Мошенничество с Интернет-Банками. Как не попасться?

Личные впечатления и находки. Как сделать жизнь выгодной и удобной.
raskolnikov_rodion
Сообщения: 138
Зарегистрирован: 28 апр 2013, 21:57
Откуда о нас узнали: asdfghij

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение raskolnikov_rodion » 07 май 2013, 16:43

11..11..11 писал(а):Зачем исследовать прямое клонирование, если имеется физический доступ к средству доступа к кодам, то клонировать уже ничего не надо, взял и используй :jokingly:
А это не для того, чтобы использовать. А для того, чтобы знать что есть уязвимость, и она может придти вот отсюда. А банки наши озадачиваются безопасностью клиентов едва ли не в самую последнюю очередь, когда уже дальше придерживать края дыры становится невозможно. Вот так и приходится самостоятельно понимать и учитывать то, о чем банки никогда не расскажут. Так что спасение утопающих - это в первую очередь дело рук самих утопающих.
Аватара пользователя
Pershing
Сообщения: 1985
Зарегистрирован: 24 авг 2012, 00:54
Откуда о нас узнали: ggggh

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение Pershing » 07 май 2013, 16:49

raskolnikov_rodion писал(а):Так что спасение утопающих - это в первую очередь дело рук самих утопающих.

И что же могут утопающие? насолько я поняла из отзывов, люди использовали все возможные меры предосторожности...
Умирать мне рановато. Ещё куча дел не сделано!
11..11..11
Сообщения: 588
Зарегистрирован: 28 фев 2013, 22:05
Откуда о нас узнали: Banki
Откуда: Питер

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение 11..11..11 » 07 май 2013, 16:57

raskolnikov_rodion писал(а):
11..11..11 писал(а):в современных технологиях коды персонализированы под конкретную операцию, их нельзя накапливать и использовать для других операций.
Именно на этом погорели многие банки-поборники "статических" кодов. Кодик а карты универсален - его можно использовать хочешь для входа, хочешь - для подтверждения трансакции. А делается просто - фальшивый сайт, запрашиваем логин-пароль и очередной код. Опс! Не смог зайти, запрашивает следующий. Собственно все - у злоумышленника есть 2 кода. первый чтобы зайти, второй чтобы отправить деньги туда, куда ему заблагорассудится. Не случайно тот же Телебанк при входе предупреждает - если не удалось зайти, вводите снова тот же самый код, не переходите к следующему. Рассылка разовых кодов по СМС без указания, для какого действия этот код выпущен - почти ничем не лучше. Код, присланный с комментарием, допустим "Oplata NKO Rapida kod 4445444", - определенно лучше. Но самым надежным из применяемых ныне явлвется полноценная электронная подпись документа - хеш, который составлен из закрытого ключа и содержимого документа, то есть гарантирует, что второй стороне поступило именно тот самый документ. что был подписан отправителем. Такую технологию реализует кстати говорят то же самый Телебанк, но с варианте не с разовыми кодами, а с электронным сертификатом от Сигнал-Ком.


Ну так я об этом же и говорю. Технология неперсонализированных кодов прекрасно работает лишь при отсутствии атаки. Такие коды легко выманиваются и с помощью фальшивых сайтов и с помощью звонков "сотрудников". Но я постоянно натыкаюсь в сети на посты недоумков, которые приводят примеры воровства кодов с кпк при входе на сайт в качестве подтверждения мудрости банков (точнее одного банка), которые используют кпк, но коды на вход не спрашивают. Банки-то их не спрашивают, но как только будет атака на банк коды спросят на фальшивом сайте, и любой нормальный человек в ответ на сообщение на привычной странице входа "В целях предотвращения ... бла, бла, бла ... введите код с карточки" код введет. Мало ли что написано на настоящей странице входа. Человек находится здесь и сейчас и следует написанным инструкциям. При просьбе ввести еще один код кое-кто уже задумается. Но и одного кода хватит. Тоже самое с всякими кнопочными токенами и смс без описания операций. В общем, человек вводя какой-то код должен видеть на стороннем устройстве для чего код предназначен. Умеющий читать при этом оказывается защищенным. Лично я живьем видел только смс, реализующих данный принцип. Дыры по пути доставки смс пусть затыкают, это не мои проблемы. Попадутся другие аналогичные методы - буду сравнивать. Но сразу добавлю, что различные железяки для каждого моего банка по отдельности меня будет очень напрягать. В шкафу для них место найдется, но ...
raskolnikov_rodion
Сообщения: 138
Зарегистрирован: 28 апр 2013, 21:57
Откуда о нас узнали: asdfghij

