Недавно один из камрадов опубликовал пост про постадавшего от мошенников генерала. За неделю нашли гражданина Украины, который получал деньги в банкомате.
Тема мошенников активно работает и пострадавших очень много.
У меня тоже есть, что сказать по данному вопросу.
Не так давно маме одного знакомого (кстати юриста) так же позвонили по телефону. Она отправила коды и в результате Сбер повесил на неё кредит - около 300тыс рублей.
Знакомый попросил помощи у моего товарища и коллеги - можно ли хоть что-то сделать?
Дело, по всей ранее имевшейся практике, проигрышное. Банк это же священная корова.
А человек всегда стоит на ступеньку ниже. Это по жизни, на самом деле. По закону все равны, но Банк заведомо в более выигрышной позиции, в состязательном то процессе.
Человек, обычный и простой, не обладает ресурсами банка, у него нет своего отдела, а то и нескольких, из профессиональных юристов, которые "собаку съели" и "трактор переговорят".
Да и присутствует в обществе мысль, что банк это же Банк, у них всегда всё правильно. Мысль, на самом деле, глубоко ошибочная.
Товарищ взялся за дело. Я принимал участие в обсуждении и ситуации и возможных путей решения. Поэтому информация достоверная и практически из первых рук. Сразу скажу, что вероятность благоприятного исхода по таким делам практически отсутствует, естественно если Вы не генерал какой-нибудь. Единственным путем было - делать всё, что возможно и как следует, а там... Все всё прекрасно понимали.
Заявление в милицию и в суд.
В милицию понятно по факту мошеннических действий. Но тут тоже не всё так просто, анализ практики показал, что раньше людям отказывали иногда даже в возбуждении уголовного дела. Вот если бы украли, то тогда... А на Вас просто кредит оформили - Вы же ничего не потеряли. Логика - огонь, конечно.
В суд заявление - а какое? Признавать кредитный договор незаключенным, Что кажется логически верным т.к. мама его не подписывала ? Там и нет никакого подписания, на самом деле. Вам высылаются на телефон коды для активации кредитных отношений и когда Вы их вводите в личном кабинете перегоняют деньги на счет.
И моментом именно заключения кредитного договора следует считать момент ввода кода в личном кабинете. Да у мамы-пенсионерки был(есть) личный кабинет в Сбере.
Пришли к выводу о необходимости подачи заявления о признании сделки недействительной. Всё дело в правовых последствиях. При признании недействительной есть возврат сторон в первоначальное положение, а при незаключенности - нет.
Судья в районном суде искренне хотела разобраться в ситуации. Суд у нас конечно беспристрастен, но судьи тоже человеки и им не чуждо. И удовлетворила абсолютно все заявленные ходатайства.
Банк естественно ходил со спокойной мордой (являлись в процесс, что само по себе не всегда бывает). У нас всё правильно, мы же Банк, нам пофиг. Коды запросила, отправила сама невесть кому или неотправляла - нам не ведомо, потом с её телефонного номера зашли в личный кабинет и оформили кредит и деньги куда-то отправили. А истица просто кредит отдавать не хочет поэтому и пошла в суд и в милицию(полицию).
По ходатайствам была истребованна инфа из банка - техническая, какие телефонные номера, айпи, время операций. Из телефонной компании - звонки с маминого номера, привязка к станции во время операций.
Банк дал инфу - мама заходила со своего телефона и айпи в этот день. А вот коды на выдачу кредита пришли с её телефонного номера с другим(чужим) айпи. Сделали запрос в Ростелеком кому принадлежит данный айпи - отписка в ответ. Самостроятельно на специализированном сайте нашли за кем числится диапазон айпи адресов, в который попадает айпишник. В подмосковье конторка. Сделали распечатку скринов прямо с данного сайта. Приложили к ходатайству - запросить информацию по этому айпи. Судебный запрос в эту контору - они прислали данные с кем был заключен договор аренды на данный айпи действовавший во время операции. Фамилии, номер телефона и адрес эл.почты.
