Уязвимости Сбербанка

Попробуй... не отвечать на звонки с незнакомых номеров из N-ских Е-ней и жизнь наладится :) или хотя бы проверяй откуда звонок :)

Как только отправили заявку внутри своей системы на смену владельца номера, на этот номер пришло уведомление, что номер отвязан от карт сбербанка, к которым был привязан.

Это у тебя причинно-следственная связь сломалась. Оператор делает 2 независимых действия - переоформление контракта и перевыпуск симкарты. Последний случай простой, палево по IMSI и блок УДБО. Если оператор имеет договор с банком, то при смене владельца может отправлять в банк данные. А теперь отматывай назад и смотри что ты понаписал. Никто просто так не переоформит контракт без присутствия владельца. Есть исключения, когда симкартой пользуются и могут назвать все движения средств, но и в этом случае исходному владельцу придет уведомление с задержкой смены ПД до 30 дней.

https://www.rbc.ru/society/05/09/2022/6315b1a59a79472b47a91ee1

Иногда я думаю что не ту профессию выбрал. Сейчас бы ТСу названивал.

Я так и не понял, а где уязвимость то?

В том что сбер, якобы перепривязывает телефон к ЛК по звонку без дополнительных адекватных телодвижений.

Чего, собственно автор не продемонстрировал, зато поспешил всех вокруг назначить клоунами.

В подавляющем большинстве этим занимаются граждане другой страны.

Это только начало процесса. Я тебе говорю — сначала попробуй сам поменять себе номер для SMS уведомлений, потом расскажешь, сколько лет и сколько подтверждений у тебя это заняло.

Да я еще к тому, что технические дыры давно никому не интересны, когда мозги так можно запудрить и человек сам все отдаст. Я следил за судебной практикой по воровству через перевыпуск симкарт, минималка была около 20к, максималка около 3кк. А сейчас никаких вирусов, буткитов, жучков - только телефон и фантазия. И рекорды каждый месяц обновляются.

Ну я и прочитал что по телефону его закономерно послали. Поэтому такой вопрос и возник.

Да я еще к тому, что технические дыры давно никому не интересны, когда мозги так можно запудрить и человек сам все отдаст.

Разумеется. Только странные люди типа ТСа говорят про буткиты и т.д.

можно менять важные параметры безопасности учетки Сбера типа привязанного к учетке телефонного номера.

Был в командировке, решил сменить привязанный номер телефона. Назвал оператору все данные, явки, пароли. После чего услышал, что им очень жаль, но надо топать в офис ножками.

в нормальных и физикам дают кпк, криптокалькуляторы и пр.

Есть такая тема, но в случаи потери получать их не удобно :)

в случаи потери получать их не удобно

чивочиво? эцп на флешке, кпк можно взять сразу 3 (1 +2 запасные) и ваще сразу все коды в кипасс переписать... мобилу просрать на порядок проще и геморнее))

Уязвимости Сбербанка

Чего не Тинька? Как ни зайдёшь в Приёмную vc, так обязательно у кого-то деньги с тиньковской карты свистнули.

Ещё раз: симка осталась той же, никакого перевыпуска не было. Она даже в том же телефоне осталась.

То, что владелец отсутствовал при переоформлении ты сам придумал.

Был в командировке, решил сменить привязанный номер телефона. Назвал оператору все данные, явки, пароли. После чего услышал, что им очень жаль, но надо топать в офис ножками.

Мне сказали, что могут поменять по телефону, вообщем надо еще допроверить по поводу замены номера.

Но все же отсуствие дополнительных Fa3 и Fa4 на базе аппаратного крипто очень огорчает.

Я пока нашёл в банкомате как просто номер прикрепить для онлайн банка, раз 10 карту прикладывал и раз 5 пароль вводил :) Пока найдёшь, устанешь. Оказывается, эта услуга называлась «смс информирование» или что-то такое. После ее подключения можно авторизоваться в андроид приложении.

