Дыра в безопасности Тинькофф
На днях обнаружил, что для восстановления доступа в мобильное приложение Тинькофф достаточно иметь SIM-карту, на которую приходит код подтверждения, и знать номер банковской карты.
То есть представим негативную ситуацию, вероятность которой не то чтобы нулевая - вас ограбили, при этом сильно избили, возможно до бессознательного состояния - то есть какое-то продолжительное время вы не можете никуда позвонить, в том числе в банк для блокировки карты.
За то время, пока вы в таком беспомощном состоянии находитесь, преступники, завладев вашим телефоном и банковской картой, смогут получить доступ ко всем вашим деньгам - и на карте, и на вкладах - и никакие лимиты по тратам, которые вы установили, будучи продвинутым человеком, вам не помогут. Преступники получат SMS с кодом подтверждения и введут номер вашей карты точно так же, как это сделали бы вы, если бы забыли пароль.
Конечно, если телефон в момент ограбления заблокирован и SIM-карта запаролена (у вас стоит пароль на SIM-карту?), то задача для преступников уже не становится такой простой. Однако, если телефон у жертвы выхватили, пока он был в активном разблокированном состоянии, и в таком состоянии его после этого всё время поддерживали, то реализация описанного выше сценария ставится вполне возможной.
Способ решения проблемы уже давно известен и активно применяется в разных сервисах - это восстановление пароля не только по коду, присылаемому в SMS и номеру карты, но и по правильному ответу на контрольные вопросы, которые клиент сам выбрал при регистрации в банке.
Паяльник в одно место и вы ответите на контрольные вопросы, откроете дома сейф и подкинете бандитов до их машины, как было с женой покойного градского.
К сожалению, вынужден плюсануть.
Но есть важный нюанс. Паяльник значит, что это не какие-то случайные карманники или наркоманы, а сработавшаяся бригада, которая целенаправленно занимается этой деятельностью, заранее готовая к разным сценариям, в том числе к подобным блокировкам и даже некоторым способам самообороны жертвы. Тут конечно никакие контрольные вопросы не помогут.
Но если это именно случайное ворьё включая случаи, когда человек просто потерял-забыл телефон, а его нашёл вор, то эти контрольные вопросы неплохо отсекут этих рандомщиков.
Поэтому хоть это и не абсолютная защита, но процент защищённости немного, да повысит.
Только ли Тинькова? У других сильно иначе?
Давно известная дыры тинькоффа. Большие суммы там нельзя хранить.
Больше всего бесит что нельзя зайти на сайт банка и увидеть документацию на то как "работает безопасность". Например узнать по каким данным восстанавливается доступ, по каким меняется номер, по каким меняется доступ в веб версию, восстанавливается ли доступ по дополнительным картам и т.п. Т.е. подробную и исчерпывающую документацию на абсолютно весь функционал.
Однако, если телефон у жертвы выхватили, пока он был в активном разблокированном состоянииили насильно приложили палец жертвы и разблокировали телефон с отпечатком.
Это не дыра в Тиньке, это принцип работы современного дбо. Увы.
Сбер с симкой вы так же восстановите, попробуйте. И втб..
Пароль на разблокировку, пин на симку и не лазить по улице, как идиот с включённым экраном (раз нужна безопасность финансов).
А вариант с тем, что выхватят разблокированный такая же, как если вместе с разбоем «попросят» сделать все своими руками.
На полном серьёзе и без рофлов поошу подсказать надежный банк без дыр в безопасности
Потому что надо сим карту паролить пин кодом.
Я свои давно запаролил.
А запретить отсвечивать смс и текст прочих сообщених на заблокированном телефоне
В Тинькове:
-Парни, у нас дыра в безопасности.
-Ну хоть что-то у вас в безопасности.
Носить с собой телефон, в котором стоит сим карта, привязанная к интернет-банку, либо установлено приложение - это равноценно тасканию лопатника с тем же количеством денег.
Комментарий недоступен
Минусаторам удачи по жизни!
На прошлой неделе с Тиньки списали 5 тр якобы за покупку в Пятерке. СМС не приходила. Карту заблокировали. Деньги вернули. На следующей день с заблокированной карты были списаны ещё два платежа в Пятерку по 5 тыщ. Ранее действительно были покупки онлайн в Пятерке.
