{"id":13588,"url":"\/distributions\/13588\/click?bit=1&hash=c4e99935d6b377960319c62e0c7dc30b541ffc5c218860b8308fee5adbfdcd9f","title":"\u0418\u043d\u0444\u0435\u0441\u0442\u0441\u043e\u0432\u0435\u0442 \u2116134 \u2014 \u043a\u0443\u043f\u0438\u0442\u044c \u0434\u043e\u043b\u044e \u0432 \u0442\u043e\u0440\u0433\u043e\u0432\u043e\u043c \u0446\u0435\u043d\u0442\u0440\u0435","buttonText":"\u0423\u0437\u043d\u0430\u0442\u044c","imageUuid":"48b43026-aa57-59b3-94fc-8d140389b616","isPaidAndBannersEnabled":false}
Приёмная
xvt123

Провёл эксперимент: с помощью получения кода из СМС и знания номера карты можно получить доступ к аккаунту BТБ-онлайн

По мотивам постов

поставил эксперимент:

1) Взял новый чистый телефон, далее Телефон №2 (сеть - только WiFi)

2) Установил Android-клиент ВТБ-Онлайн из Play Market

3) Ввел УНК

Достаем попкорн...

4) Вместо ожидаемого (и требуемого ранее!) приглашения на ввод пароля на основной телефон пришло СМС с кодом, ввод которого на телефоне №2 предоставил мне полный доступ к ВТБ-Онлайн

5) Без необходимости подтверждения от клиента (Телефон №1 больше не нужен) в два клика в приложении на Телефоне №2 осуществлен переход с СМС на PUSH-коды и PUSH-уведомления -- для дальнейшего подтверждения операций Телефон №1 не требуется, уведомления на него больше не поступают.

Бонус: вместо УНК можно ввести номер банковской карты (повторил эксперимент, только в п.3 вместо УНК ввел номер банковской карты - работает).

ИТОГО: полный перехват контроля над аккаунтом ВТБ-Онлайн возможен посредством получения единственного кода из СМС и знания номера карты.

PS: А еще в январе требовалось вводить полный пароль.

Если к вышеизложенному прибавить информацию о доступности перехвата СМС (или смене SIM у "честного" сотрудника оператора связи), то складывается совсем нерадостная картина.

Вместо заключения: ВТБ - верните нормальную многоуровневую авторизацию!

0
129 комментариев
Написать комментарий...
Narek Vardanyan

У меня была такая ситуация с втб. В итоге я заблокировал счет через поддержку, а когда обратился в отделение банка чтобы открыть счет, то мне сказали что не могут этого сделать, не объясняя причин. В общем они меня навсегда защитили от своего банка)))

Ответить
Развернуть ветку
KarDLEYa

история из первых уст: мама моя 9 сентября положила в ВТБ деньги на накопительный счёт. Ей была отправлена СМС со ссылкой на приложение. Не сразу, может на следующий день попробовала установить личный кабинет, не получилось. Решила дождаться меня из отпуска. Я вернулась 21го, у меня тоже не получилось установить. 22го мама пошла в банк, там ей установили приложение, она заходит, а там денег на 95 тысяч меньше. Пошла в банк разбираться. Оказалось, что 11 сентября с ее счета были списаны деньги за какую-то автоуслугу в пользу физ.лица в сбер в Новосибе. Просматривая смс от банка, увидели, что в день открытия счета какое то Anknown устройство получило доступ к пуш уведомлениям и слило деньги. Причем смс русскими словами, но на латинице, сразу и не разберёшь. Банк пожимает плечами. Написали заявление в банк и в полиции. Прошло полгода. С банка отписки "мы не виноваты". Из полиции вообще тишина

Ответить
Развернуть ветку
Александр Крюков

Для далеких это было еще в мае 2020!

Ответить
Развернуть ветку
Dmitry Kuzmitsky

Упрощенный вход раньше сделали. В мае они пошли дальше - можно через втб онлайн одним кликом войти в брокерский счет и управлять им. А то мошенники жаловались, что баланс брок. счета показывает, а обчистить его тяжело. Теперь исправили.

