Провёл эксперимент: с помощью получения кода из СМС и знания номера карты можно получить доступ к аккаунту BТБ-онлайн
По мотивам постов
поставил эксперимент:
1) Взял новый чистый телефон, далее Телефон №2 (сеть - только WiFi)
2) Установил Android-клиент ВТБ-Онлайн из Play Market
3) Ввел УНК
Достаем попкорн...
4) Вместо ожидаемого (и требуемого ранее!) приглашения на ввод пароля на основной телефон пришло СМС с кодом, ввод которого на телефоне №2 предоставил мне полный доступ к ВТБ-Онлайн
5) Без необходимости подтверждения от клиента (Телефон №1 больше не нужен) в два клика в приложении на Телефоне №2 осуществлен переход с СМС на PUSH-коды и PUSH-уведомления -- для дальнейшего подтверждения операций Телефон №1 не требуется, уведомления на него больше не поступают.
Бонус: вместо УНК можно ввести номер банковской карты (повторил эксперимент, только в п.3 вместо УНК ввел номер банковской карты - работает).
ИТОГО: полный перехват контроля над аккаунтом ВТБ-Онлайн возможен посредством получения единственного кода из СМС и знания номера карты.
PS: А еще в январе требовалось вводить полный пароль.
Если к вышеизложенному прибавить информацию о доступности перехвата СМС (или смене SIM у "честного" сотрудника оператора связи), то складывается совсем нерадостная картина.
Для далеких это было еще в мае 2020!
Упрощенный вход раньше сделали. В мае они пошли дальше - можно через втб онлайн одним кликом войти в брокерский счет и управлять им. А то мошенники жаловались, что баланс брок. счета показывает, а обчистить его тяжело. Теперь исправили.
А они что, еще что-то упростили в плане входа брок. счета? Я не нашел как войти в один клик в брокерский кабинет.
Сам бодался с ВТБ, писал в банки.ру и другие ресурсы, чтобы убрали вход по QR, после того как клиент заблокировал через работу моб. приложение обращением в банк ( https://www.banki.ru/services/responses/bank/response/10476019/ ) , но бесполезно.
Пока самый надежный вариант, это отдельная симкарта, лежащая дома. Причем желательно симка какого-нибудь виртуального оператора, связанного с банком (чтобы уменьшить риск перевыпуска карты) вроде СберМобайла, ВТБМобайла или ТинькоффМобайла. Тут тоже пост делал https://smart-lab.ru/blog/676495.php
Вообще думал запилить еще на VC, т.к. тем больше резонанса, тем скорей обратят внимание и зашевеляться, но руки пока не дошли.
Вот сия прекрасная новость: https://www.banki.ru/news/lenta/?id=10946489
Видимо, пока не для всех клиентов работает, но скоро "исправят". Функция необходима, так как поступает много жалоб от мошенников: брокерский счет видно, а обчистить его нельзя. Требуется дурацкий пароль. Банк решил пойти навстречу.
Это жесть какая-то. Особено меня "радует" фраза "за два года число брокерских счетов в России выросло в пять раз... Наша задача — сделать так, чтобы управлять своими сбережениями клиентам ВТБ было максимально удобно."
Ну увАжили, конечно. Раньше краж с брокерских счетов не было в маштабах, но теперь в связи распространением и таких вот подарков мошенникам, думаю скоро увидим.
Спасибо любимому ВТБ.