Провёл эксперимент: с помощью получения кода из СМС и знания номера карты можно получить доступ к аккаунту BТБ-онлайн
По мотивам постов
поставил эксперимент:
1) Взял новый чистый телефон, далее Телефон №2 (сеть - только WiFi)
2) Установил Android-клиент ВТБ-Онлайн из Play Market
3) Ввел УНК
Достаем попкорн...
4) Вместо ожидаемого (и требуемого ранее!) приглашения на ввод пароля на основной телефон пришло СМС с кодом, ввод которого на телефоне №2 предоставил мне полный доступ к ВТБ-Онлайн
5) Без необходимости подтверждения от клиента (Телефон №1 больше не нужен) в два клика в приложении на Телефоне №2 осуществлен переход с СМС на PUSH-коды и PUSH-уведомления -- для дальнейшего подтверждения операций Телефон №1 не требуется, уведомления на него больше не поступают.
Бонус: вместо УНК можно ввести номер банковской карты (повторил эксперимент, только в п.3 вместо УНК ввел номер банковской карты - работает).
ИТОГО: полный перехват контроля над аккаунтом ВТБ-Онлайн возможен посредством получения единственного кода из СМС и знания номера карты.
PS: А еще в январе требовалось вводить полный пароль.
Если к вышеизложенному прибавить информацию о доступности перехвата СМС (или смене SIM у "честного" сотрудника оператора связи), то складывается совсем нерадостная картина.
Если денег на карте нет, кредиток нет и кредит мне никто не одобрит по причине плохой истории, но есть брокерский счет - можно не париться из-за этой дыры?
В инвестиционное приложение так легко же не попасть?
Комментарий недоступен
читая цепочку статей о мошенничествах уже паранойя начинает развиваться потихоньку :) все ж топовые банки по очереди засветились с негативом.
И главное нет железобетонной схемы защиты.
Комментарий недоступен
В инвестициях ВТБ из-за нового банковского приложения тоже дыра. Ведь для восстановления пароля в приложении ВТБ Инвестиции требуется номер договора, логин и пароль из смс. И то и то в кабинете БАНКА отображаются. Теоретически, если теряешь SIM и банк. карту (а нужен только её номер), то сначала злоумышлиник восстанавливает вход в мобильное приложение банка с помощью одной смс без пароля и номера карты, т. к. в приложении он не нужен для входа с нового устройства. Потом осуществляет вход на сайт посредством функции "быстрый вход по qr" на компьютере наведя qr приложения банка в на qr на сайте https://online.vtb.ru через пк. А далее в личном кабинете смотрите логин Инвестиций и номер договора, потом идёте на сайт инвестиций и восстанавливаете с этими данными доступ к Инвестициям втб. От так вот малята:)) Создаётся впечатление, что в ВТБ работают двоишники. Даже если попросить заблокировать приложение для мобильного, вход по qr все равно работает с "заблокированного" моб. приложения. Я им писал на банки. ру https://www.banki.ru/services/responses/bank/response/10476019/comments/1/#respcomment6123091они делают вид, что не поняли о чем им втолковывают.
ну раз БанкОнлайн дыряв, то если окажется что и в инвестиции еще зайти легко, то печаль-беда же. Продажа активов - вывод на карту, потом через БО перевод куда хочет мошенник. Тут спасет только медлительность самого вывода :) у меня как-то сутки заняло.
Комментарий недоступен
В брокера втб сейчас вход одним коиком через дырявый втб онлайн.