Ответить
Развернуть ветку
3 комментария
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Iren May

Ну емае... Что не банк, то прикол. *бормоча неразборчиво, но вполне понятно, перевела последние копейки из банков в стеклянную банку"

Ответить
Развернуть ветку
Алексей К.

Ответ банка - самое грустное что есть в этой ветке...

Ответить
Развернуть ветку
color

Успокойтесь уже, никто никого не взламывает через сотовую сеть. И тем более нет смысла заниматься перевыпуском сим карты, потому что для этого нужно иметь личное знакомство с манагером салона, что автоматом приведет к мошеннику полицаев, а у абонента симка мгновенно перестанет работать.

Им вообще не зачем реализовывать сложные схемы, когда мамонты и так говорят код по телефону "роботу после звуковых сигналов" или заходят в "личный кабинет втб" через поисковики, в которых половина серпа это фишинговые сайты.

Ответить
Развернуть ветку
xvt123
Автор

Согласен с Вами на 99.9%, но лично мне не хотелось бы попасть в условные 0.1% случаев с "манагером салона" (да, его, вероятнее всего, поймают, может даже посадят, а может он и подельников сдаст) — денег это мне не вернет. Поэтому я и прошу вернуть нормальную авторизацию, которая защищала меня от такого сценария.

Ответить
Развернуть ветку
4 комментария
Максим Пряников

Хрень написал. Во-первых, схема рабочая. Во-вторых "манагеров" по всей стране тысячи – не договоришься с одним, получится с другим. Полиция вообще лол, либо ничего не делают, либо хрен докажешь, что есть какая-то связь.

Ответить
Развернуть ветку
L A

Вроде бы вот это отключает часть(!) функционала "безопашливость".
У втб конечно какая-то шляпа с безопасностью, то лимиты которые  можно поставить, но  они не работают в старой версии ИБ, то пинкод банкоматы не проверяют то еще что-то странное...

Ответить
Развернуть ветку
Jury P.

Эта функция отключает восстановление пароля. Только вот после выхода их нового приложения, "над которым работало более 200 человек"  пароль просто не нужен. Авторизиризация в моб. приложении происходит по смс.
Более того,  даже если через колл центр заблокировать моб. приложение, как я делал, авторизация через qr в якобы "заблокированном" приложении продолжает работать, просто наведите на qr на сайте через кнопку быстрый вход и получите полный доступ в кабинет.
https://www.banki.ru/services/responses/bank/response/10476019/ только недавно написал про это отзыв, но банк делает вид, что не понимает сути претензии.
Причем мне именно поддержка втб-банка и посоветовала заблокировать моб. приложение, чтобы без знания пароля нельзя было авторизироваться. И при этом они и сами не знали, что авторизация по qr и дальше работает из "заблоченного" техподдержкой приложения и пароль не нужен для входа в личный кабинет с помощью моб. приложения.

Ответить
Развернуть ветку
6 комментариев
xvt123
Автор

Когда-то у ВТБ было все нормально с безопасностью, но несколько неудобно. Теперь удобно, но небезопасно. С некоторым "удобством" в части первичной идентификации они уж совсем перегнули - настройка делается один раз, можно не упрощать до такого уровня.

Ответить
Развернуть ветку
Банк ВТБ

Здравствуйте! Банк всегда рекомендует своим клиентам ни в коем случае, никому и никогда не сообщать авторизационные данные для входа в личный кабинет. Не сообщать данные банковских карт, кодов, внимательно читать тексты sms-сообщений с кодами подтверждений, проверять реквизиты операций, не переходить по ссылкам на незнакомые ресурсы, использовать только официальные банковские приложения, антивирус, не вступать в диалог в звонке с третьими лицами, которые просят уточнить какую-либо персональную информацию. При поступлении подобных звонков самостоятельно перезванивать в Банк на официальный номер и уточнять актуальность звонка. На своем официальном сайте https://www.vtb.ru/bezopasnost/ Банк рассказывает о видах мошенничества и предупреждает своих клиентов быть предельно осторожными. Мы рекомендуем всем нашим клиентам внимательно ознакомиться со всей информацией, размещенной в разделах безопасности (финансовая безопасность/ школа безопасности). Соблюдая все меры предосторожности, несанкционированных списаний не возникнет.

