{"id":3124,"title":"\u0422\u0435\u0441\u0442: \u0445\u043e\u0440\u043e\u0448\u043e \u043b\u0438 \u0432\u044b \u043f\u043e\u043c\u043d\u0438\u0442\u0435 \u043b\u0430\u043c\u043f\u043e\u0432\u044b\u0439 1998 \u0433\u043e\u0434","url":"\/redirect?component=advertising&id=3124&url=https:\/\/vc.ru\/special\/ozon-1998&hash=3698baa80203949d3403e055863942bcc5bdf78a94a719951304909b1efb4700","isPaidAndBannersEnabled":false}
Приёмная
xvt123

Провёл эксперимент: с помощью получения кода из СМС и знания номера карты можно получить доступ к аккаунту BТБ-онлайн

По мотивам постов

поставил эксперимент:

1) Взял новый чистый телефон, далее Телефон №2 (сеть - только WiFi)

2) Установил Android-клиент ВТБ-Онлайн из Play Market

3) Ввел УНК

Достаем попкорн...

4) Вместо ожидаемого (и требуемого ранее!) приглашения на ввод пароля на основной телефон пришло СМС с кодом, ввод которого на телефоне №2 предоставил мне полный доступ к ВТБ-Онлайн

5) Без необходимости подтверждения от клиента (Телефон №1 больше не нужен) в два клика в приложении на Телефоне №2 осуществлен переход с СМС на PUSH-коды и PUSH-уведомления -- для дальнейшего подтверждения операций Телефон №1 не требуется, уведомления на него больше не поступают.

Бонус: вместо УНК можно ввести номер банковской карты (повторил эксперимент, только в п.3 вместо УНК ввел номер банковской карты - работает).

ИТОГО: полный перехват контроля над аккаунтом ВТБ-Онлайн возможен посредством получения единственного кода из СМС и знания номера карты.

PS: А еще в январе требовалось вводить полный пароль.

Если к вышеизложенному прибавить информацию о доступности перехвата СМС (или смене SIM у "честного" сотрудника оператора связи), то складывается совсем нерадостная картина.

Вместо заключения: ВТБ - верните нормальную многоуровневую авторизацию!

{ "author_name": "xvt123", "author_type": "self", "tags": ["\u0436\u0430\u043b\u043e\u0431\u0430\u0432\u0442\u0431"], "comments": 98, "likes": 49, "favorites": 22, "is_advertisement": false, "subsite_label": "claim", "id": 222356, "is_wide": false, "is_ugc": true, "date": "Thu, 18 Mar 2021 22:29:01 +0300", "is_special": false }
0
98 комментариев
Популярные
По порядку
Написать комментарий...
13

У меня была такая ситуация с втб. В итоге я заблокировал счет через поддержку, а когда обратился в отделение банка чтобы открыть счет, то мне сказали что не могут этого сделать, не объясняя причин. В общем они меня навсегда защитили от своего банка)))

Ответить
7

история из первых уст: мама моя 9 сентября положила в ВТБ деньги на накопительный счёт. Ей была отправлена СМС со ссылкой на приложение. Не сразу, может на следующий день попробовала установить личный кабинет, не получилось. Решила дождаться меня из отпуска. Я вернулась 21го, у меня тоже не получилось установить. 22го мама пошла в банк, там ей установили приложение, она заходит, а там денег на 95 тысяч меньше. Пошла в банк разбираться. Оказалось, что 11 сентября с ее счета были списаны деньги за какую-то автоуслугу в пользу физ.лица в сбер в Новосибе. Просматривая смс от банка, увидели, что в день открытия счета какое то Anknown устройство получило доступ к пуш уведомлениям и слило деньги. Причем смс русскими словами, но на латинице, сразу и не разберёшь. Банк пожимает плечами. Написали заявление в банк и в полиции. Прошло полгода. С банка отписки "мы не виноваты". Из полиции вообще тишина

Ответить
6

Для далеких это было еще в мае 2020!

Ответить
5

Ну емае... Что не банк, то прикол. *бормоча неразборчиво, но вполне понятно, перевела последние копейки из банков в стеклянную банку"

Ответить
0

Успокойтесь уже, никто никого не взламывает через сотовую сеть. И тем более нет смысла заниматься перевыпуском сим карты, потому что для этого нужно иметь личное знакомство с манагером салона, что автоматом приведет к мошеннику полицаев, а у абонента симка мгновенно перестанет работать.

