Научный форум dxdy

Вот это место я бы не прошёл. Данные карточки у меня есть на сайте банка. А "ОпСоС" только получает переводы, которые я на сайте банка делаю.

"Перепутать номер"? Ничего, проверю. На сайте банка он тоже сохраняется в "шаблонах платежей".

Автоплатежей не подключаю. Держу руку на пульсе.

Спасибо за story.

worm2, Большое Спасибо за историю. Я тоже автоплатежи не подключаю.

Буквально месяц назад у меня была подобная история, сам здесь на форуме хотел рассказать, но поленился, ибо она длинная. Если соберусь, расскажу в несколько приёмов.

worm2
У меня билайн, к моему номеру привязаны номера домочадцев, плашетов и т.п., всего пять и мой шестой. Мои деньги привязанные номера могут потратить только позвонив в Лимпопо (о чем я быстро узнаю т.к. на моем счете в билайне закончатся деньги и произойдет автоплатеж на ок. 1000р.). Моя кредитная карта привязана к моему номеру и только к нему. Есть и недостаток: они не могут ничего платного кроме услуг связи межгорода и международных вызовов, например не могут проголосовать СМСкой за 50р. в передачу Голос (для этого надо положить деньги на счет того номера, с которого будут голосовать, а там обычно ноль).

Вернее даже так. Билайн о моей кредитной карте не знает, т.к. та, о которой знал билайн, уже закончилась, а сейчас билайн шлет в сбербанк месседж что деньги почти закончились, а сбербанк уже делает автоплатеж.

В личном кабинете сохраняется всё, в т.ч. CVV2-код. Т.е. при последующей оплате я просто выбираю эту карту из списка, говорю "платить вот этой картой", и ничего больше у меня не запрашивается, возможно, за исключением кода подтверждения (см. ответ ниже).При этом я вижу только несколько цифр, но не все, и CVV2-кода тем более не вижу. И злоумышленник тоже не может эти данные скопировать и переиспользовать в другом месте. Но использовать сохранённую карту для оплаты в этом личном кабинете (не на всё, что хочет, а на платежи, которые дозволяет личный кабинет, например, на оплату счёта другого абонента) — может, потому что...
...потому что это подтверждение мне не приходит (я тоже думал, что должно приходить!). Видимо, тут та же ситуация, что и при оплате картой через платёжный терминал: если сумма небольшая, то PIN-код вводить не нужно. Так и тут: если сумма не превышает некоторого лимита (15000 р.), то банк с ОпСоСом договариваются для таких сумм не заморачиваться с 3-D Secure кодами.

-- Вс апр 05, 2020 23:15:54 --

wrest, спасибо, вообще не знал о такой возможности! Похоже, тут уже начинаются различия среди различных операторов. У меня МТС, и я такой опции не вижу, нашёл только вариант разделения пакета мобильного интернета на несколько абонентов. Зато увидел вариант автоплатежа в пользу другого абонента со своего счёта, а не с банковской карты, хотя... тем же вариантом может воспользоваться и залогинившийся злоумышленник, защиты тут нет.

Ну вот это оно наверное и есть.
А, погодите -- только интернета? Не минут?

О, всё таки есть, называется "Общий пакет". Это уже похоже на лайфхак для решения подобных проблем, спасибо ещё раз! Правда, берут, за него дополнительную плату, заразы! Как и банк за виртуальную карту, или за страховку карты. В общем, "хочешь нормальную безопасность — плати", по-другому никак не получается.

Яндекс не берёт плату.

Да, в билайне тож так. Причем изначально, когда я подписывался на тариф, было бесплатно, а потом вот добавили. Ну всеравно один тариф и несколько подключенных выходиь дешевле чем несколько тарифов. Мы вот в общем-то, за пределы тарифа (у меня древний "все за 1200") всей семьей и не выходим, т.е. только регулярная плата.