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение raskolnikov_rodion » 07 май 2013, 17:03

Першинг писал(а):И что же могут утопающие? насолько я поняла из отзывов, люди использовали все возможные меры предосторожности...
Значит не все меры. Возможно, стоило обойти стороной конкретно взятого оператора сотовой связи или конкретно взятый банк.
raskolnikov_rodion
Сообщения: 138
Зарегистрирован: 28 апр 2013, 21:57
Откуда о нас узнали: asdfghij

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение raskolnikov_rodion » 07 май 2013, 17:11

11..11..11 писал(а):Но сразу добавлю, что различные железяки для каждого моего банка по отдельности меня будет очень напрягать. В шкафу для них место найдется, но ...
В этом тоже есть одна из существенных проблем: если для клиент-банка для предприятия, где главбух сидит за стационарным компом, рядом сейф в котором хранится требуемый криптодевайс - то защиту реализовать можно по такому сценарию. Если же речь о физике, и рассматривается портативное решение, доступное в поездке, то здесь существенно сложнее. Допустим, в месте пользования не будет покрытия сотовой сети вовсе. Или у персонажа будет туристическая симка, а разовый код приходит на основную. Здесь уже только хардкор, только кпк. Но как обеспечить гарантию того, что наш путешественник, сидя в интернет-кафе в самом центре Сахары, связывается с реальным, а не фальшивым интерфейсом ИБ, и подтверджает "безымянным" разовым кодом именно ту операцию, что он предполагает. А криптокалькулятор прокушен крокодилом при переправе через Нил...
Аватара пользователя
Pershing
Сообщения: 1985
Зарегистрирован: 24 авг 2012, 00:54
Откуда о нас узнали: ggggh

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение Pershing » 08 май 2013, 08:14

11..11..11 писал(а):До марта 2011 года число вкладов в ТКС было неограничено. Этим пользовались всевозможные жулики-обнальщики.

Интересно, каким же образом они это использовали? Технология, так сказать...
Умирать мне рановато. Ещё куча дел не сделано!
Аватара пользователя
Pershing
Сообщения: 1985
Зарегистрирован: 24 авг 2012, 00:54
Откуда о нас узнали: ggggh

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение Pershing » 08 май 2013, 08:48

Вот попыталась спрогнозировать развитие ситуации.

Я, конечно же, не специалист. Но здравый смыс мне подсказывает, что ничего стршного не случилось. Пока... :air_kiss:
Умирать мне рановато. Ещё куча дел не сделано!
Fosfoniy
Сообщения: 665
Зарегистрирован: 21 мар 2013, 13:42
Откуда о нас узнали: hgfsdvshgavcgvhgascv

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение Fosfoniy » 08 май 2013, 09:31

Pif Там на банках что то сломалось. Когда выбираешь "новые сообщения" и пытаешься перелистнуть на другую страничку, то выкидывает на все форумы. Ссылка неверно работает.
11..11..11
Сообщения: 588
Зарегистрирован: 28 фев 2013, 22:05
Откуда о нас узнали: Banki
Откуда: Питер

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение 11..11..11 » 08 май 2013, 12:07

Першинг писал(а):
11..11..11 писал(а):До марта 2011 года число вкладов в ТКС было неограничено. Этим пользовались всевозможные жулики-обнальщики.

Интересно, каким же образом они это использовали? Технология, так сказать...


Открывали кучу вкладов копейкой, пополняли на значительные суммы в последние дня срока, тут же обналичивали. Обнальщики всех видов пользовались законодательной обязанностью банка выдавать вклад закончившийся по сроку без каких-либо комиссий. Отсюда в текущих тарифах и куча мешающих нормальным клиентам ограничений: на количество вкладов, минимальную сумму, пополнение не позже 60 дней до конца, и т.д.
Аватара пользователя
Pershing
Сообщения: 1985
Зарегистрирован: 24 авг 2012, 00:54
Откуда о нас узнали: ggggh

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение Pershing » 08 май 2013, 12:23

А почему же нельзя обналичить собственные денюшки-то?
И процент же платится за столько дней, сколько лежал склад.

