{"id":11170,"title":"\u041a\u0430\u043a \u0437\u0430\u043c\u043e\u0442\u0438\u0432\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0438\u0433\u0440\u043e\u043a\u043e\u0432 \u0442\u0440\u0430\u0442\u0438\u0442\u044c \u0434\u0435\u043d\u044c\u0433\u0438","url":"\/redirect?component=advertising&id=11170&url=https:\/\/vc.ru\/promo\/341559-korotko-uvelichit-prodazhi-cherez-sobstvennoe-prilozhenie&placeBit=1&hash=7a5df0ef2aad1850664a44a9e406536cb9a26738c002b57db0ec8a963322865f","isPaidAndBannersEnabled":false}
Приёмная
Sergey Zhukov

Мошенники получили доступ к личному кабинету ВТБ и чудом не вывели деньги

В пятницу моя мама столкнулась с мошенниками, действующими от лица ВТБ, и установки «не сообщать кодов, паролей», оказалось недостаточно.

Вводные данные

  • Счёт в ВТБ, основная сумма на накопительном счёте
  • Мобильное приложение ВТБ Онлайн установленное на iPhone (не рутованый, приложения только из Appstore)

Хроника событий

  • В 16:37 маме начинают звонить мошенники. Звонки были с различных номеров, все они начинались +495, в том числе номер ВТБ Страхование +7(495) 644-44-40, что говорит о том что номера телефонов подделаны
  • Диалог подробно описывать не буду, главные цели мошенников - удержать жертву на линии как можно дольше, и попросить её зайти в личный кабинет в приложении ВТБ Онлайн по их ссылке (об этом ниже). Ошибка #1 - вступать в диалог
  • В 16:49 в мессенджер приходит ссылка формата online.vtb.ru/i/qrauth/..., при нажатии на неё открывается ВТБ Онлайн - всё как говорит "оператор". В ВТБ онлайн после перехода по ссылке появляется окно "Подтвердите вход в интернет-банк. Вы совершаете вход с такого-то устройства, такого-то браузера". Мама перешла по ссылке и подтвердила вход. Ошибка #2 - не прочитать весь текст в этом сообщении
  • 17:06 - мошенники перевели деньги с накопительного счёта на мастер счёт, мама увидела уведомление на телефоне об этой операции (но никакого СМС подтверждения не было!)
  • 17:09 - Из-за операции по выводу денег с вклада стало понятно что дело плохо, поэтому мама поставила мошенников на удержание и позвонила в горячую линию
  • Мошенники попытались перевести деньги с мастер счёта, операция была отменена (либо автоматически, либо благодаря звонку в горячую линию), карта и личный кабинет заблокированы
Хронология вызовов. Все вызовы кроме верхнего - мошенники

Как это работает

  • Во время разговора, на сайте https://online.vtb.ru/login мошенник генерирует QR код для входа в личный кабинет, из него извлекается ссылка и отправляется жертве в мессенджер
  • Домен ссылки является настоящим и опасений не вызывает - online.vtb.ru/i/qrauth/...
  • Переход по ссылке и подтверждение входа авторизует в личный кабинет тот компьютер, на котором был сгенерирован QR код
Авторизация по QR-коду на https://online.vtb.ru/login
СМС от мошенников со ссылкой на авторизацию

Вопросы к ВТБ

  • Почему операция по переводу денег с накопительного счёта на мастер счёт произошла без СМС подтверждения?
  • При авторизации по QR коду, в ситуации, когда телефон, сканирующий код и ПК, где этот код был показан, имеют разные IP адреса или геопозицию, не стоит ли добавить дополнительную защиту? Например, СМС код
  • Почему в истории авторизаций, авторизация по QR коду не показывает реальный IP адрес зашедшего в личный кабинет?
  • Авторизация по QR открывает новые возможности для мошенников. Предоставьте возможность отключить её в настройках в личном кабинете

Выводы

  • Установки "не сообщать коды и пароли по телефону" недостаточно. Если сотрудник банка что-то от вас хочет, необходимо не вступать в диалог, сбрасывать и перезванивать самостоятельно
  • Новые способы авторизации в личный кабинет несут в себе новые опасности

Будьте аккуратны. Для себя сделал вывод что пользоваться ВТБ как основным банком, пока система с QR остаётся в текущем виде - излишне рискованно, лучше вывести деньги в другой банк.

Хотелось бы услышать комментарии от представителей ВТБ. Я не первый кто выносит эту тему на обсуждение:

0
108 комментариев
Популярные
По порядку
Написать комментарий...
Павел Шабалин

Я конечно не сотрудник ВТБ, но операция прошла без подтверждения, потому что между своими счетами.

Но тут дело не в ВТБ, а в людях, если там спрашивают, хотите ли вы авторизовать какое то левое устройство в своем интернет банке и человек самостоятельно жмет ДА, то что может сделать банк?

