Провёл эксперимент: с помощью получения кода из СМС и знания номера карты можно получить доступ к аккаунту BТБ-онлайн
По мотивам постов
поставил эксперимент:
1) Взял новый чистый телефон, далее Телефон №2 (сеть - только WiFi)
2) Установил Android-клиент ВТБ-Онлайн из Play Market
3) Ввел УНК
Достаем попкорн...
4) Вместо ожидаемого (и требуемого ранее!) приглашения на ввод пароля на основной телефон пришло СМС с кодом, ввод которого на телефоне №2 предоставил мне полный доступ к ВТБ-Онлайн
5) Без необходимости подтверждения от клиента (Телефон №1 больше не нужен) в два клика в приложении на Телефоне №2 осуществлен переход с СМС на PUSH-коды и PUSH-уведомления -- для дальнейшего подтверждения операций Телефон №1 не требуется, уведомления на него больше не поступают.
Бонус: вместо УНК можно ввести номер банковской карты (повторил эксперимент, только в п.3 вместо УНК ввел номер банковской карты - работает).
ИТОГО: полный перехват контроля над аккаунтом ВТБ-Онлайн возможен посредством получения единственного кода из СМС и знания номера карты.
PS: А еще в январе требовалось вводить полный пароль.
Если к вышеизложенному прибавить информацию о доступности перехвата СМС (или смене SIM у "честного" сотрудника оператора связи), то складывается совсем нерадостная картина.
Но зато надо пуш/смс при КАЖДОМ входе если вход не приложением ВТБ а например ДзенМани (который нужен ридонли доступ), и нет - API для приложений вроде ДзенМани не хотят похоже, приходится каждый раз этот код вводить).
Да, зато если есть только логин и пароль но телефон не привязан (аккаунту много лет, нет открытых карт) - то надо идти в офис. Получать карту и привязывать телефон.
Завидую вашей уверенности - предоставлять сторонним сервисам доступ к личному кабинету в Банке.
Комментарий недоступен
Не пользоваться мобильным приложением. Никаким! То, что хочешь хранить в своем почтовом ящике в под'езде храни и в своем телефоне.
Неважно пользуешься приложением или нет. Если вы теряете sim без пин, то приложение установит злоумышленник (ещё правда нужен номер карты, но если украдут сумку, в которой карта с телефоном в котором симка без пина, то все.. Её просто переставят в новое устройство и украдут не только деньги с карты, но и со счетов втб и даже с брокерских. По поводу банка ясно, но я ниже писал, что в новом кабинете отображается и логин втб Инвестиций и номер договора брокера, которые нужны для восстановления доступа к брокер. Т. е. уязвимость банка тянет собой и опасность потере денег на брок. счёте. Хотя в связи с чуть большей сложностью выводиться деньги должны дольше и есть время среагировать, если вы не за границей в это время.
Добавлю к вышеуказанному, что в личном кабинете можно в два клика оформить и потребительский кредит, после чего вывести полученные средства. ВТБ часто любезно предлагает кредитное предложение.
Комментарий недоступен