• 37665
  • 232
  • 29
Нравится блог?
Подписывайтесь!

Как стать хакером и взломать HOMEBANK за 5 минут

Не знаю зачем  может это оказаться нужным. Посмотреть сколько денег на счету у подруги, свободному шоппингу в Амстердаме так завидуете. Или проверить истинную платежеспособность парня, с которым недавно стали встречаться. А может муж отдает не всю зарплату. Да просто ради прикола.

В любом случае, владельцы счетов в Казкоммерцбанке и пользователи homebank'a должны знать, что зная вас совсем немного и умея пользоваться гуглом практически любой сможет посмотреть сколько денег лежит на ваших счетах.

Итак, всего несколько несложных шагов.

1. достаете кошелек, извлекаете карточку (или любой другой способ, ксерокопия, фото с кассы, неважно)

2. заходите на сайт https://homebank.kz. Слева жмете на забыли идентификатор/пароль. Открывается страница:

Берете карточку и вводите 16 цифр. Жмете "Далее".

3. На следующей странице:

Заполняете. Жмете "Далее". (1 раз вместо даты рождения попросил ввести номер УД()не проблема, в том же кошельке скорее всего лежит, но след раз попросил опять дату рождения. просто попробуйте еще раз запустить восстановление)

4. А собственно все. Поздравляю, Вы - ХАКЕР!! Откиньтесь на спинку кресла и получайте удовольствие или разочарование состоянием финансов вашей жертвы взлома:

 

Вводите новый пароль. Жмете "Напомнить идентификатор" - сайт сообщит вам его и мило сообщит: добро пожаловать, вот ваш идентификатор, входите с новым паролем.

 

Что еще.

На телефон придет две смс на -1 тенге и на +1 тенге. Есть возможность - удалите. Нет возможности, забейте, по тексту смс все-равно не понятно,что был изменен пароль.

Про техподдержку. Разумеется, я обратилась в Казком, и если они не врут, должна быть запись моего разговора. Как мне объяснили, это сделано потому что пользователи жалуются, что слишком сложно пользоваться хоумбанком. Что ничего страшного не произойдет. И никто ваши деньги не сможет никуда перевести. (лично меня это убило, просто вверх профессионализма, о боже!). Максимум, что смогут - это оплатить вам билайн. (нет-слов-мая-в-шоке).

Из разговора с сотрудником карточного отдела мне явно дали понять:

а) Это не будет меняться, делайте что хотите

б) это сделано для моего блага и удобства

в) ничего страшного,что так легко получить доступ к вашему онлайн-банку, перевести же денег они не смогут.

Именно поэтому я сделала это пособие по взлому. Будьте осторожны с вашей финансовой информацией. Доступ к ней уж очень легко получить. Надеюсь этот пост хоть немного заставил задуматься Вас и сотрудников Казкома.

ЗЫ: да, я понимаю, что имея на руках карточку уже можно оплатить в интернет-магазине что угодно. Но получить доступ к просмотру всех счетов, всех транзакции, состоянию счета в  пенсионном фонде Грантум, - это конечно, менее важно, но это Ваша персональная информация, которую банк должен защищать.

ЗЗЫ: понимаете, если карта утеряна, или ты сообщил кому-то кодовое слово, или пароль сделал 111111111, карточку отдал официанту и не проследил - это все понятно, это случается и человек сам виноват. Но когда система устроена так, что ты ничего не делал, нарушающего безопасность, а система сама по себе не защищена - это неправильно....

adko
=ахуительная и неидеальная= =Никогда не спи! Ничего не ешь!=
25 августа 2012, 16:07
24577

Загрузка...
Loading...

Комментарии

Имея номер, фио и цвв - теоретически уже можно угнать средства с карты. А с энролла тем более!
З.Ы. Была такая же ситуация с одним из банков в США - они закрыли баг в течение 1 часа - еще и денег дали за помощь.
adko
0
0
я в растерянности. куча людей мне сообщила, что это нормально и не страшно о_О
"достаете кошелек" - суперхак
kit
1
0
Ада, не нормально раздавать номер карты, дату окончания и CVV2/CVC2 код.

Имея эти данные можно спокойно деньги тратить. А 3d secure поддерживает подавляющее меньшинство сервисов, принимающих деньги в инете.

