26 ноября 2019, 23:21
Неприятно удивил Сбербанк сегодня - отсутствием двухфакторной верификации при оплате картой через интернет.
Сегодня я заплатил имущественные налоги. Удобно платить стало, заходишь в кабинет налоговой, перед тобой сумма к оплате, выбираешь оплату картой, и как обычно, на специальной странице защищенной вводишь данные карты, и по идее — должно выйти окошко с вводом пароля из СМС.
Такой типа интернет магазин налогов сделали. Буквально год назад приходилось отдельно по каждому объекту операцию оплаты совершать, сейчас просто общую сумму можно оплатить.
У меня налог 121 тыс руб. В сбере у меня были деньги, решил оплатить картой Сбера. Визой.
Ввел данные, и — у меня отвис подбородок, оплата произошла без ввода СМС.
Ну как бы сумма не маленькая, гипотетически, если кто то у меня украдет карту (или просто узнает данные — это может сделать любой работник того же Сбера, державший в руках мою карту), то может купить что нибудь в каком нибудь магазине на всю котлету.
Я решил прояснить этот вопрос — сначала меня загрузили, что СМС было, выяснилось, что это была СМС постфактум — уведомление о свершившейся операции. Потом начали говорить, что это настройки сайта налоговой — ну я им объяснил, что ранее оплачивал подобный налог картой Альфабанка, и там пришлось вводить код из СМС.
В итоге прислали письменный ответ — одним из пунктов было —
Такой типа интернет магазин налогов сделали. Буквально год назад приходилось отдельно по каждому объекту операцию оплаты совершать, сейчас просто общую сумму можно оплатить.
У меня налог 121 тыс руб. В сбере у меня были деньги, решил оплатить картой Сбера. Визой.
Ввел данные, и — у меня отвис подбородок, оплата произошла без ввода СМС.
Ну как бы сумма не маленькая, гипотетически, если кто то у меня украдет карту (или просто узнает данные — это может сделать любой работник того же Сбера, державший в руках мою карту), то может купить что нибудь в каком нибудь магазине на всю котлету.
Я решил прояснить этот вопрос — сначала меня загрузили, что СМС было, выяснилось, что это была СМС постфактум — уведомление о свершившейся операции. Потом начали говорить, что это настройки сайта налоговой — ну я им объяснил, что ранее оплачивал подобный налог картой Альфабанка, и там пришлось вводить код из СМС.
В итоге прислали письменный ответ — одним из пунктов было —
В соответствии с действующей технологий работы Сбербанк Онлайн операции в пользу низкорисковых поставщиков услуг проходят без подтверждения SMS-паролем.
Порядок определения уровня риска операции/поставщика услуг определяется банком и не подлежит разглашению. Предоставить полный список организаций не представляется возможным.
Так что по аккуратнее с хранением денег на картах Сбера, у них свои приколы оказывается. Принимают решение сами, где мы можем оплачивать без двухфакторной верификации.
Sergei,
у вас очепятка кто кого прижал :0\
Элитный отряд СИНИХ ПИНГВИНОВ и ЗЕЛЕнный Аллигаторы идут в бой против развода лонгустов — жёсткий лонг на все плечи
Я не понимаю момент с возвратом дивов основными акционерами обратно в компанию. Не бросайте помидорами только.
Вот они выплатили 3млд за 2023г и 1й квартал 2024, удержали НДФЛ со всей сумме, потом 8...
И префы ленинерго явно не 0)
Тредер,
Индекс доллара формирует «флаг» перед решением ФРС, рынок нацелен на прорыв 1,05 по EURUSD
В преддверии объявления решения ФРС валютная пара EUR/USD остаётся зажатой у ключевого среднесрочного уров...
17:45
В случае восстановления рынка алмазов и дальнейшего ослабления рубля акции Алросы могут стать интересными для покупки, сейчас у нас нейтральный взгляд - ГПБ Инвестиции Чистый импорт алмазов в Индии ст...
