{"id":6543,"title":"\u041a\u0430\u043a \u043d\u0430 \u0441\u0442\u0430\u0440\u0442\u0435 \u0431\u0438\u0437\u043d\u0435\u0441\u0430 \u043d\u0435 \u0443\u0442\u043e\u043d\u0443\u0442\u044c \u0432 \u043e\u043c\u0443\u0442\u0435 \u043d\u0435\u043e\u0442\u043b\u043e\u0436\u043d\u044b\u0445 \u0434\u0435\u043b","url":"\/redirect?component=advertising&id=6543&url=https:\/\/vc.ru\/promo\/290554-tysyacha-i-odna-zadacha-kak-na-starte-biznesa-ne-utonut-v-omute-neotlozhnyh-del&placeBit=1&hash=06bd19bac10eff65d557e51eff7ad526506f48be933870c667bd0bcd7a476220","isPaidAndBannersEnabled":false}
Приёмная
xvt123

Провёл эксперимент: с помощью получения кода из СМС и знания номера карты можно получить доступ к аккаунту BТБ-онлайн

По мотивам постов

поставил эксперимент:

1) Взял новый чистый телефон, далее Телефон №2 (сеть - только WiFi)

2) Установил Android-клиент ВТБ-Онлайн из Play Market

3) Ввел УНК

Достаем попкорн...

4) Вместо ожидаемого (и требуемого ранее!) приглашения на ввод пароля на основной телефон пришло СМС с кодом, ввод которого на телефоне №2 предоставил мне полный доступ к ВТБ-Онлайн

5) Без необходимости подтверждения от клиента (Телефон №1 больше не нужен) в два клика в приложении на Телефоне №2 осуществлен переход с СМС на PUSH-коды и PUSH-уведомления -- для дальнейшего подтверждения операций Телефон №1 не требуется, уведомления на него больше не поступают.

Бонус: вместо УНК можно ввести номер банковской карты (повторил эксперимент, только в п.3 вместо УНК ввел номер банковской карты - работает).

ИТОГО: полный перехват контроля над аккаунтом ВТБ-Онлайн возможен посредством получения единственного кода из СМС и знания номера карты.

PS: А еще в январе требовалось вводить полный пароль.

Если к вышеизложенному прибавить информацию о доступности перехвата СМС (или смене SIM у "честного" сотрудника оператора связи), то складывается совсем нерадостная картина.

Вместо заключения: ВТБ - верните нормальную многоуровневую авторизацию!

{ "author_name": "xvt123", "author_type": "self", "tags": ["\u0436\u0430\u043b\u043e\u0431\u0430\u0432\u0442\u0431"], "comments": 121, "likes": 50, "favorites": 23, "is_advertisement": false, "subsite_label": "claim", "id": 222356, "is_wide": true, "is_ugc": true, "date": "Thu, 18 Mar 2021 22:29:01 +0300", "is_special": false }
0
121 комментарий
Популярные
По порядку
Написать комментарий...

У меня была такая ситуация с втб. В итоге я заблокировал счет через поддержку, а когда обратился в отделение банка чтобы открыть счет, то мне сказали что не могут этого сделать, не объясняя причин. В общем они меня навсегда защитили от своего банка)))

15

история из первых уст: мама моя 9 сентября положила в ВТБ деньги на накопительный счёт. Ей была отправлена СМС со ссылкой на приложение. Не сразу, может на следующий день попробовала установить личный кабинет, не получилось. Решила дождаться меня из отпуска. Я вернулась 21го, у меня тоже не получилось установить. 22го мама пошла в банк, там ей установили приложение, она заходит, а там денег на 95 тысяч меньше. Пошла в банк разбираться. Оказалось, что 11 сентября с ее счета были списаны деньги за какую-то автоуслугу в пользу физ.лица в сбер в Новосибе. Просматривая смс от банка, увидели, что в день открытия счета какое то Anknown устройство получило доступ к пуш уведомлениям и слило деньги. Причем смс русскими словами, но на латинице, сразу и не разберёшь. Банк пожимает плечами. Написали заявление в банк и в полиции. Прошло полгода. С банка отписки "мы не виноваты". Из полиции вообще тишина

7

Для далеких это было еще в мае 2020!

6

Упрощенный вход раньше сделали. В мае они пошли дальше - можно через втб онлайн одним кликом войти в брокерский счет и управлять им. А то мошенники жаловались, что баланс брок. счета показывает, а обчистить его тяжело. Теперь исправили. ред.

2

А они что, еще что-то упростили в плане входа брок. счета? Я не нашел как войти в один клик в брокерский кабинет.
Сам бодался с ВТБ, писал в банки.ру и другие ресурсы, чтобы убрали вход по QR, после того как клиент заблокировал через работу моб. приложение обращением в банк ( https://www.banki.ru/services/responses/bank/response/10476019/ ) , но бесполезно.
Пока самый надежный вариант, это отдельная симкарта, лежащая дома. Причем желательно симка какого-нибудь виртуального оператора, связанного с банком (чтобы уменьшить риск перевыпуска карты) вроде СберМобайла, ВТБМобайла или ТинькоффМобайла. Тут тоже пост  делал https://smart-lab.ru/blog/676495.php
Вообще думал запилить еще на VC, т.к. тем больше резонанса, тем скорей обратят внимание и зашевеляться, но руки пока не дошли.

