Провёл эксперимент: с помощью получения кода из СМС и знания номера карты можно получить доступ к аккаунту BТБ-онлайн
По мотивам постов
поставил эксперимент:
1) Взял новый чистый телефон, далее Телефон №2 (сеть - только WiFi)
2) Установил Android-клиент ВТБ-Онлайн из Play Market
3) Ввел УНК
Достаем попкорн...
4) Вместо ожидаемого (и требуемого ранее!) приглашения на ввод пароля на основной телефон пришло СМС с кодом, ввод которого на телефоне №2 предоставил мне полный доступ к ВТБ-Онлайн
5) Без необходимости подтверждения от клиента (Телефон №1 больше не нужен) в два клика в приложении на Телефоне №2 осуществлен переход с СМС на PUSH-коды и PUSH-уведомления -- для дальнейшего подтверждения операций Телефон №1 не требуется, уведомления на него больше не поступают.
Бонус: вместо УНК можно ввести номер банковской карты (повторил эксперимент, только в п.3 вместо УНК ввел номер банковской карты - работает).
ИТОГО: полный перехват контроля над аккаунтом ВТБ-Онлайн возможен посредством получения единственного кода из СМС и знания номера карты.
PS: А еще в январе требовалось вводить полный пароль.
Если к вышеизложенному прибавить информацию о доступности перехвата СМС (или смене SIM у "честного" сотрудника оператора связи), то складывается совсем нерадостная картина.
я думаю картой можно пользоваться только не подключая комплексное обслуживание с втб-онлайнами и мобильным приложением, чтоб нельзя было управлять счетом с телефона в принципе. Потому что при таком дырявом приложении и предодобренных кредитах в один клик вы рано или поздно попадете на деньги.
Да и тут не все так просто с втб. Советую позвонить в банк и запретить вход в личный кабинет через банкомат и восстановление пароля через банкомат.
Если у вас вытащат карту из сумки/кармана подсмотрев, скажем на кассе, когда вы расплачивались, пин, то через банкомат злоумышленник получит доступ ко всем счетам, а не только деньгам на карте.
Одно дело вы теряете деньги на карте и в потерянном кошельке и совсем другое, что лишиться всех денег со счетов в этом дырявом банке. Тут подробней:
https://www.banki.ru/services/responses/bank/response/10139405/