Провёл эксперимент: с помощью получения кода из СМС и знания номера карты можно получить доступ к аккаунту BТБ-онлайн
По мотивам постов
поставил эксперимент:
1) Взял новый чистый телефон, далее Телефон №2 (сеть - только WiFi)
2) Установил Android-клиент ВТБ-Онлайн из Play Market
3) Ввел УНК
Достаем попкорн...
4) Вместо ожидаемого (и требуемого ранее!) приглашения на ввод пароля на основной телефон пришло СМС с кодом, ввод которого на телефоне №2 предоставил мне полный доступ к ВТБ-Онлайн
5) Без необходимости подтверждения от клиента (Телефон №1 больше не нужен) в два клика в приложении на Телефоне №2 осуществлен переход с СМС на PUSH-коды и PUSH-уведомления -- для дальнейшего подтверждения операций Телефон №1 не требуется, уведомления на него больше не поступают.
Бонус: вместо УНК можно ввести номер банковской карты (повторил эксперимент, только в п.3 вместо УНК ввел номер банковской карты - работает).
ИТОГО: полный перехват контроля над аккаунтом ВТБ-Онлайн возможен посредством получения единственного кода из СМС и знания номера карты.
PS: А еще в январе требовалось вводить полный пароль.
Если к вышеизложенному прибавить информацию о доступности перехвата СМС (или смене SIM у "честного" сотрудника оператора связи), то складывается совсем нерадостная картина.
У меня была такая ситуация с втб. В итоге я заблокировал счет через поддержку, а когда обратился в отделение банка чтобы открыть счет, то мне сказали что не могут этого сделать, не объясняя причин. В общем они меня навсегда защитили от своего банка)))
история из первых уст: мама моя 9 сентября положила в ВТБ деньги на накопительный счёт. Ей была отправлена СМС со ссылкой на приложение. Не сразу, может на следующий день попробовала установить личный кабинет, не получилось. Решила дождаться меня из отпуска. Я вернулась 21го, у меня тоже не получилось установить. 22го мама пошла в банк, там ей установили приложение, она заходит, а там денег на 95 тысяч меньше. Пошла в банк разбираться. Оказалось, что 11 сентября с ее счета были списаны деньги за какую-то автоуслугу в пользу физ.лица в сбер в Новосибе. Просматривая смс от банка, увидели, что в день открытия счета какое то Anknown устройство получило доступ к пуш уведомлениям и слило деньги. Причем смс русскими словами, но на латинице, сразу и не разберёшь. Банк пожимает плечами. Написали заявление в банк и в полиции. Прошло полгода. С банка отписки "мы не виноваты". Из полиции вообще тишина
Для далеких это было еще в мае 2020!
Упрощенный вход раньше сделали. В мае они пошли дальше - можно через втб онлайн одним кликом войти в брокерский счет и управлять им. А то мошенники жаловались, что баланс брок. счета показывает, а обчистить его тяжело. Теперь исправили.
Комментарий недоступен
Ну емае... Что не банк, то прикол. *бормоча неразборчиво, но вполне понятно, перевела последние копейки из банков в стеклянную банку"
Ответ банка - самое грустное что есть в этой ветке...
Успокойтесь уже, никто никого не взламывает через сотовую сеть. И тем более нет смысла заниматься перевыпуском сим карты, потому что для этого нужно иметь личное знакомство с манагером салона, что автоматом приведет к мошеннику полицаев, а у абонента симка мгновенно перестанет работать.
Им вообще не зачем реализовывать сложные схемы, когда мамонты и так говорят код по телефону "роботу после звуковых сигналов" или заходят в "личный кабинет втб" через поисковики, в которых половина серпа это фишинговые сайты.
Согласен с Вами на 99.9%, но лично мне не хотелось бы попасть в условные 0.1% случаев с "манагером салона" (да, его, вероятнее всего, поймают, может даже посадят, а может он и подельников сдаст) — денег это мне не вернет. Поэтому я и прошу вернуть нормальную авторизацию, которая защищала меня от такого сценария.
