Сегодня меня попытались "развести" интернет-мошенники. Схема обычная и нехитрая - "у вас скомпрометирована карта, пришлите код из СМС чтобы мы заблокировали операцию". Код, естественно, никуда не ушел, но мне стало любопытно какие же мои данные "утекли" и что с подобным кодом могли сделать жулики, я проверил - и мне стало реально страшно.
Итак, господа, что нужно мошенникам для того чтобы полностью скомпрометировать все ваши счета в Альфа-Банке? Как оказалось всего две вещи: номер любой Вашей карты и код из одной СМС. То есть если у Вас банально выхватят из руки телефон с вложенной в обложку картой Альфа-Банка (либо бумажник с телефоном отожмут гопники) то Вы вполне можете помахать всем своим сбережениям белым платочком а заодно получить уникальную возможность ближайшие несколько лет оплачивать долги другого человека. А в схеме с изготовлением дубликата сим-карты мошенникам не понадобится ничего даже красть - Вы узнаете о случившимся постфактум, когда утром заметите что за ночь почему-то перестал ловить сеть Ваш телефон. Одна чертова СМС и знание номера счета или карты - это вся защита которую нужно обойти злоумышленникам. Пароли? Биометрия? Виртуальные карты и лимиты на расходы? Все это у банка существует лишь для видимости безопасности поскольку полностью перекрывается одним-единственным кодом из СМС.
Осознав это и вздрогнув от того что тщательно продуманные и оберегаемые пароли меня на самом деле ни от чего не защищают, я попробовал повторить тот же фокус со Сбербанком. И Вы знаете что? Оказалось что эта же схема прекрасно работает и со Сбербанком тоже. Последовательность необходимых шагов для этого оказалась чуть-чуть длиннее чем в Альфе, которая предлагает такой вариант прямо на заглавной странице, но принцип был тот же. СМС - это единственная защита которую предлагает банк. И как пишут, такая беда, собственно, сегодня практически у всех банков. Увы.
Господа банкиры, я все понимаю, удобство клиента - это очень важно, но Вам не кажется что безопасность клиента - это все-таки немного важнее? Нельзя ли заиметь хотя бы опциональную фичу запрещающую "восстановление пароля" по СМС, без физического визита владельца в отделение банка? Или, как это делает Google, опционально завязав эту возможность на физический токен по типу YubiKey? Да хотя бы начать присылать пароль для входа на указанную при регистрации в банке почту вместо того чтобы предлагать ввести его самостоятельно? И да, я понимаю что банк "в случае чего" ни за что не отвечает так что ему глубоко фиолетово то, насколько надежно устроена авторизация, но я обещаю что по крайней мере я переведу свои довольно заметные сбережения к первому серьезному банку, который реализует нормальную защиту.
Господа пользователи, я читал на Хабре не одну статью о проблемах с безопасностью СМС-авторизации, но даже прочитав их, до сегодняшнего дня недостаточно предоставлял себе масштаб проблемы. Если у Вас есть в банках средства, которые Вам жалко потерять, то во-первых, отключите прямо сейчас показ уведомлений на экране блокировки, во-вторых, прямо сейчас установите на сим-карту пароль, а в-третьих, в ближайшее время зайдите в офис своего мобильного оператора и заблокируйте переоформление сим-карты по доверенности. Я откладывал это действие не один месяц, а сейчас понимаю что был идиотом. Это не защитит Вас полностью (мошенник всегда может переставить симку и выудить PUK через социнженерию у опсоса) но хотя бы даст Вам больше времени на то чтобы успеть обратиться в банк с просьбой отключить интернет-банкинг и поможет оставить больше "следов" указывающих на мошенничество. И напишите в техподдержку своего банка жалобу. Текущий уровень безопасности онлайн-банков - это полное днище. Спишут всё и повесят на Вас огромный кредит на все то щедрое онлайн-предложение, которое банки так любят предоставлять айтишникам.
Если у Вас есть идеи, как еще можно обезопасить свои счета - то пишите об этом в комментариях.
Комментарии (119)
SpiderEkb
28.10.2021 19:55+3Что значит "дубликат симкарты"? IMSI тоже дублируется? Если нет, то увы. Не получится.
Попробуйте просто поменять симку на другую с тем же номером - придется идти в банк и там с документом говорить девочке что вы поменяли карту. И через сутки после этого сможете пользоваться инетбанком и мобильным приложением.
Практически все разводы с деньгами сейчас построены на том, что человека забалтывают и он сам сообщает все коды.
YubiKey хорошо, но гопники могут и его отжать точно также как и все остальное.
И никто так и не привел пример, когда у него перехватили смс и сдернули все деньги с карты. Одни теоретические рассуждения на тему что это возможно.
un1t
28.10.2021 20:36+16У меня 3 банка, я менял симку. Никуда в офис приходить не приходилось. Даже если теоретически такое можно сделать, фактически банки это не делают.
SanSYS
28.10.2021 22:23Однажды менял оператора и когда окончательно переехал, то мне банк сам проактивно позвонил и попросил перезвонить, для восстановления доступа
Ещё знаю, как в одном банке сделана проверка подмены сим-карты: перед отправкой СМС у шлюза рассылки запрашивается текущий IMSI по номеру, и если он отличается от шаблонного в БД, то никакая СМС не отправляется (и производятся дополнительные тревоги)
Боюсь банков, что ведут себя иначе
Жаль не встречал у нас банков с поддержкой юбикеев, но это и понятно – большинству клиентов оно нафиг не нужно. Многие даже не будут OTP генераторы использовать (и бекапить)
sunki
29.10.2021 00:38Звонок ничего не решает, для подтверждения смены сим требуется публичная информация (например номер паспорта). Сейчас некоторые банки вроде начинают требовать подтверждать смену сим в офисе, но раньше этого не было совсем.
YMA
29.10.2021 09:13+2Сбер вообще беззаботен в этом плане - менял симку (на eSIM), менял оператора (MNP) - хоть бы СМС прислали. Единственное, на что надеюсь - что в течение суток после замены SIM оператор блокирует СМС, и я успею отреагировать.
Запрет замены по доверенности не спасет. Много случаев, когда приходят с поддельным паспортом к заинтересованному сотруднику - и меняют симку тупо по совершенно левому паспорту с переклеенной фотографией.
Однозначно нужен второй фактор...
vikarti
29.10.2021 18:58Генераторы есть у ВТБ для бизнеса.
Как и авторизация по ключу на флешке (Не токен, именно криптоключ, надо еще плагин к браузеру).
Все конечно свое.
Вот только существенно и веб интерфейс и мобильное приложение — более чем в одном экземпляре. И как минимум при одном способе входа — не нужно никаких токенов и прочего. Логин, пароль. Для операций насколько помню — СМС.
vikarti
29.10.2021 18:56Смотря какой банк.
У меня последний раз было несколько вариантов (в зависимости от банка), причем это сразу началось:- идите в отделение. да — только в отделение.
