В Сбербанке нашлось 20-30 тысяч жертв Android-вируса

«Мобильный банк» — зло, поскольку он уничтожает двухфакторную авторизацию просто на корню.
К сожалению, отключить его полностью невозможно, если вы хотите получать sms-уведомления. Почему так сделано — загадка.

В прошлой теме я вроде кому-то отвечал, что надо отключать «Быстрый платёж» (0 на номер 900). Этого более-менее достаточно, тем более, что назад включается через СБОЛ.
Вот почему он включён по умолчанию — вопрос гораздо лучше. Говорят, что ИБ Сбера предлагала отключение, но маркетинг/коммерсы продавили оставить по умолчанию включённый, у них какие-то KPI и конверсии падают. Кажется в Телеком-Бардаке проскакивала инормация.

Да, спасибо вам, кстати, большое за подсказку, но это все равно не все.

А что остаётся незакрытым?
Интересно, но нет под рукой карточек Сбера, чтобы проверить.

Вообще какие-то банки тестируют доставку уведомлений о списаниях через push-уведомления, насколько я знаю. Но тут будут свои косяки, конечно. Зато можно будет отказаться от SMS :)

если удалить или остановить приложение, то push не дойдет.
вероятность доставки смс, я считаю намного выше.
это банкам жалко 30 коп на смс стало, хотя этот расход покрывается за счет клиентов.

Не, кому-то же хочется странного, а тут модно-стильно-моложёжно

Если я правильно читаю сбербанковские описания, то остается возможность платить по шаблонам и пополнять счет привязанного телефона. Впрочем, могу ошибаться — не проверял.

Пополнение телефона как раз должно отключаться в этом случае.

Я вот отключал быстрый платеж.
Но что-то он не отключился, 100 на 900 — так и пополняет телефон.

Насколько я понимаю, отключение быстрого платежа отключает пополнение произвольных телефонов; пополнение основного номера, привязанного к мобильному банку остается.

На свой номер платежи всё-таки не отключаются? Я когда год или полтора назад пробовал, вроде бы всё переставало пополняться.
Тогда это и правда печаль, и ничего не меняет в целом. Разве что деньги в фродовой схеме мошенникам придётся дополнительно гонять через оператора.

Я так, аккуратно скажу: мне кажется, что у меня тогда не получилось.
Может быть нужно дойти до банка и попросить действительно отключить :), я отключал в интернет-банке естественно.

Внимание! в комментарии happywalrus содержится недостоверная информация:
отправка 0 на номер 900 вообще ничего не отключает, т.к. такой команды нет

правильно отправлять слово НОЛЬ на номер 900, но и этого не достаточно, т.к. это НЕ отключает возможность пополнения номера, привязанного к мобильному банку

подробнее об этой проблеме читайте здесь: http://www.banki.ru/blog/KiraSoft/5484.php

Внимательный вы наш! Порой не всё так однозначно: http://uploads.ru/uEg4r.png

Да и про пополнение привязанного номера уже прокомментировали.
К слову, проверка IMSI у Сбербанка есть, только работает медленно и херово.

А, кстати, для разжигания: проверка IMSI через сервис агрегатора может давать false positive в ряде случаев. Один зелёный оператор с одним средней руки банком огребли уже за это разок от параноидального абонента.

> http://www.banki.ru/blog/KiraSoft/5484.php

404

Несуществующие команды, несуществующие ссылки — сплошной заговор.

>Внимательный вы наш! Порой не всё так однозначно: >http://uploads.ru/uEg4r.png

ну а теперь попробуй пополнить свой номер, отправив, например, 200 на номер 900

> http://www.banki.ru/blog/KiraSoft/5484.php
все работает, даже из сообщения Crio

Вообще я говорил не про 200, а про НОЛЬ против 0. А так да, нашёл, проверил, даже при отключенном быстром платеже и правда работает пополнение своего счёта. Мы это как раз уже выше выяснили :)

Однако и тут есть хорошая сторона, есть лимиты на пополнение в сутки, плюс операторский антифрод может тормознуть часть денег и аккумуляторы. Вывод через операторский канал немного рискованней.

Ладно, давайте дальше разжигать о том, как плохо синхронизированы сервисы Сбера:
у меня все карты там закрыты, однако же вот.
> Список подключенных карт:
> VISA7167(OFF);VISA2158(NEOPLATA);
Одной карты нет два месяца, другой больше полугода.

