Провёл эксперимент: с помощью получения кода из СМС и знания номера карты можно получить доступ к аккаунту BТБ-онлайн
По мотивам постов
поставил эксперимент:
1) Взял новый чистый телефон, далее Телефон №2 (сеть - только WiFi)
2) Установил Android-клиент ВТБ-Онлайн из Play Market
3) Ввел УНК
Достаем попкорн...
4) Вместо ожидаемого (и требуемого ранее!) приглашения на ввод пароля на основной телефон пришло СМС с кодом, ввод которого на телефоне №2 предоставил мне полный доступ к ВТБ-Онлайн
5) Без необходимости подтверждения от клиента (Телефон №1 больше не нужен) в два клика в приложении на Телефоне №2 осуществлен переход с СМС на PUSH-коды и PUSH-уведомления -- для дальнейшего подтверждения операций Телефон №1 не требуется, уведомления на него больше не поступают.
Бонус: вместо УНК можно ввести номер банковской карты (повторил эксперимент, только в п.3 вместо УНК ввел номер банковской карты - работает).
ИТОГО: полный перехват контроля над аккаунтом ВТБ-Онлайн возможен посредством получения единственного кода из СМС и знания номера карты.
PS: А еще в январе требовалось вводить полный пароль.
Если к вышеизложенному прибавить информацию о доступности перехвата СМС (или смене SIM у "честного" сотрудника оператора связи), то складывается совсем нерадостная картина.
Не понимаю чего феноменального такого вы тут обнаружили. В альфе к примеру точно так же: берёшь другой телефон, устанавливаешь приложение, вводишь при входе номер телефона потом номер карты/счета, на основной номер приходит смс и все - на 2м телефоне ты так же в приложении. В Росбанке/Промсвязе точно так же, единственный кто просит пароль это Тинькофф. И? Мошеннику 1 фиг чтоб получить доступ ко всему надо одновременно украсть карту с телефоном где последний должен быть не запароленный чтоб прочитать эту смску с кодом.
Это все равно что потерять ключи от дома с адресом на брелке и временем когда тебя нет дома. Конечно можно вытащить симку и вставить в другой телефон но ты на нем же и спалишься имхо !при желании! менты вычислят и у кого он был в пользовании и где сейчас находится даже если выключен или это кнопочная труба.
Один факт остаётся не изменным - нужно 2 исходника: телефон и карта. Карты все сейчас в appl pay, телефон запаролен. Это не значит что я на 100% защищён, но если что случится банки наврятле будут в этом виноваты
Объясню на Вашем примере:
Представьте, что раньше вы входили в "квартиру где деньги лежат" открывая первую дверь двумя разными ключами (которые есть только у Вас), а вторую дверь Вам уже открывал консьерж по звонку на Ваш телефон только после открытия Вами первой двери.
Но вот служба консьержей решила, что отныне ключи не нужны, первая дверь снята с петель, ее больше нет, и для входа в квартиру достаточно только звонка на Ваш телефон.
Какое решение надежнее, как думаете?
В первом случае, чтобы войти в "квартиру где деньги лежат" нужно получить от Вас оба ключа и телефон единовременно, а во втором случае достаточно получить контроль над Вашим телефоном, незаконный перевыпуск SIM-карты которого вы не можете контролировать.
PS: спасибо за информацию о Альфе, туда, значит, тоже ни ногой.
Ваш пример мог бы быть верен если бы не перепутали двери местами. В контексте втб и квартиры ключом служит телефон с смс кодом, а дверь это номер карты. Без заполучения 2х факторов одновременно вам не попасть в онлайн банк (т.е. в квартиру). Но почему то в вашем примере с квартирой дверь (карта) которая открывается вами пропала, чтобы подогнать решение под ответ как будто в квартиру(в мобильный банк) вы попадаете только по смс коду.
Я специально привёл простой пример с обычной квартирой потому что он подходит больше всего т.к. если к примеру вы найдёте ключи на улице толку от этого будет 0 если не знать адрес квартиры.
Да и если углубляться дальше это очень прохладная история что мошенники занимающиеся воровством денег с карт будут заниматься всей этой херней с подменой сим. Тут нужно ещё больше факторов - нужен продажный сотрудник оператора который перевыпустит сим(я хз насколько это возможно), и сотрудник банка который сольёт номера карт и авторизует подмену сим (с таким же успехом он может номер на любой нужный изменить и ждать СЭБ) . Второму в случае чего влетит в разы больше так как подписывает соглашение с банком о неразлашении, а проверяется это все на раз два т.к. все что ты делаешь на рабочем столе пишется.
А эти мошенники психологи, а не хакеры
В моем примере номер карты не задействован намеренно, т.к. он не может/должен являться ключом/дверью по причине того, что его сохранность/конфиденциальность от действий клиента не зависит.
Номер находится открытом виде с момента изготовления карты еще до ее выдачи вам, используется при оплате товаров и услуг онлайн (да, в идеальном мире по PCI DSS сервисы не должны его сохранять, но в реальности это не так).
Поэтому я и прошу вернуть нормальную многоуровневую авторизацию, которая была при заключении договора.
Как примеры утечек, ставших известными публично (см. infowatch):
Комментарий недоступен
Почти невозможно доказать ?) Ты походу то ли совсем дурак или просто тут себе нашёл флудилку где можно все от балды писать что сам нафантазировал ?. Это доказывается на раз-два логами с компа хотябы. Не говоря о том сколько камер над каждым рабочим местом висит и как быстро «кому надо» приходят отбойники если не туда зашёл . В случае чего собственная сб банка хватанёт за жопу первее ментов чтобы свою организацию не подставлять и дыру прикрыть для таких наивных.
Комментарий недоступен