Ходатайство о проведении технической экспертизы. Изначально предполагалось, что на компьютер пострадавшей была установлена вирусная программа. Но всё оказалось не так - жулики действовали со смартфона с андроидом. Номер постадавшей был эмулирован. И по техническим данным Банка она сначала связывалась с банком со своего телефонного номера с одним айпи(настоящим), а потом отдавались команды - вводились коды с этого же номера телефона, но с другим айпи, с тем самым который в указанный период некое лицо арендовало у подмосковной конторки.
Банк не смутило наличие разных айпи у одного и того же телефонного номера.
По первой инстанции - отказ в удовлетворении исковых требований. Ожидаемый.
А вот в областном суде ситуация стала интересней.
По статистике процент отмен во второй инстанции крайне не велик. И никто не питал никаких иллюзий - просто делали, что должны. Иногда это самый лучший вариант.
Судьи выслушали позицию сторон - и ушли в совещательную комнату. Вышли минут через 40 (это долго для данного дела, обычно быстрее - оставить решение без изменения, жалобу без удовлетворения), и говорят - продолжаем заседание - тут у суда вопрос возник.
- А что у Вас с уголовным делом?
- Признали потерпевшей. Идет следствие.
- В материалах дела нет данных из уголовного дела. А давайте затребуем суду, для ознакомления материалы уголовного дела. Откладываемся.
Было уже два отложения - следователи ссылаются на тайну следствия. Суд настаивает хотим увидеть - сами судьи, не участники.
Документы по признанию потерпевшей получены у следователя и уже приобщены к делу.
Следующее заседание назначено на конец апреля.
В заголовке я указал - как нам прекратить телефонно-банковское мошенничество. Перехожу к раскрытию сути.
Банки должны начать терять свои деньги.
До этого момента они просто не заинтересованны что либо менять. У банков есть профессиональные безопасники, программисты, юристы как свои штатные, так и привлеченные со стороны. Но им даже не ставится задача обеспечения 100% достоверности и безопасности. А зачем? Когда все денежные средства банк компенсирует за счет пострадавших граждан. Только убытки и желательно массовые заставят банки решить данную проблему.
А решается она в пять секунд.
Например - Привязывать к клиенту не только номер телефона, но и айпи.
Изменился айпи - клиент ножками приходит в любой филиал банка с паспортом и пишет личное заявление.
Это моё мнение как не профессионала, у Банков штат профессионалов и если им поставят задачу, они её очень быстро могут решить, этим, или каким-то другим способом. Профессионалам виднее как.
Признание потерпевшим по возбужденному уголовному делу - это очень важно, для данной категории дел.
Государство в лице правоохранительных органов прежде всего пришло к выводу о самом факте совершения преступления и возбудило уголовное дело, после проведенной проверки. Затем государев человек - дознаватель, следователь, судья изготовил юридически значимый документ - постановление о признании потерпевшим по уголовному делу. С этого момента у постадавшего меняется правовой статус - круг прав и обязанностей.
Я бы с точки зрения государства именно на этом бы и остановился - признано лицо потерпевшим - удовлетворять требования о признании сделки недействительной.
Убытки у Банка? Ну так пишите сами теперь заявление на признание Вас - Банка потерпевшими.
Когда найдут преступников - тогда уважаемый Банк взыскивайте с них.
Не хотите терять деньги? Сделайте так, чтобы этого избежать. А как? Вам, Банку, виднее.
Комментарии
За что привлекут? Сам факт замены IMEI на собственном телефоне никак не наказуем. Как и MAC.
Mac адрес легко генерируется и подделывается. Авторизация по IP тоже не абсолютная панацея, но хотя бы отсечет большинство простых атак.
Да даже бы если он был жестко приколочен, а подделка преследовалась по закону.
Ну вот есть адрес 8.8.8.8, ну-ка, скажи, какой у него MAC?
Банк твоего MAC не видит и видеть не может. Просто технически это невозможно. Его видит только твой провайдер, на порту, в который втыкается кабель. Всё.
Не сложно наладить общение между провайдерами и ассоциацией банков. Было бы желание.
что значит не сложно? Новый протокол для этого придумать? новое оборудование провайдерам установить? Третьи лица в схему взаимодействия ввести - это все по вашему "не сложно"?