Ответить
64
Развернуть ветку
Sergey Zhukov

По ссылке (https://vc.ru/claim/221562-moshenniki-deystvuyushchie-ot-imeni-banka-vtb-vyveli-s-kreditnogo-scheta-dengi-ne-sprashivaya-ni-odnogo-koda) пишут что и перевод с мастер счёта в на счета мошенников был произведён без подтверждения. Боюсь, что и в нашем случае было бы тоже самое, если бы операция не была отменена.

На тему того что человек самостоятельно жмёт ДА - всё так, но это не значит что UI/UX приложения и безопасность авторизации QR идеальны - я считаю что можно было сделать безопаснее. И хотелось бы иметь возможность отключить этот способ авторизации.

Ответить
4
Развернуть ветку
Павел Шабалин

Прежде всего, надо объяснить всему окружению, что банки могут звонить только с целью впарить кредит или прочие ненужные услуги, по этому если представляются банком или связанным чем то с банком то надо просто повесить трубку без разговоров. Для успокоения можно перезвонить сразу на горячую линию и сказать о случившемся, я почему то уверен что на этом все закончится, а если нет, то вы сможете оперировать фактом того, что перед какими то списаниями вы звонили в банк и сказали что вас домогаются мошенники.

Честно сказать, если вы не предприниматель оказывающий услуги, а просто наемный работник, зачем вы вообще слушаете этот спам, про опросы, службы безопасности и прочую муть? Я лично вешаю трубку примерно на 4-5 слове (первые три это Здравствуйте, Фамилия Имя), если понимаю что это никак не касается моей деятельности. И родителям и всему окружению стараюсь доносить об этом. А когда совсем скучно просто тролю, говорю что не пользуюсь мобильным приложением, нет у меня нету, банк этот не обслуживает и так далее, такие вещи не по скрипту ставят их в тупик.

Ответить
22
Развернуть ветку
Александр Морозов

Иногда банки звонят, чтобы подтвердить платеж по карте.

Ответить
8
Развернуть ветку
Петя Миров

Ни разу не было подобного.

Ответить
4
Развернуть ветку
Ильдар Хасанов

Я снимал леньги в банкомате за границей, ночью - мне и Альфа и Втб позвонили тут же! Спросили я ли это делаю.

Ответить
5
Развернуть ветку
Самарский житель

У меня за границей обычно местная симка и номер российский отключён. Что мне грозит? Блокировка карты?

Ответить
1
Развернуть ветку
mr. regik .

99% да, блокировка будет. Случаи, когда данные карты извлекаются скиммером и продаются за рубеж, и потом с копии вашей карты деньги снимают где-то в Камбоджи не единичны.

Ответить
1
Развернуть ветку
Самарский житель

Те я должен заплатить рублей 200-300 за звонок отоператора что бы снять в банкомате 10 баксов? Не слишком ли много? Я пользовался тиньком для снятия налички, когда они еще позволяли писать страны где находишься. Теперь они типа умные и отказались от этого, на мой взгляд зря... такая опция должна быть в каждом банке...

Ответить
1
Развернуть ветку
mr. regik .

Ну да, можно просто добавить формочку, куда поедешь и в какой промежуток дат. И оттуда всё обычные транзакции разрешать.

Ответить
1
Развернуть ветку
dezrelay

Это из за сумм не больших. Если будут переводы на крупные суммы, то звонят.

Ответить
1
Развернуть ветку
Петя Миров

Насколько больших? Я ноут за 100к+ покупал, никто не звонил.

Ответить
1
Развернуть ветку
dezrelay

Покупка и перевод это разные вещи. И действует определенный алгоритм. Могут и за 300 000 не позвонить,а могут и за 20 000 поинтересоваться.

Ответить
4
Развернуть ветку
Петя Миров

Ну а речь про платёж зашёл.

Ответить
0
Развернуть ветку
Илья Чирков

Делал несколько онлайн-покупок на 100+ тысяч подряд, часть платежей заблокировали и позвонили из банка. Так что да, и с покупками такое бывает

Ответить
1
Развернуть ветку
Евгения Барская

Мне позвонили на счёт перевода 50 тыс и попросили подтвердить перевод.

Ответить
3
Развернуть ветку
mr. regik .

400к на брокерский счёт. Через минуту позвонили и уточнили, я это или не я. Тиньк.

Ответить
1
Развернуть ветку
Павел Шабалин

Тут вы ожидаете звонок, шанс того что в этот момент вам позвонят мошенники крайне низок. Я что то не читал еще тру стори, когда мошенники что то снимали, брали кредиты и банк звонил и узнавал не разводят ли там сейчас вас. Кстати возможно по этому и не звонят, чтобы не дать еще один убедительный фактор мошенникам, что банки тоже звонят с СБ

Ответить
1
Развернуть ветку
Александр Рожков

Мне звонил Тинькофф, когда я пытался оплатить кредитной картой относительно крупную сумму, забыв, что я установил месячный лимит. Спрашивали, я ли это пытаюсь 2 раза оплатить такой-то продукт и не следует ли заблокировать карту. Это было года 4 назад.