Им вообще не зачем реализовывать сложные схемы, когда мамонты и так говорят код по телефону "роботу после звуковых сигналов" или заходят в "личный кабинет втб" через поисковики, в которых половина серпа это фишинговые сайты.

Ответить
5

Согласен с Вами на 99.9%, но лично мне не хотелось бы попасть в условные 0.1% случаев с "манагером салона" (да, его, вероятнее всего, поймают, может даже посадят, а может он и подельников сдаст) — денег это мне не вернет. Поэтому я и прошу вернуть нормальную авторизацию, которая защищала меня от такого сценария.

Ответить
0

Тут я полностью ЗА, мне лично не хватает и дополнительных паролей на вход кроме смс, и возможности через те же токены аутентификаторов настраивать.

Ответить
0

А вы когда нибудь перевыпускали симки? Там сутки смс не приходят. Так что вариант перевыпуска, не стоит так сильно опасаться. За сутки, думаю вы поймёте, что ваша симка заблокирована.

Ответить
0

У меня мегафон, дважды менял и оба раза блокировали. Последний раз в 20-м году менял, было так. Утверждать не буду, может опять чего-то поменяли. Хз.

Ответить
0

Хрень написал. Во-первых, схема рабочая. Во-вторых "манагеров" по всей стране тысячи – не договоришься с одним, получится с другим. Полиция вообще лол, либо ничего не делают, либо хрен докажешь, что есть какая-то связь.

Ответить
0

Вроде бы вот это отключает часть(!) функционала "безопашливость".
У втб конечно какая-то шляпа с безопасностью, то лимиты которые  можно поставить, но  они не работают в старой версии ИБ, то пинкод банкоматы не проверяют то еще что-то странное...

Ответить
6

Эта функция отключает восстановление пароля. Только вот после выхода их нового приложения, "над которым работало более 200 человек"  пароль просто не нужен. Авторизиризация в моб. приложении происходит по смс.
Более того,  даже если через колл центр заблокировать моб. приложение, как я делал, авторизация через qr в якобы "заблокированном" приложении продолжает работать, просто наведите на qr на сайте через кнопку быстрый вход и получите полный доступ в кабинет.
https://www.banki.ru/services/responses/bank/response/10476019/ только недавно написал про это отзыв, но банк делает вид, что не понимает сути претензии.
Причем мне именно поддержка втб-банка и посоветовала заблокировать моб. приложение, чтобы без знания пароля нельзя было авторизироваться. И при этом они и сами не знали, что авторизация по qr и дальше работает из "заблоченного" техподдержкой приложения и пароль не нужен для входа в личный кабинет с помощью моб. приложения.

Ответить
5

Да, я как раз про вот такие истории. Очень серьёзно не додумали.
А вот раньше были одноразовые коды с карточкой... Эх...
А главное что уровень безопасности выбрать то нельзя и положение тумблера 'удобство-безопасность'  приварено намертво...

Ответить
2

Банк не делает вид что "не понимает", там такая техподдержка, которая действительно не понимает.

Пример из моего общения с ними:
Я: прилагаю скриншоты 2021г. с уведомлениями об операциях другого клиента, которые отображаются у меня. Имя файла вида Screenshot_2021-01-11-10-43-33, где время в формате ГГГГ-ММ-ДД-ЧЧ-ММ-СС на момент снятия скриншота с экрана
....проходит 16 дней...
Банк: Вопрос в работе, потребовались дополнительные данные: просим уточнить в какое время (по московскому времени) сделаны скриншоты. Ответить просим с сохранением переписки.
Я: Отвечая на ваш запрос сообщаю, что запрашиваемая Вами информация изначально содержится в моем исходном сообщении, а именно: «Имя файла вида Screenshot_2021-01-11-10-43-33, где время в формате ГГГГ-ММ-ДД-ЧЧ-ММ-СС на момент снятия скриншота с экрана.» Время по Московскому времени.
Банк: За указанные даты и время сессии отсутствуют. Время на скриншотах указано по московскому времени?
Я: Да, время указано по московскому времени <Еще раз всю ситуацию с начала описываю>

Ответить
1

Я в октябре 2020 им об этом написал. После долгой переписки ни о чем их ответ был, "Мы постоянно работаем над совершенствованием систем и процессов, чтобы обеспечить безопасность финансов клиентов, а также исключить возможность мошеннических действий". Занавес.

