Jump to content

Угнали учетную запись

Nimius

By Nimius,
in Technical questions

 Share Followers 2

Recommended Posts

AntFX    6,474

AntFX
Posted

 

 

"Защита от дурака", конечно, нужна, и у нас она есть.

Я вроде бы помню, была такая ситуация - звонили, чтобы подтвердить вывод на новый кошелек, не дозвонились (!) и подтвердили, потому что НЕ дозвонились :) Надеюсь, такое больше не практикуется? )

1

Link to post
Share on other sites
  • Replies 104
  • Created
  • Last Reply

Top Posters In This Topic

  • Rihter

    28

  • AntFX

    18

  • ghenghea

    8

  • Djesiks

    6

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Hitronrav

Один раз уже делали такую замену, помнится.   Считаю совершенно недопустимым менять персональные данные клиента всего лишь по заявлению со сканом паспорта. Такой скан может быть в десятке мест у раз

Rihter

Предполагаю, что Вы просто не знаете, как действуют злоумышленники, когда захватывают Личные Кабинеты физлиц и выводят оттуда сотни тысяч рублей в течение нескольких минут. А я знаю, я изучал эту тему

Rihter

Поясню ещё раз, так как многобукв в моем посте выше, небось, никто не осилил.   Усложнения в моём предложении нет вообще. Для всех ВСЁ ОСТАЕТСЯ КАК БЫЛО, им ничего писать не надо. Но кто хочет (при

Petukhov    1,834

Petukhov
Posted

Я вроде бы помню, была такая ситуация - звонили, чтобы подтвердить вывод на новый кошелек, не дозвонились (!) и подтвердили, потому что НЕ дозвонились :) Надеюсь, такое больше не практикуется? )

 

Я вот не помню такого. В любом случае сейчас никто по такой ситуации не звонит - отправляется код на регистрационный номер.

Link to post
Share on other sites

AntFX    6,474

AntFX
Posted

 

 

Я вот не помню такого. В любом случае сейчас никто по такой ситуации не звонит - отправляется код на регистрационный номер.

Это по любому выводу отправляется. А если на новый кошелек вебмани вывод - раньше звонили. И вот там как раз по одному случаю увода денег такая веселая история была, насколько я помню. Может быть, даже лет 5 назад... 

1

Link to post
Share on other sites

Petukhov    1,834

Petukhov
Posted

Это по любому выводу отправляется. А если на новый кошелек вебмани вывод - раньше звонили. И вот там как раз по одному случаю увода денег такая веселая история была, насколько я помню. Может быть, даже лет 5 назад... 

 

Ну сейчас такая ситуация исключена.

Link to post
Share on other sites

Rihter    6,675

Rihter
Posted

 

 

уж сколько защищаются банки, а случаи кражи средств со счетов клиентов все равно имеют место.

 

Это может показаться странным, но у банков дело было в том (по состоянию на начало 2016 г), что банки в некоторых случаях конкретно тупили. Есть одна накатанная схема краж, полностью известная и 1000 раз опубликованная, но банки с непоколебимым упорством эту схему не закрывали. Виной этому скорее всего требования их маркетинга + бюрократичность банков.

 

Эта схема краж и в случае с Альпари действует. Сейчас в Альпари по этому направлению защита дырявее, чем в банках - и не воруют тут у нас только потому, что воры не заинтересовались Альпари - им банки интереснее, там рыба крупнее.

Но использование злоумышленниками этой схемы в Альпари можно в разы или даже на порядок усложнить. Если будет практический интерес у администрации, то расскажу про эту схему и что необременительное можно сделать.

 

 

 

Факультативные ограничения - это, конечно, логично. Подумаем, что можно сделать.

 

Рассмотрите, пожалуйста, и предложенные в данной ветке варианты:

- фото-ID от AntFX (или хотя бы скайп вместо простой пересылки скана паспорта по электронной почте);

- загрузка через ЛК заявления с просьбой принимать документы только через личный визит в офис или же устанавливать блокировку вывода на N суток;

- либо те же ограничения через настройки в самом ЛК - но их ещё делать надо, боюсь это сильно затянется...

Link to post
Share on other sites

AntFX    6,474

AntFX
Posted (edited)

Ну и замену в ЛК всех упоминаний фамилии клиента на первую букву фамилии, как банки делают, тоже рассмотрите. Затраты на реализацию минимальны, неудобств для клиентов никаких, а если злоумышленник проникнет (или подсмотрит) в чужой ЛК, то фамилии владельца не узнает.