ну и вишенка - ваш провайдер видит мак вашего домашнего роутера, не больше... ни телефона, ни планшета, ни ПК маки ему не известны.
Мы говорим про защиту граждан России в российских банках на территории России (есть и другие варианты, но пока их даже рассматривать не следует). Провайдеров в России не так уж и много и все они подчиняются российским законам.
Провайдер (его оборудование) видит характеристики устройства или сети, откуда приходят пакеты в банк, и может по автоматическому запросу от банковской программы передать интересующую информацию. Сделать это на программном уровне не сложно, немного сложнее будет договориться между провайдерами и ассоциацией банков (ил Центробанком - вроде он там командует). В этом случае будет намного сложнее "подделать" клиента.
Если провайдер видит МАС домашнего роутера клиента, то пусть считает, что это и есть МАС клиента. Да у меня дома защита интернета много лет была сильнее, чем сейчас защита у некоторых банков для клиентов! Сломалась сетевая плата на компе, воткнул другую, подключил в неё кабель - ХРЕН, НЕ РАБОТАЕТ ИНТЕРНЕТ! Элементарная проверка МАС-адреса платы! Звонишь провайдеру, диктуешь номер договора, адрес, паспортные данные абонента, тогда и новый МАС записывают.
Кстати, если клиент обычно подключается к банку из дома, на работе и по мобильной сети в своём городе и области, то характеристики этих подключений банку следует рассматривать, как доверенные сети для данного клиента. Если неожиданно идёт подключение из другого региона, то как минимум у банка это должно вызвать подозрение и необходимость в дополнительной проверке клиента. И это без проверки характеристик устройств клиента.
Ты серьёзно сейчас?
Ну стоит у провайдера в подъезде какой-нибудь DGS-1210-28. У меня в подъезде такой, я поглядел из интереса.
И как ты реализуешь автоматическую отдачу этой информации по запросу из банка с данной тупой железяки?
Ну включено у провайдера Port Security и Mac Learning. Больше геморроя чем секьюрити. У всех роутеров кстати есть функция Clone MAC для этих целей, чтобы не звонить в поддержку.
да ладно, для мифической способности банка дать раз в пять лет кредит жуликам, товарищ предлагает "не сложно" вмешаться в работу тысяч мелких провайдеров и законом обязать их чего-то кому-то сообщать о своих клиентах...
"Товарищ" рассматривает РАЗЛИЧНЫЕ способы защиты клиентов банков. С твоей же стороны вижу хиханьки, да хаханьки при обсуждении этого важного вопроса. Видимо к своей работе ты относишься так же.
Прошу прощения, но это принципиально, концептуально косячный подход. Защита не должна быть "различной", защита должна быть достаточной.
А это делается нормальной криптографией и нормальным подходом к ней.
Попытки проверять, в типичной ли для обуви пришёл клиент в банк - порочны, они не дают реальной защиты, но зато осложняют жизнь нормальным людям и распыляют ресурсы, направленные на безопасность.
...
И да, подходы, не обеспечивающие достаточную безопасность, должны быть тупо запрещены для банков (точнее, вся отвественность за финансовые проблемы в таком случае должна лежать на банках в любом случае). Если банк хочет рисковать, выдавая кредиты сразу после идентификации "по номеру телефона" - ОК, но эти обязательства со стороны клиента должны признаваться в суде юридически ничтожными сразу, на автомате.
Достаточная защита состоит из различных способов идентификации клиента. На указание, что у клиентского телефона есть уникальные (ну или почти уникальные) характеристики, в том числе и МАС-адрес, посыпались комментарии, что МАС уже не уникальный и его можно сменить, а вообще его не прочитаешь через интернет. Хотя его банк может получить и он достаточно уникальный. В совокупности с другими характеристиками он позволит идентифицировать оригинальный телефон клиента.
ФИО человека тоже не уникально и его можно сменить, но его активно используют для идентификации.
В теории, наверное, да. А на практике уже было много случаев, когда мошенники получали электронные подписи на других людей, с помощью которых перепродавали их квартиры. Я не доверяю только криптографии с электронной подписью, только еслли для малозначимых дел с достаточным сроком отмены.