Ответить
0

Оставил обращение по поводу входа по QR. Чем больше будет однотипных обращений, тем быстрей исправят.

Ответить
0

По данному вопросу на мое обращение Банк ВТБ предложил мне расторгнуть ДКО.

Ответить
0

Мне они, после того, как я написал комментарий сюда, дали ответ, что учли и исправят данный недочёт. Может отписка стандартная. Подожду неск. месяцев и напишу отдельный пост, если не поправят. Все-таки vc они просматривают. 

Ответить
1

Когда-то у ВТБ было все нормально с безопасностью, но несколько неудобно. Теперь удобно, но небезопасно. С некоторым "удобством" в части первичной идентификации они уж совсем перегнули - настройка делается один раз, можно не упрощать до такого уровня.

Ответить
2

Потому что надо пинать банки, чтобы прекратили использовать СМС как фактор авторизации!

СМС не безопасны! Прекратите их использовать, для вас давно есть TOTP.

Ответить
2

Ответ банка - самое грустное что есть в этой ветке...

Ответить
–11

Здравствуйте! Банк всегда рекомендует своим клиентам ни в коем случае, никому и никогда не сообщать авторизационные данные для входа в личный кабинет. Не сообщать данные банковских карт, кодов, внимательно читать тексты sms-сообщений с кодами подтверждений, проверять реквизиты операций, не переходить по ссылкам на незнакомые ресурсы, использовать только официальные банковские приложения, антивирус, не вступать в диалог в звонке с третьими лицами, которые просят уточнить какую-либо персональную информацию. При поступлении подобных звонков самостоятельно перезванивать в Банк на официальный номер и уточнять актуальность звонка. На своем официальном сайте https://www.vtb.ru/bezopasnost/ Банк рассказывает о видах мошенничества и предупреждает своих клиентов быть предельно осторожными. Мы рекомендуем всем нашим клиентам внимательно ознакомиться со всей информацией, размещенной в разделах безопасности (финансовая безопасность/ школа безопасности). Соблюдая все меры предосторожности, несанкционированных списаний не возникнет.

Ответить
5

Когда я заключал договор о дистанционном банковском обслуживании в нем был прописан порядок входа - авторизация по логину+паролю с подтверждением по СМС. Т.е. многоуровневая авторизация, где утечка данных одного элемента не приводит к компрометации всей цепочки.

Далее Банк в одностороннем порядке сменил условия и, фактически, убрал необходимость ввода пароля, да и логина тоже. Об этом я Банк не просил. Насколько эта практика соответствует заключенному ранее между мною и Банком договору —- это еще предстоит проверить.

Банк не может не знать, что содержимое СМС может быть получено третьими лицами вне зависимости от действий и желаний пользователя. При этом, риски и ответственность за противоправные действия третьих лиц, которые стали леко возможны вследствие односторонних решений Банка,  Банк на себя не принимает и перекладывает на клиента.

Клиент может быть сколь угодно осторожен, но его это никак не спасет. Мое мнение - Банк реализовал небезопасное решение в угоду "удобства входа"  в т.ч. и для третьих лиц.

Ответить
3

Ваши сотрудники делают вид, что не понимают вопроса и ответили не по существу задаваемого вопроса. Заблокировал приложение через поддержку банка, что бы возможнен был  вход только по паролю через сайт втб. (восстановление также пароля включено) https://www.banki.ru/services/responses/bank/response/10476019/?ref=vc.ru
Т. е. теперь не должна работать функция входа в мобильное приложение. 
Так вот, в заблокированной приложении вход осуществляется хотя и не работают переводы, Но жирное НОО,  кнопка qr осталась активна в телефоне и если я нажму её и наведу на сайте банка на qr быстрого входа, то происходит вход  уже на компьютере и я могу совершать все те операции, что вы заблокировали без знанич пароля, но уже с компьютера т. к. я авторизировался по qr. 
Логично ведь, что если вы блокирует приложение, то нужно и заблокировать кнопку  qr, а не только переводы. А ещё лучше, вообще запретить авторизацию с моб. приложении, а не частично и не так криво раз я подал такую заявку.