Ответить
3
Развернуть ветку
Самарский житель

Тиньк не позволил мне пополнить кредитку с основного счета (перевод между своими счетами) пока я не введу кодовое слово... те я мог оплачивать кредиткой, оплачивать дебетовкой. Но внутренний перевод антифрод блокировал 😭😭😭

Ответить
1
Развернуть ветку
Ezra

Между своими счетами нет подтверждения. А с переводом с накопительного счета другим в втб есть тема, где если вы авторизуете, как было в вашем случае, мошенника, то он просто подтверждения по смс переведет в пуш, и они будут не вам приходить, а мошенникам и он проведет все операции без вас и отвязки номера. Да, в втб такое есть

Еще втб неоднозначно пишет при авторизации по смс, что кто кому и непонятно, у тебя слетела авторизаци или что. Могли в авторизационном смс писать устройство входа и город, хотя бы. А qr вообще дичь, стало проще мошенникам.

На эту тему есть большая ветка форума на банки.ру

Ответить
3
Развернуть ветку
Артем Смирнов

Пуши в ВТБ отключены. Только смс, если операция затребует подтверждения.

Ответить
3
Развернуть ветку
Александр Полевой

Какое вы хотите подтверждение, если мошенник забрался в личный кабинет? Все банковские приложения так работают: авторизация на входе, далее все действия считаются произведенными клиентом. Ни одно банковское приложение не будет запрашивать дополнительное подтверждение на переводы, например по СПБ или межбанку.

Ответить
1
Развернуть ветку
Aslan Zhenetl

У меня (втб) все операции между своими счетами подтверждаются смс кодом

Ответить
1
Развернуть ветку
Павел Шабалин

я когда гасил ипотеку в втб переводил 4 млн с мастер счета на счет ипотеки вообще без каких то подтверждений и запросов со стороны банка и в целом это логично, ведь перевод между своими счетами не несет никаких рисков и потерь.

Ну и возможно у вас стоит какая то настройка дополнительная? Каждая смс банку стоит денег, по этому все так пытаются перевести на всякие пуши.

Ответить
2
Развернуть ветку
Aslan Zhenetl

Конкретно никаких доп функций не включал, при пополнении или снятия с вклада всегда просит код из смс ..

Ответить
0
Развернуть ветку
Dan Priwalow

Нанять Венцеслава Кржыжановского. Он вызовет дух дзержинского, который привлечёт к ответственности мошенников.

Ответить
0
Развернуть ветку
Евгений Иванов

В данном случае человек сам своими руками предоставил доступ к личному кабинету левым людям. Ни один банк на свете не сможет предотвратить потерю денег, если люди САМИ их отдают мошенникам.

Нужно тогда вообще всё отключить и выдавать деньги только в отделении, по отпечаткам, анализу роговицы и мочи, расшифровке ДНК и предварительной получасовой консультацией со специалистом, на тему того, «не просил ли кто вас снять деньги»? Плюс, обязательный двухчасовой просмотр документального фильма о методах мощенничества. И ведь даже в таком случае найдутся уникумы которые всё снимут и отдадут мошенникам! ))

Ответить
40
Развернуть ветку
Иван Забулдыгин

Это нам с вами легко так говорить - но представьте что это случится с вашей мамой. Ей грозно скажут, что у неё списывают деньги прямо сейчас, что нужно срочно подтвердить свое устройство, скинут ссылку на авторизацию по qr коду. Думаете она поймёт что там написано и какое устройство она подтверждает? В панике то.
Так что да, тут хорошо бы, чтобы у банков были доп. опции позволяющие усложнить операции. Пусть в течении 24 часов после авторизации нового устройства например - каждая операция с него требует подтверждения на втором факторе, или ещё лучше - подтверждения перезвоном в банк.
Будет бы намного сложнее убедить бабушку позвонить со своего номера в банк и сказать - подтверждаю перевод всех моих денег на счёт такого-то, ведь она и там может сказать что ей попросили это сделать по звонку из банка или хотя бы задуматься что говорит и вся афера раскроется.

Ответить
19
Развернуть ветку
Евгения Барская

Моей маме 84 года, пенсия приходит на карту. Но личный кабинет у меня и привязан к симке, которая тоже у меня. Я ей даю только наличные для похода за продуктами, крупные покупки совершаю сама. Другого способа обезопасить ее от мошенников я не вижу.

Ответить
18
Развернуть ветку
Евгений Иванов

У меня похожая ситуация, но мама расплачивается картой сама в магазине. Просто стоит лимит на ежедневные траты и отключены любые операции в интернете. Для пожилых людей платить картой удобнее, чем наличкой. Приложил на секунду и все, не нужно пересчитывать, получать мелочь и т.п. И безопаснее с точки зрения бактерий и вирусов. Хотя она и привита, но лишний раз лучше с деньгами не контактировать.

Ответить
4
Развернуть ветку
shiva

уважение

Ответить
1
Развернуть ветку
Ян Головин

Вот вроде и правильно, но и как-то унизительно. Если я такое матушке предложу, она со мной разговаривать наверное пару месяцев не будет. Почему принято пожилых считать умственноотсталыми?