- позвоните в банк, а теперь мы вас идентифицируем (нет — речь не только про девичью фамилию материи и кодовое слово, надо например остатки примерно назвать и какие были операции)
- ничего (в ответ на вопрос техподдержке в стиле "а как же так?! вы же такие все из себя технические развитые" ответ был примерно в стиле — "а зачем?.. вы же нашу симкарту перевыпускали. Ну да удаленно". В данном случае у банка свой мобильный оператор и симка именно их)
SpiderEkb
29.10.2021 23:04+1Я в альфе. Как-то пришлось поменять симку. Просто замена с тем же номером.
Ну СМСки на сутки тормознули, об этом предупредили. Но потом в мобайл (мобильное приложение) не пускает - не та симка. В клик (инетбанк) тоже - там логин + пароль + одноразовый код из СМС.
Позвонил в банк - сказали что только лично в офис с паспортом идти. Там поставят отметку что изменился IMSI симки и можно будет новой пользоваться.
Такой вот личный опыт.
Ну и если пользоваться мобайлом, то сначала разблокировать телефон, потом по паролю зайти в мобайл, а потом каждую операцию кроме переводов в внутри своих счетов еще подтверждать кодом из пуша.
В клик, как уже написал - пароль, логин, код из смс и подтверждение отдельным кодом из смс каждой операции (опять кроме переводов между своими счетами).
Такой вот личный опыт.
0serg Автор
30.10.2021 07:43Пароль и логин для Клика не нужны, они «восстанавливается» по СМС и любому номеру карты. Чтобы воспользоваться мобайлом достаточно переставить Вашу симку в телефон злоумышленника. В том и проблема что система кажется надежной и защищенной паролями, но на самом деле она держится лишь на СМС.
То что СМС тормознули — это хорошо и внушает надежду. Но судя по комментариям работает это не у всех и не всегда. И угадать где работает а где нет — нельзя, для пользователя внешне нет никакой разницы вплоть до момента замены симки.
0serg Автор
28.10.2021 20:49Токен YubiKey я могу хранить отдельно в безопасном месте. А вот телефон приходится с собой носить везде. Правда сейчас можно наверное зачастую отказаться от ношения с собой карт, но NFC все же есть не везде да и менять привязку карты к телефону не так удобно как физически выбирать нужную карту.
Про проверку IMSI не знал, спасибо. Но истории про дубликаты-то на чем-то основываются? Вероятно эта проверка есть не у всех, а проверить нормально ли реализован этот уровень защиты (и не перестал ли он работать с этого месяца) довольно сложно.JerleShannara
29.10.2021 01:31А очень легко. g: «У **** утекла информация по клиентам». Меняем симку, на это триггится защита в ****, нам прилетает смс, что «вы этцсамае, симку поменяли, наберите нам и докажите, что вы это вы», звоним, называем ФИО, паспорт, кодовое слово. И всё, новая симка теперь валидная, гуляй рука, вари чифирь, бабулёс потёк.
SanSYS
28.10.2021 22:10Просто для инфы: не так давно вышел YubiKey Bio Series с поддержкой распознавания отпечатков пальцев, см. https://www.yubico.com/cy/store/#yubikey-bio-series-fido-edition
Num
29.10.2021 01:46YubiKey хорошо, но гопники могут и его отжать точно также как и все остальное.
Для этого придумали YubiKey Bio)
Stecenko
29.10.2021 08:44+1У моего брата номер оформлен на сестру.
Когда он потерял телефон, то уговорил оператора из салона сотовой связи (рабочий поселок, районный центр) выдать ему новую симку на тот же номер, несмотря на то, что на руках у него был только свой паспорт. Фамилия, отчество, место жительство совпадали.
Так что и отжимать ничего не надо. Достаточно уболтать оператора на перевыпуск симки.
Но когда я перевыпускал свою симку в областном центре, то, несмотря на предъявленный паспорт, оператор всячески пыталась убедиться, не мошенник ли я, и предупредила, что СМС от банков и т.п. пойдут не раньше, чем через сутки.
borisdenis
29.10.2021 09:54Менял симку, у сбербанка вопросов не возникло, прошел год и всё продолжает работать.
Xapu3ma-NN
28.10.2021 20:19Как оказалось всего две вещи: номер любой Вашей карты и код из одной СМС. То есть если у Вас банально выхватят из руки телефон с вложенной в обложку картой Альфа-Банка (либо бумажник с телефоном отожмут гопники) то Вы вполне можете помахать всем своим сбережениям белым платочком а заодно получить уникальную возможность ближайшие несколько лет оплачивать долги другого человека.
Объясните как банк может Вас защитить от того что у Вас вырвут телефон из рук? Как физическая безопасность Вашего устройства связана с механизмами аутентификации?
Смс-давно не панацея даже OWASP и NIST два года назад рекомендовали не использовать как второй фактор, многие банки предлагают push уведомления, но я понимаю почему они не делают это поголовно для всех. Потому что в потенциальном селе\деревне X нет нормального мобильного интернета, а вот gsm связь с смс есть.
Менять пароль путем физического прихода в банк? Ну сомнительный шаг, это не удобно для пользователя, а очереди какие будут в отделениях? Ведь пароли меняют очень часто просто потому что их забывают.
0serg Автор
28.10.2021 20:44Объясните как банк может Вас защитить от того что у Вас вырвут телефон из рук? Как физическая безопасность Вашего устройства связана с механизмами аутентификации?
На мой взгляд механизм аутентификации не должен быть завязан только на физический доступ к устройству. Иначе зачем вообще городить огород с паролями в интернет-приложениях? Ну считаете что СМС достаточно, так уберите пароли вообще. Сейчас это только создает ложное ощущение безопасностиМенять пароль путем физического прихода в банк? Ну сомнительный шаг, это не удобно для пользователя, а очереди какие будут в отделениях? Ведь пароли меняют очень часто просто потому что их забывают.
Ниже edogs уже написал: можно сделать эту опцию отключаемой. Кто хочет — получает по СМС. Кто не хочет — приходит в банк.Xapu3ma-NN
28.10.2021 20:52Я Вам про кислое, Вы мне про мягкое. Хорошо, спрошу иначе, как опция отключения восстановления пароля по смс спасет вас от этого?
Как оказалось всего две вещи: номер любой Вашей карты и код из одной СМС. То есть если у Вас банально выхватят из руки телефон с вложенной в обложку картой Альфа-Банка (либо бумажник с телефоном отожмут гопники) то Вы вполне можете помахать всем своим сбережениям белым платочком а заодно получить уникальную возможность ближайшие несколько лет оплачивать долги другого человека.
0serg Автор
28.10.2021 20:57+2Злоумышленник банально не сможет войти в приложение для интернет-банкинга, ибо оно требует ввода пароля. А получение СМС ввода пароля не требует. Зачастую оно не требует даже разблокировки экрана.