А если клиент сначала был высокий, а потом пришёл низкий и требует оформить на него кредит, то эта ситуация должна потребовать дополнительную идентификацию личности.
Ваша аналогия с обувью - плохая.
Согласен.
Прошу прощения, но это принципиально, концептуально косячный подход. Защита не должна быть "различной", защита должна быть достаточной.
А это делается нормальной криптографией и нормальным подходом к ней.
Попытки проверять, в типичной ли для обуви пришёл клиент в банк - порочны, они не дают реальной защиты, но зато осложняют жизнь нормальным людям и распыляют ресурсы, направленные на безопасность.
...
И да, подходы, не обеспечивающие достаточную безопасность, должны быть тупо запрещены для банков (точнее, вся отвественность за финансовые проблемы в таком случае должна лежать на банках в любом случае). Если банк хочет рисковать, выдавая кредиты сразу после идентификации "по номеру телефона" - ОК, но эти обязательства со стороны клиента должны признаваться в суде юридически ничтожными сразу, на автомате.
Господин Медведев Д.А. пару лет назад упоминал о ущербе кажется в районе 500млрд руб за год от действий киберпреступников. Выдача фейковых кредитов должно быть входит в эту сумму.
1) Мои провайдеры видят мой МАС, значит это возможно. Если какие-то провайдеры не видят, то это можно исправить. Например, недавно сотовых операторов обязали хранить записи разговоров, операторы побухтели и сделали.
2) Если какой-то провайдер обеспечивает связь своего клиента с интернетом через несоответствующее оборудование (например, через флажковый телеграф) - это его проблемы. Нормальные провайдеры используют нормальное оборудование.
Замечательно. Только для этого нужно знать МАС. Клиент свой МАС знает, мошенники МАС клиента - нет.
И защита по МАС-адресу ЧЕРЕЗ ПРОВАЙДЕРА - это только один из вариантов, не самый лучший, но рабочий. Ещё интереснее защита через программу клиент-банка, которая устанавливается ТОЛЬКО В ОФИСЕ БАНКА и считывает информацию об устройстве, в том числе и МАС-адрес (если это необходимо). В этом случае вероятность использования поддельного устройства или поддельной программы мошенниками падает до нуля. Если, конечно, кто-то из банковских специалистов не использует знания о работе программы клиент-банка.
Увидеть возможно. А вот передать его в банк по запросу в режиме реального времени - нет. Этот идиотизм технически нереализуем, и потребует вложений в десятки раз больше Закона Яровой. И я примерно представляю по диалогу с тобой, что за люди разрабатывали и принимали этот закон.
Если ты про пресловутый закон Яровой, то он до сих пор не выполняется в полном объёме.
Все нормальные способы давно уже придуманы без твоих фантазий, в том числе аппаратные токены.
Но никакая защита не поможет, когда лох сам лично переводит бабло куда-то на левый счёт (а это 99% кидков).
Вот глупость же написал! Даже две глупости. Извинись, напиши, что очень хотел обосрать оппонента, потому торопился и не заметил собственной глупости.
Вот не надо! Это в тебе говорит твоё завышенное самомнение.
Фраза из серии "А у вас в Америке негров линчуют". Мы обсуждаем защиту клиентов банков от удалённого управления их счетами мошенниками. А не добровольный перевод своих средств самим клиентом.
Ну если ты очень умён, то накидай приблизительную схему типового подключения и как она будет отрабатываться. С указанием софта, протоколов и механизма взаимодействия.
Типовой Вася, из своего дома, с личного планшета по домашнему вайфай открывает клиент-банк и хочет перевести 1000 рублей на карту другу Пете, чтобы он купил пиво и они вместе посмотрели футбол.
Банк хочет проверить, что мак-адрес Васи соответствует.
Оборудование провайдера - для упрощения задачи можешь взять любое из существующих в природе, по своему выбору, хоть Extreme Networks за десятки тыщ баксов. Но с указанием модели.
Нахрена мне за так заниматься этой работой? У меня есть работа, за которую мне платят деньги.
Жили-были мыши и все их обижали. Как-то пошли они к мудрому филину и говорят:
— Мудрый филин, помоги советом. Все нас обижают, коты разные, совы. Что нам делать?
