Приватбанк позволяет злоумышленникам снимать деньги с карточки

Злоумышленники ударили Васю по голове, забрали кошелек и телефон. Пока Вася валялся без сознания, с помощью смс-банкинга сбросили пин-код и сняли все деньги с карточки. Еще раз: для смены пин-кода достаточно отправить смс с телефона владельца с номером карточки. Эту возможность нельзя отключить. То есть любой гопник может забрать деньги с вашей карточки. Как сказали в поддержке, это сделано для удобства идиотов, неспособных запомнить четыре цифры пользователей. Лично я предпочел бы лишний раз посетить отделение банка для сброса пин-кода вероятности потерять все деньги с карточки.

ДОБАВЛЕНО:
Чтобы сбросить пароль в приват24 нужна карточка, телефон и ИНН. То есть если вы носите с собой карточки, телефон и паспорт — злоумышленник получит доступ в интернет-банк.

Уважаемые коллеги, просьба посоветовать более безопасный банк.

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn

Найкращі коментарі пропустити

Ярослав, ПриватБанк так же позволяет использовать Вашу прямую кишку в целях сексуальных удовлетворений, опять же после сценария с «гопник ударил по голове», но Вы почему-то до сих пор ходите с открытой легкодоступной дыркой каждый день, доступится до которой достаточно всеголишь ударить Вас по голове. О дырах в безопастности банка Вы подумали, но почему не подумали о дырах в вашей безопасности?

Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Для параноиков финансовый номер-симку держать дома, в сейфе. Доставать только при необходимости.

ну ты и голова и придумал.а че не в ячейке в Швейцарии??¿

Добрый день! Полностью согласен с Kira Cantatore. В любых продуктовых маркетах (в частности АТБ и Сильпо), оснащенных POS терминалами от Приватбанка пин-код не запрашивается. Так 31.05.2019 при оплате покупок в Сильпо, Киев, б-р Кольцова, 14м на сумму 180.20, POS терминал от Приватбанка провел операцию молча, не требуя ввода Пин кода, даже не задав вопрос о том, хочу ли я его ввести. Точно в таком же режиме 30.05.2019 провел молча операцию POS терминал от Приватбанка в маркете АТБ, с.Лесники, Ватутина, 168 на сумму 113.70. Таким же образом действуют POS терминалы от Приватбанка и в других маркетах. Перечислять все займет много времени. POS терминалы от Ощадбанка и Райфайзен однозначно спрашивают ПИН. О других банках не знаю. Считаю, что это обстоятельство создает уязвимость для счетов клиента. И это недопустимо. Ведь при потере карты любой нашедший ее сможет безболезненно снять всю сумму, пока клиент не спохватится о том, что она пропала.

Ещё один специально зарегистрировался на ДОУ чтобы расписаться в собственном профанстве.

А почему Приватбанк разрешает некоторым супермаркетам и не только, снимать без пароля деньги с карточки? Оказывается, можно снять до 1000 грн, не вводя пин-код! И об это, при выдаче не предупреждают! Ни смс не приходят о покупках, ни пароль не спрашивается. А узнаёшь тб этом, только когда теряешь карту и деньги на ней. На фига такие карты?? Да ещё без объяснений её минусов при выдаче в банке.

Ни смс не приходят о покупках

Потому что отвелючено уведомление СМС.

Оказывается, можно снять до 1000 грн, не вводя пин-код!

finance.liga.net/...​ummu-plateja-bez-pin-koda

узнаёшь тб этом, только когда теряешь карту

Странно как можно месяцами не интересоваться текущим балансом?

А это ахриненно удобно. Меня больше возмущает то что часто спрашивают пинкод (Пользуюсь карточкой monobank)!?

Коментар порушує правила спільноти і видалений модераторами.

Ещё немного про «мировой опыт». Живу в Аргентине, здесь вообще в принципе не существует какой-то связи между карточкой (счётом) и телефоном. Я даже не уверен, что банк знает мой номер. Вход в банкинг по номеру документа, секретному логину и паролю. На карте дневной лимит на снятие около 300 USD, железный, его по-моему вообще поменять нельзя. Это скорее минус, когда надо много налички, но зато бей-не бей хозяина — всё не снимешь. Всё это (кроме банкинга) справедливо также для Payoneer. Периодически возникает необходимость воспользоваться приватовской карточкой, то я каждый раз понимаю, какой же это гемор, а не защита — привязка к телефону.

А вариант запаролить телефон автор не рассматривает? У меня автоблокировка через 30 секунд бездействия. То есть меня надо не просто ударит по голове, все забрать, и провернуть...но еще надо вложиться в 30 секунд :)

Разве что пин на симку. Но кто сейчас это делает? Я перестал после того как перезагрузил телефон (не смарт еще, старый), и понял что пин от симки не помню.

Теперь пин можно восстановить просто из приложения :D
pbs.twimg.com/...CyylZ7hXAAIwuRj.jpg:large

Кто знает, оно хотя бы чем-то защишено? Паролем там хотя бы

Коментарі на кшталт «ви самі винуваті, що вас згвалтували, бо одягнули міні-спідницю» відкидаємо одразу.

Звернемося до міжнародного досвіду.

В Польщі, де я проживаю, немає можливості змінити PIN код виключно через СМС в телефоні.

Натомість пропонується інших 3 способи
— через банкомат
— через Інтернет-банкінг
— через інфолінію банку

Банки також зі своєї сторони пропонують можливість покупки пакету страхування (~20 грн на місяць) якраз для таких випадків, якщо карту було вжито без нашої згоди.

Кількість транзакцій, на які власник карти не давав згоди, у 2014 році у Польщі становила 0.003% (36 498 раз) — це для оцінки ризику.

ps
Кожні 24 секунди в Польщі хтось губить або в нього викрадають банківську карту

У меня знакомый гопник просто бил, требуя назвать пинкод. :-)
Самое интересное — работало.

ПриватБанк должен предоставить каждому клиенту персонального дрона-защитника!

