Уязвимости Сбербанка

Тебя опять притесняют. Да что же такое творится то!

Опять в каком смысле?

Я в Сбере денег не храню, использую его только в качестве образно QIWI кошелька для оплат разных услуг и товаров.

На большее он IMHO не годится из-за своего уровня безопасности.

Я позвонил в Сбер, спросил можно ли наложить запрет на такую замену телефона SMS банка по телефону?

«Замену телефона sms банка»? Ты не отошёл ещё от разговора с мошенниками что ли? :)

Кражи голосовых сообщений с фрагментами «Да»

Прохладные истории из тех же, что и «телефон прослушивает всё вокруг»

Главная уязвимость сбербанка это его клиенты. Сегодня звонили из полиции, говорили что-то про уголовное дело и Центробанк, я им предложил свистнуть в детородный орган, на той стороне переспросили, видимо опенспейс большой и слышно плохо.

я им предложил

Таперича жди мстю :)

Главная уязвимость сбербанка это его клиенты.

Дыры у Сбера, но виноваты клиенты, которые не затыкают его дыры своими пальцами, логика просто потрясающая.

Сегодня звонили

Я их попросил отправить инструкцию на fsb@mail.ru

SMS - это шапито, да.

Прохладные истории из тех же, что и «телефон прослушивает всё вокруг»

И зачем они просили согласие?

Чтобы записать мое «да» и проиграть его оператору Сбера?

Впечатление, что безопасники Сбера вчера только на первый курс своего инстика поступили причем с высоким риском отчисления за неуспеваемость.

Только что звонили жулье

– Спасибо за звонок, я сейчас занят, сам перезвоню в мой банк.

На этом уязвимости закончились

SMS - это шапито, да.

Прям мысли читаешь :)

Только хотел спросить, остались ли банки кроме многоуважаемого лучшего народного банка А*******, которые работают хотя бы по скретч картам? В ВТБ ведь было, но эти идиоты убрали единственную конкурентноспособную функцию у себя :(

Такс, вторая дырень после возможности замены номера с другого номера, - это SMS.

На этом уязвимости закончились

Смеешься чтоли?

Они записать хотели, очевидно же. Загугли, если не веришь.

Записали ту фразу и что?

Потом бы спросили все остальное типа персональных данных.

Потом натренировали нейросетку или еще какую-то хрень, даже своего галькина к примеру, и вперду с песней. Поменяли бы номер уже в реальном Сбере на свой.

Потом бы спросили все остальное типа персональных данных.

Откуда «потом»? Я разговор закончил.

Сотрудники банка идентифицируют клиентов по голосу?

Откуда «потом»? Я разговор закончил.

Так не все же заканчивают? Я особо и не начинал даже.

Сотрудники банка идентифицируют клиентов по голосу?

При разборе полетов вероятно по записям, когда поезд уже ушел. Вероятно пока даже этот шаг лишний для жулья, все так просто, лафа прям.

Так не все же заканчивают?

Я выдал свой вариант. Он неуязвим? Зачем мне «все», которые продолжают разговор?

Я выдал свой вариант. Он неуязвим? Зачем мне «все», которые продолжают разговор?

Ты ниндзя самообороны, ты крут!

Зачем банку, куда почти силком согнали всех бюджетников и вероятно пенсов, часть из которых по здоровью уже не помнят даже, где у них стоит холодильник, защищать своих клиентов?

Можно ведь сделать платную страховку с****ых денег, бинго!

Но заявку в полицию надо подавать точно также как и без страховки за 1 день после случившегося (не позже), не заметил, - страховка уже и не работает?

- А зачем тогда страховка?

- А зачем тогда вообще все эти дыры, наивный прям. Зря чтоли дыры закладывали? LOL

Ты не ответил на мой первый вопрос.

И зачем они просили согласие?

Для того, чтобы выглядеть как настоящая СБ банка.

Потом бы спросили все остальное типа персональных данных.

Потом натренировали нейросетку или еще какую-то хрень, даже своего галькина к примеру, и вперду с песней. Поменяли бы номер уже в реальном Сбере на свой.

И вот опять эти прохладные истории не умеющих думать :)

Какая-то прохладная, более чем по одному показателю, история.

Нет, я тоже попадался. Слишком сильно поддел мошенника через нацпол, было очень много визга.

Дыры у Сбера

Почему вы сделали однозначный вывод, что виноват именно Сбер, а не любое другое место где вы оставили свое фио и телефон?
Как пример. Я не клиент сбера, но мне тоже звонят из «сбера» и просят назвать бла-бла-бла...

Нет, я тоже попадался. Слишком сильно поддел мошенника через нацпол, было очень много визга.

Ну возможно, я несколько лет назад к вопросу тоньше подошел, настроение хорошее было, минут двадцать мы с ним развлекались, по итогу(когда мне наскучило) я был послан на юх(очень витиевато, не одним словом :) ) но не более того.

Удваиваю.