Филин подумал и говорит:
— А вы станьте ёжиками. У ёжиков иголки, их никто не обижает.
Мыши обрадовались и побежали домой. Но по дороге одна мышка сказала:
— Как же мы станем ёжиками? — и все побежали обратно, чтобы задать этот вопрос мудрому филину.
Прибежав, они спросили:
— Мудрый филин, а как же мы станем ёжиками?
И ответил филин:
— Ребята, вы меня ерундой не грузите. Я стратегией занимаюсь.
Это стандартная проверка любой банковской анти-фрод защиты :)
Видимо это не у всех банков, раз мошенники могут без ведома клиента снимать деньги с его счёта.
Приличная антифрод защита определяет наличие виртуальной машины, кривого hideVNC и в некоторых случаях палят даже использование специальных анти-детект браузеров при логине в банковскую админку. MAC адрес тут дело даже не десятое. Допускаю мысль, что топ-браузеры имееют некие договоренности с американской ассоциацией банков и браузеры разрешают банковским скриптам получать полную информацию о машине клиента. Раньше простым js запросом можно было вытащить инфу например о процессоре посетителя. Сейчас никак, браузеры закрыли такую возможность для простых смертных.
Да и на порту не видит. Видит только MAC твоего конечного роутера, но вряд ли это твой телефончик =)
Для простоты будем считать MAC клиента = MAC клиентского устройства, если только мошенники не просочились обманом в домашнюю сеть пользователя.
Ну вот банки и считают, для простоты, что правильные цифири вводит только тот кому надо
У банка есть мобильное приложение, которое сливает всю доступную стату об устройстве клиента, включая видимые сети и геолокацию. Мошеннику, чтобы сэмулировать это окружение нужен доступ к устройству клиента с правами, аналогичными тем, что у банковского приложения.
Нормальные банки авторизуют устройства для выполнения операций.
Это не так. Купив usb сетевой адаптер вбивайте в настройках его мак, сколько хотите. С pci адаптерами тоже не уникален. Пример - централизованная поставка более сотни компов к нам, где раньше я работал - маршрутизатор в сети сошел с ума - на 3-х пк один мак, не говоря про встроенные сетевые карты, в которых мак прописан в биосе и программатором прошивается на на ура. Это не решение проблемы, кроме биометрии решения на уровне гаджетов не вижу имхо.
В большинстве устройств МАС меняется. И поставить его нужный несложно.
Это "защита" уровня деревенских кулхацкеров.
А мошенники знают МАС-адреса своих жертв?
А почему нет? что сложного узнать?
Нормальная защита должна делаться иначе. Например, на уровне СИМ мобильника (как у нас сделано в МобильИД, который во многих случаях равнозначен нормальной идентификации с документа).
Плохо представляю, как мошенники могут узнать МАС телефона жертвы. Ну или IMEI? Звонить и просить жертву набрать спецкоманду на телефоне и прочитать ответ?
Да вот ни разу он не уникальный, привет Китаю, а про подмену уже выше написали
МАС должен быть уникальным, но он уже не уникальный и его уже можно менять. Но узнать МАС жертвы сложно, а подобрать невозможно, потому его можно использовать, как один из идентификаторов телефона клиента, чтобы защититься от несанкционированного доступа к счёту.
Я-бы советовал такую вещь как телефон вообще исключить из вопросов доступа и финансового обращения, максимум что доверять - информирование о движении средств, потому как прочитать и отправить смс не проблема, перевести номер на другую сим временно не трудно, да и узнать мак проще простого.
А вот, кстати, и привет:
mac-адрес меняется легко. По умолчанию во многих телефонах он вообще на каждую сессию генерится случайным образом.
А вот в это не верится. Возможно это есть для телефонов совсем дешёвых марок, но я с этим не сталкивался.
samsung_a30
Это ещё один повод не любить "Гнусмас".
Впрочем, если сетевая плата на смарте виртуальная, то и МАС будет виртуальный. Я работаю с оборудованием, где есть "железная" сетевая плата и потому есть "железный" МАС.