Предвидел прямо таки этот повисший в воздухе вопрос и на прошлой неделе связывался с оператором что бы убрали у моего счета восстановление по смс, вместо чего использовать емейл,например, но такой возможности нет.
Современные банки со своей политикой (в т.ч. безопасности)как бы говорят нам «мы заботимся о вас»

На кожну ще більш розумну і досконалу систему природа знайде ще більш тупого користувача.

О да,
Плакаться на ДОУ ума хватило а поставить пароль \ графический ключь на телефон не хватило...

Урок русского языка в грузинской школе:
— Дэти, запомнитэ, слова: вилька, тарелька пишутся без мягкого знака, а слова:
сол, фасол, вермишел — с мягким знаком.

И ос — это большой полосатый мух, а не то, вокруг чего вертится Зэмля.

Харащо запомните ето, дети, патаму што панять ето нивазможьно!

А если Вася иногда покупает в Интернете то вообще достаточно забрать или украсть карточку. Номера карты, due date, имя владельца и CVV (на обратной стороне) часто хватает чтобы расплатиться в онлайн магазинах.

имя владельца не нужно.

Ну, давайте разбираться. Что подразумевается под «некоторыми ПС»? Платежная система это VISA, MasterCard — например. Мы же говорим в контексте оплаты банковской картой на сайте инет-магазина, а значит подразумеваем распространенные ПС. Какая платежная система из перечисленных и подобных относится к категории тех «некоторых», о которых вы говорите? Ладно. Суть моих слов в том, что во многих скажем так торговых точках в интернете, где можно расплатиться картой, достаточно ввести лишь номер карты, эксп. дейт и CVV/CVC. Всё. Вспомните: часто на форме, где вы заполняете данные карты, даже отсутствуют какие-либо другие поля (в т.ч. фамилия-имя, эмбоссированные на карте). Вы, конечно, можете заполнять (и скорее всего заполняете) такие данные в другой «анкете», когда оформляете покупку товара, но непосредственно к процедуре оплаты картой они не имеют отношения, и при оплате не проверяются. Другое дело, сейчас в точках интернет-торговли все чаще встречаются дополнительные проверки на оплату картой, как то лукап код или 3D-секьюр. Но возможностей потратить денег с чужой карты, зная только ее номер, эксп. дейт и CVV/CVC очень много.

воу, чо так резко то?)))
Я не написал противоречий, равно как и написанное вами не отменяет правильность написанного мной. Я писал в конкретном контексте по конкретному, распространенному кейсу. Большими буквами тоже не нужно выделять, спасибо, я вижу не сто процентов но с монитора прочитать обычный текст могу)

Проверяется, если у продавца есть такое желание, как и региональные данные, включая домашний адрес. Другое дело, что обязательное требование такого может отсечь 2/3 владельцев карт, но то такое...

Очень круто ps store проверял, когда с интернет картой приватбанка делал около 5 покупок, внося Name on the card поле: CatWhoWalksBy Himself.
Ну а город и регион вообще тот, что первый в дропдауне, ибо лень.

Ну это очень круто — покупать с американской карты с украинским биллингом в украинском или американском сторе.
Тут правильного ответа нет.
Хотя есть, украинский стор и одноразовые виртуалки привата.

когда с интернет картой
Это и есть ответ. Там тип стоит неэмбоссированная карта, поэтому вводить можно что угодно.
Проверяется, если у продавца есть такое желание
Разве на неименных (коими пестрит тот же приват) проверяется? Там вроде и NO NAME в качестве фио проходит, не?

Так какая разница, оно на карте пробито же. А если нет тогда карта не именная и скорее всего пройдет платеж без имени.

На этот случай и есть лимиты для интернет оплаты — ставишь 0 покаместь не надумаешь что-то оплачивать, после оплаты возвращаешь обратно в 0 — проблема решена.

Приват присылает в СМС код подтверждения операции, без его ввода в подтверждение он не пропустит платеж. У меня так при оплате интертелекому за инет с вводом всех кодов с оборота карточки происходит. Ну и существуют лимиты, поставил — проплатил — снизил, либо отдельная карточка, даже счет это сейчас, пластик не дают. Другая ситуация, полетел стартер, я на нулях, начинаю в панике по карточкам и счетам собирать крохи на одну карточку, оплата с которой мне будет минимальной по обслуживанию, то есть суммы проводились на пару сотен. Лечу в магазин. Звонок с Привата, мы заблокировали все Ваши операции (повторюсь операции на пару сотен между моими же счетами, общая сумма до тысячи), поясните / подтвердите кто Вы и зачем таким страдали.

не всегда. в портмоне мне не приходит никогда.

Часто, но тот же приват просит код подтверждения транзакции интернет платежа с смс... так что этого мало... нужен телефон/подделанная сим

А зачем носить с собой дырявый телефон, с которого любой гопник без проблем сможет отправить СМС? Что за дурость?

И добью уже таким. Можно применить как к целеустремленности хотящего отобрать, так и к целеустремленности того, кто защищается. Главное не полагаться на то, что кто-то кому-то должен и обязан.

Как хотите, но самый целеустремленный человек — это человек, который очень хочет в туалет.

Все преграды кажутся несущественными. Кроме Цели. Согласитесь, смешно слышать фразы типа:

— я описался, потому что не было времени сходить в туалет — я был слишком уставший...
— да, конечно — завтра схожу))
— я описался — потому что потерял надежду...
— я не верил что смогу добежать...
— ну конечно, он то добежал. У него ноги вон какие длинные...
— я слишком глуп чтобы это сделать...
— я уже 5 раз описывался. У меня никогда не получится добежать...
— это явно не для меня.
— я постучался в туалет — но мне не открыли...
— мне не хватило мотивации...
— у меня была депрессия...
— у меня нет денег, я не могу себе этого позволить!....

Скандал в Эрмитаже. Злоумышленники воровали произведения искусств без бахил.

Вчера группа злоумышленников проникла в золото-валютный фонд Украины. Взломав шпингалет, они проникли в помещение и, распихав весь запас по карманам, удалились в неизвестном направлении

Сначала смешно, потом прочитал ваш тайтл — уже не смешно.

