Вопросы безопасности в банковской сфере
p
pens111
это фишинговый сайт?
Фотография из Фотогалереи на E1.ru
назвали меня правильно ФИО
а это настоящий сайт СБ РФ
https://www.sberbank.ru/ru/person_ab
===========================
факт присылки смс с таким адресом был,
в данный момент сделан редирект с этого адреса на адрес страницы настоящего сайта СБ РФ
как можно интерпретировать эти факты?
======================
что было по этомй ссылке ДО редиректа - вопрос открытый
на данный момент мне интересно следующее:
1. от СБ РФ хотелось бы узнать, это они прислали мне смс, или некто другой?
2. кто и с какой целью мог послать мне это смс-сообщение? (если это прислали не из СБ РФ)
============
расширим и углУбим!
и ещё есть странный момент в российских банках - во всех банках имеем полный доступ, т.е. можно всё и транзакции совершать и кредиты оформлять
а вот (к примеру) в Израиле есть два режима работы личного кабинета, ограниченный (информационный) доступ, там можно только отслеживать состояние счёта и полный доступ (можно всё)
по умолчанию делается ограниченный доступ, полный делают по письменному заявлению клиента, причём оператор предупреждает (особенно пенсионеров) о рисках такого доступа
есть дебетовые счета, там невозможно оформить кредит даже при полном доступе (что лежит то и можешь потратить)
т.е. очень много вариантов именно с точки зрения обеспечения безопасности
в российских банках этого нет, почему????????
банки подставляют массу людей!
вопросы безопасности - это гораздо более широкая тема, нежели только противодействие несанкционированной выдаче кредитов
не зря же Росфинмонитринг не занимается такой мелочью, как левые кредиты (в разных там "быстроденьгах"), до сих пор не понимаю почему, ведь это одна из возможных тем финансирования того же терроризма
[Сообщение изменено пользователем 02.03.2021 06:42]
Фотография из Фотогалереи на E1.ru
назвали меня правильно ФИО
а это настоящий сайт СБ РФ
https://www.sberbank.ru/ru/person_ab
===========================
факт присылки смс с таким адресом был,
в данный момент сделан редирект с этого адреса на адрес страницы настоящего сайта СБ РФ
как можно интерпретировать эти факты?
======================
что было по этомй ссылке ДО редиректа - вопрос открытый
на данный момент мне интересно следующее:
1. от СБ РФ хотелось бы узнать, это они прислали мне смс, или некто другой?
2. кто и с какой целью мог послать мне это смс-сообщение? (если это прислали не из СБ РФ)
============
расширим и углУбим!
и ещё есть странный момент в российских банках - во всех банках имеем полный доступ, т.е. можно всё и транзакции совершать и кредиты оформлять
а вот (к примеру) в Израиле есть два режима работы личного кабинета, ограниченный (информационный) доступ, там можно только отслеживать состояние счёта и полный доступ (можно всё)
по умолчанию делается ограниченный доступ, полный делают по письменному заявлению клиента, причём оператор предупреждает (особенно пенсионеров) о рисках такого доступа
есть дебетовые счета, там невозможно оформить кредит даже при полном доступе (что лежит то и можешь потратить)
т.е. очень много вариантов именно с точки зрения обеспечения безопасности
в российских банках этого нет, почему????????
банки подставляют массу людей!
вопросы безопасности - это гораздо более широкая тема, нежели только противодействие несанкционированной выдаче кредитов
не зря же Росфинмонитринг не занимается такой мелочью, как левые кредиты (в разных там "быстроденьгах"), до сих пор не понимаю почему, ведь это одна из возможных тем финансирования того же терроризма
[Сообщение изменено пользователем 02.03.2021 06:42]
p
pens111
если это действительно был фишинговый сайт и служба безопасности СБ РФ прикрыла его, сделав редирект с фишингового адреса на адрес настоящего сайта СБ РФ, то это (ИМХО) не совсем правильно!
