Сообщений в теме: 67

[kirasoft]

о чем тут мы вообще спорим? вы доказываете, что в Сбере все надежно на своем частном случае (напомню, что все началось с конверта - я утверждал, что карты выдают не в запечатанном виде и возможна компрометация реквизитов, вы же сказали, что получили карту в конверте), ну а далее пошли ваши возражения (кстати пока ничем не доказанные) на счет не дырявости услуг Сбербанка и в том, что в проблемах виноват исключительно клиент банка
поэтому сразу скажу, что дальнейший спор, в виду вашей некомпетентности ухода вами от неудобных вопросов, считаю не продуктивным и спор продолжать не собираюсь
если вас устраивает Сбербанк, вы верите, что отсутсвие рутовонности смартфона гарантия от вирусов - я за вас рад - пользуйтесь на здоровье, но делать выводы на счет всего Сбербанка по одному своему опыту - глупо
у меня же выводы основаны на многолетнем наблюдении за Сбербанком и подтверждены статистикой

далее по пунктам:

VladimirKHV сказал:

Судя по протухлости вашего блога так и есть.

да, статьи написаны уже достаточно давно, возможно, уже некоторые вещи не актуальны
однако, глобально, ситуация не поменялась - никаких изменений в услугах "мобильный банк" и "быстрый платеж" не произошло
считаю, что данная статья не потеряла своей актуальности, хотя бы потому, что до сих пор ко мне обращаются за советом, через личную связь

VladimirKHV сказал:

давайте сравним Сбер с десятками миллионов бюджетников

мы не сравниваем банки - мы говорим конкретно про Сбербанк, в других банках нет таких дырявых услуг
во всех остальных банках информационный сервис через СМС и СМС-банкинг отдельные услуги не не зависят друг от друга и их не подключают по умолчанию, как "быстрый платеж"

VladimirKHV сказал:

По какому-другому?

статические коды:
например, как кодовое слово, указав в анкете
или как пин-код, получить в конверте
переменные:
сформировать в банкомате/терминале, как ранее в Сбербанке формировались разовые коды для CNP-операций
или звонок на номер с автоинформатором и необходимостью нажать что-то на клавиатуре (от воровства телефона не убережет, а от вирусов да) - такая схема применяется в qiwi при платежах с терминала
да мало ли, что можно придумать - не делат же ничего Сбербанк - хотя бы просто отделить СМС-банкинг от информационного сервиса

VladimirKHV сказал:

Не как минимум, а как максимум.

VladimirKHV сказал:

Представим ситуацию, внук научил бабульку, что для того, чтоб пополнить телефон, не надо топать 10Км до салона, а достаточно отправить 200 а затем пришедший пароль на 900.

никакого смысла в этом пароле нет и если злоумышленник (вирус или вор), обладают возможностью отправлять СМС, то скорее и принимать их могут, а значит смогут получить и отправить этот пароль
нет никакого смысла отправлять пароль на тот же номер, с которого пришла команда - для двухфакторной авторизации код должен прийти по другому каналу
скорее всего, это подтверждение нужно банку, чтобы клиент проверил реквизиты и подтвердил их правильность - тем самым переложив ответственность за ошибки на клиента - к безопасности это не имеет никакого отношения

и очевидно, по сообщениям на банки.ру, что вирусы успешно справляются со своей задачей

VladimirKHV сказал:

Теперь посмотрим с другой стороны, злоумышленник ворует у бабушки телефон, просматривает последние смс, находит там этот постоянный пароль

да, это недостаток постоянного пароля
но вы критикуете меня (мой способ), вместо того, чтобы признать, что в таком виде как сейчас услуга "быстрый платеж" небезопасна
не моя задача придумывать способ как защитить СМС-банкинг (хотя выше я написал еще вариантов)
проще всего отделить СМС-банкинг от информационного сервиса и не подключать его по умолчанию, если клиент хочет только получать информацию об операциях
кроме того, даже ввод постоянного пароля защитил бы миллионы пользователей, которые не пользуются и даже не подозревают об этой услуге, потому что у них этого кода нет и никогда не было в истории СМС

VladimirKHV сказал:

Еще раз помяну протухлость ссылки. С тех пор и сбер изменился, и андроид. Но вы даже там не указали вирус, работающий на нерутованном телефоне.

если вам мало того, что там написано (или вы просто банально не дошли до нужной ссылки, а прочитали первую попавшуюся), то вот вам посвежее информация от моего коллеги:
http://www.banki.ru/...kamo4/7400.php

VladimirKHV сказал:

"Отметим, что большинство современных SMS-троянцев опустошают мобильные счета владельцев мобильных устройств, отправляя сообщения на платные номера.". Поэтому в проникновении вирусов виноват пользователь, а никак не банк.