Мне не смешно с другого — отвязка з/п госслужащего от минималки и привязка его к прожиточному минимуму + конкурсы с улицы со сдачей тестов. Бомж с улицы и хорошей памятью на тесты на участок, где и один платеж может быть поболее миллиарда, а суточные обороты сотнями миллионов, это та взрощенная, светлая, продвинутая, всесторонне развитая и образованная личность, что госсударство хочет видеть исполнителем своих задач. У меня на эти должности даже кассиры с супермаркетов не хотят идти, т.к. з/п меньше. А продвигать свои выращенные кадры так облегчили, что прям как пирожки их печи. Как отобранным знания этих тестов будут помагать в критических ситуациях на технических должностях, когда решения принимаются моментально и они должны быть верны и выверены, а это наработка навыков и практика, а не конкурс набора с улицы, ума не приложу.

Я к тому, что занизив пристижность госслужбы ниже плинтуса, анекдоты станут реальностью. Как с заводов начнут нести то, с чем кто работает по долгу службы, чтоб восполнить и дополнить уровень з/п.

Бомж с улицы и хорошей памятью на тесты на участок, где и один платеж может быть поболее миллиарда
Сдается мне, что вы сильно преувеличиваете. Тесты тестами (как один из этапов отбора), но квалификационные требования никто не отменял. Наверняка были они и в вашем случае, и предполагали, как минимум, некоторый уровень образования и опыта. А все остальное решается правильным обучением.
Я к тому, что занизив пристижность госслужбы ниже плинтуса
Эммм... она и так ниже плинтуса. Репутация госслужбы в частном секторе — ты или гол как сокол, или взяточник. Вот для того, чтобы эту ситуацию как-то поменять и нужна свежая кровь, нужны открытые конкурсы с прозрачными правилами. Но, правда, это условия необходимые, но недостаточные. Также еще нужно поднять зарплату госслужащих но пристойного уровня, и «публично казнить» за коррупцию. Вот тогда лет через 10 можно будет говорить о престижности госслужбы, не держа при этом в кармане фигу и не подразумевая при этом «возможности прикупить кайен с первой взятки»...

По горячим следам они были задержаны в близлежащем ломбарде. Куда владельцем был вызван наряд полиции, дабы пресечь попытку злоумышленников реализовать фальшивое золото.

попытку злоумышленников реализовать фальшивое золото.
 31 грамм

Как говорят в Одессе — не хочу вас расстраивать, но у меня всё хорошо!
Профиль: SAMSUNG GT-E1080W. Голдовские карточки привата пустые, кредитные лимиты по просьбе минимальны.

Чтобы сбросить пароль в приват24 нужна карточка, телефон и ИНН
если вы носите с собой карточки, телефон и паспорт
Паспорт не ИНН же. И если уж злоумышленники подобрались к вам физически — то могут и угрозы/пытки применить, и пин сами скажете. Тут уже нужно беспокоиться о возможности их нейтрализации (с чем у нас в стране туго в связи с отсутствием нормальной судебной практики и легального оружия).

Гораздо хуже то, что в банкоматах есть опция «забыл карту», и есть еще какой-то способ мошенничества через liqpay. То есть есть возможность ограбить человека, отобрав только телефон (а вернее, номер), и это уже не раз делали.

И один из немногих способов защиты — привязывать карточку к неизвестному посторонним номеру телефона, и желательно не носить его с собой.

ну против терморектального криптоанализа сложно защититься
Называете особый пин, после которого баланс на карточке выглядит близким нулю. Восстановление при личном посещении отделения. Опционально вызывается наряд к месту ввода.

Это в каком банке такое волшебство происходит?

Мне о таких неизвестно, к сожалению.

В интернетах ходит байка что это в любом банкомате такое любого банка. Но я уверен что это только байка. Кстати, пин может быть симметричным. 1331 например.

Байка-то байка, но я не вижу никаких технических сложностей в ее реализации. Было бы желание. Просто большинству пофиг, судя по отписавшимся в топике.

Байка-то байка, но я не вижу никаких технических сложностей в ее реализации.
Ну ни вы, ни я, софт для банкоматов не разрабатываем. Неизвестно какие там сложности есть/нет. Алгоритм с первого взгляда простой, да. Но раз даже более простые меры принимать банк не хочет, вроде отключения возможности восстановить пин/снять деньги по смс, то ждать такой серьезной разработки не стоит.
Просто большинству пофиг
Просто приспособиться проще, чем изменить.

А я бачу. Людині властиво помилятися і вона може випадково клацнути іншу цифру — а бувають ситуації, коли це може призвести до не дуже гарних подій. Тому банк не буде іти на таке.

Не совсем понял, вы говорите о возможности по ошибке ввести вместо правильного пина пин для гопников?

Да, и он в-принципе прав. Попутать пины можно. Тут есть 2 возможности: или забудешь пин для гопников и в нужный момент не введешь (потому что запоминается то что чаще всего повторяешь/вводишь), или попутаешь. Конечно можно ограничиться только неверным балансом и невозможностью снять деньги.

Только есть еще момент — если о фиче будут знать клиенты банка, то гопники скорей всего будут знать тоже. И бить пока не скажешь правильный код. А у кого денег на карте правда нет — те зря избиты будут.

Так что в общем-то от гопников должна защищать полиция, меры предосторожности (не ходить по подворотням) и (возможно) легальное оружие.

Попутать пины можно
Можно запоминать только правильный пин, а тревожный выводить функцией от основного, например инкремент цифр. Тогда путать нечего будет.
И бить пока не скажешь правильный код
А как они узнают правильный ли код им назвали? Если они введут тревожный пин и догадаются об этом, то от правильного толку уже все равно не будет — вывод из тревожного режима только при личном посещении.
то могут и угрозы/пытки применить
Называете особый пин, после которого баланс на карточке выглядит близким нулю. Восстановление при личном посещении отделения. Опционально вызывается наряд к месту ввода.

не получится подтвердить платеж без телефона под рукой

Есть много проще способов..