Ответить
2

Уважаемый ВТБ вход в мобильный банк это калитка в чистом поле 
Правильная авторизации должна выглядеть так!
1. Вводим логин (унк) (номер карты, телефона)
2. Вводим пароль (при правильном пароле приходит смс с кодом подтверждения)
3 Вводим код подтверждения

Ситуация потерял телефон украли вытащили и т.д
Сим карту извлекли так как телефон заблокирован
Скачали ВТБ онлайн 
Ввели "логин" и код из смс
Получили доступ!!!!
Если бы был пароль перед этим никто смс не получит так как не знают пароль!!! Соответственно не смогут войти в мобильный клиент!
Сделайте пожалуйста!!! Связку
Логин
Пароль
Код смс

Ответить
1

Раньше у ВТБ так и было, нормальная многоуровневая авторизация.
Видимо, Банком принято решение о том, что рост клиентской массы и упрощение операций важнее безопасности клиентов ("логичное", кстати, решение: риски -  клиентам, деньги - банку).

Ответить
1

Ставь пин-код на симку

Ответить
0

Погодите, 
не понял как получили код из смс после того вытащили сим-карту?

Ответить
0

Вставили сим-карту в другой телефон

Ответить

Нелепый единорожек88

Банк
0

А планируется ли делать официальный API  для того чтобы дать другим приложениям  доступ на чтение к истории операций? Для физиков.
Причем вы ведь в курсе зачем они нужны - https://www.vtb.ru/o-banke/press-centr/novosti-i-press-relizy/2019/10/2019-10-11-v-bankovskom-sektore-rossii-nachinaetsya-api-transformatciia/

Ответить
0

Думаю, маловерятно - банкам не выгодно, чтобы информация о предпочтениях клиентов была доступна в т.ч. другим банкам для анализа. Да и "независимый" сервис аналитики рано или поздно начнет информацию продавать.

Ответить

Нелепый

xvt123
0

Банки почему то считают что они решают. А потом появляются всякие ДзенМани, делают то же самое но без API, и с вопросами от всяких @xvt123 про безопасность такого подхода.
Ну и - для бизнеса это ж реализовано у большинства банков. Почему для физиков нельзя?

Ответить
0

Классная у вас работа. Оставайтесь на связи, ваше мнение очень важно для нас...

Ответить
0

годно, но женщина по первой ссылке не говорила им код, пришедший в смс.

Ответить
3

так это она говорит, что не говорила, а как оно на самом деле было?

Ответить
0

Может и не говорила, но, судя по ответу банка, код злоумышленники все же получили. Один из вариантов (спасибо комментаторам), от которого не защититься - перехват СМС. Ссылку на Habr я задублировал в конце поста.

Ответить
1

У меня так увели  деньги, весь лимит с кредитки, с накопительного счета + оформили кредитную карту вирутальную и оттуда... Все за 5 минут. Теперь мне работать на этот кредит и все накопления сгорели. 

Ответить
0

Банк и устройство ?

Ответить
0

Банк Втб. ЛК мобильная версия, а устройство у меня honor. 

Ответить
0

Пока из всех постов , побеждает Андройд устройства.

Ответить
1

андроид установлен на 70% мобильных устройств в мире, было бы странно, если бы он не побеждал

Ответить
0

© Александр Якунйн

Ответить
0

да всё норм, просто фамйлйю твою правйльно напйсал

Ответить
0

я думаю картой можно пользоваться только не подключая комплексное обслуживание с втб-онлайнами и мобильным приложением, чтоб нельзя было управлять счетом с телефона в принципе. Потому что при таком дырявом приложении и предодобренных кредитах в один клик вы рано или поздно попадете на деньги.

Ответить
2

Да и тут не все так просто с втб. Советую позвонить в банк и запретить вход в личный кабинет через банкомат и восстановление пароля через банкомат. 
Если у вас вытащат карту из сумки/кармана подсмотрев, скажем на кассе, когда вы расплачивались, пин, то через банкомат злоумышленник получит доступ ко всем счетам, а не только деньгам на карте.
Одно дело вы теряете деньги на карте и в потерянном кошельке и совсем другое, что  лишиться всех денег со счетов в этом дырявом банке. Тут подробней:
https://www.banki.ru/services/responses/bank/response/10139405/

Ответить
0

Если денег на карте нет, кредиток нет и кредит мне никто не одобрит по причине плохой истории, но есть брокерский счет - можно не париться из-за этой дыры?

В инвестиционное приложение так легко же не попасть?

Ответить
1

Если речь о ВТБ, то можно не парится.

Ответить
0

читая цепочку статей о мошенничествах  уже паранойя начинает развиваться потихоньку :) все ж топовые банки по очереди засветились с негативом.

И главное нет железобетонной схемы защиты.