Edited by AntFX
  • Thanks 1

1

Link to post
Share on other sites

Rihter    6,675

Rihter
Posted

 

 

Ну и замену в ЛК всех упоминаний фамилии клиента на первую букву фамилии, как банки делают, тоже рассмотрите.

 

Да, это как раз одна из тех мер, которые значительно усложняют использование схемы краж, применяемой злоумышленниками в отношении клиентов банков. Там, как и здесь, ключевой момент в том, что злоумышленнику надо узнать паспортные данные жертвы. Возможность открыто увидеть ФИО в ЛК - это нонсенс. Даже вот так: НОНСЕНС!!!

Напомню, что ФИО в ЛК присутствует в нескольких местах, а не в одном, в том числе вместе с отчеством и полной датой рождения - как раз это и требуется для точной идентификации личности.

  • Thanks 1
Link to post
Share on other sites

Levandovski    32

Levandovski
Posted

Теперь перед тем как поехать в отпуск отдохнуть, мне нужно покупать камеру с микрофоном для скайпа? Бред.

Link to post
Share on other sites

AntFX    6,474

AntFX
Posted (edited)

Теперь перед тем как поехать в отпуск отдохнуть, мне нужно покупать камеру с микрофоном для скайпа? Бред.

Во-первых, Вам ничего сейчас не нужно, это было только предложением.

Во-вторых, Вы собираетесь в отпуске менять емейл для доступа к счету или телефон, привязанный к ЛК у брокера? Может в отпуске лучше вообще отдыхать от активной торговли? Или как минимум такие важные вещи сделать заранее. Или, может быть Вы вообще не вникали в суть написанного? Однако все таки решили высказать свое чрезвычайно важное мнение о его "бредовости"

В третьих, сейчас смартфон со скайпом, камерой и с микрофоном есть практически у всех. Что это за трейдер/инвестор, который даже смартфон себе позволить не может?

Edited by AntFX

1

Link to post
Share on other sites

murrex45    14

murrex45
Posted

 

Эта схема краж и в случае с Альпари действует. 

Если бы эта схема действовала сейчас, то Альпари приняли бы уже меры по защите клиентов.

Link to post
Share on other sites

Hitronrav    4,787

Hitronrav
Posted

Анастасия правильно ответила - изменить рег.данные можно по имейл, НО при изменении отправляется смс на старый телефон и имейл на старый адрес, а выводы блокируются на сутки. То есть, у клиента есть достаточно времени на принятие соответствующих мер.

 

Тогда всё нормально. Мер безопасности достаточно.

Link to post
Share on other sites

AntFX    6,474

AntFX
Posted (edited)

Тогда всё нормально. Мер безопасности достаточно.

Если тебя хаканут, когда ты будешь в отъезде и за 1 день не успеешь отреагировать, то мер будет явно недостаточно :)

На мой взгляд, так ограничений на вывод на счет с ФИО клиента в банке не должно быть никаких, а на вывод на ранее неподтвержденные кошельки ЭПС должны быть более жесткие ограничения.

Edited by AntFX
  • Thanks 2

1

Link to post
Share on other sites

alexx_v    241

alexx_v
Posted

Если тебя хаканут, когда ты будешь в отъезде и за 1 день не успеешь отреагировать, то мер будет явно недостаточно :)

 

Так а как его хакнут-то, если он отъедет на пару с телефоном, на который и отправят код в  СМСке? Или я что пропустил и нужно паниковать начинать?

   

Link to post
Share on other sites

AntFX    6,474

AntFX
Posted

 

 

Или я что пропустил и нужно паниковать начинать?

Паниковать точно не нужно, массовых хаков не ожидается в любом случае. Но безопасность можно улучшить рядом мер без ущемления удобства клиентов.

1

Link to post
Share on other sites

Rihter    6,675

Rihter
Posted

 

 

Так а как его хакнут-то, если он отъедет на пару с телефоном, на который и отправят код в СМСке?

 

Наличие телефона, на который посылают СМС-ки, не спасает вообще ни на грамм, если за хищение денег берутся не школьники, а те, кто это делает уже не в первый раз. Схема известная и накатанная.

Повторюсь, у нас тут пока что попытки хищения крайне редки по той причине, что профессионалы заняты другим - хищениями с банковских счетов (карт), им не до форекс-брокеров. Но ведь Альпари себя позиционируют как крупного брокера, не правда ли? И, вон, полно инвесторских счетов с суммами 500 000 - 1 млн руб.... (На ПАММе Ударницы на днях видел, сейчас все оттуда выводят деньги, часть этих ИС, наверно, уже рассосалась...)

