Баланс банковской карты по её номеру

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Технологии работы и инструменты конкурентной разведки »   Баланс банковской карты по её номеру
RSS

Баланс банковской карты по её номеру

<<Назад  Вперед>>Печать
 
tungus1973
Модератор форума

Откуда: г. Санкт-Петербург
Всего сообщений: 773
Рейтинг пользователя: 11


Ссылка


Дата регистрации на форуме:
3 июля 2009
Как узнать баланс чужой банковской карты, зная её номер?

Мошенники, когда звонят доверчивым владельцам карт и представляются службой безопасности банка, заинтересованным покупателем, сотрудником госорганов или ещё кем-то важным, наверняка выбирают себе жертв, не тратя времени на тех клиентов, у кого мало средств на счету.

Оказывается, узнать баланс чужой карты очень просто.

Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственности за любой возможный вред, причиненный материалами этой статьи

Как узнать чужой баланс? Для этого нужно знать только номер карты – 16 цифр (иногда меньше) – и дату рождения.

Зная номер карты (или его часть, дальше детальнее) и дату рождения владельца, достаточно позвонить с любого телефона на горячую линию банка и в меню IVR выбрать пункт вида «проверка баланса карты в автоматическом режиме».

Одно дело, когда баланс озвучивается владельцу карты, звонящему в банк со своего телефона.

Но проблема, которую я хочу донести, заключается в том, что банки для удобства клиентов предоставляют такую возможность даже с непривязанных, не принадлежащих данному клиенту, телефонов.

Я проанализировал ТОП-10 банков Украины по количеству активных пластиковых карт на возможность получения баланса карты при звонке с незарегистрированного (нефинансового) номера телефона. Уверен, в России ситуация аналогичная.
Банки по защищённости, от худшего к лучшему:

Банк Количество активных карт Возможность проверки с незарегистрированного номера телефона
Ощадбанк 5,41 миллиона До конца марта 2017-го — да: номер карты + дата рождения. Сейчас с незарегистрированного телефона это невозможно
ПУМБ 667 тысяч Да: 6 первых цифр + 4 последних + дата рождения. В ответ получаем баланс и последнюю операцию по карте, включая дату её совершения
Укрсоцбанк (UniCreditBank) 595 тысяч Да: Номер карты + дата рождения
Укрсиббанк 1,04 миллиона Да: Номер карты + срок действия + дата рождения
Альфа-Банк 1,14 миллиона Да: 4 последних цифры карты + номер паспорта
Райффайзен Банк Аваль 2,11 миллиона Да: 8 последних цифр карты + номер идентификации; или Номер идентификации, секретный код и последние 4 цифры
ПриватБанк 17,08 миллионов Нет, с незарегистрированного телефона это невозможно
А-Банк 461 тысяча Нет, с незарегистрированного телефона это невозможно

Такие банки, как Укргазбанк (725 тысяч активных карт) и Укрэксимбанк (401 тысяча) не предоставляют такой возможности в IVR.

Как видим, больше всего клиентов, чей баланс карты так просто узнать – у Ощадбанка – 5,41 миллиона активных платёжных карт (до конца марта 2017-го. На данный момент с незарегистрированного телефона это невозможно. Статья могла быть опубликована много месяцев назад и называться «Как узнать баланс чужой карты Ощадбанка» – я ждал, пока банк исправит ситуацию).

И клиенты именно этого банка страдают (страдали) от недостаточной финансовой грамотности вкупе с социальной инженерией – ведь именно в Ощадбанке среди держателей карт больше всего, по сравнению с другими банками, пенсионеров, переселенцев, а также тех, кто получает социальные выплаты…

Приведу комментарии пользователей Хабрахабра из других постов, к чему может привести ситуация, когда ваш баланс известен третьему лицу.

К примеру, из статьи "Tinkoff скомпрометировал данные о балансе карт своих клиентов":
[q]
На самом деле это ж для мошенников раздолье. «Мы вам звоним из техподдержки банка, на вашем счету сейчас N руб. Но для *придумать действия* нам еще нужны дата действия карты и код с обратной стороны».
[/q]

Комментарий к моей предыдущей статье "Уязвимость в Альфа-Банк Украина: получение ФИО клиента по номеру телефона":
[q]
Можно позвонить этому абоненту, назвать его по имени-отчеству, представиться работником банка и убедить совершить какие-либо действия с картой или счетом. Социальная инженерия, google://Кевин_Митник
[/q]

Помимо мошенников, ваш баланс могут узнать любопытные коллеги.

Или подчинённые могут узнать зарплату своего начальника, проверив баланс его карты в день поступления средств.

Примеров, кому может понадобиться узнать сумму средств на чужой карте, много.
В любом случае, это конфиденциальная информация, и её нельзя так просто разглашать. В меню IVR многих банков доступны и другие операции, которые можно совершить в автоматическом режиме. В рамках этого материала они не учитывались. Также я не рассматривал возможность проверки баланса и совершения других действий при звонке с принадлежащего клиенту номера телефона – при наличии чужого телефона возможно совершить действия и пострашнее. Берегите свой телефон.

P.S.: Просьба к банкам – сделайте проверку баланса и другие действия в IVR с того номера телефона, который не принадлежит клиенту, невозможным.

Так делают крупнейшие ПриватБанк/А-Банк и сделал Ощадбанк, спустя много месяцев после моего обращения.

Или сделайте хотя бы сложнее – чтобы вместо даты рождения нужно было указывать номер паспорта (мне понравился такой подход в Альфа-Банке) или номер карты идентификации (как в Райффайзен Банке Аваль).

Источник: habrahabr.ru/post/335634/
<<Назад  Вперед>>Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Технологии работы и инструменты конкурентной разведки »   Баланс банковской карты по её номеру
RSS

Последние RSS
Социнжиниринг в военной пропаганде
Тут будем жаловаться
Новое на блоге HRazvedka
История создания ИГИЛовской спецслужбы ЭМНИ (Emni)
«МИРУ-МИР» (Короткометражный фильм) 2017
Парсер для сайта Реформа ЖКХ
Darknet, Deep Web. Как посещать закрытые сайты?
Баланс банковской карты по её номеру
Сборка инструментов для OSINT
This Week SCIP Is in India
Яндекс запустил открытое бета-тестирование Яндекс.Медианы
Яндекс представит свой новый поиск
Kaspersky Who Calls
DarkNet
Книга "Наружное наблюдение"
Larina, SPKR and US 2016 Election
Засветились...
Экономический шпионаж с китайской спецификой
Обновление на блоге HRazvedka
Как найти email нужного человека: инструменты, хитрости, тактика

Самые активные 20 тем RSS
Тут будем жаловаться
Мелочи
Социнжиниринг в военной пропаганде