Комментарий недоступен
Вроде бы вот это отключает часть(!) функционала "безопашливость".
У втб конечно какая-то шляпа с безопасностью, то лимиты которые можно поставить, но они не работают в старой версии ИБ, то пинкод банкоматы не проверяют то еще что-то странное...
Эта функция отключает восстановление пароля. Только вот после выхода их нового приложения, "над которым работало более 200 человек" пароль просто не нужен. Авторизиризация в моб. приложении происходит по смс.
Более того, даже если через колл центр заблокировать моб. приложение, как я делал, авторизация через qr в якобы "заблокированном" приложении продолжает работать, просто наведите на qr на сайте через кнопку быстрый вход и получите полный доступ в кабинет.
https://www.banki.ru/services/responses/bank/response/10476019/ только недавно написал про это отзыв, но банк делает вид, что не понимает сути претензии.
Причем мне именно поддержка втб-банка и посоветовала заблокировать моб. приложение, чтобы без знания пароля нельзя было авторизироваться. И при этом они и сами не знали, что авторизация по qr и дальше работает из "заблоченного" техподдержкой приложения и пароль не нужен для входа в личный кабинет с помощью моб. приложения.
Когда-то у ВТБ было все нормально с безопасностью, но несколько неудобно. Теперь удобно, но небезопасно. С некоторым "удобством" в части первичной идентификации они уж совсем перегнули - настройка делается один раз, можно не упрощать до такого уровня.
Здравствуйте! Банк всегда рекомендует своим клиентам ни в коем случае, никому и никогда не сообщать авторизационные данные для входа в личный кабинет. Не сообщать данные банковских карт, кодов, внимательно читать тексты sms-сообщений с кодами подтверждений, проверять реквизиты операций, не переходить по ссылкам на незнакомые ресурсы, использовать только официальные банковские приложения, антивирус, не вступать в диалог в звонке с третьими лицами, которые просят уточнить какую-либо персональную информацию. При поступлении подобных звонков самостоятельно перезванивать в Банк на официальный номер и уточнять актуальность звонка. На своем официальном сайте https://www.vtb.ru/bezopasnost/ Банк рассказывает о видах мошенничества и предупреждает своих клиентов быть предельно осторожными. Мы рекомендуем всем нашим клиентам внимательно ознакомиться со всей информацией, размещенной в разделах безопасности (финансовая безопасность/ школа безопасности). Соблюдая все меры предосторожности, несанкционированных списаний не возникнет.
Когда я заключал договор о дистанционном банковском обслуживании в нем был прописан порядок входа - авторизация по логину+паролю с подтверждением по СМС. Т.е. многоуровневая авторизация, где утечка данных одного элемента не приводит к компрометации всей цепочки.
Далее Банк в одностороннем порядке сменил условия и, фактически, убрал необходимость ввода пароля, да и логина тоже. Об этом я Банк не просил. Насколько эта практика соответствует заключенному ранее между мною и Банком договору —- это еще предстоит проверить.
Банк не может не знать, что содержимое СМС может быть получено третьими лицами вне зависимости от действий и желаний пользователя. При этом, риски и ответственность за противоправные действия третьих лиц, которые стали леко возможны вследствие односторонних решений Банка, Банк на себя не принимает и перекладывает на клиента.
Клиент может быть сколь угодно осторожен, но его это никак не спасет. Мое мнение - Банк реализовал небезопасное решение в угоду "удобства входа" в т.ч. и для третьих лиц.
Ваши сотрудники делают вид, что не понимают вопроса и ответили не по существу задаваемого вопроса. Заблокировал приложение через поддержку банка, что бы возможнен был вход только по паролю через сайт втб. (восстановление также пароля включено) https://www.banki.ru/services/responses/bank/response/10476019/?ref=vc.ru
Т. е. теперь не должна работать функция входа в мобильное приложение.