Злоумышленники ударили Васю по голове, забрали кошелек и телефон.
Та не, всё ещё проще: вытащили барсетку в метро (из машины), в которой лежали кошелёк и телефон. Затем сбросили пароль, нашли бомжа Петю, за бутыль предложили ему достать бабло из ближайшего банкомата. Или просто сняли бабло сами в шапке с прорезями на лице. Дыра просто шикарная. И, главное, фиг он потом докажет, что не снимал деньги. Поскольку телефона у Васи не осталось, вовремя заблокировать карточку он, скорее всего, не успеет.
Любителям рассказывать про залочку пальцем и прочие попытки заткнуть дыру подручными средствами: самый элементарный вариант — вытянуть симку, поставить в свой телефон и произвести все необходимые действия с него.
Да, разумеется, можно таскать телефон и кошелёк в разных карманах / барсетках, можно носить с собой 3 телефона на случай кражи карточки, чтобы хоть с 1-го позвонить и т.д... А можно признать, что бенебанк лоханулся в очередной раз. И сменить его на более адекватный.

срочно в номер! Обнаруженная критическая уязвимость в сервисах привата взорвала соцсети!
Митигейшн меры: запретить шапки с прорезями на лице, бутылки, обязать клиентов банка ходить в кевларовых касках, иначе — liability shift.

бенебанк лоханулся в очередной раз. И сменить его на более адекватный

В ОЧЕРЕДНОЙ РАЗ!! Та сколько ж можно...
вытащили барсетку в метро (из машины)
Машина в метро... окей. Это недокументированная фича. Провтыкали.

Не забудьте бомжей запретить. А также сим-карты. Из-за них всё зло. А бенебанк — он не виноватый.

Будет залочка пальцем на телефоне — останетесь без пальца.

ИМХО BNY , Zürcher Kantonalbank ...
P.S. С.Д.Довлатов, «Компромисс».
— Надо бы пленку купить, — сказал Жбанков.
Зашли в уютный канцелярский магазин. Продавец заваривал кофе на электроплитке. Его типично эстонский, вязаный жилет был украшен металлическими пуговицами.
— Микрат-четыре есть? — спросил Жбанков.
Эстонец покачал головой.
— Начинается...
Я поинтересовался:
— А где ближайший магазин, в котором есть четвертый номер?
— В Хельсинки, — ответил продавец без улыбки.

А насчёт безопасности по SMS... это вообще открытая дверь для современных Андроид-телефонов. Получить доступ к SMS можно просто подсунув юзеру приложение через рекламмные каналы, которое среди прочего попросит полномочий к SMS и звонкам. Очень небольшой процент задумается, а зачем игре в косынку такие полномочия. Но способа ПРОВЕРИТЬ или способа ПЕРЕХВАТИТЬ эти вызовы, доступного простому смертному — я не знаю. То есть чтобы официально полномочия вроде как даны, но если попытаться воспользоваться — будет программый перехват, и спросит «а действительно ли надо».

А у скольких рутованные аппараты, а мультиюзера Андроид за столько лет так и не научился поддерживать...

А сколько олухов царя небесного поставили себе аппликуху Приват24, при этом дав паре десятков других аппликух системное право показывать контент поверх всех окон (то есть прозрачное окошко, и право скринить чужие)?

В том числе и по этой причине у меня обычный телефон, умеющий звонить и всё.

Зачем такие сложности. С помощью телефона можно войти в Приват-24, и там уже столько интересного... карточка не нужна, пин-код к ней тоже. Только телефон.

Понадобились тысячи инцидентов «восстановления» сим-карты через оператора связи, прежде чем вставили костыль — сотрудничество с опсосами, которые уведомляют о смене карты. И клиент что-то около месяца не может пользоваться банкингом, даже если карту заменил он сам.

Мало того, в банке вообще нет способа быстрой блокировки или экстренного доступа, например по супер-паролю. Если к примеру сотрудник банка (а текучка кадров там некислая, зайти «поработать» в колл-центре может кто угодно) передал нужные данные третьим лицам... ничего не сможешь сделать. Равно как и если подключил какие-то «услуги».

Кстати, телефонные мошенники прекрасно имитируют оператора колл-центра. Догадайтесь, как они этому научились. Банк никогда про это не скажет, само собой.

не обязательно работать в банке, чтоб прекрасно имитировать оператора КЦ. Обычная социнженерия, как она есть. Она должна быть качественной, чтоб работать.

Не обязательно. Но когда банк нанимал операторов колл-центра, а потом 1-3 месяца человек пахал аки лошадка, и его увольняют без зарплаты «вы нам не подходите» просто потому что его показатели чуть ниже в соревновании с себе подобными — угадай с одного раза откликнется ли он на предложение поработать в «финансовой компании»? Зачастую это молодняк, место работы было первым-вторым, то есть найти среди такого контингента себе работничка можно аж бегом.

Иначе говоря, банк сам настажировал кадровый резерв для мошенников.

но статистика показывает, что чаще такими мошенниками оказываются зеки, находящиеся в МЛС. Они умеют красиво говорить и волна такого телефонного мошенничества из МЛС была довольно большой в недавнее время. Да и не так просто рядовому человеку решиться на преступление, а ведь он осознаёт, что это преступление. Я бы все-таки не грешил на «обиженных профессиональных операторов КЦ» вставших на тёмную сторону и заговорщицкое молчание банков :) Сценарий звонка довольно простой, его может реализовать любой, кто умеет разговаривать. Кстати, я согласен по трем первым абзацам вашего поста, — всё верно.

Разумеется, организаторы — это мошенники. Но нередки случаи, когда персонал на обзвон просто нанимают. А насчёт зэков в местах лишения свободы — ОРГАНИЗОВЫВАЮТ это снаружи мест.

Но вот сами процедуры, алгоритмы — почему-то до идентичности совпадают, в деталях. Я более чем уверен, что организаторы там работали, и есть вероятность что там есть свои люди. Настолько коллцентр слабое звено этого банка. Я бы сказал, как бы удачнее выразиться, «точка опоры».

Впрочем, в других украинских банках не лучше.

кроме КЦ доступ к информации БПК клиентов имеют еще множество других подразделений банка. Начиная от розницы и заканчивая процессингом. Человеческий фактор всегда одно из самых слабых мест в безопасности.

