Дыра в безопасности? Мошенник легко может узнать баланс чужой карты некоторых украинских банков
Мошенники, когда звонят доверчивым владельцам карт и представляются службой безопасности банка, заинтересованным покупателем, сотрудником госорганов или ещё кем-то важным, наверняка выбирают себе жертв, не тратя времени на тех клиентов, у кого мало средств на счету. Оказывается, узнать баланс чужой карты очень просто.
Вся информация предоставлена исключительно в ознакомительных целях.
Как узнать чужой баланс? Для этого нужно знать только номер карты – 16 цифр (иногда меньше) – и дату рождения. Зная номер карты (или его часть, дальше детальнее) и дату рождения владельца, достаточно позвонить с любого телефона на горячую линию банка и в меню IVR выбрать пункт вида «проверка баланса карты в автоматическом режиме».
Одно дело, когда баланс озвучивается владельцу карты, звонящему в банк со своего телефона.
Но проблема, которую я хочу донести, заключается в том, что банки для удобства клиентов предоставляют такую возможность даже с непривязанных, не принадлежащих данному клиенту, телефонов.
Я проанализировал ТОП-10 банков Украины по количеству активных пластиковых карт на возможность получения баланса карты при звонке с незарегистрированного (нефинансового) номера телефона. Уверен, и в России ситуация аналогичная.
| Банк | Количество активных карт | Возможность проверки с незарегистрированного номера телефона |
|---|---|---|
| Ощадбанк | 5,41 миллиона | До конца марта 2017-го — да: номер карты + дата рождения. Сейчас с незарегистрированного телефона это невозможно |
| ПУМБ | 667 тысяч | Да: 6 первых цифр + 4 последних + дата рождения. В ответ получаем баланс и последнюю операцию по карте, включая дату её совершения |
| Укрсоцбанк (UniCreditBank) | 595 тысяч | Да: Номер карты + дата рождения |
| Укрсиббанк | 1,04 миллиона | Да: Номер карты + срок действия + дата рождения |
| Альфа-Банк | 1,14 миллиона | Да: 4 последних цифры карты + номер паспорта |
| Райффайзен Банк Аваль | 2,11 миллиона | Да: 8 последних цифр карты + номер идентификации или Номер идентификации, секретный код и последние 4 цифры |
| ПриватБанк | 17,08 миллионов | Нет, с незарегистрированного телефона это невозможно |
| А-Банк | 461 тысяча | Нет, с незарегистрированного телефона это невозможно |
Такие банки, как Укргазбанк (725 тысяч активных карт) и Укрэксимбанк (401 тысяча) не предоставляют такой возможности в IVR.
Как видим, больше всего клиентов, чей баланс карты так просто узнать – у Ощадбанка – 5,41 миллиона активных платёжных карт (до конца марта 2017-го. На данный момент с незарегистрированного телефона это невозможно. Статья могла быть опубликована много месяцев назад и называться «Как узнать баланс чужой карты Ощадбанка» – я ждал, пока банк исправит ситуацию).
И клиенты именно этого банка страдают (страдали) от недостаточной финансовой грамотности вкупе с социальной инженерией – ведь именно в Ощадбанке среди держателей карт больше всего, по сравнению с другими банками, пенсионеров, переселенцев, а также тех, кто получает социальные выплаты…
Приведу комментарии пользователей Хабрахабра из других постов, к чему может привести ситуация, когда ваш баланс известен третьему лицу.
К примеру, из статьи "Tinkoff скомпрометировал данные о балансе карт своих клиентов":
На самом деле это ж для мошенников раздолье. «Мы вам звоним из техподдержки банка, на вашем счету сейчас N руб. Но для *придумать действия* нам еще нужны дата действия карты и код с обратной стороны».
Комментарий к моей предыдущей статье "Уязвимость в Альфа-Банк Украина: получение ФИО клиента по номеру телефона":
Можно позвонить этому абоненту, назвать его по имени-отчеству, представиться работником банка и убедить совершить какие-либо действия с картой или счетом. Социальная инженерия, google://Кевин_Митник
Помимо мошенников, ваш баланс могут узнать любопытные коллеги. Или подчинённые могут узнать зарплату своего начальника, проверив баланс его карты в день поступления средств. Примеров, кому может понадобиться узнать сумму средств на чужой карте, много. В любом случае, это конфиденциальная информация, и её нельзя так просто разглашать.
В меню IVR многих банков доступны и другие операции, которые можно совершить в автоматическом режиме. В рамках этого материала они не учитывались. Также я не рассматривал возможность проверки баланса и совершения других действий при звонке с принадлежащего клиенту номера телефона – при наличии чужого телефона возможно совершить действия и пострашнее. Берегите свой телефон.
Видимо банкам – нужно сделать так, чтобы проверку баланса и другие действия в IVR с того номера телефона, который не принадлежит клиенту, было произвести невозможно.
Так делают крупнейшие ПриватБанк/А-Банк и сделал Ощадбанк, спустя много месяцев после моего обращения. Или хотя бы усложнить процедуру – чтобы вместо даты рождения нужно было указывать номер паспорта или ИНН.
Tweet
