К списку форумов К списку тем
Регистрация    Правила    Главная форума    Поиск   
Имя: Пароль:
Рекомендовать в новости

Обнаружена брешь в системе безопасности карт Сбербанка, позволяющая любому снять деньги с чужой банковской картыСбербанк

0 - 07.01.2013 - 14:18
http://www.paraplan2.ru/viewtopic.php?f=14&t=292


1 - 07.01.2013 - 14:19
Рекомендую вам как можно быстрее заблокирвоать ваши карты. Брешь я обнаружил вчера вечером.
Гость
2 - 07.01.2013 - 17:18
Цитата:
Сообщение от Mozart Посмотреть сообщение
Правда деньги были зачислены на баланс мобильного моего же друга, но сам факт того, что снять деньги с карты Сбербанка без ведома владельца карты оказалось так легко и просто - удивляет.
Ну я бы не сказал что это брешь, брешь это если бы вы эти деньги себе на счет перекинули. А подобное поведение довольно таки стабильно для многих систем, в том же QIWI есть подобная возможность отправить смс и получить сумму на счет мобильника, правда там есть ограничение по сумме (разовой) и количестве транзакций в день.
3 - 07.01.2013 - 17:57
Но я-то пишу про то, что я могу с вашей карты легко перевести на ваш мобильный по 20 тысяч рублей каждый день.
Киви при этом требует подтверждения кодом, полученным из СМС, а Сбербанк - не требует ничего.
С вашей Киви я не могу снять деньги, а свашей Визы Сбербанк - в два счета. Хотите прямо сейчас пару тысяч вам на телефон кину с вашей карты?
4 - 07.01.2013 - 18:01
А Сбербанк на вашу жалобу пришлет отписку через месяц: "Установлено,что вы отправили СМС с вашего телефона. Нарушений в системе безопасности не выявлено". Потом судитесь,что это не вы отправляли СМС в Сбербанк.
5 - 07.01.2013 - 18:08
о какой бреши идет речь - это элементарное удобство, хвала сберкассе

деньги переводятся на мобильный, который владелец счета привязал к своему же счету
привязка выполняется в отделении сбера, через терминал или в банк-клиенте

по сути деньги не меняют владельца и не выходят за пределы его управления

моцарт, пишите песни, а железом пусть занимаются профессионалы :)))
6 - 07.01.2013 - 18:11
Вы не возражаете, если я вам ВСЕ ваши деньги до копейки переведу вам на мобильный с Вашей карты без Вашего ведома? Могу прямо сейчас это сделать. И Вас пригласить чтобы продемонстрировать как ЛЮБОЙ легко это может сотворить с Вашей банковской картой.
7 - 07.01.2013 - 18:14
И при каждой операции, при использовании карты, приходят одноразовые пароли на телефон.
8 - 07.01.2013 - 18:15
Как вы потом назад с телефона на карту деньги возвращать будете?
9 - 07.01.2013 - 18:16
Цитата:
Сообщение от стай Посмотреть сообщение
И при каждой операции, при использовании карты, приходят одноразовые пароли на телефон.
Как раз я и обнаружил, что НЕ ПРИХОДЯТ! Эта операция проводится БЕЗ ПОДТВЕРЖДЕНИЯ!
10 - 07.01.2013 - 18:21
6-Mozart >
хотите закажу вам на дом пиццу?
для этого мне достаточно знать только адрес :)))))))

