38-Квадратный Круг >
Такое ощущение, что здесь открылся филиал ветки "Общество". Там тоже такие есть упорные и креативные по части увиливаний товарищи ;)

[quote=Квадратный Круг;29349076]Что мне помешает перевести по каждому шаблону по 100 р. и после каждого перевода посмотреть баланс карт? Ничего. Т.е. шаблон нашли. :-) Суточный лимит? Это да, про лимиты и сам говорил. Ну что, ждём как вы в отпуск на 7 дней отправитесь, перевыпускаем СИМ и за 7 дней переводим 210-240 т.р.[/quote]
Если бы да кабы, в огороде бузина... К чему эти фантазии? У меня несколько раз подыхала симка. Я моментально ехал в МТС. Мне нужен телефон. Если я в стране, то я решу вопрос в течение нескольких часов или утром. Если я за бугром, то я тут же позвоню в банк. С вероятностью 99% я попаду только в пределах суточного лимита.

[quote=Квадратный Круг;29349076]Короче, первый ваш вопрос был "Допустим, кто-то перевыпустил мою симку. Что дальше? Как он узнает логин и пароль для входа в инет-банк?", на него вам дал полный и конкретный ответ. На остальные вопросы - тоже. Дальше объяснять не вижу смысла. [/quote]
Ну, допустим, я смотрю в книгу и вижу фигу. Можно номер поста, где написано про получение логина и пароля для входа в инет-банк? Может быть, этот "полный и конкретный" ответ в какую-то другую тему попал? ;))
Просто остальные вопросы я вообще молчу ;)

Мобильное приложение также требует логина и пароля. Лимиты не изменяются пользователем. Я не имею в виду лимиты, которые ты можешь поставить себе сам - тогда безопасность еще больше будет. Я имею в виду суточные операции по смс-платежам. Они установлены банком. И была пара случаев, когда я в них не укладывался. И тут хоть тресни, но больше не переведешь.

41-smartass > А, так это вы на Обществе этому научились? Вы пришли в тему как некий мессия, и озвучили, цитирую,
[quote=smartass;29342544]Итак, вот вам бесплатный стопроцентный рецепт безопасности.
[/quote]
я вам наглядно показал, что в этом способе существует изъян, который делает его совсем не таким безопасным.

При этом вы же сообщили, цитирую,
[quote=smartass;29342544]
Все перемещения между счетами делаются моментально через мобильное приложение [b]или смску[/b]. Безопасность практически стопроцентная (утечку из банка не рассматриваем) - вы рискуете только небольшой суммой денег.[/quote]
, поэтому я вёл разговор именно про воровство "через смску". Что для кражи нужно узнать логин и пароль я не говорил.

И в третий раз повторюсь - рад за вас! На этом и закончу с вами. Удачи!

И вам не хворать!
На прощанье и на радостях, что со мной закончили (!) ;)), я порекомендую вам пройти текст по логике.
Если человек изначально в тезисе сам заявляет, что считает безопасность стороцентной в пределах риска потери небольшой суммы, то нафига брызгать слюной, доказывая [b]ТО ЖЕ САМОЕ[/b]?! ;)))))) Ведь результат "экспертного анализа уязвимостей" - это то, что можно с перевыпущенной симки вывести платежи на телефон и т.п. в пределах дневного лимита. Это ясно и ежу изначально, и об этом и шла речь.

[quote=Квадратный Круг;29350671]поэтому я вёл разговор именно про воровство "через смску". Что для кражи нужно узнать логин и пароль я не говорил.[/quote]
Здесь тоже избирательное применение логики. А вот это заявление помним?
[em]Да, а потом я перевыпускаю вашу СИМ-карту и через смс-банкинг тырю все деньги со счёта №2. Примеры из практики показать?[/em]
А примером оказалась история бабульки с форума.
Так вот, ключевой момент нашего обсуждения - можно ли перегнать бабки с моего счета №2 на счет №1. Через СМС это можно сделать только при трех одновременных условиях: а) у меня есть такой шаблон; б) злоумышленник поймет, какой это шаблон; в) в пределах лимита на смс-операции.
Т.е. [em]"стырить все мои деньги со счета №2"[/em] не получится.
Как не получилось и поумничать ;))

Я тоже кончаю ;))
Спасибо за обсуждение. Оно меня натолкнуло на кое-какие мысли по дальнейшему усовершенствованию системы.