да нет никакого антифрода в Сбербанке, об этом говорит многолетняя статистика, собираемая мной на сайте Банки.ру
даже подбор срока действия карты, когда мошенники только номер карты знают, остановить не могут

а не типовое поведение пользователя и как раз типичное для мошенников: смена сим-карты, восстановление пароля в Сберонлайн, закрытие вкладов, перевод с кредитной карты, суммы в сотни тысяч и все буквально в течении десятков минут
вот примеры: http://www.banki.ru/blog/KiraSoft/5278.php
а 42 перевода с карты на карту (со Сбербанка на Кукурузу) — это что типичное поведение: http://www.banki.ru/services/responses/bank/response/7716545/ ?

все у Сбербанка на аутсорсинге: банкоматы обслуживает одна фирма, КЦ другая, процессинг пишет третья и т.д. и у каждого свои задачи, безопасность и клиент банка там на последнем месте

Мы опять про разное: я не про антифрод Сбербанка, а про операторский.
При выводе без участия опсоса задействуется только банк/банки/платёжные системы. Если оставить только пополнение своего счёта через быстрый платёж, сразу появляется лимит то ли 9, то ли 15 тысяч в сутки — уже и не помню. Плюс надо вывести на счёт телефона, а оттуда уже на другие счета. Здесь появляется некая дополнительная проблема в лице оператора.

Вообще, не защищая Сбербанк и их антифрод, он у них есть. Как минимум есть. И что-то всё же делает. Возможно, делает далеко не идеально, но всё же. В этом плане банки старого поколения отстают от QIWI, Тинькова и прочих, потому что те изначально пришли на современную модель и построили хорошие правила в том числе, а старые постепенно переползают и адаптируются к реалиям.

Я долго думал, расчехляться или нет, но раз уж гадим на голову Сбербанку, у меня с ними есть и личные счёты тоже: http://www.banki.ru/services/responses/bank/response/7627787/

>http://www.banki.ru/services/responses/bank/response/7627787/
единичный случай, больше таких случаев незамеченно, чтобы все случилось без бездействий/действий пользователя, а исключительно по воле 3-х лиц

в этой истории одна странность — зачем группе имеющий доступ к 3D Secure кодам, присылать фальшивое СМС о блокировке карты, они же и так «как бы» имеют номер карты и доступ к кодам?

лично мое мнение, что вместо теории заговора, против простого пользователя на 40 т.р. («группа по всей вероятности имеет доступ к комбинации данных карты и подключенному к счету номеру телефона, а также тексту SMS-сообщений, отправляемых абоненту банком.»)
мама просто не смогла рассказать правду «сотруднику подразделения информационной безопасности крупного банка», о том как сама скомпрометировала код или что-то подобное, о чем недоговаривает или не подозревает эти действия компрометацией

была бы группа — была бы уже куча отзывов, иногда диву даешься как люди все сами компрометируют: http://www.banki.ru/blog/KiraSoft/6382.php (два случая по 70 000 каждый, а сколько еще постеснялось написать?)

что там под буквами XYZ скрывается в отзыве и зачем самое интересное было скрывать?
да, я прочитал, что в детализации нет смс и звонков, что был инструктаж, но позвонить можно и с другого телефона и т.п.

> зачем группе имеющий доступ к 3D Secure кодам, присылать фальшивое СМС о блокировке карты, они же и так «как бы» имеют номер карты и доступ к кодам?
Это банально дороже. Когда встретилась продажа SMS-кода, предлагающие хотели половину выводимой суммы.

> единичный случай, больше таких случаев незамеченно
К сожалению нет, по сарафанному радио рассказали о ещё нескольких случаях. Собственно я там в отзыве написал, что предполагаю такой сценарий по той причине, что встречал услугу продажи OTP.

Я не спорю, могла не рассказать, но пытки у нас запрещены законодательством, и приходиться верить на слово. Впрочем, тогда и придёт ответственность за дачу ложных показаний, потому как дело висит …

> что там под буквами XYZ скрывается в отзыве?
Что card2card идёт через сервис одного из банков. Не хотелось бы его озвучивать, это могло бы им навредить. Например потому, что они не смогли сказать внешний IP, с которого производился перевод, он у них логируется некорректно, судя по всему.
Собственно ради этого скрыты и остальные детали, чтобы в том числе не подставить некоторых коллег, предоставивших информацию для расследования.

еще про сбербанк и мобильный банк
http://pravo.ru/news/view/118059/