было бы корректно опубликовать эту информацию, предупредив тех, кто поддался на обман о необходимости СРОЧНО поменять свои реквизиты доступа в личный кабинет
уверен, что это не первый (и не последний) ФС банков, так что, должны быть отработаны протоколы реагирования на угрозу
Фотография из Фотогалереи на E1.ru
[Сообщение изменено пользователем 27.02.2021 08:59]
было бы корректно опубликовать эту информацию, предупредив тех, кто поддался на обман о необходимости СРОЧНО поменять свои реквизиты доступа в личный кабинет
уверен, что это не первый (и не последний) ФС банков, так что, должны быть отработаны протоколы реагирования на угрозу
Фотография из Фотогалереи на E1.ru
[Сообщение изменено пользователем 27.02.2021 08:59]
p
pens111
и ещё
23.02.2021 с номера +74951565060 был звонок (разговор записан)
- Финансовый отдел Сбербанк России, Морозова Елена, здравствуйте
- Ну... слушаю
положила трубку
видать голос у меня был не ласковый?
это надо же, "Финансовый отдел Сбербанк России, Морозова Елена" звонит 23 февраля, горит на работе
23.02.2021 с номера +74951565060 был звонок (разговор записан)
- Финансовый отдел Сбербанк России, Морозова Елена, здравствуйте
- Ну... слушаю
положила трубку
видать голос у меня был не ласковый?
это надо же, "Финансовый отдел Сбербанк России, Морозова Елена" звонит 23 февраля, горит на работе
С
Семен-К
Ничего, кроме скриншота СМС, которая ведет на нормальный сайт, ты не предоставил даже во вчерашней теме.
Что же там было? Только догадываться можно....
Что же там было? Только догадываться можно....
p
pens111
Ничего, кроме скриншота СМС, которая ведет на нормальный сайт, ты не предоставил даже во вчерашней теме.
Что же там было? Только догадываться можно....
Что же там было? Только догадываться можно....
возможно там был фишинговый сайт и кто то мог оставить на нём свои реквизиты доступа к ЛК
было бы корректно опубликовать эту информацию, предупредив тех, кто поддался на обман о необходимости СРОЧНО поменять свои реквизиты доступа в личный кабинет
согласитесь, что делать редирект с одного адреса на правильный адрес сайта СБ РФ - это странно
и при этом делать смс-рассылку с адресом
[Сообщение изменено пользователем 27.02.2021 10:41]
С
Семен-К
возможно там был фишинговый сайт и кто то мог оставить на нём свои реквизиты доступа к ЛК
Тебе не надоело? Никаких доказательств, что там был фишинговый сайт, ты не предоставил. Вчера по твоей ссылке на ОАК куча народу перешло - сайт нормальный.
p
pens111
Тебе не надоело? Никаких доказательств, что там был фишинговый сайт, ты не предоставил. Вчера по твоей ссылке на ОАК куча народу перешло - сайт нормальный
да, редирект уже работал, к этому времени
p
pens111
задам ка я вопросец на эту тему.. официальный
кто отслеживает фишинговые сайты банков и какие меры реагирования проводятся в случае обнаружения таковых сайтов?
в качестве примера приведу изложенные в данном топике факты
вот только кому, в Роскомнадзор?
а может в Росфинмониторинг?
[Сообщение изменено пользователем 27.02.2021 10:58]
кто отслеживает фишинговые сайты банков и какие меры реагирования проводятся в случае обнаружения таковых сайтов?
в качестве примера приведу изложенные в данном топике факты
вот только кому, в Роскомнадзор?
а может в Росфинмониторинг?
[Сообщение изменено пользователем 27.02.2021 10:58]
p
pens111
может конечно это такой маркетинговый ход СБ РФ, делать много адресов, ведущих на их официальный сайт и организовывать смс-рассылку этих адресов?
хотелось бы услышать официальные комментарии
[Сообщение изменено пользователем 27.02.2021 11:20]
хотелось бы услышать официальные комментарии
[Сообщение изменено пользователем 27.02.2021 11:20]
p
pens111
[Сообщение удалено пользователем 27.02.2021 11:42]
А
Андрей П
я чёт не понял где ссылка фишинговая?
Б
Бухалов™
да, редирект уже работал, к этому времени
редирект откуда куда?
p
pens111
факт присылки смс с таким адресом был,
в данный момент сделан редирект с этого адреса на адрес страницы настоящего сайта СБ РФ
как можно интерпретировать эти факты?
в данный момент сделан редирект с этого адреса на адрес страницы настоящего сайта СБ РФ
как можно интерпретировать эти факты?
что было по этому адресу ДО редиректа - вопрос открытый
на данный момент мне интересно следующее:
1. от СБ РФ хотелось бы узнать, это они прислали мне смс, или некто другой?
