Провёл эксперимент: с помощью получения кода из СМС и знания номера карты можно получить доступ к аккаунту BТБ-онлайн
По мотивам постов
поставил эксперимент:
1) Взял новый чистый телефон, далее Телефон №2 (сеть - только WiFi)
2) Установил Android-клиент ВТБ-Онлайн из Play Market
3) Ввел УНК
Достаем попкорн...
4) Вместо ожидаемого (и требуемого ранее!) приглашения на ввод пароля на основной телефон пришло СМС с кодом, ввод которого на телефоне №2 предоставил мне полный доступ к ВТБ-Онлайн
5) Без необходимости подтверждения от клиента (Телефон №1 больше не нужен) в два клика в приложении на Телефоне №2 осуществлен переход с СМС на PUSH-коды и PUSH-уведомления -- для дальнейшего подтверждения операций Телефон №1 не требуется, уведомления на него больше не поступают.
Бонус: вместо УНК можно ввести номер банковской карты (повторил эксперимент, только в п.3 вместо УНК ввел номер банковской карты - работает).
ИТОГО: полный перехват контроля над аккаунтом ВТБ-Онлайн возможен посредством получения единственного кода из СМС и знания номера карты.
PS: А еще в январе требовалось вводить полный пароль.
Если к вышеизложенному прибавить информацию о доступности перехвата СМС (или смене SIM у "честного" сотрудника оператора связи), то складывается совсем нерадостная картина.
Успокойтесь уже, никто никого не взламывает через сотовую сеть. И тем более нет смысла заниматься перевыпуском сим карты, потому что для этого нужно иметь личное знакомство с манагером салона, что автоматом приведет к мошеннику полицаев, а у абонента симка мгновенно перестанет работать.
Им вообще не зачем реализовывать сложные схемы, когда мамонты и так говорят код по телефону "роботу после звуковых сигналов" или заходят в "личный кабинет втб" через поисковики, в которых половина серпа это фишинговые сайты.
Согласен с Вами на 99.9%, но лично мне не хотелось бы попасть в условные 0.1% случаев с "манагером салона" (да, его, вероятнее всего, поймают, может даже посадят, а может он и подельников сдаст) — денег это мне не вернет. Поэтому я и прошу вернуть нормальную авторизацию, которая защищала меня от такого сценария.
А вы когда нибудь перевыпускали симки? Там сутки смс не приходят. Так что вариант перевыпуска, не стоит так сильно опасаться. За сутки, думаю вы поймёте, что ваша симка заблокирована.
Не у всех операторов. Мегафон, например, не блокирует:
У меня мегафон, дважды менял и оба раза блокировали. Последний раз в 20-м году менял, было так. Утверждать не буду, может опять чего-то поменяли. Хз.