Провёл эксперимент: с помощью получения кода из СМС и знания номера карты можно получить доступ к аккаунту BТБ-онлайн

По мотивам постов

поставил эксперимент:

1) Взял новый чистый телефон, далее Телефон №2 (сеть - только WiFi)

2) Установил Android-клиент ВТБ-Онлайн из Play Market

3) Ввел УНК

Достаем попкорн...

4) Вместо ожидаемого (и требуемого ранее!) приглашения на ввод пароля на основной телефон пришло СМС с кодом, ввод которого на телефоне №2 предоставил мне полный доступ к ВТБ-Онлайн

5) Без необходимости подтверждения от клиента (Телефон №1 больше не нужен) в два клика в приложении на Телефоне №2 осуществлен переход с СМС на PUSH-коды и PUSH-уведомления -- для дальнейшего подтверждения операций Телефон №1 не требуется, уведомления на него больше не поступают.

Бонус: вместо УНК можно ввести номер банковской карты (повторил эксперимент, только в п.3 вместо УНК ввел номер банковской карты - работает).

ИТОГО: полный перехват контроля над аккаунтом ВТБ-Онлайн возможен посредством получения единственного кода из СМС и знания номера карты.

PS: А еще в январе требовалось вводить полный пароль.

Если к вышеизложенному прибавить информацию о доступности перехвата СМС (или смене SIM у "честного" сотрудника оператора связи), то складывается совсем нерадостная картина.

Вместо заключения: ВТБ - верните нормальную многоуровневую авторизацию!

5353
131 комментарий

У меня была такая ситуация с втб. В итоге я заблокировал счет через поддержку, а когда обратился в отделение банка чтобы открыть счет, то мне сказали что не могут этого сделать, не объясняя причин. В общем они меня навсегда защитили от своего банка)))

15
Ответить

история из первых уст: мама моя 9 сентября положила в ВТБ деньги на накопительный счёт. Ей была отправлена СМС со ссылкой на приложение. Не сразу, может на следующий день попробовала установить личный кабинет, не получилось. Решила дождаться меня из отпуска. Я вернулась 21го, у меня тоже не получилось установить. 22го мама пошла в банк, там ей установили приложение, она заходит, а там денег на 95 тысяч меньше. Пошла в банк разбираться. Оказалось, что 11 сентября с ее счета были списаны деньги за какую-то автоуслугу в пользу физ.лица в сбер в Новосибе. Просматривая смс от банка, увидели, что в день открытия счета какое то Anknown устройство получило доступ к пуш уведомлениям и слило деньги. Причем смс русскими словами, но на латинице, сразу и не разберёшь. Банк пожимает плечами. Написали заявление в банк и в полиции. Прошло полгода. С банка отписки "мы не виноваты". Из полиции вообще тишина

7
Ответить

Для далеких это было еще в мае 2020!

6
Ответить

Упрощенный вход раньше сделали. В мае они пошли дальше - можно через втб онлайн одним кликом войти в брокерский счет и управлять им. А то мошенники жаловались, что баланс брок. счета показывает, а обчистить его тяжело. Теперь исправили.

3
Ответить

Комментарий недоступен

Ответить

Ну емае... Что не банк, то прикол. *бормоча неразборчиво, но вполне понятно, перевела последние копейки из банков в стеклянную банку"

5
Ответить

Ответ банка - самое грустное что есть в этой ветке...

4
Ответить