Небезопасные банки

57

94f70d3d82944870bd9f668e97078c61Мошенники, когда звонят доверчивым владельцам карт и представляются службой безопасности банка, заинтересованным покупателем, сотрудником госорганов или ещё кем-то важным, наверняка выбирают себе жертв, не тратя времени на тех клиентов, у кого мало средств на счету. Оказывается, узнать баланс чужой карты очень просто.
Вся информация предоставлена исключительно в ознакомительных целях.
Как узнать чужой баланс? Для этого нужно знать только номер карты – 16 цифр (иногда меньше) – и дату рождения. Зная номер карты (или его часть, дальше детальнее) и дату рождения владельца, достаточно позвонить с любого телефона на горячую линию банка и в меню IVR выбрать пункт вида «проверка баланса карты в автоматическом режиме».
Одно дело, когда баланс озвучивается владельцу карты, звонящему в банк со своего телефона.

Но проблема, которую я хочу донести, заключается в том, что банки для удобства клиентов предоставляют такую возможность даже с непривязанных, не принадлежащих данному клиенту, телефонов.

Я проанализировал ТОП-10 банков Украины по количеству активных пластиковых карт на возможность получения баланса карты при звонке с незарегистрированного (нефинансового) номера телефона. Уверен, и в России ситуация аналогичная.
Как видим, больше всего клиентов, чей баланс карты так просто узнать – у Ощадбанка – 5,41 миллиона активных платёжных карт (до конца марта 2017-го. На данный момент с незарегистрированного телефона это невозможно. Статья могла быть опубликована много месяцев назад и называться «Как узнать баланс чужой карты Ощадбанка» – я ждал, пока банк исправит ситуацию).

И клиенты именно этого банка страдают (страдали) от недостаточной финансовой грамотности вкупе с социальной инженерией – ведь именно в Ощадбанке среди держателей карт больше всего, по сравнению с другими банками, пенсионеров, переселенцев, а также тех, кто получает социальные выплаты…

Приведу комментарии пользователей Хабрахабра из других постов, к чему может привести ситуация, когда ваш баланс известен третьему лицу.
К примеру, из статьи «Tinkoff скомпрометировал данные о балансе карт своих клиентов»:

На самом деле это ж для мошенников раздолье. «Мы вам звоним из техподдержки банка, на вашем счету сейчас N руб. Но для *придумать действия* нам еще нужны дата действия карты и код с обратной стороны».
Комментарий к моей предыдущей статье «Уязвимость в Альфа-Банк Украина: получение ФИО клиента по номеру телефона»:

Можно позвонить этому абоненту, назвать его по имени-отчеству, представиться работником банка и убедить совершить какие-либо действия с картой или счетом. Социальная инженерия, google://Кевин_Митник
Помимо мошенников, ваш баланс могут узнать любопытные коллеги. Или подчинённые могут узнать зарплату своего начальника, проверив баланс его карты в день поступления средств. Примеров, кому может понадобиться узнать сумму средств на чужой карте, много. В любом случае, это конфиденциальная информация, и её нельзя так просто разглашать.

В меню IVR многих банков доступны и другие операции, которые можно совершить в автоматическом режиме. В рамках этого материала они не учитывались. Также я не рассматривал возможность проверки баланса и совершения других действий при звонке с принадлежащего клиенту номера телефона – при наличии чужого телефона возможно совершить действия и пострашнее. Берегите свой телефон.

Видимо банкам – нужно сделать так, чтобы проверку баланса и другие действия в IVR с того номера телефона, который не принадлежит клиенту, было произвести невозможно.

Так делают крупнейшие ПриватБанк/А-Банк и сделал Ощадбанк, спустя много месяцев после моего обращения. Или хотя бы усложнить процедуру – чтобы вместо даты рождения нужно было указывать номер паспорта или ИНН.

111
К примеру, из статьи «Tinkoff скомпрометировал данные о балансе карт своих клиентов»:

На самом деле это ж для мошенников раздолье. «Мы вам звоним из техподдержки банка, на вашем счету сейчас N руб. Но для *придумать действия* нам еще нужны дата действия карты и код с обратной стороны».
Комментарий к моей предыдущей статье «Уязвимость в Альфа-Банк Украина: получение ФИО клиента по номеру телефона»:

Можно позвонить этому абоненту, назвать его по имени-отчеству, представиться работником банка и убедить совершить какие-либо действия с картой или счетом. Социальная инженерия, google://Кевин_Митник
Помимо мошенников, ваш баланс могут узнать любопытные коллеги. Или подчинённые могут узнать зарплату своего начальника, проверив баланс его карты в день поступления средств. Примеров, кому может понадобиться узнать сумму средств на чужой карте, много. В любом случае, это конфиденциальная информация, и её нельзя так просто разглашать.

В меню IVR многих банков доступны и другие операции, которые можно совершить в автоматическом режиме. В рамках этого материала они не учитывались. Также я не рассматривал возможность проверки баланса и совершения других действий при звонке с принадлежащего клиенту номера телефона – при наличии чужого телефона возможно совершить действия и пострашнее. Берегите свой телефон.

Видимо банкам – нужно сделать так, чтобы проверку баланса и другие действия в IVR с того номера телефона, который не принадлежит клиенту, было произвести невозможно.

Так делают крупнейшие ПриватБанк/А-Банк и сделал Ощадбанк, спустя много месяцев после моего обращения. Или хотя бы усложнить процедуру – чтобы вместо даты рождения нужно было указывать номер паспорта или ИНН.

По материалам: cripo.com.ua