Ответить
–1
Развернуть ветку
shiva

я могу за пару минут придумать схему обмана тебя, ты сразу станешь умственно отсталым после этого?

обидчивая значит, и не ищите тут второе дно, тем более что у всех у кого есть желание разобраться в том в чём ещё не разбираются - есть такая возможность

Ответить
0
Развернуть ветку
Ян Головин

Сами себе противоречите. Раз обмануть можно любого, то почему предлагаете контролировать только пенсионеров, прикрываясь заботой о них? Контролировать чужие деньги это не забота. Да и пенсионеры с их жизненным опытом поумнее большинства молодёжи будут.

Ответить
0
Развернуть ветку
shiva

ну да, взяли всё перевернули, такое ощущение что Вы не представляете как пожилые люди думают, ведут себя, реагируют

очень, очень много случаев когда даже осторожные и вроде бы шарящие люди отдавали деньги либо совершали неверные действия приводящие к херовым последствиям + переживания и проч.

и не обязательно в пожилом возрасте, что уж говорить о классических бабушках и дедушках, которые вообще привыкли к иному общению, порой просто к доверию, либо могут быть незащищены психологческие и поддаться на разную хуйню от оленей вроде на шоке совершать действия и спустя три дня - неделю понять

Ответить
0
Развернуть ветку
Dan Priwalow

Карточка - это собственность банка, так-что за её безопасность отвечает банк. И если человек не будет ни кому сообщать данные карты и давать её в чужие руки(лучше вообще не прозрачный чехол), то 99.99999%, что с ней всё будет ок.

Ответить
1
Развернуть ветку
Знатный Тролль

В каком месте за безопасность карточки отвечает банк? У клиента могут подсмотреть данные карты, близкие могут взять карту и потом положить на место, он может сам продиктовать или ввести данные хз куда. Во всех этих случаях виноват будет клиент.

Ответить
1
Развернуть ветку
Dan Priwalow

На обороте любой карты и в любом ДБО написано, что запрещено передавать карту третьим лицам, без всякого исключения.
Не прозрачный чехольчик стоит 100 рублей, на алишке думаю около 20.
А вводить "хз куда" данные - это как про стеклянный буй.

Ответить
0
Развернуть ветку
Знатный Тролль

Поэтому банк не может отвечать за безопасность карты.

Ответить
1
Развернуть ветку
Сильвестр Иванов

Пусть у людей будет выбор, пользоваться или нет всеми этими куар-биометриями и кредитами на 5 млн по коду из смс.
Жизни диджитал-староверов имеют значение!

Ответить
3
Развернуть ветку
Евгений Иванов

Согласен с этим, такие возможности должны быть опциональны. Но так ли много людей будет разбираться и отключать их?

Ответить
1
Развернуть ветку
Валерий Разгуляев

Можно сделать их отключёнными по-умолчанию, но тогда упадут же продажи данных продуктов, а "прибыль наше всё"... :(

Ответить
0
Развернуть ветку
pancakeForev

Зачем делать вход по qr - модно, современно, молодёжно?)) вход по коду(смс+в телефоне, гугл коды есть) этого достаточно для исключения таких ситуаций. Плюс если повесить проверку на ид устройства(ведь банк собирает эту статистику для проверки отмывания денег)))) то это исключит такой тип мошенничества.

Ответить
0
Развернуть ветку
Алексей А.

Чтобы логин/пароль на рабочем компе не светить, например.

Ответить
1
Развернуть ветку
Инесса Аулова

Раз такое творится с мошенничеством, да, пусть так именно и выдают деньги. Или ловят мошенников.

Ответить
1
Развернуть ветку
Знатный Тролль

Зря вы умалчиваете про содержание диалога и что хотели мошенники. Пока люди будут выполнять приказы левого голоса в трубке, нечего пенять на банк. Ответственность сына объяснить маме, что никто ей не позвонит просто так, чтобы сделать хорошо, всем им что-то будет нужно от нее.

Ответить
22
Развернуть ветку
FRENDLY FAIR

Абсолютно согласен, не может поделиться информацией для других людей и обезопасить их, думает только о себе и своей маме.
Какой смысл там блюрить номера и смс, тоже не понимаю 😄
Если пишешь, то пиши от и до, а не с таинствами какими то

Ответить
9
Развернуть ветку
Derek Morgan

Не понял нафига автор замазал номера телефонов мошенников на скрине. Да и сам смысл скрина вообще теряется при таком раскладе, проще было не прикреплять вообще

Ответить
22
Развернуть ветку
Anna Petrova

Вам женщин не понять! 😂

Ответить
3
Развернуть ветку
Make Luv

А вдруг кто-то позвонит им и станет жертвой?!

Ответить
0
Развернуть ветку
Александр Смирнов

Вот именно, думаю найдутся и такие, которые сами им позвонят и с радостью разведутся.

Ответить
0
Развернуть ветку
Sitewell Ad

Да при чём тут "не сообщать кодов, паролей"? ПРОСТО. НЕ РАЗГОВАРИВАЙТЕ. С БАНКОМ. Если он звонит сам. Поговорить не с кем? Позвоните родственникам или друзьям. Всё же захотели поговорить с банком - позвоните ему сами. Всё. В этом нет вообще ничего сложного.