SanSYS
28.10.2021 22:55+1Если поставить пинкод на сим-карту, то, вероятно, это хоть как-то защитит от чтения СМС в случае кражи/утери телефона (при условии, что симку пришлось вынимать, а заблокированный телефон не показывает содержимое уведомлений)
Вижу три категории идентификации:
Знание – пароли, пины, секретные вопросы и т.п. заметим, что логин не является секретным знанием, т.к. он ± известен всем (телефон/почта)
Владение – телефон в руках, на который приходят СМС, пуши, юбикей, OTP, или иное взаимодействие (спейренное ранее приложение, при первом входе, с приятным ключом ecdsa, например)
Биометрия – отпечаток пальца, тот же фейс ид..., но для авторизации действий нужно дополнительно использовать что-то из предыдущих категорий
Суть – одной категорией для аутентификации/авторизации действий пользователя лучше никогда не обходиться. Это понятно, но банкам просто нереально навязать своим пользователям пинкоды на симки, блокировку экрана и скрытие контента уведомлений на экране. А если это как-то навязчиво требовать, то, скорее, будет отток клиентов, имхо.
Про пинкоды на симки – это вообще не панацея. Когда-то давно я баловался с этим и залочил симку. Для восстановления необходимо ввести PUK код, его я в нуль не знаю. Двинул на сайт оператора, там спросили ФИО и номер паспорта, а в ответ дали PUK-код. Судя по количеству утечек, в сети – пароль к банку из головы будет получше, чем пинкод к симке, которую можно потерять
PS: простите, просто мимо проходил)
Busla
28.10.2021 22:53с пушами есть обратная проблема: банку тоже не стоит доверять на 100% - там тоже встречаются ошибки и неблагонадёжные сотрудники. Наличие/отсутствие СМС хотя бы может подтвердить третья сторона. А в приложении сегодня одни циферки, завтра другие. У меня кстати так было с "карман-банком" - приложение и банкомат расходились во мнениях относительно остатка примерно на 200 рублей.
Protos
29.10.2021 09:10Обычная тема, если ДБО облачное и взято на аутсорсинг у опера услуг информационного обмена, пример у faktura.ru: очень часто делая перевод, банк не досылает в faktura.ru обновленное состояние счета и faktura.ru даже зная что операция успешна, все равно отображает старое значение так как вы могли и две операции условно одновременно выполнить на разных устройствах олно из которых не подконтрольно faktura.ru или операция могла быть в итоге банком «отменена» после успешного ее выполнения.
edogs
28.10.2021 20:22+3Попробуйте просто поменять симку на другую с тем же номером — придется идти в банк и там с документом говорить девочке что вы поменяли карту. И через сутки после этого сможете пользоваться инетбанком и мобильным приложением.
Меняли как-то. Ни в одном банке не понадобилось идти в банк с документами.
В нескольких (да, у нас коллекция банков) не заметили смену вообще, в некоторых заблокировался вход по смс но подтверждения операций по смс работали (т.е. если зайти в ИБ или приложение по паролю, то делай что хочешь), в некоторых позвонили на телефон и попросили подтвердить смену симки назвав паспортные данны (З — защита), в некоторых на сутки вырубился ИБ и включился через сутки автоматом, в паре банков потребовали назвать кодовое слово (тоже так себе секрет).И никто так и не привел пример, когда у него перехватили смс и сдернули все деньги с карты. Одни теоретические рассуждения на тему что это возможно.
Потому что как доказывать это? Банк будет утверждать «сам дурак», попробуй опровергни и докажи что у тебя симку увели:) В даркнете есть услуги по предоставлению смс сообщений по номеру, в том числе и в реалтайме.
Xapu3ma-NNМенять пароль путем физического прихода в банк? Ну сомнительный шаг, это не удобно для пользователя, а очереди какие будут в отделениях? Ведь пароли меняют очень часто просто потому что их забывают.
Проблема не в том что есть легкий способ сменить пароль через СМС. Проблема в том, что его нельзя отключить. Нет возможности отказаться от этого способа.
Дали бы возможность получать пароли только в банке для тех кому это надо — вопроса бы не было, не включил эту возможность — увели деньги — ССЗБ.Xapu3ma-NN
28.10.2021 20:32Проблема не в том что есть легкий способ сменить пароль через СМС. Проблема в том, что его нельзя отключить. Нет возможности отказаться от этого способа.
Дали бы возможность получать пароли только в банке для тех кому это надо — вопроса бы не было, не включил эту возможность — увели деньги — ССЗБ.Тут согласен, сам пытался заставить банк, чтобы подписать с ними бумагу, о том что заявку на кредит могу подать только я лично, путем прихода в банк. Отказали, у нас такого нет. Но я понимаю почему, потому что у них нет такого процесса, он никак не описан внутри банка. А запроса от клиентов на это скорее всего нет, 90% (это моя личная оценка) на это просто все равно. Поэтому банку это не выгодно инициализировать в разработку и.т.д.
Akuma
28.10.2021 20:35Это все только в теории. На деле процент кражи денег именно из-за подмены симки ничтожно мал. Гораздо проще и массовее заболтать клиента и выудить код из смс и прочие данные.
А раз проблему особо не видно, то и банкам пофиг.
Ну и все основные банки замечают смену симки и требуют подтверждение. Хотя тот же Тинькофф у меня только кодовое слово спрашивал, остальные данные не имеют смысла, т.к. давно утекли.
0serg Автор
28.10.2021 20:56+1Я согласен что социнженерия проще и работает в массе своей эффективней.
Но у меня и денег на счету побольше чем у «массы» и я не хочу попасть в этот «небольшой процент» на котором применят более сложные методы изъятия денег.
«Детектирование замены симки» защищает не от всех сценариев и мне приходится по сути верить банку на слово что такая защита существует.sunki
29.10.2021 00:47Подмена симки отчасти это и есть социнженерия. Нужно договориться с оператором в салоне связи. С учетом того, сколько этих операторов по всей стране – не сильно сложная задача.
sunki
29.10.2021 00:45+1Откуда данные про то, что процент подмены симки мал? На деле это гадание на кофейной гуще. Такие случаи происходят, а статистику никто не ведет. Тем более, что нужно считать не только кол-во случаев, но и кол-во украденных средств. Кодовое слово утекает прекрасно вместе с остальными данными.
Akuma
29.10.2021 08:49А откуда статистика по всему остальному? Прям кто-то циферки в экселе увеличивает? Вроде нет.
Пишут обычно люди про свои случаи. И случаев с подменой симки...скажем так мало. А вот "помогите, маму развели" - тысячи. Вот вам и статистика.
sunki
29.10.2021 13:10По какому, остальному? Вот здесь и на других ресурсах про такое пишут неоднократно, я сам лично сталкивался. Судебные дела есть и они в публичном доступе. Если у 9 бабушек украдут по 10 тыс, а у одного человека 500 тыс – стоит или нет на эту проблему обращать внимание? Вы говорите про "процент кражи денег" – не понятно о чем идет речь, кол-во случаев или кол-во денег? И если последнее – кто и где это считает? По истеричным комментариям это посчитать невозможно. Вообще для меня интереснее даже сам факт наличия такой уязвимости, в том числе как иллюстрация того, насколько банкам плевать на безопасность.
upd. Забыл еще важный момент. Если такой "редкий" случай все же случается, вернуть деньги очень сложно, судебные дела могут длиться годами. Потому что опсос никак с банком не связан и по сути ни за что не отвечает.