В подавляющем большинстве этим занимаются граждане другой страны.

Т.е. полюбасу нужен трактор?

Т.е. полюбасу нужен трактор?

Не понял вопроса.

Есть такая тема, но в случаи потери получать их не удобно :)

Так не надо беспокоиться за всех, кому-то это важно, чтобы было неудобно, но безопасно.

Причем никто не говорит, что SMS ненужен, предлагается только добавить еще 1-2 шт. Fa на базе аппаратного крипто.

Если кому-то нужно «удобно» и небезопасно, пусть топают в Сбер, там все по телефону.

Не понял вопроса.

Человек размышляет о профитности профессий:

Иногда я думаю что не ту профессию выбрал. Сейчас бы ТСу названивал.

А ты сразу с козырей, мол в РФ за такое не платят «достойно», LOL:

В подавляющем большинстве этим занимаются граждане другой страны.

А я о чем? С токена можно скопировать, а калькулятор фиг скопируешь.

С токена можно скопировать,

С Rutoken ECP2/3?

разве нельзя?

разве нельзя?

Учи матчасть, теоретически (если повезет не разрушить физически кристалл стыренного токена) можно под электронным микроскопом за $отни нефти,

но конечно нельзя исключать, что у спецслужб есть бэкдор для вычитывания ключа.

Nitrokey PRO2/3 клянутся, что в них нет бэкдоров NSA, но я конечно полностью им не верю.

Еще есть open-source GNUK, так-то, но у него слабая железяка как в плане производительности, так и в плане защиты, какой-то полузащищенный STM, кажется.

Есть такая тема, но в случаи потери получать их не удобно :)

Еще немаловажный момент. Необходима возможность отключения того или иного фактора, как неприемлемого для клиента. Например в случае компрометации карты скретч кодов в Авангарде есть возможность пометить всю карту как палевную и непригодную.

Это не отменяет необходимость применения дополнительных факторов, например, нужно получить новую нескомпрометированную карту скретч кодов.

А в Сбере ты не как не отключишь самый дырявый их фактор - голосовой телефон (только для свой учетки, остальные то пусть пользуется своими учетками и по телефону, пофик на их безопасность). Почему не разрешить клиентам, хотя бы запрещать удаленное управление их учеткой с телефона голосом, и чтобы активация такого управления обратно была возможно только в офисе при личном визите?

Т.е. просто добавить в базе данных в таблице клиента галочку - возможность удаленного управления голосом по телефону, если такая галочка не включена, то включить ее можно только в офисе Сбера, сложнаааа, пипеццц ...

А в Сбере ты не как не отключишь самый дырявый их фактор - голосовой телефон (только для свой учетки, остальные то пусть пользуется своими учетками и по телефону, пофик на их безопасность).

Допустим, персональные данные были скомпрометированны, что делать дальше? Сбер не разрешает отключить скомпрометированный фактор.

Остается менять паспорт? Менять прописку? Отправиться жить в другое измерение?

Или лучше для хранения значительных сумм просто заменить Сбер на более вменяемый банк? А Сбер оставить только для оплат текущих расходов в качестве удобного интернет кошелька.

Почему не разрешить клиентам, хотя бы запрещать удаленное управление их учеткой с телефона голосом, и чтобы активация такого управления обратно была возможно только в офисе при личном визите?

Имхо это в любом банке работает. Единственное что процедура долгая и муторная, но работает.

Имхо это в любом банке работает. Единственное что процедура долгая и муторная, но работает.

Как такого достичь в Сбере? Написать заявление в свободной форме на имя Германа Оскаровича? Положительное решение гарантируешь?

Я не сотрудник сбера. Сходите и спросите у них. Два недавних примера, мой и моего клиента, потеря карт, блокировка по телефону, разболировка только при личном визите.

Я не сотрудник сбера. Сходите и спросите у них. Два недавних примера, мой и моего клиента, потеря карт, блокировка по телефону, разболировка только при личном визите.