Именно поэтому, когда теряешь кредитку - обычно звонишь в банк и блокируешь ее ;)

Все правильно у Казкома. Если ты раздаешь данные свое кредитки, то уж прости - сама виновата.
Кит, а какой тогда смысл вообще делать контрольный вопрос в виде ДР? какой смысл делать индентификатор и пароли на хоумбанк? давайте входить в него с помощью данных на карте, раз этой конфиденциальной инфы достаточно. зачем забывать пароль на хоумбанк, если можно для входа сделать три поля. номер карты-дату-код и все! вообще никаких обращений в банк тогда по поводу изменений пароля
Ancie
0
0
Энивэй, данные homebank очень важны. У меня, например, стоит дополнительный пароль - 3d secure, который защищает от использования карты для инет-платежей не-владельцем. А узнать/поменять этот пароль можно только в homebank.
А я могу получить доступ к секретной переписке миллионов людей, зная только девичью фамилию их матери!!
Я - хакер!
adko
0
0
у гугла восстановить пароль сложнее, имхо. чем по этой системе
У гугла либо смс, либо альт. почта либо сек. вопрос
вооттт! секретный вопрос.. восстановление должно содержать секрет. а ДР - это не секрет, это инфа, которая не меняется и в целом, общедоступна
В зарубежной практике в вопросах идентификации клиента часто исходят из трех вопросов: кто ты, что ты знаешь и что ты имеешь. В данном случае мы вместо смс на мобильном и тоукена имеем карту, о себе заявляем с помощью уд. личн., остается то, что ты знаешь - это может быть не обязательно секретный вопрос или кодовое слово, хотя было бы неплохо, но и идентификатор! Это может быть "секретным вопросом".
nfmka
2
0
у вас уже есть доступ к кошельку и карте человека.
Это не хакерство, это называется воспользоваться доверием близкого человека.

Странно не знать день рождение человека и при этом иметь доступ к его кошельку?
adko
0
0
фото с кассы + гугл для поиска ДР = можно не знать человека
кажется доказывать что-то бесполезно, но все же
1. фото с кассы нужно как минимум с двух сторон, потому как номер карты и cvv-код на разных сторонах карточки. после такой фотосессии твоя карта уже скомпрометирована и можно не просто узнать сколько ты денег получаешь, а тупо ее очистить от всего что у тебя на ней есть. (кстати, не стоит льстить себе, кому ты нужна чтобы за тобой так следить :D )
т.е. cvv (cvc) и прочее - это то, средство защиты при проведении транзакции в среде где не нужно предоставлять карточку. нужно ли говорить, что этот код лучше хранить в конфиденциальности.
ну а если я получил прямой доступ к твоей карточки, например в твоем кошельке, то после этого я могу расплачиваться ей сколько угодно. по моему личному опыту, при сумме меньше 5000тг удостоверение даже не спрашивают.
2. ну а теперь слово о казкоме. нашла кому что-то доказывать.. казком никогда не ориентировался на физиков. сколько слышал об инцидентах с физиками, всегда их тупо посылали нах... с ответом "потому что гладиолус"

PS в общем, Митник отошел в сторону и нервно докуривает вторую пачку )))))))
итак, в каком банке есть нормальное обслуживание?
Но не забываем при этом, что второго Хоумбанка пока нет.
Мишка, ну ты же понимаешь о чем я вообще. Я про то, что для восстановления надо использовать СЕКРЕТ..а тут, ну ваще..они бы РНН еще ввели бы, ну чессслово..
это же элементарная криптография уровня школы
Каспи что-то похожее придумал
говорят даже лучше хоумбанка...
у БТА Банка круче... там и защита намного лучше
разве у БТА есть аналогичный сервис?
захожу в интернет-зону, а там русский не ставится... о_О
я канеш инглишэнама понимать, но все же ((
эта старая страница оказывается, он редиректит на bta24.kz
Защита лучше? Очень спорное утверждение...
CCV2/CVC2 код - это и есть тот самый секрет.

