О безопасности Сбербанка Онлайн / forpes.ru

Главная
О безопасности Сбербанка Онлайн

О безопасности Сбербанка Онлайн -5

19.02.2021 14:52

Siemargl 72 51600 Источник

В общем, что то случилось и у меня перестал восприниматься правильный пароль в Сбербанк Онлайн.

Недолго думая, я набрал техподдержку, и после недолгого ожидания мой вопрос решился. Почему сбросился пароль узнать, правда, не удалось.

Оказывается, для получения доступа к моему банку мне (ну или кому угодно) нужно выполнить тривиальную операцию - сменить логин/пароль.

Но суть оказалась в том, что для этого нужно всего две вещи, которыми несложно завладеть:

Номер банковской карты (без CVC)
Привязанный к СБ Онлайн телефон, а точнее, только номер этого телефона

И всё! Никаких секретных ключевых вопросов мне не задавали.

Эти атрибуты получаются через разнообразные утечки данных, причем если утечка будет с какого-нибудь магазина, то и номер карты и номер телефона вполне вероятно будут вместе.

Да и банки сами бывают не без греха. Свежая статья на Хабре.

После этого, через недобросовестного сотрудника сотовой связи, перевыпускается СИМ-карта.

Или же вариант - потерять (дать похитить) телефон, желательно с установленным клиентом банка - чтобы долго не искать номер карты. Дабл килл!

Далее, как можно много и регулярно вычитать в новостях , отсутствие денег у вас на карте не является проблемой для мошенников - на вас легко и быстро оформляется кредит.

Типовой пример и реакция банка во всей красе.

Проблема касается не только Сбербанка, но и других с аналогичной схемой "авторизации".

Так что безопасность в банках получается как в знаменитом мультике, из картинки КПДВ:

"Друзья, - сказал Иван, - друзья, задача нетрудна.
У сундука есть только верх, а вовсе нету дна.
А дырочка и щелочка, и странное отверстьице
Здесь вовсе ни при чем!"

P.S. Для меня [пока], обошлось без последствий. Но заставило серьезно задуматься о своем более чем полумиллионном кредитном лимите. Так что эта публикация отчасти из чувства самосохранения - чтобы сундук банка пофиксили.

Upd. Судя по комментариям, я не донес читателям простую мысль: По непонятным причинам процедура смена пароля в Сбербанк Онлайн не требует двухфакторную аутентификацию либо даже личного присутствия.

Комментарии (72)

kaleman
19.02.2021 17:59
#22705996
+3
После этого, через недобросовестного сотрудника сотовой связи, перевыпускается СИМ-карта.

Запрет действий по доверенности — это первое, что должен сделать человек в России после покупки сим-карты. В Билайне это делается через бумажное заявление. У остальных операторов через отправку SMS. Без этого никакой защиты ваших счетов и данных просто не существует.
1. vis_inet
  19.02.2021 18:39
  #22706190
  +2
  Расскажите поподробнее?
1. edogs
  19.02.2021 19:38
  #22706442
  Запрет действий по доверенности — это первое, что должен сделать человек в России после покупки сим-карты.
  Да никакой разницы не делает вообще.
  Если предположить что сотрудник добросовестный, то при замене по доверенности он проверит паспорт того кто требует замену и саму доверенность. Получается надо подделать доверенность и палиться со своим паспортом или подделывать и паспорт и доверенность вместе.
  Если предположить что сотрудник недобросовестный, то тоже толку нет. Подделают паспорт самого владельца и за симкой какбэ владелец прийдет. Либо он забудет посмотреть в программе что запрещены действий по доверенности. Либо и паспорт забудет спросить.
  Если предположить что сотрудник сообщник, то в принципе нет никакой разницы.

Lev3250
19.02.2021 18:04
#22706018
Или же вариант — потерять (дать похитить) телефон, желательно с установленным клиентом банка — чтобы долго не искать номер карты.

