Уязвимости Сбербанка

Давно Сбер превратился из совкового цирка Шапито в Шапито «Нового прекрасного мира»?

Давно, при Грефе.

Дыры у Сбера

Совершенно необязательно. Просто статистически попасть на клиента Сбера вероятнее, чем на клиента любого другого банка.

Попробуйте перебрать пароль на моем почтовике, обещаю что это будет не то, что долго, а очень долго.

Буткиты, трояны, ПЭМИ, etc.? Нет, не слышали.

Иди в офис, пиши заявление

«Прошу проапгрейдить ваших безопасников.» ?

Нэ не слышали.

С такими запросами лучше в Швейцарию или Францию.

Так и щас есть как минимум пара банков со скретч картами, один даже в нашем городе.

Хотелось бы узнать, есть ли еще на всю страну вменяемые банки в плане безопасности физиков?

Нэ не слышали.

Тебе повезло, или просто пока так только кажется ...

Ну попробуйте.

Так вроде УК не приветствует такое даже в учебных целях?

Я только читал, ключи: sniffing sms, hijacking sms, etc.

не, про то чтобы не меняли номер телефона без твоего личного присутствия. Кнопка смены в их информсистеме конечно же останется, думаю они прост добавят в примечания к твоему профилю для операционистов такую пометку. Ну а дальше в час Х или операционист прочитает эту пометку или нет.

А про безопасников… ты уже взломал свой личный счет описываемым тобой методом чтобы делать подобные заявления?

А про безопасников… ты уже взломал свой личный счет описываемым тобой методом чтобы делать подобные заявления?

Загугли, сколько потерпевших у них.

Почему вы сделали однозначный вывод, что виноват именно Сбер, а не любое другое место где вы оставили свое фио и телефон?

Я ведь не говорил, что Сбер виноват в утечке данных.

Я говорил о том, что Сбер имеет дыру для изменения номера, по каким-то совершенно странным причинам полагая, что персональные данные клиента неизвестны другим лицам, и используя подтверждение знаний этих данных в качестве ключа для замены другого ключа в своей системе - номера для SMS.

Образно это как «ключ под ковриком».

Неужели персональные данные в полном объеме не могут быть получены из всевозможных сливов баз данных?

С такими запросами лучше в Швейцарию или Францию. А если ещё и чековые книжки нужны - точно во Францию

Так самое смешное, что для юриков многие банки дают хотя бы крипто ключи (или смарткарты) уровня Rutoken ECP2/3 и даже считыватели типа SafeTouch PRO.

Это какая-то дискриминация безопасности физиков?

Мда, вы не внимательно прочитали мое сообщение.

Расшифруйте тогда свое послание.

Але, я тут из сбера внатуре... Так понятнее?

Але, я тут из сбера внатуре... Так понятнее?

В смысле, это ты придумал, менять SMS номер учетки по звонку без визита в банк ?!???

не поняли посыл.

Какой-то мудак придумал фичу (вернее багу - уязвимость), что звонящим на 900 (в т.ч. иногда и самими клиентам, если повезет) можно менять важные параметры безопасности учетки Сбера типа привязанного к учетке телефонного номера.

Ты его знаешь?

Ну наверное бувает.

Из того, что жулики заранее не знают, является ли окучиваемая жертва клиентом Сбера, не следует, что они не смогут воспользоваться описанной мной дырой Сбера после удачного окучивания таки клиента Сбера (о чем они могут узнать из разговора с окучиваемым) и позже могут воспользоваться всеми необходимыми данными, которые им может рассказать окучиваемый клиент.

Сбер, похоже, договоренность с операторами имеет и при переоформлении номера ну другого владельца номер сразу отвязывается от карт

Номер по IMSI привязан, при замене симки банки блочат услуги. Но работает не всегда, потому что опсосы скрывают IMSI через SMS Firewall.

дискриминация безопасности физиков

нет, просто в большинстве банков сидят идиоты... в нормальных и физикам дают кпк, криптокалькуляторы и пр.

в нормальных и физикам дают кпк, криптокалькуляторы и пр.

Можешь подсказать нормальные банки c авторизацией не только по SMS и паролю?

Я позвонил в Сбер, спросил можно ли наложить запрет на такую замену телефона SMS банка по телефону?

