Моему сайту исполнилось 27 лет
Endesa успокоила клиентов
14.01.2026 16:00
3136
Комментарии (141)
Испанские программисты - это что-то очень и очень особенное. Такого кошмара, который творится с программным обеспечением сайтов крупнейших государственных учреждений, крупных банков и так далее - я, по-моему, больше нигде не встречал. Рассказывать об этом можно часами. Ну а где проблемы с программированием - там проблемы и с безопасностью.
Endesa - крупнейшая испанская энергетическая компания, специализирующаяся на производстве, распределении и продаже электроэнергии, а также на услугах в сфере природного газа. У нее миллионы пользователей.
И вот недавно выяснилось, что в результате хакерской атаки из Endesa были похищены все данные - ID, домашние адреса и банковские реквизиты - 20 миллионов пользователей, то есть, насколько я понимаю, всей клиентской базы. То есть оно там все хранилось в таком виде, что это можно было похитить, ну и защита была реализована соответствующим образом.
Знаете, что на это сказали в Endesa? У-у-у-упс, сказали в Endesa. Но поспешили успокоить пользователей, цитирую:
Компания Endesa сообщила своим клиентам, что в результате несанкционированного доступа были затронуты личные данные, в том числе банковские, но заверила, что пароли не были скомпрометированы. Компания активировала свои протоколы безопасности, заблокировала уязвимые точки доступа и предоставила пользователям номер телефона службы поддержки (800 760 366) и канал связи по электронной почте.
Ну, слава богу, пароли к личным кабинетам пользователей Endesa не были похищены, теперь злоумышленники не смогут зайти и посмотреть, кто сколько заплатил за электричество и газ. Ура, ура!
Также меня умилила фраза "Компания активировала свои протоколы безопасности, заблокировала уязвимые точки доступа". То есть ранее протоколы безопасности не были активированы, и уязвимые точки доступа трогательно были открытыми в своей тотальной уязвимости?
Это, господа, пушной зверек какой-то, честное слово!
Войдите, чтобы оставить комментарий.
Как там бедный Алекс живёт?
Алекс, а ты уверен, что это ИСПАНСКИЕ программисты? Очень часто в крупных компаниях с бюджетом на IT ~100m и выше в год крупные проекты отдают на аутсорс. Причина проста. Если ты CTO, то делая проект своими силами тебя ждёт рутинная работа в своём офисе. Если ты отдаёшь на аутсорс, то ты часто «работаешь» на обедах и ужинах в лучших ресторанах за счёт поставщика услуг. Аутсорсер часто возит тебя (и кого ты номинируешь) на конференции и тренинги на курорты, где работы на полдня, а ещё три дня оплаченного отдыха. Иногда, банально дают откат. Мне один знакомый с Accenture рассказывал, что по некоторым проектам у них на разработку уходит 5% бюджета, а 95% на stakeholders management.
А потом на своих программеров сваливают обслуживание этого софта. Которое, иногда, специально настолько сложно, документации настолько много и она настолько коряво написана, что заказчику опять придётся обратиться к аутсорсеру.
Это, на мой взгляд, основная причина того, почему стартапы пишут намного лучшие продукты при значительно меньшем бюджете. Банальная коррупция в IT крупных компаний и гос учреждений.
Вторая причина - это риск и комплайнс, которые нифига не шарят в софте, но кошмарят айтишников, как им надо писать код, хранить данные и т.п., чтобы соответствовать их стандартам, которые устарели и даже при написании были неадекватны.
А потом на своих программеров сваливают обслуживание этого софта. Которое, иногда, специально настолько сложно, документации настолько много и она настолько коряво написана, что заказчику опять придётся обратиться к аутсорсеру.
Это, на мой взгляд, основная причина того, почему стартапы пишут намного лучшие продукты при значительно меньшем бюджете. Банальная коррупция в IT крупных компаний и гос учреждений.
Вторая причина - это риск и комплайнс, которые нифига не шарят в софте, но кошмарят айтишников, как им надо писать код, хранить данные и т.п., чтобы соответствовать их стандартам, которые устарели и даже при написании были неадекватны.
Так-то аутсорс выгоден ещё и тем, что испанскому программисту в испанском офисе ты можешь платить одни деньги, а удалённому индийскому специалисту, который работает из дома, можно платить совсем другие.
Ну и то, что на этом куча способов попилить бюджет это тоже правда
Ну и то, что на этом куча способов попилить бюджет это тоже правда
Так-то аутсорс выгоден ещё и тем, что испанскому программисту в испанском офисе ты можешь платить одни деньги, а удалённому индийскому специалисту, который работает из дома, можно платить совсем другие.
Часто в контракте прописано, что разработка должна вестись в Европе. Правда, тут есть хитрый ход конём. Включаешь в продукт т.н. proprietary libraries, которые по факту являются компонентами, разработанными в Индии различными командами «не для этого проекта». Отсюда ещё одна причина багов. Делать аудит где, что и для чего писалось будет дороже самого проекта.