Ответить
1

Из за топорности ВТБ инвестиций, там шансы вывести деньги проста так на левые реквизиты не реалистичны, новые реквизиты либо в офисе либо цифровой подписью подписаны быть должны, а эту сому подпись сначала нужно распечатать и завизировать в офисе.

пока их топорность хороша.
Но вот веб морда, возможно уязвима, но не чего страшного там не наделать, а вот подсмотреть конечно можно.

Ответить
7

В инвестициях ВТБ из-за нового банковского приложения тоже дыра. Ведь для восстановления пароля в приложении ВТБ Инвестиции требуется номер договора, логин и пароль из смс. И то и то в кабинете БАНКА отображаются. Теоретически, если теряешь SIM и банк. карту (а нужен только её номер), то сначала злоумышлиник восстанавливает вход в мобильное приложение банка с помощью одной смс без пароля и номера карты, т. к. в приложении он не нужен для входа с нового устройства. Потом осуществляет вход на сайт посредством функции "быстрый вход по qr" на компьютере наведя qr приложения банка в на qr на сайте https://online.vtb.ru через пк. А далее в личном кабинете смотрите логин Инвестиций и номер договора, потом идёте на сайт инвестиций и восстанавливаете с этими данными доступ к Инвестициям втб. От так вот малята:)) Создаётся впечатление, что в ВТБ работают двоишники. Даже если попросить заблокировать приложение для мобильного, вход по qr все равно работает с "заблокированного" моб. приложения. Я им писал на банки. ру https://www.banki.ru/services/responses/bank/response/10476019/comments/1/#respcomment6123091они делают вид, что не поняли о чем им втолковывают. 

Ответить
0

ну раз БанкОнлайн дыряв, то если окажется что и в инвестиции еще зайти легко, то печаль-беда же. Продажа активов - вывод на карту, потом через БО перевод куда хочет мошенник. Тут спасет только медлительность самого вывода :) у меня как-то сутки заняло.

Ответить
0

Попробуй через приложение пароль восторгать, они сменили алгоритм, а в веб морде старый сложный, а в приложение теперь новый.

Ответить
0

Вот вы кому то подсказали, теперь можно начинать париться.

Ответить
0

Стоить добавить, что перевыпущенную сим-карту СБ банка ВТБ блокирует примерно через одну неделю, исходя из личного опыта. Здесь также под удар попадает каждый клиент банка. Хоть шанс возникновения такой ситуации невелик, но все же он имеется.

Кстати, восстановить доступ (после блокировки), при отключенной функции дистанционного восстановления доступа в ЛК, очень сложно. Это, на самом деле, хороший плюс. Необходимо личное посещение офиса банка и заявление на восстановление.

Ответить
1

Уже не плюс. После выхода нового приложения этот запрещённый для восстановления пароль просто не спрашивает и если ты заходишь с нового устройства через мобильное приложение банка, то можно восстановить доступ, нужно только смс и номер карты. Если потеряешь сумку с симкой без пина и картой в кошельке, то снимут все. Полгода назад это было невозможно, когда была включена опцию запрета пароля, но не сейчас, т. к. пароль больше не требуется в моб. приложении. 

Ответить
0

Я ведь написал, что должна быть отключена функция восстановления доступа дистанционно. Она отключается в веб-версии ВТБ-Онлайн. В новой версии она также доступна.

Ответить
2

Перечитайте сообщение. Даже если она включена, можно зайти через мобильное приложение, без ввода того пароля. Приложение его попросту НЕ запрашивает!
Не верите, попробуйте провести эксперемент: попробуйте очистить кеш приложения, либо установить на другой телефон его и запустите. Для входа нужно будет ввести номер карты и код из смс.
Пароль спрашивала старая версия приложения, в новом от этого отказались.
А вот на сайте пароль спрашивает как прежде, но это не имеет значение, т.к. вход через приложение теперь без пароля. И не важно, что запрещено восстановление пароля, ведь он больше не нужен)) Такая теперь у них дыра -ради "удобства"

Ответить
0

Я ведь говорю о блокировке доступа со стороны банка, а не о том, когда вы свободно можете входить любыми доступными способами. Совершенно о другой ситуации речь.

