Так случилось, что мне пришлось озаботиться вопросом безопасности моих денежных средств, размещаемых в коммерческих банках. Причина, по которой я занялся данным вопросом – попал на мошенников, которые «подломив» мой личный кабинет в банке увели за 5 минут 60000 рублей. Для входа в личный кабинет банка мошенниками использовался номер карты, который я им дал (т.к. это не запрещено), а также код из sms (под убеждением, что всё безопасно).

Данную потерю воспринял, как оплата «практического курса» по информационной безопасности. По завершению курса задумался: «Где лучше хранить свои денежные средства?». С сайта ЦБ взял список системно значимых кредитных организаций. Т.к. живу в не большом городе, то из списка исключил кредитные организации, у которых отсутствует офис в городе. Также по субъективному мнению "заминусовал" Сбер и Альфа банк. В результате остановился на банке ВТБ.

ВТБ привлек тем, что у него есть:

  • мастер-счет – банковский (текущий) счет физического лица, предусматривающий совершение операций, не связанных с осуществлением предпринимательской деятельности, открываемый Клиенту при заключении ДКО на основании договора банковского счета;

  • текущий счет.

Также ВТБ заинтересовал:

  • широкий список ограничений операций на перевод и платежи;

  • возможность открыть 5 счетов бесплатно.

В моей картинке мира сложилось, что в ВТБ:

  • мастер-счет – это администратор системы, который имеет полный доступ к личному кабинету Банка и может выполнять все легитимные действия без ограничений.

  • текущий счет – это пользователи системы, которые могут выполнять действия согласно их доступам и ролям.

Следовательно, мои ожидания при работе с ВТБ Онлайн и мобильного приложения ВТБ (далее МП ВТБ) были следующими:

Карты

ВТБ Онлайн

МП ВТБ

Примечание

Карта к мастер-счету

Полный доступ ко всем моим счетам и продуктам банка.

Полный доступ ко всем моим счетам и продуктам банка.

Основная карта к текущему счету

Операции могут выполняться только по текущему счету в пределах установленных лимитов.

Операции могут выполняться только по текущему счету в пределах установленных лимитов.

Виртуальная карта к текущему счету

-

-

Ожиданий не было. Простое любопытство показало, что вход запрещен. Данный факт будет использован в моих выводах.

Для подтверждения своей гипотезы к мастер-счету я получил карту в банке ВТБ. К текущему счету открыл основную (именную). Дополнительно к мастер-счету и текущему счету открыл соответственно виртуальную карту.

В рамках проверки моих ожиданий предлагаю ввести термины:

  • пользователь мастер-счета – это клиент Банка, у которого есть основная и/или дополнительная карта, которая привязана к мастер-счету;

  • пользователь счета – это клиент Банка, у которого есть основная и/или дополнительная карта, которая привязана к текущему счету.

Выполнил проверки (см. Таблица 2) в ВТБ Онлайн и МБ ВТБ.

Выводы для ВТБ Онлайн

Положительные моменты:

  • Есть двухфакторная аутентификация.

Отрицательные моменты:

  • отсутствует возможность установить отдельный пароль для пользователя мастер-счета и пользователя счета, т.к. используется единый пароль (см. п. 1.1);

  • отсутствуют ограничения по доступу к информации по счетам в ВТБ Онлайн (см п. 1.3);

  • присутствует разная логика работы ВТБ Онлайн с работой МП ВТБ;

  • отсутствует подтверждение на изменение лимитов по счетам клиента.

Выводы для МП ВТБ

Положительные моменты:

  • вход в МП ВТБ через номер виртуальной карты запрещен.

Отрицательные моменты:

  • отсутствует двухфакторная аутентификация;

  • пользователь счета может изменять лимиты по переводам и платежам(!);

  • отсутствуют ограничения по доступу к информации по счетам в ВТБ Онлайн;

  • присутствует разная логика работы МП ВТБ с работой ВТБ Онлайн;

  • отсутствует подтверждение на изменение лимитов по счетам клиента.

Общие выводы

ВТБ Онлайн и МП ВТБ – это дуршлаг из уязвимостей. Этот вывод подтверждают новости от ВТБ за 30.03.2023 и 07.04.2023. В головах ВТБ хаос и нет общей концепции работы ВТБ Онлайн и МП ВТБ. Есть зачатки по разделению доступов, но это на столько не очевидные вещи, что можно сказать, что их в настоящее время нет.

Единственный положительный момент моих изысканий - вход в МП ВТБ через номер виртуальной карты запрещен. Надеюсь это не погубят в следующих доработках.

Вывод: при текущей реализации ВТБ Онлайн и МП ВТБ опасно для хранения денежных средств в банке ВТБ.

Не много эмоций по текущей теме

ВТБ по каким-то причинам не желает отвадить мошенников от своих клиентов. ВТБ приятнее написать портрет клиентов, которые попадаются на уловки мошенников, чем составить портрет мошенника и включить этот портрет в антифрод.