А потом на своих программеров сваливают обслуживание этого софта. Которое, иногда, специально настолько сложно
Про испанский аутсорс со своего опыта: лет 5 назад в поисках работы попал на испанского заказчика. Ничего интересного, самый банальный кастомный экомерц. Предложили офер на 60% (!) ниже рынка. Очевидно я отказался, вместо этого мне позвонил целый СЕО и сорок минут расказывал какая у них крутая компания и почему я должен с ними работать. Аргументировал копеечную ЗП тем что "ну мы провели исследование и в Украине это адекватная зарплата для твоей роли" (нет). Было смешно короче.
Про испанский аутсорс со своего опыта: лет 5 назад в поисках работы попал на испанского заказчика. Ничего интересного, самый банальный кастомный экомерц. Предложили офер на 60% (!) ниже рынка. Очевидно я отказался, вместо этого мне позвонил целый СЕО и сорок минут расказывал какая у них крутая компания и почему я должен с ними работать. Аргументировал копеечную ЗП тем что "ну мы провели исследование и в Украине это адекватная зарплата для твоей роли" (нет). Было смешно короче.
не только коррупция а еще отсутвие попытки брать ответсвенность за поиски добросовестных подрядчиков и отсутсвие доверия и способности преодолеть этот gap доверия у норм подрядчиков извне.
если вы когда либо продовали IT услуги то это жесть))
если вы когда либо продовали IT услуги то это жесть))
не только коррупция а еще отсутвие попытки брать ответсвенность за поиски добросовестных подрядчиков и отсутсвие доверия и способности преодолеть этот gap доверия у норм подрядчиков извне.если вы когда либо продовали IT услуги то это жесть))
В них этот банк специально вложился, чтобы потом купить и эксклюзивно использовать. Менеджер банка был в их совете директоров. Инженеры банка имели доступ к их гиту, aws и базе. Несколько менеджеров банка уже неофициально трестировали приложение, скармливая ему анонимизированные старые данные.
Не прошли комплайнс… Типа, нет репутации. Несмотря на то, что это практически уже был один из отделов банка. Скорее всего, какие-то внутренние politics банка, кто-то кому-то гадит. Кстати, достаточно частая причина срыва продажи в b2b.
По поводу протоколов безопасности компаний. Я, когда переехал в Португалию в 2022 году, открыл счет в Сантандере. Просто потому что у них был какой-то договор с моим работодателем и они довольно быстро открыли счет (к тому времени моя заявка в Миллениум благополучно висела уже три месяца).
Так вот, такое революционное достижение, как двухфакторная аутентификация в личном кабинете у них появилось лишь в прошлом, 2025 году, во второй половине (хотя насчет половины не уверен на 100%), стали ОТП СМС рассылать. А до этого - юзер/пароль, все, заходи. Делай, что хочешь.
Так вот, такое революционное достижение, как двухфакторная аутентификация в личном кабинете у них появилось лишь в прошлом, 2025 году, во второй половине (хотя насчет половины не уверен на 100%), стали ОТП СМС рассылать. А до этого - юзер/пароль, все, заходи. Делай, что хочешь.
Так вот, такое революционное достижение, как двухфакторная аутентификация в личном кабинете у них появилось лишь в прошлом, 2025
Прелестно.
При этом eidas действует с 2016-го.
Прелестно.
Прелестно.
Сантандере
Угу, а в польском Миллениуме в 2018 году - хоть и подтверждение по СМС, но пароль ограничем 8 символами и только цифры.
Компания активировала свои протоколы безопасности
- Хакер, стой - раз-два
Endesa - крупнейшая испанская энергетическая компания, специализирующаяся на производстве, распределении и продаже электроэнергии
похищены все данные - ID, домашние адреса и банковские реквизиты - 20 миллионов пользователей
Не совсем понял по фотке - что именно они рекламируют?
P.S. Только я один здесь который не видел ни одной рекламы не на одном сайте последние лет 15 когда у тебя одновременно работает adblock+, Adguard в броузере и pihole в сети?
P.S. Только я один здесь который не видел ни одной рекламы не на одном сайте последние лет 15 когда у тебя одновременно работает adblock+, Adguard в броузере и pihole в сети?
P.S. Только я один здесь который не видел ни одной рекламы не на одном сайте последние лет 15 когда у тебя одновременно работает adblock+, Adguard в броузере и pihole в сети?
Из сегодняшней.
Только я один здесь который не видел ни одной рекламы не на одном сайте последние лет 15
Да, твою рекламу никому не переплюнуть.
adblock
Join the club.
На сайте у Алекса многие включают рекламу, чтобы его поддержать.
Печаль в том, что не очень понятно, доходит ли до Алекса эта "поддержка". Вся реклама чисто местная...