Ответить
0

Не совсем понял. Вы написали выше про запрет дистанционного востановления. Я вам ответил, что теперь не важно включен он или нет.
Если вы про запрет банком мобильного приложения по заявке пользователя, то втб его криво сделали.
Я, например, после выхода нового приложения когда узнал, что функция запрета восстановления пароля бесполезна, позвонил в поддержку и заблокировал доступ через приложение. Но оказалось, что даже заблокированное мобильное приложение не полностью блокируется, там остается кнопка qr активной и если зайти в приложение и нажать на нее, а потом навести на сайте на кнопку быстрый вход, то авторизация происходит. Они не додумались ее заблокировать.
Позвонил попросил заблокировать кнопку qr, сказали нет возможности. Только полный запрет не только приложения на мобильном, но и авторизации на сайте втб.

Ответить
0

Не знаю, что случилось полгода назад, но год назад, когда также не нужен был пароль для входа через мобильное приложение, этот запрет на дистанционное восстановление работал. Причем настолько хорошо, что даже сотрудники банка смогли вернуть мне доступ только спустя неделю.

Ответить
0

Я думаю, что случаи типа "забыл пароль" и полная блокировка доступа от банка - разные случаи. И во втором это как раз тот "полный запрет" (о котором вы в конце написали), когда не работает ни мобильное приложение, ни веб-версия.

Ответить
0

Хм, а тот я удивился, я пару дней назад на своих банках пароли восстанавливал в качестве эксперимента и менял, и делал я все это на компе.

Сменил пароль от ВТБ, посмотрел на их алгоритм, потом беру айфон нажимаю на иконку приложения, он логично не авторизует, ввожу логин, а он раз и авторизовал.

Ну я думаю трубка же моя, Id устройства все дела, не кодов не чего просто взял и впустил.

Раньше у ВТБ была гениальная вещь: запрет на восстановления пароль, что бы его получить нужно было идти в офис, офигенная опция, теперь нету ее 🤧

Ответить
0

Так вон выше скрин, что есть, но надо включить

Ответить
3

Она бесполезна теперь, т. к. мобильное приложение этот пароль не спрашивает на новых устройствах, только номер карты и смс

Ответить
0

В приложении нет, гляну в вэб версии.

Ответить
–1

Не понимаю чего феноменального такого вы тут обнаружили. В альфе к примеру точно так же: берёшь другой телефон, устанавливаешь приложение, вводишь при входе номер телефона потом номер карты/счета, на основной номер приходит смс и все - на 2м телефоне ты так же в приложении. В Росбанке/Промсвязе точно так же, единственный кто просит пароль это Тинькофф. И? Мошеннику 1 фиг чтоб получить доступ ко всему надо одновременно украсть карту с телефоном где последний должен быть не запароленный чтоб прочитать эту смску с кодом.
 Это все равно что потерять ключи от дома с адресом на брелке и временем когда тебя нет дома. Конечно можно вытащить симку и вставить в другой телефон но ты на нем же и спалишься имхо !при желании! менты вычислят и у кого он был в пользовании и где сейчас находится даже если выключен или это кнопочная труба.
Один факт остаётся не изменным - нужно 2 исходника: телефон и карта. Карты все сейчас в appl pay, телефон запаролен. Это не значит что я на 100% защищён, но если что случится банки наврятле будут в этом виноваты

Ответить
1

Объясню на Вашем примере:
Представьте, что раньше вы входили в "квартиру  где деньги лежат" открывая первую дверь двумя разными ключами (которые есть только у Вас), а вторую дверь Вам уже открывал консьерж по звонку на Ваш телефон только после открытия Вами первой двери.

Но вот служба консьержей решила, что отныне ключи не нужны, первая дверь снята с петель, ее больше нет, и для входа в квартиру достаточно только звонка на Ваш телефон.

Какое решение надежнее, как думаете? 
В первом случае, чтобы войти в "квартиру где деньги лежат" нужно получить от Вас оба ключа и телефон единовременно, а во втором случае достаточно получить контроль над Вашим телефоном, незаконный перевыпуск SIM-карты которого вы не можете контролировать.

PS: спасибо за информацию о Альфе, туда, значит, тоже ни ногой.