ТЕСТ по логике - опиписка получилась.

у нас в компании порядка 500 человек узнали что в тот момент когда они находились в Краснодаре, они находились например в Милане, или Риме, или Вене... ну судя по выписке из банка.. и снимали деньги.. 500 евро 300 евро... 600 евро.. а банк рассказывал, что мол вы в инете оплатили..вот вашу карточку и вскрыли.. и это практически одновременно у 500 человек.

45-весло и парус > Огласите банк, страна должна знать своих героев. Из ваших слов не ясен способ снятия в Милане, Риме, Вене. А банк может рассказывать что угодно, если по карте клиента не было операций в Интернете, то данные карты явно увели не в Интернете. А если несанкционированные снятия были с вводом ПИН, то увели не только реквизиты карты, но и ПИН.

Короче, разбираться надо. Деньги сотрудникам вернули?

46-Напас Напасович >ну только благодаря тому что у нашей конторы и у банка один и тот же хозяин... банк МБРР...
когда я начальнику отдела зарплатных карт сказал что сняли деньги даже у сотрудницы, которая не умеет покупать в инете и кроме как на территории предприятия нигде карточкой не пользуется, он бедный аж вспотел.
а перед этим рассказывал что мол накладки на банкомате.. мол вы не спецы не отличите...это он технарям инженерам впаривал...

хотя может с отделом начальника я и ошибся

47-весло и парус > Ну про накладки на банкоматы он не впаривал, так и есть. Скимминг называется - воруют реквизиты карты и ПИН.

Вернемся к номеру карты.

Как правило, этот номер состоит из 16 цифр. Первые 6 цифр легко узнать, поскольку это код платёжной системы и конкретного банка-эмитента. Для перебора осталось 10 цифр. По стандарту PCI DSS хранить полный номер эквайер не имеет права, при выводе информации по карте номер маскируется - показывают первые 4 цифры и последние 4 цифры. Итого, подобрав возле банкомата чек, в котором видны 4 последние цифры номера карты, из 10 цифр остается подобрать только 6.

Попытки проведения операций по сгенерированным номерам карт имеют место быть в реальной жизни. Если сгенерированный номер окажется номером реальной карты клиента, то операция будет проведена.

Как защититься? Запрет операций без присутствия карты (по реквизитам) и установка лимитов для такого типа операций.

49-Напас Напасович >есть вариант проще.. молодой сотрудник банка, которому надо все сразу и сейчас.. думаю даже пара лимонов окупиться с лихвой..
для того чтобы поставить накладку нужно либо в банкомат залезть, а у нас на территории они во-первых под камерами, а во вторых доступ на территорию даже инкассаторам согласовывается каждый раз заново по служебным запискам, соответственно это палево.. ибо ФИО и дата со временем фиксируются каждый раз, либо снаружи.. но неужели вы думаете что инженера - технари не обнаружат изменения во внешнем виде банкомата, ли бывшие работники фсб и увд? у нас и такие есть.. и не простые работники, а пенсионеры (начиная от генерала)
так что вариант с накладками отпадает. за ту женщину,что она негде кроме территории предприятия не снимала деньги я могу поручиться собственным здоровьем.. трудно объяснить мою веру в нее но я ей верю.

50-весло и парус > Достаточно посмотреть выписку операций по карте, чтобы указать где могла произойти утечка. Если картой пользовались только на одном банкомате то варианта три - утечка либо через сам банкомат, либо непосредственно из банка, либо (об этом вы не подумали) - из бухгалтерии вашего предприятия.