Ты правда никогда не покупала ничего в интернетах? :)
LOLka
6
0
Как любят люди в заголовках громкие слова!
И славы тухлой жажда их неутолима,
Чужую карточку увидела тупая голова,
И зваться хакером уже необходимо.
ЭКСПРОМТ ПРЯМО!!!! развеселило )))))
автор. читай больше. ибо: Хакер (англ. hacker, от to hack — рубить, кромсать) — чрезвычайно квалифицированный ИТ-специалист, человек, который понимает самые глубины работы компьютерных систем.
я почти с Вами согласен... почти..
для того чтобы стать хакером тебе понадобиться хотя бы компьютерную грамотность освоить для начала.
adko
0
0
)) поверьте, я в курсе, кто такой хакер ))) но с подобной системой особо мозгов не нужно, как видите
adko
0
0
а на юви нельзя поменять заголовок? о_О хотела исправить, взять слово хакер в кавычки
Player
0
0
Все! Теперь я у мамы КАКИР!!!1
adko
0
0
)) можете контролировать состояние счетов вашей мамы ) уже польза
слышь, нахер! выключай компьютер и иди кушать! ой! то есть хакер! или нахер? а похер!
ну во первых каждый должен понимать, что свою карточку светить нельзя, поэтому она у меня всегда в кошельке, а кошелек в кармане..
если вы считаете систему восстановления примитивной, то предложите что можно добавить, чтобы обойти подобного рода действия.. у КазКома также есть авторизация по ЭЦП... Подключил ридер, вставил карту, ввел пин код и ты в системе.. Лично пользуюсь, очень удобно..
adko
0
0
у меня есть эцп и я считала систему достаточно надежной, но вот понадобилось восстановить пароль без эцп, и я в шоке, если честно.. восстановление должно содержать секрет, а ДР, это известная инфа, это не секрет..они бы еще РНН ввели, как подтверждение личности, который на сайте налоговой выдается по имени-фамилии
sounds
0
0
Должна быть банальная привязка к емайлу или смс
Судя по ответу от Казкома, у них это было, но отключили)
adko
0
0
да, упростили, так как слишком сложно было типа и жалуются пользователи о_О
rofl автор накуй грабить бедных Казахстанцев когда есть куча левых usa eu магазов с ватной защитой...
adko
0
0
тут дело не в грабить. так денег не уведешь, есть способы полегче. это способ получить личную информацию человека: состояние его счетов (всех в казкоме), транзакции, состояние пенсионного счета. увести денег так нельзя, можно напакостить: переводить раз 20 с долларового на тенговый на евро и обратно, ккб будет брать комиссию каждый раз ) ну или оплатить 100 000 билайну, или какие там счета добавлены у пользователя в онлайн-банке
tam voobshe to pri smene parolya prosyat vvesti sekretnoe slovo...
adko
0
0
не запросило..только то, что на скриншотах
Shokai
0
0
На Украине тоже разрешали несколько лет грабить инет магазины ,
но за все приходиться платить ,прибыли охотники за головами и
завербовали к себе ,а как иначе найти специалиста -подскажите ,
а обучить это вообще один из группы ,29 студентов на ветер степендии.
= = =
К сожалению на карточках лежит до 10 000кзт .
Введено ограничение на трату 10 000 кзт.
Представьте вы все время чужим кошельком пользуетесь.
= = =
Попробуйте поговорить с Пайпалом кз ,они жалуются что казахи некоммуникабельны
,совсем без узун кулака.
Кстати везде верификацию не проходят похожие пароли и номера карточек телефонов на мобильном банкинге.
adko
0
0
беда в том, что через онлайн-банк можно отключить уведомления и потом тратить в магазинах ваши деньги..вот в чем проблема
Прежде чем вы успеете что-либо поменять в настройках ХБ жертвы, ей придут те пара смс -1; +1 тенге, о которых Вы говорили. И они означают не смену пароля, а как раз-таки попытку входа в ХБ. Это будет сигналом несанкционированного входа. Предполагается, что карта подключена к услуге СМС - уведомлений.
adko
0
0
у нас нет спецов по безопасности? вон в комментах точно 1 есть
adko
0
0
Безопасность - это не только возможность потратить ваши деньги. Это просмотр информации о вас, ваших деньгах, ваших тратах, нанесение вреда, пусть даже мелкого и пакостного.
взлом вашей почты - это тоже не способ увести денег, но кто знает, какую переписку вы ведете.
Это личная информация, которую необходимо охранять должным образом. И банк как никто другой должен это понимать
Ну и Хоумбанк... Пусть зайдут на любой форум и попробуют восстановить пароль – то же самое, только предварительный идентификатор высылается на электронную почту. И просто тупо иметь карточку на руках уже окажется недостаточно.

Кстати, в онлайн банке БТА тоже дофига своих ляпов...
adko
0
0
вот и мне кажется,что онлайн-банк должен быть таким, что имея карточку на руках, должно быть нельзя получить доступ к онлайн-банку.
я не говорю про другие действия, такие как оплата этой карточкой, это вопрос другой безопасности..
но вот смотрю на комменты, кроме вас мне все говорят, что я - дура )))))
Madboy
0
0
Хакерства тут нету, просто у Казкома примитивная система сброса пароля. -_-
adko
0
0
нету хакерства, конечно, это ирония
уж слишком примитивная
На пункте 1. обламывается вся схема
"Достаёте кошелёк..." )))
Если в банке США вы потеряли доступ к своему энроллу система восстановит доступ в следующем порядке:
- уведомит по е-мейл. причем если предыдущие ip хода не совпадают, доступ не будет предоставлен;
- уведомление по смс.
- восстановление пароля по данным ID, SSN, MMN, DOB или DL.
если ни 1-м, ни во 2-м случае не получилось восстановить пароль, то звонок в саппорт банка решает проблему за минуты. Порядок предоставления данных может быть разный - это могут быть сканы ваших доков, SSN, номер ID или любого другого документа, девичья фамилия матери, ваш адрес в США (ласт и превиос). Это в крупных банках.
В более мелких банках к этому подходят намного серьезней. В штатах много банков и все дорожат репутацией.
adko
0
0
у меня был счет в банке Латвии. при открытии счета выдавалась карточка, содержащая 20 четырехзначных чисел.
Чтобы восстановить пароль нужно было сказать по телефону секретное слово, прислать сканы доков, и в итоге они не присылали сам пароль, а называли набор чисел с карточки. звучало примерно так "новый пароль числа на позициях 6, 12, 5". Т.е. в любом случае требовалось гораздо больше о себе инфы представить, чем просто карточку и дату ДР. Но казком, видимо, за упрощение подобных процедур. :(
у меня лат идет уже с диджипассом. без него счет не функционален и что-то делать вообще нереально.
дижипас, о Боже, интересно если у казахских банков на будущее хоть какие-то идеи по повышению безопасности. Судя по комментам, это особо никому не нужно
всем пофиг, пока это не случится с ними )))
дадада )))) и только одна Ада льстит себе, что инфа о ее счетах кому-то нужна ))
не ждите, что казком сейчас вам отпишет - да, мол, баг существует, банки не любят такой "рекламы".
к счастью, не пользуюсь хоумбанком - подскажите, можно ли в хоумбанке оплачивать сторонние услуги или создавать виртуальные карты?
услуги сторонние - да
виртуальные карты - да
конечно не отпишет и ничего не изменит. это же не баг - это фича, введено недавно специально, пользователи, в большинстве своем, довольны и оценить в чем косяк не могут (сужу по камментам в фб,вк и юви).