0

Вот сия прекрасная новость: https://www.banki.ru/news/lenta/?id=10946489

Видимо, пока не для всех клиентов работает, но скоро "исправят". Функция необходима, так как поступает много жалоб от мошенников: брокерский счет видно, а обчистить его нельзя. Требуется дурацкий пароль. Банк решил пойти навстречу.

1

Это жесть какая-то. Особено меня "радует" фраза "за два года число брокерских счетов в России выросло в пять раз... Наша задача — сделать так, чтобы управлять своими сбережениями клиентам ВТБ было максимально удобно."
Ну увАжили, конечно. Раньше краж с брокерских счетов не было в маштабах, но теперь в связи распространением и таких вот подарков мошенникам, думаю скоро увидим.
Спасибо любимому ВТБ. ред.

1

Ну емае... Что не банк, то прикол. *бормоча неразборчиво, но вполне понятно, перевела последние копейки из банков в стеклянную банку"

5

Ответ банка - самое грустное что есть в этой ветке...

4

Успокойтесь уже, никто никого не взламывает через сотовую сеть. И тем более нет смысла заниматься перевыпуском сим карты, потому что для этого нужно иметь личное знакомство с манагером салона, что автоматом приведет к мошеннику полицаев, а у абонента симка мгновенно перестанет работать.

Им вообще не зачем реализовывать сложные схемы, когда мамонты и так говорят код по телефону "роботу после звуковых сигналов" или заходят в "личный кабинет втб" через поисковики, в которых половина серпа это фишинговые сайты. ред.

0

Согласен с Вами на 99.9%, но лично мне не хотелось бы попасть в условные 0.1% случаев с "манагером салона" (да, его, вероятнее всего, поймают, может даже посадят, а может он и подельников сдаст) — денег это мне не вернет. Поэтому я и прошу вернуть нормальную авторизацию, которая защищала меня от такого сценария.

5

Тут я полностью ЗА, мне лично не хватает и дополнительных паролей на вход кроме смс, и возможности через те же токены аутентификаторов настраивать.

0

А вы когда нибудь перевыпускали симки? Там сутки смс не приходят. Так что вариант перевыпуска, не стоит так сильно опасаться. За сутки, думаю вы поймёте, что ваша симка заблокирована.

0

У меня мегафон, дважды менял и оба раза блокировали. Последний раз в 20-м году менял, было так. Утверждать не буду, может опять чего-то поменяли. Хз.

0

Хрень написал. Во-первых, схема рабочая. Во-вторых "манагеров" по всей стране тысячи – не договоришься с одним, получится с другим. Полиция вообще лол, либо ничего не делают, либо хрен докажешь, что есть какая-то связь.

0

Вроде бы вот это отключает часть(!) функционала "безопашливость".
У втб конечно какая-то шляпа с безопасностью, то лимиты которые  можно поставить, но  они не работают в старой версии ИБ, то пинкод банкоматы не проверяют то еще что-то странное...

0

Эта функция отключает восстановление пароля. Только вот после выхода их нового приложения, "над которым работало более 200 человек"  пароль просто не нужен. Авторизиризация в моб. приложении происходит по смс.
Более того,  даже если через колл центр заблокировать моб. приложение, как я делал, авторизация через qr в якобы "заблокированном" приложении продолжает работать, просто наведите на qr на сайте через кнопку быстрый вход и получите полный доступ в кабинет.
https://www.banki.ru/services/responses/bank/response/10476019/ только недавно написал про это отзыв, но банк делает вид, что не понимает сути претензии.
Причем мне именно поддержка втб-банка и посоветовала заблокировать моб. приложение, чтобы без знания пароля нельзя было авторизироваться. И при этом они и сами не знали, что авторизация по qr и дальше работает из "заблоченного" техподдержкой приложения и пароль не нужен для входа в личный кабинет с помощью моб. приложения. ред.

6

Да, я как раз про вот такие истории. Очень серьёзно не додумали.
А вот раньше были одноразовые коды с карточкой... Эх...
А главное что уровень безопасности выбрать то нельзя и положение тумблера 'удобство-безопасность'  приварено намертво...

5

Банк не делает вид что "не понимает", там такая техподдержка, которая действительно не понимает.

Пример из моего общения с ними:
Я: прилагаю скриншоты 2021г. с уведомлениями об операциях другого клиента, которые отображаются у меня. Имя файла вида Screenshot_2021-01-11-10-43-33, где время в формате ГГГГ-ММ-ДД-ЧЧ-ММ-СС на момент снятия скриншота с экрана
....проходит 16 дней...
Банк: Вопрос в работе, потребовались дополнительные данные: просим уточнить в какое время (по московскому времени) сделаны скриншоты. Ответить просим с сохранением переписки.
Я: Отвечая на ваш запрос сообщаю, что запрашиваемая Вами информация изначально содержится в моем исходном сообщении, а именно: «Имя файла вида Screenshot_2021-01-11-10-43-33, где время в формате ГГГГ-ММ-ДД-ЧЧ-ММ-СС на момент снятия скриншота с экрана.» Время по Московскому времени.
Банк: За указанные даты и время сессии отсутствуют. Время на скриншотах указано по московскому времени?
Я: Да, время указано по московскому времени <Еще раз всю ситуацию с начала описываю>

2

Я в октябре 2020 им об этом написал. После долгой переписки ни о чем их ответ был, "Мы постоянно работаем над совершенствованием систем и процессов, чтобы обеспечить безопасность финансов клиентов, а также исключить возможность мошеннических действий". Занавес. ред.