Ответить
Развернуть ветку
xvt123
Автор

Когда я заключал договор о дистанционном банковском обслуживании в нем был прописан порядок входа - авторизация по логину+паролю с подтверждением по СМС. Т.е. многоуровневая авторизация, где утечка данных одного элемента не приводит к компрометации всей цепочки.

Далее Банк в одностороннем порядке сменил условия и, фактически, убрал необходимость ввода пароля, да и логина тоже. Об этом я Банк не просил. Насколько эта практика соответствует заключенному ранее между мною и Банком договору —- это еще предстоит проверить.

Банк не может не знать, что содержимое СМС может быть получено третьими лицами вне зависимости от действий и желаний пользователя. При этом, риски и ответственность за противоправные действия третьих лиц, которые стали леко возможны вследствие односторонних решений Банка,  Банк на себя не принимает и перекладывает на клиента.

Клиент может быть сколь угодно осторожен, но его это никак не спасет. Мое мнение - Банк реализовал небезопасное решение в угоду "удобства входа"  в т.ч. и для третьих лиц.

Ответить
Развернуть ветку
Jury P.

Ваши сотрудники делают вид, что не понимают вопроса и ответили не по существу задаваемого вопроса. Заблокировал приложение через поддержку банка, что бы возможнен был  вход только по паролю через сайт втб. (восстановление также пароля включено) https://www.banki.ru/services/responses/bank/response/10476019/?ref=vc.ru
Т. е. теперь не должна работать функция входа в мобильное приложение. 
Так вот, в заблокированной приложении вход осуществляется хотя и не работают переводы, Но жирное НОО,  кнопка qr осталась активна в телефоне и если я нажму её и наведу на сайте банка на qr быстрого входа, то происходит вход  уже на компьютере и я могу совершать все те операции, что вы заблокировали без знанич пароля, но уже с компьютера т. к. я авторизировался по qr. 
Логично ведь, что если вы блокирует приложение, то нужно и заблокировать кнопку  qr, а не только переводы. А ещё лучше, вообще запретить авторизацию с моб. приложении, а не частично и не так криво раз я подал такую заявку.

Ответить
Развернуть ветку
Александр Парфёнов

Уважаемый ВТБ вход в мобильный банк это калитка в чистом поле 
Правильная авторизации должна выглядеть так!
1. Вводим логин (унк) (номер карты, телефона)
2. Вводим пароль (при правильном пароле приходит смс с кодом подтверждения)
3 Вводим код подтверждения

Ситуация потерял телефон украли вытащили и т.д
Сим карту извлекли так как телефон заблокирован
Скачали ВТБ онлайн 
Ввели "логин" и код из смс
Получили доступ!!!!
Если бы был пароль перед этим никто смс не получит так как не знают пароль!!! Соответственно не смогут войти в мобильный клиент!
Сделайте пожалуйста!!! Связку
Логин
Пароль
Код смс

Ответить
Развернуть ветку
7 комментариев
Прямой утюг

А планируется ли делать официальный API  для того чтобы дать другим приложениям  доступ на чтение к истории операций? Для физиков.
Причем вы ведь в курсе зачем они нужны - https://www.vtb.ru/o-banke/press-centr/novosti-i-press-relizy/2019/10/2019-10-11-v-bankovskom-sektore-rossii-nachinaetsya-api-transformatciia/

Ответить
Развернуть ветку
2 комментария
Максим Пряников

Классная у вас работа. Оставайтесь на связи, ваше мнение очень важно для нас...

Ответить
Развернуть ветку
Kinolog

Потому что надо пинать банки, чтобы прекратили использовать СМС как фактор авторизации!

