Провёл эксперимент: с помощью получения кода из СМС и знания номера карты можно получить доступ к аккаунту BТБ-онлайн
По мотивам постов
поставил эксперимент:
1) Взял новый чистый телефон, далее Телефон №2 (сеть - только WiFi)
2) Установил Android-клиент ВТБ-Онлайн из Play Market
3) Ввел УНК
Достаем попкорн...
4) Вместо ожидаемого (и требуемого ранее!) приглашения на ввод пароля на основной телефон пришло СМС с кодом, ввод которого на телефоне №2 предоставил мне полный доступ к ВТБ-Онлайн
5) Без необходимости подтверждения от клиента (Телефон №1 больше не нужен) в два клика в приложении на Телефоне №2 осуществлен переход с СМС на PUSH-коды и PUSH-уведомления -- для дальнейшего подтверждения операций Телефон №1 не требуется, уведомления на него больше не поступают.
Бонус: вместо УНК можно ввести номер банковской карты (повторил эксперимент, только в п.3 вместо УНК ввел номер банковской карты - работает).
ИТОГО: полный перехват контроля над аккаунтом ВТБ-Онлайн возможен посредством получения единственного кода из СМС и знания номера карты.
PS: А еще в январе требовалось вводить полный пароль.
Если к вышеизложенному прибавить информацию о доступности перехвата СМС (или смене SIM у "честного" сотрудника оператора связи), то складывается совсем нерадостная картина.
Здравствуйте! Банк всегда рекомендует своим клиентам ни в коем случае, никому и никогда не сообщать авторизационные данные для входа в личный кабинет. Не сообщать данные банковских карт, кодов, внимательно читать тексты sms-сообщений с кодами подтверждений, проверять реквизиты операций, не переходить по ссылкам на незнакомые ресурсы, использовать только официальные банковские приложения, антивирус, не вступать в диалог в звонке с третьими лицами, которые просят уточнить какую-либо персональную информацию. При поступлении подобных звонков самостоятельно перезванивать в Банк на официальный номер и уточнять актуальность звонка. На своем официальном сайте https://www.vtb.ru/bezopasnost/ Банк рассказывает о видах мошенничества и предупреждает своих клиентов быть предельно осторожными. Мы рекомендуем всем нашим клиентам внимательно ознакомиться со всей информацией, размещенной в разделах безопасности (финансовая безопасность/ школа безопасности). Соблюдая все меры предосторожности, несанкционированных списаний не возникнет.
Когда я заключал договор о дистанционном банковском обслуживании в нем был прописан порядок входа - авторизация по логину+паролю с подтверждением по СМС. Т.е. многоуровневая авторизация, где утечка данных одного элемента не приводит к компрометации всей цепочки.
Далее Банк в одностороннем порядке сменил условия и, фактически, убрал необходимость ввода пароля, да и логина тоже. Об этом я Банк не просил. Насколько эта практика соответствует заключенному ранее между мною и Банком договору —- это еще предстоит проверить.
Банк не может не знать, что содержимое СМС может быть получено третьими лицами вне зависимости от действий и желаний пользователя. При этом, риски и ответственность за противоправные действия третьих лиц, которые стали леко возможны вследствие односторонних решений Банка, Банк на себя не принимает и перекладывает на клиента.
Клиент может быть сколь угодно осторожен, но его это никак не спасет. Мое мнение - Банк реализовал небезопасное решение в угоду "удобства входа" в т.ч. и для третьих лиц.