У меня вчера была реклама, но точно не российская - впн был через Германию. А вот сегодня почему-то рекламы нет, возможно потому что впн подключился через другую страну
Офф: США прекратили выдачу иммиграционных виз россиянам и ещё 70 странам, чтобы те "не полагались на щедрость американского народа".
"А нас-то за что?"
"Произошла чудовищная ошибка".
"А нас-то за что?"
"Произошла чудовищная ошибка".
Видел опровержение
Я видел перепечатку из фокс ньюз. Но ничего удивительного в этом не было бы -- для трампа все иммигранты нежелательные, что сомалийцы, что рассияне, что мексиканцы. Россияне просто одни из большого списка "shit counteries".
Прочитал уточнение, всё осталось так, как я исходно понял. Список из стран по ссылке. На очереди отмена натурализованных гражданств и birthright citizenship.
www.theguardian.com
"The pause follows Trump’s December expansion of travel bans to 39 countries, suspension of asylum processing, and halting of citizenship and green card applications for citizens of countries already subject to restrictions.
Research contradicts administration claims about immigrant welfare use. In February 2025, the libertarian Cato Institute published a paper showing that native-born Americans consumed, on an average per capita basis, more welfare and entitlement benefits than all immigrants. The study found immigrants consumed 21% fewer welfare and entitlement benefits than native-born Americans on a per capita basis in 2022."
www.theguardian.com
"The pause follows Trump’s December expansion of travel bans to 39 countries, suspension of asylum processing, and halting of citizenship and green card applications for citizens of countries already subject to restrictions.
Research contradicts administration claims about immigrant welfare use. In February 2025, the libertarian Cato Institute published a paper showing that native-born Americans consumed, on an average per capita basis, more welfare and entitlement benefits than all immigrants. The study found immigrants consumed 21% fewer welfare and entitlement benefits than native-born Americans on a per capita basis in 2022."
Где такое купить? Мне срочно надо.
Я тоже искал, мне лишь кинули фотку. Наверное в России...
Напечатать на 3д принтере и раскрасить.
низкое качество государственных ИТ систем бич универсальный. По моему ничего хуже чем американские госсайты я не видел. Ситуация чуть меняется, но все же.
В Европе хоть есть надежда на то что за утечку персональных данных DPO вздрючит Endesa согласно требованиям GDPR.
В Европе хоть есть надежда на то что за утечку персональных данных DPO вздрючит Endesa согласно требованиям GDPR.
По моему ничего хуже чем американские госсайты я не видел.
Global Entry, SSA - вполне на уровне.
Компания сообщила, что решение проблемы очень простое и клиентам не составит большого труда обезопасить себя: надо просто сменить имя и фамилию, заменить паспорт и переехать жить по другому адресу.
Пол менять надо?
Опционально
Девушка, скажите, а внешность мне не поменяли?
Пол менять надо?
Вот вы даёте, а как же можно внешность изменить? На глупости у меня нет времени.
Опционально
Пол менять надо?
Ох, вы просто не видели, что происходит с ПО в Мексике. В госсекторе — полный аут. Например, некоторые службы работают только в Edge и иногда ещё и только в определённой версии. У многих запросы обрабатываются исключительно в дневное время — был случай, когда я не смог получить выписку на машину после 5 вечера, хотя это обычная выгрузка из SQL.
Некоторые «госуслуги» не работают месяцами, а просто прийти и отстоять очередь нельзя, потому что «электронная запись». При этом электронная система тоже может не работать.
Тот же кошмар и в банках, и вообще во всей коммерции. Например, у сотового оператора как-то две недели не работала онлайн-оплата. Местные «кулхацкеры» очень любят постоянно менять интерфейсы: в банковском приложении за три года его переделывали раз десять, и с каждым разом привычные функции находить всё сложнее и сложнее.
Некоторые «госуслуги» не работают месяцами, а просто прийти и отстоять очередь нельзя, потому что «электронная запись». При этом электронная система тоже может не работать.
Тот же кошмар и в банках, и вообще во всей коммерции. Например, у сотового оператора как-то две недели не работала онлайн-оплата. Местные «кулхацкеры» очень любят постоянно менять интерфейсы: в банковском приложении за три года его переделывали раз десять, и с каждым разом привычные функции находить всё сложнее и сложнее.
У многих запросы обрабатываются исключительно в дневное время
хотя это обычная выгрузка из SQL.
Ну да, тем более в Мексике SQL это Sergio Quintín López 😀
Endesa успокоила клиентов
Это проблема не только Испании. Гос сектор в любой стране всегда пограммистам копейки платил и нормальные специалисты туда не идут
Это проблема не только Испании. Гос сектор в любой стране всегда пограммистам копейки платил и нормальные специалисты туда не идут
Это в любой стране частная компания.