И как потеря телефона с паролем и pin кодом на симке скомпрометирует мой номер телефона или карту?
Ладно, банк выпуска карты ещё хоть как-то можно узнать, если зайти в spay или applepay, на заблокированном экране можно увидеть лого карты.
Но позвонить с этого телефона куда-то кроме 911 или экстренных номеров (семья например, если настроено в телефоне) не получится

Более того, если у злоумышленника есть доступ к перевыпуску симки, то приложение сбера тут никак не поможет
1. D01
  19.02.2021 20:49
  #22706748
  +2
  Многие почему-то забывают ставить пароль на sim-карту… На телефоне же есть пароль)
  (а то что ее легко вытащить и вставить в другой телефон почему-то не учитывают)

Xapu3ma-NN
19.02.2021 18:04
#22706022
+1
Или же вариант — потерять (дать похитить) телефон, желательно с установленным клиентом банка — чтобы долго не искать номер карты. Дабл килл!

Если оперировать терминами похищения, тогда уж можно и человека похитить, сделать ему терморектальный анализ и всего делов. Как вы себе представляете защиту со стороны банка от кражи вашего телефона?

После этого, через недобросовестного сотрудника сотовой связи, перевыпускается СИМ-карта.

Многие банки давно отслеживают перевыпуск сим карты, и помечают это как потенциальный фрод. Я не знаю как у сбера обстоят дела, но это точно факт, сталкивался с этим сам.

Вообще в целом статья напомнила давно известную историю «Хакер в столовой»
Тык
1. Lev3250
  19.02.2021 18:09
  #22706062
  +1
  помечают это как потенциальный фрод
  
  Мне банк присылал смс после смены оператора (номер тот же), типа «в ближайшие сутки вы ничего не можете с телефона сделать». Если надо, топайте ногами в банк
  1. Xapu3ma-NN
    19.02.2021 18:12
    #22706084
    Так да, о чем и речь. Потому что у каждой сим карты есть ICCID
    en.wikipedia.org/wiki/SIM_card
    
    yaguarundi
    19.02.2021 19:47
    #22706492
    ICCID это идентификатор куска пластика. Он в сеть никуда не попадает. Банку важно то, что сменился IMSI.
    
    un1t
    20.02.2021 11:43
    #22708802
    А можно подробнее что именно должно смениться? Другой телефон или что?
    
    SpiderEkb
    20.02.2021 12:25
    #22709044
    +1
    Симкарта. Не номер, к ней привязанный, а сама карта. Банк это может сразу отследить. Я не спец, но как понимаю, послав вам смс, он получает некоторое подтверждение, где содержится этот самый IMSI и они сразу увидят что он не совпадает с тем, что у них в базе (который получили в первый раз когда номер телефона привязывали). Ну а дальше уже как построена система у банка. В Альфе приходит предупреждение что все операции через мобильный и интернет банк заблокированы до тех пор, пока не придете с паспортом в офис и не подтвердите оператору что сами поменяли симку. Тогда она сбросит IMSI в базе у них и он перезапишется новым.
    
    Но это очень приблизительно. В тонкости не вникал.
    
    yaguarundi
    21.02.2021 13:07
    #22712952
    Банк это сам по себе не отслеживает. Это может видеть оператор связи. Если у оператора есть система, которая это отслеживает, то банк может купить себе эту B2B-услугу и поставить номер абонента на слежение (у банка есть только номера клиентов, т.е. MSISDN, но нет ни IMSI, ни IMEI, ни ICCID).
    Таким образом, во-первых, нужно, чтобы этим заморочился оператор, во-вторых, чтобы этим заморочился банк. Т.е. не все случаи покрываются. Банки попроще не парятся. Операторы тоже не все парятся.
    
    yaguarundi
    21.02.2021 13:03
    #22712934
    IMSI — это идентификатор абонента на сим-карте. Она передаётся в сеть и уже в системах оператора связи хранится связка IMSI-MSISDN (MSISDN — это, грубо говоря, привычный нам номер телефона). Именно поэтому в настройках телефона вы никогда не увидите ваш номер, только если сами его туда внесёте.
    Если меняете сим-карту — меняется IMSI.
    Если меняете eSIM — насколько знаю, тоже меняется IMSI.
    Если меняете телефон или SIM-слот — меняется IMEI.
1. inkelyad
  19.02.2021 19:00
  #22706286
  +1
  Как вы себе представляете защиту со стороны банка от кражи вашего телефона?
  Не использовать телефон для авторизации. Для этого банковская карта придумана. Которая pin-ом защищена на случай, если и телефон и карту украли.
  