Ответить
9
Развернуть ветку
Роман

С банком и с полицией. Если полиции что то действительно будет от вас нужно, они постучат вам в дверь

Ответить
2
Развернуть ветку
Сменить никнейм можно

Будьте аккуратны. Для себя сделал вывод что пользоваться ВТБ как основным банком, пока система с QR остаётся в текущем виде - излишне рискованно, лучше вывести деньги в другой банк.

Ну это высер эмоциональный, qr безупречен потому что пароли нельзя засветить, он и в Сбере есть, но если нехрена нет читать что приходит.

У втб есть великолепные настойки и уведомления по разному поводу на почту, и возможность запрета восстановления доступа к ЛК удаленно, только через визит в офис. С IT стороны кажется все неплохо.

Ответить
7
Развернуть ветку
Louis Cyphre

Великолепные настойки есть у них)

Ответить
6
Развернуть ветку
mr. regik .

Звучит как тост

Ответить
0
Развернуть ветку
Илья Федоров

этот запрет отключается вебморде. я его включал чтобы поменять пароль потом выключал обратно ибо нефиг. Пароль опять забыл правда, ну да ладно, пофиг. офис в районе появился, если что.

Ответить
0
Развернуть ветку
Anton Bocharov

"когда телефон, сканирующий код и ПК, где этот код был показан, имеют разные IP" - это абсолютно нормально, когда у ПК и телефона разные провайдеры интернета

Ответить
7
Развернуть ветку
Илья Федоров

можно хотябы город. или область а то меня иногда в ангарске по ip определяют

Ответить
1
Развернуть ветку
Dan Priwalow

Ребята, Вы сами хотите сверх удобства и все внезапно стали хреновертами, которые испытывают дискомфорт от общения с людьми и хотят только кнопки нажимать. Чему удивляетесь?!

У меня есть основная карта зелёного змия, вернее банка, а к ней дополнительная. Покупки в сети, гугляпэй и т.д. - с основной карты перекидываю сумму на резервную.
Авторизация у брокера - отдельная симкарт воткнутая в нокию 3310 и всегда находящаяся дома.
Накопления лежат в райфайзене и ренесансе, где открыты только накопительные счета и нет ни каких карточных продуктов. Сколько они не предлогали супер условия, но если надо снять-внести, то ножками в отделение и по паспорту, с аудио/видео фиксацией и живым оператором.

Ответить
5
Развернуть ветку
Роман

Не переживайте, в нужный момент райф и ренессанс откроют вам карту без вашего ведома. Потом скажут, что тщательно проверили всё документы присланные им в WhatsApp, послали смс на случайно выбранный номер и сверили по телефону ваш голос с голосом диктора первого канала (голос не совпал, значит это были вы)

Ответить
2
Развернуть ветку
Dan Priwalow

Хороший юмор.

Ответить
4
Развернуть ветку
Роман

Да это не юмор, это правда жизни. Проблема на самом деле не в картах, а в том, что ни в одном банке нельзя отказаться от дистанционных каналов взаимодействия. Могу ли я открыть счёт в банке не указывая свой номер телефона? Нет

Ответить
2
Развернуть ветку
Dan Priwalow

Отказаться от коммуникации нельзя. Но так-же к классическое кому вкладу нельзя подключить сбп или онлайн перевод. Всё при личном общении, с живым оператором, в офисе банка, с паспортом и под камерами.

Ответить
1
Развернуть ветку
Roman Lunin

Я вам скажу что, из моих наблюдений, банка без косяков нет, а тот факт что сотрудники банка вам никогда не звонят уже должны были заучить давным давно, у СБ банка нет таких ресурсов чтоб всех персонально обзванивать, сейчас всё автоматизированно. По этому, когда я слышу какой то бред с незнакомого номера я сразу кладу трубку и номер в игнор.

Ответить
4
Развернуть ветку
Илья Федоров

атоматизировано, ага, а робатов я сразу посылаю. таких что позвонят и "ждите оператора". ага, мне позвонили и я еще ждать должен, тут когда сам звонишь и ждать надо -бесит.

Ответить
5
Развернуть ветку
Мекс

Ничего нового. Общаться с мошенниками и нажимать на ссылки, которые вам присылают... сейчас 2021 год. Поставьте себе любой определитель номера (яндекс, каспер и т.п.), там большинство мошенников так и высвечиваются.

Ответить
5
Развернуть ветку
System Slave

Тоже примерно в это время позвонили "из ВТБ". Причем, это был робот, который запрашивал подтверждение о смене пароля. Я слегка растерялся, сказал нет и бросил трубку. Поскольку биометрию я не сдавал, вряд ли они как-то смогут использовать мой голос, как, впрочем, теперь и я.

Ответить
4
Развернуть ветку
Илья Федоров

мне код приходил на вход в втб. правда никто не звонил. Может гуглантиспам заблокировал но не помню чтобы в списке звонков что то было. Еще кто то звонил и требовал нажать кнопки на телефоне если да или нет. я нажал красную. :) Красивое.

