Народний рейтинг українських банків, страхових компаній і компаній з управління активами і рівень обслуговування в них. Архіви народних рейтингів на Finance.UA.
Я просто не слышал, чтобы деньги например снимались сразу с того же Свободного в ПУМБе на карту, а с карты шли дальше. Ведь если предположить, что у мошенников есть полный доступ в приложение, то они по идее могут и это сделать. А тут деньги уходят только с карт. Есть разные сервисы оплат, которым достаточно только данных карт и даже без запроса 3D Secure можно деньги зачислить на электронный кошелек и с него вывести уже на карту. И не надо даже подтверждение от ПУМБ онлайн.
Обмен долларов на гривны через меню обмен валют в ПУМБ онлайн проходит с подтверждающей смс насколько я помню, разве нет? Каким образом тогда не имея доступ к финансовому номеру можно было подтвердить эту операцию...
dedmvi написав:Обмен долларов на гривны через меню обмен валют в ПУМБ онлайн проходит с подтверждающей смс насколько я помню, разве нет? Каким образом тогда не имея доступ к финансовому номеру можно было подтвердить эту операцию...
Можно подтвердить биометрией/отпечатком, предварительно настроив бандитский телефон
Ну тогда остается одно - данные для входа в ИБ. Если их знают - вариантов несколько - сотрудник из отделения, который помогал человеку первый раз входить в ПУМБ онлайн через ПК в отделении, человек обслуживающий этот ПК, который мог туда посадить троян, ловящий введенные пароли с клавиатуры, человек из СБ банка, который мониторит камеру, направленнную на данный ПК, либо айтишник, у которого есть доступ к расшифровке хранящихся в БД паролей либо участвовавший в разработке приложения и знающий о дырах в безопасности. Можно попробовать для начала сменить пароль на ПУМБ онлайн, введенный изначально в отделении банка, который мог быть скомпрометирован. Если не поможет - однозначно кто-то из разработчиков, возможно недавно уволенный.
dedmvi написав:Ну тогда остается одно - данные для входа в ИБ. Если их знают - вариантов несколько - сотрудник из отделения, который помогал человеку первый раз входить в ПУМБ онлайн через ПК в отделении, человек обслуживающий этот ПК, который мог туда посадить троян, ловящий введенные пароли с клавиатуры, человек из СБ банка, который мониторит камеру, направленнную на данный ПК, либо айтишник, у которого есть доступ к расшифровке хранящихся в БД паролей либо участвовавший в разработке приложения и знающий о дырах в безопасности. Можно попробовать для начала сменить пароль на ПУМБ онлайн, введенный изначально в отделении банка, который мог быть скомпрометирован. Если не поможет - однозначно кто-то из разработчиков, возможно недавно уволенный.
Ага, зараз прийнято просто пафосно казати, що усе не так, без жодної конкретики. Можете нам предметно розповісти на скільки ПУМБ вирвався з 2005-го року? Якщо у 2019-му у Фейсбуці можливе логування паролів у відкритому вигляді, то чому це виключено у ПУМБі зразка 2021-го? При тому, що з переходом на Корезоїд частину своєї інфраструктури вони взагалі не контролюють.
Підтримую спробу колег копати у цьому напрямку: коли паролі були востаннє змінені, чи використовувалися для цього місця для роботи клієнта у відділенні? Проблема у тому, що якщо перехоплення відбувається десь посередині і досі активне, то зміною пароля зараз можна навпаки нашкодити, якщо ж це якийсь старий злив (я так розумію, що усі отримали картки не прямо зараз), то зміна може бути єдиним дієвим способом захисту і тут не вгадаєш.
Також цікава теорія щодо Водафона, але може виявитися просто збігом, пов'язаним з популярністю оператора у регіоні.