Я работаю на частную компанию и числюсь контрактником, а реальные федералы своими руками ничего собственно не делают. Хорошо если не мешают.
Я работаю на частную компанию и числюсь контрактником, а реальные федералы своими руками ничего собственно не делают. Хорошо если не мешают.
Такого кошмара, который творится с программным обеспечением сайтов крупнейших государственных учреждений, крупных банков и так далее - я, по-моему, больше нигде не встречал.
Интересует, однако, другое:
ID, домашние адреса и банковские реквизиты
Какое зловещее преступление можно замыслить обладая этим набором данных? Таргетированный фишинг? Почтовую рассылку каталогов пылесосов кирби?
Здравствуйте, Пафнутий Батькович,
На ваш банковский счёт поступила значительная сумма, размер которой превышает ограничения переводов, не облагаемых налогом. Точный размер суммы мы в данный момент указать не можем, согласно указу номер такой-то о тайне личных данных блаблабла.
Данные банковской операции:
Тут указывается:
- ваше ФИО
- номер и тип вашего банковского счёта
- ваш домашний адрес
- ваш номер паспорта
Для подтверждения легитимности перевода и уплаты налога на доход, пожалуйста, перейдите по этой ссылке (ссылка на страничку, являющуюся копией страницы вашего банка, где так же присутствуют ваши ФИО и адрес и пр. для увеличения уровня доверия, с просьбой авторизоваться, введя ваш логин и пароль и пр).
С уважением,
Логотип вашего банка || название вашего банка || и прочие прилично выглядещие реквизиты
------------
Может, вы лично не купитесь, но кто-то постарше и/или менее грамотный в этих всех делах - запросто.
Про возможные последствия писать не буду - думаю, и так всё понятно )
На ваш банковский счёт поступила значительная сумма, размер которой превышает ограничения переводов, не облагаемых налогом. Точный размер суммы мы в данный момент указать не можем, согласно указу номер такой-то о тайне личных данных блаблабла.
Данные банковской операции:
Тут указывается:
- ваше ФИО
- номер и тип вашего банковского счёта
- ваш домашний адрес
- ваш номер паспорта
Для подтверждения легитимности перевода и уплаты налога на доход, пожалуйста, перейдите по этой ссылке (ссылка на страничку, являющуюся копией страницы вашего банка, где так же присутствуют ваши ФИО и адрес и пр. для увеличения уровня доверия, с просьбой авторизоваться, введя ваш логин и пароль и пр).
С уважением,
Логотип вашего банка || название вашего банка || и прочие прилично выглядещие реквизиты
------------
Может, вы лично не купитесь, но кто-то постарше и/или менее грамотный в этих всех делах - запросто.
Про возможные последствия писать не буду - думаю, и так всё понятно )
На ваш банковский счёт поступила значительная сумма
На это невозможно купится, потому что подобные сообщения приходят внутри банковского приложения. Успешной такая атака будет только против тех, кто крайне невнимателен.
Однако это тот самый таргетированный фишинг. Такой метод атаки я уже предположил. А ещё?
Однако это тот самый таргетированный фишинг. Такой метод атаки я уже предположил. А ещё?
Отлично. Нашли, за что зацепиться, в моём на коленке за минуту нарисованном гипотетическом примере. Браво, чо)
Я надеюсь это сарказм?
Чем опасно владение такими данными? Вы кстати знали что такой набор есть до хрена у кого? Например у сайтов типа Etsy, потому что именно так, через документы об оплате коммуналки, они подтверждают личность и адрес пользователя.
Кстати счёт с которого оплачивают коммуналку, и счёт на котором лежат серьезные средства это практически всегда разные счета.
Ну, в принципе, его достаточно, я щетаю. Причём фишинг не только напрямую из "банка", но и более навороченный какой-нибудь. Этого набора сворованных данных вполне достаточно для установления первичного уровня доверия, а оттуда - sky's the limit.
И ФИО и адрес и номер ID и номер банковского счёта? Нее, такой комплект - редкость и деликатес)
Собственно по ссылке в посте написано (гугл-транслейт):
1. Остерегайтесь звонков, электронных писем и SMS-сообщений.
Эчебаррия категорически заявила: Endesa не будет запрашивать личную или банковскую информацию по телефону, электронной почте или через ссылки. Любое сообщение с запросом подобной информации следует рассматривать как подозрительное и немедленно отклонять.
2. Не переходите по ссылкам и не скачивайте файлы.
Наибольший риск сейчас представляет фишинг, то есть когда третьи стороны выдают себя за Endesa, используя утекшие данные. Даже если сообщение выглядит правдоподобно, EKA рекомендует не переходить по ссылкам и не скачивать документы, если есть хоть малейшие сомнения в их подлинности.
1. Остерегайтесь звонков, электронных писем и SMS-сообщений.