Так вот, в заблокированной приложении вход осуществляется хотя и не работают переводы, Но жирное НОО, кнопка qr осталась активна в телефоне и если я нажму её и наведу на сайте банка на qr быстрого входа, то происходит вход уже на компьютере и я могу совершать все те операции, что вы заблокировали без знанич пароля, но уже с компьютера т. к. я авторизировался по qr.
Логично ведь, что если вы блокирует приложение, то нужно и заблокировать кнопку qr, а не только переводы. А ещё лучше, вообще запретить авторизацию с моб. приложении, а не частично и не так криво раз я подал такую заявку.
Уважаемый ВТБ вход в мобильный банк это калитка в чистом поле
Правильная авторизации должна выглядеть так!
1. Вводим логин (унк) (номер карты, телефона)
2. Вводим пароль (при правильном пароле приходит смс с кодом подтверждения)
3 Вводим код подтверждения
Ситуация потерял телефон украли вытащили и т.д
Сим карту извлекли так как телефон заблокирован
Скачали ВТБ онлайн
Ввели "логин" и код из смс
Получили доступ!!!!
Если бы был пароль перед этим никто смс не получит так как не знают пароль!!! Соответственно не смогут войти в мобильный клиент!
Сделайте пожалуйста!!! Связку
Логин
Пароль
Код смс
А планируется ли делать официальный API для того чтобы дать другим приложениям доступ на чтение к истории операций? Для физиков.
Причем вы ведь в курсе зачем они нужны - https://www.vtb.ru/o-banke/press-centr/novosti-i-press-relizy/2019/10/2019-10-11-v-bankovskom-sektore-rossii-nachinaetsya-api-transformatciia/
Комментарий недоступен
Потому что надо пинать банки, чтобы прекратили использовать СМС как фактор авторизации!
СМС не безопасны! Прекратите их использовать, для вас давно есть TOTP.
годно, но женщина по первой ссылке не говорила им код, пришедший в смс.
так это она говорит, что не говорила, а как оно на самом деле было?
Может и не говорила, но, судя по ответу банка, код злоумышленники все же получили. Один из вариантов (спасибо комментаторам), от которого не защититься - перехват СМС. Ссылку на Habr я задублировал в конце поста.
Долбоебы из ВТБ нам не надо просто, нам надо надежно и безопасно! Пока блокирую ВТБшную кредитку..
Стоить добавить, что перевыпущенную сим-карту СБ банка ВТБ блокирует примерно через одну неделю, исходя из личного опыта. Здесь также под удар попадает каждый клиент банка. Хоть шанс возникновения такой ситуации невелик, но все же он имеется.
Кстати, восстановить доступ (после блокировки), при отключенной функции дистанционного восстановления доступа в ЛК, очень сложно. Это, на самом деле, хороший плюс. Необходимо личное посещение офиса банка и заявление на восстановление.
Уже не плюс. После выхода нового приложения этот запрещённый для восстановления пароль просто не спрашивает и если ты заходишь с нового устройства через мобильное приложение банка, то можно восстановить доступ, нужно только смс и номер карты. Если потеряешь сумку с симкой без пина и картой в кошельке, то снимут все. Полгода назад это было невозможно, когда была включена опцию запрета пароля, но не сейчас, т. к. пароль больше не требуется в моб. приложении.
я думаю картой можно пользоваться только не подключая комплексное обслуживание с втб-онлайнами и мобильным приложением, чтоб нельзя было управлять счетом с телефона в принципе. Потому что при таком дырявом приложении и предодобренных кредитах в один клик вы рано или поздно попадете на деньги.
Да и тут не все так просто с втб. Советую позвонить в банк и запретить вход в личный кабинет через банкомат и восстановление пароля через банкомат.
Если у вас вытащат карту из сумки/кармана подсмотрев, скажем на кассе, когда вы расплачивались, пин, то через банкомат злоумышленник получит доступ ко всем счетам, а не только деньгам на карте.