Ответить
1
Развернуть ветку
Артем Смирнов

Это другой сценарий.
Они расчитывают, что ты дождешься на панике оператора и он тебя уже окучит.

Ответить
1
Развернуть ветку
Банк ВТБ

Здравствуйте!
Для обеспечения безопасности мы используем самые современные инструменты, если соблюдать меры финансовой безопасности, доступ третьих лиц к личному кабинету клиента исключен. На странице https://www.vtb.ru/bezopasnost/ мы собрали основные рекомендации, соблюдая которые можно обезопасить себя от действий мошенников. Мы всегда рекомендуем своим клиентам ни в коем случае, никому и никогда не сообщать авторизационные данные для входа в личный кабинет. Не сообщать данные банковских карт, кодов, внимательно читать тексты смс-сообщений с кодами подтверждений, проверять реквизиты операций, не переходить по ссылкам на незнакомые ресурсы, использовать только официальные банковские приложения, антивирус, не вступать в диалог в звонке с третьими лицами, которые просят уточнить какую-либо персональную информацию. При поступлении подобных звонков самостоятельно перезванивать в Банк на официальный номер и уточнять актуальность звонка. Сведения, которые вы сообщили в своем отзыве о методе запроса входа в личный кабинет мы передадим в профильное подразделение для анализа. Относительно операции по переводу между своими счетами, где не запрашивается смс- код подтверждения уточним, что в ВТБ Онлайн работает автоматическая система противодействия мошенничеству, которая оценивает операцию на необходимость дополнительного подтверждения смс-кодом.
Надеемся на понимание

С уважением,
Команда ВТБ

Ответить
3
Развернуть ветку
Clear Pass

Надо отдать должное, с ВТБ мошенникам связываться сложнее всего: в приложении возможно детально прописывать лимиты по каждой операции, смена номера телефона только в офисе с паспортом... Вот я год назад сменил номер в отделении, а в приложении для контактов до сих пор указан старый, уже 9 лет им не пользуюсь. Значит, смена номера требует даже двух посещений офиса!

Ответить
4
Развернуть ветку
Илья Федоров

ха, был прикол, я поменял физически симкарту, без смены номера. в ВТБ это вышло блоком через месяц когда они внедрили систему что отслеживает такие вещи и я не смог попасть в свой ЛК на компе. на телефоне мог. еще что инетерсно между делом ходил в отделение и там пришлось документы подписывать ручками, цифровая подпись в мобильном приложении не срабатывала. тоесть только через месяц когда я попытался зайти в ЛК на компе и пошел в банк -выяснилось что все это от того что я физически поменял симкарту. Тоесть если мошенник по поддельной доверенности получит клон вашей симки то мало того что сутки не будут ходить банковские sms (от всех банков если речь про МТС) так еще и он не сможет зарегистрировать новое устройство до подтверждения личности даже когда они будут ходить.

Ответить
0
Развернуть ветку
Илья Федоров

тут проблема в том что человек не знал что дает какие то данные мошенникам. переход по ссылке, тысячи, миллионы раз так делали все. Этак могут и куаркод для снатия налички в банкомате послать. :) Правда в окошке пишется что для снятия налички по такому то адресу

Ответить
0
Развернуть ветку
colorless

Переход по ссылке и подтверждение входа авторизует в личный кабинет тот компьютер, на котором был сгенерирован QR код

Пиздец.
Впрочем, не удивлен. Сейчас куча банков такую херню "для удобства" творить начинают.

Ответить
3
Развернуть ветку
Илья Федоров

попробовал -невышло. посылает на страницу авторизации. или там не тот урл у меня, я через qrdroid ссылку получил.

Ответить
0
Развернуть ветку
colorless

Скорее всего не тот урл получили, в принципе алгоритм понятен:

1. При генерации Qr кода на сайте на сервер отправляется запрос с уникальным сгенерированным ID
2. В приложении считывается из QR кода этот ID, дается клиенту кнопка "подтверждения входа", отправляется условный запрос на открытие доступа по этому ID
3. Браузер получает успешный ответ авторизации от сервера и редиректит на ЛК банка

Это конечно максимально херовая реализация. Предчувствую, сколько опять мошенники наворуют через социальную инженерию. Ведь никто не диктует коды, как это трубят на каждом углу уже какой год, а тут просто ты внутри своего приложение жмешь кнопку подтверждения чего то там...

Понятно, что прошаренный юзер поймет. Но 95% пользователей к сожалению не поймут подвоха, а какой то топманагер получил бонус за удобную реализацию входа в ЛК :)

Ответить
0
Развернуть ветку
Илья Федоров

Этот урл при открытии его приложением банка вместо браузера ничего не делает. Может чего поправили на сервере. Так то у них и снять наличку можно в банкомате через куаркод сняв его приложением.