Так то блокировка карт по телефону.

А я предлагаю блокировать различные действия типа замены номера и т.п. (возможно кроме блокировок карт), доступные по телефону.

Карты кстати тоже немешало бы блокировать как-то с более надежной проверкой блокирующего. А то представь, едешь такой в другой город, вредитель звонит в Сбер, блокирует твою карту, назвав нужные пароли и явки, в результате ты с голой *опой в чужом городе, прикольно да?

в результате ты с голой *опой в чужом городе, прикольно да?

кака вопрос. Пару месяцев назад прошел такое :)

Личный кабинет очень удобный

Где? Тормозит, жрёт память. При переходе на другую страницу, перезагружаются все элементы страницы - нафига тогда тонну говнокода на js напихали? Да ещё и перезагружается с неактуальными данными :) Отличный пример, как не надо говнокодить на js.

Где? Тормозит, жрёт память. При переходе на другую страницу, перезагружаются все элементы страницы - нафига тогда тонну говнокода на js напихали? Да ещё и перезагружается с неактуальными данными :) Отличный пример, как не надо говнокодить на js.

В каком банке удобнее?

Технологическое несовершенство и недоработки в отдельных деталях не означают обязательно неудобство UI/UX.

Это говнище еле шевелится. Нафиг оно такое нужно, пусть хоть какой там UI/UX. Удобнее в том, где интерфейс работает быстро, не тяжёлый, не тормозит и т.д.

Это говнище еле шевелится. Нафиг оно такое нужно, пусть хоть какой там UI/UX. Удобнее в том, где интерфейс работает быстро, не тяжёлый, не тормозит и т.д.

Примеры более лучших ДБО будут?

Лично мне для оплаты Сбер очень нравится, удобный.

В ЛК Альфа я вообще теряюсь, в Открытии как-то слишком уж аскетично.

В Авангарде все очень основательно, но больше подходит для работы с входящими платежами, хранения средств, длительная история транзакций 10 лет. Навряд ли в GUI Авангарда можно совершать платежи быстрее и удобнее, чем в Сбере, но контролировать входящие точно удобнее Сбера, который кроме входящей суммы вообще мало что показывает, а Авангард показывает все параметры входящего платежа от и до. В интерфейсе Авангарда ощущаешь себя как бы бухгалтером с различным журналами и книгами транзакций, массой различных инструментов и настроек. Тут кто-то упоминал про швейцарские банки, так вот Авангард скорее всего даст фору многим таким банкам по уровню своего технического оснащения и комфорту своих офисов, отсутствие очередей из-за очень хорошей и продуманной автоматизации. Иной раз удивляешься, как они умудряются и зачем, содержать такие большие и ухоженные офисы, которые большую часть времени пустуют. В офисах обслуживают как-то неспешно так размеренно без суеты, но в итоге получается так же быстро как и в Сбере. Там, где в городе десятки офисов Сбера, Авангард управляется 1-2 офисами, образцовопоказательный банк. Иногда кажется, что кроме тебя в Авангарде и других клиентов то почти нет, потому что в офисах ПУСТО =)

Сбер какой-то интуитивно понятный, прям как игрушечный. Проще QIWI кошелька для оплаты игровых артефактов, явно попсовый, но это для него только плюс. Офисы Сбера - это постоянная суета, масса народу, но обслуживание идет быстро. Там где ВТБ может выносить мозг по полчаса и дольше, Сбер успевает за несколько минут, 3-5 минут от силы.

Офисы ВТБ в моем понимании - это вообще какая-то абсолютно ненужная тормозная структура, которая только зря отнимает время людей.

А еще у Авангарда вероятно один из лучших валютных контролей, квалифицированные спецы по входящим операциям. И судя по отзывам шароварщиков, даже сейчас налаживаются входящие платежи без дополнительной комиссии $200 Тинькова :

http://rsdn.org/forum/shareware/8333739.all

Ты ниндзя самообороны, ты крут!

