Конференция VBStreets

[Proxy]

Интересный случай тут произошёл:
Оформил 12.01 дебетовую карту в банке на букву А, притом при получении карты с момента подачи заявки про сие действо знал только я и банк (при получении карты я установил их приложение мобильного банка, но это гарантированно чистое устройство на iOS 14.2 без никакого другого стороннего софта). Притом я нигде не указал email (что немного странным, конечно, показалось, ну раз им не надо, то пускай не знают).
14.01 звонок с левого номера: я сотрудник безопасности банка А бла-бла-бла (телефонные мошенники).

Саму суть звонка, пожалуй, опущу (я думаю все уже не единожды с этим сталкивались, ничего нового не расскажу: женщина несёт какую-то бурду, по манере речи тянет максимум на уборщицу общественной уборной).

Но что интересно:
Звонок чуть более чем через сутки, мошенники обращаются по имени и знают о том, что я являюсь клиентом банка А (теперь являюсь, возможно именно такие и представляют наибольший интерес). Т.е. какие-то ребята работают на потоке, задолбали уже просто всех этими звонками от "сотрудников службы безопасности" (меня вообще удивляет, что это ещё как-то работает, только совсем уж отшельник из тундры мог не слышать про эти схемы), это очень масштабный криминальный бизнес, который сохранить в тени очень не просто (опустим коррупционную составляющую). И при этом они спокойно себе имеют доступ к базам банков практически онлайн.

И всех всё устраивает. Представители государственных служб ничего не слышали, ничего не видели, никаких обращений не поступало. Ответственный за ИБ банка А ничего не слышал, ничего не видел, получает себе з/п спокойно (если сам данные не продаёт, а так может и з/п не нужна).

Притом у меня нет желания как-то обособить банк А и выделить среди других. Что-то мне подсказывает, что в любом другом банке в РФ вышло бы точно так же в 2021. Да и не только в банках я наблюдаю такое отношение к ПД. Единственное, что удивляет, так это такой оперативный доступ к данным. Это же прям какой-то API нужен, чтобы так вот быстро передать данные, принять оплату, проверить и т.д, нельзя просто дать пачку денег и флешку сотруднику
банка, имеющему такой доступ к базе, с таким подходом до, непосредственно, звонка от мошенников прошла бы неделя как минимум. Тут уже эдакая биржа ПД видится.

Такая вот заметка

P.S. Где-то лет 7-8 назад знакомая работала в банке Б. Тогда тоже при устройстве удивлялась отношению к ПД (сотни операторов по всей стране имеют доступ ко всей клиентской базе, запросы никто не мониторит, любая студентка на каникулах может за пару дней устроиться оператором и узнать баланс всех своих знакомых, чем, собственно, они и занимались. Притом там, как минимум, разумно было бы ограничить оператора доступом только к тем клиентам, с которыми он до этого взаимодействовал хоть как-то). Но, я надеюсь, сейчас там не так организована безопасность. Хотя я всё равно не испытывал никогда никакого доверия к банку Б.

P.P.S. В эту же копилочку ЭЦП, которые хранятся на стороне сервера. Когда я первый раз увидел такое, мне было не очень понятно при чём тут ЭП вообще (для подписи вам только нужно ввести пароль, подписывается всё на удалённой стороне, у Вас на руках нет никакого ни токена, ни даже сертификата), но сейчас уже этим никого не удивишь. Какая-то подмена понятий на государственном уровне.

[Mikle]

Что-то мне подсказывает, что в любом другом банке в РФ вышло бы точно так же в 2021.

У меня карты трёх разных банков, за много лет ничего подобного не было.

iOS 14.2

Его ты, естественно, не винишь.

[Proxy]

Его ты, естественно, не винишь.

Ну я бы тут сказал, что сильно маловероятно, что данные утекают по вине Apple. Но не прям абсолютная уверенность у меня есть в этом.

У меня карты трёх разных банков, за много лет ничего подобного не было.

У меня было несколько звонков от "сотрудников" Сбера, но кмк, у них и нет никакой информации о том, что у меня есть действующая карта Сбера (так бы может знали бы и то, что там ловить нечего). Скорее-всего просто из-за популярности Сбера предполагают, что тут угадать шанс высокий.
Но конкретно последний звонок был с обращением ко мне по имени и представились банком А, хотя его популярность невысокая, может и в топ 10 в России не входит по количеству клиентов. Т.е. тут без участия представителя банка сценарий утечки маловероятен.