  Правда тем, у кого либо телефон, либо карта NFC не умеют, придется пользоваться специально придуманным для этого ридером.
  1. Xapu3ma-NN
    19.02.2021 19:10
    #22706324
    А если карту украдут, не использовать карту для авторизации? Не кажется что это замкнутый круг? Что не придумай для авторизации, это не защитит от кражи \ утери и подобных рисков.
    
    inkelyad
    19.02.2021 19:13
    #22706338
    +1
    Так pin же у карты. Для того и придуман.
    
    Xapu3ma-NN
    19.02.2021 19:17
    #22706356
    А как вы авторизовывать пользователя в банковской системе или приложении будете? Просить его ввести пин от карты вместо пароля или логина? Или он номер карты будет вбивать? Поздравляю, тогда вообще ничего красть не надо, сидишь и буритшь номера карт и пинкоды. И даже если банк будет блокировать карты чтобы не похитили деньги, представьте сколько звонков будет от тех кому залочили карту?
    
    inkelyad
    19.02.2021 19:27
    #22706392
    А как вы авторизовывать пользователя в банковской системе или приложении будете? Просить его ввести пин от карты вместо пароля или логина?
    Если и карта и телефон NFC умеют — "приложите карту к телефону и наберите pin".
    Если что-то из них этого не умеет — то же самое, но через контактный ридер.
    
    Если на телефоне стоит зловред и он пин перехватил — то ему это мало что дает, т.к. любая операция еще и картой подтверждаться должна. Если же зловред очень злобный и умеет вклиниваться и подменять шифрованный обмен карта<->банк — то это означает, что он приватные ключи банка знает, чтобы MitM для карты устроить и совсем другой уровень проблем.
    
    Xapu3ma-NN
    19.02.2021 19:43
    #22706462
    Если и карта и телефон NFC умеют — «приложите карту к телефону и наберите pin».
    Если что-то из них этого не умеет — то же самое, но через контактный ридер.
    
    Что делать тем у кого нет NFC?
    
    Если на телефоне стоит зловред и он пин перехватил — то ему это мало что дает, т.к. любая операция еще и картой подтверждаться должна. Если же зловред очень злобный и умеет вклиниваться и подменять шифрованный обмен карта<->банк — то это означает, что он приватные ключи банка знает, чтобы MitM для карты устроить и совсем другой уровень проблем.
    
    Мы говорили про риск кражи, а не зловредов на телефоне.
    
    inkelyad
    19.02.2021 19:48
    #22706494
    Что делать тем у кого нет NFC?
    Ну строчкой выше же написано 'то же самое, но через контактный ридер.'
    
    Xapu3ma-NN
    19.02.2021 19:50
    #22706498
    Вы его каждому клиенту предоставите бесплатно? Куда его надо будет подключать? Как он будет конектиться с системами банка и по каким протоколам? Что мешает похитить ридер и карту вместе с ним и как ридер спасет от физической кражи?
    
    inkelyad
    19.02.2021 20:04
    #22706550
    Ридер — он просто ридер. Адаптер интерфейса к чипу карты. Который интерфейс вполне стандартный. С другой стороны — USB. Где я утверждал, что он хоть как-то от кражи защищает — непонятно.
    
    Подключать — к телефону (тут лучше бы, чтобы ридер умел usb host, чтобы otg от смарта не требовать) или компу. Протоколы более высокого уровня, по которому банковское приложение внутри чипа карты с банком общаться будет — это пускай у банка и производителей карты голова болит. Сумели же как-то договориться о протоколах, что в NFC оплате используются.
    
    Предоставлять — как банку хочется. Я бы продавал. Тупой адаптер интерфейса дешевый при массовом производстве.
    
    Xapu3ma-NN
    19.02.2021 20:06
    #22706552
    -1
    Удачи в ваших идеях конечно, но надеюсь такого не будет ;)
    
    Перечитайте еще раз всю ветку, и посмотрите про что Вы пишете. Дальше полемику не вижу смысла продолжать.
    
    inkelyad
    19.02.2021 20:28
    #22706656
    Уже есть. Причем даже pin не спрашивает, как я предлагал, чтобы что-то со счетом карты сделать.
    
    Осталось заменить софт, предназначенный для продавца софтом, предназначенным для управления банковским счетом.
    
    EDIT: вот еще. Тут pin спросили.
    
    Sap_ru
    20.02.2021 01:09
    #22707550
    Угу PIN-код на несекурном телефоне… PIN-код даже банкомат не знает.
    
    inkelyad
    20.02.2021 08:16
    #22708076
    Этот телефон уже имеет доступ к управлению банковским счетом — на нем приложение банк-клиента стоит. Какой сценарий атаки добавляется, если мы начнем pin карты спрашивать, а не тот pin, что сейчас это приложение использует?
    