Значит на смарте надо использовать тот идентификатор, который ему присущ, например IMEI - идентификатор радиомодуля. Правда радиомодулей в смарте может быть 2 или даже 3.
МАС-адреса легко меняются
Меняются. На что?
Я много про что знаю.
Есть много способов проверки достоверности клиента банка. Если бы банки хотели, могли бы сильно усложнить жизнь мошенникам. Видимо не хотят.
А что такое MAC и как он тебе поможет?
Не знаешь - почитай в интернете.
В данном случае речь не о мне, а о защите клиента банка от мошенников. Есть несколько простых способов защиты клиента от мошенничества и проверка МАС-адреса на устройстве клиента - один из них. Если устройство клиента с программой клиент-банка при установки имеет один МАС, то обращение к банку с другого МАС-адреса должны игнорироваться, при этом в службу безопасности должна приходить информация с подробностями данной атаки.
Да я-то знаю.
А теперь, чепушило, послушай умного человека.
MAC виден только в рамках одного сегмента сети. Грубо говоря, на том порту железяки провайдера, куда втыкается кабель от клиентского устройства. Ну или на том вайфай роутере, к которому подключено устройство. В случае мобильного инета, там всё несколько иначе устроено.
У банка нет никакого способа выяснить MAC адрес клиента в момент подключения. Эта информация есть только у провайдера.
Не веришь? Ну вот тебе айпишник публичного ДНС гугла: 8.8.8.8. Скажи-как, какой у него MAC?
Сам клиент-банк может конечно прочитать MAC железяки, на которой запущен, и передать банку. Но не проще ли в этом случае вообще не заморачиваться привязкой к MAC, а сгенерить уникальный код при установке и передавать его?
Звучит как неплохая защита. Но что делать, если у клиента есть телефон и планшет, и он выходит и с того, и с другого? А что, если клиент, не приведи Господи, подключается не через клиентскую программу, а с сайта через интернет-банк?
Идея с IP тоже нерабочая. В подавляющем большинстве случаев этот IP будет какого-то маршрутизатора, с которого выходят ещё сотни людей из-за ната. Реальные IP нонче дороги и не всем нужны, а с переходом на IPV6 проблем вагон с тележкой, да и там такие ужосы в этом V6, что и в страшном сне не привидятся - например, Privacy Extensions, которые принудительно перегенеривают айпишник при каждом подключении.
Так что эти все твои измышления на тему "слышал звон" специалистов несказанно веселят.
Только одно это обращение к незнакомому человеку говорит о тебе больше, чем весь остальной твой текст.
Мудак, ты сам-то читаешь, что пишешь? У тебя же противоречия в соседних предложениях!
А что если клиент захочет защититься от мошенников? Тебе такая мысль в голову не приходила?
Рабочая. Главное - правильно с ней работать.
Я за свою многолетнюю практику видел дохрена таких "специалистов" с умными рожами, которые не хотят понимать простые вещи.
Задирай нос выше - споткнёшься и расшибёшь лоб.
Адью, баран!
То есть, умных людей слушать не хочешь. Жаль.
Не вижу противоречий. На уровне сетевого взаимодействия у банка способов выяснить MAC нет. Только если их клиент этот MAC сам прочитает непосредственно на устройстве и передаст. Но это равносильно тому, что ты его продиктуешь оператору по телефону. Никакого смысла в такой "защите" нет. Вообще.
Приходила. И в первую очередь нужно менять законодательство. Для начала, интернет-банк должен быть не безусловной опцией, а строго подключаемой по желанию клиента, после его личного визита в банк и разъяснения всех рисков. Это, а не фантазии с приколачиванием MAC-ов, надо делать в первую очередь.
Я тоже на идиотов насмотрелся, которые выходят и говорят - "а теперь мы для безопасности будем проверять MAC-адрес". А инженеры делают фейспалм.
И тебе не хворать.
Всё-таки ещё раз отвечу.
Это должно быть ЕДИНСТВЕННЫМ способом получить клиенту удалённый доступ к своему счёту. А уж в приложении можно напихать несколько уровней защиты.
И я видел, что в некоторых банках именно так и есть.
Страницы