В общем, что то случилось и у меня перестал восприниматься правильный пароль в Сбербанк Онлайн.

Недолго думая, я набрал техподдержку, и после недолгого ожидания мой вопрос решился. Почему сбросился пароль узнать, правда, не удалось.

Оказывается, для получения доступа к моему банку мне (ну или кому угодно) нужно выполнить тривиальную операцию - сменить логин/пароль.

Но суть оказалась в том, что для этого нужно всего две вещи, которыми несложно завладеть:


  1. Номер банковской карты (без CVC)

  2. Привязанный к СБ Онлайн телефон, а точнее, только номер этого телефона

И всё! Никаких секретных ключевых вопросов мне не задавали.

Эти атрибуты получаются через разнообразные утечки данных, причем если утечка будет с какого-нибудь магазина, то и номер карты и номер телефона вполне вероятно будут вместе.

Да и банки сами бывают не без греха. Свежая статья на Хабре.

После этого, через недобросовестного сотрудника сотовой связи, перевыпускается СИМ-карта.

Или же вариант - потерять (дать похитить) телефон, желательно с установленным клиентом банка - чтобы долго не искать номер карты. Дабл килл!

Далее, как можно много и регулярно вычитать в новостях , отсутствие денег у вас на карте не является проблемой для мошенников - на вас легко и быстро оформляется кредит.

Типовой пример и реакция банка во всей красе.

Проблема касается не только Сбербанка, но и других с аналогичной схемой "авторизации".

Так что безопасность в банках получается как в знаменитом мультике, из картинки КПДВ:

"Друзья, - сказал Иван, - друзья, задача нетрудна.

У сундука есть только верх, а вовсе нету дна.

А дырочка и щелочка, и странное отверстьице

Здесь вовсе ни при чем!"

P.S. Для меня [пока], обошлось без последствий. Но заставило серьезно задуматься о своем более чем полумиллионном кредитном лимите. Так что эта публикация отчасти из чувства самосохранения - чтобы сундук банка пофиксили.

Upd. Судя по комментариям, я не донес читателям простую мысль: По непонятным причинам процедура смена пароля в Сбербанк Онлайн не требует двухфакторную аутентификацию либо даже личного присутствия.