мне, наверно, не нужно было писать подобные, на мой вгляд, серьзные вещи, в шутливом тоне. :(
бинго. гарантированный ппц деньгам, причем холдер узнает об этом последним, что уже никакие чарджбеки не помогут. спс.
пользуйтесь американскими банками.
Отпишет, как раз сейчас обсуждаю ваш пост с коллегами по Хоумбанку.
спасибо за внимание
и что, вот забыл я пароль, а мне сотку пополнить надо, что я буду слать туеву хучу документов??? Конечно стоить добавить пункт введите кодовое слово, но настолько усложнять уж простите маразм.
начнем хотя бы с того, что статический айпи у нас редкость.
спс за замечание - диапазон айпи
у косяктелекома, пчилайна слишком большой диапозон айпи, и это не спасет вас, если ломать вас будут пробовать из под каждого из провайдеров, не так уж их и много у нас, начинать можно с популярных.
Сейчас не знаю, но раньше у jet3g был один единственный хД
Chip
0
0
Зачем имея данные карты иметь доступ к Хоумбанку?! С данными можно спокойно дропать валюту на вебмани/яды/инет заказы...
adko
0
0
чтобы отключить уведомления, например..
можно да..я уже несколько раз в комментах говорила, что это немного разные вещи. имея карточку можно оплатить в инете, да этого достаточно..
имея доступ к хоум-банку можно посмотреть состояние всех счетов, перевести на эту карточку с других, посмотреть транзакции пользователя..это тоже важно и это тоже безопасность
Chip
0
0
Ну это наша страна, что поделать... криво, все через жопу и всем на это насрать ...
дропы, шип, стафф )))
криворукие, это баг, и не нужно прикрываться заботой о клиентах.
это как делать сейф, который можно открыть, но там будет стоять сетка. всё равно никто не сможет ваши деньги вытащить, просто попялиться.
Нам еще на 4 курсе препод (бывший работник Казкома) объяснял, что номер карты не должен знать никто, кроме тебя самого. Много людей видел, кто номер карты заклеивает лейкопластырем.
adko
0
0
о, прикольно, про лейкопластырь. это же реально защита от камер на кассах. и код на обратной стороне тож можно лезвием затереть, я его помню и так
У HSBC банка все намного безопаснее и удобнее. Всегда нужен токен, кроме собственно знания секретных слов и кодов. И переводить средства можно по человечески по IBAN.
Jazzz
0
0
Не давайте свою карту кому попало и будет вам счастье...,
К сведенью: можно и без хоумбанка слить денюжку, зная нужные данные...
adko позволить чтобы твоя карта попала в чужие руки тоже самое что дать ключи от дома соседу и надеяться что он не выпьет ваше пиво и не тронет жену
adko
0
0
это не повод делать систему восстановления пароля к онлайн-банку примитивной
Для начала хотелось бы прояснить несколько определений. Во-первых, данное действие не является взломом (хаккингом). Во-вторых, не имеет отношения к социальному инжинирингу. В данном случае речь идёт исключительно о воровстве данных карты.
Осуществить смену пароля пользователя в Хоумбанке, используя стандартную форму восстановления идентификатора и пароля, можно только с использованием персональных данных держателя карты, а именно: номера карты, даты её действия, CVV2/CVC2-кода. Также система запрашивает номер документа, удостоверяющего личность, либо дату рождения.

Имея в своём распоряжении данные карты, третье лицо может не только осуществлять транзакции в сети Интернет (а именно осуществить покупку в Интернет-магазине), но и – теоретически – сделать дубликат карты. Использование карточных данных третьего лица является уголовно-наказуемым преступлением.