Sartorio
28.10.2021 20:47Пользуйтесь для входа одноразовыми паролями. И много проблем исчезнет.
0serg Автор
28.10.2021 20:51+2Банки сегодня не предоставляют возможности отказаться от аутентификации по одной СМС.
Про пароли можете забыть, они в текущей схеме не играют вообще никакой роли, разве что от ребенка защитят.Sartorio
22.11.2021 03:55Не все.
Авангард например выпускает скрейтч карты с одноразовыми паролями и позволяет выбирать способ подтверждения оплаты.
Несколько не удобно конечно…
WFF
28.10.2021 21:06+3Если у Вас есть идеи как еще можно обезопасить свои счета - то пишите об этом в комментариях.
Пластиковая карта с дисплеем и клавиатурой для генерации одноразовых ключей. Даже если вы ее упустили вместе с телефоном, генерация ключей выполняется только через пароль, который надо ввести на карте.
Richsor
28.10.2021 21:39+1Непонятно зачем такие сложности, почему нельзя для начала реализовать в качестве второго фактора TOTP/HOTP с помощью приложения. И клиент сам выбирает смс или приложение для генерации одноразовых паролей
WFF
28.10.2021 21:53Ввод пароля в приложении при генерации одноразового ключа можно перехватить например.
xydope
28.10.2021 21:39То есть если у Вас банально выхватят из руки телефон с вложенной в обложку картой Альфа-Банка
Если у вас выхватят из рук карточку, где деньги лежат, первое, что вам необходимо сделать - это её заблокировать.
Осознав это и вздрогнув от того что тщательно продуманные и оберегаемые пароли меня на самом деле ни от чего не защищают.
Всё верно. Как и в любом другом онлайн сервисе, пароль уже практически стал просто защитой от подглядывания в монитор. На любом критическом сервисе помимо пароля необходимо использовать 2Fa.
во-первых отключите прямо сейчас показ уведомлений на экране блокировки
Еще необходимо поставить пин на разблокировку, а также как-то более ответственно за своей техникой следить. Вы же за ключами от квартиры следите?
Зайдите в офис своего мобильного оператора и заблокируйте переоформление сим-карты по доверенности
Да, это стоит сделать, но это не панацея. Если ОПСоС заменил сим-ку по липовой доверке (он уже доказал свою несостоятельность), неужели вы думаете, что по какому-то иному липовому документу не получится перевыпустить вашу СИМ? Вы уверены, что злоумышленник не был в сговоре с сотрудником ОПСоСа? Принесут свидетельство о смерти.
СМС - это единственная защита которую предлагает банк.
Это не так, поинтересуйтесь в своём банке, есть ли возможность приобрести токен для генерации одноразовых паролей. Скорей всего есть, берите! Исключите слабое звено из цепочки.
Текущий уровень безопасности онлайн-банков - это полное днище
Днище - это не безопасность онлайн-банков, а уровень осведомленности конечных пользователей. Банки лавируют между удобством эксплуатации КБ, его безопасностью и гонкой за новомодными фичами, а конечные юзеры в 99% случаев не читают и откровенно игнорируют правила безопасности эксплуатации КБ, как следствие, они же оказываются крайними.
0serg Автор
28.10.2021 21:52+1Если у вас выхватят из рук карточку, где деньги лежат, первое, что вам необходимо сделать — это её заблокировать.
Хватает историй где за то время пока Вы в банк будете дозваниваться (найти другой телефон, найти номер банка, дозвониться, вспомнить номер карты и кодовое слово...) у Вас уже все что можно успеют снять.На любом критическом сервисе помимо пароля необходимо использовать 2Fa.
В текущем виде защита как раз не 2FA, причем единственный фактор защиты — это смс, которое слабже нормального пароля…Еще необходимо поставить пин на разблокировку, а также как-то более ответственно за своей техникой следить. Вы же за ключами от квартиры следите?
Про пин добавлю в статью, а ключи все же а) проще защитить (они реже находятся в руках, их легче спрятать) и б) сложнее использовать.Это не так, поинтересуйтесь в своём банке, есть ли возможность приобрести токен для генерации одноразовых паролей. Скорей всего есть, берите! Исключите слабое звено из цепочки.
Это отличная идея, я зайду в банк и узнаю. Но вроде она у Альфы только для юрлиц…
ifap
28.10.2021 21:50СМС — это единственная защита которую предлагает банк
при подключенной опции онлайн-банка. Впрочем, это зависит от банка, в ВТБ24 вон был вариант сначала карта с кодами, потом железячный генератор паролей. Вряд ли это только у них.0serg Автор
28.10.2021 21:57Без интернет-банка совсем грустно. Элементарно жене перекинуть на карточку денег будет проблематично, не говоря даже о разнообразных услугах оплачиваемых переводом по номеру.
Железячный генератор — это интересный вариант, будет здорово если кто-то поделится опытом. А то гуглинг показывает в основном варианты для юрлиц в формате приложения для ПК.ifap
28.10.2021 23:37Хм, в правилах для физиков у них упомянут генератор паролей, но в справке нашел упоминание его только для юриков и ИП… раньше для физиков точно был.
JerleShannara
29.10.2021 01:38У ВТБ24 можно 100% грохнуть весь онлайн банкинг для физика, т.е. чтобы ни приложение, ни браузер, ни по смс (по СМС только коды от 3D Secure и информирование чтобы было и никаких блин переводов)?
ifap
29.10.2021 02:04Эм… ну кто же запрещает не заключать договор на онлайн-банкинг? Подозреваю, что в любом банке так. Во всяком случае когда я у них обслуживался, на телебанк был отдельный опциональный договор. Да и всегда можно просто не указывать свой телефон в договоре и автоматически никакого онлайн-банкинга.
JerleShannara
29.10.2021 02:16Увы, телефонный номер хотят все. Да и без уведомлений мне проще вообще закрыть все счета во всех банках и поставить работодателей перед проблемой инкассации ради выплаты зарплаты, наличные всяко безопаснее.
paluke
29.10.2021 08:26И гопники отожмут у вас наличку прямо в день зарплаты…
JerleShannara
29.10.2021 13:49Зарплату я получаю в кассе завода, территория завода огорожена, после получения зарплаты я сажусь в личное авто и спокойно еду до загородного дома, там ворота с электроприводом. Если гопники и в таком случае нападают, то это уже не обдолбанная гопота, а ОПГ, которой совершенно пофигу, карта, нал, драг. металлы, шкурки песцов — терморектальный криптоанализатор и пистолет помогут вам снять все деньги со всех карт и счетов и оформить десяток кредитов.
ifap
29.10.2021 12:08Вас не должно парить, чего хотят банки, единственно значимое — чего хотите Вы. Мне мой банк тоже подсовывал анкету клиента, где только что размер трусов не требовалось указать — заполнил только то, что нужно для договора банковского обслуживания, еще дополнительно вычеркнул согласие на получение спама и прочие «бонусы» — схавали не поперхнувшись т.к. прекрасно знают, что настаивать незаконно.
swanrnd
28.10.2021 22:02Не так давно я задумался над безопасности.