кому на х в голову взбредет переводить деньги с моего счета на мой же мобильный? что он с этого поимеет?
не смешите народ:)))
11 - 07.01.2013 - 18:24
Цитата:
Сообщение от Роман aka Magician Посмотреть сообщение
я бы не сказал что это брешь, брешь это если бы вы эти деньги себе на счет перекинули.
А еще кроме вашего мобильника я могу направить ваши деньги любому получателю, которому вы ранее платили через Сбербанк Онлайн. Я заметил, что оплата в Краснодаргоргаз первый раз требовала подтверждения, а когда я ее "запомнил" в списке избранных платежей, любые последующие перечисления идут без СМС-запроса. Что скажете, когда все ваши 300 тысяч с карты перечислятся в Краснодаргоргаз, или в Ростелеком, или в качестве оплаты за кабельное/спутниковое телевидение на 50 лет вперед. Как назад требовать свои деньги будете с оператора спутникового телевидения???
12 - 07.01.2013 - 18:27
Цитата:
Сообщение от Boltas Посмотреть сообщение
кому на х в голову взбредет переводить деньги с моего счета на мой же мобильный? что он с этого поимеет? не смешите народ:)))
Например, ваш недоброжелатель, с которым вы ранее вели общее дело, но потом поругались. Он просто знает ваш номер мобильного телефона. Больше ничего знать не нужно.
Вы чувствуете, что теперь можете смотреть кабельное телевидение 50 лет, а потратить свои деньги с карты уже не можете - их на карте уже нет.
Отличный способ мести.
Такая безопасность в Сбербанке никуда не годится.
banned
13 - 07.01.2013 - 18:41
Сказочник. А на спор сможешь в мой Сбербанк-онлайн хотя бы войти зная пароль и логин? Там даже для входа требуется смс-подтверждение или одноразовый пароль, плюс суммы больше 3000р не переводятся без смс-подтверждения.
-
Деньги с телефона снять вообще не проблема - приходите в офис сотового оператора с паспортом и пишете заявление о выдаче вам денег с счета телефона. Как вы думали, все разводы "мама положи мне на этот номер 1000р" - они как обналичивают?
14 - 07.01.2013 - 18:41
легко верну деньги с мобильного счета телефона на личный счет в банке мтс - это первое
второе, у меня есть карта сберкассы и она привязана к моб. номеру +79882400857
попробуйте, только ничего не получится - просто выставил в клиент-банке опцию "запрашивать смс-подтверждение" на любые операции
15 - 07.01.2013 - 18:46
0-Mozart >за Вами уже выехали
16 - 07.01.2013 - 18:47
13-Бехолдер >ээээ.... Скорее всего мамы со своими паспортами приходят. Потому что ТАМ нет ни паспортов, ни банкоматов
17 - 07.01.2013 - 18:48
Цитата:
Сообщение от Бехолдер Посмотреть сообщение
Сказочник. А на спор сможешь в мой Сбербанк-онлайн хотя бы войти зная пароль и логин? Там даже для входа требуется смс-подтверждение или одноразовый пароль, плюс суммы больше 3000р не переводятся без смс-подтверждения.
Нет, в Сбербанк Онлайн войти не могу,и это не требуется, а вот снять с Вашей карты всё подчистую и переложить на Ваш мобильник могу на спор. А разве со счета мобильного без 6% комиссии можно вернуть наличные деньги?

Цитата:
Сообщение от Boltas Посмотреть сообщение
у меня есть карта сберкассы и она привязана к моб. номеру +79882400857 попробуйте, только ничего не получится
Готово. Проверьте счет и сразу отпишитесь.
18 - 07.01.2013 - 18:56
Цитата:
Сообщение от stoper Посмотреть сообщение
за Вами уже выехали
Слава тебе господи. Обратился в сбербанк, разжевал суть уязвимости - не хотят даже вникать.
Обратился на форум банки.ру. Мое письмо посчитали спамом и удалили.
Никто не верит. Поверил друг, после того как я ему продемонстрировал. Он тут же заблокировал карту.
19 - 07.01.2013 - 18:58
17-Mozart >
что готово-то? :)))
у меня нет карты в сберкассе и никогда не было :))))

в общем с рождеством вас! сильно не напивайтесь, скоро рабочие будни начнуться :))))
20 - 07.01.2013 - 19:02
Я предупредил. Дальше как хотите. Пока всем.
21 - 07.01.2013 - 19:03
офф в топик
уже год пользуюсь картой банка "открытие" - удобная привязка к вебмани и янд.деньгам, удобный банк-клиент, все платежи хоть на 1 руб. подтверждаются смс-ками
без комиссии ложу и снимаю в втб-24
не ожидал от мелкого банка, брал только из-за того, что ложить/снимать на вебмани деньги дешево, а уже и не помню когда использовал пластик от других банков, а их штук 10 есть в наличиии
Гость
22 - 07.01.2013 - 20:30
Цитата:
Сообщение от Mozart Посмотреть сообщение
Как вы потом назад с телефона на карту деньги возвращать будете?
приходишь в офис оператора, и берушь деньги налом со счёта
23 - 07.01.2013 - 20:47
Цитата:
Сообщение от ЭлитАльянс2 Посмотреть сообщение
приходишь в офис оператора, и берушь деньги налом со счёта
И что, будешь каждый день ходить и ходить возвращать деньги? Там за выдачу нала со счета мобильного берут около 6%.
Гость
24 - 07.01.2013 - 21:26
мацарт, а с какого сервиса отправляешь смс? а то смотрю, все они платные
Гость
25 - 07.01.2013 - 21:26
Цитата:
Сообщение от Mozart Посмотреть сообщение
Цитата: Сообщение от ЭлитАльянс2 приходишь в офис оператора, и берушь деньги налом со счётаИ что, будешь каждый день ходить и ходить возвращать деньги? Там за выдачу нала со счета мобильного берут около 6%.