1

Оставил обращение по поводу входа по QR. Чем больше будет однотипных обращений, тем быстрей исправят. ред.

0

По данному вопросу на мое обращение Банк ВТБ предложил мне расторгнуть ДКО.

0

Мне они, после того, как я написал комментарий сюда, дали ответ, что учли и исправят данный недочёт. Может отписка стандартная. Подожду неск. месяцев и напишу отдельный пост, если не поправят. Все-таки vc они просматривают.  ред.

0

Когда-то у ВТБ было все нормально с безопасностью, но несколько неудобно. Теперь удобно, но небезопасно. С некоторым "удобством" в части первичной идентификации они уж совсем перегнули - настройка делается один раз, можно не упрощать до такого уровня.

2

Здравствуйте! Банк всегда рекомендует своим клиентам ни в коем случае, никому и никогда не сообщать авторизационные данные для входа в личный кабинет. Не сообщать данные банковских карт, кодов, внимательно читать тексты sms-сообщений с кодами подтверждений, проверять реквизиты операций, не переходить по ссылкам на незнакомые ресурсы, использовать только официальные банковские приложения, антивирус, не вступать в диалог в звонке с третьими лицами, которые просят уточнить какую-либо персональную информацию. При поступлении подобных звонков самостоятельно перезванивать в Банк на официальный номер и уточнять актуальность звонка. На своем официальном сайте https://www.vtb.ru/bezopasnost/ Банк рассказывает о видах мошенничества и предупреждает своих клиентов быть предельно осторожными. Мы рекомендуем всем нашим клиентам внимательно ознакомиться со всей информацией, размещенной в разделах безопасности (финансовая безопасность/ школа безопасности). Соблюдая все меры предосторожности, несанкционированных списаний не возникнет.

–13

Когда я заключал договор о дистанционном банковском обслуживании в нем был прописан порядок входа - авторизация по логину+паролю с подтверждением по СМС. Т.е. многоуровневая авторизация, где утечка данных одного элемента не приводит к компрометации всей цепочки.

Далее Банк в одностороннем порядке сменил условия и, фактически, убрал необходимость ввода пароля, да и логина тоже. Об этом я Банк не просил. Насколько эта практика соответствует заключенному ранее между мною и Банком договору —- это еще предстоит проверить.

Банк не может не знать, что содержимое СМС может быть получено третьими лицами вне зависимости от действий и желаний пользователя. При этом, риски и ответственность за противоправные действия третьих лиц, которые стали леко возможны вследствие односторонних решений Банка,  Банк на себя не принимает и перекладывает на клиента.

Клиент может быть сколь угодно осторожен, но его это никак не спасет. Мое мнение - Банк реализовал небезопасное решение в угоду "удобства входа"  в т.ч. и для третьих лиц.

7

Ваши сотрудники делают вид, что не понимают вопроса и ответили не по существу задаваемого вопроса. Заблокировал приложение через поддержку банка, что бы возможнен был  вход только по паролю через сайт втб. (восстановление также пароля включено) https://www.banki.ru/services/responses/bank/response/10476019/?ref=vc.ru
Т. е. теперь не должна работать функция входа в мобильное приложение. 
Так вот, в заблокированной приложении вход осуществляется хотя и не работают переводы, Но жирное НОО,  кнопка qr осталась активна в телефоне и если я нажму её и наведу на сайте банка на qr быстрого входа, то происходит вход  уже на компьютере и я могу совершать все те операции, что вы заблокировали без знанич пароля, но уже с компьютера т. к. я авторизировался по qr. 
Логично ведь, что если вы блокирует приложение, то нужно и заблокировать кнопку  qr, а не только переводы. А ещё лучше, вообще запретить авторизацию с моб. приложении, а не частично и не так криво раз я подал такую заявку. ред.

3

Уважаемый ВТБ вход в мобильный банк это калитка в чистом поле 
Правильная авторизации должна выглядеть так!
1. Вводим логин (унк) (номер карты, телефона)
2. Вводим пароль (при правильном пароле приходит смс с кодом подтверждения)
3 Вводим код подтверждения

Ситуация потерял телефон украли вытащили и т.д
Сим карту извлекли так как телефон заблокирован
Скачали ВТБ онлайн 
Ввели "логин" и код из смс
Получили доступ!!!!
Если бы был пароль перед этим никто смс не получит так как не знают пароль!!! Соответственно не смогут войти в мобильный клиент!
Сделайте пожалуйста!!! Связку
Логин
Пароль
Код смс

2

Раньше у ВТБ так и было, нормальная многоуровневая авторизация.
Видимо, Банком принято решение о том, что рост клиентской массы и упрощение операций важнее безопасности клиентов ("логичное", кстати, решение: риски -  клиентам, деньги - банку).

2

Ставь пин-код на симку

1

Это не защищает от перевыпуска симки или от выхватывания из рук разблокированного телефона. Авторизация по одной смс это дыра в безопасности.

0

Погодите, 
не понял как получили код из смс после того вытащили сим-карту?

0

Вставили сим-карту в другой телефон

0

На сим-карте не было пароля?