И рассматривал такие сценарии.
1) Украдут только карту.
2) Украдут карту с телефоном
3) Украдут карту с разблокированным телефоном.
В общем:
1) Номер карты лучше не светить. Стараться платить Apple Pay и аналогами.
2) На сим карту пароль.
3) На телефон пароль.
4) Не показывать текст смс/банковских уведомлений на заблокированном экране
5) Не показывать текст почты на заблокированном экране. Удивительно, но был кейс. Когда при определённых обстоятельствах хватало номеры карты одного банка и заблокировано телефона с уведомлениями от почты. Очень редко, но было.
6) решить с оператором вопрос о перевыпусках симки.
7) Поставить пароль на банк приложения и почтовый клиент (у меня стоит Spark, там такая функция есть). Есть риск, что украдут разблокированный телефон.
А вообще если есть деньги или желания, то можно посмотреть как ваш банк восстанавливает пароли и шокироваться. Ибо у всех по разному.3aBulon
06.11.2021 17:13Насчет уведомлений — на телефоне вот у меня заблокировано, но сейчас подумал — а на часах то нет. амазфит бип, и там блокировку никакую не настроить. Если отключить показ смс — неудобно, для того и ношу — вбивать что-то, не тянуться к телефону. Как решать кейс? )
nibb13
28.10.2021 22:19Я поступаю маргинально: не имею счёта ни в одном банке.
Но если бы возникла такая необходимость, я бы завязал банк на отдельный номер телефона, сим-карту вставил бы в GSM-шлюз, подключенный к домашней сети и сам озаботился бы безопасностью / удобством использования по своему пониманию процессов.
Схожий подход я уже использую для некоторых чувствительных к безопасности систем. Иногда таргетировано атакуют. Пока что безуспешно.
Явные минусы подхода:
Нужно быть технически грамотным в вопросах безопасности систем и вложить некоторое количество времени в разработку.
Часть такой системы всё равно полагается на "security through obscurity", что плохо по определению.
id_potassium_chloride
29.10.2021 02:10+5А можете подробнее рассказать про свою систему? Если можно, то отдельным хабропостом)
klerik
29.10.2021 12:37+2А как вы получаете деньги за оплату своего труда?
Только наличными? Или может это биткоины?
OKYHb37
28.10.2021 23:15Кто сейчас носит с собой карты в обложке телефона, если есть NFС?
Не хотите, чтобы гопники могли разблокировать ваш телефон и банковское приложение по отпечатку пальца или лицу? Используйте PIN код для входа, а не вот эти "простые и надежные" вещи
Опять же, в ходу до сих пор карточки с одноразовыми паролями, можно юзать их вместо СМС
Мы в компании разрабатывали около банковские приложения и вопрос подтверждения действий всегда стоял особо. С одной стороны нужно сделать максимально простой для пользователя сценарий, иначе он вообще не будет пользоваться сервисом. С другой стороны безопасный для него и для банка в т.ч., т.к. репутационные и юридические риски ни кто не отменял. СМС и уникальная подпись МП сейчас самые распространенные вещи. А если вы потеряли телефон, то надо быстрее бежать и звонить в банк, а не ждать сутки другие
0serg Автор
28.10.2021 23:41+11. NFC не везде поддерживается, да и выбирать физическую карту если их несколько имхо проще чем возиться с приложением
2. Пин на симку, пин на разблокировку, отключить уведомления на экране блокировки. И все равно при этом останется возможность просто выхватить разлоченный телефон из руки.
3. Где, у кого?OKYHb37
29.10.2021 11:26+13. Энерготрансбанк. Вообще, эту тему надо просто в банке уточнять, они точно не вымерли, просто ТОП крупных не пользуется, т.к. это расходы на выпуск
OKYHb37
29.10.2021 11:34Еще есть такие меры по пресечению вывода средств:
Откройте несколько виртуальных счетов и используйте их под разные нужны (что бы, ни кто не знал ваш номер карты);
Храните крупные средства на накопительном счете. Причина? С него можно вывести деньги только на один из ваших счетов, на сторонние счета или карты вывод не будет работать
Установите лимиты на траты. Если вы не планируете покупок крупных - лимит 5к. В среднем хватает на любые покупки из повседневных
Запретите карте покупки в интернете, тоже как один из вариантов лимита
0serg Автор
29.10.2021 11:41+12. Да, вероятно это стоит сделать. Но вначале надо проверить не окажется ли для восстановления пароля достаточно знания номера виртуальной карты
3-5. Бессмысленно. Злоумышленник получает доступ сразу ко всему. Он в том же интернет-банке снимет лимиты и переведет средства с накопительного счета.OKYHb37
29.10.2021 12:11Согласен, что в интернет банк можно конечно получить доступ через МП. Но если у вас похитили телефон, вы вероятно будете знать об этом и сможете заблокировать его.
У нас некоторые сотрудники СБ (информационной) имеют отдельный номер телефона для банковских приложений, который не используют больше ни где. Ну и соответственно отдельное устройство, только для получения СМС кодов.
IvUs
01.11.2021 22:14+1я ношу с собой одну карту, потому как nfc в телефоне, бывает, не срабатывает.
у меня один банк "надёжный", с аппаратным генератором паролей - там основные счета, но нет карт. для карт пользуюсь другим банком, более попсовым, "с кешбеком и шлюхами" - закидываю туда периодически суммы для текущих расходов через систему быстрых платежей.
онлайн-банки у меня живут в папке knox - лишний уровень защиты при утере/краже телефона.
Wesha
28.10.2021 23:58+25Проблема давным-давно решена в США.
Просто в России клиент отдаёт деньги на хранение, и вся ответственность лежит на нём:
— Где мои деньги?
— Ничего не знаем, вот у нас запись: Вы зашли на сайт и приказали нам перевести деньги в ООО "Копыта и Рога". Мы и перевели.
— Это был не я!
— Пароль ваш? Ваш. Значит, вы. Идите лесом.А в США ответственность лежит на банке, который распоряжается вашими деньгами, и несёт ответственность за выполнение ваших указаний:
— Где мои деньги?
— Вот у нас запись: Вы зашли на сайт и приказали нам перевести деньги в Hooves & Horns Ltd. Мы и перевели.
— Это был не я. Вам отдал приказ мошенник. Вероятно, он узнал пароль через дырку в вашей системе безопасности. Почему ВЫ отдали ему МОИ деньги?
