Случайно обнаружил, что лимит на переводы за 1 сутки в Сбербанке по умолчанию 1 млн. рублей. — на частных лиц и организации. Тут же отключил, где мог. Но сам факт :(
Как было дело: мне рассказали про увод 360 тысяч рублей у клиентки ВТБ, при очень мутных обстоятельствах, и я стал сравнивать ВТБ и Грефбанк. Я никогда не пользовался приложениями банков, как оказалось, не зря.
Есть несколько способов переводить деньги с мобильного, а именно
1. SMS команды (которыми никто, кроме мошенников, не пользуется, вроде бы)
2. Веб версия банк-клиента (с компьютера). Каждая операция подтверждается отдельным SMS кодом на телефон (кроме ЖКХ и автоплатежей)
3. Приложение банка, где после первичной авторизации в приложении (у Сбера это постоянный 5-значный код, у ВТБ — просто не знаю) операции перевода далее уже НЕ подтверждаются SMS кодами. Вошел в приложение — кидайся деньгами направо-налево.
Несколько дней назад мне рассказали про случай в ноябре 2020-го года, в котором клиент ВТБ долго собирал(а) на один счет (свой), перечисления по наследству с разных вкладов из разных банков. Сильно примелькалась в ближайшем отделении ВТБ — носила разного рода документы, доверенности, свидетельства, заверенные копии и т.д., и как бы всё отделение уже было в курса что Иванов(а) Иван(на) Иванов(ич/на) собирает крупную сумму на свой счет в рамках легальных действий, занимающих много времени.
Далее, за 2 дня до дня X, у клиента перестает работать клиент-банк ВТБ (приложение на телефоне). Клиент идет в то же отделение (по телефону не удаётся решить вопрос), через некоторое время в банке выдаётся новый пароль.
В день X происходит следующее:
1. Телефон Xiaomi Redmi 5 Plus без custom прошивок, ведёт себя странновато — "фонит" при разговорах, как-то глючит, что-то идёт не так (подробностей у меня нет, кроме модели телефона).
2. Клиент идёт закупаться в магазин на некий корп. праздник, разговаривая по телефону с кем-то, кого нельзя прервать. Продолжая разговаривать, замечает, что телефон пикает (SMS приходят, одна за другой, всего 4 за 10 минут).
3. На кассе платит картой, телефон пикает еще раз (5-е SMS)
4. Доносит сумки до офиса, разгружается, начинает читать SMS, а там 4 перевода частному лицу в Татарстан:
12:51 Вы перевели 90 000 рублей Айнуру оглы-Батыевичу Т.
12:52 Вы перевели 90 000 рублей Айнуру оглы-Батыевичу Т.
12:54 Вы перевели 90 000 рублей Айнуру оглы-Батыевичу Т.
12:57 Вы перевели 90 000 рублей Айнуру оглы-Батыевичу Т.
Дальше что — звонок в банк, отшили, в полицию — подача заявления: "У нас много таких заявлений", но приняли, снова в банк- заявление мол, вот — принято! — в ВТБ снова отшили ... попытки писать претензии — официальный ответ банка — отказываем. Человек побежал в тот же день, потому что вроде есть некое правило — претензию надо подавать в первые 24 часа после случившегося.
Скажем так, ВТБ не выразил особого желания отвечать на вопросы по ситуации — у них же банковская тайна и они никому ничего не должны :)
Зато, попутно, удалось выяснить, что именно банковские приложения, а особенно вместе с подглядом-подслухом сотрудников банков (в том числе временных, на испытательном сроке), открывают парадный вход для кражи средств со счетов клиентов.
• Для авторизации в Сбер приложении требуется: 5-значный код (постоянный)
• Для авторизации в ВТБ (где можно входить не просто по логину, а еще по номеру карты, или по _телефону_) — вроде тоже что-то требуется.
Но, десятки раз наблюдая, как девушки / женщины / бабушки доверчиво отдают свой (и только свой) гаджет в руки сотрудника офиса обслуживания — причем в публично доступном месте с камерами наблюдения (т.е. видят, подсматривают вводимое, напечатанное на чеке — все желающие) — я всегда удивлялся, а где же здесь безопасность-то?
Дальше я лезу проверять нюансы в Сбере онлайн, и в новом интерфейсе обнаруживаю, что по умолчанию, совсем как Internet 90-х — разрешено всё, что явным образом не запрещено. Там в принципе много интересного, не поленитесь пожалуйста изучить свой Сбербанк-настройки, Вы точно будете удивлены.
В Альфа банке точно не помню но до нового года около 800 тыс. в сутки 😡и удалённо не поменять.