Зачем такие сложности. С помощью телефона можно войти в Приват-24
Зачем такие сложности — в Приват-24 можно войти и без телефона. Ты вообще хоть раз в своей жизни пользовался Android Privat24? Если да — когда крайний раз? :)

Простетировал, удостоверился в финансовой опасности, снёс к ъе

так у Привата есть баг баунти программа, реально работающая. Выкатил бы им результаты своего тестирования, там до $ 1.5К платят за каждую уязвимость. Чё не сделал?

Они ж не заплатят за уязвимости, которые они сами сознательно ввели и считают фичами

Это касается маленьких технологических дырочек. А вот огромные дыры алгоритмов, размером с гаражные ворота — как тут правильно сказали, считают либо фичами, либо «ненужными» фичами типа давать пользователю ОТКЛЮЧИТЬ то что он считает небезопасным.

Простой пример — снятие денег без карты. Сколько уже было так украдено.... но тем не менее, ЛИМИТ СУММЫ так и не ввели. Например, запретить вообще снимать без карты кредитные средства очень не помешала бы такая настройка.

Уважаемые коллеги, просьба посоветовать более безопасный банк.
Трехлитровый могу посоветовать, как самый популярный

Последнее предложение просто замечательное. Автор бы еще другую страну попросил посоветовать.

другую страну
Да, так даже лучше

А зачем гопникам менять пароль на Привате? Засунуть вам паяльник в ж*пу и вы не только скажите свой пароль от Приват24, но и сообщите пароли от замка на велосипеде, и лично покажете где заначка лежит :) Причем тут банк? А хрен его знает, просто посоветуйте более безопасный ...

С гопниками встречались многие, но кто видал паяльник в своей ж*пе?..

Не думаю, что паяльник будет видно, кстати. А по существу, как часто эти самые гопники имеют достаточно мозга и желания, чтобы менять пароли в Приват24?

Я так и представляю себе этих гопников с УПСом, чтобы паяльник на улице греть :D

Когда увидите гопника в подворотне с газовым паяльником — пришлите фотку, плз.

Я аноним и я не вышлю вам свою фотку!

З.ы. размер обычного газового паяльника, примерно как большая отвертка.

на морозе можно водой холодной обливать поциента и смотреть как замерзает, эффект не хуже паяльника. да мало ли способов существует.

DOU образовательный.
Друг интересуется, а какие еще способы есть?

У венеролога:
— Вы знаете, у одного моего друга, кажется, что-то не в порядке...
— Снимайте тогда штаны, показывайте вашего друга.

Засунуть вам паяльник в ж*пу
Называете особый пин, после которого баланс на карточке выглядит близким нулю. Восстановление при личном посещении отделения. Опционально вызывается наряд к месту ввода.

Кстати, я видел сейфы с таким приколом ... но вот банков (и в укр. и зарубежом) еще не встречал (кроме сказок бродящих по сети о наборе своего PIN «в обратном порядке»). Интересно, почему?

Но с сейфом все может трагически закончиться, если господа гопники (хотя если добрались до сейфа, то они уже не гопники, а серьезные товарищи) разочаруются в открытии сейфа ... с банком все по-идее должно быть проще — т.к. время проверки большее и есть вероятность таки задержать, но почему-то такой практики нет ...

Видимо нет выгоды реализовывать подобное.

Да пес с ним с задержанием-то, деньги сохранить уже достаточно.

В тему о безопасности Приват24. С недавних пор появился переключатель для перехода из Приват24 для физ. лиц в Приват24 для бизнеса. С этим «нововведением» разграничение прав доступа, разные пароли, настройки безопасности теряют любой смысл. Служба поддержки отключать данную опцию отказывается. Чем чревато — получив доступ к Приват24 для физ лиц автоматически дается доступ в приват24 для бизнеса.
И бонусом — сертификат для подписи транзакций в приват24 для бизнеса можно получить из веб интерфейса имея доступ к СМС.

Блокировка телефона — выход? Абсолютно нет. Начиная с того, что некоторые приложения синхронизируют СМС в облако и перехватив доступ к аккаунту в облаке можно получить доступ к СМС, и заканчивая восстановлением номера у оператора мобильной связи.

Блокировка телефона — выход? Абсолютно нет. Начиная с того, что некоторые приложения синхронизируют СМС в облако и перехватив доступ к аккаунту в облаке можно получить доступ к СМС, и заканчивая восстановлением номера у оператора мобильной связи.
... крутоват сценарий. А восстановление номера у оператора — разве эту уязвимость не закрыли более серьезными проверками и идентификацией, нежели просто «скажите номера трех последних звонков»?

Нет, авторизировавшись в П24 для физ вы не авторизированны в П24 для Бизнеса.

Есть переключатель в верхнем правом углу, который проводит аутентификацию в П24 для бизнеса и редиректит на него

Ну, здрасте, а банк то тут причем? Невозможно обезопасить всё со стороны клиента. Предусмотреть все ситуации и реализовать универсальное решение, которое при этом не конфликтовало бы с механизмом предоставляемых услуг — нереально.

Сделать сброс пинов и паролей только при личном посещении отделения банка.

И сделать адом восстановление пинов и паролей ночью, в аэропорту, на вокзале, в срочных ситуациях.

Да пожалуйста, пусть каждый выбирает сам. Я лишь хочу чтобы возможность выбора была в принципе. Я пин ввожу почти каждый день, его так просто не забудешь.

чтоб с карточки привата забрать деньги не нужно менять пин, и даже карточка не нужна. достаточно чтобы телефон был

Сцуко, услуги «снять деньги без карты» и «говнобанкинг по телефону» просто эталон секьюрности!!!

А если телефон залочен графическим ключом или пин-кодом, а для вынимания симки у пацанов нет инструмента и своего телефона?
Все это очень условная хрень, тем более, что суд обязал банки возвращать украденные у клиентов средства.

тем более, что суд обязал банки возвращать украденные у клиентов средства
а можно хоть пару кейсов, когда чего кому вот так вот вернули?)) Из тысяч ежемесячных случаев кражи денег с картсчетов клиентов украинских банков.

Почти через год, и за вычетом «услуг по раследованию» но вернули после письменного заявления. Правда не с Приватом дело было...

Мне Приват вернул года два назад почти 8 тысяч, украденных с карты.

