Pull to refresh

Comments 40

Автоматизация в квартплатных сервисах там же позволяет тоже узнать и задолженности, и часто фамилию, и показания счетчика и много чего еще…

Вот только никаких настроек «отключить нафиг мобильный банк, отключить нафиг поиск по номеру телефона» и т.д. нету, что и бесит :(
Ну согласитесь, что банковский счет — это все же интереснее, чем задолженность по квартплате, или показания счетчиков.
Последние 4 цифры номера карты — не банковский счет
Я понимаю. Речь о факте наличия счета у абонента, и знании последних цифр его карты. Уже достаточно, чтобы задумать зловещее преступление на крыше.
Интересно, как Вы расплачиваетесь карточкой в магазине? Ведь там продавец может легко узнать все 16 (18) цифр номера вашей карточки.
Не знаю, как автор расплачивается, но я уже год по возможности оплачиваю покупки картой PayPass. Карту в руки продавцу не передаю. Для параноиков, типа меня, — это самое то.
Таки они иногда узнают, записывают, и даже кардят.
По уровню безопасности кредитки это адский ад.
«Здравствуйте, <И> <О>, я из домоуправления, у вас на счетчике Y показания подозрительные (Z), нужно проверить счетчик и переопломбировать»
отключить нафиг поиск по номеру телефона

Настройки -> Безопасность и доступы -> Настройка приватности -> Не отображать меня как клиента Сбербанк в чужих адресных книгах.
Может, оно?
По-моему не то. Мне кажется они там решили устроить свой ВКонтакте с очередями и пенсионерками.
Увы, но нет. У меня эта галка стоит уже давно, вчера знакомый проверил — И.О. отображается
какой-то вечер капитанства в ИБ на хабре
Такая «фишка» много где работает, не только в Сбере. Можно еще по электронной почте.
В журнале «Хакер» в прошлом году (вроде) описывали.
Буквально неделю назад спалил это, но не считаю нужным выделять для этого отдельный пост на Хабре
И да, нормальному человеку эта информация только в помощь. Вы точно уверены что вы не ошиблись и деньги уйдут вашему другу Ивану Ивановичу, а не злобной соседке Кларе Захаровне.

Минус в том что эта информация может (и будет) использоваться нашими любимыми заключенными. Хорошо что они до подстановки АОНов (да, я знаю что оно не так зовётся) пока не дошли
вы имели ввиду caller id?
Вы еще перед окнами колонии повесьте баннер 3х6
а с каких пор у нас хабр профильный ресурс для зеков, а caller id может подставить кто угодно?
Я не видел охраны на входе на эту вечеринку.
Я могу подставить, значит и кто угодно может.
скорее Анти Определитель Номера
По мне, так это самая классная фича. Можно быть уверенным в получателе денег — не страшно сделать ошибку в номере карты.
В пробизнесбанке при переводе по номеру телефона необходимо указать еще и часть ФИО.
У нас вообще-то в ходу до сих пор телефонные справочники, с фамилиями и адресом, кстати. И фигурирует в них в основном люди пожилого возраста, которые наиболее подвержены методам «отъема денег». И счета у них в банках скорее всего есть, многие пенсию на карточки получают.

Ну и что что узнают по номеру телефона имя отчество?
У меня возможно как и у многих, когда звонят и обращаются по имени отчеству с незнакомых номеров сразу в мозгу включаются все режимы безопасности которые только есть :)
Клёвая фича на самом деле. Мне как-то пару раз даже платили за то, что я по номеру карты узнавал имя, отчество и первую букву фамилии. Просто у меня был Сбербанк-онлайн, а у просящего нет :).
Можно подсказать более крутой способ хакинга: пишем парсер с любого сайта онлайн объявлений, который будет выдергивать имя/отчество + номер телефона и получаем те же данные быстрее и надежнее. Либо тупо находим официальные или не официальные телефонные справочники.