Ответить
0
Развернуть ветку
feiry fairy

операция по переводу денег с накопительного счёта на мастер счёт произошла без СМС
Это нормально, ты бы заебался любой пук подтверждать.
Перевод на другого клиента/банк требует смс, правильно? Значит деньги все равно бы не украли.

Ответить
1
Развернуть ветку
Сменить никнейм можно

Не требует смс при переводе, во всяком случаи если авторизация через qr прошла

Ответить
1
Развернуть ветку
Сменить никнейм можно

@ВТБ любая внешняя транзакция через онлайн банкинг должна с смс подтверждением или push , почему у меня получилось перевести деньги после авторизации без подтверждения?

Ответить
2
Развернуть ветку
Mnemousique

Я клиент ВТБ. На внешние счета без СМС кода не перевести.

Ответить
1
Развернуть ветку
Сменить никнейм можно

Но на внутренние то можно клиентов втб

Ответить
1
Развернуть ветку
Илья Федоров

помню когда для любого пука требовалась скречкарта с одноразовыми кодами :)

Ответить
1
Развернуть ветку
Denis Denis

"Нужно тогда вообще всё отключить и выдавать деньги только в отделении, по отпечаткам, анализу роговицы и мочи, расшифровке ДНК и предварительной получасовой консультацией со специалистом, на тему того, «не просил ли кто вас снять деньги»? Плюс, обязательный двухчасовой просмотр документального фильма о методах мощенничества. И ведь даже в таком случае найдутся уникумы которые всё снимут и отдадут мошенникам!"

Ну вы прямо как в воду глядите)))

https://kpravda.ru/2021/11/19/v-kurske-pensionerka-ne-poverila-policzejskim-i-lishilas-330-tysyach-rublej/

Ответить
2
Развернуть ветку
Dan Priwalow

Денис, Я не хочу обидеть социальную группу полицаи, но им кто-то ещё верит?!

Ответить
0
Развернуть ветку
MiDDeT

По сути новый кейс.
Может попасться даже 'непенсионер'.
Додумались ведь мошенники. А могли свои мозги в что полезное пустить.

Ответить
2
Развернуть ветку
Дмитрий Истомин

Проблема в том что есть взрослые люди которые все ещё верят в сказки что кто то либо хочет дать им денег либо помочь. Ни один банк не сможет выстроить защиту от этих несчастных.

Ответить
2
Развернуть ветку
Pote Pote

Отключил вообще мобильный инет банк от втб отключил, надо проверить реалтноинельзя установить. Самая большая проблема, это при утере телефона, если на симке не стоит пин код , то она вытаскивается и вставляется в тел., а дальше пароль не нужен, достаточно смс.
Банки делают все возможное для мошенников и легкий вход и крел
Дит на 1 000 000 рублей за 2 клика и т.д. хотя им же пофиг, кто влетает, они то зарабатывают.

Ответить
0
Развернуть ветку
Сергей Долгих

Почему в истории авторизаций, авторизация по QR коду не показывает реальный IP адрес зашедшего в личный кабинет?

Тоже такое заметил, причем IP каждый раз отличается, но всегда из подсетки 1.0.0.0/8. По whois выдает какие-то подозрительные провайдеры из Индии и Китая.

Видимо kubernetes внедрили, а IP клиента нормально прокидывать не научились. Да еще и публичные ip-диапазоны используют для внутренней сетки, хотя для таких целей есть 10.0.0.0/8

Ответить
1
Развернуть ветку
Sergey Zhukov

Да, я это и имел ввиду, спасибо за скриншоты.

Ответить
0
Развернуть ветку
VF

Зачем замазали номера телефонов?

Ответить
0
Развернуть ветку
Yuri

Я вот в ОАЭ счета открываю сейчас, фиг знает что там с секурностью будет, но чтоб открыть счет это собеседование, подписи на куче бумажек, а не в паре мест как у нас и ожидание еще хз сколько, могут и отказать, это личный, на юр лицо все еще сложнее.

Ответить
1
Развернуть ветку
Yuri

Это с учётом что есть местное резиденство, ну считай внж

Ответить
0
Развернуть ветку
Yuri

Тоесть мульку что кто то без тебя тут номер тела сменит или карту выпустит исключаю вобще

Ответить
0
Развернуть ветку
Рустам Бегалиев

Вы задаёте вопросы банку, но вопросы тут задавать надо вам и вашей маме. Переходить по каким-то ссылкам - это уже ваша вина. Об этом тоже все и вокруг говорят. Да и о том, что мошенники могут поменять адреса электронной почты, номеров телефонов и адреса сайтов, уже не знать - грех.

Ответить
1
Развернуть ветку
Евгений Старых

Спасибо за статью, очень поучительно!

Ответить
1
Развернуть ветку
Alex Moren

Между своими счетами смс - это задолбаешься, тут проблема в QR-коде, нужно еще хотя бы смской подтверждать такой вход

Ответить
0
Развернуть ветку
Alexander Bobylev

Мобильный банк, наоборот, лучше ставить и устанавливать подтверждения через пин и по отпечатку. Тогда Вам уведомления придут о любом постороннем чихе. Мне сообщают о любой, даже моей, авторизации в браузере.
Вообще,все эти истории со съёмом денег сложные. Потому что люди будут спихивать ответственность друг на друга. Идеальной системы нет. И банка тоже.