Просто купите телефон со сканером отпечатков пальцев. :-)

так Вася ж без сознания, пальцы доступны)

Да я ниже прочел уже, ну ничего можно просто графический пароль, тогда придется Васе ректотермальный криптоанализ делать, этот способ любой пинкод от любой карточки узнать позволяет. :)

Ярослав, ПриватБанк так же позволяет использовать Вашу прямую кишку в целях сексуальных удовлетворений, опять же после сценария с «гопник ударил по голове», но Вы почему-то до сих пор ходите с открытой легкодоступной дыркой каждый день, доступится до которой достаточно всеголишь ударить Вас по голове. О дырах в безопастности банка Вы подумали, но почему не подумали о дырах в вашей безопасности?

О дырах в безопастности банка Вы подумали
Если бы превед-банк хотя бы по-маленьку их устранял, то в Вашим словах было бы рациаональное зерно... А так эти м...даки сидят и не парятся себе по поводу того, сколько доверчивых и не совсем подкованых в кибербезопасности граждан влетают в копеечку из-за их «услуг».

Не стоит усложнять систему, увеличивая количества бюрократии, из за неграмотности и глупости люмпенства. Любой технологический прорыв можно сровнять с землей , обычным исключением с «Ударить по голове». Проблемы с гопниками — это вопросы полиции, комунальных предприятий (которые не обеспечили освещение), глупости самого человека ( который себе позволил попасть в эту ситуацию) и многих других. Но автор винит во всем банк. Глупости.

Не стоит усложнять систему
В случае привата — систему сначала упростили, введя возможности получить деньги без карты, что свело двухфакторную авторизацию на нет даже без гопников. А теперь не знают что с этим делать.

С гопниками понятно что банк ничего не может сделать. Но убрать всякие «деньги без карты», убрать возможность сброса пин-кода по смс — это реальные шаги, которые возможно предпринять.

Посмотрите на те же вебмани (keeper classic). Во-первых, для установки на новый комп нужна активация. Во-вторых, есть ограничение по IP адресам. В третьих, для оплаты двухфакторная авторизация через смс/приложение. Приложение для двухфакторной авторизации можно защитить пин-кодом, отдельным. Чтобы отнять у человека вебмани, проще применить физические меры воздействия (ну или какое мошенничество), чем все это взломать.

Более того, NCSoft игровые аккаунты лучше защищает, чем приват деньги. Там можно включить двухфакторную авторизацию на сайте, проверяется IP и для входа в игру обязателен пин-код. Из-за последнего просто взломать почту может быть уже недостаточно.

Все просто, идет голосование баблом. Кто лучше делает, тот и при бабле. Не нравится? пользуйтесь другим банком. Пусть обеднеет Коломойский без вас и без и автора.

Альтернатив то нет особо, а значит приват идет правильным курсом.

Альтернатив то нет особо
Поэтому не пользоваться не особо получается. Тем не менее, это не значит что не нужно называть дурацкие решения дурацкими. А сломать двухфакторную авторизацию убиранием одного из факторов (карты в данном случае) — дурацкое решение.

В банкомате она двухфакторная, потому что нужно всунуть карту и ввести пин. А возможность снять без карты свела всё только к телефону. Который вообще является не очень защищенным устройством. Еще существует какое-то мошенничество с liqpay. И там тоже не нужна карта. Это бред.

Кнопка «Забыли карту?» в банкомате безопасного банка должна показывать на весь экран надпись «А голову ты дома не забыл?». А не предлагать ввести номер телефона и код из смс.

Для меня это «однофакторная», т.к. требует только пинкод. А карта это типа «логина» в системе.
Да ну? Это не отдельное электронное устройство, не? И прям любой может достать из кармана именно вашу карту?

Для авторизации может использоваться фактор знания чего-либо (пин-код или логин/пароль), либо фактор наличия чего либо (магнитной карты или флешки с файлом), либо биометрия. Когда 2 вида факторов используются вместе — это двухфакторная авторизация

проверяется IP
Как насчет пролистать приват24 web и посмотреть, что предлагают в разделе «Смена персональных данных/Доступ с IP-адресов»? там даже инструкция есть. Видимо вы просто не знаете с чем имеете дело.

Не знал, очень интересно.

Я лично проверку ip в п24 включать не буду, потому что эта меры защиты очень неудобна (например у меня провайдер несколько подсетей имеет, задалбывает), а денег я много не храню на карте.

Но хорошо, тогда вопрос: а почему эту настройку нужно пролистывать? NCSoft включают такую проверку по умолчанию (да и отключить не вижу способа), вебмани в кипере предлагает включить. А если у тебя на кошельке больше какой-то суммы (по-моему это 3000$) — предлагает более настойчиво, объясняя как ребенку «У вас тут денег много, лучше включить эту штуку». Ну а у п24 пользователь, которому ценны его средства, должен разбираться в информационной безопасности и знать что где включить. Отличная забота о клиентах.

Ну и эта мера в общем-то в плане безопасности не самая надежная, просто вспомогательная чтобы хоть немного сократить круг тех, кто может пытаться вас ломать. У большинства IP не статический и в исключения поэтому пихается целая подсеть, а у некоторых провайдеров подсетей несколько и они меняются, и получается ты все равно даешь доступ всем, кто к твоему провайдеру подключен. А в случае привата это вообще не имеет значения, потому что к деньгам можно подобраться и без п24.

Инструкция есть, говорите? Скорей отталкивающий текст. Ни что это такое для тех кто не знает, ни как его потом сменить. Я лично никогда не введу туда IP, зная что он у меня меняется, пока там нет заверения что я смогу его потом поменять без визита в банк.

c2n.me/3F2aDeM

то до сих пор ходите с открытой легкодоступной дыркой каждый день

О Боги! От куда у вас эта информация?!

ты не врубаешься, можно было просто добавить доп. поле с кодовым словом для колл-центра и все проблемы решены.
Приват дырявый как твоя прямая кишка.

Вот, именно благоря людям, считающим описанное мною положение вещей нормальным, ничего и не изменится. Спасибо, друзья.

Вы не хотите, сделать мир лучше?