ТС, выкладывай запись чтоль, чего ты там назаписывал.

Поменяли бы номер уже в реальном Сбере на свой.

Ты сначала попробуй в реальном Сбере реально поменять номер. Расскажешь.

Да ладно номер. Симку поменяй. Я переходил из мегафона в билайн с сохранением номера. Я премиальный клиент Сбера, у меня квест был короче, нормальным людям ещё очередь сидеть.

Я хз. До 24 февраля как большинства гугл аус нормально работал. Сейчас, в принципе, пуши получше, но лучше бы это все от телефона вообще отвязать :(

Да сбер дно дна, удивляюсь, что еще кто-то им пользуется. Есть куча банков, и буквально каждый лучше.

Есть куча банков, и буквально каждый лучше.

Не подскажешь, есть ли со скретч картами или offline генераторами кодов для авторизации банковских транзакций вместо SMS?

Сейчас, в принципе, пуши получше, но лучше бы это все от телефона вообще отвязать :(

Конечно лучше отвязать от телефона и от любого другого компа, который сложнее аппаратного криптотокена с неизвлекаемым ключом.

Симкарта не считается, потому что SMS ведь вероятно несложно перехватывается из эфира в 2022 году?

А еще может быть инсайд мобильных операторов?

Ты сначала попробуй в реальном Сбере реально поменять номер. Расскажешь.

Чужой? LOL

Или свой? Свой как раз сегодня звонил:

- Можно поменять свой номер, привязанный к входящим SMS из банка?

- Да, конечно, называете свои данные и готово.

- А если назовет кто-то другой?

- Так они же не знают ваших персональных данных! LOL

- У вас не банк, а цирк, вот А******* - это банк.

У Сбера была какая-то фича, когда они предлагают голос твой записать. Можно и через банкомат воспользоваться этой услугой.

Мне и жене обычно «МТС» звонит. На том конце утверждают, что они не знают как к тебе обращаться и поэтому спрашивают кто ты :)

Сбер, похоже, договоренность с операторами имеет и при переоформлении номера ну другого владельца номер сразу отвязывается от карт. Приходится заново привязывать.

В очередях не сидел. Через банкомат привязал. Как сейчас не знаю.

Да сбер дно дна, удивляюсь, что еще кто-то им пользуется.

С выходом из анабиоза. Ещё лет 5-7 назад сбер был дном дна, с тех пор произошли кардинальные изменения.

У Сбера была какая-то фича, когда они предлагают голос твой записать. Можно и через банкомат воспользоваться этой услугой.

Биометрия. Лучше пока не использовать её.

По сравнению с ВТБ (из кучи банков), у сбера на удивление удобное приложение, хоть и тяжёлое.

, у сбера на удивление удобное приложение,

Пользуюсь только их веб мордочкой с десктопа, IMHO удобнее я не видел, но это не отменяет того, что безопасность этого удобства очень низкая.

Сбер вероятно идеален для платежей по текущим расходам с мгновенным и бесплатным пополнением по СБП (Система Быстрых Платежей) из другого нормального безопасного банка.

А ты знаешь, что пароль не чувствителен к регистру? ;)

Да пофик, пароль в 2022 - это все равно, что почти вообще без пароля. Впрочем у меня вход по SMS, но это тоже далеко от идеала в нынешних условиях.

Им трудно чтоли дополнительными опциями прикрутить подтверждение криптоключами?

Например, обязательно все то, что уже есть сейчас, но опцией можно было бы включить еще и требование одновременно:

3Fa: U2F Rutoken

и

4Fa: Rutoken ECP3

Сложнааа ... пипец.

Им что, законы запрещают усиливать защиту сверх того, что уже есть и разрешено законом?

Сложнааа … пипец

Так инициативные клиенты техподдержку замучают

Ну сделайте консультацию по этим опциям платной, и отправляйте их на курсы, только и всего.

И платный сброс этой опции.

И платный сброс этой опции.

Только НЕ по телефону, LOL.

потому что SMS ведь вероятно несложно перехватывается из эфира в 2022 году?

Ну попробуйте.

Да пофик, пароль в 2022 - это все равно, что почти вообще без пароля.

Попробуйте перебрать пароль на моем почтовике, обещаю что это будет не то, что долго, а очень долго.

Иди в офис, пиши заявление

настроение хорошее было, минут двадцать мы с ним развлекались,

Правильный подход. Иногда с телефонных разводил можно немало лулзов словить

есть ли со скретч картами или offline генераторами кодов

С такими запросами лучше в Швейцарию или Францию. А если ещё и чековые книжки нужны - точно во Францию

Но кроме шуток втб к брокерскому давал скретч-карту

я им предложил свистнуть в детородный орган

Выплюнь бяку.

Чо

жуликам стырить деньги было на порядок сложнее

Где-то читал, что у одного пенсионера закрыли сберкнижку без его ведома, при том что оригинал был на руках. Без оригинала типа закрыть невозможно.