Я понять не могу - это они такие оптимисты, или такие пособники мошенников? Мне кажется, лимит в 1 000 на переводы по умолчанию нужен для всех клиентов всех банков - а уж если хочешь поднять, тогда поднимаешь как хочешь.
Потому что тогда автоматически отсекаются _все_ или большая часть тех самых тысяч мошенничеств с переводами по коду платежа. И даже мошенничество с выманиванием пароля на вход в банк клиент - тоже нивелируется необходимостью подтвердить по SMS повышение этого лимита на переводы. Ну вошел злоумышленник в чей-то банк клиент. А больше 1 000 руб. и украсть-то не может.
Официальный ответ Альфы, цитирую "Добрый день!
Лимит на перевод зависит от тарифа. Если рассматривать обычный, то в день и за раз 300 000 рублей, а в месяц 800 000 рублей.
На премиальных тарифах суммы выше."
Что за муть, засветили логин/пароль, приплели к этому глючащий телефон, не читали смс, а виноват банк. А каким боком лимит помог бы - вообще не понятно, ну может пришло бы на 1 смс больше, что лимит увеличен и всё.
Я не уверен, что Вам интересно будет выслушать пояснения, но все же попробую рассказать ту же историю заново.
Поскольку досюда никто не дочитает (с):
1. "Засветили логин/пароль" - не на ровном месте, а:
1.1. На счету несколько месяцев собиралась крупная сумма.
1.2. Когда она собралась, через несколько дней перестало работать приложение банк-клиента ВТБ
1.3. Для смены пароля потребовался визит в банк ВТБ (почему-то).
1.4. После этой смены пароля через 2 дня произошел вывод со счета.
2. "Не читали SMS" - вывод прошел за 10 минут, в формате сообщений о переводе средства (без запроса промежуточных SMS подтверждений)
3. Событие входа в приложение клиент-банка с нового устройства - по идее должно сохраниться в истории SMS и обязательно в логах - но тут у меня нет данных. Тут дорога раздвояеца - если такие следы есть, увели пароль и залогинились на новом устройстве, если события нет - взломали непосредственно устройство клиента.
4. "каким боком лимит помог бы" - при попытке вывести первые 90 000 рублей, злоумышленник споткнулся бы об лимит. Попробовал бы его изменить - потребовался бы либо визит в банк (лучше всего), либо подтверждение по SMS (тоже неплохо). Это требует указания уникального SMS кода - а он только у клиента на устройстве.
Насчет глючащего телефона - как-то совпало, что "глючить" он стал именно после визита в банк и смены пароля на банк-клиент. Насколько мне известно - телефон без custom прошивок (без изменения загрузчика), с обычным набором приложений, который работал стабильно пока на счету клиента не собралась большая сумма.
Я бы еще раз хотел обратить внимание, что в офисах банках не стоит доверять свой телефон консультантам - работающим сегодня здесь, а завтра там. При всей их энерегичности и всех проверках службы безопасности банка, и записях камер наблюдения в офисах банка - к сожалению, и среди них могут быть редиски.
ТС решил показать - какой он состоятельный мен! При этом упомянув про доверчивых девушек / женщин / бабушек с пенсией в 15 тыс. руб.
Не совсем Вас понял, уточню еще раз - лимит в 1 000 000 рублей установлен в интерфейса банка Сбербанк _по умолчанию_, обнаружено это было случайно, в попытках разобраться с историей про ВТБ - проверке соотв. настроек у Сбербанка.
Первое что сделал "состоятельный" ТС - это тут же выставил этот лимит для себя и семьи в 10 000 рублей. И сейчас думаю еще понизить.
Я только недавно узнал, для доступа третьих лиц к Сбербанк-онлайн любого клиента Сбербанка с подключенной услугой Мобильной банк (платная или бесплатные версии) злоумышленнику требуется только 5 цифр ****** - которые при попытке залогиниться по номеру карты / телефону = приходят на телефон клиента в SMS как пароль для входа в приложение.
"Пароль для регистрации iPhone" или "пароль для регистрации Android"
На этом основано популярное мошенничество на Avito (и не только)
https://pikabu.ru/story/sms_s_nomera_900_parol_dlya_registratsii_iphone_5769922
Конкретно у Сбера есть веб сервис
https://www.sberbank.ru/ru/person/dist_services/cybersecurity
позволяющий как проверить телефон возможного мошенника (хоть во время его звонка). Так и заявить о факте мошенничества или попытки мошенничества.
Но, при этом, Сбер не может ответить (ВТБ не спрашивал) - почему в мобильных приложениях для платежей не требуются SMS подтверждения (достаточно знать/украсть пароль на вход в приложение). Но при этом в веб-версиях приложений - требуется и подтв. на каждый вход, и обязательное подтверждение на каждую операцию (кроме оплаты коммуналки).