Или нет?
Умирать мне рановато. Ещё куча дел не сделано!
raskolnikov_rodion
Сообщения: 138
Зарегистрирован: 28 апр 2013, 21:57
Откуда о нас узнали: asdfghij

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение raskolnikov_rodion » 08 май 2013, 14:11

11..11..11 писал(а):Открывали кучу вкладов копейкой, пополняли на значительные суммы в последние дня срока, тут же обналичивали. Обнальщики всех видов пользовались законодательной обязанностью банка выдавать вклад закончившийся по сроку без каких-либо комиссий. Отсюда в текущих тарифах и куча мешающих нормальным клиентам ограничений: на количество вкладов, минимальную сумму, пополнение не позже 60 дней до конца, и т.д.
Там изначально было 30 дней ограничение на пополнение. И 60 дней на пополнение с компенсацией. Потом по результатам того "что не все клиенты оказались в основном хорошими" - было поставлено ограничение в 60 дней на пополнение и 85 дней для компенсации 1,5% за безнал. Однако это скорее борьба с "лесенками" нежели с использованием ТКС как транзитного звена.

Для выгона из киви использовалась обычно другая особенность - а именно пополнение из кошелька и досрочный частичный отзыв средств со вклада. Для этого нужно было некоторое количество длинных вкладов, так как частично-досрочное снятие по условиям всегда было возможно не раньше 60 дней срока хранения вклада.

Но одним из самых фееричных проколов на первых порах у вкладов было то, что 1,5% компенсация начислялась при пополнении безналично, а при частично-досрочном отзыве в первоначальной версии вкладов компенсацию не вычитали. Жаль, я успел использовать эту возможность совсем немного, вовсе не на ту сумму, которая является адекватной "ценой этой глупости".

А про кучу вкладов копейкой - это мне рассказывали про такого персонажа "копейкина" который по сей день держит несколько десятков таких недовкладов. :hospital:
Аватара пользователя
Pershing
Сообщения: 1985
Зарегистрирован: 24 авг 2012, 00:54
Откуда о нас узнали: ggggh

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение Pershing » 08 май 2013, 14:19

Несколько десятков?
Умирать мне рановато. Ещё куча дел не сделано!
raskolnikov_rodion
Сообщения: 138
Зарегистрирован: 28 апр 2013, 21:57
Откуда о нас узнали: asdfghij

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение raskolnikov_rodion » 08 май 2013, 14:25

ПБ же намекнул - что деньги ушли на "дропов" - обычно это небогатые или вообще деклассированные элементы, которые охотно отзываются на объявления, в которых предлагают получить что-нибудь типа 200-500-1000 рублей за открытие дебетовой карты в банке.

Они на "Банках" всяко никак себя не проявят. Да в 99% случаев даже телефон, указанный в качестве контактного, будет оформлен на абстрактного киргиза, отправлявшего в Евросети перевод на родину. А регистрация самого дропа - в общежитии каком-нибудь. Или вообще в трансформаторной будке.
Аватара пользователя
Pershing
Сообщения: 1985
Зарегистрирован: 24 авг 2012, 00:54
Откуда о нас узнали: ggggh

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение Pershing » 08 май 2013, 14:51

Ну значит моя версия неправильна.
Только я ведь про дропов ничегошеньки не знаю. Совсем. Так что просветите уж.

Откуда эти дропы берутся? Самозарождаются? И почему дропы?

Ну и откуда появляются эти самые объявления?

Самопроизвольно вырастают как грибы в июле после дождичка? По четвергам?

И как эти дропы переводят денюшки? Если они на форумах писАть не умеют.

Или есть какие-то менее фантастичные версии?
Умирать мне рановато. Ещё куча дел не сделано!
raskolnikov_rodion
Сообщения: 138
Зарегистрирован: 28 апр 2013, 21:57
Откуда о нас узнали: asdfghij

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение raskolnikov_rodion » 08 май 2013, 15:33

А эти дропы денежки никуда и не переводят. Есть кукловоды - те, кто размещает эти объявления. Они выдают человеку на день сотовый телефон с нужной симкой - и тот идет в банк (или ожидает в кафе курьера ТКСа в обсуждаемом случае). После этого у человека телефон, карту и другие реквизиты доступа отбирают. Он больше не нужен. Кукловод имеет телефон, на который приходят СМСки, копию паспорта, данные о кодовых словах-кодовых датах и прочем, что нужно для аутентификации по телефону. И логин-пароль от ИБ.

А дальше этот комплект артефактов может использоваться для просто тупого вывода по 4 раза по 15 тыщ как при добропорядочном использовании, а может - но это уже разово - для вывода совсем криминальных денег.

