Провёл эксперимент: с помощью получения кода из СМС и знания номера карты можно получить доступ к аккаунту BТБ-онлайн
По мотивам постов
поставил эксперимент:
1) Взял новый чистый телефон, далее Телефон №2 (сеть - только WiFi)
2) Установил Android-клиент ВТБ-Онлайн из Play Market
3) Ввел УНК
Достаем попкорн...
4) Вместо ожидаемого (и требуемого ранее!) приглашения на ввод пароля на основной телефон пришло СМС с кодом, ввод которого на телефоне №2 предоставил мне полный доступ к ВТБ-Онлайн
5) Без необходимости подтверждения от клиента (Телефон №1 больше не нужен) в два клика в приложении на Телефоне №2 осуществлен переход с СМС на PUSH-коды и PUSH-уведомления -- для дальнейшего подтверждения операций Телефон №1 не требуется, уведомления на него больше не поступают.
Бонус: вместо УНК можно ввести номер банковской карты (повторил эксперимент, только в п.3 вместо УНК ввел номер банковской карты - работает).
ИТОГО: полный перехват контроля над аккаунтом ВТБ-Онлайн возможен посредством получения единственного кода из СМС и знания номера карты.
PS: А еще в январе требовалось вводить полный пароль.
Если к вышеизложенному прибавить информацию о доступности перехвата СМС (или смене SIM у "честного" сотрудника оператора связи), то складывается совсем нерадостная картина.
Не понимаю чего феноменального такого вы тут обнаружили. В альфе к примеру точно так же: берёшь другой телефон, устанавливаешь приложение, вводишь при входе номер телефона потом номер карты/счета, на основной номер приходит смс и все - на 2м телефоне ты так же в приложении. В Росбанке/Промсвязе точно так же, единственный кто просит пароль это Тинькофф. И? Мошеннику 1 фиг чтоб получить доступ ко всему надо одновременно украсть карту с телефоном где последний должен быть не запароленный чтоб прочитать эту смску с кодом.
Это все равно что потерять ключи от дома с адресом на брелке и временем когда тебя нет дома. Конечно можно вытащить симку и вставить в другой телефон но ты на нем же и спалишься имхо !при желании! менты вычислят и у кого он был в пользовании и где сейчас находится даже если выключен или это кнопочная труба.
Один факт остаётся не изменным - нужно 2 исходника: телефон и карта. Карты все сейчас в appl pay, телефон запаролен. Это не значит что я на 100% защищён, но если что случится банки наврятле будут в этом виноваты
Объясню на Вашем примере:
Представьте, что раньше вы входили в "квартиру где деньги лежат" открывая первую дверь двумя разными ключами (которые есть только у Вас), а вторую дверь Вам уже открывал консьерж по звонку на Ваш телефон только после открытия Вами первой двери.
Но вот служба консьержей решила, что отныне ключи не нужны, первая дверь снята с петель, ее больше нет, и для входа в квартиру достаточно только звонка на Ваш телефон.
Какое решение надежнее, как думаете?
В первом случае, чтобы войти в "квартиру где деньги лежат" нужно получить от Вас оба ключа и телефон единовременно, а во втором случае достаточно получить контроль над Вашим телефоном, незаконный перевыпуск SIM-карты которого вы не можете контролировать.
PS: спасибо за информацию о Альфе, туда, значит, тоже ни ногой.
Ваш пример мог бы быть верен если бы не перепутали двери местами. В контексте втб и квартиры ключом служит телефон с смс кодом, а дверь это номер карты. Без заполучения 2х факторов одновременно вам не попасть в онлайн банк (т.е. в квартиру). Но почему то в вашем примере с квартирой дверь (карта) которая открывается вами пропала, чтобы подогнать решение под ответ как будто в квартиру(в мобильный банк) вы попадаете только по смс коду.
Я специально привёл простой пример с обычной квартирой потому что он подходит больше всего т.к. если к примеру вы найдёте ключи на улице толку от этого будет 0 если не знать адрес квартиры.
Да и если углубляться дальше это очень прохладная история что мошенники занимающиеся воровством денег с карт будут заниматься всей этой херней с подменой сим. Тут нужно ещё больше факторов - нужен продажный сотрудник оператора который перевыпустит сим(я хз насколько это возможно), и сотрудник банка который сольёт номера карт и авторизует подмену сим (с таким же успехом он может номер на любой нужный изменить и ждать СЭБ) . Второму в случае чего влетит в разы больше так как подписывает соглашение с банком о неразлашении, а проверяется это все на раз два т.к. все что ты делаешь на рабочем столе пишется.
А эти мошенники психологи, а не хакеры
В моем примере номер карты не задействован намеренно, т.к. он не может/должен являться ключом/дверью по причине того, что его сохранность/конфиденциальность от действий клиента не зависит.
Номер находится открытом виде с момента изготовления карты еще до ее выдачи вам, используется при оплате товаров и услуг онлайн (да, в идеальном мире по PCI DSS сервисы не должны его сохранять, но в реальности это не так).
Поэтому я и прошу вернуть нормальную многоуровневую авторизацию, которая была при заключении договора.
Как примеры утечек, ставших известными публично (см. infowatch):