Раньше на Android я фильтровал такие звонки с помощью Shouldianswer.com, но с некоторых пор не пользуюсь => пару раз в день общаюсь с рекламными роботами каких-нибудь магазинов никому не нужных вещей и услуг, иногда живые тётки что-нибудь впаривают, соцопросы и т.д. Изредка мошенники что-нибудь совсем уж наивное и смешное пытаются выкружить (от рекламных тёток их с первых 5 секунд общения можно отличить по фигурам речи, темпу, попыткам отвлечь внимание и т.д).
Отдельной категорией записи на бесплатный приём к врачу N-ологу (N бывает самое разное). Звонок бота, если согласиться на запись, то перезванивает живой человек. Через некоторое время снова звонит живой человек и интересуется почему не смогли прийти. Я так за последние пару лет на разные приёмы уже человек 30 вымышленных записал с больными почками, головной болью и прочими проблемами (просто занимаю таймслоты и время живого оператора, чтобы меньше нормальных людей попали в трешовые клиники). Главное возраст угадать, они отказываются записывать, если заболевания из их предложения не актуальны для возраста, оптимально при опросе назвать 50 лет. ФИО произвольное, можно каждый раз новое называть, они его как-то не хранят долго, похоже.
При этом у меня ещё есть карта МТС c Омским номером (чисто по инерции несколько лет живёт, всё руки не доходят убедиться, что всё от этого номера отвязал), туда вообще никто не звонит, хотя тот номер публиковал везде и всюду, по нему до сих пор гугл кое-что находит. Могу предположить, что по региону тоже таргетируют. Или есть какой-нибудь источник информации о доходах/расходах, где мой текущий телефон содержится.

[Mikle]

я бы тут сказал, что сильно маловероятно, что данные утекают по вине Apple.

Ну, не обязательно прям Apple. Я вообще про всю эту не до конца подконтрольную нам автоматизацию.
Все эти клиники и магазины - это мне тоже знакомо, но похоже, что они просто по рэндомным номерам звонят или пользуются дешёвыми некачественными базами, где никакой информации кроме номера телефона и региона нет, собранными, например, через заказы такси. Но по банкам у меня ни разу такого не было. Да, из Сбера, бывает, сами звонят и предлагают кредит. Но чтобы что-то левое - нет.

[Proxy]

Я вообще про всю эту не до конца подконтрольную нам автоматизацию.

Так и есть. На современных ОС с доступом к сети всё потенциально скомпрометировано при первом же попадании на устройство.
Касательно Android я бы сказал, что можно считать справедливым, что ни одно приложение, установленное из Google Play и никаким образом никем не верифицировалось и никак не ограничено на устройстве в плане доступа к данным других приложений (формально там есть какая-то безопасность, но есть даже просто приложения с демонстрацией эксплуатации уязвимостей на Android с огромной базой неисправленных уязвимостей; как-то использовал на одном устройстве для получения root и удивился насколько всё просто на обновленной до последнего доступного обновления системе проходит).
Касательно iPhone — в целом я бы не стал ему доверять сильно больше, разве что на AppStore чуть-чуть строже контроль. Но тут ещё стоит учесть, что сам телефон сейчас и не нужно ломать, когда есть синхронизация iCloud (и тут не создаётся впечатления, что это кто-то серьёзный вообще разрабатывал; даже если кто-то прям доверяет Apple, то при изучении клиента iCloud для Windows я бы на их месте сильно призадумался).

Все эти клиники и магазины - это мне тоже знакомо, но похоже, что они просто по рэндомным номерам звонят или пользуются дешёвыми некачественными базами, где никакой информации кроме номера телефона и региона нет, собранными, например, через заказы такси.

Да, не похоже, что при этих обзвонах что-то кроме номера телефона и региона знают. Мне кажется, что это вообще официальный B2B сервис какой-то: заведения и услуги разные, а бот явно один и по голосу и по поведению (характерный текст в начале про то, что этот звонок не является офертой, затем спрашивает согласие и если человек не произнёс "нет", бот просит повторить т.к. "извините, не расслышала"). Чувствуется попытка легализации => возможно боятся собирать данные больше, чем нужно (и отсюда амнезия: пару недель назад я представился Иваном Фёдоровичем Крузенштерном, записался на приём к какому-нибудь терапевту, и, естественно, никуда не пришёл, сегодня представляюсь Анатолием Александровичем Вассерманом по этому же номеру и тётка на том конце на серьёзных щах записывает куда-то там к какому-нибудь парикмахеру).