    Sap_ru
    20.02.2021 12:11
    #22708960
    Очевидно, что компрометации PIN-кода. После чего можно сделать клон карты даже не имея самой карты.
    Сейчас единственный способ узнать ПИН — физически подсмотреть его при наборе в банкомате. PIN ни в банке не хранится, ни в банкомат не передаётся. Сами по себе карты вполне неплохо защищены.
    Вы предлагаете снизить уровень защиты одного из компонентов на основании того, что у вас есть проблемы с защитой другого несвязанного компонента.
    И на всякий случай ещё раз повторю — если всё сделано правильно, то ПИН-код в банке не хранится, но проверяется банком, как вы его проверять будете?
    
    inkelyad
    20.02.2021 12:39
    #22709114
    Очевидно, что компрометации PIN-кода. После чего можно сделать клон карты даже не имея самой карты.
    Во первых, это вроде бы ничем не отличается от риска утечки CVV, т.е. мы ситуацию не ухудшаем.
    Во вторых, как ключики из чипа карты выковыривать?
    Если же имеется в виду клон только по магнитной полосе — то использование такого клона моментально оспаривается.
    
    И на всякий случай ещё раз повторю — если всё сделано правильно, то ПИН-код в банке не хранится, как вы его проверять будете?
    Приблизительно (этап согласования сессионного ключа для общения с картой опущен, токости протокола — тоже, придумывалось на ходу):
    
    приложение -> карте: Тут пользователь такой пин ввел. OK?
    карта->приложению: (увеличивает счетчик неудачных попыток) Нет.
    приложение->пользователю: неверный, давай еще раз.
    пользователь: повторяет ввод пина.
    приложение -> карте: Тут пользователь такой пин ввел. OK?
    карта->приложению: Да.
    приложение->банку. Тут залогиниться хотят с картой номер..., дай тикет авторизации
    банк->приложению: высылает одноразовый тикет
    приложение->карте: держи тикет от банка.
    карта: проверяет подпись банка, подписывает тикет своим ключем.
    карта->приложению: держи подписанный тикет.
    Приложение->банку: держи подписанный тикет.
    Банк: проверяет подпись карты на тикете и (не)дает доступ к информации о счете.
    
    <через некоторое время, когда пользователь операцию сформировал>
    приложение -> карте: Сделай мне подпись на "пакет данных операции"
    карта->приложению: подписывает своим ключем и возвращает результат.
    приложение->банку: пользователь захотел операцию сделать, вот подписанные данные.
    банк: проверяет подпись на операции и (не)делает ее.
    
    Вообще, не понимаю суди возражений. Аппаратные крипто ключи давно и успешно используются в бизнес-вариантах банковских клиентов. Защищаются именно pin-ами. Вот карта — и есть, по сути, такой аппаратный ключ. Который почему-то использовать не хотят.
    
    Sap_ru
    20.02.2021 13:34
    #22709362
    Вы ухудшаете ситуацию. CVV и ПИН — разные механизмы для разный целей. Вы снова предлагаете ухудшить один независимый механизм потому, что вас не нравится другой. Нельзя вам в безопасность.
    И вы предлагаете некий свой воображаемый протокол. Там всё не так работает. Теоретически, можно на карту свой отдельный протокол прописать, но зачем? Тогда и ПИН другой прописывайте.
    Ну, и вообще в ваш протокол содержит сразу несколько критических уязвимостей, да, и просто плохой. Хотя бы потому, что вы там сначала ПИН проверяете, а потом независимо что-то там от банка подписываете и всё через недоверенную третью сторону.
    То что сейчас работает сделано намного лучше и безопаснее.
    
    inkelyad
    20.02.2021 13:41
    #22709382
    И вы предлагаете некий свой воображаемый протокол. Там всё не так работает. Теоретически, можно на карту свой отдельный протокол прописать, но зачем?
    Ну, и вообще в ваш протокол содержит сразу несколько критических уязвимостей, да, и просто плохой.
    Весьма возможно. На ходу же придумывался, без старательных размышлений. Но протоколы, используемые в бизнес-клиентах банков, что с аппаратными токенами работают, уже ведь есть? Они достаточно хорошие?
    