Эчебаррия категорически заявила: Endesa не будет запрашивать личную или банковскую информацию по телефону, электронной почте или через ссылки. Любое сообщение с запросом подобной информации следует рассматривать как подозрительное и немедленно отклонять.
2. Не переходите по ссылкам и не скачивайте файлы.
Наибольший риск сейчас представляет фишинг, то есть когда третьи стороны выдают себя за Endesa, используя утекшие данные. Даже если сообщение выглядит правдоподобно, EKA рекомендует не переходить по ссылкам и не скачивать документы, если есть хоть малейшие сомнения в их подлинности.
И ФИО и адрес и номер ID и номер банковского счёта?
Нее, такой комплект - редкость и деликатес)
а оттуда - sky's the limit.
ID, домашние адреса и банковские реквизиты
Какое зловещее преступление можно замыслить обладая этим набором данных?
Какое зловещее преступление можно замыслить обладая этим набором данных?
и не скачивайте файлы.
Какое зловещее преступление можно замыслить обладая этим набором данных? Таргетированный фишинг? Почтовую рассылку каталогов пылесосов кирби?
www.reddit.com
(к сожалению, нашел только ссылку на событие, в те времена интернет ещё не был настолько вездесущим).
В результате потерял 500 фунтов - ему наглядно продемонстрировали, чем опасна публикация банковских данных.
Вход в реальную морду двухфакторный, операции по счёту двухфакторные... Вам надо телефон у жертвы украсть или симку дублировать.
Однажды Джереми Кларксон
Я вам напомню, что мы обсуждаем всё это буквально через пять часов после данного поста.
Далеко не везде. Регулярно куда-то перевожу деньги без всякой двухфакторности.
Вы, скорее всего, просто не видите первый фактор.
Банковские реквизиты с большой вероятностью включают SEPA-мандат на автоматическое взимание оплаты за газ/свет.
Причём там ещё и "вилка" на сумму.
Конечно, если этот механизм реализовать через индусскую жо... аутсорс, то может что угодно произойти. Но тут уже похищение ваших личных данных совсем не главный фактор.
Наполовину. Переходите к сути, если есть желание конечно.Чем опасно владение такими данными? Вы кстати знали что такой набор есть до хрена у кого? Например у сайтов типа Etsy…
Identity theft
Etsy не будет брать кредиты на ваше имя, или использовать эти данные для получения доступа к вашему банковскому счету, или оформлять на ваше имя юрлица.
Дальше-то что? Про доступ к счёту уже поговорили, кредит оформить... пусть попытаются, если выйдет, я их найму, это и "оригинальному" владельцу личности не так просто, а оформить юрлицо это вообще... хотя это местная специфика, конечно. Не знаю как в UK, у нас тут это весьма кучерявая процедура, я оформлял три, две полноценные и одно ИП, могу много смешного написать.
банковские реквизиты
но если номер карты и, не дай Бог, все остальное: Card holder name, Expiry date – а с них станется – то тогда это больно
Я знаю как это называется, я спрашиваю - как могут использовать.
Можно оформить Direct Debit для оплаты сервисов - многие компании в UK не проверяют физический ID при небольших суммах. Можно также оформить Direct Debit на легального владельца счета, и потом использовать эту информацию (номер счета, сумма и дата списания) для обмана кредиторов.
Случаев мошенничества с использованием Direct Debit на самом деле очень много: https://www.finextra.com/
И вы,лично, может быть, и заметите, что с вашего счета начинают списываться лишние деньги - но многие не проверяют свой счет месяцами.
Тогда это массовый перевыпуск карт, про такой скандал вы бы прочитали в хедлайне CNN, а не тут.
The compromised information includes "basic identification data, contact information, [I]national identity card numbers, and data related to [customer] contract[s] with Endesa Energía, and possibly ... payment details." [/I]
Выделенные болдом это жопа, с моей точки зрения. Я так понимаю имея полную персональную информацию и ID можно много чего наворотить. А payment details могут включать card holder data. Слово possibly это тупо подпись в некомпетентности.
Кроме того сайты мельче, чем Etsy как правило используют аутсорсинг для банковских операций.
Можно оформить Direct Debit для оплаты сервисов
Случаев мошенничества с использованием Direct Debit на самом деле очень много: www.finextra.com
Так уже.
Выделенные болдом это жопа, с моей точки зрения
Я так понимаю имея полную персональную информацию и ID можно много чего наворотить.
можно повесить direct debt обладая только реквизитами.
Указываешь номер счёта и фамилию.
Массовый перевыпуск карт?
Я в компании которая в том числе делает для них чипы, такой подброс незаметить невозможно.
Это же тупо ФИО, адрес, др и телефон, плюс опционально номера ID.
Учитывая постоянную ротацию карт, а так же существование чисто электронных карт, я не уверен что подобные события как то повлияют на мгновенный спрос на чипы.
Ну и блокировка карты не обязательно вызывает перевыпуск.