СМС не безопасны! Прекратите их использовать, для вас давно есть TOTP.

Ответить
Развернуть ветку
Екатерина Попова

годно, но женщина по первой ссылке не говорила им код, пришедший в смс.

Ответить
Развернуть ветку
Миша Магадан

так это она говорит, что не говорила, а как оно на самом деле было?

Ответить
Развернуть ветку
xvt123
Автор

Может и не говорила, но, судя по ответу банка, код злоумышленники все же получили. Один из вариантов (спасибо комментаторам), от которого не защититься - перехват СМС. Ссылку на Habr я задублировал в конце поста.

Ответить
Развернуть ветку
mex926

Долбоебы из ВТБ нам не надо просто, нам надо надежно и безопасно! Пока блокирую ВТБшную кредитку..

Ответить
Развернуть ветку
Bricktop

Стоить добавить, что перевыпущенную сим-карту СБ банка ВТБ блокирует примерно через одну неделю, исходя из личного опыта. Здесь также под удар попадает каждый клиент банка. Хоть шанс возникновения такой ситуации невелик, но все же он имеется.

Кстати, восстановить доступ (после блокировки), при отключенной функции дистанционного восстановления доступа в ЛК, очень сложно. Это, на самом деле, хороший плюс. Необходимо личное посещение офиса банка и заявление на восстановление.

Ответить
Развернуть ветку
Jury P.

Уже не плюс. После выхода нового приложения этот запрещённый для восстановления пароль просто не спрашивает и если ты заходишь с нового устройства через мобильное приложение банка, то можно восстановить доступ, нужно только смс и номер карты. Если потеряешь сумку с симкой без пина и картой в кошельке, то снимут все. Полгода назад это было невозможно, когда была включена опцию запрета пароля, но не сейчас, т. к. пароль больше не требуется в моб. приложении. 

Ответить
Развернуть ветку
6 комментариев
Екатерина Попова

я думаю картой можно пользоваться только не подключая комплексное обслуживание с втб-онлайнами и мобильным приложением, чтоб нельзя было управлять счетом с телефона в принципе. Потому что при таком дырявом приложении и предодобренных кредитах в один клик вы рано или поздно попадете на деньги.

Ответить
Развернуть ветку
Jury P.

Да и тут не все так просто с втб. Советую позвонить в банк и запретить вход в личный кабинет через банкомат и восстановление пароля через банкомат. 
Если у вас вытащат карту из сумки/кармана подсмотрев, скажем на кассе, когда вы расплачивались, пин, то через банкомат злоумышленник получит доступ ко всем счетам, а не только деньгам на карте.
Одно дело вы теряете деньги на карте и в потерянном кошельке и совсем другое, что  лишиться всех денег со счетов в этом дырявом банке. Тут подробней:
https://www.banki.ru/services/responses/bank/response/10139405/

Ответить
Развернуть ветку
Alex Rel

Не понимаю чего феноменального такого вы тут обнаружили. В альфе к примеру точно так же: берёшь другой телефон, устанавливаешь приложение, вводишь при входе номер телефона потом номер карты/счета, на основной номер приходит смс и все - на 2м телефоне ты так же в приложении. В Росбанке/Промсвязе точно так же, единственный кто просит пароль это Тинькофф. И? Мошеннику 1 фиг чтоб получить доступ ко всему надо одновременно украсть карту с телефоном где последний должен быть не запароленный чтоб прочитать эту смску с кодом.
 Это все равно что потерять ключи от дома с адресом на брелке и временем когда тебя нет дома. Конечно можно вытащить симку и вставить в другой телефон но ты на нем же и спалишься имхо !при желании! менты вычислят и у кого он был в пользовании и где сейчас находится даже если выключен или это кнопочная труба.
Один факт остаётся не изменным - нужно 2 исходника: телефон и карта. Карты все сейчас в appl pay, телефон запаролен. Это не значит что я на 100% защищён, но если что случится банки наврятле будут в этом виноваты

Ответить
Развернуть ветку
xvt123
Автор

Объясню на Вашем примере:
Представьте, что раньше вы входили в "квартиру  где деньги лежат" открывая первую дверь двумя разными ключами (которые есть только у Вас), а вторую дверь Вам уже открывал консьерж по звонку на Ваш телефон только после открытия Вами первой двери.