    Почему чип на банковской карте не может делать то же самое, что чип внутри этого токена делает?
    
    а потом независимо что-то там от банка подписываете и всё через недоверенную третью сторону.
    В существующией ситуации, когда банк-клиент просто на телефоне стоит, эта непроверенная третья сторона тоже есть. В точности та же самая. Если добавить еще карту, она хотя бы ничего не может сделать, если карты нет поблизости.
    
    Sap_ru
    20.02.2021 14:00
    #22709480
    Никто не запрещает добавить в карту стандартный протокол от токена NFC авторизации. Карта станет вторым фактором. Но это тупо будет отдельный функционал на том же чипе карте.
    Проблема в том, что, во-первых, на данный момент очень малое число пользователей имеют телефоны с NFC. Во-вторых, это требует кастомизации прошивки чипов карт, что достаточного дорого. И, в-третьих, уже выпущенные карты работать в качестве токенов не будут.
    В результате в обозримом будущем подавляющие большинство пользователей всё равно не сможет этим функционалом воспользоваться и нужно будет иметь другой способ, авторизации, который будет использоваться в 90+% случаев.
    А если у вас всё равно должен быть другой способ, то на черта заморачиваться? Проще добавить поддержку стандартного второго фактора, чтобы желающие могли купить себе ключ и радоваться.
    
    inkelyad
    20.02.2021 14:18
    #22709554
    Но это тупо будет отдельный функционал на том же чипе карте.
    Да. Именно это и следовало бы сделать. Вон, тут целых полторы новых платежных системы разработали и внедрили (МИР+система быстрых платежей) и нечего, как-то живем.
    
    Проще добавить поддержку стандартного второго фактора, чтобы желающие могли купить себе ключ и радоваться.
    Все таки не понял, почему нельзя сделать саму банковскую карту этим самым вторым фактором (с тем же самым стандартным протоколом, что у отдельного ключа). Ну да, поначалу функционал будет не у всех и нужно будет специально просить такую. Или даже таки отдельный ключ покупать. Но постепенно (они же не вечные) карты сменятся, телефоны с NFC подешевеют, люди обзаведутся ридерами и проблема 'есть не у всех' пропадет.
    
    Sap_ru
    20.02.2021 14:58
    #22709756
    Карту нельзя сделать потому, что вы таким образом компрометируете карту. Т.е. вам не нравится одна дыра в безопасности и вы в попытках её заделать проделываете вторую.
    Если у вас несколько лет будут и карты и возможность делать «как раньше», то на фига вам карты? Уязвимость-то вы оставили. А если вы можете устранить уязвимость прямо сейчас без карт, то ключ-карты не нужна. Получается, что они в любом случае ненужны. «Л» — Логика.
    Вот потому никто и не делает.
    С МИР и прочим сравнивать нельзя, так как это грязные и кривые руки государства, приносящие вреда больше чем пользы. Вы можете заставить банки заменить все карты, добавить к ним ключи и заставить их использовать для авторизации в приложениях. Но вреда от этого будет больше чем пользы, заплатят за это пользователи карт и не мало, а использовать это смогут только 10% пользователей. Отличная идея!
    Как я уже сказал — есть другие способы. Например, просто разрешить применять стандартные NFC-токены для авторизации. Или биометрию использовать. Тот же Тинькоф умеет в качестве второго фактора биометрию принимать. Более того, сканер отпечатков есть у гораздо большего количества пользователей чем NFC. И каждый телефон с NFC умеет в отпечатки, но не каждый со сканером отпечатком умеет в NFC. Отсюда мораль — зачем вы топите за какие-то хитрые карты и прочее, если нужно топить за использование отпечатков?
    
    inkelyad
    20.02.2021 15:45
    #22709944
    Карту нельзя сделать потому, что вы таким образом компрометируете карту.
    А этого не понял. Почему копрометирую? В смысле, почему приложение авторизации в этой же карте сильно опаснее, чем в соседней, только для этого предназначенной.
    
    Если у вас несколько лет будут и карты и возможность делать «как раньше», то на фига вам карты? Уязвимость-то вы оставили. А если вы можете устранить уязвимость прямо сейчас без карт, то ключ-карты не нужна. Получается, что они в любом случае ненужны. «Л» — Логика.
    Такое же рассуждение работает и для внедрения чипов в картах. "Если нужно оставить обратную совместимость с магнитной полосой, то зачем вам чип? Уязвимость же останется. Если хочется, давайте отдельную, чисто чипованую карту лучше сделаем"
    
    Одноко этого не произошло, а сами чипы почти повсеместно использовать стали. Правда, мнооого лет прошло.
    