можно с помощью недобросовестных или мошеннических организаций прокручивать различные аферы по типу (микро)кредитов
Итого пока неиллюзорных серьёзных опасностей две: а)совместить эту утечку с успешным закидыванием софта на телефоны жертв, б) крупная заранее подготовленная сеть мошеннеческих компаний, желательно в "серой", типа болгарий, юрисдикции.
Для сравнения у одного из крупнейших в Чехии банков Райфа всего 2 миллиона клиентов. Всего.
Ну и блокировка карты не обязательно вызывает перевыпуск.
Га?
Ну и блокировка карты не обязательно вызывает перевыпуск.
Га?
Я регулярно так подключаю платежи, за телефон, электроэнергию...
Указываешь номер счёта и фамилию.
Указываешь номер счёта и фамилию.
У меня где то 6 карт в одном банке. Некоторая часть из них – электронные.
Где указываешь-то?
Газ и электричество онлайн подключал, никто не приходил.
На соответствующих сайтах, энергокомпании, сотовой.
И если одну физическую "убить", то перевыпуск не нужен?
Ок, поехали. Кто сотовый провайдер? Франс простихосподи телеком?
Причём и номер жены со своего счёта оплачиваю и газ на неё записан, а оплата с моего счёта.
А так как во Франции девичью фамилию используют, то фамилии разные.
Да какая разница
принцип один
Причём и номер жены со своего счёта оплачиваю
Захожу в Табак, беру симку Лебары, документы не нужны при этом.
Активирую её на чужие документы через интернет, подключаю оплату на чужой счёт.
Это навскидку что придумал, жулики явно больше ходов знают.
На чужие документы можно и счёт открыть, у того же Революта.
Активирую её на чужие документы через интернет, подключаю оплату на чужой счёт.
Это навскидку что придумал, жулики явно больше ходов знают.
На чужие документы можно и счёт открыть, у того же Революта.
Практически на "бумажке". Заполняешь форму на сайте конторы, которая будет списывать. Потом через пару дней приходит уведомление из банка на телефон. Меня это всегда удивляло (как и многое в банковской системе в UK после Латвии). Возможно, есть какие-то требования со стороны банков к тем, кто имеет право списывать, что бы всякие однодневки-мясохладобойни не списывали, я не знаю. Ну и это не по IBAN делается, а по местным счету и sort code, то есть абыкакие "Рога и копыта" из Румынии не смогут оформить Direct Debit (я по карайней мере так надеюсь)
Сейчас стало получше, ну примерно как в Латвии лет 15 назад, когда я уехала
Сейчас стало получше, ну примерно как в Латвии лет 15 назад, когда я уехала
подключаю оплату на чужой счёт
На чужие документы можно и счёт открыть, у того же Революта.
А я пока посмотрю, чем для вас во франции обернется попытка активировать карту чужими документам.
На ваш банковский счёт поступила значительная сумма,
Похоже это какая-то ваша локальная системная фишка, статья не объясняет механику, но при ТАКИХ объёмах совершенно очевидно, что проблема где-то "в консерватории".
Некоторая часть из них – электронные.
Во-первых это не всегда так, однако главное что верификация-то на них, по этому все эти данные у них теоретически есть.
Была много лет назад презентация чего-то там, где на экране сзади выступавшего В. Ющенко (тогда ещё главы НБУ) гордо демонстрировалась его карточка Visa. С номером и трёхзначным кодом.
Подозреваю, что в Штатах и во многих странах ЕС действуют похожие схемы, которые могут использоваться мошенниками получившими доступ к персданным.
Электронные - имеется в виду - "не физические?"
Вытащить данные из системы сертифицированной по PCI DSS у вас просто так не получится.
Банковские системы очень продвинулись и если у вас есть номер карты, expiration date, CVV - этого сейчас недостаточно для кражи.
Да какая разница, принцип один, хоть у Лебары, хоть у Оранжа, хоть у школьной столовой - номера счёта и фамилии достаточно для подключения оплаты
Identity Theft - который включает не только банковские реквизиты, но и остальные данные (SSN, адрес, телефон) - была и остается серьезной проблемой в Штатах, но чтобы воспользоваться, сейчас нужен весь набор. Банковские системы очень продвинулись и если у вас есть номер карты, expiration date, CVV - этого сейчас недостаточно для кражи. По крайней мере в топ-50 банках в Штатах это так.
Собственно PCI DSS говорит что все возможно, вопрос когда и в каких масштабах 😄
На чужие документы можно и счёт открыть, у того же Революта.