либо вы настолько не внимательны, либо вы намеренно передергиваете и искажаете информацию
именно поэтому я считаю дальнейший спор с вами не конструктивным и бесполезным
вышеприведенной цитаты нет на сайте Group-IB, на который я ссылаюсь в предыдущем сообщении,
зато есть на сайте Российской газеты, ссылка на которую так же есть в статье

кроме того, даже если брать в расчет только вышеприведенную цитату, то даже не специалисту достаточно сложить два факта и понять, что услуга в Сбербанке не безопасна - если вирус может отравлять на платные номера, то точно так же вирус может отправлять СМС на номер 900 Сбербанка
более того, у ОпСоСов есть услуга либо запрета отправки СМС на короткие номера, либо специальный контентный счет и таким образом можно защитится от отправки СМС на короткие номера, то номер 900 не входит в этот диапазон и запрет отправки СМС на короткие номера не затрагивает номер 900

VladimirKHV сказал:

Поэтому в проникновении вирусов виноват пользователь, а никак не банк.

я с этим не спорю, и более того, об этом тоже написано в статье
что касается виновности банка, то я в очередной раз повторяю, что если бы у Сбербанке не было такой реализации услуг, то не было бы вирусов нацеленных именно на Сбербанк и пользователей не атаковали бы ссылками и смс

VladimirKHV сказал:

А все потому, что люди жмут этих несчастных 30р/месяц за нормальный смс-банкинг.

опять передергиваете
во-первых СМС-иформирование НЕ ЗАЩИЩАЕТ от фрода, оно защищает от больших потерь
от фрода защищают лимиты и отключение CNP-операций (о чем я говорил еще ранее до обсуждения с вами), а так же анифродовая служба, всего этого в Сбербанке, можно сказать, нет
во-вторых вы опять путаете СМС-информирование и СМС-банкинг, что делать в Сбербанке если СМС-информирование нужно, а СМС-банкинг не нужен - вы так и не ответили
да, кстати, мобильный банк 30 р. стоит на дешевых картах, на классических уже 60 р., на gold и выше бесплатно

Сообщение отредактировано.

[Naevus]

Господа, не останавливайтесь! Очень познавательно вас читать! Причем - я лично так и не решил - чья сторона более убедительная (ну это если пытаться быть объективным и отбросить личные предрассудки)...

Чтобы было не скучно, подброшу на вентилятор: https://geektimes.ru/post/289577/

[VladimirKHV]

Вы считаете, что этот конверт сбер индивидуально для меня изготовил? Или это все же не частный случай, а это вы до сих пор проживаете во временах 2 андроида?

==подтверждены статистикой==
Ну так приведите эту статистику, только не количественную а процентную. В сравнении с другими банками.

==возможно, уже==
Меня всегда улыбали фразы со словами "возможно", "вероятно", "считаю", "предположительно" и т.д. и строящиеся на основании этих предположений выводы.
Ваш блог от 13 года. А с 1 января 14 года в №161-ФЗ внесены изменения в ст.14, обязывающую банки возмещать несанкционированные платежи, если банк не докажет, что они совершены по вине клиента.

==в других банках нет таких дырявых услуг==
Да вы что? http://www.banki.ru/...D=61&TID=151633 , http://www.banki.ru/...D=61&TID=122437 и т.д. Причем это посты такой же тухлости, как и ваш блог.

==статические коды:==
Про их бессмысленность я уже писал

kirasoft сказал:

как ранее в Сбербанке формировались разовые коды для CNP-операций

Вы может сильно удивитесь. Поэтому сядьте на стул, чтоб не упасть.
У Сбербанка до сих пор формируются разовые коды в банкомате, и у клиента даже есть возможность выбора, чем подтверждать операцию, СМС иль разовыми кодами.

kirasoft сказал:

то скорее и принимать их могут, а значит

и опять выводы построенные на предположениях. Я легко могу отправить email иль СМС от вашего имени, а вот ответ перехватить очень сложно.

kirasoft сказал:

прийти по другому каналу

таки по какому другому?

kirasoft сказал:

защитил бы миллионы пользователей

У вас есть статистика о миллионах пострадавших пользователей сбера с украденными телефонами?

kirasoft сказал:

информация от моего коллеги

и таки опять меня улыбает, когда дилетанты пытаются рассуждать об вирусах. Ну дайте мне ссыль, где я могу подцепить ваш мифический вирус. А по вашей ссылке говорится о найденной теоретической уязвимости, которая в обсуждении на тематических сайтах не подтвердилась. Даже если бы уязвимость подтвердилась, то её связь с вирусом не больше, чем вашего автомобиля с крупной автокатастрофой. Теоретически возможно, но практически ... вы все еще живы.
А еще улыбает упомянутая в статье средняя сумма уведенных денех, 412 647 рублей, эт да, у каждой бабушки в среднем столько на счетах лежит.