Иногда комплекты таких дропов возникают вообще оптово - организуется фиктивная фирма, "бухгатлер" или "директор" подписывают на зарплатный проект, а при корпоративном проекте даже присутствие лиц не требуется - сдаются копии паспортов и заявлений, потом бух забирает пачку карт и пин-конвертов. Дальнейшая судьба тоже разнообразна. Нередко первые полгода-год на этих мертвых душ выплачивают зарплату, снимают с карт - а поскольку фирма создана не для хозяйственной деятельности, то налоги уплачены не будут, просто юрлицо незадолго до сдачи отчетности похоронят. То есть идет некриминальная обналичка - с фирм, нуждающихся в таких услугах, делаются перечисления на эту ООО "Ромашка", выдается комплект требуемых документов - договоры, акты, счета-фактуры. И "потребители" обнала получают те самые наличные, снятые с карт "работников". Понятно, за минусом некоторого вознаграждения за услуги. А потом может быть веселее. Например, некоторые банки на зарплатные проекты через некоторе время (когда примерно понятно сколько человек получает) предоставляет на карту овердрафт, например в размере 70% месячного дохода работника. Когда овер на карты назначен, эти деньги снимаются - и все, фирма на контакт не выходит, паспортные данные все оказались вымышленными.

Примерно с позапрошлого года живет еще схема, когда на такую дроп-дебетовку приходит возврат покупки из некоторого магазина. Покупки самой этой не было, возврат из воздуха. Затем средства с карты снимаются. После этого магазин "вспоминает", что ошибся и делает реверсал операции возврата. Денег не карте нет, но не обработать реверсал банк не имеет права. Карта уходит в минус. Требовать не с кого, ибо кардхолдер или вымышлен или вообще не в теме и взять с него нечего.

Для почитать например http://otvet.mail.ru/question/75354496 или другие результаты поиска по ключевому слову "дроп".
11..11..11
Сообщения: 588
Зарегистрирован: 28 фев 2013, 22:05
Откуда о нас узнали: Banki
Откуда: Питер

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение 11..11..11 » 08 май 2013, 16:17

raskolnikov_rodion писал(а):
11..11..11 писал(а):Открывали кучу вкладов копейкой, пополняли на значительные суммы в последние дня срока, тут же обналичивали. Обнальщики всех видов пользовались законодательной обязанностью банка выдавать вклад закончившийся по сроку без каких-либо комиссий. Отсюда в текущих тарифах и куча мешающих нормальным клиентам ограничений: на количество вкладов, минимальную сумму, пополнение не позже 60 дней до конца, и т.д.
Там изначально было 30 дней ограничение на пополнение. И 60 дней на пополнение с компенсацией. Потом по результатам того "что не все клиенты оказались в основном хорошими" - было поставлено ограничение в 60 дней на пополнение и 85 дней для компенсации 1,5% за безнал. Однако это скорее борьба с "лесенками" нежели с использованием ТКС как транзитного звена.

Для выгона из киви использовалась обычно другая особенность - а именно пополнение из кошелька и досрочный частичный отзыв средств со вклада. Для этого нужно было некоторое количество длинных вкладов, так как частично-досрочное снятие по условиям всегда было возможно не раньше 60 дней срока хранения вклада.

А про кучу вкладов копейкой - это мне рассказывали про такого персонажа "копейкина" который по сей день держит несколько десятков таких недовкладов. :hospital:


Не было изначально 30 дней. Я открывал первые вклады лишь в сентябре 2010 (через полгода от появления смартвкладов). И тогда не было. Позже такое, вроде, появились. Но я те тарифы не сохранял.

Со строителями вводом предельного срока пополнения банк не боролся. Без бонусов нам пополнения не нужны. Это именно борьба с обналом. Все ухудшения тарифов кроме увеличения срока бонусного пополнения до 85 дней произошли из-за обнальщиков :wall: Ну а на запрете открытия вкладов копейкой настаивал именно я. Хотя рассчитывал, что при этом отменят правило о 6 вкладах. Оно мешает мне строить оптимальную лесенку на свое имя на годы вперед (со ступенями в 86 дней и ловя моменты повышения ставок), но не разрушая имеющуюся конструкцию. Обнальщикам же теперь большое количество вкладов ничего не дает. Еще надо бы при отсутствии вкладов взимать комиссии за карту в минус, да побольше :write:
Вложения
08,05,13(16-01-17).jpg
08,05,13(16-01-17).jpg (246.5 КБ) 6329 просмотров
08,05,13(16-01-28).jpg
08,05,13(16-01-28).jpg (231.7 КБ) 6329 просмотров
Аватара пользователя
Pershing
Сообщения: 1985
Зарегистрирован: 24 авг 2012, 00:54
Откуда о нас узнали: ggggh

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение Pershing » 08 май 2013, 17:28

raskolnikov_rodion писал(а):А дальше этот комплект артефактов может использоваться для просто тупого вывода по 4 раза по 15 тыщ как при добропорядочном использовании, а может - но это уже разово - для вывода совсем криминальных денег.