Много лет назад, наверное каких 25 а то и все 30, я работала в одной конторе, и у бас был счет помимо латвийских банков в Швеции в SEB и в Барклайсе на Джерси. Нам постоянно надо было срочно оплачивать достаточно крупные сумми и мы часто запрашивали свифтовки у банков, что бы подтвердить отправку средств до того, как получтель их увидит на своем счету. Не было никаких проблем ни с латвийскими банками, ни с SEB. Они нам быстренько печатали свифтовки из системы и посылали нам по факсу (о времена!) и все было в порядке. А однажны нам понадобилась свифтовка из Барклайса. Мы сначала долго обясняли, что мы такое хотим и после долгих разговоров Барклайс прислал нам бумажку (простую, не бланк), где банковский клерк ОТ РУКИ написал что он подтверждает, ч то деньги ушли со счета.
А какой у вас банк? 😉
Но если хотите, попробуйте забрать мои деньги из моего банка, где нет двухфакторной авторизации:
Prestia SMBC в Токио.
Вытащить данные из системы сертифицированной по PCI DSS
Это да, но я имел в виду статистику и тенденции. Последняя попытка купить с моей карты что-то без моего участия или согласия было лет 10 тому назад. с тех пор - ноль.
А не в Топ-50 банках?
Prestia SMBC в Токио.
Причём тут payment card? Там фотки двух документов и IBAN.
Последующие списания средств со счета клиентов несложно себе представить.
Я регулярно так подключаю платежи, за телефон, электроэнергию...Указываешь номер счёта и фамилию.
Практически на "бумажке". Заполняешь форму на сайте конторы, которая будет списывать. Потом через пару дней приходит уведомление из банка на телефон. Меня это всегда удивляло (как и многое в банковской системе в UK после Латвии). Возможно, есть какие-то требования со стороны банков к тем, кто имеет право списывать, что бы всякие однодневки-мясохладобойни не списывали, я не знаю. Ну и это не по IBAN делается, а по местным счету и sort code, то есть абыкакие "Рога и копыта" из Румынии не смогут оформить Direct Debit (я по карайней мере так надеюсь)Сейчас стало получше, ну примерно как в Латвии лет 15 назад, когда я уехала
юзер в банк разрешение дает
банк проверяет разрешал ли я "выполнять" требования от данного мерчанта
выглядещие
вот это разрешение и называется "SEPA-мандат".
Но если хотите, попробуйте забрать мои деньги из моего банка, где нет двухфакторной авторизации:
Prestia SMBC в Токио.
Prestia SMBC в Токио.
Там даже не двухфакторная, там мультик.
В этот момент рожденный в СССР зевает и уходит.
юзер в банк разрешение дает
Нет, не требуется.
Я надеюсь это сарказм?
Хоть на то спасибо что не Sumimoto Mitsui... Точно уверен что интерфейс писали инопланетяне там...
мы часто запрашивали свифтовки у банков
Банки Латвии, Литвы, да и Швеции вспоминаю с большой теплотой. Тоже лет 25 назад. Подтверждение MT100 заказывалось прямо изнутри онлайн-банка одним нажатием кнопки. В последнее время пришлось столкнуться с работой HSBC London. Никак иначе, кроме как знаменитой фразой Лаврова "Дебилы, б..!" описать их работу я не могу. К примеру, клиент отправил перевод в евро, предварительно сделав конвертацию со своего фунтового счета (у него счет только в GBP). Но что-то там напутал в реквизитах и перевод через пару дней вернулся ему обратно, естественно тоже в евро. Банк, не мудрствуя лукаво, сделал ему обратную конвертацию в фунты по своему курсу и зачислил обратно на его счёт. Всё звучит хорошо, только зачислилась ему обратно сумма на 400 с лишним фунтов меньше, чем изначально конвертировалась перед отправкой. Про копию SWIFT ничего не знают даже в 2026 году. Для любого перевода, даже в долларах за пределы UK у них есть "универсальный подверждающий документ" - Debit Advice (авизовка по нашему). Это не сильно далеко ушло от простой бумажки. Слегка сгруппированная по графам информация о переводе и всё. Если бы банки Латвии не погрязли бы в своё время в массовом отмывании грязных российских денег они наверняка сейчас были бы на передних рубежах технического прогресса!
Банки Латвии, Литвы, да и Швеции вспоминаю с большой теплотой. Тоже лет 25 назад. Подтверждение MT100 заказывалось прямо изнутри онлайн-банка одним нажатием кнопки. В последнее время пришлось столкнуться с работой HSBC London. Никак иначе, кроме как знаменитой фразой Лаврова "Дебилы, б..!" описать их работу я не могу. К примеру, клиент отправил перевод в евро, предварительно сделав конвертацию со своего фунтового счета (у него счет только в GBP). Но что-то там напутал в реквизитах и перевод через пару дней вернулся ему обратно, естественно тоже в евро. Банк, не мудрствуя лукаво, сделал ему обратную конвертацию в фунты по своему курсу и зачислил обратно на его счёт. Всё звучит хорошо, только зачислилась ему обратно сумма на 400 с лишним фунтов меньше, чем изначально конвертировалась перед отправкой. Про копию SWIFT ничего не знают даже в 2026 году. Для любого перевода, даже в долларах за пределы UK у них есть "универсальный подверждающий документ" - Debit Advice (авизовка по нашему). Это не сильно далеко ушло от простой бумажки. Слегка сгруппированная по графам информация о переводе и всё. Если бы банки Латвии не погрязли бы в своё время в массовом отмывании грязных российских денег они наверняка сейчас были бы на передних рубежах технического прогресса!