    Как я уже сказал — есть другие способы. Например, просто разрешить применять стандартные NFC-токены для авторизации.
    Я, в общем, согласен, но стандартные токены с нужным функционалом как-то сильно отдельно и неудобно покупать надо, а карты — просто банком выдаются.
    
    Отсюда мораль — зачем вы топите за какие-то хитрые карты и прочее, если нужно топить за использование отпечатков?
    Я не верю в биометрию для этих целей. Прежде всего, потому что железку можно уничтожить, после чего никто никуда по ней доступа не получит. А биометрию уничтожить нельзя.
    
    inkelyad
    20.02.2021 13:23
    #22709320
    Ну и, если уж очень не хочется, чтобы карта какой-то пин помнила, можно весь обмен выше модифицировать так, чтобы переданный карте pin она просто использовала в процессе формирования подписи тикета при авторизации. И пускай уже банк, а не карта, разбирается, правильный он был или нет.
    
    M_AJ
    20.02.2021 09:42
    #22708264
    Если и карта и телефон NFC умеют — «приложите карту к телефону и наберите pin».
    Только вот телефон не сможет проверить PIN-код банковской карты.
    
    inkelyad
    20.02.2021 10:31
    #22708488
    pin от SIM-ки он сам проверить тоже не может. Что не мешает его вводить и пользоваться. Тут точно так же. Спрашиваем и чипу карты отдаем, чтобы она операции над счетом подтвердила.
    
    Sap_ru
    20.02.2021 12:14
    #22708978
    При этом телефон должен обладать полной функциональностью банкомата/терминала — мечта кардеров. И всё равно не сработает, так как ПИН банк проверяет, а не карта.
    
    inkelyad
    20.02.2021 12:40
    #22709126
    И всё равно не сработает, так как ПИН банк проверяет, а не карта.
    Не совсем. Есть оффлайновый еще, который именно картой проверяться может.
    
    Sap_ru
    20.02.2021 13:36
    #22709366
    Это от протокола авторизации зависит и в этом случае у карте реально два ПИНа получается, причём, офлайновый не может быть изменён.
    
    inkelyad
    20.02.2021 13:44
    #22709400
    В данном случае речь идет не о протоколе, что при покупке используется, а о том, который следовало бы использовать (по моему мнению) при авторизации банковского клиента. Какой надо пин, такой и будет. Пусть даже другой. Не вижу в этом проблемы.
    
    Sap_ru
    20.02.2021 14:02
    #22709492
    Выше написал, что проблема в том, что вам и протокол нужно добавить и текущие способы оставить. А значит, безопасность вы так не улучшите.
    
    M_AJ
    20.02.2021 09:44
    #22708270
    Если и карта и телефон NFC умеют — «приложите карту к телефону и наберите pin».
    Только вот телефон не сможет проверить PIN-код банковской карты.
1. edogs
  19.02.2021 19:43
  #22706466
  Многие банки давно отслеживают перевыпуск сим карты, и помечают это как потенциальный фрод. Я не знаю как у сбера обстоят дела, но это точно факт, сталкивался с этим сам.
  У сбера никак, недавно меняли симку.
  Оператор (мтс) на сутки заблокировал смс-ки от банков, о чем при смене сотрудник предупреждал.
  Но из всех наших банков (с десяток наберется наверное) на сменку симки отреагировала только альфа, надо было или по телефону кодовое слово назвать или в отделение топать (пришлось топать, т.к. кодовое слово 15 лет назад еще выбирали и не помнили уже). Но и даже она заблокировала не полностью все смс-ки.
  1. LuckyStarr
    19.02.2021 20:22
    #22706626
    Вот уж не знаю, менял симку года 3 назад, пришлось идти к банкомату и запрашивать баланс, для того чтоб заработал. Идти пришлось не сразу, потому что оператор после перевыпуска получение СМС тоже заблокировал на сутки вроде.
  1. SpiderEkb
    19.02.2021 20:34
    #22706674
    СМСки не блокирует, но на сутки блокирует все действия через мобильный клиент и инетбанк. Т.е. зайти туда можно, а деньги перевести куда-то нет.
    