0
Грандиозный самолет

А планируется ли делать официальный API  для того чтобы дать другим приложениям  доступ на чтение к истории операций? Для физиков.
Причем вы ведь в курсе зачем они нужны - https://www.vtb.ru/o-banke/press-centr/novosti-i-press-relizy/2019/10/2019-10-11-v-bankovskom-sektore-rossii-nachinaetsya-api-transformatciia/

0

Думаю, маловерятно - банкам не выгодно, чтобы информация о предпочтениях клиентов была доступна в т.ч. другим банкам для анализа. Да и "независимый" сервис аналитики рано или поздно начнет информацию продавать.

0
Грандиозный самолет

Банки почему то считают что они решают. А потом появляются всякие ДзенМани, делают то же самое но без API, и с вопросами от всяких @xvt123 про безопасность такого подхода.
Ну и - для бизнеса это ж реализовано у большинства банков. Почему для физиков нельзя?

0

Классная у вас работа. Оставайтесь на связи, ваше мнение очень важно для нас...

0

Потому что надо пинать банки, чтобы прекратили использовать СМС как фактор авторизации!

СМС не безопасны! Прекратите их использовать, для вас давно есть TOTP.

2

годно, но женщина по первой ссылке не говорила им код, пришедший в смс.

0

так это она говорит, что не говорила, а как оно на самом деле было?

3

Может и не говорила, но, судя по ответу банка, код злоумышленники все же получили. Один из вариантов (спасибо комментаторам), от которого не защититься - перехват СМС. Ссылку на Habr я задублировал в конце поста.

0

Долбоебы из ВТБ нам не надо просто, нам надо надежно и безопасно! Пока блокирую ВТБшную кредитку..

1

Стоить добавить, что перевыпущенную сим-карту СБ банка ВТБ блокирует примерно через одну неделю, исходя из личного опыта. Здесь также под удар попадает каждый клиент банка. Хоть шанс возникновения такой ситуации невелик, но все же он имеется.

Кстати, восстановить доступ (после блокировки), при отключенной функции дистанционного восстановления доступа в ЛК, очень сложно. Это, на самом деле, хороший плюс. Необходимо личное посещение офиса банка и заявление на восстановление. ред.

0

Уже не плюс. После выхода нового приложения этот запрещённый для восстановления пароль просто не спрашивает и если ты заходишь с нового устройства через мобильное приложение банка, то можно восстановить доступ, нужно только смс и номер карты. Если потеряешь сумку с симкой без пина и картой в кошельке, то снимут все. Полгода назад это было невозможно, когда была включена опцию запрета пароля, но не сейчас, т. к. пароль больше не требуется в моб. приложении.  ред.

2

Я ведь написал, что должна быть отключена функция восстановления доступа дистанционно. Она отключается в веб-версии ВТБ-Онлайн. В новой версии она также доступна. ред.

0

Перечитайте сообщение. Даже если она включена, можно зайти через мобильное приложение, без ввода того пароля. Приложение его попросту НЕ запрашивает!
Не верите, попробуйте провести эксперемент: попробуйте очистить кеш приложения, либо установить на другой телефон его и запустите. Для входа нужно будет ввести номер карты и код из смс.
Пароль спрашивала старая версия приложения, в новом от этого отказались.
А вот на сайте пароль спрашивает как прежде, но это не имеет значение, т.к. вход через приложение теперь без пароля. И не важно, что запрещено восстановление пароля, ведь он больше не нужен)) Такая теперь у них дыра -ради "удобства" ред.

3

Я ведь говорю о блокировке доступа со стороны банка, а не о том, когда вы свободно можете входить любыми доступными способами. Совершенно о другой ситуации речь.

0

Не совсем понял. Вы написали выше про запрет дистанционного востановления. Я вам ответил, что теперь не важно включен он или нет.
Если вы про запрет банком мобильного приложения по заявке пользователя, то втб его криво сделали.
Я, например, после выхода нового приложения когда узнал, что функция запрета восстановления пароля бесполезна, позвонил в поддержку и заблокировал доступ через приложение. Но оказалось, что даже заблокированное мобильное приложение не полностью блокируется, там остается кнопка qr активной и если зайти в приложение и нажать на нее, а потом навести на сайте на кнопку быстрый вход, то авторизация происходит. Они не додумались ее заблокировать.
Позвонил попросил заблокировать кнопку qr, сказали нет возможности. Только полный запрет не только приложения на мобильном, но и авторизации на сайте втб.

0

Не знаю, что случилось полгода назад, но год назад, когда также не нужен был пароль для входа через мобильное приложение, этот запрет на дистанционное восстановление работал. Причем настолько хорошо, что даже сотрудники банка смогли вернуть мне доступ только спустя неделю.

0

Я думаю, что случаи типа "забыл пароль" и полная блокировка доступа от банка - разные случаи. И во втором это как раз тот "полный запрет" (о котором вы в конце написали), когда не работает ни мобильное приложение, ни веб-версия.

0

я думаю картой можно пользоваться только не подключая комплексное обслуживание с втб-онлайнами и мобильным приложением, чтоб нельзя было управлять счетом с телефона в принципе. Потому что при таком дырявом приложении и предодобренных кредитах в один клик вы рано или поздно попадете на деньги.