— Хорошо, вот Вам Ваши деньги. Мы проведём внутренне расследование и сообщим Вам о результатах. Также мы свяжемся с банком, который обслуживает Hooves & Horns Ltd., и скажем ему заблокировать на счёте спорную сумму до завершения расследования. Мы Вам доверяем, но хотим напомнить, что заведомо ложное сообщение о финансовом преступлении наказывается крупным тюремным сроком.
sunki
29.10.2021 01:12Честно говоря, появление таких статей на хабре немного удивляет. Вроде как люди работают с данными и должны понимать базовые основы безопасности. Но в любом случае спасибо автору, что еще раз поднимает эту тему.
Проблема, о которой идет речь в статье, была очевидна еще лет 10 назад, когда эта свистопляска с смс только начала появляться. Как тогда, так и сейчас, основной вектор атак это человеческий фактор (соц. инженерия). Использование в качестве авторизации механизма, в котором потенциально задействованы тысячи и тысячи сотрудников салонов связи, это очень плохая идея. Тем более, что салоны и опсосы не связаны с банками вообще никак и не несут в случае чего никакой юридической ответственности (на самом деле несут, но это отдельная сложная тема).
сейчас установите на сим-карту пароль
Бесполезно, восстанавливается очень легко.
зайдите в офис своего мобильного оператора и заблокируйте переоформление сим-карты по доверенности
Полезно, но эффективность неопределенная. Юридически никаких последствий это действие не несет, бумагу вам, что такой запрет стоит никто не даст. Если попытаются поменять симку по левым документам (доверенность или справка 2п), могут просто "не заметить", что у вас там какой-то запрет стоит.
В целом согласен с автором, что защита совсем беда. Я бы даже сказал, что ее вообще нет. Ну, для сумм, которые жалко потерять. А если терять нечего, то сойдет и так.
Wesha
29.10.2021 01:48+1Да даже фиг с ним, "перевыпуском симки" и 100500 сотрудников опсосов. Можно без всех этих заморочек — достаточно доступ в сеть SS7 получить в какой-нибудь Бурунди за пригоршню монгольских тугриков. Как говорится, "хорошую вещь SS не назовут".
0serg Автор
29.10.2021 09:48Я не могу говорить за других, но лично я был введен в заблуждение тем что банк требует устанавливать на вход в интернет-банк пароли. Пароль — это достаточно надежный вариант защиты и казалось бы если банк требует его установить да еще и проверяет его минимальную стойкость, то он для чего-то же используется? А в текущих системах, как оказалось, пароль нужен он исключительно для самовнушения клиенту и никакой защиты не дает вообще. Я это не перепроверил в свое время и да, сам дурак в этом отношении.
sunki
29.10.2021 12:55Когда-то давно, вероятно так и было. По крайней мере, входа по номеру карты точно не было. Потом пришли маркетологи и все стало сильно упрощаться. Но даже без этого, если рассматривать смс только как способ подтверждения операций, все равно это не очень хорошо.
third112
29.10.2021 04:35+1На фоне фактов, описанных в статье, хуже всего новый "дизайн" банков. Вчера пытался дозвониться до Сбера. — Совсем недавно это удавлось сделать минут за 10. Теперь слышу: "я ваш голосовой помощник, если нужно заблокировать карту — скажите "блокировка карты", если стали жертвой мошенничества — скажите "мошенничество", если у вас другой вопрос — задайте его, я попытаюсь вам помочь." Говорю: "мне нужен оператор-человек" — Ответ: "к сожалению, все операторы заняты, попробуйте позвонить позже". Говорю: "я подожду". Но обрыв связи, короткие гудки. Так несколько раз.
third112
29.10.2021 04:51PS ИМХО новый сайт Сбера стал неудобным. Сильно тормозит. Был нормальный сайт — зачем надо было менять?
Metotron0
29.10.2021 06:33Я ему сказал "хочу заблокировать карту отца" в надежде, что он не поймёт и соединит с оператором. А он мою начал блокировать. И отказаться никак нельзя, никакие слова не отменяли операцию, а блокировка шла секунды три. Через личный кабинет разблокировать нельзя, хотя такая кнопка есть, но она приводит к ошибке. Пришлось дозваниваться до человека.
Кстати, карту отца я смог отвязать от телефона, блокировать не стал. Отвязать можно просто назвав номер паспорта.
borisdenis
29.10.2021 10:14+3Говорите слово - жалоба, мне помогает, переводят на оператора без проблем. В чате так же помогает.
vikarti
29.10.2021 19:06C ВТБ что чатом что голосом помогает "тупой бот если не знаешь ответа позови оператора", бот "обижается" (в чате прям по тексту ответа видно) но зовет оператора.
JerleShannara
29.10.2021 13:54+1Булькайте в трубку. «Аооарррпп йк йк то» два раза и долгожданное «соединяю с оператором»
Wesha
29.10.2021 22:23Осторожнее там, а то ещё Ктулху вызовете!
JerleShannara
29.10.2021 22:52Да ничего, договоримся с ним, у меня тут культистов хватит на много вызовов. :)
Vabank
29.10.2021 05:42В моем случае Альфа-Банк, когда я обновил SIM-карту, заблокировал Альфа-Клик. Узнал я об этом через несколько дней, когда мне потребовались операции со счетами. После моего звонка в банк все заработало. Наверное в такой блокировке есть смысл...
А как застраховаться от ситуации, когда Альфа-Банк блокирует доступ в Альфа-Клик по заявлению неизвестного мне физического лица, которое просит исключить мобильный номер телефона из базы банка?
А у меня на этот номер завязан Альфа-Клик и другие сервисы. Этим номером я пользуюсь несколько лет, на него приходят СМС, с него звоню в банк и т.п.
Теперь мне нужно доказать, что я имею договор с оператором на этот номер, который достаточно отправить им на E-mail, чтобы актуализировать данные. Безопасно?
Получается, любой может прийти в банк, написать заявление, указать чужой номер и его удалят из базы, как минимум заблокируют доступы к сервисам.
Важный момент, этот номер был указан в банке как дополнительный, хотя я просил сделать его основным и его "делали основным"... но что-то пошло не так..
sunki
29.10.2021 13:15Неприятная ситуация, но не критичная. Деньги то у вас не украли. Если у вас там какой-то недоброжелатель, который сделает это повторно, ну тогда видимо придется завести отдельный номер для банка.
resk0
29.10.2021 07:51+1Мы никогда не будем чувствовать что наши деньги в безопасности. Можно закрутить гайки до безобразия и тогда появятся статьи "захотел сменить номер - потерял все деньги: оказалось что у меня поменялся рисунок пальца, тембр голоса, шрам на лице и т.п."
Безопасность это всегда баланс между удобством и защитой. Это как закапывать деньги на глубину 5м (очень безопасно), но каждый раз их откапывать когда идешь за хлебом - очень неудобно. Пример глупый, но сойдет.
