Уязвимость для клиентов Приватбанка

07 марта, 2013 | Автор: El

Вчера моя знакомая чуть не лишилась всех денег с карточки попавшись на мошеннический развод, который реализуется благодаря стараниям приватбанка, а именно услуги банкоматов «Операции без карты»

 

В общем ей позвонили с засекреченного номера и представились сотрудниками службы безопасности Приватбанка. Объяснили что они проводят усиление безопасности, и им нужно сообщить пин код карточки, а затем они заменят пин код на новый.

По неосторожности она сказала им свой пин, а затем ей действительно пришла смска с номере 10060 (это номер с которого приходят все SMS от приватбанка) в которой был якобы новый пин код.

На самом деле смска содержала временный пин для доступа к банкомату по услуге «Операции без карты».

Она сказала им и этот номер, но только потому что на студенческой карточке было полторы гривны, злоумышленникам не удалось поживиться.

Конечно сообщать пин код и код из смс было ошибкой, но меня возмутило то что Приват банк ничуть не смущает эта уязвимость.

Мы решили связаться с техподдержкой через Приват24:

  • Здравствуйте. Мне вчера звонили со скрытого номера и представились сотрудниками службы безопасности приватбанка, я им сообщила пин код. Это действительно были ваши сотрудники.
  • Михаил: Простите, пожалуйста, за ожидание! сотрудники ПриватБанка не звонят со скрытых номеров, Пин код никому не нужно сообщать
  • что мне теперь нужно сделать чтобы востановить безопасность моих карт
  • Михаил: Рекомендую Вам сменить пин код по Вашей карте , или заблокировать и перевыпустить карту
  • можно ли сменить пин код через Приват 24 или банкомат?
  • Михаил: Для смены и доставки ПИН-кода необходимо отправить смс на номер 10060 с текстом PIN+**** где **** - последние 4 цифры номера карты. Либо Вы можете сменить пин код в любом удобном отделении без ограничений, оплата смс по тарифам оператора
  • а откуда злоумышленники узнали мой номер телефона?
  • Михаил: Если Вы хотите сообщить нам о мошенничестве или злоупотреблениях, то заполните, пожалуйста, данную форму. по ссылке https://spreadsheets.google.com/viewform?formkey=dHJqT2tmMjhWX0x0WW9oRnJTMDF2LXc6MQ В случае, если у Вас возникала проблема с отправкой сообщения при помощи данной формы, Вы можете отправить письмо по адресу Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript , позвонить по телефону +38 (056) 716 52 52 (круглосуточный автоответчик), обратится в Skype (Skype контакт "fraudline") или отправить СМС на номер 092 302 07 17 для обратной связи

 

И это все!!! Отправили нас на какую-то форму в гугл-документах, которую даже заполнить невозможно.

Пин коды на карты мы уже поменяли, и "лекцию" на счет безопасности я ей прочитал.

Но вопрос откуда номера у мошенников, остается открытым, учитывая то, что знакомая не занимается продажами или размещением объявлений в интернете, ее номер не должен был светиться, можно предположить утечку номеров из самого банка.

Скорее всего, даже если утечка и была, банк не будет распространять эту информацию, ради репутации.

Но такое безразличие довольно странно.

Я не хочу рассуждать на тему того что береженого, Бог бережет, и нужно грамотно относиться к пин кодам и карточкам.

Но раз люди ведутся, а люди ведутся (посмотрите Яндекс.Новости) то банк обязан защищать своих клиентов. Многие люди даже не в курсе что такая возможность, как снять деньги без карты существуют, и могут не понимать опасности сказать «то что пришло по смс» «сотруднику», ведь карта же в безопасности. Да и многие, я думаю, помнят процедуру активации новой карточки, когда какая ни будь милая сотрудница, в отделении, при выдаче карты попросила сообщить ей код для активации карты.

Создание услуги операций без карточки конечно прогрессивно, но лимит в 2000 грн, мне кажется велик, ведь для кого-то это может вся пенсия или зарплата. Такая ситуация только усиливает недоверие клиентов которые вместо того чтобы использовать карту как платежный инструмент будут судорожно снимать все до копейки и как можно скорее после начисления денег.

Когда многие крупные компании усложняют идентификацию, вводя например двухэтапную авторизацию, или анализируя поведение клиента учитывающее устройства и геолокацию (например если вы постоянно заходите в свой аккаунт гугл или фейсбук из одного и того же города, а потом неожиданно из другой страны то система авторизации задает дополнительные вопросы для более точной идентификации), Приватбанк создал систему со слабой защитой, ведь телефон в конце концов можно потерять, или он может быть украден.

Будем надеяться что приватбанк впредь будет создавать более защищенные и безопасные системы как для клиентов так и для своих сотрудников


Понравилась статья? Жми



 Комментарии:

 
1. ПриватБанк :
08 марта, 2013 | 16:09


Уважаемый клиент!
Во избежание мошеннических действий и несанкционированного использования Ваших средств, никогда не предоставляйте информацию о своих картах третьим лицам, даже если они обращаются к Вам якобы от имени банка. ПриватБанк никогда не совершает звонки и не отправляет писем, в которых просит клиентов уточнить номер банковской карты, срок ее действия, ПИН-код, CVV2-код карты, имя пользователя и пароль для входа в Приват24, OTP-пароли, которые приходят в SMS, девичью фамилию матери или другое кодовое слово. Никогда не сообщайте ПИН-код, CVV2-код и срок действия Вашей карты, общаясь по телефону с сотрудниками ПриватБанка. Никто из сотрудников колл-центра не имеет права уточнять эти данные по телефону. При необходимости, Вас могут попросить ответить на несколько уточняющих вопросов, касающихся Вашей личной информации, но не ПИН-кода.
С уважением, ПриватБанк.
 
 
2. EL :
08 марта, 2013 | 20:17


Спасибо, я то это понимаю, и своим друзьям и знакомым объясняю, но вот бывают же случаи.
 
 
3. EL :
08 марта, 2013 | 21:15


О вот это видео надо показывать, пенсионерам или тем кто никогда не использовал карты, перед тем как выдать карту.
http://www.youtube.com/watch?v=uf8VE_k7E8Q
 
 
4. EL :
10 марта, 2013 | 23:21


Вот интересный рассказ чувака которого пытались развесит по подобной схеме, только ему сначала обещали перевести деньги за продажу товара, а потом якобы для подтверждения перевода выпрашивали код доступа в банкомат.
http://habrahabr.ru/post/172179/#comment_5978957
 
Написать комментарий:

Текст сообщения     

Ваше имя (обязательно)     

Ваша почта (скрыто) (обязательно)     

Если комментарии содержат ссылки они проходят модерацию...
ICQ:
  • Lex:  940-902
  • El:  448-018-956
Карта сайта
Карта сайта
Прямые ссылки скачать последние версии Adobe Flash, Кодеки, Google Chrome и другие популярные программы  
Компьютерная графика и вычислительная геометрия: