Как мошенники узнают баланс карты
Как мошенники узнают баланс карты?
Добрый день, уважаемые друзья!
Эксперты рассказали, как мошенники могут узнать баланс банковской карты. Отмечается, что для этого необязательно звонить потенциальной жертве и пытаться выяснить данные обманным путем.
По его словам, проблема может быть не только в онлайн-банкинге, но и в любом другом приложении, которое разработал банк. Бабин привел в пример сервис card2card (переводы с карты на карту), где можно было ввести номер карты и сумму и узнать, достаточно ли денег для перевода. Таким образом, мошенникам предоставлялась возможность узнать не только номера всех карт банка, но и их баланс, пояснил эксперт. Он отметил, что банкам следует качественно выстраивать процесс информбезопасности, следить за каждой системой в инфраструктуре и непрерывно проводить анализ защищенности приложений.
А вот старший преподаватель кафедры банковского дела университета «Синергия» Дмитрий Ферапонтов заявил, что злоумышленник может узнать баланс карты с помощью манипуляций, или втереться в доверие человеку и добыть нужную информацию. Также он не исключает «банальный способ» узнать баланс карты – «подглядывание из-за спины», когда человек выводит баланс счета на экран банкомата или использует банковское приложение в людных местах.
Субъективное дополнение от автора:
Перечисленные способы, которыми могут пользуются мошенники не являются единственно возможными. Сейчас, когда действуют и вводятся в действие все новые законы, связанные с передачей данных о гражданах в электронном виде, повышается вероятность того, что любые другие данные владельцев банковских карт могут передаваться по информационным каналам, и далеко не всегда безопасным. Упоминая коррупцию, растущие аппетиты чиновников и другие нюансы обогащения за счет граждан, следует ли говорить о том, что чиновники могут распоряжаться переданной им информацией о гражданах не по назначению и передавать ее другим лицам? После того, когда мошенники располагают Вашими персональными данными, они намного проще выстраивают коммуникацию с обманутыми, находя тесные точки соприкосновения.
Как узнать баланс чужой банковской карты, зная её номер?
Мошенники, когда звонят доверчивым владельцам карт и представляются службой безопасности банка, заинтересованным покупателем, сотрудником госорганов или ещё кем-то важным, наверняка выбирают себе жертв, не тратя времени на тех клиентов, у кого мало средств на счету.
Оказывается, узнать баланс чужой карты очень просто.
Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственности за любой возможный вред, причиненный материалами этой статьи
Как узнать чужой баланс? Для этого нужно знать только номер карты – 16 цифр (иногда меньше) – и дату рождения.
Зная номер карты (или его часть, дальше детальнее) и дату рождения владельца, достаточно позвонить с любого телефона на горячую линию банка и в меню IVR выбрать пункт вида «проверка баланса карты в автоматическом режиме».
Одно дело, когда баланс озвучивается владельцу карты, звонящему в банк со своего телефона.
Но проблема, которую я хочу донести, заключается в том, что банки для удобства клиентов предоставляют такую возможность даже с непривязанных, не принадлежащих данному клиенту, телефонов.
Я проанализировал ТОП-10 банков Украины по количеству активных пластиковых карт на возможность получения баланса карты при звонке с незарегистрированного (нефинансового) номера телефона. Уверен, в России ситуация аналогичная.
| Банк | Количество активных карт | Возможность проверки с незарегистрированного номера телефона |
|---|---|---|
| Ощадбанк | 5,41 миллиона | До конца марта 2017-го — да: номер карты + дата рождения. Сейчас с незарегистрированного телефона это невозможно |
| ПУМБ | 667 тысяч | Да: 6 первых цифр + 4 последних + дата рождения. В ответ получаем баланс и последнюю операцию по карте, включая дату её совершения |
| Укрсоцбанк (UniCreditBank) | 595 тысяч | Да: Номер карты + дата рождения |
| Укрсиббанк | 1,04 миллиона | Да: Номер карты + срок действия + дата рождения |
| Альфа-Банк | 1,14 миллиона | Да: 4 последних цифры карты + номер паспорта |
| Райффайзен Банк Аваль | 2,11 миллиона | Да: 8 последних цифр карты + номер идентификации или Номер идентификации, секретный код и последние 4 цифры |
| ПриватБанк | 17,08 миллионов | Нет, с незарегистрированного телефона это невозможно |
| А-Банк | 461 тысяча | Нет, с незарегистрированного телефона это невозможно |
Такие банки, как Укргазбанк (725 тысяч активных карт) и Укрэксимбанк (401 тысяча) не предоставляют такой возможности в IVR.
Как видим, больше всего клиентов, чей баланс карты так просто узнать – у Ощадбанка – 5,41 миллиона активных платёжных карт (до конца марта 2017-го. На данный момент с незарегистрированного телефона это невозможно. Статья могла быть опубликована много месяцев назад и называться «Как узнать баланс чужой карты Ощадбанка» – я ждал, пока банк исправит ситуацию).