0

Да и тут не все так просто с втб. Советую позвонить в банк и запретить вход в личный кабинет через банкомат и восстановление пароля через банкомат. 
Если у вас вытащат карту из сумки/кармана подсмотрев, скажем на кассе, когда вы расплачивались, пин, то через банкомат злоумышленник получит доступ ко всем счетам, а не только деньгам на карте.
Одно дело вы теряете деньги на карте и в потерянном кошельке и совсем другое, что  лишиться всех денег со счетов в этом дырявом банке. Тут подробней:
https://www.banki.ru/services/responses/bank/response/10139405/ ред.

2

Не понимаю чего феноменального такого вы тут обнаружили. В альфе к примеру точно так же: берёшь другой телефон, устанавливаешь приложение, вводишь при входе номер телефона потом номер карты/счета, на основной номер приходит смс и все - на 2м телефоне ты так же в приложении. В Росбанке/Промсвязе точно так же, единственный кто просит пароль это Тинькофф. И? Мошеннику 1 фиг чтоб получить доступ ко всему надо одновременно украсть карту с телефоном где последний должен быть не запароленный чтоб прочитать эту смску с кодом.
 Это все равно что потерять ключи от дома с адресом на брелке и временем когда тебя нет дома. Конечно можно вытащить симку и вставить в другой телефон но ты на нем же и спалишься имхо !при желании! менты вычислят и у кого он был в пользовании и где сейчас находится даже если выключен или это кнопочная труба.
Один факт остаётся не изменным - нужно 2 исходника: телефон и карта. Карты все сейчас в appl pay, телефон запаролен. Это не значит что я на 100% защищён, но если что случится банки наврятле будут в этом виноваты

–2

Объясню на Вашем примере:
Представьте, что раньше вы входили в "квартиру  где деньги лежат" открывая первую дверь двумя разными ключами (которые есть только у Вас), а вторую дверь Вам уже открывал консьерж по звонку на Ваш телефон только после открытия Вами первой двери.

Но вот служба консьержей решила, что отныне ключи не нужны, первая дверь снята с петель, ее больше нет, и для входа в квартиру достаточно только звонка на Ваш телефон.

Какое решение надежнее, как думаете? 
В первом случае, чтобы войти в "квартиру где деньги лежат" нужно получить от Вас оба ключа и телефон единовременно, а во втором случае достаточно получить контроль над Вашим телефоном, незаконный перевыпуск SIM-карты которого вы не можете контролировать.

PS: спасибо за информацию о Альфе, туда, значит, тоже ни ногой.

2

Ваш пример мог бы быть верен если бы не перепутали двери местами. В контексте втб и квартиры ключом служит телефон с смс кодом, а дверь это номер карты. Без заполучения  2х факторов одновременно вам не попасть в онлайн банк (т.е. в квартиру). Но почему то в вашем примере с квартирой дверь (карта) которая открывается вами пропала, чтобы подогнать решение под ответ как будто в квартиру(в мобильный банк) вы попадаете только по смс коду.
Я специально привёл простой пример с обычной квартирой потому что он подходит больше всего т.к. если к примеру вы найдёте ключи на улице толку от этого будет 0 если не знать адрес квартиры.
Да и если углубляться дальше это очень прохладная история что мошенники занимающиеся воровством денег с карт будут заниматься всей этой херней с подменой сим. Тут нужно ещё больше факторов - нужен продажный сотрудник оператора который перевыпустит сим(я хз насколько это возможно), и сотрудник банка который сольёт номера карт и авторизует подмену сим (с таким же успехом он может номер на любой нужный изменить и ждать СЭБ) . Второму в случае чего влетит в разы больше так как подписывает соглашение с банком о неразлашении, а проверяется это все на раз два т.к. все что ты делаешь на рабочем столе пишется.
А эти мошенники психологи, а не хакеры

–1

В моем примере номер карты не задействован намеренно, т.к. он не может/должен являться ключом/дверью по причине того, что его сохранность/конфиденциальность от действий клиента не зависит. 
Номер находится открытом виде с момента изготовления карты еще до ее выдачи вам, используется при оплате товаров и услуг онлайн (да, в идеальном мире по PCI DSS сервисы не должны его сохранять, но в реальности это не так).

Поэтому я и прошу вернуть нормальную многоуровневую авторизацию, которая была при заключении договора.

Как примеры утечек, ставших известными публично (см. infowatch):

1

Да ни хрена ему не влетит. Это все еще доказать надо, а это либо сделать почти невозможно, либо этим никто заниматься не будет.

–1

Почти невозможно доказать ?) Ты походу то ли совсем дурак или просто тут себе нашёл флудилку где можно все от балды писать что сам нафантазировал ?. Это доказывается на раз-два логами с компа хотябы. Не говоря о том сколько камер над каждым рабочим местом висит и как быстро «кому надо» приходят отбойники если не туда зашёл . В случае чего собственная сб банка хватанёт за жопу первее ментов чтобы свою организацию не подставлять и дыру прикрыть для таких наивных.

0

Вот всегда было интересно откуда такие кретины как ты вылазят. Мы два года по судам ходили после вот такой замены sim по "доверенности".

1

А если карточка втб Мир в кармашке телефонного чехла (для прохода в метро) ?
То всё, приплыли. 
Надо пинкод на вкл телефона, на симкарту и отключать показ смс при заблокирован ном экране. 