Специалисты банка считают финансовый портал Хоумбанк и, в частности, процедуру восстановления идентификатора и пароля достаточно защищенной. При соблюдении рекомендаций безопасности банка третье лицо не сможет получить доступ к учётной записи клиентов, к информации об их счетах. Несанкционированный доступ к банковской информации является уголовным преступлением.

Раньше для восстановления пароля или идентификатора система запрашивала кодовое слово. Практика показала неэффективность этого пути, поскольку большинство клиентов забывали кодовое слово сразу после заполнения документов на выпуск карты. Соответственно, система восстановления становилась фактически бесполезной для таких клиентов. Кодовое слово можно узнать в банкомате Казкоммерцбанка, но определённая часть клиентов находится за границей и не имеет доступа к данной функции.

С восстановлением по номеру документа, удостоверяющего личность, также есть проблема. Часть клиентов при обновлении документов не извещает об этом банк. Соответственно, в базе данных банка могут находиться неактуальные номера документов.

В соответствии с договором о выпуске и обслуживании платёжной карты ответственность за сохранение данных платёжной карты несёт её держатель. Банк рекомендует соблюдать следующие меры безопасности:
1. Ни в коем случае не передавать платёжную карту третьему лицу. В предприятиях торговли и сервиса все операции с картой должны производиться в присутствии её держателя.
2. Не оставлять карту в местах, где посторонние могут скопировать номер карты и другие её данные.
3. В случае, если данные платёжной карты станут известны третьему лицу, карту следует незамедлительно заблокировать и перевыпустить.

В свою очередь, наши специалисты готовы рассмотреть дополнительные возможности по повышению уровня безопасности. Однако, в данном случае важно соблюсти баланс между уровнем безопасности и функциональностью, не нарушая это тонкое равновесие. Ведь излишние меры предосторожности могут привести к полной потери функциональности. Мы с удовольствием выслушаем и рассмотрим все ваши предложения по улучшению работы финансового портала Хоумбанк.

С уважением,
Команда КАЗКОМа
adko
1
0
Спасибо за понимание. Разумеется не является хакингом, к сожалению, я почему-то не могу взять в кавычки и внести изменения в текст,что это не хакинг.


1. перенесите это на плечи пользователей: выбор вопроса, с помощью которого восстанавливается пароль. Дата рождения - это не вариант. РНН находятся поиском на сайте налогового управления. Номер УД тоже информация не вариант. Желательно сделать несколько. Если кто-то считает, что фамилия его бабушки никому не известна, это его право, может использовать этот секрет, но исключить очевидные вопросы.
2. Сделайте привязку к сотовому. То, что у пользователя сотовый не защищен - это тоже проблемы пользователя.

это так, на вскидку.

надеюсь, КазКом пересмотрит этот компонент системы. поскольку мне удобно пользоваться всеми остальными возможностям homebank, услугами самого банка и к обслуживанию в отделениях лично у меня никогда не было претензий вообще. Даже наоборот. Есть пара любимых отделений, сотрудники которых радуют своим профессионализмом и которыми постоянно пользуюсь.

с уважением,
Ада.

Chikin
0
0
1. Вопрос и был перенесён на плечи пользователя в виде кодового слова. Это неработоспособный вариант - опытным путём проверено. Кодовое слово (аналог ответа на секретный вопрос) пользователи попросту забывали.
2. К сотовому тоже пока проблематично, мало кто номер сотового телефона прицепил к порталу.

По поводу пересмотра - уже думаем.

К слову, по мне, так легче идентификатор и пароль от Хоумбанка у человека украсть, чем данные карты. А пока держите карту при себе и будет вам счастье.
ждем хорошего удобного и достаточно безопасного решения.
Легче - не легче, нужно все стороны защищать
Команда КАЗКОМ,

Получается зная данные карты, злоумышленники могут зайти на интернет-банкинг и полностью обчистить ее?
adko
0
0
ну перевести все ваши деньги билайну, например, если он у вас настроен
Нет, не могут. Для этого нужна ЭЦП.
какая эцп? оплатить свой сотовый, городской номер эцп разве нужна?
правда мне ваша техподдержка сказала, что на основании заявления все вернут в случае чего, звучит как-то странно конечно
Что вернут? Если у вас незаконно обчитили счет то казком вернет?
Так нужно ЭЦП для оплаты сотового? Через Хоумбанк можно сделать заявление на получения ЭЦП?
обчистить счет можно и без онлайн-банка, в посте нет этого вопроса. есть только,что можно посмотреть данные счетов.