2. кто и с какой целью мог послать мне это смс-сообщение? (если это прислали не из СБ РФ)
Фотография из Фотогалереи на E1.ru
[Сообщение изменено пользователем 27.02.2021 13:47]
p
pens111
в данном случае, если это - рассылка СБ РФ, то это странно, но ладно, а вот если это левая рассылка, то хотелось бы понять кто и с какой целью её произвёл и какие меры приняли спецы из "кибербезопасности СБ РФ", дабы противодействовать угрозе
Фотография из Фотогалереи на E1.ru
Фотография из Фотогалереи на E1.ru
В
Вадимыч на Грозе Паркета
А чем сайт из СМСки ненастоящий? Ссылка на тот же домен, принадлежащий Сберу. Всё, что размещено в том домене, должно быть делом рук Сбера, если сегодня не было взлома их сайта.
[Сообщение изменено пользователем 27.02.2021 17:42]
p
pens111
А чем сайт из СМСки ненастоящий? Ссылка на тот же домен, принадлежащий Сберу. Всё, что размещено в том домене, должно быть делом рук Сбера, если сегодня не было взлома их сайта.
можно много фантазировать на эту тему, меня интересуют вот эти конкретные вопросы
на данный момент мне интересно следующее:
1. от СБ РФ хотелось бы узнать, это они прислали мне смс, или некто другой?
2. кто и с какой целью мог послать мне это смс-сообщение? (если это прислали не из СБ РФ)
1. от СБ РФ хотелось бы узнать, это они прислали мне смс, или некто другой?
2. кто и с какой целью мог послать мне это смс-сообщение? (если это прислали не из СБ РФ)
как это можно сделать? (получить ответы на эти вопросы)
и уж заодно, если они действительно используют вот этот адрес
https://www.sberbank.ru/dl/sp
вместо этого
https://www.sberbank.ru/ru/person/dist_services/in...
то с какой целью это делается?
если человек захочет нажать на ссылку, то какая ему разница на что нажимать?
в чём смысл перенаправления с одного адреса на другой?
[Сообщение изменено пользователем 27.02.2021 18:01]
n
n0pr0blem
можно много фантазировать на эту тему, меня интересуют вот эти конкретные вопросы
Цитата:
От пользователя: pens111
на данный момент мне интересно следующее:
1. от СБ РФ хотелось бы узнать, это они прислали мне смс, или некто другой?
2. кто и с какой целью мог послать мне это смс-сообщение? (если это прислали не из СБ РФ)
как это можно сделать? (получить ответы на эти вопросы)
и уж заодно, если они действительно используют вот этот адрес
https://www.sberbank.ru/dl/sp
вместо этого
https://www.sberbank.ru/ru/person/dist_services/in...
то с какой целью это делается?
если человек захочет нажать на ссылку, то какая ему разница на что нажимать?
в чём смысл перенаправления с одного адреса на другой?
Цитата:
От пользователя: pens111
на данный момент мне интересно следующее:
1. от СБ РФ хотелось бы узнать, это они прислали мне смс, или некто другой?
2. кто и с какой целью мог послать мне это смс-сообщение? (если это прислали не из СБ РФ)
как это можно сделать? (получить ответы на эти вопросы)
и уж заодно, если они действительно используют вот этот адрес
https://www.sberbank.ru/dl/sp
вместо этого
https://www.sberbank.ru/ru/person/dist_services/in...
то с какой целью это делается?
если человек захочет нажать на ссылку, то какая ему разница на что нажимать?
в чём смысл перенаправления с одного адреса на другой?
Вам дают ответ, но ответ вам не нужен. Он не вяжется с вашей теорией заговора по отъёму ваших денег
Могу дать ответ, хоть и не представитель сбера.
1. Прислать смс с номера 900 в теории может кто угодно. Это стоит не так дорого. Можно прислать с 900. Можно с 9ОО. Можно с 9О0. Можно с 90О. Можно с 900 (1) и кучи других имён.
2. Ответ выше.
По поводу того, зачем использовать отдельную посадочную страницу для какой-то акции.
Каждый хочет считать эффективность рекламной кампании.
Для этого нужно понимать, сколько людей откликнется на определенный вид рекламы, в вашем случае смс.
Если разослать в смс ссылку на постоянную страницу сайта домен.ру/услуга, то будет непросто вычислить именно тех, кто зашел из смс.
Ведь сюда можно зайти и прямым образом, набрав в адресной строке, и по ссылке в яндексе, и кучей других способов.
