Чешский Raiffeisen Bank

[Qot 13]

Но как делается эта бумажка - это просто песня

Софт стоит денег, а з/п сотруднику и так платить. Если не видно разницы, зачем платить больше (с)

А что клиент подождёт и прочее - мелочи жизни.

[Andruxa 945]

Кстати, огромный респект Райфу за побочку на Зличине, работающую без выходных до 8 вечера! Это вот реально круто.

[Andruxa 945]

Получил я, наконец, заветную карту ČSA. Такое чувство, что они от Сити взяли худшее, а остальное худшее придумали сами

 

Как это было в российском Сити:

Звонок в call-центр. Через 2 дня в офис приехала симпатичная девушка. Мы с ней быстро заполнили анкету, через 3 дня карта пришла по почте. Активация и выбор пин-кода по телефону - заняло пару минут. Карта тут же появилась у меня в интернет-банке. Действительно все быстро и удобно.

 

Как это было в чешском Райфе:

Заполнение формы на сайте. Уже прогресс, удобно. Через 2 дня звонок курьера - "когда могу привезти карту?". Ну отлично, договариваемся. Приезжает курьер. Выхожу - у двери его нет. Звоню - подняться ко мне отказывается. Говорит, давайте у меня в машине все сделаем, мне так удобнее. Ну ОК, в домашних тапочках топаю до его машины, садимся. Очень похоже, что в этой машине он и живет, судя по запаху носков. На полчаса заполнение каких-то внутренних документов, звонки в банк по непонятным вопросам. Фух. Отдал мне карту. Но использовать ее нельзя. Надо во-первых, дождаться пин-кода (он приходит отдельно почтой), а во-вторых, дождаться SMS-ки, когда карту можно активировать. А придет она, когда курьер доедет до банка и отдаст документы. До банка курьер доехал на третий день. На второй день пришел пин. О-кей, активируем карту первой чиповой транзакцией, начинаем использовать. Но это еще не все. Через два дня звонит тот самый курьер! Говорит, мы тут ошибку в анкете нашли. Да, я по ошибке указал vyšši odborne vzdelani вместо высокошколского. И специальность инженер. Это-то и привлекло внимание кого-то, кто наконец на анкету взглянул. До этого, видимо, ее вообще никто не смотрел. Варианты такие: или же мы оформляем все заново, или в анкете вычеркиваем "инженер" и я ставлю свою подпись. Ну ОК, мне пофиг, кто я там - инженер или сантехник. Главное, чтоб карта была. Курьер опять приехал. Вычеркнули "инженер". Вроде все

 

Вот кто-то же сидел и придумывал, что "инженер" вычеркнуть можно, а поставить другой чекбокс под подпись нельзя! И это не айтишник точно был.

 

Чуть позже будет серия про айтишников.

[amigo 350]

Кстати, огромный респект Райфу за побочку на Зличине, работающую без выходных до 8 вечера! Это вот реально круто.

В чем выгоды? Снять/вложить можно в банкомате?

 

Что за слово-паразит с закрыванием счетов работающих фирм со скромным оборотом? Отмывкой там не пахнет, ибо суммы не те. Так где собака порылась?

 

При всем уважении к Гене, в Райф я ни ногой.

[Zeb Stump 7641]

Это-то и привлекло внимание кого-то, кто наконец на анкету взглянул.

А этот таинственный кто-то как обнаружил ошибки в анкете? В банке уже были твои данные?

 

[Andruxa 945]

В чем выгоды? Снять/вложить можно в банкомате?

 

Например, выписку взять. Иногда это бывает нужно и внезапно срочно

 

А этот таинственный кто-то как обнаружил ошибки в анкете? В банке уже были твои данные?

 

Безусловно были. Что интересно - эту ошибку без проблем можно исключить техническими средствами при заполнении анкеты. Просто не давать выбирать "инженер", "магистр" и прочее, если образование не высшее.

[amigo 350]

Например, выписку взять. Иногда это бывает нужно и внезапно срочно

Много и срочно кэши я еще бы понял, но выписка... (((

[Andruxa 945]

А теперь о прекрасном. Т.е. о безопасности.

 

- Господин директор, у нас тут дыра в безопасности!

- Фух... Ну хоть что-то у нас в безопасности...

(с) народная мудрость

 

Приходит мне, значит, первая выписка по кредитке. На E-Mail. В письме пишут следующее:

 

Vážená klientko, Vážený kliente,

 

v příloze Vám zasíláme výpis z Vaší kreditní karty číslo **** **** **** xxxx za období 20. 4. 2016 – 20. 5. 2016.