но в целом, радует,что у людей возник повод пересмотреть свое отношение к безопасности и максимально ее повысить. 3D-секуре и ЭЦП, у меня пока нареканий не вызвало.
думаю, лишний раз напомнить,что карту официанту в кабаке нельзя давать, и что хоть-кто об этом после поста задумался -уже неплохо.
Да, просто такого нигде нет, кроме нас, КЗ. У меня счета в английских банках: HSBC - помимо ключевого слова есть токен, LLoyds TSB, Bank of Scotland, Halifax - ключевое слово, NatWest - недавно ввел токены. Токены высылаются бесплатно, так как они заботятся о безопасности средств своих клиентов. И нельзя говорить что ничего страшного, можно просто посмотреть твои доходы расходы, факт что ты уже зашел чужому человеку в интернет банкинг это уже брешь системы.
Только что решил попровать восстановить пароль и ключевое слово своего счета в Халифакс. В конце вышло сообщение что для завершения восставновления пароля мне необходимо позвонить в кастомер сервис для верификации. i46.tinypic.com
какой токен, о чем Вы! ) в этой стране это никому не нужно, и в первую очередь самим пользователям.
посмотрите, подавляющее кол-во комментаторов, не считает это проблемой вообще. некоторые даже считают,что я себе льщу, тем что состояние моих счетов кому-то интересно, а незнакомая девушка в фб так сразу и написала, что я ворую деньги у мужа и у меня с головой не в порядке. :))
наверно какие пользователи - такие и системы.

