В общем, что то случилось и у меня перестал восприниматься правильный пароль в Сбербанк Онлайн.
Недолго думая, я набрал техподдержку, и после недолгого ожидания мой вопрос решился. Почему сбросился пароль узнать, правда, не удалось.
Оказывается, для получения доступа к моему банку мне (ну или кому угодно) нужно выполнить тривиальную операцию - сменить логин/пароль.
Но суть оказалась в том, что для этого нужно всего две вещи, которыми несложно завладеть:
Номер банковской карты (без CVC)
Привязанный к СБ Онлайн телефон, а точнее, только номер этого телефона
И всё! Никаких секретных ключевых вопросов мне не задавали.
Эти атрибуты получаются через разнообразные утечки данных, причем если утечка будет с какого-нибудь магазина, то и номер карты и номер телефона вполне вероятно будут вместе.
Да и банки сами бывают не без греха. Свежая статья на Хабре.
После этого, через недобросовестного сотрудника сотовой связи, перевыпускается СИМ-карта.
Или же вариант - потерять (дать похитить) телефон, желательно с установленным клиентом банка - чтобы долго не искать номер карты. Дабл килл!
Далее, как можно много и регулярно вычитать в новостях , отсутствие денег у вас на карте не является проблемой для мошенников - на вас легко и быстро оформляется кредит.
Типовой пример и реакция банка во всей красе.
Проблема касается не только Сбербанка, но и других с аналогичной схемой "авторизации".
Так что безопасность в банках получается как в знаменитом мультике, из картинки КПДВ:
"Друзья, - сказал Иван, - друзья, задача нетрудна.
У сундука есть только верх, а вовсе нету дна.
А дырочка и щелочка, и странное отверстьице
Здесь вовсе ни при чем!"
P.S. Для меня [пока], обошлось без последствий. Но заставило серьезно задуматься о своем более чем полумиллионном кредитном лимите. Так что эта публикация отчасти из чувства самосохранения - чтобы сундук банка пофиксили.
Upd. Судя по комментариям, я не донес читателям простую мысль: По непонятным причинам процедура смена пароля в Сбербанк Онлайн не требует двухфакторную аутентификацию либо даже личного присутствия.
kaleman
Запрет действий по доверенности — это первое, что должен сделать человек в России после покупки сим-карты. В Билайне это делается через бумажное заявление. У остальных операторов через отправку SMS. Без этого никакой защиты ваших счетов и данных просто не существует.
vis_inet
Расскажите поподробнее?
edogs
Если предположить что сотрудник добросовестный, то при замене по доверенности он проверит паспорт того кто требует замену и саму доверенность. Получается надо подделать доверенность и палиться со своим паспортом или подделывать и паспорт и доверенность вместе.
Если предположить что сотрудник недобросовестный, то тоже толку нет. Подделают паспорт самого владельца и за симкой какбэ владелец прийдет. Либо он забудет посмотреть в программе что запрещены действий по доверенности. Либо и паспорт забудет спросить.
Если предположить что сотрудник сообщник, то в принципе нет никакой разницы.