Дмитрий Первый, основной рост вчера в 20-30 начался, может и слив так же начнут :) Но стоит и учитывать, что завтра статистика и цену захотят удерживать под нее
17:45
General Mills (продукты) — Прибыль 6 мес 2025 ф/г, заверш. 24.11.2024г: $1,386 млрд (+8% г/г). Дивы кв $0,6. Реестр 10 января 2025г General Mills, Inc.
Number of shares of Common Stock outstanding ...
Добрый день! Какие на завтра планы? получаем купон или снова техдефолт?
Никакой двух… фак… торной а средтсва спишут на раз.
Не обольщайтесь на этот счет и не держите на карточных счетах больше чем планируете потратить на неделе.
Изменили же закон
Суть поста в том, что оказывается с помощью карт сбера (в отличии от альфы например — потому что альфовская карта на том же сайте запрашивает подтверждение), можно вообще что то оплачивать без подтвержения. При этом аидимо нет ограничения на сумму.
Далее дело техники.
Так как сбер отказывается дать списко доверенных магазинов, очевидно что он откажется и предосиавить технологию, по которой определяет эти сайты.
Возможно, что технически, программно, можно на***ь стстему, чтобы она признала доверенным какой то фейкоаый магазин, и таким образом поднять бабла.
Двухфакторную верификацию тоже можно теоретичски обойти, но тут проосто доп защита.
при оплате свыше 600 или тысяси рублей в обычном магагине и то надо пин код вводить, а здесь просто любая сумма.
Похоже что списка доверенных магазинов вообще нет, а есть какой то алгоритм, принимающий решение о запросе верификации по СМС. А значит его можно обмануть.
Зависит от торговой точки, а не от банка. Алиэкспресс например любые банки принимает без смс. Есть даже такие торговые точки, где код сvv2 не нужен.
Но на стороне банка, у некоторых банков, можно запретить такое.
gramatik.ru/ne-i-ni-kogda-pishetsya-slitno-a-kogda-razdelno/
в ПСБ аналогично.
счёт не виртуальный, а реальный.
А конретно сотрудникам сбера.
Они же могут продавать данные карт, я думаю эта тема получит развитие, учитывая что последнее время часто стали писать об утечках конфиденциальных данных
Ну, а по поводу двухфакторной верификации… Ну, я бы очень хотел посмотреть на то, как мошенники будут выводить деньги с карты путем уплаты налогов. Во первых, замучаются их возвращать. А во вторых, при неминуемом расследовании сразу же всплывут данные того, за кого были уплачены налоги.
Воруют данные все, не только в сбере.
Но в в сбере защита хуже.
Более того. В другом комменте человек написал, что билеты авиа покупал тоже без подтверждения.
А сбер отказывается предоставлять список доверенных магазинов.
Возможно что такого списка вообще нет, а просто алгоритм определяет где надо смс а где не надо запрашивать.
Можно купить данные карт, насоздоать магазинов, и вывести уйму бабла
Впрочем, как я понимаю, Вы достаточно хорошо изучили защиту Сбербанка и других банков, чтобы сделать вывод о том, что защита Сбера хуже.
Да, между прочим, пользуюсь картами Тинькова и Рокета. Достаточно часто возникает ситуация, когда там, где Сбер требует дополнительного подтверждения, транзакции по этим картам проходят без подтверждения.
Говорит ли это о том, что там защита хуже? Не уверен. Скорее, там несколько иначе настроены алгоритмы поиска фрода.
И, кстати, Вы не пробовали получить список доверенных магазинов в том же ВТБ или Альфе? Поделитесь опытом получения?
И не пытался узнать список довернных магазинов. просто в своем вопросе сберу сформулировал — а где еще можно платить без подтверждения? А уже они эту формулировку дали.
Для меня забавно — сейчас вспомнил, что для того чтобы зайти в сберовский квик, нужно каждый раз вводить смс, особенно по утрам это подбешивает. С вечера если квик включенный оставишь, он примерно с 9 до 10 утра на следующий день от сервера отваливается, а потом в 10 подключается и шлет смс. А в банке не надо смс вводить при покупках онлайн. Прикольно.