Если несанкционированные списания шли со вводом ПИН, то ситуация несколько иная.

51-Напас Напасович >в бухгалтерии нет пин кодов.. там уже разобрались..утечка данных из банка.. не думайте что я не соображаю в логике.. я не мент и не следователь но с логикой и анализом дружу... именно снятие денег в Риме с карты моей знакомой, о которой я писал и вывело след на банк..ну а там уже проще было..

52-весло и парус > Неужели все 500 сотрудников получали карты и ПИН лично в банке? Не верю.

53-Напас Напасович >неужели вы думаете что в бухгалтерии вскрывали конверты с пин кодом переписывали а потом опять запечатывали? вы видели конверт с пин кодом? и насколько я помню нам карты и пинкоды выдавали представители банка а не бухгалтерия.. и кстати не 500 карт, а 1350 карт было.

54-весло и парус > Я видел много разных конвертов с ПИН. Но как у вас на предприятии выдавались карты и ПИН не знаю, поэтому и говорю, что вариантов утечки данных много. Банкомат на территории, камера на банкомат направлена - вот тебе и ПИН в записной книжке скучающего охранника.

55-Напас Напасович >а как быть с картой моей жены например она работает у нас же но по другому адресу и на той территории о которой я говорю НИКОГДА денег не снимала.

56-весло и парус > Я не спорю с вами, утечки в банках бывают. Я лишь говорю, что источников утечки очень много и каждый случай требует отдельного рассмотрения.

Ваш пример только лишь подтверждает мою позицию, что безопасность использования пластиковых карт крайне низка. И, что самое плохое, банки об этом знают и ничего не делают. В частности, клиентов о таком изъяне услуги не предупреждают вовсе, а ведь это нарушение прав потребителя.

57-Напас Напасович >да я тоже не пытаюсь вас переубедить в чем-то.. вы задаете ситуацию я описываю реальность.. кстати проблема состоит в том, что на западе все вернут по страховке и найдут мошенника рано или поздно, а Россия не входит в данную конвенцию.. и потому если с визой россиянина что-то случилось за границей им всем наплевать на это...

в штатах это нормально, там покупки по телефону в порядке вещей. у нас встречал ток один раз, при заказе билета по телефону в s7

[quote=Напас Напасович;29398557] В частности, клиентов о таком изъяне услуги не предупреждают[/quote]
Пожалуй все банки, выдают Памятки по использованию карт. Почти все обсуждаемое в них есть. Другой вопрос, а кто их читает? :)

[quote]По информации банка, участники преступной группы незаконно получали дубликаты SIM-карт оператора региональной мобильной связи, с помощью которых похищали средства клиентов через систему «Сбербанк ОнЛ@йн».[/quote]

Подробности [url=http://www.banki.ru/news/lenta/?id=4661919]тут[/url].

61-Квадратный Круг >то есть теперь в утечке денег с карты можно обвинить связистов.. а вот у нас в семье нету интернет банкинга и мобильного банкинга..и всякого другого думаю и среди тех тоже такие люди были.. как же быть с этой несуразицей?

"...Как отмечается в сообщении кредитной организации, в состав преступной группы ИЗ ТРЕХ ЧЕЛОВЕК входили [b]действующий[/b] и [b]бывший[/b] сотрудники банка..."
то есть двое? а третий кто?
и очень странно, что сбербанк собирается выплатить пострадавшим, при этом говоря что виновен оператор связи.с чего такая доброта у банкиров?

[url=http://www.banki.ru/forum/index.php?PAGE_NAME=read&FID=61&TID=164448]Более 5 млн. р. украли со счетов пенсионера в Сбербанке.[/url]

61-Квадратный Круг >твоя схема снятия денег через СМС разбивается при отсутствие подключенного SMS-банка.