0

Не поможет если у вас выхватят из рук разблокированный телефон.

0

Хм, а тот я удивился, я пару дней назад на своих банках пароли восстанавливал в качестве эксперимента и менял, и делал я все это на компе.

Сменил пароль от ВТБ, посмотрел на их алгоритм, потом беру айфон нажимаю на иконку приложения, он логично не авторизует, ввожу логин, а он раз и авторизовал.

Ну я думаю трубка же моя, Id устройства все дела, не кодов не чего просто взял и впустил.

Раньше у ВТБ была гениальная вещь: запрет на восстановления пароль, что бы его получить нужно было идти в офис, офигенная опция, теперь нету ее 🤧 ред.

0

Так вон выше скрин, что есть, но надо включить

0

Она бесполезна теперь, т. к. мобильное приложение этот пароль не спрашивает на новых устройствах, только номер карты и смс

4

В приложении нет, гляну в вэб версии.

0

Если денег на карте нет, кредиток нет и кредит мне никто не одобрит по причине плохой истории, но есть брокерский счет - можно не париться из-за этой дыры?

В инвестиционное приложение так легко же не попасть?

0

Если речь о ВТБ, то можно не парится.

1

читая цепочку статей о мошенничествах  уже паранойя начинает развиваться потихоньку :) все ж топовые банки по очереди засветились с негативом.

И главное нет железобетонной схемы защиты.

0

Из за топорности ВТБ инвестиций, там шансы вывести деньги проста так на левые реквизиты не реалистичны, новые реквизиты либо в офисе либо цифровой подписью подписаны быть должны, а эту сому подпись сначала нужно распечатать и завизировать в офисе.

пока их топорность хороша.
Но вот веб морда, возможно уязвима, но не чего страшного там не наделать, а вот подсмотреть конечно можно.

1

В инвестициях ВТБ из-за нового банковского приложения тоже дыра. Ведь для восстановления пароля в приложении ВТБ Инвестиции требуется номер договора, логин и пароль из смс. И то и то в кабинете БАНКА отображаются. Теоретически, если теряешь SIM и банк. карту (а нужен только её номер), то сначала злоумышлиник восстанавливает вход в мобильное приложение банка с помощью одной смс без пароля и номера карты, т. к. в приложении он не нужен для входа с нового устройства. Потом осуществляет вход на сайт посредством функции "быстрый вход по qr" на компьютере наведя qr приложения банка в на qr на сайте https://online.vtb.ru через пк. А далее в личном кабинете смотрите логин Инвестиций и номер договора, потом идёте на сайт инвестиций и восстанавливаете с этими данными доступ к Инвестициям втб. От так вот малята:)) Создаётся впечатление, что в ВТБ работают двоишники. Даже если попросить заблокировать приложение для мобильного, вход по qr все равно работает с "заблокированного" моб. приложения. Я им писал на банки. ру https://www.banki.ru/services/responses/bank/response/10476019/comments/1/#respcomment6123091они делают вид, что не поняли о чем им втолковывают.  ред.

8

ну раз БанкОнлайн дыряв, то если окажется что и в инвестиции еще зайти легко, то печаль-беда же. Продажа активов - вывод на карту, потом через БО перевод куда хочет мошенник. Тут спасет только медлительность самого вывода :) у меня как-то сутки заняло.

0

Попробуй через приложение пароль восторгать, они сменили алгоритм, а в веб морде старый сложный, а в приложение теперь новый.

0

В брокера втб  сейчас вход одним коиком через дырявый втб онлайн.

0

Вот вы кому то подсказали, теперь можно начинать париться.

0
Грандиозный самолет

Но зато надо пуш/смс при КАЖДОМ входе если вход не приложением ВТБ а например ДзенМани (который нужен ридонли доступ), и нет - API для приложений вроде ДзенМани не хотят похоже, приходится каждый раз этот код вводить). 

Да, зато если есть только логин и пароль но телефон не привязан (аккаунту много лет, нет открытых карт) - то надо идти в офис. Получать карту и привязывать телефон.  ред.

0

Завидую вашей уверенности - предоставлять сторонним сервисам доступ к личному кабинету в Банке. 

0

Слушай я сейчас попробовал алгоритм восстановления через веб морду.

Запрос логина (УНК) , у меня логин другой, но при восстановление пароля он сбрасывается на УНК, так что нужно менять потом снова что бы по нему восстановить нельзя было (хотя старый логин поставит не дает, утверждает что он используется в системе.

Запрашивает логин, далее приплывает на привязанный телефона 2 смс, вводишь временный пароль, и в приложение на iPhone приходит пуш с новым кодом который нужно указать в веб морде.

Далее вводишь новый пароль.

Плохо что при смене пароля не приходит не пушицы не смс, не email.

еще они сделали вход через QR коды, песочница почта банка наконец стала давать плоды.

авторизация со свежим паролем, ввод логина и пароля, пришел пуш с кодом для авторизации.

Плохо что в момент авторизации нет не смс о факте авторизации, у Сбера есть.

1

При авторизации в приложение , спросило логин и пришёл пуш с кодом. ред.

0

Есть идеи как это мне поможет с точки зрения безопасности?
не понял кейс вообще

0

Не пользоваться мобильным приложением. Никаким! То, что хочешь хранить в своем почтовом ящике в под'езде храни и в своем телефоне. ред.