Спасибо. Передай всем, чтобы делали также. Прекратили разговор и проверили свой счет или онлайн или звонком в банк.

Твои рассуждения о социальной инженерии бессмысленны. Если человек сам выдает свои данные, то никакие системы безопасности не помогут. Идентификация по голосу – не разрешать и всё.

Можешь не отвечать, данная тема слишком банальна и неинтересна. Мантра: «они это делают специально» – удел кухонных аналитиков.

Передай всем, чтобы делали также.

Передать пенсам? Они забудут.

Прекратили разговор и проверили свой счет или онлайн или звонком в банк.

Если бы не дыры Сбера в голосовом факторе, то никто бы и не пытался названивать из «службы его поддержки».

Почему не звонят из «службы поддержки Авангарда»? Потому что это бессмысленно с точки зрения профита от попытки различных краж персональных данных и потом денег.

Тут речь как увести симку/номер/деньги или что-то еще как раз таки БЕЗ владельца. А то что ты сам делаешь никому не интересно.

С токена можно скопировать

То есть тебе придется отжать у владельца не только логин/пароль, но еще мобилу, одну из 3х валидных кпк и эцп впридачу. Ты такой сказочник, что я устал уже угорать.

А в Сбере ты не как не отключишь самый дырявый их фактор - голосовой телефон

Ты рассуждаешь как технарь - ограниченно. Есть анекдот про программиста и воздушный шар, вот прям твой случай.

Я тебе на пальцах объясню. ЦА сбера это бюджетники, для них телефон и смс относительно понятны, а денег много не бывает. Внедрение чего-то умного и технологичного как у авы это деньги. Поддержка это еще больше денег. На одного умного тебя будут звонить сотни бабок «нипанятна как пенсию внучку отправить». А выгоды никакой. Потому что как я продемонстрировал ссылкой выше идиоты явление глобальное и не зависит от расы, религии, образования и банка приписки.

Ты рассуждаешь как технарь - ограниченно.

Опционально по заявке клиента в офисе голосовой фактор отключать нельзя? И чтобы включался он тоже только в офисе.

Если звонят в Сбер по поводу моей учетки, то в ответ - идите в офис, учетка офлайновая для голосового управления.

Если звонят в Сбер по поводу учетки довольного пользователя голосового управления, то все как обычно.

Я уже несколько раз об этом упоминал. Тем, кого все устраивает в Сбере, ничего отключать ненужно.

Хоть это и не избавит меня от звонков жуликов, которые заранее не знают, есть ли у меня учетка в Сбере и подключена ли она к голосовому фактору, но точно убережет от управления моей учетки голосовым фактором нежелательных третьих лиц, если им как-то удастся заполучить персональные данные (к примеру вовсе не я их расскажу, а их сопрут с каких-нибудь других баз данных даже и не Сбера вовсе).

Да, забыл что тут каждый второй - мамкин аноним и реальные + законные юзкейсы никому не интересны.

Опционально по заявке клиента в офисе голосовой фактор отключать нельзя?

Сдается мне что голосовая учетка это не просто параметр или переменная. Зная уровень сберовских разрабов (которых кстати уже некоторые компании не берут), не удивлюсь если там все люто захардкожено.

То что ты пишешь конечно разумно, то с таким же успехом ты можешь предъявлять претензии тумбочке. Посмотри на Грефа и на Миновалова. Первый юрист, второй инженер-системотехник ЭВМ.

То что ты пишешь конечно разумно, то с таким же успехом ты можешь предъявлять претензии тумбочке. Посмотри на Грефа и на Миновалова. Первый юрист, второй инженер-системотехник ЭВМ.

Юрист - это хорошо, а тумбочка - это уже несовременно =)

Где-то в новостях писали что Сбер переводит банкоматы на полностью российское ПО.

На той неделе нам поставили новейший банкомат… с Windows 10. 😏

Вам б/у подсунули, пишите жалобу :)