Вы правда думаете что там в привате сидят настолько тупые, что не знают об описанной мной дыре? В этом мире правят деньги. И раз сделано так как сделано, то значит что ущерб от клиентов, потерявших деньги, слишком мал. Следовательно чтобы заставить их что-то препринять по этому поводу нужно его увеличить. Что я и пытаюсь сделать путем антирекламы. Чем больше людей откажется от услуг привата по причине вопросов с безопасностью, тем больше денег они (банк) потеряют, тем больше стимул эту самую безопасность повышать.

ЗЫ. К чему вы сюда приплели онлайн платежи?

Если уйду один — нет, если уйдут много — да, с этой целью и написал пост.

Написал Дубилету в фейсбук, спасибо за наводку.

найдут это обсуждение
Вообще приват следит за публикациями в интернете. Точно следит за твиттером и ЖЖ. За форумами не знаю. Но вот могут ли те кто следят дергать тех кто решает — вряд ли

У вас случайно нету прямого канала к топам? В фейсбуке ответил другой сотрудник.

Онлайн платежи никто не отменял
Я отменял. 0 в качестве лимита для покупок в интернете. Советую воспользоваться серым веществом, перед тем как писать комментарии.

Я черным по белому в посте написал о смене пин-кода и снятии денег из банкомата. К чему вы приплели онлайн платежи мне неизвестно.

Мне действительно сложно понять, почему я спрашиваю о сбросе пина, а мне отвечают об онлайн платежах. С ними все в порядке, защититься можно.

кстати а как насчет нулевой отвественности? пробитая голова является уважительной причиной, что бы не считать человека самого виноватым в краже денег.

Уважаемые коллеги, просьба посоветовать более безопасный банк.
какой нить без инет банкинга. ходите в отделение с платежками — безопаснее всего

І чекову книжку! Щоб можна було гроші зняти лише в тому відділенні, де ту саму чекову книжку видавали!

По последним пятницам нечетных месяцев високосного года, с 12.00 до 14.00, обеденный перерыв 13.00-14.00.

Жарти жартами, а я реально задумався, коли мене запитали чи хочу я відкрити чекову книжку разом з ФОП. Але коли дізнався, що для cash out моїм замовникам треба буде йти у відділення банку, просто посміявся в очі працівнику банка.

А я навпаки чекаю коли вже нарешті прикрутять TouchID в android. На iOS дуже давно з’явилося, ще коли 5S мало у кого був. А зараз навіть в дешевих китайцях сканер, який працює краще, ніж на iPhone 6, але приватбанк чомусь не поспішає прикручувати фічу.

Так точно. Повторю своє питання, яке писав нижче.
От є у вас автомобіль. Ви не боїтеся виходити з нього? На вас можуть напасти грабіжники і забрати авто — часто воно коштує значно більше, ніж можуть зняти грошей з карти, де стоїть ліміт на 1000 грн в день.

Все зводиться до одного — кожна людина сама для себе встановлює співвідношення зручність/безпека. Воно ніколи не може бути рівним 100%. Вибір за вами. Особисто, я віддам грабіжнику телефон і гаманець (вірогідність ситуації 1 до 5000), а поки він буде думати що з цим всим робити просто подзвоню в банк і заблокую всі карти. Паранойя нікого до добра не доводила, треба вміти знаходити компроміси.

я віддам грабіжнику телефон
просто подзвоню в банк
Одному мне кажется, что что-то тут не так? ;)

Зайшов в найближче кафе і попросив телефон або просто прийшов додому.

Senior QA Automation Engineer
ааа, це у вас професійне.
Зайшов в найближче кафе і попросив телефон
Ну, да. Если дадут. У нас люди отзывчивые... А номер бенебанка наизусть помним? :)
або просто прийшов додому
Пока дошёл — деньги с карточки тю-тю...

Які тютю? Ліміт 1000 грн в день на зняття готівки.

1. Ресетнул ПИН любым из способов, описанным выше, зашёл в Ашан, скупился на сколько фантазии хватило.
2). Зашёл в любой супермаркет электроники, скупил мелочи, на сколько денег хватило, пошёл в ближайший ломбард и сдал.

Какой скупился? А пин? Если вопрос в том, что грабительские завладел уже пином и картой, то наверняка при покупке так же действует ограничение в установленную сумму как при снятии.
Да и имея доступ в приват24 без никаких проблем меняют лимит.
Вопросики?

Смотри, всё просто. Карта защищена пином, который нормальный человек не хранит вместе с картой (а в идеале вообще не хранит с собой), таким образом, похитив карту, злоумышленник максимум, что сможет сделать — это списать её данные и использовать CVV2 код для заказа чего-нить из интернета. Как альтернативу, может дубликат изготовить, но это уже технологически сложнее и требует времени, таким образом, пострадавший успеет заблокировать карту. Если есть возможность сбросить пин с телефона — то, получив телефон, злоумышленник вполне сможет сбросить пин и таким образом обойти защиту карты. Телефон, в отличие от пина, украсть легко, поскольку зачастую хранится у человека с собой. Более того, при наличии барсетки, сумочки и пр., вероятность того, что телефон будет храниться вместе с кошельком, резко повышается. Таким образом, вероятность, что будут одновременно украдены и карта, и средство обойти её защиту, намного выше, чем вероятность украсть карту вместе с пином.
Насчёт ограничений: зачастую ограничение на транзакции через pos терминал или отсутствует, или очень большое, что, в принципе, логично: скупаясь в ашане, ты вряд ли захочешь увидеть сообщение о невозможности провести транзакцию на 3 штуки, зная, что у тебя на карточке есть 100 штук. Есть, конечно, параноики, которые залочивают карту на все виды транзакций, а потом перед каждой покупкой специально разлочивают её, но таких — меньшинство.

А я навпаки чекаю коли вже нарешті прикрутять TouchID в android.
Не менее полутора месяцев пользуюсь именно им для логина в Приват24 на Samsung Galaxy S7 Edge. Может, он и до этого был, просто я не лазил по настройкам.

Другое дело, что, может, на телефонах других производителей это еще не сделали... не знаю.

Сделали. С пейпал работает

Давно прикрутили, на Самсунгах работает авторизация по отпечатку в Приват24. Думаю что на китайцах не будет никогда т.к. каждый из них реализовывает это по своему.