в этой стране предпочитают молчать - чем менять систему к хорошему.
У них ЭЦП где-то тысяч 5 стоит, если не больше
к эцп нужно ридер еще покупать
эцп - 840 тенге
ридер - 3920 тенге
ну вот как раз почти пятерка выходит
Это потому что ваше "кодовое слово" неудобно организовано. У меня есть такие "кодовые слова", чтобы зайти на свою электронную почту, Ювижен, кучу форумов и сайтов — я ничего не забываю, никто ничего не забывает. Тут 50 человек уже оставило комментарии введя сначала "кодовое слово", а вот ваши клиенты почему-то забывают это кодовое слово... Подумайте над этим.
В тексте "номер уд. л., либо дата рождения". Видимо уже пересмотрели, сейчас надо указать и то и другое. Или методом случайного выбора каждый раз всплывают разные вопросы? Это вопрос к Казкому.
В качестве предложения еще раз повторюсь - надо перестать предлагать напомнить идентификатор - это со стороны банка, а пользователям - обеспечить сохранность данных карты, удостоверения личности (мы ведь знаем о случаях выдачи кредитов по утерянным документам, например...)
то есть, вот это "Имея в своём распоряжении данные карты, третье лицо может не только осуществлять транзакции в сети Интернет (а именно осуществить покупку в Интернет-магазине), но и – теоретически – сделать дубликат карты" вы считаете нормальным????
Chikin
1
0
Мысль в том, что для осуществления покупок в сети нужен определенный набор цифр, другого способа МПС пока не изобрели. И эти самые цифры держатель карты должен защищать.
Бред. Копия моей карты лежит как минимум в двух организация - там, где я работаю, и там где я подрабатываю, к примеру.
Более того, я отдаю свою карту при оплате услуг, покупках в супермаркетах. Не составит труда увидеть и записать CV код, если вы о нем. Или быстренькое номерочек переписать.
То есть, мы не так уж и защищены.
я рад,что хоть кто-то задумался о безопасности своих денег.
Вы же не раздаёте дубликаты ключей от квартиры?! Или раздаёте?
Работодателю достаточно предоставить IBAN-номера карты (карт-счёт). Зачем ему нужна её копия, мне непонятно.
Сложившаяся ситуация говорит лишь о вашей элементарной финансовой безграмотности и нежелании прочитать договор об обслуживании карты, там все эти моменты отражены.
Для таких параноиков, и для людей задумывающихся над безопасностью существует 3DSecure ставь на карты и не кто не сможет приобрести в интернет шопах не зная пароль! Так что все что вы говорите как то не доставило
Я думаю КАЗКОМ обязан обеспечивать безопасность ваших средств.
Вроде бы сказали что пароль 3Д Секюр можно поменять в самом Хоумбанке.
пароль 3д секьюр можно установить в хоум банке а что бы изменить тоже много манипуляций нужно)
а Казком и заботится) от того что ты получить доступ хоумбанку многое не изменится. Да и что бы дать карточку свою третьему лицу уже надо быть не шибко умным мое мнение. Как бы нас же учат что карточку третим лицам не передаем кодовое слово не сообщаем и так далее.
копии требуют бухгалтеры,чтоб добавить карту в зарплатный проект, т.е. об этом вот тоже никто не думает,что так нельзя
поповоду копии с карт - на самом деле для зачисления ЗП на карту бухгалтерии достаточно будет Вашего заявления с указанием номера карты (в большинстве случаев 16 знаков), или 20-значный номер счета (IBAN), к которому эта карта привязна. Ответственность за правильность указания номера карты или счета будете нести Вы конечно.
В крайнем случае, когда требуется копия карты (бывает в случае с AirAstana) я лично снимаю ее только с лицевой стороны (т.е. без разглашения cvv cvc кодов, хотя карта защищена 3DSecure).
Вы правы, это не нормально.
Транзакции в сети можно закрыть.
по принципу "волков бояться - в лес не ходить?" Ожидала от родного банка более уверенной и убедительной позиции по данной ситуации с призывом к гражданской ответственности и стремлению к финансовому просвещению. Ведь в принципе все не так уж и плохо - не надо ничего добавлять, просто уберите "напомнить идентификатор"...
и создавать пользователя что бы покоментить это так тру
К посту "графини": нормально это или не нормально - это вопрос администр. и уголовн. законодательства. А вот то, что это в принципе возможно - вам должно быть известно. И в этом отношении платежная карточка, какой бы голдовой или платиновой она не была, визитной карточкой все-таки не является, и сравнение ее с ключрм от квартиры, где деньги лежат - более уместно.
adko
0
0
может мне закрыть комменты, тема же исчерпана так?
Закрывать пока не стоит, КАЗКОМ не дает внятного ответа. Они говорят: так делать нельзя, это уголовно наказуемо. Не давайте никому данные своей карты. И все. То есть ваш пост не отрицается, получается это возможно. И это вас возмущает. А КАЗКОМУ вроде как все равно. Вместо того чтобы повысить фин грамотность, а точнее уметь пользоваться интернет-банкингом (запомни ключевое слово) а они опускаются ниже, то есть упрощают взлом. Нужно создать прецендент чтобы вы повысили безопасность? Тем более способ взлома опубликован, скоро будут жалобы, может даже и липовые.
Amigo
1
0
*facepalm*.
Все грамотно написано. Закрутка, "сенсация", лепет обвиняемых, гневные комменты пользователей!
Хороший зак^W, рассказ!
:-):-):-) и сообщение в конце от ККБ: спасибо уважаемые пользователи. Вы приняли участие в бета-тестировании системы безопасности хоумбанка
этих данных достаточно чтобы купить что-то в интернете, кому сдалась инфа о хоумбанке, когда можно больший вред нанести
Не ожидал такого отношения КАЗКОМ к безопасности данных своих клиентов. В настройках системы ХОУМБАНКа должно быть несколько вариантов восстановления как на сервере mail.ru: на телефон, на е-майл, по кодовому слову и т.д. Получается, что восстановить пароль для входа в Хоумбанк легче чем попасть в мой почтовый ящик. Казком, я требую пересмотра своего отношения! Не надо перекладывать ответственность на плечи клиентов. У клиентов должен быть выбор как восстанавливать свой пароль!
Shokai
0
0
Когда дефицит специалистов - открывают бреши в защите ,типа кошелек под ноги бросают,
Ежели деньги халявные любишь -с тобой вступают в игру ,по мелочи тырить,
а когда наблатыкаешься заберут на работу,это лучшее обучение.
Тут дело не в деньгах ,сколько украл ,а какие нашел лазейки.
Я бы не назвала это системой восстановления пароля - пароль создается с нуля. В таком случае, предлагаю Казкому просто убрать опцию "напомнить идентификатор", так как это совершенно медвежья услуга в этой ситуации. Создав новый пароль, но не зная идентификатора, "любопытный вредитель" не сможет войти в хоумбанк. И тогда и дата рождения и номер удостоверения личности могут использоваться дальше. Пароль приходится менять почти каждый месяц, понятно, что и забыть и запутаться можно. Но если ты забыл идентификатор - значит хоумбанком ты пользуешься раз в год, что очень маловероятно.
adko
0
0
про идентификатор - согласна
Во первых, сразу понятно, что "хакер" в данном случае это сарказм.
Во вторых, не приятно если кто то узнает личную инфу. Даже простая информация может нанести вред.
Какой нибудь друг "шутник", родственник в гостях, заинтересованное лицо (через официанта в ресторане, перепишет/сфоткает карточку с двух сторон) узнает твою личную информацию. Какая з/п, сколько и где ты тратишь, пенс накопления, счета ком услуг итд итп. А потом могут быть разговоры, мол не может денег занять (помочь купить квартиру, машину, обучить детей родственников итд., оплатить долг) а у самого з/п х тыщ тенге, или а ты знаешь он там на то на се тратит деньги, "осек" короче. Или наводка, вон у него есть деньги, поступают такого то числа, и грабанут у банкомета (какой нибудь новый знакомый). Просто для примера.
А вытащить карточку на минуту не сложно. там всего то то надо сфоткать на сотку (20-30 секунд). Не будешь же теперь везде (в гостях, дома, в ресторане если вышел покурить, по телефону поговорить, в туалет, в спорте, пришел футбол поиграть итд, в бане) и всегда с собой таскать карточку.
Так что согласен с автором. Система хромает. Что сложно добавить секретный вопрос. И каким тупым надо быть чтобы забыть на него ответ?!
Таким людям хочется сказать - Не можешь запомнить пароль - запиши его! или не мудри и поставь легкий, все равно ведь тебе пофиг на безопасность.
а я говорю что самый крутой банк это HSBC!) можете воспринимать как рекламу) у меня есть токен, который при нажатии выдает рандомное число, и его необходимо ввести при входе. чуть запнулся, на 3 секретных вопроса тебя выводит)
и обслуживание самое лучшее!)
как то оплатил товарищу билет на поезд, минут через 15 позвонили и уточнили в курсе ли я этой операции и подтверждаю ли я её.. а это ночь была.
и всегда вежливые консультанты!
А что делать если я хочу зарегаться на портале, но забыл кодовое слово?
Ада, я, конечно, тот еще тормоз, тока щас все прочитала))))
в ужасе я, вот что...