    И при наличии мобильного клиента уведомления и коды могут приходить не смсками, а пушами.
  1. Am0ralist
    20.02.2021 11:15
    #22708660
    втб через месяца 3-4 может начать лочить вам вначале операции в онлайне, но после того как сходите подтвердить в офис ножками еще через пару недель вообще вход в онлайн может закрыть.
    Обновил формфактор симки, мать их…
1. Siemargl Автор
  19.02.2021 19:47
  #22706490
  Эмм. Задам вопрос попроще.
  
  Почему при смене логина и пароля перестала использоваться двухфакторная авторизация?
  
  И логин был уникальным набором цифр и пароль, изначально выдавался банком на листочке.
  1. khulster
    20.02.2021 11:47
    #22708818
    И логин был уникальным набором цифр и пароль, изначально выдавался банком на листочке.
    
    И проклинал за это проклятую сберкассу каждый второй. Весь мир мол, на онлайн перешел, а мы все еще лично с пачпортом вынужденны ходить. Сделали, как просилли массы. Опять не то. Оказывается — хотим лично с пачпортом.
    
    Siemargl Автор
    20.02.2021 11:56
    #22708874
    -1
    Хотим чтобы спросили старый пароль или секретное слово.
    Ходить не очень хотим.
    
    khulster
    20.02.2021 12:06
    #22708926
    +1
    Хотим чтобы спросили старый пароль
    
    При кейсе «я забыл свой пароль»? Отличные вариант. Рабочий.
    Отдельно радует предложение не хранить пароли в закрытом виде, как полагается, а дать возможность рядовому оператору колл-центра видить их в открытом виде. Это безусловно повысит безопасность.
    
    или секретное слово.
    
    Которое не помнит 90% пользователей? Вот интересу ради, поспрашивайте вокруг себя, помнят ли люди свое «секретное слово». Меня в свое время результат поразил. Оказалось, что большинство даже и не знает, что оно есть.
    
    Siemargl Автор
    20.02.2021 12:08
    #22708938
    В этом случае конечно топать. Или дыра в безопасности.
    
    Или лезть в шкафчик с документами и искать заветный листик.
    
    Dolios
    21.02.2021 11:39
    #22712706
    90% вообще чужда эта ваша безопасность. А в итоге имеем описанную идиотскую ситуацию, когда для получения доступа ко всем моим счетам достаточно иметь мой телефон и номер карты. И эту "фичу" нельзя отключить. Я звонил в банк, узнавал. При этом, банки, которые внедрили эту дырявую систему, отказываются нести отвестсвенность за кражу денег со счетов.
1. Siemargl Автор
  19.02.2021 20:15
  #22706590
  -5
  Вообще в целом статья напомнила давно известную историю «Хакер в столовой»
  Да, кстати, историю про мамкиного хакера советую рассказать в лицо ограбленным людям.
  
  Например тому росгвардейцу, который в новости по ссылке.
1. Brother-Ur
  20.02.2021 10:25
  #22708450
  Я не знаю вашу историю, но мне сбер присылал оповещения пуши и все остальное на телефон, которым не пользовался около 6 месяцев и приложение оттуда было удалено. Телефон все эти 6 месяцев валялся выключенным и неактивным. Если сбер не может отследить, что его приложением на телефоне не пользуются и телефон не активен — он правда может отследить, что был перевыпуск карты?

gazkom
19.02.2021 18:11
#22706072
+4
Спасибо, кэп. Можете добавить в заголовок еще целый список: Тинькоф, ВТБ, Альфа…
1. Siemargl Автор
  19.02.2021 20:18
  #22706606
  Они тоже позволяют сменить пароль без дополнительных вопросов и указания предыдущего логина/пароля?
  1. gazkom
    19.02.2021 20:53
    #22706766
    +2
    Да. Не просто сменить, а еще и зарегистрироваться, если вдруг вообще не было логина/пароля
1. Siemargl Автор
  20.02.2021 20:20
  #22711036
  АльфаБанк нет.
  
  Сейчас только выяснилось, что они откатили привязку к онлайн-банку на старый номер телефона. (Как так — другая история, у них вечные проблемы с ИТ и персоналом).
  