Я тоже позавчера попался. Значит было так: в аэропорту заказал такси "Максим". Таксисты зазывалы что-то подглядели на экране моего телефона и мне пришел звонок от левого таксиста, на который я клюнул.
Сейчас поработаю с данным такси на предмет отображения абсолютно ненужной информации в приложении в момент вызова такси.

Вот тут непонятно хоть убейте. Допустим, он убедил этого ребенка, что он хороший знакомый или даже самый близкий друг. Но как он объяснил, зачем ему понадобилось лезть в личный кабинет другого человека? Допустим, ко мне втерлась в доверие Девушка моей мечты -- допускаю. И тут она говорит: "Мне по зарез нужны твои трусы и твоя зубная щетка". У меня мгновенно возникнет чувство отвращения, которое с запасом перекроет все остальные. Почему у ребенка не возникло чувство отвращения от того, что другой человек (пусть самый близкий друг, да пусть хоть родная мама!) лезет к нему в самый закрытый уровень личного пространства?

Хорошо, что вы с таким не сталкивались. Разумеется, жулик не будет подробно объяснять, куда ему нужен доступ. Ему нужно, чтобы человек выслал номера, присланные на его телефон СМС-кой, а какими словами добиться этого результата — тут простор большой. Главное — хорошее знание психологии людей. Я вот тоже не понимаю, к примеру, как можно цыганке на вокзале все свои ценности отдать. Но ведь отдают же. Конкретно в этом случае был упор на то, что решение надо принимать быстро, вот прямо сейчас, время заканчивается, несколько секунд осталось, не успеем, иначе... (а что там иначе, уже не так важно, важна атмосфера паники). Это мы с вами можем спокойно на такую атаку отреагировать (и то не во всех ситуациях). А человек неискушённый?

ozheredov
Не все знают, что это их личное пространство, даже про щётку. Но да, всё это изменяемо.

О, это кстати вроде и на искушённых сильно давит. Я даже когда знаю, что надо ждать подвоха, начинаю от такого спотыкаться и тормозить, а DDoS это тоже не лучший исход.

Сталкиваюсь примерно 1 раз в 2 недели.



Там же на сколько я понял схема такая (поправьте): вводишь логин-пароль, и на телефон приходит код подтверждения, который надо ввести. Допустим, его заболтали и код из СМС он слил, не осознавая, что он предназначается для доступа к ЛК. Но когда из него выуживали логин-пароль, он же понимал, зачем они? Или можно без пароля, а чисто по коду из СМС?



Иначе ЧТО??? На него же не мчался Камаз, какая могла быть спешка? Тут как раз самое интересное -- как можно заставить человека спешить, если спешить некуда?


Мне казалось, что сильная атака заставляет человека отступить -- бросить трубку, закрыть уши, убежать. А не спокойно диктовать коды и т.п.


Вот, я тоже думаю, что такие ситуации включают торможение или бегство. Чувствуешь что ты не понимаешь логики происходящего -- хочется обрубить все, закрыть все каналы связи и перезагрузить ситуацию, как заглючивший компьютер.

А оно сработало! Видимо, из-за того, что платежи прошли без двухфакторной аутентификации, банк и/или платёжная система сочли возможным их отменить и вернуть мне деньги в полном объёме. Так что ещё один совет: не пренебрегайте претензиями. Получается, зря в полицию обратился (или нет?).

worm2
Поздравляю!

Лично у меня счет к мошенникам примерно 3:3 (самые разные схемы). Все три раза сразу обращалась в полицию, ничего не вернули. Наверное, там меня уже считают городской сумасшедшей.

Первые был ужасно наглые. Сработала система защиты Сбера на подозрительную активность. Тогда они перевели деньги на мою же кредитную карту, а с нее уже не снимешь! Я к тому моменту, естественно, уже сообразила, в чем дело. Заблокировала карту. Так что они успели снять только небольшую часть. Так они позвонили на следующий день со словами: мы вам перевели столько-то тысяч, проверьте! На что я сказала: перевели -- спасибо. Хотите, чтобы я вам их вернула? Обращайтесь в полицию!

Кстати, полицейские этот звонок зафиксировали, я у них спрашивала.