 

Почему не спасает телефон с СМС-ками? Потому что злоумышленники по этой схеме, о которой я говорю, угоняют СИМ-карту с вашим номером. И получают СМС-ки уже они, а не вы. А вы не сразу заметите, что телефон перестал работать. Да и почему он перестал работать?.. Может быть, это неполадки в сети?.. Или телефон сломался?.. Или у СИМ-карты контакт пропал?.. Или сдохла симка?.. Кроме того, как я уже писал, злоумышленники предпочитают это делать в другом часовом поясе, когда вы спите.

Пока вы разберётесь, что причина не в контактах СИМ-карты, они все пароли уже поменяют и заявки на вывод денег сделают, это не вопрос. Злоумышленники делают это сразу, а не ждут, пока жертва очухается и всё заблокирует.

 

Если будет практический интерес администрации, я опишу эти схемы и выскажу предложения, что стоило бы прикрыть (ничего сложного, просто не светить ряд данных и циферок - делается элементарно). Ну а если интереса нет, то и смысла нет тратить силы и время (мне же тоже всё вспоминать и проверять надо, год уже прошёл)...

Link to post
Share on other sites

zzzt    701

zzzt
Posted

 

 

Потому что злоумышленники по этой схеме, о которой я говорю, угоняют СИМ-карту с вашим номером. И получают СМС-ки уже они, а не вы.

Кстати, я не могу предположить как это реализовано, но один из банков, когда я сменил симкарту (с таким же номером, старая сломалась). Прислал мне смску: мол, знаем что симка новая подтвердите смену в контактном центре банка.

Как они там новую симку засекли мне неизвестно, но может Альпари сделать как-то также 

Link to post
Share on other sites

Rihter    6,675

Rihter
Posted

 

 

Как они там новую симку засекли мне неизвестно, но может Альпари сделать как-то также

 

Насколько помню, это была целая бодяга и Центробанк пинал банки и, возможно, сотовых операторов, чтобы они улучшили систему безопасности, так как она была никакая (примерно такая, как сейчас в Альпари). Вот после этого там пошли шевеления, и сотовые операторы стали предоставлять банкам БОЛЬШЕ информации - т.е. помимо номера телефона они стали предоставлять банкам ещё и уникальный номер сим-карты. Соответственно, банки стали видеть момент смены сим-карты.

 

Однако надо иметь в виду, что:

1) для этого нужны специальные договора с сотовыми операторами, и, вероятно, что более дорогое обслуживание, ну или же вообще эти договора доступны только банкам, ХЗ...

2) работало это на тот момент, когда я интересовался этим (год назад), не очень надёжно. То есть, банки всё равно видели уникальный номер сим-карты не всегда, иногда с задержками и т.п. Возможно, это плохо работает в роуминге или ещё по каким-то причинам, ну, либо, может быть, уже наладили - я с тех пор не интересовался.

На практике это выглядело тогда так, что некоторые банки реагировали на смену сим-карты лишь через сутки (а иногда и вовсе не замечали). Но это же смешно - за сутки уже всё выведут :)

 

Но в любом случае для нас это вряд ли актуально, так как Альпари (оффшорная компания) вряд ли будет заключать с сотовыми операторами такие спецдоговора.

Да и вообще, я считаю, что это какое-то дурацкое решение. Вместо того, чтобы применить какое-то принципиально надежное решение, банки всё-равно используют точно то же самое (СМС-ки), но только теперь ещё и номер сим-карты стали узнавать (с запаздыванием) :crazy:

Link to post
Share on other sites

alexx_v    241

alexx_v
Posted

 

 

Почему не спасает телефон с СМС-ками? Потому что злоумышленники по этой схеме, о которой я говорю, угоняют СИМ-карту с вашим номером. И получают СМС-ки уже они, а не вы.

Не совсем понимаю как у меня можно угнать СИМ-ку, не убив меня или не войдя в сговор с оператором связи, а это след - значит нужно убить и сотрудника оператора связи.. 

  • Thanks 1

   

Link to post
Share on other sites

Harnish    548

Harnish
Posted

Не совсем понимаю как у меня можно угнать СИМ-ку, не убив меня или не войдя в сговор с оператором связи, а это след - значит нужно убить и сотрудника оператора связи.. 

В 2013-м году приобрел я сим-карту "Ростелекома", а она оказалась БУ и подключена к Интернет-банку Сбербанка на имя предыдущего хозяина. В течение 6-ти (!) месяцев мне на телефон шли СМС-ки о движении средств по чужой карте. Периодически Сбербанк присылал предложения подключить авто-перевод денег с чужой карты на счет моего телефона (!). Я звонил в поддержку, ходил в отделение банка, писал письменные заявления - ничего не помогало. Потом прекратилось, но до сих пор иногда приходит реклама на имя старого хозяина симки.