Ответить
0

Ваш пример мог бы быть верен если бы не перепутали двери местами. В контексте втб и квартиры ключом служит телефон с смс кодом, а дверь это номер карты. Без заполучения  2х факторов одновременно вам не попасть в онлайн банк (т.е. в квартиру). Но почему то в вашем примере с квартирой дверь (карта) которая открывается вами пропала, чтобы подогнать решение под ответ как будто в квартиру(в мобильный банк) вы попадаете только по смс коду.
Я специально привёл простой пример с обычной квартирой потому что он подходит больше всего т.к. если к примеру вы найдёте ключи на улице толку от этого будет 0 если не знать адрес квартиры.
Да и если углубляться дальше это очень прохладная история что мошенники занимающиеся воровством денег с карт будут заниматься всей этой херней с подменой сим. Тут нужно ещё больше факторов - нужен продажный сотрудник оператора который перевыпустит сим(я хз насколько это возможно), и сотрудник банка который сольёт номера карт и авторизует подмену сим (с таким же успехом он может номер на любой нужный изменить и ждать СЭБ) . Второму в случае чего влетит в разы больше так как подписывает соглашение с банком о неразлашении, а проверяется это все на раз два т.к. все что ты делаешь на рабочем столе пишется.
А эти мошенники психологи, а не хакеры

Ответить
1

В моем примере номер карты не задействован намеренно, т.к. он не может/должен являться ключом/дверью по причине того, что его сохранность/конфиденциальность от действий клиента не зависит. 
Номер находится открытом виде с момента изготовления карты еще до ее выдачи вам, используется при оплате товаров и услуг онлайн (да, в идеальном мире по PCI DSS сервисы не должны его сохранять, но в реальности это не так).

Поэтому я и прошу вернуть нормальную многоуровневую авторизацию, которая была при заключении договора.

Как примеры утечек, ставших известными публично (см. infowatch):

Ответить
–1

Да ни хрена ему не влетит. Это все еще доказать надо, а это либо сделать почти невозможно, либо этим никто заниматься не будет.

Ответить
0

Почти невозможно доказать ?) Ты походу то ли совсем дурак или просто тут себе нашёл флудилку где можно все от балды писать что сам нафантазировал ?. Это доказывается на раз-два логами с компа хотябы. Не говоря о том сколько камер над каждым рабочим местом висит и как быстро «кому надо» приходят отбойники если не туда зашёл . В случае чего собственная сб банка хватанёт за жопу первее ментов чтобы свою организацию не подставлять и дыру прикрыть для таких наивных.

Ответить
0

Вот всегда было интересно откуда такие кретины как ты вылазят. Мы два года по судам ходили после вот такой замены sim по "доверенности".

Ответить
0

А если карточка втб Мир в кармашке телефонного чехла (для прохода в метро) ?
То всё, приплыли. 
Надо пинкод на вкл телефона, на симкарту и отключать показ смс при заблокирован ном экране. 

Ответить

Нелепый единорожек88

0

Но зато надо пуш/смс при КАЖДОМ входе если вход не приложением ВТБ а например ДзенМани (который нужен ридонли доступ), и нет - API для приложений вроде ДзенМани не хотят похоже, приходится каждый раз этот код вводить). 

Да, зато если есть только логин и пароль но телефон не привязан (аккаунту много лет, нет открытых карт) - то надо идти в офис. Получать карту и привязывать телефон. 

Ответить
0

Завидую вашей уверенности - предоставлять сторонним сервисам доступ к личному кабинету в Банке. 

Ответить
1

Слушай я сейчас попробовал алгоритм восстановления через веб морду.

Запрос логина (УНК) , у меня логин другой, но при восстановление пароля он сбрасывается на УНК, так что нужно менять потом снова что бы по нему восстановить нельзя было (хотя старый логин поставит не дает, утверждает что он используется в системе.

Запрашивает логин, далее приплывает на привязанный телефона 2 смс, вводишь временный пароль, и в приложение на iPhone приходит пуш с новым кодом который нужно указать в веб морде.

Далее вводишь новый пароль.

Плохо что при смене пароля не приходит не пушицы не смс, не email.

еще они сделали вход через QR коды, песочница почта банка наконец стала давать плоды.

авторизация со свежим паролем, ввод логина и пароля, пришел пуш с кодом для авторизации.

Плохо что в момент авторизации нет не смс о факте авторизации, у Сбера есть.

Ответить
0

При авторизации в приложение , спросило логин и пришёл пуш с кодом.

Ответить
0

Есть идеи как это мне поможет с точки зрения безопасности?
не понял кейс вообще

Ответить
1

Не пользоваться мобильным приложением. Никаким! То, что хочешь хранить в своем почтовом ящике в под'езде храни и в своем телефоне.