Одно дело вы теряете деньги на карте и в потерянном кошельке и совсем другое, что лишиться всех денег со счетов в этом дырявом банке. Тут подробней:
https://www.banki.ru/services/responses/bank/response/10139405/
Не понимаю чего феноменального такого вы тут обнаружили. В альфе к примеру точно так же: берёшь другой телефон, устанавливаешь приложение, вводишь при входе номер телефона потом номер карты/счета, на основной номер приходит смс и все - на 2м телефоне ты так же в приложении. В Росбанке/Промсвязе точно так же, единственный кто просит пароль это Тинькофф. И? Мошеннику 1 фиг чтоб получить доступ ко всему надо одновременно украсть карту с телефоном где последний должен быть не запароленный чтоб прочитать эту смску с кодом.
Это все равно что потерять ключи от дома с адресом на брелке и временем когда тебя нет дома. Конечно можно вытащить симку и вставить в другой телефон но ты на нем же и спалишься имхо !при желании! менты вычислят и у кого он был в пользовании и где сейчас находится даже если выключен или это кнопочная труба.
Один факт остаётся не изменным - нужно 2 исходника: телефон и карта. Карты все сейчас в appl pay, телефон запаролен. Это не значит что я на 100% защищён, но если что случится банки наврятле будут в этом виноваты
Объясню на Вашем примере:
Представьте, что раньше вы входили в "квартиру где деньги лежат" открывая первую дверь двумя разными ключами (которые есть только у Вас), а вторую дверь Вам уже открывал консьерж по звонку на Ваш телефон только после открытия Вами первой двери.
Но вот служба консьержей решила, что отныне ключи не нужны, первая дверь снята с петель, ее больше нет, и для входа в квартиру достаточно только звонка на Ваш телефон.
Какое решение надежнее, как думаете?
В первом случае, чтобы войти в "квартиру где деньги лежат" нужно получить от Вас оба ключа и телефон единовременно, а во втором случае достаточно получить контроль над Вашим телефоном, незаконный перевыпуск SIM-карты которого вы не можете контролировать.
PS: спасибо за информацию о Альфе, туда, значит, тоже ни ногой.
А если карточка втб Мир в кармашке телефонного чехла (для прохода в метро) ?
То всё, приплыли.
Надо пинкод на вкл телефона, на симкарту и отключать показ смс при заблокирован ном экране.
Комментарий недоступен
Так вон выше скрин, что есть, но надо включить
Если денег на карте нет, кредиток нет и кредит мне никто не одобрит по причине плохой истории, но есть брокерский счет - можно не париться из-за этой дыры?
В инвестиционное приложение так легко же не попасть?
Комментарий недоступен
Вот вы кому то подсказали, теперь можно начинать париться.
То есть все таки нужны цифры из СМС. У автора все получилось потому, что все два телефона были его личные и в его распоряжении.
Откуда же мошенник возьмёт эти цифры из СМС, если их ему никто не скажет?
Почитайте комментарии выше. СМС можно получить перевыпустив SIM-карту по подложным документам; стороннее ПО, имеющее доступ к уведомлениям на телефоне; недобросовестные работники оператора; "ложные" базовые станции. Повторюсь - раньше была многоуровневая система защиты, теперь же остался только код из СМС.
У меня 2 телефона, на одном (кнопочном) установлена симка привязанная к банкам, он всегда лежит дома. А на втором (смартфоне ) установлены мобильные приложения банков. Так вот Сбер, при подтверждении некоторых операций, присылает не СМС на банковскую симку (которая лежит дома), а PUSH на смартфон, на котором установлено приложение. Хотя в настройках выбраны СМС уведомления и номер смартфона Сберу не сообщался.
Но зато надо пуш/смс при КАЖДОМ входе если вход не приложением ВТБ а например ДзенМани (который нужен ридонли доступ), и нет - API для приложений вроде ДзенМани не хотят похоже, приходится каждый раз этот код вводить).
Да, зато если есть только логин и пароль но телефон не привязан (аккаунту много лет, нет открытых карт) - то надо идти в офис. Получать карту и привязывать телефон.
Завидую вашей уверенности - предоставлять сторонним сервисам доступ к личному кабинету в Банке.