Зато, мне приходилось иметь дело с более чем десятком банков и, также некоторое время назад анализировать вопросы безопасности, связанные, в том числе, и с картами. Так что, Ваше утверждение ошибочное и основанное на абсолютно неверных посылках. Выше я уже написал об этом, повторяться не буду.
А теперь краткий ликбез по картам:
1. Нет такого понятия, как доверенный магазин.
2. Есть понятие эмитент — банк, выпустивший карту, и есть понятие эквайер — банк, который предоставляет услугу магазину (Неважно, интернет или оффлайновый ).
3. Эмитент и эквайер далеко не всегда совпадают. К примеру, было бы наивным думать, что Amazon будет использовать, в качестве банка-эквайера, как Сбербанк или Альфу, так и Мухосрансккомбанк.
4. Настройки на стороне эквайера — зона ответственности оного. Так что, использовать или нет 3d secure — зависит не от эмитента. Более того, эмитент об этом даже не ставится в известность. Что логично, ибо сколько в мире магазинов и иже с ними?
5. Банки используют различные алгоритмы проверки транзакций на «подозрительность». К примеру, если 70-летний господин вдруг начнет играть в онлайн-казино или переводить значительные средства в Нигерию, банк скорее всего приостановит транзакцию и свяжется с ним. И, вполне логично, что некоторые типы транзакций по мнению банков не являются подозрительными. У разных банков критерии разные. К примеру, когда я расплачиваюсь картой Тинькова в Ленте, терминал предлагает мне предъявить паспорт или другой документ, а Рокет или Сбер спокойно запрашивают ПИН-код. Мне считать Тинькофф более надежным банком из-за этого?
А теперь вопрос, касающийся Вашего недоумения по поводу перечисления средств в налоговую.
Предположим, злоумышленник перечислил деньги в налоговую. Как он сможет ими воспользоваться? Смотрим. Злоумышленник оплатил налоги свои или третьего лица. Ок? Что дальше? Владелец карты, обнаружив хищение, обратится в свой банк и, в результате достаточно простого расследования будет ясно куда ушли деньги. А потом на зоне будут долго смеяться над тем идиотом, который так бездарно сам себя подставит под статью.
Как говорится в таких случаях. Ну, допустим, пробил ты головой стену, что ты будешь делать в соседней камере?
В любом случае, если не нравится какой-либо банк, всегда можно найти другой, который будет больше отвечать Вашим чаяниям.
К примеру, я обслуживаюсь сейчас в 7 банках, один из которых, кстати, по размеру активов как раз уровня Мухосраснккомбанка. И у меня 4 брокерских счета, заточенных под разные стратегии. Не устроит что-либо в обслуживании, просто развернусь и уйду. Даже не буду срач разводить.
Ну, не нравится Вам Сбер, так зачем мучаться?
1. Что значит вериикация по смс?
Это значит, в моем понимании — что, для того чтобы транзакция произошла, я должен с ввести пароль из смс. То есть для абстрактного вора моих данных, который решил расплатиться моей картой — доплнительная сложность, надо еще телефон украсть, а луше придумать прогу, которая будет смс перехватывать, например где то в банке установить.
2. Это значит, что при прочих равных, рациональнее для потенциальных мошеннических действий выбрать банк, где смс не нужно вводить при оплате.
Первый вывод — банки, где нужно вводить смс — надежнее (при прочих равных условиях). Вы с этим согласны? Если нет, мотивированно объясните, именно используя формулировку — при прочих равных условиях, не отвлекаясь на другие доводы.
Теперь, что касаемо — зачем вообще платить. Опять таки я уже три раза написал выше. Видимо я не внятно в самом посте объяснил его суть.
Суть в том, что я выяснил, что моей картой кое где можно платить без подверждения по смс. Вот суть моего поста. А не то, что без смс кто то свои налоги моей картой буте оплачивать.
Например в одном из комментов ранее человек написал, что оплачивал картой авиабилеты, и тоже не потребовалось смс.