Переводя на русский, может ли сбербанк запретить вообще всем звонить с телефона 900?

Боюсь, это уязвимость в GSM и вообще, в мироздании.

Сбер, имхо, эдакий дофигаэдр, и каждая из его граней отвратительна. Не за чем присваивать ему еще и не его отвратительности. У него везде написано-показано-рассказано, что он клиентам не звонит. Что мог - он сделал.

В моем случае не было замены симки, она осталась той же. Просто пришли в офис и переоформили договор (написали заявление то есть) о передаче номера другому лицу.

Переводя на русский, может ли сбербанк запретить вообще всем звонить с телефона 900?

Похоже ты перевел на свой чучмекский. Я предлагал сделать запрет замены номера, а не запрет звонков на 900.

Т.е. звонишь в Сбер на 900 и спрашиваешь:

- Можно ли поменять номер для SMS, привязанный к учетке Сбера?

Поддержка:

- Это можно сделать только в офисе при личном визите.

Ты такой:

- Но я же жулик, мне нельзя появляться в вашем офисе, я хочу поменять номер чужой учетки.

Поддержка:

- К сожалению пока такой опции нет, можете обратиться к нашему руководству и предложить свою инновацию.

Боюсь, это уязвимость в GSM и вообще, в мироздании.

То, что ты тролль?

Сбер, имхо, эдакий дофигаэдр, и каждая из его граней отвратительна.

Только в области безопасности, ты еще и невнимательно читал ветку.

Что мог - он сделал.

Сделал райские условия для жулья?

Авангард (до 4 факторов), ПСБ, РСХБ

Просто пришли в офис и переоформили договор (написали заявление то есть) о передаче номера другому лицу.

Какой офис, банка чтоле? То есть люди подставились под камеры, помахали поддельным паспортом, а в банке такие «ок, вот вам деньги grem»? Если ты про опсоса, то этой схеме лет 10. Если ты про перепродажу протухшего номера, то ссзб.

А ты начинаешь пургу гнать. Чтобы подключить номер через терминал, нужно иметь карту и знать её пин код, а для того, чтобы подключить номер через поддержку, нужно знать все данные карты и держателя карты и главное контрольную информацию по карте. Если теряешь карту с паспортом, то ссзб. Если у тебя публичная страница вк с пд и родословной, то ссзб.

Есть какая-то официальная статистика по количеству потерпевших на 1 млн. клиентов?

Если теряешь карту с паспортом, то ссзб. Если у тебя публичная страница вк с пд и родословной, то ссзб.

Да нет. То что в погоне за сокращением издержек и цифровизацией банковская система пошла на снижение безопасности клиентских средств это не ссзб клиента это системная проблема. Во времена раньшие банк давал токен или скрэтч карту с кодами для проведения дистанционных операций и для того чтобы воспользоваться средствами клиента нужен был физический доступ

чучмекский

вы фошизд?

То, что ты тролль?

лжец, девственник.

Только что звонили жулье (есть запись разговора), предлагали поменять номер в Сбере.

Позвонить со своего номера в сбер и поменять на их номер? При этом секретное слово сказать? Ногами сходить и там паспорт показать? Или как? То, что ты тролль?©

Только в области безопасности, ты еще и невнимательно читал ветку.

Может, и не читал. Может и не я. А ты, похоже, не во многих отделениях бывал.

Эти клоуны вместо ответа на вопрос начали объяснять

Наивно хотеть большего от девочек из колл-центра.

складывается впечатление об отсутствии отдела безопасности в Сбере, который бы заботился о клиентах

обманчивое впечатление.
мне не раз блокировали операции перечисления.

Пока ФАС занимается бусурманскими гуглами, Сбербанк пользуется положением: толкает доморощенные сервисы и стрижёт бабло с конских комиссий.

Авангард (до 4 факторов), ПСБ, РСХБ

Про Авангард я уже несколько раз упоминал в этой ветке в виде А*******.

И даже в Авангарде, эти факторы не суммируются (кроме пароля при входе), а только выбираются как один из вариантов.

РСХБ - надо попробовать, интересный банк.

Про ПСБ тоже знаю, но у нас в городе его нет, даже пытался у них зарегаться удаленно.