Весь Х5 одна большая дыра и некомпетентность. Просто отходите их стороной и будет вам счастье
Пароль на сим, на разблокировку телефона и на вход в банковское приложение. Выхватить разблокированный телефон это из области фантастики, надо быть совсем лохом. Хотя сейчас некоторые даже на дорогу не смотрят, копаясь в телефоне на ходу.
Да случаев много, жена на моей тачке (x7) поехала в магазин, заехала на заправку, там кучка дагов и к ней один пошел, она по газам конечно, похер че он хотел. Ну я к тому что вот так подсядет и ты со страху все ему разблочишь
Приветствуем!
Контрольные вопросы есть, можем спросить ответ на них при регистрации с чужого устройства. Помимо этого у нас есть современная система мониторинга операций, которая срабатывает, если клиент делает не характерные для него действия в личном кабинете. Если система сработает, то действия по счету приостановим и свяжемся с клиентом, чтобы подтвердить операции. В звонке уже зададим вопросы, ответы на которые знает только клиент.
А где это у вас документировано? Сегодня вы говорите что "можете спросить ответ на вопрос", а завтра решите перестать спрашивать. Как я узнаю об этом?
При регистрации с чужого устройства можете спросить или спросите?
Судя по отзывам она почти всегда прохлопывает раздербанивание счёта вполне нетипичными способами типа переводов "не себе".
Есть ли какой-то способ дать банку 3 указания
— максимальный набор подтверждений про сбросе доступа к ДБО или добавлении устройства.
(нужна кнопка "я не дебил и не собираюсь забывать доступ к ДБО")
— я не собираюсь ничего забирать из банка больше условных 100к
— я не собираюсь брать у вас кредит
?
если случается что-то из этого списка — максимальный уровень подтверждений.
Я считаю что лучше максимально параноидальный уровень подтверждений при снятии который пригодится в 0.1% случаев чем по любой причине их потерять из-за ..(тут куча причин)..
" можем спросить ответ на них при регистрации с чужого устройства."
У меня в посте речь прежде всего про случай, когда устройство то же самое, но находится уже в руках у грабителей.
Только почему-то все интернет завалены отзывами о том как ваша безопасность лажает
поэтому никаких денег не держать в интернет банке, только по старинке на бумажной сберкнижке
С одной стороны - eSIM и iPhone защитят от безалаберности Тинькофф.
С другой стороны - зачем там хранить какие-то большие суммы денег? Есть банки с нормальной безопасностью. Даже если кто-то левый получает там доступ в ИБ, то кроме как полюбоваться балансом ничего сделать без доступа к OTP-токену не сможет.
Это в каких банках имея телефон нельзя обчистить клиента ?
Если у вас забрали телефон и вы заранее не позаботились о его нормальной безопасности, у вас и так и так деньги своруют. Поэтому нужно максимально паролить сам телефон и чтобы оплата бесконтактная на нем только при разблокировке работала. А физические карты лучше вообще не носить если есть телефон, ровно как и хранить номера физических карт в каких-нибудь записках.
Виртуалку с лимитом привязали к оплате телефоном и жизнь хороша.
Еще зайти можно во что угодно если на телефоне не скрыто содержимое пушей. Все одноразовые коды из смс видно, тупо огромная дырень из-за удобства. У себя отключил это после нескольких чужих попыток зайти в телегу. Понял что вижу эти коды не разблокировав телефон.
От паяльника поможет секретная тревожная кнопка, на ключах, в доме, в сейфе, ложный код на сейфе, в крайнем случае реально отвезти бандосов к другу у которого охрана ) просто я к чему, такией действия против работяги проводить не будут, а другие должны быть готовы
Содержать свою охрану просто напряжно для личного пространства у многих
И на симку пароль, и на вход в приложения важные пароль.
Обычно все блокируется по пальцу. Избили - палец приложили и завладели. Если нужен пароль то бьют пока не скажешь
Кг/ам
Пароль на телефон и пин-код на симку - решает
Как вам поможет пароль на телефон, если у вас его выхватили, когда вы в нем сидели, и после этого продолжают поддерживать активность в телефоне, чтобы он пароль не запрашивал?)
.