Суть поста ясна теперь? Если не ясна, еще раз не поленюсь повторить — то, что моей картой можно плаить без подтверждения по смс в принципе.
Почему я так тщательно пытаюсь это донести?
Объясняю далее — можно купить данные карт в сбербанке. Купить например данные 10 миллионов карт. Далее, создать фэковые интернет магазины. Создать 1000 магазинов. Далее, установить на них окна для приема например оплаты сотовой связи. Например от яндекса того же. Я не знаю точно где проще сейчас. Раньше яндекс можно было установить для приема до 15тыс рублей без всяких договоров и документов. То есть у них есть какой то банк экваер. У меня был интернет магазин, и было так установлено — поэтому я это знаю.
А дальше дело техники — например просто оплатить услуги сотовой связи того же Мегафона. У Мегафона в свою очередь есть афиилированный банк, и в свою очередь каждый владелец номера потеницально имеет возможность выпустить для себя карту. То есть дальше можно певродить потом деньги.
Вы спросите — где взять столько номеров мегафон. На счет мегафона не знаю, но имел дело с Теле2 — мне в магазин приносили эти сим карты пачками, чтобы мы их продавали. Мы должны были заполнять данные клиента, но по факту никому особо это не надо. То есть можно по факту купить или получить анонимно сим карту, а деньги оттуда можно переводить на другие номера, или расплачиваться за что то.
Там где на улицах или в магазинах со столиками стоят люди, продающие карты, с ними непроблема договориться и купить сим карты без паспорта.
Это просто один из сценариев, как можно использовать этот косяк без верификации по смс.
Что теперь скажете? Не надо платить чужие налоги, и пробивать головой стены. Головой надо думать.
И последнее, я не мучаюсь со сбером. У меня просто там открыт счет брокерский, и потому открыт счет банковский — туда приходят купоны.
Мне надо было их потратить, и я решил таким образом это исполнить.
и поделился ньюансом.
В свою очередь, к Вам вопрос, если Вы все знаете, зачем ввязываетесь в эту никчемную дискуссию?
Я написал пост для таких как я, которые в этом ничего не понимают.
За сим прощаюсь, не вижу смысла тратить свое время.
Да и вообще, при желании можно и платежкой за третье лицо налоги заплатить и за физика и за юрика.
Еще мособлгаз так развлекается)
Возможно в Сбербанке есть алгоритм запроса смс. Пока деньги не пропадали )))
А авторизация это типа подтверждение личности?
Ну вот двухфакторной при опоаие онлайн в сбере получается что нет.
Хотя у брокера сбера при каждом заходе в квик это есть.
Так странно
Экваеру надо защититься от оспаривания.
Мне надо, чтобы в случае 3дс мне вообще не пришлось бы что то оспаривать. Я точно знаю, что данные моей карты менеджеры сбера знают.
Как минимум они. Также я точчо знаю, что не зависимо от того, экваер, в моем случае — налоговая инспкеция, установила двухфакторную верификацию, или не установила — по моей карте альфабанк запрашивает подверждение операций. В том числе на сайте налоговой.
И для меня чисто психолгически, комфортнее осознавать, что без моего подверждения деньги не спишутся (сейчас ведь не физическое отчуждение телефона с картой обсуждаем — которого еще не произошло, а уже установелнный факт, что данные карты известны третьем лицам).
Я обратился в банк с просьбой включить мне такую верификацию, и в письменном ответ( кроме того что я запостил) был и отказ от этого, то есть они не будут мне такую опцию включать.
сбер явно что-то мутит, но т.к. обязанности проводить двухфакторную верификацию у них нет, то и претензии предъявить не получится.
Карту делал много лет назад, специально для осуществления платежей через интернет (сейчас и в обычных магазинах). Пополняется на небольшие суммы. Если что-то уведут — будет неприятно, но совсем не смертельно. Это значительно лучше, чем везде расплачиваться «зарплатной» картой.
Почему альбанк смс прислал при оплате в ту же, бюджетную организацию?
Чего то не нормально