не чего не берут.
И не брешь, а бред.
Мне переведи деньги на счёт.
Гость
26 - 07.01.2013 - 23:32
кода его забанят,наконец,а?
Гость
27 - 08.01.2013 - 08:41
Автор, спасибо, что проверили на практике то, что я давно обдумал в теории. Большинство отписавшихся в теме не понимают глубины проблемы. Проблема не со Сбером, проблема со всеми системами, использующими управление чем-либо через СМС без верификации отправителя и/или защитных одноразовых кодов.

Тему разовью на профильных форумах, а тут нет смысла - публика не та.

P.S. Товарищи, большинство банков при подключенном мобильном банкинге и/или смс-оповещении позволяет заблокировать карту через СМС. Это лишь малая часть неприятных для вас последствий.
28 - 08.01.2013 - 09:21
27-Квадратный Круг >
имхо - защита данных в таких системах должна иметь какой-то определенный разумный предел
конечно же можно применить защиту пластика со степенью защиты как в ядерном чемоданчике

но, удобно ли им будет пользоваться?
ес-но, снижение степени и как следствие увеличение комфорта пользования добавляют риск, но он не является критичным
Гость
29 - 08.01.2013 - 09:38
28-Boltas > Общеизвестно, что безопасность обратно пропорциональна удобству использования. Но к озвученной автором проблеме, ровно как и к большинству проблем при использовании пластиковых карт, это не имеет никакого отношения, поскольку устранение этих недостатков не доставит неудобства.
30 - 08.01.2013 - 09:57
29-Квадратный Круг >если уж копать глубже в этом направлении, то сама архитектура сервиса изначально не совсем верна
имхо - если бы она была децентрализована, то соответственно каждый эмитент разрабатывал бы свою методику защиты данных
тогда мошенникам было бы трудно подбирать ключи входа в каждую из них
а так как сейчас - чтобы допустим ни виза не предпринимала, через какое-то время у жуликов найдется решение как это обойти

поэтому лично я не парюсь по таким вопросам, всегда держу деньги на счете, а на карту скидываю по мере необходимости и момент наступления этой необходимости, и на мой взгляд это единственная действенная защита
Гость
31 - 08.01.2013 - 10:19
30-Boltas > Вы не понимаете о чём говорите, обсуждаемый вопрос и сейчас децентрализован - каждый банк сам придумывает свои сервисы дистанционного доступа к счёту и МПС к ним имеют лишь опосредованное отношение. С глобальной точки зрения МПС предпринимают другие шаги для повышения безопасности использования карт (чиповые карты и отказ от магнитной полосы, 3-D Secure, но не все банки внедряют их в полной мере и в безопасном варианте. В плане удобства использования МПС тоже предпринимают шаги - MasterCard PayPass и Visa payWave как пример.

Как именно вы скидываете со счёта на карту? Ваш счёт доступен для систем дистанционного банковского обслуживания? Не видите в этом уязвимости и риска потери всех средств со счёта?
32 - 08.01.2013 - 10:34
31-Квадратный Круг >
я говорю об общих стандартах, а не об отдельных сервисах отдельных банков
общий стандарт - это и есть главная уязвимость
это примерно так же, как более опасно работать из под виндовс, нежели из под линукс
почему? да потому, что виндовс используют 90% всех пользователей
ес-но, массовость всегда под прицелом жуликов