[Proxy]

Неожиданное продолжение истории:
Карту банка А я оформлял как бы "по рекомендации" (иными словами кое-кому удобнее всего перечислять некоторые средства именно на А). Я обратил внимание на звонок, создал эту тему и на том всё. Но из нашей "группы" не я один получал карту по этой причине.
Сегодня на эту же ситуацию обратил внимание другой человек, который так же как и я получал карту. И в итоге оказалось, что подобные звонки поступали ко всем, кто так же получил карты на прошлой неделе.
Притом речь не про один день и не про одно отделение. Заявки каждый сам подавал как физ.лицо => связать как-либо нашу группу не так просто, т.е. весьма вероятно, что с этой ситуацией сталкиваются вообще все клиенты банка А. И явно данные продаёт не работник какого-либо мелкого отделения, где-то выше.

Люди предполагают, что источником утечки может быть и не сам банк, а регулятор.

И скорее-всего в ближайшее время банк А лишится небольшой группы новых клиентов Посмотрим как у других с "информационным недержанием" дела.

[Proxy]

Ещё одна капля негатива (антипаттерн):
В сутки приложение банка А изрыгает штук 8-10 "персональных предложений" и прочих очень полезных уведомлений + чуть меньше смс спама ("порекомендуйте другу" и т.п). В какой-то момент достало (и я повторю, что я уже не питаю надежд на адекватность банка А и просто жду отмашки закрыть счёт в этой дыре), я видел 3 возможных варианта:
1) удалить приложение + заблокировать отправителя смс,
2) отключить уведомления полностью системно + заблокировать отправителя смс,
3) отключить только бессмысленный спам и продолжать получать информацию об операциях.

И тут я допустил ошибку, понадеявшись на вариант 3. Вообще в приложении российской компании вы не найдёте варианта выборочного отключения уведомлений (ну за исключением, разве что, телеграмма какого-нибудь, где реально нет этой назойливости). Но попытаться стоит, зашел в настройки и, естественно не нашёл нужного пункту.
Зашёл в чат технической поддержки, написал, что желаю отключить рекламу. Ответил бот, на удивление разумный ответ, понял с полуслова. Бот предлагает варианты отключения рекламных предложений: полностью, только рекламу в смс и т.д. Предполагается ответ 1 цифрой. Отвечаю, ожидая подтверждения от бота о том, что заявка создана или что-нибудь в этом роде.
Но вместо подтверждения в чат вмешивается человек-оператор и начинает с нуля опрашивать на тему "чего изволите", притом формулирует мысли не быстро и хуже тех заготовок, которыми пользуется бот. Но суть та же, далее человек подтверждает, что заявка создана.
Через какое-то время получаю подтверждение, что больше реклама поступать не будет.
И минут через 30 снова "Заработайте на банке!"...

Вряд ли у кого-то терпения хватило бы двигаться дальше, но я попробовал. Хотя скорее уже было просто любопытно что ещё дальше может пойти не так

Снова пишу в чат ТП, вопрошаю как же так, мол. Человек-консультант интересуется "в каком виде вам поступает спам?". Отвечаю: "Смс".
Казалось бы, в этой череде фейлов что-либо добавить уже сложно, но банк А смог На мой ответ человеку-консультанту внезапно реагирует их же бот и не вникая в контекст пытается выяснить что я хотел сказать своей последней репликой.

Дальше я уже понял, что этому симбиозу человека-олигофрена и машины-имбецила мне противопоставить нечего, буквально почувствовал себя третьим лишним в этом чате и я решил до закрытия счёта обойтись без их приложения и смс.

Подводя итог:
Если вы принимаете решение о внедрении чего-то наподобие чат-бота или голосового ассистента, то подумайте дважды. В этом деле точно лучше не сделать никак, чем выпустить в продакшн нечто настолько кривое. Плевать, что у конкурентов так же криво работает. Просто от такой организации взаимодействия с пользователем никакой выгоды не получает ни одна сторона.