Поэтому делают страничку домен.ру/услуга-пришел-из-смс, которая по сути будет просто счетчиком, посчитает зашедшего из смс и перенаправит на правильную страницу домен.ру/услуга
Эта страничка исключается из поисковой выдачи, зайти на нее случайно будет почти невозможно. Поэтому такой подсчет посетителей будет достаточно простым и точным.
Бояться любых ссылок на ОФИЦИАЛЬНОМ домене организации не менее странно, чем сегодня бояться карт с бесконтактной оплатой или параноить по поводу того, что на вас дистанционно возьмут кредит
Однако, всегда нужно помнить, что злоумышленникам не стоит большого труда создание домена sber-bank.ру/услуга, или sberbank24.ru/услуга , или любых других, мимикрирующих под официальный домен sberbank.ru
Вот это уже будет фишинг
p
pens111
в целом, логично... кроме этого
берут....
не было бы проблемы, не созрели бы до этого
РОССИЯНЕ СМОГУТ БЛОКИРОВАТЬ ВЫДАЧУ КРЕДИТОВ ЧЕРЕЗ ГОСУСЛУГИ
12.02.2021
Депутаты Госдумы разработали законопроект, согласно которому все россияне смогут устанавливать запреты на оформление кредитов. Если законопроект примут без поправок, установить и снять добровольный запрет можно будет в любое время через интернет. Сделать это будет просто с помощью механизма ЦБ РФ в своем профиле на портале Госуслуги, через МФЦ или уполномоченные банки.
Внести закон на рассмотрение нижней палаты парламента планируется уже весной. Такая услуга, уверены законотворцы, значительно снизит объем мошеннических операций по украденным паспортным данным. Кредиты и микрозаймы, оформленные при действующем запрете, станут проблемой банка или МФО, а никак не гражданина.
Ранее департамент кибербезопасности СберБанка выступил с инициативой ввести уголовную ответственность за разглашение личных данных, однако вопрос пока находится в разработке.
[Сообщение изменено пользователем 27.02.2021 20:00]
или параноить по поводу того, что на вас дистанционно возьмут кредит
берут....
не было бы проблемы, не созрели бы до этого
РОССИЯНЕ СМОГУТ БЛОКИРОВАТЬ ВЫДАЧУ КРЕДИТОВ ЧЕРЕЗ ГОСУСЛУГИ
12.02.2021
Депутаты Госдумы разработали законопроект, согласно которому все россияне смогут устанавливать запреты на оформление кредитов. Если законопроект примут без поправок, установить и снять добровольный запрет можно будет в любое время через интернет. Сделать это будет просто с помощью механизма ЦБ РФ в своем профиле на портале Госуслуги, через МФЦ или уполномоченные банки.
Внести закон на рассмотрение нижней палаты парламента планируется уже весной. Такая услуга, уверены законотворцы, значительно снизит объем мошеннических операций по украденным паспортным данным. Кредиты и микрозаймы, оформленные при действующем запрете, станут проблемой банка или МФО, а никак не гражданина.
Ранее департамент кибербезопасности СберБанка выступил с инициативой ввести уголовную ответственность за разглашение личных данных, однако вопрос пока находится в разработке.
[Сообщение изменено пользователем 27.02.2021 20:00]
p
pens111
кстати, СБ РФ, (раз уж пошла такая пьянка) с какой целью вы делаете через ваш личный кабинет полный доступ ко всем счетам оформленным на паспорт клиента?
это же опасно, ибо если мошенник получит доступ к ЛК, то он почистит всё
разве не логично было бы давать полный доступ только к счету, предназначенному для оперативного он-лайн расходования денег?
из-за этого приходится такие оперативные расходы проводить через другой банк, а у вас вообще не иметь личного кабинета и дебетовой карты
а деньги из банка в банк таскать вручную
это актуально для людей, держащих крупные депозиты
[Сообщение изменено пользователем 27.02.2021 20:26]
это же опасно, ибо если мошенник получит доступ к ЛК, то он почистит всё
разве не логично было бы давать полный доступ только к счету, предназначенному для оперативного он-лайн расходования денег?
из-за этого приходится такие оперативные расходы проводить через другой банк, а у вас вообще не иметь личного кабинета и дебетовой карты
а деньги из банка в банк таскать вручную
это актуально для людей, держащих крупные депозиты
[Сообщение изменено пользователем 27.02.2021 20:26]
С
Семен-К
Пенс, ты понимаешь, что ты пишешь на форум е1, а не в техподдержку сбера?
p
pens111
Пенс, ты понимаешь, что ты пишешь на форум е1, а не в техподдержку сбера?