Цитата:
Сообщение от Квадратный Круг Посмотреть сообщение
Как именно вы скидываете со счёта на карту? Ваш счёт доступен для систем дистанционного банковского обслуживания? Не видите в этом уязвимости и риска потери всех средств со счёта?
вижу, но а что прикажете делать? носить наличными в кармане?
воры всегда были, есть и будут
раньше крали из карманов, теперь из терминалов
33 - 08.01.2013 - 10:48
Цитата:
Сообщение от Boltas Посмотреть сообщение
поэтому лично я не парюсь по таким вопросам, всегда держу деньги на счете, а на карту скидываю по мере необходимости и момент наступления этой необходимости, и на мой взгляд это единственная действенная защита
это точно. Только идиот будет держать крупную сумму денег на карточном счете
Гость
34 - 08.01.2013 - 11:00
Цитата:
Сообщение от Boltas Посмотреть сообщение
вижу, но а что прикажете делать? носить наличными в кармане? воры всегда были, есть и будут раньше крали из карманов, теперь из терминалов
Что прикажу? Думать о безопасности ваших средств. Благо, инструментов на рынке хватает.

Цитата:
Сообщение от Gazprom Посмотреть сообщение
это точно. Только идиот будет держать крупную сумму денег на карточном счете
Какая разница какой счёт если к нему есть потенциально небезопасный способ доступа? Хоть карточный, хоть текущий, всё едино в электронном мире.

Банки сами вам никогда не расскажут сколько потенциальных дыр в их системах и не предложат повысить безопасность. Всё на плечах потребителя.
35 - 08.01.2013 - 11:03
Цитата:
Сообщение от Квадратный Круг Посмотреть сообщение
Какая разница какой счёт если к нему есть потенциально небезопасный способ доступа? Хоть карточный, хоть текущий, всё едино в электронном мире.
эээ, обычно карточный счет и текущий есть одно и тоже...
Гость
36 - 08.01.2013 - 11:18
35-Gazprom > Не экайте, а изучайте матчасть. Т.е. читайте ваш договор, какой же именно счёт у вас открыт. Ну и про балансовые статьи можете почитать, 40817, 42301, 42306
37 - 08.01.2013 - 11:24
34-Квадратный Круг >
Цитата:
Сообщение от Квадратный Круг Посмотреть сообщение
Думать о безопасности ваших средств
да, как бы уже придумал
депозит (без карты, но с онлайн банком) отдельно, и карточный счет без онлайн банка отдельно
перевод со счета депо на карточный с одноразовыми паролями и подтверждающими смс-ками
настроил один раз, привык уже и пользуюсь
пока все нормально, хотя номер карты с 3-х значным верификатором засветил уже на доброй сотне различных (надежных и не очень) платежных систем онлайн
может и больше если учесть что некоторые сайты не используют сторонние платежные системы, а переводят деньги сразу в банк - значит их владельцы могут знать все мои, нужные для перевода, данные
Гость
38 - 08.01.2013 - 11:46
Цитата:
Сообщение от Boltas Посмотреть сообщение
депозит (без карты, но с онлайн банком) отдельно, и карточный счет без онлайн банка отдельно
Если не секрет, то хотелось бы услышать название банка. Глянул бы, что их онлайн-банк позволяет делать.

А если прийду в салон оператора связи и перевыпущу вашу СИМкарту, то насколько будет безопасен ваш депозит? Вопрос не праздный, случаев таких полно.
39 - 08.01.2013 - 12:03
38-Квадратный Круг >постоянно пользуюсь двумя: уралсиб (тот, что на хакурате) и банк "открытие"

Цитата:
Сообщение от Квадратный Круг Посмотреть сообщение
А если прийду в салон оператора связи и перевыпущу вашу СИМкарту, то насколько будет безопасен ваш депозит? Вопрос не праздный, случаев таких полно.
согласен, такой вариант возможен, даже более чем
но, остаток на карте у меня всегда не более 10-15 тыс, так на связь, бензин и прочую мелочевку

и второе, телефонный номер я специально зарегистрировал на свое юр. лицо, поэтому чтобы сменить симку одного ксерокса паспорта будет не достаточно, нужно поставить живую печать на бланке в салоне мтс
а если в салоне сменят симку без этих доков - это уже уголовная статья, да и мтс тогда вернет мне весь ущерб через суд


К списку вопросов
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск




Copyright ©, Все права защищены