Но вот служба консьержей решила, что отныне ключи не нужны, первая дверь снята с петель, ее больше нет, и для входа в квартиру достаточно только звонка на Ваш телефон.

Какое решение надежнее, как думаете? 
В первом случае, чтобы войти в "квартиру где деньги лежат" нужно получить от Вас оба ключа и телефон единовременно, а во втором случае достаточно получить контроль над Вашим телефоном, незаконный перевыпуск SIM-карты которого вы не можете контролировать.

PS: спасибо за информацию о Альфе, туда, значит, тоже ни ногой.

Ответить
Развернуть ветку
5 комментариев
Sergei Shahov

А если карточка втб Мир в кармашке телефонного чехла (для прохода в метро) ?
То всё, приплыли. 
Надо пинкод на вкл телефона, на симкарту и отключать показ смс при заблокирован ном экране. 

Ответить
Развернуть ветку
1 комментарий
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Regies Linkas

Так вон выше скрин, что есть, но надо включить

Ответить
Развернуть ветку
2 комментария
Илья М

Если денег на карте нет, кредиток нет и кредит мне никто не одобрит по причине плохой истории, но есть брокерский счет - можно не париться из-за этой дыры?

В инвестиционное приложение так легко же не попасть?

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
6 комментариев
Константин Хиксводел

Вот вы кому то подсказали, теперь можно начинать париться.

Ответить
Развернуть ветку
Прямой утюг

Но зато надо пуш/смс при КАЖДОМ входе если вход не приложением ВТБ а например ДзенМани (который нужен ридонли доступ), и нет - API для приложений вроде ДзенМани не хотят похоже, приходится каждый раз этот код вводить). 

Да, зато если есть только логин и пароль но телефон не привязан (аккаунту много лет, нет открытых карт) - то надо идти в офис. Получать карту и привязывать телефон. 

Ответить
Развернуть ветку
xvt123
Автор

Завидую вашей уверенности - предоставлять сторонним сервисам доступ к личному кабинету в Банке. 

Ответить
Развернуть ветку
10 комментариев
Александра Минайло

У меня так увели  деньги, весь лимит с кредитки, с накопительного счета + оформили кредитную карту вирутальную и оттуда... Все за 5 минут. Теперь мне работать на этот кредит и все накопления сгорели. 

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
6 комментариев
Dmitriy nehochy

Что значит увели? На новое устройство нужен смс код. Как мошенники узнали смс код ?

Ответить
Развернуть ветку
7 комментариев
Anna Petrova

В мемориз!

Ответить
Развернуть ветку
Evgeny Filyk

Ещё пытаются зайти в Мультибонус, владельцу приходят смс на смену кода. Потом звонит «колл-центр», который просит назвать УНК, чтобы составить «заявление»

Ответить
Развернуть ветку
Александр Парфёнов

Такая же ситуация и у Сбера 
Находят мысли что всё "колл-центры" 
Это отдельная ветка банков и им не выгодно делать многоуровневую авторизацию
Так как воровать станет тяжелее!

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
3 комментария
Природный волк

Раньше пользовался много лет банком Возрождения. Так там чтобы зайти в интернет банк надо было карточку вставлять в специальное устройство которое давалось в банке и после ввода пин кода код операции на устройстве появлялся который надо вводить при входе в интернет банк. 

Ответить
Развернуть ветку
Артур Лебедев

7ого июня текущего года стал жертвой мошенничества. Судя по всему схема была ровно как описано в статье. Никаких уведомлений о том что произошёл вход с нового неизвестного устройства, (а так давно делают и Google, и Yandex, и Mail.ru, и Microsoft, и многие другие, а вот банк, да при том столь известный и популярный, почему-то не делает), никаких уведомлений что в приложении были изменены настройки,(а выкл/вкл push/sms уведомлений это важная настройка), никаких дополнительных факторов проверки/подтверждения операции, лишь уведомление о том что средства были переведены неизвестно куда и неизвестно кому.

