Подпись нигде не ставишь! На (теоретическую, кому мы нафиг нужны с такими мелочами) засаду от ментов говоришь: "А чо я, мне пришла смс с кодом на получение, вот я и пошёл получать. А кто там оплатил - не знаю, может любовница решила подарок сделать".
Проблема в упрощении покупки в магазинах с быстрой доставкой. И там наплевательски относятся к проверке личности. Дочь-подросток спокойно покупает и получает в озоне, просто назвав код из смс. Карты у неё нет, платит с маминой виртуалки. При этом фамилии у них разные, но её, фамилию, даже не спрашивают.
Назвали 3 последних цифры паспорта. Звонили из банка, где 12 дней назад только карту получил.
- Это вы сделали перевод Васи Пупкину со счёта, где нет денег на несколько тысяч?
- Да, я. Брат звонил, попал в аварию, просил перечислить деньги. Кстати, спасибо, что напомнили, у меня брата нет, только сестра. Надо маму спросить.
Назвали 3 последних цифры паспорта. Звонили из банка, где 12 дней назад только карту получил.
111111 (условно) есть, 111113 есть, а 111112 - нет! Ну, тут я уже озверел; и позвонил Пете Авену. Ой, какой же был скандал... И всё - из-за нескольких сотен рублей; крохоборы...
PS Тьфу.. Оговорился. В Альфабанке, конечно. Астробанк давно помер.
Может быть карта с истекшим сроком, но просрочка на счетовом контракте.
Лично знаю случай (родственник) в России когда использовали даже более сложный подход. В салон мобильного оператора приходил "представитель" компании на которую зарегистрирован телефонный номер с левым паспортом и фиктивной доверенностью от имени компании и просили перевыпустить SIM карту в связи с утерей. Оператор услугу предоставлял, ну а дальше уже заходили во все распространенные онлайн банкинги и в срочном порядке пытались поменять регистрационные данные / вывести деньги. При этом нужно было знать номера карт, номер телефона человека на который привязан OTP, Юр. Лицо на кого зарегистрирован телефонный номер (заранее заморочиться с поддельной доверенностью от правильной компании) и прочее. Из какой базы могло утечь такое количество информации кроме как если от эмиттера карты при этом в связке с сотовым оператором даже не представляю. Так что выдумка у людей бывает не слабая...
Не уверен что шуточная картинка с такой лексикой соответствует правилам пользования, но сама просится 😄
.
Вина банка может быть только в том, что не блокировали идентификацию по СМС после смены симки и телефона. Но сейчас такие дыры в крупных банках закрыты
Что показательно при потери связи SIM карта была восстановлена в кратчайшие сроки, но на следующий день уже через другое отделение мобильного оператора с теми же левыми документами была перевыпущена второй и третий раз... Потом уже служба безопасности компании как-то с этим разбиралась, но по факту доступ до одного из счетов удалось получить и даже денег чутка вывести...
- Так это ж только мошенники спрашивают!?
- Совершенно верно, ни в коем случае нельзя сообщать эту информацию, действительно участились случаи мошенничества. Поэтому я сейчас отключусь и вы произнесете цифры роботу, который их распознает, а дальше мы продолжим.
Я назвал три символа, но они похоже не подошли, потому что разговор после этого оборвался.
- ой , а у меня тут 3 буковки
- и какие?
- ха, у, и краткое!
Плюс мошенники активно пользуются еще одной дырой в защите Райфа: их комплайнс не считает случаи, когда все сбережения клиента с дебетового счета вдруг переводятся на кредитку и тут же с бешеной комиссией уходят в неизвестном направлении, подозрительными.
Реакция Райфа ожидаемая - во всем виноваты исключительно их клиенты. Сообщите знакомым, это важно: уже пострадали люди, которые отлично знали о этой схеме, но все равно попались. @infernal_money
- Всегда!"
?
врешь, как дышишь! 😄
Все проще, потерпевшие сами все рассказывают при простом звонке, зачитывают коды из пришедших СМС, далее — дело техники, транзакции смотрят в интернет-банке
Из комментариев вышеупомянутой
« 1. сотрудник банка показал, что на протяжении нескольких дней до факта мошенничества были неоднократные попытки взломать личный кабинет. 2. В момент совершения факта мошенники поменяли все логины и пароли, подключили новое устройство, отключили смс-уведомления, после этого перевели деньги со счетов на карту и вывели. И банк тут не увидел ничего подозрительного? Хм»
——————————
Там радуют многочисленные комментарии сочувствующих про подлый банк, который позволил совершиться преступлению. Ни одна добрая душа не попросила потерпевшую выложить тексты СМС, пин-коды из которых она диктовала мошеннику. Виноват кто угодно, только не гражданка, не умеющая читать и понимать смысл прочитанного
Достаточно насобирать кассовых чеков (которые обычно оставляют на кассе или потом выбрасывают) и узнать о таких "транзакциях".
Так что бывает. Просто внимательно нужно читать текст СМС. Обычно предупреждают, какой код нельзя никому сообщать.
Нафиг такой банк.
Информация, ну чтобы запутать пользователей, уже не актуальна. Сбер тестировал SMS для подтверждения, которые надо было назвать сотруднику ( правда там и написано что оно для этого) . Искать лень, но такое было
все. Вполне может быть её пасли. Проследили пару часов по магазинам, сколько и где она покупала и всё "девушка поплыла".
Кстати в целях доп. безопасности хорошо хранить большую часть денег в депозитных сейфах. В разных банках это называется по разному. Но по сути это вклад с произвольным пополнением и снятием. Нужны деньги, перевёл с него на карту, заплатил. Не нужны - перевёл на него. Там ещё обычно и повышенные проценты.
Снять с него можно, но сложнее чем просто с карты.
Они что, рылись в мусорке и читали её чеки? Смотрели через плечо?
Да я вас умоляю, проще тогда уж кошелёк тиснуть при таком подходе.
"цифра в цифру, буква в букву"
Очень и очень показательно. ?
Кстати, не совсем понятно, что за буквы такие содержались в "официальном номере" банка.