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Прогноз эксперта: в Казахстане будут жить 5 миллионов китайцев

Прогноз эксперта: в Казахстане будут жить 5 миллионов китайцев

В ближайшие годы в Центральной Азии будут проживать восемь миллионов китайцев, считает заведующий отделением востоковедения национального исследовательского университета высшей школы экономики.
kurmanovainur
23 июня 2017 / 11:23
  • 41058
  • 45
Почему мы должны быть благодарны журналисту Джеймсу Палмеру за критику ЭКСПО

Почему мы должны быть благодарны журналисту Джеймсу Палмеру за критику ЭКСПО

Как одним критичным постом зарубежному журналисту Джеймсу Палмеру удалось вскрыть сразу несколько гнойников казахстанского общества.
anotherblogger
21 июня 2017 / 0:39
  • 7070
  • 64
Почему я больше не поеду отдыхать на северное побережье Алаколя

Почему я больше не поеду отдыхать на северное побережье Алаколя

Нам казалось, что на Алаколе мы сможем хорошо отдохнуть, расслабиться и набраться сил на весь следующий год. Вроде, и достаточно бюджетно, и не так далеко.
RisKaS
вчера / 18:05
  • 3616
  • 33
На каких улицах города Алматы вы точно попадете в «пробку»

На каких улицах города Алматы вы точно попадете в «пробку»

Строятся пешеходные и велосипедные дорожки, трамвайные пути "сносят", а главная традиция нашего мегаполиса - замена подземных коммуникаций и в этом году не была нарушена.
beoblod
вчера / 17:22
  • 3245
  • 3
В каких случаях у вас могут изъять удостоверение личности?

В каких случаях у вас могут изъять удостоверение личности?

Недавно один знакомый задал вопрос: «Я сейчас выступаю как свидетель по одному делу. У меня забрали удостоверение личности (УЛ) в РУВД и не вернули обратно. Так можно?». Я сразу задалась вопросом...
asselsabekova
21 июня 2017 / 10:17
  • 3297
  • 11
Эксперимент. Два парня и девушка в поисках лучшего донера в Астане

Эксперимент. Два парня и девушка в поисках лучшего донера в Астане

Нас трое: девушка и двое парней. Мы обошли 7 заведений, где продают донеры. Оценивали по 10-бальной шкале только по вкусовым качествам донера. Никто нам за рекламу не платил, бесплатными донерами не кормил!
nargiz_15
сегодня / 10:08
  • 2962
  • 5
Где отлично провести летние месяцы с пользой для здоровья и кошелька?

Где отлично провести летние месяцы с пользой для здоровья и кошелька?

Я обратил внимание, что в случае с уникальными природными зонами Павлодарской области применима поговорка: «что имеем – не ценим», а ведь они легко могли бы стать международными курортами.
Muzalevskiy
23 июня 2017 / 22:57
  • 3207
  • 11
Это «колхозное сооружение» вредит имиджу города. Я, как алматинка, против!

Это «колхозное сооружение» вредит имиджу города. Я, как алматинка, против!

Почему эту трубу не проложили под землей? Она обезображивает улицу, как дикий багровый шрам от раны, зашитой равнодушным, криворуким и ленивым хирургом, обезображивает лицо.
ValentinaVladimirska
23 июня 2017 / 12:10
  • 2632
  • 39
На Иссык-Куль через Юг. Не бойтесь ехать в Киргизию своим ходом!

На Иссык-Куль через Юг. Не бойтесь ехать в Киргизию своим ходом!

Очень живописная и бюджетная поездка вдоль всего берега по Иссык-Кулю! Мы, две обаятельные девушки, поехали вдвоем, подготовленные к совершенно автономной жизни в палатке, и ни разу ничего не...
yelenasergiyenko
22 июня 2017 / 13:20
  • 2811
  • 23