{"id":14277,"url":"\/distributions\/14277\/click?bit=1&hash=17ce698c744183890278e5e72fb5473eaa8dd0a28fac1d357bd91d8537b18c22","title":"\u041e\u0446\u0438\u0444\u0440\u043e\u0432\u0430\u0442\u044c \u043b\u0438\u0442\u0440\u044b \u0431\u0435\u043d\u0437\u0438\u043d\u0430 \u0438\u043b\u0438 \u0437\u043e\u043b\u043e\u0442\u044b\u0435 \u0443\u043a\u0440\u0430\u0448\u0435\u043d\u0438\u044f","buttonText":"\u041a\u0430\u043a?","imageUuid":"771ad34a-9f50-5b0b-bc84-204d36a20025"}
Приёмная
xvt123

Провёл эксперимент: с помощью получения кода из СМС и знания номера карты можно получить доступ к аккаунту BТБ-онлайн

По мотивам постов

Мошенники, действующие от имени банка ВТБ…
Кредитные карты с кешбек и скидками очень удобно, но опасно, даже если она лежит в домашнем сейфе…
vc.ru
Android-клиент банка ВТБ показывает уведомления…
Поступают уведомления обо всех операциях другого клиента банка ВТБ в виде всплывающих сообщений…
vc.ru

поставил эксперимент:

1) Взял новый чистый телефон, далее Телефон №2 (сеть - только WiFi)

2) Установил Android-клиент ВТБ-Онлайн из Play Market

3) Ввел УНК

Достаем попкорн...

4) Вместо ожидаемого (и требуемого ранее!) приглашения на ввод пароля на основной телефон пришло СМС с кодом, ввод которого на телефоне №2 предоставил мне полный доступ к ВТБ-Онлайн

5) Без необходимости подтверждения от клиента (Телефон №1 больше не нужен) в два клика в приложении на Телефоне №2 осуществлен переход с СМС на PUSH-коды и PUSH-уведомления -- для дальнейшего подтверждения операций Телефон №1 не требуется, уведомления на него больше не поступают.

Купить рекламу Отключить

Бонус: вместо УНК можно ввести номер банковской карты (повторил эксперимент, только в п.3 вместо УНК ввел номер банковской карты - работает).

ИТОГО: полный перехват контроля над аккаунтом ВТБ-Онлайн возможен посредством получения единственного кода из СМС и знания номера карты.

PS: А еще в январе требовалось вводить полный пароль.

Если к вышеизложенному прибавить информацию о доступности перехвата СМС (или смене SIM у "честного" сотрудника оператора связи), то складывается совсем нерадостная картина.

Как взломать Telegram и WhatsApp: спецслужбы не…
На прошлой неделе общественность взбудоражила новость о возможной причастности спецслужб к взлому…
m.habr.com

Вместо заключения: ВТБ - верните нормальную многоуровневую авторизацию!

#жалобавтб

10 показов
41K открытий
0
131 комментарий
Написать комментарий...
Показать всё . Вы видите только часть дискуссии
 Светлана Юрасова

То есть все таки нужны цифры из СМС. У автора все получилось потому, что все два телефона были его личные и в его распоряжении.
Откуда же мошенник возьмёт эти цифры из СМС, если их ему никто не скажет?

Ответить
Развернуть ветку
Ирина Стасюк

У меня 2 телефона, на одном (кнопочном) установлена симка привязанная к банкам, он всегда лежит дома. А на втором (смартфоне ) установлены мобильные приложения банков. Так вот Сбер, при подтверждении некоторых операций, присылает не СМС на банковскую симку (которая лежит дома), а PUSH на смартфон, на котором установлено приложение. Хотя в настройках выбраны СМС уведомления и номер смартфона Сберу не сообщался.

Ответить
Развернуть ветку
Сбер

Коды для подтверждения покупок в интернете могут поступать в виде PUSH-уведомлений в приложении СберБанк Онлайн (только на андроид). То есть они направляются не на ваш второй номер телефона, а именно в самом приложении

Ответить
Развернуть ветку
Показать 131 комментарий . Вы видите только часть дискуссии
Написать комментарий...
128 комментариев
Раскрывать всегда