Link to post
Share on other sites

Huracan    9

Huracan
Posted (edited)

Угон личного кабинета Альпари дело рук очень подготовленного фишера или же из круга знакомых пострадавшего, больше никак объяснить ситуацию невозможно. 1-причина: Фишинг, пострадавший часто лезет по небезопасным сайтам, где то могло что-то утечь, адрес почты, пароли и т.д к злоумышленнику. 2-причина. Только знакомым могут быть известны то, что пострадавший торгует на форексе, знает адрес почты (что не удивительно, подбор пароля к почте), известен паспортные данные, может даже имеет копию паспорта. 

***Удалено***

Лучше включить двойную авторизацию и больше не париться о защите личного кабинета.

Edited by Djesiks
Link to post
Share on other sites

alexx_v    241

alexx_v
Posted

 

 

В 2013-м году приобрел я сим-карту "Ростелекома", а она оказалась БУ
 

Ваша довольно таки странная история про БУ совершенно не отвечает на мой вопрос, озвученный выше. 

  • Thanks 1

   

Link to post
Share on other sites

Rihter    6,675

Rihter
Posted

 

 

Не совсем понимаю как у меня можно угнать СИМ-ку, не убив меня или не войдя в сговор с оператором связи, а это след - значит нужно убить и сотрудника оператора связи..

 

 

 

Угон личного кабинета Альпари дело рук очень подготовленного фишера или же из круга знакомых пострадавшего, больше никак объяснить ситуацию невозможно.

 

И то, и другое неверно, на самом деле это делается гораздо проще. Если будет какой-то практический интерес администрации, я опишу схемы, как угнать симки, да и не только схемы, а дам ещё и пруфлинки на случаи, где случаи таких угонов подробно описаны (в реальном времени - в стиле триллера, с обращениями в правоохранительные органы и т.п.)

 

Ну а сейчас, без практических перспектив - т.е. без перспективы улучшения защиты со стороны Альпари - публиковать всё это бессмысленно. И дело тут не в секретности этих схем - те, кому это надо (т.е. злоумышленники), знают гораздо больше меня, ведь я пользовался лишь открытыми источниками;

описывать же эти схемы мне не хочется потому, что меня давно уже тошнит как от этой темы безопасности (год назад убил на это кучу времени), так и от пустого сотрясения воздуха на форуме... Так что прошу прощения... будет интерес администрации - описываю схемы угона и методы их блокировки, не будет интереса - извините, тошнит, просто так описывать не буду... :(

  • Thanks 1
  • Downvote 1
Link to post
Share on other sites

alexx_v    241

alexx_v
Posted

 

 

И то, и другое неверно, на самом деле это делается гораздо проще.
 

Если Вас не затруднит сбросьте эти пруфы в личку что ли, мне очень интересно узнать как можно угнать мою контрактную СИМ-ку.

   

Link to post
Share on other sites

zzzt    701

zzzt
Posted

И то, и другое неверно, на самом деле это делается гораздо проще. Если будет какой-то практический интерес администрации, я опишу схемы, как угнать симки, да и не только схемы, а дам ещё и пруфлинки на случаи, где случаи таких угонов подробно описаны (в реальном времени - в стиле триллера, с обращениями в правоохранительные органы и т.п.)

 

Ну а сейчас, без практических перспектив - т.е. без перспективы улучшения защиты со стороны Альпари - публиковать всё это бессмысленно. И дело тут не в секретности этих схем - те, кому это надо (т.е. злоумышленники), знают гораздо больше меня, ведь я пользовался лишь открытыми источниками;

описывать же эти схемы мне не хочется потому, что меня давно уже тошнит как от этой темы безопасности (год назад убил на это кучу времени), так и от пустого сотрясения воздуха на форуме... Так что прошу прощения... будет интерес администрации - описываю схемы угона и методы их блокировки, не будет интереса - извините, тошнит, просто так описывать не буду... :(

Ну вы бы хоть в паре слов описали общую схему. Пошаговых инструкций-то никто не просит, а то вы тут столько уже написали, а теперь вот "устали". Написав о своей усталости больше слов, чем занял бы общий рассказ об этом методе

  • Thanks 3
Link to post
Share on other sites

gradusstar    18

gradusstar
Posted

 Потому что злоумышленники по этой схеме, о которой я говорю, угоняют СИМ-карту с вашим номером. 

Не разу не слышал, чтобы кто-то угонял СИМ-карту с номером сотового телефона. Это нонсенс для МТС.

Link to post
Share on other sites
  • Capman locked this topic
Guest
This topic is now closed to further replies.
 Share
Followers 2
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...