От последних 4 цифр карты толку не будет, а имя+отчество+телефон можно получить кучей других (более удобных) способов, да и карты Сбера чуть ли не у половины всего населения.
На самом деле проблема серьезная. Почитайте в интернете сколько пользователей ведутся на фишинг-sms типа «Ваша карта заблокирована! Для свяжитесь с сотрудником банка по телефону 8902.....». А теперь представьте на сколько увеличится процент удачного фишинга, если в сообщении будет текст вида: «Добрый день, Василий Альбертович! Ваша карта ***9999 заблокирована. Позвоните по телефону.....». Ну либо подобные схемы…
Проблема в том что для этого надо иметь «СбербанкОнлайн», и так реализовывать парсинг тысяч телефонов (что не факт что получится в нормальных сервисах всегда стоит защита от ботов). А так как «СбербанкОнлайн» напрямую привязан к паспорту, то это очень палевно, после такого фишинг к вам придут очень быстро.
У меня нет СбербанкОнлайн (не являюсь клиентом Сбера), но, насколько я понял из статьи, до смс-подтверждения дело не доходит. Так что парсить можно на ура.
Идем на сайт онлайн-банка Сбербанка: online.sberbank.ru. Логинимся в свой аккаунт.

1) Кто мешает Сбербанку блокировать тех клиентов, кто начнет злоупотреблять этой функцией? Иметь тысячи логинов-то не получится (каждая карточка регистрируется на только собственные паспортные данные), то есть типовые методы парсинга из-под тысяч прокси и фейковых ip адресов тут не сработают и банальная защита под кол-ву запросов тут сразу отрубит такого клиента.

2) Кто мешает при жалобах поднять историю онлайн-банка Сбербанка и отправить маски-шоу к конкретному клиенту, который парсил из-под логина с собственными паспортными данными?

То есть можно представить что сначала взломают сотни чужих онлайн-банков и под них напишут парсер, потом использующийся для фишинга, но больно это муторно получается.
Спасибо за коммент. Согласен с Вами, я заблуждался.
Иметь тысячи логинов-то не получится

У моего знакомого два логина в сбере :) Он даже ходил разбирался, просил объединить — ничем не помогли. Т.е. он раньше открывал вклад и получал карту на старый паспорт, а когда заказывал новую карту, они не искали по старым паспортным данным видимо, а создали новую учетку
Не спорю, можно завести несколько логинов, можно даже пару десятков, но сотни и тысячи? Не говоря уже о том насколько подозрительно одному человеку иметь сотни сбербанковских карточек на одно имя. Налоговая приедет раньше. :)
Ломать сотни онлайн банков не получится, чтоб зайти с браузера надо sms подтверждение однако
Однако не надо. Точнее — это включается в настройках.
Согласие получателя на раскрытие его данных по номеру телефона, естественно, никто не спрашивал.


С чего вы это решили? Получатель такой же клиент банка, как и отправитель и согласие с него на использование ПД было получено при начале обслуживания. И в этом случае, я не думаю, что «раскрытие» как термин подходит к ситуации. ПД получателя используются банком для исполнения своих обязательств перед этим самым получателем.
ФИО — и так являются общедостуными ПД, а в данном случае, фамилия как таковая отсутствует.
Конечно, связка ИО + номер телефона, с последними цифрами номера карты позволяет идентифицировать некоего клиента банка, но «субъекта ПД» по этим данным определить сложно.
КМК, с точки зрения закона — все в рамках.
PayPal по адресу электронной почты полные инициалы выдает.
Очень удобно, недавно, чуть получателя не перепутал.
И еще много кто. Всегда где удобно, менее безопасно.
Кстати, наберите в гугле/яндексе что-нибудь вроде «владимир александрович телефон», они вам выдадут по полмиллиона результатов, нужно только их распарсить и выделить мобильные телефоны. И так для любых распространенных пар имени/отчества.
Нам как то делали зарплатные карты сбера, и чтобы не подключали никаких смс услуг я не стал указывать мобильный телефон в договоре. И что вы думаете, сотрудники сбера вбили какой-то дефолтный номер на который приходили смс о моей ЗП. Об этом я узнал через годы, когда перестал получать на карту зарплату. Мрошло уже много лет, а с меня по прежнему пытаются списать деньги за ту незаконно подключенную услугу.
Вобще ведь, для проверки идентичности в кол-центрах порой требуют как раз последние 4 цифры номера карты… Не в Сбере, но в некоторых онлайн-сервисах точно.
Sign up to leave a comment.

Articles