Ответить
2

Неважно пользуешься приложением или нет. Если вы теряете sim без пин, то приложение установит злоумышленник  (ещё правда нужен номер карты, но если украдут сумку, в которой карта с телефоном в котором симка без пина, то все.. Её просто переставят в новое устройство и украдут не только деньги с карты, но и со счетов втб и даже с брокерских. По поводу банка ясно, но я ниже писал, что в новом кабинете отображается и логин втб Инвестиций и номер договора брокера, которые нужны для восстановления доступа к брокер. Т. е. уязвимость банка тянет собой и опасность потере денег на брок. счёте. Хотя в связи с чуть большей сложностью выводиться деньги должны дольше и есть время среагировать, если вы не за границей в это время. 

Ответить
0

Добавлю к вышеуказанному, что в личном кабинете можно в два клика оформить и потребительский кредит, после чего вывести полученные средства. ВТБ часто любезно предлагает кредитное предложение.

Ответить
0

не понял мысль вообще

Ответить

Нелепый единорожек88

xvt123
0

- перевод они сделать не смогут.
- в принципе исходных код плагинов что тянут - доступен  и можно посмотреть https://github.com/zenmoney/ZenPlugins
- в европе есть открытые API для таких вещей  вот только в России почему то не принято это использовать(та же https://www.saltedge.com/ поддерживает и многие Российские банки похоже что парсингом)
- а что вы скажете про сервисы банков для бизнеса где парсинг даже там где есть API (тиньков бизнес например с модулем похоже не api использует а парсит)
- вот чтобы не приходилось давать логин-и-пароль - нужны API но из того что для физиков - это только яндексденьги/кактамихсейчас зовут умеют.
- кстати а почему Банк - с большой буквы? и про какой именно банк речь? -:) Только ВТБ?
- как быть если нужен нормальный сервис аналитики? ну да я понимаю что история операций может утечь (собственно на серверах дзенмани есть

Ответить
0

Вы пишете про Read-only доступ и одновременно про отсутствие API, следовательно данные для доступа сервису передаются полноценные, ограничение что с ними делать реализовано на стороне сервиса. 

Доступный в публичных репозитариях исходный код не означает, что этот же код работает на сервере (если, конечно, это не Ваш сервер). Это одна из неразрешимых проблем доверия к сервису. Как итог, Вы либо доверяете сервису, либо нет. 

Я как сервис аналитики использую AnMoney (до этого SPB Money) - да, ввод операций вручную, зато вся информация с 200х под рукой и только у меня.

Ответить

Нелепый

xvt123
0

Вообще то можно прочитать как то же ДзенМани и прочие аналоги работают. Не секрет это.
А насчет ограниченй - у всех поголовно банков что мне приходилось пользоваться - для операций перевода и прочего - надо отдельное подтверждение (причем вполне можно сделать чтобы подтверждение шло пушем, и при этом НЕ давать ДзенМани доступов достаточных чтобы эти пуши читать - на андроиде)
Ну да у меня есть основания доверять.
Ну и бонусом - ВТБ и Сбер при входе ДзенМани - присылают смс (ВТБ еще и e-mail)(IP ВТБ в почте не присылает но в ЛК веб-версии отображается)

Ответить
0

В мемориз!

Ответить
0

Ещё пытаются зайти в Мультибонус, владельцу приходят смс на смену кода. Потом звонит «колл-центр», который просит назвать УНК, чтобы составить «заявление»

Ответить
0

Такая же ситуация и у Сбера 
Находят мысли что всё "колл-центры" 
Это отдельная ветка банков и им не выгодно делать многоуровневую авторизацию
Так как воровать станет тяжелее!

Ответить
0

у Сбера все норм, там коды приходят

Ответить
0

У Сбера по смс можно деньги куда угодно переводить, даже не зная номера карты. Достаточно только доступ к сим

Ответить
0

Уже давно нет, и там ограничение на сумму существенные были

Ответить
0

Бред пьяного индуса))) мамкины хакеры

Ответить
0

Долбоебы из ВТБ нам не надо просто, нам надо надежно и безопасно! Пока блокирую ВТБшную кредитку..

Ответить
–2

Шокирующая новость: зная логин и пароль от банка можно получить доступ к аккаунту

Ответить
0

Прочтите внимательно, логин и пароль для доступа в ВТБ Онлайн теперь стали не нужны.

Ответить
0

Это был сарказм = Если кто-то получает доступ к информации необходимой для авторизации (в данном случае это код из СМС), то он получает доступ к вашему аккаунту

Ответить

Комментарии

null