Получается, из нескольких сотен банков только три нормальных на всю страну? Из них ни одного из крупных около госов или ПСБ как раз такой?

Если теряешь карту с паспортом, то ссзб.

Достаточно один раз подслушать разговоры со службой поддержки либо установить буткит на комп, где хранятся данные.

Позвонить со своего номера в сбер и поменять на их номер? При этом секретное слово сказать?

А что, при звонке с другого номера, они не поменяют чтоли?

Просто спросят больше слов, которые можно подслушать или стырить буткитом.

Ногами сходить и там паспорт показать? Или как? То, что ты тролль?©

Разве они требуют потом идти в офис для подтверждения?

Офис мобильного оператора. Банк никакого отношения к моим взаимоотношения с оператором связи не имеет. Как только отправили заявку внутри своей системы на смену владельца номера, на этот номер пришло уведомление, что номер отвязан от карт сбербанка, к которым был привязан.

Нет, я не про перепродажу поддельного номера. Из семьи номер нукуда не уходил. Никаких поддельных паспортов и офисов банка не было. Куда-то тебя не туда понесло.

Подожди, это разве не тинькоф брал комиссию минимум 200$ недавно за переводы?

вы фошизд?

Откуда такие выводы? По отношению к жуликам?

Я про комиссию на межбанковские переводы.

Не хочешь пользоваться пользоваться Тинькофф - не пользуйся. Не хочешь пользоваться Сбербанк - плати комиссию за переводы.

До 100000 в месяц по СПб нет никакой комиссии.

Нет, не хочу, для моих задач меня всё устраивает. Да, я не только клиентом Сбера являлся, а как минимум ещё 3 банков.

звонке с другого номера, они не поменяют чтоли?

Ситуация была. Кратко, по звонку с другого номера карту даже заблокировать отказались, без визита ногами.

Откуда такие выводы?

Уязвимости Сбербанка (комментарий)

ты перевел на свой чучмекский

просто нацист, да?

просто нацист, да?

На основании чего такой вывод?

Чучмек в моем понимании необразованный глупый человек, а не иностранец. Я никогда не был ксенофобом по отношению к кому-либо кроме одной национальности, которая мне много вредила, не будем показывать пальцем.

Ситуация была. Кратко, по звонку с другого номера карту даже заблокировать отказались, без визита ногами.

Это уже лучше, тогда надо еще раз попытаться проверить с другого номера.

А подделка звонящего номера разве невозможна?

Уязвимости Сбербанка (комментарий)

ты перевел на свой чучмекский

Чучмек в моем понимании необразованный глупый человек, а не иностранец.

Ты использовал слово, которым пользуются необразованные и невежливые люди, чтобы назвать меня необразованным, да еще и глупым? Ну-ну. Это был переход на мою личность.

То, что необразованные и невежливые люди используют это слово, как оскорбление в адрес нерусских - это, по-твоему, мелочи? С таких мелочей нацизм начинается. Когда таких мелочей набирается достаточное количество, нацисты приходят к власти.

Буткиты, трояны, ПЭМИ, etc.?

Потратить кучу ресурсов, людей и средств, чтобы посмотреть на ноль в твоём сберовском счету? Да ты чёртов гений (нет).

Загугли, сколько потерпевших у них.

https://www.youtube.com/watch?v=AeTV59Isa3Y

С такими потерпевшими мало какие защиты спасут.

https://www.sberbank.ru/ru/person/help/dist_services_faqsms/1843

Тебе, похоже, навешала лапшу Маринка из поддержки. Ну или ты услышал лапшу вместо информации.

эти факторы не суммируются (кроме пароля при входе), а только выбираются как один из вариантов

Херово ты знать знаешь аву. Суммируются в зависимости от суммы смс+кпк+эцп, их заменяет токенизатор и криптокалькулятор.

из нескольких сотен банков только три нормальных на всю страну

По ИБ ава на голову выше их всех. Но если нужно просто уйти от дырявых смсок, то есть еще какие-то, я просто не искал.

Достаточно один раз подслушать разговоры со службой поддержки либо установить буткит на комп, где хранятся данные

Если ты легко запоминаешь 16 цифр, мое увожение. А если ты можешь воткнуть буткин на рандомный комп, то ваще колдун.