1

Неважно пользуешься приложением или нет. Если вы теряете sim без пин, то приложение установит злоумышленник  (ещё правда нужен номер карты, но если украдут сумку, в которой карта с телефоном в котором симка без пина, то все.. Её просто переставят в новое устройство и украдут не только деньги с карты, но и со счетов втб и даже с брокерских. По поводу банка ясно, но я ниже писал, что в новом кабинете отображается и логин втб Инвестиций и номер договора брокера, которые нужны для восстановления доступа к брокер. Т. е. уязвимость банка тянет собой и опасность потере денег на брок. счёте. Хотя в связи с чуть большей сложностью выводиться деньги должны дольше и есть время среагировать, если вы не за границей в это время. 

3

Добавлю к вышеуказанному, что в личном кабинете можно в два клика оформить и потребительский кредит, после чего вывести полученные средства. ВТБ часто любезно предлагает кредитное предложение.

1

не понял мысль вообще

0
Грандиозный самолет

- перевод они сделать не смогут.
- в принципе исходных код плагинов что тянут - доступен  и можно посмотреть https://github.com/zenmoney/ZenPlugins
- в европе есть открытые API для таких вещей  вот только в России почему то не принято это использовать(та же https://www.saltedge.com/ поддерживает и многие Российские банки похоже что парсингом)
- а что вы скажете про сервисы банков для бизнеса где парсинг даже там где есть API (тиньков бизнес например с модулем похоже не api использует а парсит)
- вот чтобы не приходилось давать логин-и-пароль - нужны API но из того что для физиков - это только яндексденьги/кактамихсейчас зовут умеют.
- кстати а почему Банк - с большой буквы? и про какой именно банк речь? -:) Только ВТБ?
- как быть если нужен нормальный сервис аналитики? ну да я понимаю что история операций может утечь (собственно на серверах дзенмани есть

0

Вы пишете про Read-only доступ и одновременно про отсутствие API, следовательно данные для доступа сервису передаются полноценные, ограничение что с ними делать реализовано на стороне сервиса. 

Доступный в публичных репозитариях исходный код не означает, что этот же код работает на сервере (если, конечно, это не Ваш сервер). Это одна из неразрешимых проблем доверия к сервису. Как итог, Вы либо доверяете сервису, либо нет. 

Я как сервис аналитики использую AnMoney (до этого SPB Money) - да, ввод операций вручную, зато вся информация с 200х под рукой и только у меня. ред.

0
Грандиозный самолет

Вообще то можно прочитать как то же ДзенМани и прочие аналоги работают. Не секрет это.
А насчет ограниченй - у всех поголовно банков что мне приходилось пользоваться - для операций перевода и прочего - надо отдельное подтверждение (причем вполне можно сделать чтобы подтверждение шло пушем, и при этом НЕ давать ДзенМани доступов достаточных чтобы эти пуши читать - на андроиде)
Ну да у меня есть основания доверять.
Ну и бонусом - ВТБ и Сбер при входе ДзенМани - присылают смс (ВТБ еще и e-mail)(IP ВТБ в почте не присылает но в ЛК веб-версии отображается) ред.

0

У меня так увели  деньги, весь лимит с кредитки, с накопительного счета + оформили кредитную карту вирутальную и оттуда... Все за 5 минут. Теперь мне работать на этот кредит и все накопления сгорели. 

0

Банк и устройство ?

0

Банк Втб. ЛК мобильная версия, а устройство у меня honor. 

0

Пока из всех постов , побеждает Андройд устройства.

0

андроид установлен на 70% мобильных устройств в мире, было бы странно, если бы он не побеждал

1

© Александр Якунйн

0

да всё норм, просто фамйлйю твою правйльно напйсал

0

Что значит увели? На новое устройство нужен смс код. Как мошенники узнали смс код ?

0

Никто из ВТБ СБ не разбирался по этому вопросу. СМС мне лично не приходил. Я не называла цифр из смс. Как-то они смогли. По детализации моб оператора - смс также нет.

0

Значит было пуш
Вам никто не мешает затребовать по отдельности тексты пуш, смс . Параметры устройств на которые они высылались и обратится в суд.

Я как юрист постоянно слушаю что пропали деньги . Но как начинаешь разбираться, то оказывается было смс сообщение или пуш до кражи. Например в другой день, когда преступники смогли привязать новое устройство и новый мобильный банк.

Я понимаю, что вы не виноваты что существуют эти схемы , что есть возможнОсть обмануть человека . 
Но все равно , без смс которое куда-то ввел пользователь , невозможно преступникам  привязать новый мобильный банк .

Вчера уже третий раз звонил главный дознаватель Центробанка ,я говорю ну что не получается украсть деньги без моего смс ?)) Ржет

0

Пуш были переключен на другое устройство, мне даже пришел смс об этом. но время между смс о переключении пуш и всеми транзакциями -2 минуты

0

я и не верю, что можно как-то аннулировать мои оформленные долги по картам и вернуть мои средства.  ВСЕ твердят, сама виновата.  

0

Никто. Если вы дали мошенникам смс для подключения другого устройства, то никто не должен вам возвращать деньги

0

Не обязательно сообщать. Могут сим карту перевыпустить или перехватить смс. Смс как единственный способ авторизации - днище.

