Дыра в безопасности «Сбербанка»: снять деньги с карты можно даже без CVC и SMS-кода

Дело было в годах 17-18
У меня брат двоюродный - постоянно ему рассказываю про мошенников, да и он в интернете сидит не вылезая. Все разводки давно знает.
Тут звонит мне - бля Fen1xz беда у меня у меня всю ЗПшку сняли дай до аванса сотку американскую. Ну я и спрашиваю - "всмысле сняли ??? проштрафился на работе ??? ", а он - "Нет, позвонили со службы безопасности - всю инфу про меня назвали, сказали код назвать - ну я и назвал".
- (я)Четырждеблядская ярость - как можно было так проебланить ???
- (брат) Ну да, я понял что я дурак, теперь то я уже никому рассказывать не буду.

Дело было года 3 назад. Но история показательна тем что даже если человек знает про все схемы, но ему начинают мошенники заливать в уши личную инфу - то человек теряет бдительность и реально думает что это из банка.

К чести сказать, из последних раз 5 общения со "специалистами" я отметил, что ребята на очень высоком уровне шарят в банковском деле.

Ну тут сугубо индивидуальное. Кто-то учиться на чужих ошибках, кто-то на своих, кто-то не учится совсем. Два примера:
1) лично мне весной звонили коллеги Ефремова, представились службой безопасности Центробанка (ага, яжблятьолигарх Греф) и давай мурыжить, как только я кинул им фразу "я вам это не скажу", тут же бросили трубку.
2) коллеге, совсем недавно позвонили, тут уже служба безопасности Сбербанка, парень толковый и троль знатный, говорил с ним почти 20 минут, кончилось всё фразой "я вам ничего не скажу потому что вы мошенники", тоже тут же бросили трубки.

Вот такие пироги. Учитесь на чужих ошибках, это не так больно.

Да согласен, работают там профессионалы. Это как цыгане, профи в психологии и работает с ними только защита "идите нaxyй" с первых слов. Тут должно быть аналогично, только "идите нaxyй" должно срабатывать после фраз типа "назовите...", рефлекс как у собаки Павлова ну или как у BSDMщиков стоп слово

Только так. Только рефлекс на ключевые фразы со слов "назовите".

Это сообщение отредактировал mogolka - 21.10.2020 - 10:45

Да можно с зарплатной карты сразу на счет перекидывать в день зарплаты, а на карте оставлять на ЖКХ и продукты немного.

Овцеёбам банковские карты противопоказаны. Не доросли ещё.

У вас есть лишние денюшки, тогда мы идем к Вам!

У нас есть для Вас замечательное предложение по увеличению доходности Ваших сбережений, 100% гарантия доходности в пять раз выше официальной инфляции, легкий способ обналичивания и в любой срок. От вас требуется лишь указать номер вашей карты, CVV код, срок годности карты и СМС которое придет Вам с номера 900. Ваши деньги будут в надежных руках, гарантированный доход и защита от любых потрясений на мировых валютных рынках

Ты чо, он нашел уязвимость, которая там есть уже лет 30 как и ее никто не "терял"

Иди арбузы катай

Это сообщение отредактировал anikifya - 21.10.2020 - 10:54

Вот, возмущаются все ... а когда им Служба безопасности Сбербанка звонит, кричат - мошенники, зеки из камеры звонят, вечер в хату и прочее. Не понимают, что заботятся о них ...

Шутка, если кто вдруг не понял

У меня было так, что какой то сбой произошел по их вине и списали всю мою зп с карты. Пидорасы эти меня долго мурыжили пока деньги вернули. После этого я сразу обналичил карту и выкинул её нахуй.
Десять лет уже прошло как только налом пользуюсь.

Это сообщение отредактировал Pesec151 - 21.10.2020 - 11:00

Сколько же этих киберостапов развелось?

однажды ночью с карты начали утекать деньги в сторону джум.ком
утром смски увидел
никаких смс с запросами двухступенчатой авторизации, ничего
и я никогда не был (до того утра) на этом джуме, ибо и по ящику своей рекламой помоечной заебали

в сбере пожали плечами - иди нахуй, такого быть не могло, вы стерли смс с запросами а с нас трясёте, а это вапще мошенничество и подсудное дело
идите в полицию заяву пишите, но никаких параметров платежей не дадим
а полиции зачем такая заява?

нет у сбера никакой авторизации платежей, всё это мишура

Сдербанк конченные пидарасы, когда их банкомат по ошибке тебе выдаст деньги, тебя посадят, когда выдаст по ошибке твои деньги кому-то, то это собственно твои проблемы. Еще скупили всяких гавносервисов, будем говорит фильмы крутить, доставку осуществлять, вы блять сначало людям кредиты под меньший процент давать научитесь, а то блять придешь кредит взять и чувствуешь себя говном ущербным, как будто клянчить пришел зарплату.

Последние годы мошенничество с банковскими картами распространяется все шире и становится все изощрённее. Оно и понятно, интернет-торговля и онлайн-оплата отвоевывает рынок налички.

