Страницы

вторник, 16 февраля 2016 г.

Смс, Сбербанк и ...

Какое-то время назад в парке Сокольники у одной знакомой отобрали телефон. Грабителям это удалось, потому что она была без собаки :-)

А ещё через какое-то время с её карты Сберегательного банка РФ сняли деньги.

По долгу службы я занимался разработкой системы sms-оповещения при совершении операций через интернет, т.е. тема эта мне близка, как никому, наверное.

Я не поверил. Не поверил до возмущения: как может банк государственного значения, многими считающийся самым надёжным, допустить такую глупость?

Не поверил, и решил проверить.

Набрал sms на номер 900 с текстом "справка".

В ответ приходит список моих дальнейших действий: я могу получить последние 4 цифры привязанной к номеру карты СБ, могу отправлять переводы и совершать платежи.

Я набрал 3 - переводы.

Потом туда же, на номер 900, в соответствии с полученной инструкцией отправил "ПЕРЕВОД <номер телефона НАСТИ, который тоже привязан к её карте СБ РФ> 10" - решив, что десяти рублей для теста вполне достаточно.

Мне пришла sms с разовым паролем. Я его отправил, куда просили, и перевод совершился!

Мне не нужен был для совершения этой операции ни логин и пароль для входа в Сбербанк on-line, ни интернет, ни ПИН-код моей карты, ни волшебное слово, ни что-то ещё.

Т.е., попавший в руки злоумышленников мой телефон, становится средством платежа с моей карты. Знать при этом ничего не нужно!!! Даже при покупке сникерса в гастрономе при оплате картой я должен ввести ПИН. А тут - НИЧЕГО!!!!

Как отреагировала милиция на заявление той девушки? Объяснила: много вас тут... ходит по Сокольникам... ставьте пароль на вход в телефон - это даст вам больше времени - шанс успеть заблокировать карту...

Интересно, они запросили у оператора связи информацию о последних звонках и sms? Они отработали номера, полученные из этого отчёта? Приобретение SIM положено оформлять на паспорт, если, конечно это не левая SIM была у сообщника, которую тут же выбросили, и больше она никогда и нигде не засветится... Но, ведь, к этой SIM должна была быть привязана карта Сбера, при оформлении которой тоже нужен паспорт? Даже, если злоумышленники воспользовались возможностью перевода куда-то ещё, этот путь тоже можно при желании отследить...

Я подозреваю, что у Сбербанка существуют ограничения по сумме на совершение подобных операций посредством sms. Хорошо, если это так. И скорее всего, нельзя снять таким способом несколько раз подряд в течение суток по 1000р. Я надеюсь, что такое ограничение тоже есть. Очень надеюсь. И именно поэтому, наверное, милиция и неохотно занимается такими мелочами...

А мне лично даже 1000р потерять в современной ситуации было бы очень жалко.

Ставлю пароль на вход в телефон...



Поставил... Подключаю к компьютеру через USB... Оп-паньки! - Вот и все телефонные потроха на мониторе... Так, что, если злоумышленники ещё и продвинутые хакеры... не спасёт пароль-то...



Комментариев нет:

Отправить комментарий

Пожалуйста, оставьте Ваш комментарий

Примечание. Отправлять комментарии могут только участники этого блога.