Ответить
Развернуть ветку
xvt123
Автор

А где в этот момент была SIM-карта, привязанная к аккаунту?

Ответить
Развернуть ветку
Alex S.

Когда-то, лет 10 назад у втб (втб24) было 2 системы: "телебанк" и "телеинфо". Первая - полноценный доступ, а вторая - чисто информационная, посмотреть счета и операции . Ни о каком входе по смс и номеру карты и речи не шло. Только УНК и пароль. Если ты их забывал, то шел в банк. И эти системы онлайн доступа не подключались по умолчанию. Надо было специально в банке писать заявление о подключении. Вот это было надежно. А не то что сейчас.

Ответить
Развернуть ветку
xvt123
Автор

До введения в практику СМС-кодов у ВТБ вход в "телебанк" для простого пользователя осуществлялся по логину + паролю + одноразовым кодам со скретч-карты. И кодов на ней было не много, и больше двух штук в руки не давали..

Ответить
Развернуть ветку
1 комментарий
Alex S.

А вы не могли бы еще раз провести свой эксперимент с подключением двух телефонов к одному ЛК?
И на одном из них, в настройках, выбрать "Удалить код доступа". Дальше в открывшемся списке удалить другой телефон. И посмотреть после этого, можете ли вы что нибудь делать в ЛК со второго, удаленного из списка телефона.

(Я бы сам сделал, но нет двух телефонов).

Ответить
Развернуть ветку
Мария Марьина

Сегодня с утра звонили мошенники, назвали мне все мои персданные (откуда они? Загадка. Утечка 100%. У меня зарплатная карта-данные утекли хз кому, у многих так ) вовремя сменила код доступа в личный кабинет еще во время милой беседы с мошенниками. Хорошо, что не успели ничего украсть. Позвонила в втб, срочно заблокировали все карты и личный кабинет. Сходила в офис, написала всякие заявы. Выдали временную карту, переустановили личный кабинет. Успокоилась. А дальше? Прихожу домой, гружу личный кабинет. Захожу в историю посещений. А там! В промежутке между блокировкой и моим визитом в офис все же кто-то тусил в моем заблокированном (!) личном кабинете. А у меня там , на минуточку, сбережения определённые. Короче снова обращаюсь в банк онлайн, снова блокируем свежевыданную карту и личный кабинет. Заказываю выдачу средств. И снова сижу как на ежах, пока не получу деньги физически на руки...Нафик такой банк. Нафик такую псевдобезопасность.

Ответить
Развернуть ветку
Светлана Юрасова

То есть все таки нужны цифры из СМС. У автора все получилось потому, что все два телефона были его личные и в его распоряжении.
Откуда же мошенник возьмёт эти цифры из СМС, если их ему никто не скажет?

Ответить
Развернуть ветку
xvt123
Автор

Почитайте комментарии выше. СМС можно получить перевыпустив SIM-карту по подложным документам; стороннее ПО, имеющее доступ к уведомлениям на телефоне; недобросовестные работники оператора; "ложные" базовые станции. Повторюсь - раньше была многоуровневая система защиты, теперь же остался только код из СМС.

Ответить
Развернуть ветку
Vitalii Chashchin

Бред пьяного индуса))) мамкины хакеры

Ответить
Развернуть ветку
Андрей Чураев

Шокирующая новость: зная логин и пароль от банка можно получить доступ к аккаунту

Ответить
Развернуть ветку
xvt123
Автор

Прочтите внимательно, логин и пароль для доступа в ВТБ Онлайн теперь стали не нужны.

Ответить
Развернуть ветку
1 комментарий
Dmitry Kuzmitsky

Пароль не нужен, банк так решил. Только код из смс. Учитесь читать.

Ответить
Развернуть ветку
1 комментарий
Читать все 129 комментариев
null