И клиенты именно этого банка страдают (страдали) от недостаточной финансовой грамотности вкупе с социальной инженерией – ведь именно в Ощадбанке среди держателей карт больше всего, по сравнению с другими банками, пенсионеров, переселенцев, а также тех, кто получает социальные выплаты…
Приведу комментарии пользователей Хабрахабра из других постов, к чему может привести ситуация, когда ваш баланс известен третьему лицу.
На самом деле это ж для мошенников раздолье. «Мы вам звоним из техподдержки банка, на вашем счету сейчас N руб. Но для *придумать действия* нам еще нужны дата действия карты и код с обратной стороны».
Можно позвонить этому абоненту, назвать его по имени-отчеству, представиться работником банка и убедить совершить какие-либо действия с картой или счетом. Социальная инженерия, google://Кевин_Митник
Помимо мошенников, ваш баланс могут узнать любопытные коллеги.
Или подчинённые могут узнать зарплату своего начальника, проверив баланс его карты в день поступления средств.
Примеров, кому может понадобиться узнать сумму средств на чужой карте, много.
В любом случае, это конфиденциальная информация, и её нельзя так просто разглашать. В меню IVR многих банков доступны и другие операции, которые можно совершить в автоматическом режиме. В рамках этого материала они не учитывались. Также я не рассматривал возможность проверки баланса и совершения других действий при звонке с принадлежащего клиенту номера телефона – при наличии чужого телефона возможно совершить действия и пострашнее. Берегите свой телефон.
P.S.: Просьба к банкам – сделайте проверку баланса и другие действия в IVR с того номера телефона, который не принадлежит клиенту, невозможным.
Так делают крупнейшие ПриватБанк/А-Банк и сделал Ощадбанк, спустя много месяцев после моего обращения.
Или сделайте хотя бы сложнее – чтобы вместо даты рождения нужно было указывать номер паспорта (мне понравился такой подход в Альфа-Банке) или номер карты идентификации (как в Райффайзен Банке Аваль).
Как мошенники узнают баланс карты
Ошибки приложений, из-за которых посторонние лица могут получить конфиденциальную информацию о других пользователях, встречаются постоянно, говорит руководитель отдела анализа защищенности веб-приложений Positive Technologies Ярослав Бабин. «По нашим данным, проблемы, связанные с недостаточной авторизацией, мы встречали в каждом третьем приложении (31%), а годом ранее — в 63% банковских приложений. Часто эти уязвимости приводят к тому, что злоумышленник может узнать сумму счетов других клиентов, посмотреть выписки, узнать шаблоны операций или предыдущие переводы».
Но проблема может быть не только в интернет-банкинге, но и в любом другом приложении, которое разработал банк, заявляет Бабин. «Например, был случай, когда в сервисе card2card ( переводы с карты на карту ) можно было ввести номер карты и сумму, а в ответ сервис мог указать, что сумма на счету недостаточна для перевода или условно «все ок, такие деньги тут есть, можно переводить». Таким образом, мошенникам предоставлялась возможность узнать не только номера всех карт банка, но и их баланс».
И тут добропорядочный пользователь ничего не может сделать, чтобы избежать этого, поскольку все зависит от банка, который должен выстраивать процессы безопасности платежей, следить за каждой системой в инфраструктуре и непрерывно проводить анализ защищенности приложений, добавил Бабин.
Преступники имеют и другие возможности узнать баланс карт. Самый простой и распространенный способ получения конфиденциальных данных человека, в том числе информацию по сумме остатков на банковских счетах, — втереться в доверие или манипулируя, добыть информацию, говорит старший преподаватель кафедры банковского дела Университета «Синергия» Дмитрий Ферапонтов. При этом информация, необходимая мошенникам для того, чтобы выйти на клиента банка и попытаться выведать у него баланс карты, попадает в их руки из-за утечек персональных данных.
При этом одним из наиболее банальных способов узнать, сколько денег на карте, по его словам, является «подглядывание из-за спины», когда держатель карты выводит баланс её счета на дисплей банкомата или использует банковское приложение в людных местах. Но сейчас банки начали этому противодействовать, вводя в свои приложения функцию «скрыть остатки», заметил Ферапонтов.
Эксперты рассказали, откуда телефонные мошенники узнают суммы на балансе наших карт
Источники утечек могут быть разными — от недостаточно защищенных банковских приложений до собственной беспечности при пользовании смартфоном на людях.
В последнее время телефонные звонки от «банковских» мошенников получает каждый россиянин — и иногда по несколько раз в день. Они разговаривают как настоящие сотрудники службы поддержки банка, обращаются к своему собеседнику по ФИО и разными способами убеждают людей либо выдать им данные своей пластиковой карты, либо самим перевести деньги на указанный счет.
Больше всего абонентов, получающих такие звонки, удивляет и пугает, что мошенники знают сумму на их счету. Многие СМИ ранее высказывали предположения, что с преступниками сотрудничают настоящие сотрудники банков, которые за плату передают им информацию о клиентах. Но эксперты говорят, что есть и другие способы заполучить данные о балансе потенциальной жертвы.