Дубликат СИМ-карты - если Вы потеряли контроль над картой и кто-то сумел его сделать - Ваша ошибка. Зачем винить банк? Мне неизвестны случаи изготовления дубликатов "на расстоянии". Но не сильно и изучал этот вопрос. Это единственное за что надо переживать.
В любом случае у Вас всегда будет ключ к деньгам, который всегда могут "отобрать" грабители - СИМкарта, глаз, палец, голос, паспорт, телефон. Абсолютной защиты нет, но Вы можете себя перенести из категории "ща мы этого сделаем" в категорию "не, тут все сложно". Достаточно просто быть не как все. Заведите себе для СМС-банкинга старый кнопочный телефон и не светитие его всюду подряд, максимально усложните перевыпуск СИМ-карты даже для Вас самих. У меня знакомый даже для таких нужд СИМ-карту оформил за рубежом, где часто бывает. Это вообще топ, наверное. Тут даже не подберешься. Самому перевыпустить сложно (заблокировать легко) - думаю номер телефона который начинается не на +7 сразу отбрасывает Ваш аккаунт как "стрёмный сложняк".
Wesha
29.10.2021 08:44+3Но не сильно и изучал этот вопрос.
Почитайте вот статью, поизучайте...
Хохма в том, что SIM как таковая не нужна, достаточно сказать в сеть "этот телефонный номер обслуживаю я, шлите мне все его данные. Какая ещё аутентификация? "У нас джентльменам верят на слово!"
sunki
29.10.2021 13:24+2"Ничего не понимаю, но осуждаю". Сим карта легко выпускается по поддельным документам (доверенность или форма 2п). И сделать с этим почти ничего нельзя. Можно "запретить" перевыпуск по доверенности, но никаких юридических последствий для опсоса это не несет. Может поможет, а может нет. Есть простые проверенные временем средства для 2fa, которые раньше были довольно распространены. Почему сейчас этого нет даже в виде платной доп. услуги – большая загадка.
> глаз, палец, голос, паспорт, телефон
Ничего из перечисленного не должно быть средством для удаленной идентификации для критичных операций.
iiwabor
29.10.2021 10:08Основная проблема безопасности денег в самом их владельце, клиенте банка - можно накрутить 100500 степеней защиты, но если он сам сообщает код и/или переводит мошеннику деньги, то уже ничего не поможет
Вот тут подробно про это описано:
0serg Автор
29.10.2021 10:43+1Зависит от владельца. Для многих людей это верно, возможно даже для большинства. Меня уже обманывали в прошлом, так что верю что при достаточно хитром подходе можно обмануть и меня. Но бороться с утечкой через себя я могу, а вот с утечкой через СМС — увы толком нет.
slavius
29.10.2021 12:19-1Даже СМС сообщать не нужно.
https://money.onliner.by/2021/10/28/moshenniki-oformili-kredit-na-dekretnicu
Мне сказали, что сотрудница банка заподозрила что-то, выхватила доверенность у мужчины, и тот убежал. Дабы предотвратить оформление кредита, я должна, как сказал «работник» по телефону, в личном кабинете в интернет-банкинге ввести номер своего паспорта. Мне все время повторяли: не беспокойтесь, вы же не предоставляете никакие данные, мы сейчас все проверим и предотвратим. Действительно, по телефону я не сообщала никакую личную информацию — ни карточные данные, ни паспортные.
На карточку Анастасии после этого пришли 3000 рублей. «Работник» по телефону сказал, что это пришли кредитные деньги и переживать не нужно, поскольку договор сейчас аннулируют. После этого деньги пропали — их перевели на неизвестный счет.
lair
29.10.2021 12:30+1Я обратилась в милицию, там сказали, что у меня в телефоне во время телефонного разговора было установлено приложение AnyDesk, через которое мошенники получили доступ к моему телефону и увидели все данные
Какой занятный разговор.
qw1
29.10.2021 14:28я попробовал повторить тот же фокус со Сбербанком. И Вы знаете что? Оказалось что эта же схема прекрасно работает и со Сбербанком тоже. Последовательность необходимых шагов для этого оказалась чуть-чуть длиннее чем в Альфе
А подробнее? Восстановление пароля через сайт отсылает новый пароль на привязанную почту, что как бы второй фактор помимо СМС.0serg Автор
29.10.2021 15:04+1Берем номер телефона. Вводим произвольный пароль на сайте. Появляется ссылочка «восстановить доступ». Жмем ее, вводим номер карты. Вводим СМС-код. И собственно на этом всё — дальше нас встречает форма с предложением создать новые логин и пароль.
qw1
29.10.2021 15:36Да, действительно, нет шага с почтой. Я смотрел инструкцию восстановления к сбер-бизнес, а это другой продукт.
CoolCmd
29.10.2021 23:08а если отключить смс для входа в альфа-клик, то все-равно можно будет восстановить пароль по смс?
Daddy_Cool
30.10.2021 01:48+2Знакомая живет не в России, у неё украли телефон к которому были привязаны российские банки. Она передала свой паспорт через человека прилетавшего в России, я вооружился девушкой похожей внешности, мы зашли в салон связи и восстановили сим-карту.
Это я к чему — паспорт многие носят с собой и он может быть «утерян» вместе с телефоном. Впрочем пауза в сутки на смски от такого защищает.
Zed-nsk
30.10.2021 09:04+1У клиентки и ее сына ломали карты в один день, Тиньков и Сбер. Начали приходить СМСки с кодами. В обоих случаях им позвонили банки и сообщили о блокировке карт в этой связи. Карты перевыпущены, но вопросы остались. Предположу, что у обоих на телефонах завелся крот. Подтверждает мое правило: Никаких мобильных банковских приложений.
korsarer
30.10.2021 21:58Господа банкиры, я все понимаю, удобство клиента - это очень важно, но Вам не кажется что безопасность клиента - это все-таки немного важнее?
Сложность в том, что не все клиенты банков разбираются в том, как это работает. Для многих даже СМС-подтверждение это уже сложно. А чтобы сделать безопаснее, придётся сделать сложнее. Поэтому банкиры выбрали такой путь, чтобы и более менее безопасно и всем доступно и понятно. Иначе клиентов у банка не будет.
Частично соглашусь про необходимость опциональности. На случай если моя карта незаметно от меня попадёт в чужие руки, злоумышленник сможет совершить довольно много бесконтактных покупок, не вводя ПИН-код карты. Из-за этого я был очень удивлен, когда в том же Сбербанке сказали, что карты без NFC они уже не выпускают. А лимит на покупку без ввода ПИН-кода стоит от 1000 рублей. А если я об этом узнаю только через сутки, то к этому времени на карте уже будет 0, и в приложении останутся лишь чеки о том, что человек покупал за мой счёт. Но даже если карта будет без NFC и я каждый раз буду вводить пин-код, не исключено, что кто-то в магазине его подсмотрит и опубликует. Опять же это чаще касается тех, у кого на карте много денег.
den11krs
30.10.2021 23:10+1Спасибо за статью! Мотивирует задуматься о безопастности своих счетов.