 

Příloha je z bezpečnostních důvodů chráněna heslem. Pro zobrazení Vašeho výpisu klikněte na přílohu (.pdf) a zadejte heslo. Heslo je 4místné a je tvořeno čísly nacházející se na deváté až dvanácté pozici čísla Vaší kreditní karty.

 

Příklad: Je-li číslo Vaší karty např. 5315 3312 3456 7890, pak Vaše heslo otevření přílohy je 3456.

 

Сначала я офигел от пароля из 4 цифр. А потом еще больше офигел от того, что можно дальше с этим сделать...

 

Итак, начнем с PDF-ки, закрытой паролем. Там у них 128-bit AES (50x MD5 hash). Скорость перебора на одном ядре i5 получается в районе 60 тыс паролей в секунду. Пароль из 4 цифр, соответственно, ломается меньше чем за секунду. Мне даже за кредиткой было лень лезть, я просто одну из наших программ запустил

 

Теперь открываем выписку. В ней содержится:

 

6 первых цифр кредитки

4 последние цифры (они же в письме, я их заменил на "XXXX")

 

А 4 цифры с 9 по 12 это наш пароль, который мы нашли за секунду. Таким образом у нас остаются неизвестными всего две цифры номера кредитки. Но это еще не все...

 

Номер кредитки формируется не просто так. Последняя цифра номера карты - контрольная. Она вычисляется по алгоритму Луна. Таким образом, нам нужно подобрать не две цифры, а одну. Ибо вторая однозначно вычисляется, если известны все остальные.

 

Итак, у перехватившего письмо есть в наличии:

 

1. Номер карты, который восстанавливается полностью максимум 10-ю попытками авторизации.

2. Имя на карте - оно есть в выписке

3. И даже срок ее действия, если перехвачена первая выписка.

 

Не буду рассказывать, где и как можно сделать пункт 1, это уже совсем руководство к действию тогда будет. Скажу лишь, что это очень просто, анонимно и не требует дорогого оборудования.

 

Подключение карты в интернет-банк дело не одного дня. Причем, автоматически она, конечно, туда не подключается. Надо подать заявку на propojeni, ее кто-то руками рассмотрит и сделает. Мне эту операцию делали неделю. При этом в интернет-банке доступны все выписки и они вполне секьюрно оттуда скачиваются. Но кто-то умный придумал замечательную схему с емейлом и запароленной PDF-кой.

[ess 1218]

а где-то еще можно платить без CVV ?

[Andruxa 945]

а где-то еще можно платить без CVV ?

 

В любом POS терминале. В магазине, гостинице, на заправке никто CVV не просит.

[ess 1218]

и давно в любом пос можно платить по полосе без пина ?

[Andruxa 945]

и давно в любом пос можно платить по полосе без пина ?

 

Не в любом. В "специально обученных" сколько угодно.

[Шестой 17]

как страшно жить ...

[ess 1218]

Не в любом. В "специально обученных" сколько угодно.

такая транзакция будет элементарно оспорена.

[Qot 13]

А оно надо клиенту бегать оспаривать?

 

Косвенно о безопасности, думаю в Райфе тоже так делают.

Меня умиляют разговоры с банками по телефону (исключения - звонок от poradce, чей номер у меня записан и которого я знаю лично).

 

В зависимости от настроения и фазы луны детали могут меняться.

 

- Добрый день, я невнятонепонятноФИО, банк такой-то. Я говорю с паном таким-то?

- Вы кто?

- Я чутьболеевнятноФИО, банк такой-то.

- Прекрасно.

- Назовите пожалуйста ваши имя фамилию.

- Не хочу.

[пауза]

- Но.. тогда я не смогу продолжать говорить с вами.

- Прекрасно.

- Дело в том, что я звоню по такому-то поводу.

- И что?

- У нас есть процедуры безопасности..

- Откуда у вас мой номер?

- Из базы данных.

- Вот там и найдите мои имя и фамилию.

- Но мне нужно подтверждение, назовите свой адрес.

- Разговор записывается.

- Что?

- Я записываю разговор.

[треск шаблона]

- Тогда я тоже поставлю на запись.

- Прекрасно. Вам чего надо?

- У меня для вас важная информация.

- Напишите мне на почту.

- У меня только ваш номер.

- Тогда говорите.

- Но я не знаю, если вы пан такой-то.

- Я вас тоже не знаю. Скажите мне номер вашего паспорта.

[топот ног, гудки]