Ответить
0
Развернуть ветку
Алексей

Вот поэтому я купил маме кнопочный телефон!!!

Ответить
0
Развернуть ветку
Иной бинокль

Наиля проела дыру в безопасности, увы.

Ответить
0
Развернуть ветку
Maxim Navarski

Мне тоже звонили "сотрудники банка" втб, напрягло, что знают мои ФИО. Назвал липовую дату рождения, "сотрудник" спросил, почему неправильную дату называю? После послал на одно место его. У меня на ВТБ баланс 0, и якобы, кто-то хочет перевести 4500 рублей.

Ответить
0
Развернуть ветку
Илья Федоров

а баланс они не знают? Хм. а на сбере могли и баланс знать. была дыра, мождет уже закрыли, от вашего номера звонишь в сбер и там голосовой ассистент тебе все расклады дает..

Ответить
0
Развернуть ветку
Maxim Navarski

Неа, если бы знали, что там 0, вряд ли звонили бы

Ответить
0
Развернуть ветку
Mitya Kalvados

Товарищи мошенники, выведите с втб мои минус 1,5 млн))

Ответить
0
Развернуть ветку
Илья Федоров

выведут, будет минус три..

Ответить
0
Развернуть ветку
Илья Федоров

Сейчас просто сканером штрихкоов отсканировал куаркод, по ссылке перешел в мобильном а оно меня на плеймаркет станичку отправляет для приложения. :) ну а приложение предупреждает о входе.

Ответить
0
Развернуть ветку
Читать все 108 комментариев
Прямо в топ: 9 особенностей SEO-продвижения лендинга

Рассказываем, как получить максимум органики.

«Главное отличие любой компании – культура»: продуктовый маркетолог Picsart о работе и учебе в США

За 12 лет работы в маркетинге Анна Маикова успела рассказать поработать с Nestle, запустить яблочные дольки с McDonald’s и отучиться в США благодаря гранту. Сегодня 32-летняя девушка занимается продвижением технологического стартапа Picsart Ованнеса Авояна, ставшего единорогом с оценкой в $1.7 млрд. Об обучении в США, западном рынке и работе…

Как оценивать дизайн: Метод 3К, ч. 1

Раскладываем процесс оценки разрабатываемого дизайна на систему вопросов.

Почему вредно пытаться взять кредит в АльфаБанке

Кратко: я старый (и вредный) клиент АльфаБанк, в основном из-за удобной карты Аэрофлот Бонус. Мы то соримся, то миримся (не они со мной, а я с ними). У меня архивный пакет Максимум Плюс (условия: 1 млн на счету + 50 тр трат в месяц).

Почему отключение SWIFT не разрушит российскую банковскую систему, и чего действительно стоит бояться

С 2014 года мы слышим о возможном отключении России от системы SWIFT. В последние недели эти разговоры все чаще звучат в медиа и серьезно влияют на настроения в банковской среде. CBDO Банка 131 Анна Кузьмина рассказала, почему блокировка SWIFT в России не смертельный сценарий, и какие санкции против банков на самом деле вызывают беспокойство.

Apple добавила в бета-версию iOS 15.4 возможность разблокировать iPhone лицом в маске Статьи редакции

Устройство распознаёт пользователя по особенностям области вокруг глаз.

Московский акселератор – короткий путь к мечте!

У нас отличная новость: стартовала постакселерационная программа для участников треков AI Factory, T&M, Digital health, ArchTech. И он отличается от тех постакселераторов, какие были до этого. Чем? Сейчас расскажем.

Как мы сделали своё радио, Радио.Mesto

Отступили новогодние праздники. Жена с детьми уехали к друзьям, я сижу на кухне своего дома среди рисовых полей Убуда, пью кофе, слушаю пластинку Bonobo и, не нарушая сон котов, могу, наконец, рассказать историю Радио.Mesto.

Ozon запустил сервис Ozon Profit — в нём можно заработать на выполнении простых задач для маркетплейса Статьи редакции

За 4-6 часов работы в день — около 20 тысяч рублей в месяц.

«Здесь был Вася»: как защитить персональные данные людям и компаниям

Для начала, как бы просто это не звучало, не раздавать свои персональные данные направо и налево. А компаниям -- не собирать те данные, которые они не в состоянии обработать и надежно сохранить. Сегодня, 28 января, – день защиты персональных данных. По этому случаю составил максимально простой чек-лист для тех, кому не все равно, где и как…

Как снизить стоимость за установку приложения с помощью тестирования креатива: кейс Joom и Aitarget Tech

Может ли цвет креатива или расположение цены влиять на стоимость установки приложения? Эти и другие гипотезы платформа Aitarget Tech позволяет тестировать для Joom, одного из крупнейших маркетплейсов в Европе и Азии. Делимся результатами тестирования гипотез и рассказываем о подходе, который позволяет автоматизировать процесс.

null