По словам главы отдела анализа защищенности веб-приложений Positive Technologies Ярослава Бабина, каждое третье мобильное приложение имеет уязвимости, связанные с недостаточно надежной авторизацией. Год назад такие слабые места присутствовали в 63% банковских приложений. «Часто эти уязвимости приводят к тому, что злоумышленник может узнать сумму счетов других клиентов, посмотреть выписки, узнать шаблоны операций или предыдущие переводы», — пояснил эксперт.
Бабин подчеркнул, что утечки могут происходить не только из приложений для онлайн-банкинга, но и из других сервисов, которые так или иначе задействуют в своей работе данные о счетах, картах и балансе банковских клиентов. В пример он привел сервис для перевода средств с карты на карту (card2card), где когда-то можно ввести номер карты потенциальной жертвы и некую произвольную сумму, а сервис в ответ сообщал, что на счету недостаточно средств — или, наоборот, запрашивал дополнительные данные, то есть косвенно выдавал информацию о балансе.
Эксперт отмечает, что предотвратить подобные утечки владелец счета и пользователь приложения никак не может — вся ответственность лежит на банке, который должен выстраивать информационную безопасность и процесс ее постоянного контроля. Судя по тому, какой шквал мошеннических звонков обрушился на россиян в последнее время и сколько новостей об утечках данных клиентов банков появляется в СМИ, работа эта ведется не должным образом.
Старший преподаватель кафедры банковского дела университета «Синергия» Дмитрий Ферапонтов считает, что самый распространенный способ получения конфиденциальных данных о россиянах — это психологические манипуляции, позволяющие мошеннику втереться к жертве в доверие. Многие злоумышленники следят за людьми в общественных местах, особенно возле банкоматов, и из-за спины подглядывают, какой баланс счета выводится на экране банкомата — или что отображается в банковском приложении на смартфоне у человека. Некоторые банки даже ввели опцию, защищающую от таких подглядываний, — «скрыть остатки», — при активации которой сумма на счету не будет отображаться на экране при каждом входе в приложение.
При этом Ферапонтов признает, что действительно встречаются прецеденты преступного сотрудничества банковских работников с мошенниками. Однако, по его словам, такие случаи все же «уходят в историю», поскольку банки стараются контролировать ситуацию и предотвращать подобные «альянсы», поскольку теряют на этом свою репутацию и лояльных клиентов.
Куда менее щепетильны и менее контролируемы сотрудники других сервисов, где граждане предоставляют данные своих банковских карт, — например, сервисов доставки, каршеринга, такси и различных маркетплейсов. Имели место утечки персональных данных россиян, подававших заявки на получение займа в микрофинансовых организациях.
В последнее время появились фальшивые сайты банков. Их создатели делают рассылки писем на электронную почту людям, предлагая пройти по ссылке и воспользоваться персональным предложением льготного кредита или другой привлекательной банковской услугой. Кликнув на ссылку в письме, адресат попадает на сайт, который внешне выглядит в точности как интернет-страница известного банка или даже государственного учреждения. Там ему велят заполнить форму, куда вводятся персональные данные, — якобы для подачи заявки на услугу. Эти данные попадают в распоряжение злоумышленников.
Телефонные мошенники зашли настолько далеко, что, уговаривая жертв перевести деньги на некий резервный счет, якобы чтобы спасти их от несанкционированного списания, за свой счет вызывают людям такси, чтобы те могли доехать до ближайшего банкомата, не теряя связи, и по инструкциям собеседника выполнить операции по переводу средств.
Недавно МВД заявило, что ему нужен доступ к списку контактов из телефонной книги граждан. В таком случае ведомство обещает в режиме реального времени предупреждать абонента о том, что ему звонит мошенник. Суть идеи в том, что если вам кто-то позвонит с неизвестного номера, специальное приложение проверит этот телефон по полицейской базе и в случае совпадения выдаст предупреждение. Зачем при этом получать доступ к контактам граждан — непонятно. Эксперты выразили опасение по поводу этой инициативы, считая ее очередным источником угрозы персональным данным в плане возможных утечек.
Эксперты рассказали, как мошенники могут узнать баланс чужой карты
Эксперты назвали несколько способов узнать баланс чужой банковской карты.
Мошенники могут узнать о состоятельности клиента банка как методами социальной инженерии (выведав эти сведения, например, при телефонном звонке), так и через уязвимости в приложениях, сообщает РИА Новости. Ошибки в приложениях встречаются постоянно, говорит руководитель отдела анализа защищенности веб-приложений Positive Technologies Ярослав Бабин. Например, в каждом третьем приложении встречаются проблемы, связанные с недостаточной авторизацией. При этом год назад такие ошибки были в 63% банковских приложений. Часто эти уязвимости приводят к тому, что мошенники могут узнать сумму счетов клиентов, посмотреть выписки, увидеть шаблоны операций или предыдущие переводы.
Был случай, когда в сервисе переводов с карты на карту card2card можно было ввести номер карты и сумму, а в ответ сервис указывал, достаточная ли сумма хранится на счету для такого перевода. Добытую информацию мошенники могут использовать для дальнейших схем по хищению средств.