Не совсем поняла. Чтобы что-то вывести, нужно что-то положить. Или банки дают кредитки с лимитом кому попало? Ведь чтобы выводить - нужно, чтобы было, что выводить.
Умирать мне рановато. Ещё куча дел не сделано!
raskolnikov_rodion
Сообщения: 138
Зарегистрирован: 28 апр 2013, 21:57
Откуда о нас узнали: asdfghij

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение raskolnikov_rodion » 08 май 2013, 17:40

11..11..11 писал(а):Со строителями вводом предельного срока пополнения банк не боролся. Без бонусов нам пополнения не нужны.
Окей, это не впрямую "лестничная" конструкция, однако пополнить вклад под 14,5% сейчас, когда до закрытия остается пара месяцев - оно приятно. Тем более, аналоги лесенок (без такой мелкой но приятной особенности как дополнительный бонус) я строил и до ТКСа. Да и сейчас строю в других банках.
11..11..11 писал(а):Еще надо бы при отсутствии вкладов взимать комиссии за карту в минус, да побольше :write:
Это не согласуется с "политикой партии" - когда ОЮ с большим шумом и помпой анонсировал отдельный продукт - Дебет/Кешбек, дебетовую карту уникальную для ТКС, так как она (о чудо!) не привязана к существующим вкладам.

За введение адекватной платы за карты уровня Platinum (а теперь и World) - позиция Mastercard, которая разумеется не приветствует дискредитацию премиальных продуктов таким вот дисконтом. Есть там еще требования по минимальному наполнению продукта, многие решают это через страховки и консьерж-сервисы. ТКС, как видим, доказывает MC что кешбечно-балльная программа тоже приносит клиенту обусловленный правилами материальный бенефит.
raskolnikov_rodion
Сообщения: 138
Зарегистрирован: 28 апр 2013, 21:57
Откуда о нас узнали: asdfghij

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение raskolnikov_rodion » 08 май 2013, 17:42

Першинг писал(а):Не совсем поняла. Чтобы что-то вывести, нужно что-то положить. Или банки дают кредитки с лимитом кому попало? Ведь чтобы выводить - нужно, чтобы было, что выводить.
Свои деньги из киви наличить, но не 4*15000 как было бы только по своей карте, а то же, помноженное на число "зомби"-клиентов.

А кредитки абы кому банки дают, существуют на этот счет определенные методики. Результат - если это оказывается нормальный платежеспособный "потемкинский клиент" - то все нормально. То есть некто просто через дополнительных лиц получил умножение оборотных средств в виде кредитного лимита. Возвращая в грейс. Хуже, если это "олень", по которому уже заранее запланирован дефолт. Собственно, объявления "кредит наличными, 100% гарантия", развешанные в транспорте - это примерно про таких. Кредитный брокер за скромное вознаграждение (порядка 50% от запрошенной суммы) готовит данные клиента и выбирает банк-жертву (как правило, из потребительского ПОС-кредитования), чтобы получить практически гарантированное одобрение. А вознаграждение брокера - да кого оно волнует, если изначально никто эти деньги возвращать в банк не планировал? Хотя волнует конечно. Других добропорядочных заемщиков, на которых такие потери косвенно в виде увеличенной процентной ставки перераспределяются. Но здесь уже нужно определиться - что более хочется. Чтобы ставка для тех, кто платит вовремя, была пристойная или же чтобы про банк не читать страшилки с упоминанием хард-коллекшен.
Аватара пользователя
Pershing
Сообщения: 1985
Зарегистрирован: 24 авг 2012, 00:54
Откуда о нас узнали: ggggh

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение Pershing » 08 май 2013, 17:57

А можно поподробнее, уважаемый raskolnikov_rodion?
Про киви
Видела я такие штучки. Только не поняла, для чего они. Уж извините - непродвинутая я. :pardon:
А хотелось бы продвинуться... :yes:
Умирать мне рановато. Ещё куча дел не сделано!

Вернуться в «Поговорим о банках.»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 8 гостей