  При звонке, чтобы поставить верный номер для СМС подтверждений (пароль логин не менялся) запросили ФИО, дату рождения и секретное слово.

iiwabor
19.02.2021 18:35
#22706178
Если вы потеряли мобильный телефон, на который приходят смс с одноразовыми паролями и подключен мобильный банк, вам нужно немедленно обратиться к оператору для блокировки сим-карты. А на блокировку на вход в телефон лучше поставить надежный пароль, а не FACE ID или по отпечатку пальца. А то, если следуя вашей логике, после банковской карты и привязанного к СБ Онлайн телефона могут еще и палец оттяпать (3.)

SpiderEkb
19.02.2021 19:21
#22706378
После этого, через недобросовестного сотрудника сотовой связи, перевыпускается СИМ-карта

Почти наверняка это не сработает. Не скажу за сбер, а альфе просто поменял симку как-то (старая была, большая, нсменил телефон, нужна была мелкая). Номер тот же. Но… Фиг. Банковский клиент не работает. Пишет что симка поменялась нужно идти в отделение, там с паспортом обратится к оператору и сказать что поменял симку. После этого через сутки разблокируется и можно будет пользоваться.

Так что не так все просто.
1. BoogieMan75
  19.02.2021 19:43
  #22706470
  подтверждаю по альфе.
1. Siemargl Автор
  19.02.2021 19:45
  #22706480
  Менял симку осенью. Банк ничего не спрашивал.
1. numb
  20.02.2021 09:35
  #22708238
  Менял оператора с сохранением номера. Сбер отвязал номер от всех своих сервисов.
1. B0Z0NHIGGSA
  20.02.2021 14:27
  #22709606
  А все почему? А потому как (читаем 382-П (https://cbr.ru/Queries/UniDbQuery/File/85920?fileId=-1&scope=1350)): Оператор по переводу денежных средств обеспечивает приостановление пересылки клиенту извещений (подтверждений) о принятии к исполнению распоряжений и иной защищаемой информации и осуществления перевода денежных средств на основании сообщений (кодов), отправленных с номера телефона, указанного в договоре с клиентом, в случае если оператору по переводу денежных средств стало известно о признаках, указывающих на изменение:
  получателя информации, направленной оператором по переводу денежных средств и используемой при аутентификации клиента;
  отправителя сообщений (кодов) с номера телефона, указанного в договоре с клиентом, на основании которых осуществляется перевод денежных средств.
  К указанным признакам может быть отнесена информация о замене SIM-карты клиента, прекращении обслуживания или смене номера телефона, указанного в договоре с клиентом

Siemargl Автор
19.02.2021 21:35
#22706940
Добавил апдейт в конец текста.

Soorin
20.02.2021 09:35
#22708240
Сбербанк однажды стал засыпать меня СМС типа «Попытка входа в Ваш аккаунт» и т.п… Я долго разбирался и выяснил, что кто-то пытается зарегистрировать аккаунт с тем же логином, что у меня, хотя он весьма нестандартный. И Сбербанк предложил мне единственный выход — сменить логин, что я и сделал…

kinall
20.02.2021 10:22
#22708414
через недобросовестного сотрудника

Если принимать в расчёт недобросовестного сотрудника (любой компании, в принципе), то можно придумать гораздо более интересные сценарии. А если двух и более, то вообще шпионский боевик получится)
1. Siemargl Автор
  20.02.2021 10:35
  #22708504
  Давайте рассмотрим ваши сценарии.
  
  Защищаться нужно от любых, но я привел часто используемые.
  1. khulster
    20.02.2021 12:11
    #22708958
    Давайте рассмотрим ваши сценарии.
    
    Недобросовестный сотрудник банка инициировал перевыпуск вашей карты, отключил вам уведомления, получил ее и воспользовался.
    
    Siemargl Автор
    20.02.2021 12:14
    #22708974
    +1
    В этом случае вина самого банка, а не неизвестных 3х лиц.
    
    Проще найти виновных.
    
    khulster
    20.02.2021 12:25
    #22709048
    В этом случае вина самого банка, а не неизвестных 3х лиц.
    
    Это если вы сумеете доказать, что никакого перевыпуска не заказывали, что не факт, что получится.

О безопасности Сбербанка Онлайн -5

Комментарии (72)

Siemargl Автор

Siemargl Автор

Siemargl Автор

Siemargl Автор

Siemargl Автор

Siemargl Автор

Siemargl Автор

Siemargl Автор

Siemargl Автор

Siemargl Автор