У меня так увели деньги, весь лимит с кредитки, с накопительного счета + оформили кредитную карту вирутальную и оттуда... Все за 5 минут. Теперь мне работать на этот кредит и все накопления сгорели.
Комментарий недоступен
Что значит увели? На новое устройство нужен смс код. Как мошенники узнали смс код ?
В мемориз!
Ещё пытаются зайти в Мультибонус, владельцу приходят смс на смену кода. Потом звонит «колл-центр», который просит назвать УНК, чтобы составить «заявление»
Такая же ситуация и у Сбера
Находят мысли что всё "колл-центры"
Это отдельная ветка банков и им не выгодно делать многоуровневую авторизацию
Так как воровать станет тяжелее!
Комментарий недоступен
Раньше пользовался много лет банком Возрождения. Так там чтобы зайти в интернет банк надо было карточку вставлять в специальное устройство которое давалось в банке и после ввода пин кода код операции на устройстве появлялся который надо вводить при входе в интернет банк.
7ого июня текущего года стал жертвой мошенничества. Судя по всему схема была ровно как описано в статье. Никаких уведомлений о том что произошёл вход с нового неизвестного устройства, (а так давно делают и Google, и Yandex, и Mail.ru, и Microsoft, и многие другие, а вот банк, да при том столь известный и популярный, почему-то не делает), никаких уведомлений что в приложении были изменены настройки,(а выкл/вкл push/sms уведомлений это важная настройка), никаких дополнительных факторов проверки/подтверждения операции, лишь уведомление о том что средства были переведены неизвестно куда и неизвестно кому.
А где в этот момент была SIM-карта, привязанная к аккаунту?
Когда-то, лет 10 назад у втб (втб24) было 2 системы: "телебанк" и "телеинфо". Первая - полноценный доступ, а вторая - чисто информационная, посмотреть счета и операции . Ни о каком входе по смс и номеру карты и речи не шло. Только УНК и пароль. Если ты их забывал, то шел в банк. И эти системы онлайн доступа не подключались по умолчанию. Надо было специально в банке писать заявление о подключении. Вот это было надежно. А не то что сейчас.
До введения в практику СМС-кодов у ВТБ вход в "телебанк" для простого пользователя осуществлялся по логину + паролю + одноразовым кодам со скретч-карты. И кодов на ней было не много, и больше двух штук в руки не давали..
А вы не могли бы еще раз провести свой эксперимент с подключением двух телефонов к одному ЛК?
И на одном из них, в настройках, выбрать "Удалить код доступа". Дальше в открывшемся списке удалить другой телефон. И посмотреть после этого, можете ли вы что нибудь делать в ЛК со второго, удаленного из списка телефона.
(Я бы сам сделал, но нет двух телефонов).
Сегодня с утра звонили мошенники, назвали мне все мои персданные (откуда они? Загадка. Утечка 100%. У меня зарплатная карта-данные утекли хз кому, у многих так ) вовремя сменила код доступа в личный кабинет еще во время милой беседы с мошенниками. Хорошо, что не успели ничего украсть. Позвонила в втб, срочно заблокировали все карты и личный кабинет. Сходила в офис, написала всякие заявы. Выдали временную карту, переустановили личный кабинет. Успокоилась. А дальше? Прихожу домой, гружу личный кабинет. Захожу в историю посещений. А там! В промежутке между блокировкой и моим визитом в офис все же кто-то тусил в моем заблокированном (!) личном кабинете. А у меня там , на минуточку, сбережения определённые. Короче снова обращаюсь в банк онлайн, снова блокируем свежевыданную карту и личный кабинет. Заказываю выдачу средств. И снова сижу как на ежах, пока не получу деньги физически на руки...Нафик такой банк. Нафик такую псевдобезопасность.
Бред пьяного индуса))) мамкины хакеры
Шокирующая новость: зная логин и пароль от банка можно получить доступ к аккаунту
Прочтите внимательно, логин и пароль для доступа в ВТБ Онлайн теперь стали не нужны.
Пароль не нужен, банк так решил. Только код из смс. Учитесь читать.