несколько протоколов обеспечивают верификацию банком того, что это требованиние именно от них
Я нигде не видел данных о том, что существует единый реестр этих Creditor Identifier. Каждая страна выдает их самостоятельно, и варит свой собственный супчик. Там есть, как и в iban код страны и checksum , но не более.
Можно оформить Direct Debit для оплаты сервисов
Без входа в банковское приложение? 😲
Без входа в банковское приложение? 😲
это не по IBAN делается, а по местным счету и sort code
Потом через пару дней приходит уведомление из банка на телефон. Меня это всегда удивляло
абыкакие "Рога и копыта" из Румынии не смогут оформить Direct Debit (я по карайней мере так надеюсь)
Сообщество владельцев квартир нашего дома, например, получило этот Creditor Identifier и снимает у меня каждый месяц предоплату за коммуналку.
Так что исключить, что фирма "Рога и Копыта" из Румынии оформить на ваш счёт Direct Debit, нельзя.
Ясно. Но ведь оно у банка, а не у поставщика услуг? Я имею ввиду - хранится.
Сейчас банки заставили в приложениях/онлайн банкинг ах проверять, что номер счёта и имя получателя совпадают. Но что-то мне подсказывает (такое сосущее под ложечкой шестое чувство), что больше это нигде не проверяют.
в моем конкретном случае SEPA direct debit mandate подписывался с ENDESA, не с банком.
В нем указан IBAN (номер счета), никаких данных платежных карт.
В нем указан IBAN (номер счета), никаких данных платежных карт.
Ойбл, спасибо. Недоглядел. Две трети жизни в нерусскоязычных вселенных дают о себе знать.
(Между нами.. я даже вспомнил, что задумался, выглядИ или выглядЕ.. моск остановился на том, что выглядИ выглядит ну очень неверно, и выбрал второй вариант. Забыв про третий.)
(Между нами.. я даже вспомнил, что задумался, выглядИ или выглядЕ.. моск остановился на том, что выглядИ выглядит ну очень неверно, и выбрал второй вариант. Забыв про третий.)
Интересно. В Португалии я совершенно точно должен был директ дебит активировать в приложении банка. Без этого ничего не крутилось.
И как же именно ваш банк проверит, что счёт, на который переводят деньги принадлежит именно той фирме, чей Creditor Identifier был указан в сообщении о списании денег?
Да запросто. Просто указываешь свой IBAN при заключении договора. И больше ничего не надо. Указав IBAN, клиент автоматически подписывает разрешение на списание денег с его счета.
Наверняка вот это "клиент при заключении договора" влечёт за собой предоставление клиентом его данных, включая ID, проверка подлинности и соответствия того ID происходит там же при подключении, и всё это идёт в банк.
Я просто "кручу" ситуацию дальше, и думаю, что будет когда вот так якобы без проверки с моего IBAN кто-то стянет кучку евро. Я пришёл в банк, требую основание для списания средств, и они мне
- а вот фирма horns'n'hoes прислала требование.
- где моя авторизация?
- Нету.
- Возвращайте деньги.
И всё. И нафига банку такие развлечения?
Ресурсная организация - такой же ровно клиент банка. Вот как банк авторизирует клиентов, так и проверит.
Я пришёл в банк, требую основание для списания средств, и они мне
И нафига банку такие развлечения?
---------------------------------------------------------
* Я тут порылся в тыртырнете, есть разьяснения для немецких банков о процедуре возврата денег. Там срок возврата транзакции, проведенной с действительным мандатом составляет 8 недель, а без мандата - 13 месяцев.
Т.е. совершенно четко оговаривается ситуация, когда кто-то без разрешения списал деньги со счета.
Это все действует для физ. лиц. Для B2B другие процедуры, и обязанности банков тоже другие.
Мошенники спокойно аутентифицируются в своем банкинге. И подают через свой банкинг платежное требование о списании денег со счета имярек IBAN CZxxxxxxxxxxxxxxxxxx, Creditor Identifier ESxxxxxx, Unique Mandate Reference (а это генерирует кредитор - тот же, что подает платежное требование).
Теги
Информация
Что ещё почитать
Потенциальные гильотины годовых тулфанов
03.10.2025
97
Обзор умных часов Huawei Watch GT 6
26.11.2025
51
Продвинутые планшеты салютующих алкоголичек
12.12.2025
108