Однако бывают случаи, когда это просто "дыра в системе". Прочитал сейчас историю того, как у одного человека сняли деньги с карты буквально чуть ли не случайным перебором номера карты без CVC и кода подтверждения по SMS.

Итак, история началась с того, что Саркис Антонян в 23:24 по Москве получил 4 смс с номера 900 о покупках в неком BYEACCENT NKR LLC на суммы 177 и 187 USD. Несмотря, что первым сообщением приходил: ОТКАЗ: Срок действия карты истек или указан неверно, второе сообщение приходило со списанием суммы и деньги с баланса реально списались.

Тут же он позвонил в Сбербанк, чтобы отменить операцию. Ну или в крайнем случае, если разу отменить нельзя то оформить чарджбек. После нелегкого общения со службой поддержки Сбербанка, которая утверждала, что "ничего сделать нельзя, это вы сами сделали покупки" пришлось ему попросить соединить его с руководством, которое подтвердило все же, что чарджбек оформить можно. Однако его предупредили, что ответ дадут по нему только через пару недель, а сама процедура возврата может занять до 120 дней и даже больше. К тому же само заявление не означает, что деньги в принципе вернут т. к. решение будет принимать банк на той стороне. На вопрос про статистку, ответил примерно 50 на 50 возвратов и отказов.

Саркис решил провести собственный разбор ситуации. Загуглил информацию о получателе, которая была указана в смс (BYEACCENT NKR LLC). Он совсем не ожидал наткнуться на реальный магазин, т. к. в тот момент на 100% был убежден, что это некий мошеннический ресурс для вывода денег. Скорее хотел найти истории таких же бедолаг, чтобы найти подсказки и понять каким же образом все-таки мошенники завладели моими банковскими данными. Но гугл сразу же выдал реальный сайт.

Пообщавшись с владельцем сайта оказалось, что деньги готовы вернуть, сославшись на некое "недоразумение". Но сам диалог, ему показался немного странным. Сложилось ощущение, что они что-то не договаривают и они точно знаю человека, который расплачивался моей картой, а вероятнее всего это даже их сотрудник. Поэтому Саркис решил немного их припугнуть, чтобы узнать больше деталей и как оказалось не зря.

Выяснилось, что им написал некий "программист", который якобы нашел уязвимости на сайте. А именно, что можно ввести любые выдуманные данные банковской карты и получить доступ к курсам на сайте. В тот момент, этот чувак еще не понимал, что у кого-то деньги реально списываются, а думал, что сайт пропускает без оплаты.

Из всех данных, что ввел этот товарищ при оплате, реальным был только номер банковской карты! Срок действия и CVC не совпадали с моими. Однако Сбербанк спокойно дважды пропустил такую транзакцию. Удивительно, да?

Внимание! Достаточно просто знать номер чужой банковской карты и можно спокойно расплачиваться ей в магазинах, если там подключен Stripe.

Да, насколько знаю, в России платежная система Stripe запрещена, но ведь никто не запрещает расплачиваться российским картами на зарубежных сайтах! По сути злоумышленникам, достаточно зарегистрировать LLC в США, создать фейковый интернет магазин, подключить Stripe и дальше просто списывать деньги с чужих карт, через покупки в нем.

Думаю, не нужно объяснять насколько легко в России получить номер банковской карты. Он повсеместно используется для переводов. Достаточно пройтись по блогерам в инсте, админам телеграм каналов или даже объявлениям Авито и каждый второй скинет для оплаты номер своей карты. Да сейчас есть СБП, но даже при его наличии, отправлять номер телефона малознакомому человеку мало кто хочет, а вот с номером карты ничего плохого вроде и не сделать.

Именно так я и думал, до всей этой истории.

Вывод должен быть таким: для любых платежей или приема средств на карту от кого-то создавайте виртуальную карту, которая будет пополнятся под необходимые траты, а все остальное время быть пустой.

via

погодите, а разве на амазоне не достаточно знать номер карты и имя, там тоже cvv не нужен

Это сообщение отредактировал gelezo131 - 21.10.2020 - 12:20

сбер это и есть одна большая дыра, особенно в бюджете

Виртуальная карта подключена, а армянам не везет последнее время.

пока ты лазил на сосну, у тебя барсук лопатник с налом из землянки утащил

Так ТС, а при чем тут Сбер? Этому все карты подвержены тогда.

https://www.saybyeaccent.com/offers/HHwonb2b/checkout

Дай руку пожать!
Удивляют посетители, которые купив шоколадку за 20 рублей расплачиваются картой. А государство им за это кричит.

кто-то верит в эту херню?

Ну, справедливости ради в транзакции участвуют трое банк-эквайер, МПС и банк-ишшьюер.
То есть окончательное одобрение дает не МПС, а Сбер.

Я так понимаю что интернет магазинами вы не пользуетесь?
Пользуетесь? А как оплачиваете? Почтой России?

Это сообщение отредактировал зудука - 21.10.2020 - 14:19

На эшелон опоздал Пробки!