Я думав, що TouchID працює через глобальне API android. Що, реально у кожного своя реалізація TouchID? Якщо так, то це жесть.

Начиная с 6.0 девайсы с fingerprint сканерами должны поддерживать соответствующее API
developer.android.com/...rint/package-summary.html
и выполняться с учетом 7.3.10.
static.googleusercontent.com/...atibility/android-cdd.pdf

Но подвальные производители «смартфонов по 50» клали на эти требования и делают как им дешевле и удобнее.

xiaomi і meizu — це китай по 50? У мене стабільний Android 6, прекрасний touchID, який працює значно коректніше, ніж на iPhone 6, але Приватбанк всеодно не поспішає.

Китай по 50 это скорее к Doogee X5 Pro/ BlackView и прочее, а у вас более раскрученный, но все равно по факту Китай. Никаких гарантий соблюдения ими стандартов нет. То что оно работает на их прошивке с их же приложениями не значит что оно отдается вовне другим приложениям по стандартному API как и должно, и не значит что их хранилища соответствуют стандартам.

1password (один з найкрутіших менеджерів паролів) прекрасно працює на xiaomi.
Яка їх прошивка? Які їх програми? Все там працює давно. Але iOS девелопери тільки побачили цю можливість, так відразу і почали прикручувати фунгціональність, а android деви — «не у всіх це є, нафіг треба». Не видумуйте дурні відмазки. Просто приватбанку впадло робити цю фічу і все.

еще раз — если бы оно работало через стандартное API, то приватовцам не надо было бы ничего делать кроме того что уже сделано и работает на Самсунгах, по этому говорить про «впадло» тут не уместно. Если оно не работает, то на это может быть две причины — либо у них не стандартное API (1password не показатель, они могли адаптироваться под это не стандартное API), либо у них не достаточно защищенное хранилище или проигнорированы какие-то требования из 7.3.10.

еще раз: у меня, например, телефон отвечает всем требованиям по 7.3.10. все приложения, использующие fingerprint api, работают, кроме приватовского поделия.

а какая модель девайса и как вы это проверили? Я просто сомневаюсь что приватовцы специально поставили проверку если девайс<>Самсунг = никакого фингерпринта.

они именно так и сделали. более того, с самсунгами они работали не через marshmallow fingerprint API, а через самсунговское API.

девайс — OnePlus Two, хардварный криптосторейдж есть (софтварный даже выбрать нельзя). ибо Snapdragon 810.

root-nation.com/...at24-android-fingerprint — пруф с samsung-only фингерпринтом.

приват такой приват.

тогда красавцы, что тут еще скажешь. Можно попробовать накапать Гороховскому в его Фейсбук, он влияет на такие вещи.

Как можно отправить смс с заблокированного телефона?
Расскажите, тоже хочу знать (ios).
Или в наше время есть люди, не ставящие на сим карту пин-код (зная, что привязан счет)?

Touch Id же. Для разблокировки нужен только пальчик бездыханного Васи. А если он был достаточно ленив, то и вход в приложение Приват24 тоже будет через отпечаток пальца

Кстати о приват24. Чтоб сбросить пароль там нужен телефон (есть), карточка (есть) и ИНН. ИНН часто лежит в паспорте и паспорт нередко носят с собой.

Як бути автомобілістам, які ходять з ключами від авто? Це вже нагадує паранойю.

Пока гром не грянет, мужик не перекрестится.

Між паранойєю і безтурботністю я обираю друге.

Мой посыл в том, что существует способ обезопасить деньги на карте, даже если украдут карту и телефон — сделать сброс пинов и паролей только при личном посещении банка. Если бы подобный способ существовал для автомобилей — им бы воспользовалось много людей.

И поотключать все эти «Забыл карту? Введи номер телефона»

У меня одна связка с брелком сигнализации на завод машины, вторая в другом месте на блокираторы — мультилоковский стержень на косточке руля, сувальник на капоте из салона и багажник только с сигнализации. Каждый день чертыхаюсь, забывая их снимать. Максимальное что смогли, переломали все ручки на дверях и по итогу разбили окно. Теперь ночует на стоянке. Так что, то же самое что и по карточкам — не отдашь, не скажешь, значит рискуешь здоровьем и жизнью. Так что украдут — это еще благо и очень хорошо. Карточки, кошельки, нафига они им сдались — тут уже с лептопом со стоянки вечером идти опасаешься. Нужно покупать по числу рабочих мест.

Впрочем, можно назначить разблокировку на кожу с такого места, где никто не догадается приложить, например, на нос, или ...

Это кроме того, что на 5 раз вход по отпечатку отключается, и нужно ввести пароль.
Безымянный палец левой руки вряд ли попадет в первые пять попыток гопников.

Кроме того, из сидии можно взять твик, ограничивающий кол-во неудачных попыток до 3-х или вообще одной.

Вася без сознания, разблокировка по отпечатку пальца.

процент людей с айфонами не так и велик а в андроиде все равно пароль нужен. ну если так страшно — не привязывайте к тач айди и вводите пароль каждый раз

Очень просто.
1). Вытаскиваем симку.
2). Вставляем в свой телефон.
3). Profit!

Вы много знаете людей, у которых он включен? Из всех моих знакомых я, наверное, единственный, кто его использует. Поскольку производители смартфонов приучили людей, что залочка телефонов — это мощно (хотя это и не так, обходится она не особо напрягаясь), то люди решили, что пин карты — это излишне. Его надо вводить, а это время, ещё и помнить, а это мозг напрягать надо... :)

А толк от пин кода когда телефон могут даже не выключать , а сразу пытаться скинуть пароль. Каждый ли ставит пробуждение аппарата по графическому ключу? О сканере уже сказали до меня.

В хорошей системе безопасности слабое звено — это человек. Ну в данном случае — это васина голова. А вообще, да — между удобством и уровнем защищенности приходится искать компромиссы.

А я приватом не пользуюсь. Даже не оформлял никогда

Финансовый номер != персональный, который все знают и ты носишь с собой. Где хранить симку (или отдельно телефон) — твой выбор. При частом использовании интернет-банкинга — неудобно, но у любого решения есть своя цена.

Підписатись на коментарі