История от меня, про ВТБ:
Заказал дебетовую карту с доставкой: курьер привёз в незапечатанном конверте = мог видеть/сфотографировать карту. Плюс не именная.
Заказывают новую, именную. Но это только в физическом отделении. И по телефону сразу сказали, что в отделении смогут закрыт и уничтожить первую карту.
Прихожу получать: девушка из обычного шкафа достаёт стопку карт без каких-то конвертов, ищет мою и отдаёт мне. Без взяких кодов. Ничего.
На вопросы в стиле "Как же так?! Теоретически любой работник офиса может сфотографировать любую карту. А если мои миллионы утекут?" получаю ответ: "Да что вы! Мы же - Работники банка! Зачем нам так рисковать своей работой?" Первую закрыли и разрезали там же.
Вот сижу и думаю: может и вторую туда же? В топку?qw1
30.10.2021 23:30В ВТБ мне понравилось, что хотя бы пин-код ты сам назначаешь в онлайн-сервисе, а в Сбере пин-код дают в конвертике.
JerleShannara
30.10.2021 23:46Вот конвертик я предпочту всегда тому, что надо делать через всякий онлайн. Этот конвертик весьма недурно защищён от кражи кода если что. Но те, кому это не кажется надёжным, могут легко сменить этот самый PIN в банкомате (что несколько надёжнее «процессора» среднестатического пользователя банка)
sunki
31.10.2021 03:52В принципе это около нормальная практика, если не одно но. С некоторых пор номера карт превратились в данные для входа в интернет-банк. Номер карты это почти публичная информация, его можно засветить не только в банке, но и в любом магазине например. Поэтому проблема здесь не в том, что карты без конвертов, а в том, что по какой-то невероятной причине по номеру карты стало возможным логиниться в интернет-банк.
LeVoN_CCCP
12.11.2021 12:39Я думал над этим. И сделал проще.
вариантов было немного:
украдут карту — потратят максимум тысячи 2 (там больше нет) и выбор магазинов не очень большой где не нужен пин
к ней украдут телефон — потратят максимум тысячи 2 (там больше нет)
телефон будет незаблокирован — потратят максимум тысячи 2 (там больше нет).
а схему использую следующую — есть счёт, к нему доступ только через интернет банк, есть второй счёт к нему привязана карта. Если что-то внезапное там лежит 2 тысячи. Остальное предварительно перевести с «закрытого» счёта. Приложениями от банка не пользуюсь — лишняя дырка. Интернет банк логин и пароль я и сам не знаю — они записаны в спец. программе.
Путь по которому меня можно лишить средств — только если я подхвачу какой-то специфичный вирус, но я сижу за сильным фаерволом со всякими no-script и adblock.
Если у меня стукнет совсем паранойя, я банковские данные выведу в отдельный файл и буду туда заходить только со специально сделанной виртуалки на каких-либо никсах.YMA
12.11.2021 13:05+1Восстановят логин/пароль по номеру телефона и карты, затем попросят у банка кредит на карту от вашего имени, наивный банк выдаст 300-500 тысяч. Дальше эти деньги выведут, а вам оставят задолженность. И если вы не успели сообщить в банк о краже до момента выдачи кредита - опаньки.
LeVoN_CCCP
12.11.2021 13:12Пароль не восстановят — только через поход в банк
Логин восстановят — если знают ключевое слово
То есть в кабинет не попадаютqw1
12.11.2021 17:41+2Не указан, какой банк. Как продемонстрировано выше, в Сбере и Альфе отменить восстановление по СМС невозможно. А вы свой банк как проверяли?
LeVoN_CCCP
21.11.2021 11:18Прошу прощения за долгий ответ. Я выяснил этот момент, меня при регистрации ввели в заблуждение (или правила поменялись). Пароль и логин возможно восстановить, но телефона недостаточно, нужна обязательно карта. Теоретически достаточно тогда украсть телефон и сфотографировать карту. Но номера недостаточно нужная вся информация включая CVV. То есть не просто сверху глянуть.
Тут соглашусь, что менее безопасная система, но нужно пройти вот эти 2 шага, что по отдельности более-менее легко, а суммарно разве что используя какие-то большие данные. И вот тут печалит меня только одно, что у банка нет услуги одноразовых карт.
fk01
13.11.2021 22:40Цитирую: "Оказалось что эта же схема прекрасно работает и со Сбербанком тоже. Последовательность необходимых шагов для этого оказалась чуть-чуть длиннее чем в Альфе..." -- это не совесем так. По крайней мере ряд операций, вроде изменения лимитов, требует у Сбербанка голосового звонка и подтверждения кодового слова.
qw1
13.11.2021 23:25То есть, зайдя в личный кабинет, я не могу перевести деньги на другой счёт в размере сверх суточного лимита?
ValCanada
От перевыпуска симки есть простая защита, правда требуется некоторое взаимодействие оператора с банками: при изменении ICCID идет уведомление в единую систему, после чего надо заглянуть в банк лично и подтвердить, что симка была перевыпущена на настоящего владельца.
Что, в прочем, не снимает фундаментальных вопросов о безопасности смс.
0serg Автор
Да, в теории это может работать и защитить хотя бы от дубликатов.
Но судя по тому что истории с дубликатами не раз светились работает эта защита далеко не у всех. А проверить кто как эту защиту реализовал и не отключили ли ее в какой-то момент за ненадобностью довольно затруднительно.
isden
Из личного опыта примерно два года назад — блокируются смс из банков (сбер и втб) на сутки после замены симкарты. Т.е. при перевыпуске сначала пришли смс о собственно перевыпуске на старые симки, потом они отключились. После установки новых пришли смс что от банка ничего не будет сутки.
tvr
В моём случае — когда я заменил SIM-карту (на другой формат, под новый телефон) Альфа почесалась только через три или четыре месяца, в самый подходящий момент заблочив мне все онлайн-сервисы.
ValCanada
Этот момент омрачает, хотя сам не сталкивался. Пару лет назад в черно-желтом банке в Европе буквально сразу сказали ша, действуют ли сейчас все эти меры - не знаю.
JustDont
Я два раза менял симку без изменения данных (один раз по формату, второй раз потому сдохла) именно живя с Альфой, и оба раза мобильный банк мгновенно отваливался, и дальше работал исключительно после визита в отделение, никак иначе.
Dolios
Я тоже 2 раза менял симку и у меня тоже Альфа. Первый раз все отвалилось, а второй мне опсос прислал смс, что все сообщения банков недоступны сутки, после чего все продолжил работать само.
telobezumnoe
как то менял симку для поддержки 4G на билайне и мне все же пришлось сообщать кодовое слово чтоб вертифицировать новую симку, а затем был переход на другого оператора с сохранением номера, так с новой симкой в том же банке всё заработало без каких либо подтверждений
zzuz
Недавно менял сим-карту на esim и банк заблокировал все операции вывода средств пока не позвонил напрямую в банк с кодовым словом и ответами на уточняющие вопросы. Альфа-Банк.