понимаю
имеющий уши да услышит
кстати, к техподдержке эти темы отношения не имеют, скорее к политическому руководству СБ РФ и его службе безопасности
ведь наверно СБ РФ хочется, что бы клиенты не работали с другими банками, а работали только с ним?
[Сообщение изменено пользователем 27.02.2021 21:20]
w
wRAR
Пенс, ты понимаешь, что ты пишешь на форум е1, а не в техподдержку сбера?
Это вы ещё https://www.e1.ru/talk/forum/read.php?f=72&i=56366... не видели (не считая выступлений на других форумах). Это такой режим городского сумасшедшего.
[Сообщение изменено пользователем 27.02.2021 21:06]
p
pens111
кстати, такой вопрос, что если злодей вставит в смс не адрес ссылки, а изображение адреса ссылки (типа гиперссылки) с переходом на фишинговый сайт, такое в принципе возможно?
Изображение в смс-рассылке: основные требования
Сложно себе представить качественный и эффективный смс-сервис без изображения и интегрированных ссылок для прямого переход на товар или услугу. Наличие изображения важно для клиента в любом возрасте, а для молодежи такой мультимедийный контент – один из шансов, что клиент именно у вас закажет товар.
вот (к примеру) как понять, что в тексте смс текстовый адрес ссылки, а не картинка, ведущая непонятно куда?
Фотография из Фотогалереи на E1.ru
при почтовой рассылке это вроде как без проблем делается
[Сообщение изменено пользователем 28.02.2021 09:34]
Изображение в смс-рассылке: основные требования
Сложно себе представить качественный и эффективный смс-сервис без изображения и интегрированных ссылок для прямого переход на товар или услугу. Наличие изображения важно для клиента в любом возрасте, а для молодежи такой мультимедийный контент – один из шансов, что клиент именно у вас закажет товар.
вот (к примеру) как понять, что в тексте смс текстовый адрес ссылки, а не картинка, ведущая непонятно куда?
Фотография из Фотогалереи на E1.ru
при почтовой рассылке это вроде как без проблем делается
[Сообщение изменено пользователем 28.02.2021 09:34]
n
n0pr0blem
Сама аббревиатура sms - short message service говорит о том, что это текстовые сообщения.
В них не может быть картинок по определению.
«А как же смайлики?», - спросите вы, как ищущий во всем подвох пенс-три-единицы.
Смайлики - тоже текст, последовательность, которую ваш телефон заменяет на картинку для красоты.
Для того, чтобы можно было корректно прислать ссылку вида <а href=“Украдупарольпенса.ком”> произвольное-имя </а>, принимающая сторона должна понимать хотя бы язык html самой первой версии.
Почтовые клиенты, браузеры знают html и корректно отобразят такую ссылку: подчеркнуто будет произвольное-имя, а при нажатии вы перейдёте на украдупарольпенса.ком
А вот блокнот в винде или приложение для чтения смс в телефоне никаких языков не понимают, поэтому и отобразят структуру ссылки в виде <а href...> ... </a>, ровно так, как отправитель ее написал
Вывод: ссылка на официальный домен сбера в смс это только ссылка на официальный домен Сбера.
Продолжайте наблюдение!
В них не может быть картинок по определению.
«А как же смайлики?», - спросите вы, как ищущий во всем подвох пенс-три-единицы.
Смайлики - тоже текст, последовательность, которую ваш телефон заменяет на картинку для красоты.
Для того, чтобы можно было корректно прислать ссылку вида <а href=“Украдупарольпенса.ком”> произвольное-имя </а>, принимающая сторона должна понимать хотя бы язык html самой первой версии.
Почтовые клиенты, браузеры знают html и корректно отобразят такую ссылку: подчеркнуто будет произвольное-имя, а при нажатии вы перейдёте на украдупарольпенса.ком
А вот блокнот в винде или приложение для чтения смс в телефоне никаких языков не понимают, поэтому и отобразят структуру ссылки в виде <а href...> ... </a>, ровно так, как отправитель ее написал
Вывод: ссылка на официальный домен сбера в смс это только ссылка на официальный домен Сбера.
Продолжайте наблюдение!
Авторизуйтесь, чтобы принять участие в дискуссии.