kirasoft сказал:

зато есть на сайте Российской газеты

так учитесь пользоваться первоисточниками, а не выгодными вам выжимками из контекста

kirasoft сказал:

если вирус может отравлять на платные номера, то точно так же вирус может отправлять СМС на номер 900 Сбербанка

И кто виноват? Банк, иль все таки пользователь, устанавливающий вируса на свой телефон? Случайно вирус установить невозможно из-за упомянутых рут прав, пользователь должен самостоятельно дать разрешение вирусу на установку. А если пользователь умышленно себе вируса ставит, то никакая защита его не спасет, и никто в этом не виноват, кроме него самого.

kirasoft сказал:

то не было бы вирусов нацеленных именно на Сбербанк

если бы у бабушки был бы орган, она была бы дедушкой. Если бы у виндовс было бы всего 5% пользователей как сейчас и линукс, то большинство вирусов бы писалось под линь, а не винду. Если бы основным банком в РФ был бы не Сбер, а например Росбанк, то вирусы бы писались нацеленные на Росбанк.

kirasoft сказал:

во-первых СМС-иформирование НЕ ЗАЩИЩАЕТ от фрода, оно защищает от больших потерь

это вы передергиваете. В помянутой вами статье средняя сумма исков 412 647 рублей, а по юрлицам (у которых в принципе нет смс-банкинга) 9,7 млн.
По №161-ФЗ суммы снятые после блокировки компенсируются банком безоговорочно, а снятые до блокировки компенсируются если банк не сможет доказать вину клиента.
Теперь расскажите мне, если у меня мульен на счету, настроено СМС-информирование, телефон у меня нерутованный, я не устанавливаю на него никаких приложений из подозрительных источников, то каким макаром у меня могут этот мульен увести?

Если знаете такой способ, так расскажите, чтоб люди защититься смогли.
А вот если не знаете, а только языком треплете, то знайте, что незнание законов не освобождает от ответственности, и только в рамках этой страницы вы уже натрепали на лишение свободы на срок от двенадцати до двадцати лет по ч.2.ст.205 УК РФ

[kontulavittu]

Детский сад устроили. Если у кого-то паранойя по поводу воровства данных с банковских карт - обращайтесь к врачу, а не к банку.
Начитаются статеек с Интернета, и верят на слово всему, что там написано. В таких статьях через каждое предложение пишут "возможно" "вероятно" "скорее всего". В реале же всё очень просто - не оставляйте свои банковские данные без присмотра. Любой банк может запросто отследить операции с счётом, откуда и как деньги снимались. А вы стараетесь спихнуть ответственность за собственное разгильгяйство на банк или его работников. Вас пошлют куда подальше с такими претензиями и правильно сделают. То, что вам якобы "впаривают" -так имейте мозги, а не плачьте, что у кого-то другого их нет, чтобы вас отговорить от временных назойливых "работничков" банка, которые и года не держатся ни на одном рабочем месте, будть это хоть банк, хоть овощебаза.

[SEM]

VladimirKHV сказал:

и только в рамках этой страницы вы уже натрепали на лишение свободы на срок от двенадцати до двадцати лет по ч.2.ст.205 УК РФ

Похоже что Вы слишком часто смотрите юмористическое ток-шоу "Час суда" и начали воспринимать его всерьёз...

[VladimirKHV]

SEM (01 Июнь 2017 - 12:49) писал(а):

Похоже что Вы слишком часто смотрите юмористическое ток-шоу "Час суда" и начали воспринимать его всерьёз...

Не знаю такого шоу. Знаю что у нас за информационный терроризм пока не сажают, и зря. Очень надеюсь, что это "пока". В цивилизованном мире за это давно содють, а при Сталине так вообще паникеров расстреливали и правильно делали.

[proelectro]

Спасибо всем за интересную дискуссию. Каждый по-своему прав.
От себя лишь добавлю, что не всегда корректно во всем винить владельца карты. Мы тут с вами люди относительно молодые, продвинутые, подкованные. Знаем про варианты мошенничества с картами. Нас на эту удочку поймать сложно. Но в изначальной истории жертвой стала пожилая женщина, которая и слова фишинг не знает. Попробуйте представить, что это Ваша бабушка или мама, и все поймете.
В нашем случае история закончилась хорошо. Вчера Сбер вернул все деньги, за что ему спасибо(а точнее законодательству, которое обязало его это сделать).
Также большое спасибо господину kirasoft, ответы которого оказались самими информативными и лаконичными.

Сообщение отредактировано.

[vot]

proelectro сказал:

Мы тут с вами люди относительно молодые, продвинутые, подкованные. Знаем про варианты мошенничества с картами. Нас на эту удочку поймать сложно.

Это Вы с ними)) Мне 60 лет и еще ни один идиот меня не кинул