0

Я лично отсуживал от 15000 до 10 000 000 убытков от кражи  с операторов связи , за незаконную замену сим-карты

0

В мемориз!

0

Ещё пытаются зайти в Мультибонус, владельцу приходят смс на смену кода. Потом звонит «колл-центр», который просит назвать УНК, чтобы составить «заявление»

0

Такая же ситуация и у Сбера 
Находят мысли что всё "колл-центры" 
Это отдельная ветка банков и им не выгодно делать многоуровневую авторизацию
Так как воровать станет тяжелее!

0

у Сбера все норм, там коды приходят

0

У Сбера по смс можно деньги куда угодно переводить, даже не зная номера карты. Достаточно только доступ к сим

0

Уже давно нет, и там ограничение на сумму существенные были

0

Вхрд в мобильный банк по одной смс. И переводы тоже. Пароль там не нужен.

0
Дипломатический динозавр

Раньше пользовался много лет банком Возрождения. Так там чтобы зайти в интернет банк надо было карточку вставлять в специальное устройство которое давалось в банке и после ввода пин кода код операции на устройстве появлялся который надо вводить при входе в интернет банк. 

0

7ого июня текущего года стал жертвой мошенничества. Судя по всему схема была ровно как описано в статье. Никаких уведомлений о том что произошёл вход с нового неизвестного устройства, (а так давно делают и Google, и Yandex, и Mail.ru, и Microsoft, и многие другие, а вот банк, да при том столь известный и популярный, почему-то не делает), никаких уведомлений что в приложении были изменены настройки,(а выкл/вкл push/sms уведомлений это важная настройка), никаких дополнительных факторов проверки/подтверждения операции, лишь уведомление о том что средства были переведены неизвестно куда и неизвестно кому.

0

А где в этот момент была SIM-карта, привязанная к аккаунту?

0

Бред пьяного индуса))) мамкины хакеры

–1

Шокирующая новость: зная логин и пароль от банка можно получить доступ к аккаунту

–3

Прочтите внимательно, логин и пароль для доступа в ВТБ Онлайн теперь стали не нужны.

0

Это был сарказм = Если кто-то получает доступ к информации необходимой для авторизации (в данном случае это код из СМС), то он получает доступ к вашему аккаунту

0

Пароль не нужен, банк так решил. Только код из смс. Учитесь читать. ред.

0

Разверните ветку и учитесь читать до конца

0
Читать все 121 комментарий
SEO для монобрендового интернет-магазина — бесполезная затея? Кейс с пятикратным ростом трафика

Рассказываем, как продвигали интернет-магазин с небольшим ассортиментом товаров, которые покупают только летом.

Усиление защиты неквалифицированных инвесторов

11 июня 2021 года вступил в силу Федеральный закон, усиливший защиту прав физических лиц, не являющихся квалифицированными инвесторами.

Производитель зенитных ракет выпустит гражданский электрогазомобиль E-NEVA Статьи редакции

Буква Е — сокращение от electric, а NEVA — в честь реки в Петербурге.

«Азбука вкуса» впервые за 15 лет обновит логотип и шрифт Статьи редакции

Изменились и цвета — компания выбрала другие оттенки зелёного.

«Азбука вкуса»
Бывший университетский журнал обошёл Forbes по выручке: как Harvard Business Review стал большим медиа Статьи редакции

The Generalist разбирает бизнес с «вечными темами», на который приходится треть всей выручки Гарвардской бизнес школы.

В HPB работает 450 человек, в то время как NYT и The Economist нанимают по 4700 и 2500 сотрудников соответственно The Generalist
Вклад «Свободное управление»: управляйте деньгами свободно

Ставки по вкладам в банках опять начинают расти вслед за повышением ключевой ставки Банка России. У банка «Открытие» есть вклад, который позволяет получить более высокую доходность, чем большинство подобных вкладов на российском банковском рынке. Кроме того, он дает возможность свободно управлять деньгами. Не случайно этот вклад так и называется…

Почему нельзя пропустить новость про официальные и безопасные чат-боты в Instagram

Любой бизнес в Instagram может автоматизировать продажи и работу с аудиторией. Быстро, безопасно, эффективно и значительно дешевле, чем обошлись бы услуги SMM-щиков или студентов, отвечающих в директ и на комментарии. Однако в российском маркетинге эта новость прозвучала как-то очень тихо. Разбираемся, почему вы должны остановиться и задуматься о…

«Альфа-Капитал» освоил греблю — и проверил на прочность командный дух

Участники корпоративной секции тренировались все лето: сначала на тренажерах, потом на открытой воде. Большая финальная гонка расставила точки над i.

«Тинькофф» начнёт внедрение ипотеки с рефинансирования кредитов своих клиентов в других банках Статьи редакции

В 2019 году компания закрыла направление ипотечного кредитования из-за неприбыльности.

«Ожидали 100 тысяч просмотров, а вышло в восемь раз больше»: как и зачем крупные бренды снимают ролики для TikTok

Истории «Ситилинка», «Тинькофф», «Спортмастера» и «КиноПоиска».

AliExpress Russia Overview: 9 главных трендов электронной коммерции

8 сентября «AliExpress Россия» собрал топов электронной коммерции и инвестиционных аналитиков на конференции AERO. Собрали самое важное из пятичасового обсуждения.