ВТБ, вы действительно считаете «… рассказывать об активности мошенников – важная превентивная мера, которая позволяет уберечь других клиентов от хищений»? А вы не задумались, что для защиты клиентов от мошенников в ВТБ Онлайн и МП ВТБ добавить:

  • добавить двухфакторную аутентификацию для МП ВТБ;

  • изменение лимитов с sms-подтверждением, как это сделано в банке «Открытие»;

  • разграничение доступов мастер-счета и текущего счета, как это сделано в Альфа-Банк;

  • разграничение входа в ВТБ Онлайн и МП ВТБ для мастер-счета и текущего счета;

  • freezing-период для списаний со счетов при входе в ВТБ Онлайн и МП ВТБ с новых устройств и подтверждением через телефонный звонок клиенту?

Как по мне, то реализация freezing-период (например, от 2 до 5 рабочих дней) для списаний со счетов при входе в ВТБ Онлайн и МП ВТБ с новых устройств и подтверждением через телефонный звонок клиенту позволит сохранить денежные средства ваших клиентов. Что мешает добавить в вашу систему в антифрод проверки на вход ВТБ Онлайн и МП ВТБ с новых устройств с подтверждением этих операций через звонок (да еще зная портрет мошенников)?

ВТБ в новости от 07.04.2023 заявил, что «планирует предоставить клиентам возможность самостоятельно устанавливать самоограничения на дистанционное кредитование». Заявление хорошее, но только техническая поддержка ВТБ ничего про это не знает и не может назвать дату анонса. Буду следить за данной темой и обязательно ею воспользуюсь при первой же возможности.

Прошу представителей ВТБ под статьей не извиняться за сложившуюся ситуацию. Я всего лишь выполнил вашу работу по тестированию ВТБ Онлайн и МП ВТБ на предмет безопасности. Очень хочу видеть от представителей ВТБ сообщения типа: «Устранена такая-то уязвимость. Рекомендуем обновить МП ВТБ до версии ХХ.XX.X.X.», а не ваши извинения.

Таблица 2. Результаты проверок по состоянию на 12.03.2023

Наименование проверок

Мастер счет

Текущий счет

Примечание

Базовая (основная) карта

Виртуальная карта1

Основная карта

Виртуальная карта

1. ВТБ Онлайн

1.1 Регистрация:
- Номер карты;
- Пароль;
- Код из SMS.

Вход выполнен.

-

Вход выполнен.

Вход не выполнен. Ограничение системы

Пароль при регистрации через номер карты мастер-счета и текущего счета одинаковый.
Вывод: пароль единый для входа в ВТБ Онлайн и он привязан к УНК.
Следовательно, по большому счету нельзя разделить вход в ВТБ Онлайн для клиента и для третьих лиц (родственников).

1.2. Раздел «Клиент»

1.2.1 Подраздел «Профиль»

Есть данные основного номера телефона, email, адреса проживания

Отсутствуют данные основного номера телефона, email, адреса проживания

1.2.2 Подраздел «Документы»

Есть данные о моих документах: паспорт РФ, ИНН, СНИЛС

Отсутствует информация о моих документах.

1.2.3 Подраздел «Настройки»

1.2.3.1 «Уведомление»

Управление уведомлениями.

Есть управление уведомлениями. Зачем это сделано?

1.2.3.2 «Безопасность»:

- Вход в приложение:
-- логин;
-- заблокировать учетную
запись.

Изменение логина

Почему можно изменить логин, если он предоставляется для мастер-счета?

- Управление лимитами

Изменение лимитов

Отсутствует возможность изменить лимиты

Это правильно.

1.2.3.3 Переводы по номеру телефона

Настройка СБП

Почему доступны настройки СБП?

1.3 Раздел «Главный»

Видны все счета и продукты банка

По умолчанию видны все счета. Есть возможность открыть новые продукты. Зачем это сделано?

1.3.1 Подраздел «Последние операции»

Полный доступ к истории по всем счетам

Полный доступ к истории по всем счетам Клиента

1.4 Раздел «Платежи»

1.4.1 Перевод между своими счетами

Полный доступ ко всем счетам

Полный доступ ко всем счетам.

Отсутствует ограничение доступа на перевод с других счетов Клиента.

1.4.2 Перевод по номеру телефона, карты, счета

Полный доступ ко всем счетам при выполнении перевода

Полный доступ ко всем счетам Клиента.

Отсутствует ограничение доступа на перевод с других счетов Клиента.

1.5 Раздел «История»

Полный доступ к истории по всем счета

Полный доступ к истории по всем счетам Клиента.

Отсутствует ограничение доступа к истории по счетам.

1.6. Раздел «Справки»

Можно заказать справки по счетам и продуктам Банка

При запросе справок можно получить информацию по всем счета и продуктам Банка

1.7. Раздел «Сервисы»

Полный доступ ко всем продуктам Банка

Полный доступ ко всем продуктам Банка

2. Мобильное приложение ВТБ (версия 17.11.1.0)

2.1 Регистрация
- Номер карты;
- Пароль из SMS

Вход выполнен. Предлагает выбрать пакеты уведомлений «Карты+», «Базовый»

Вход выполнен. Предлагает выбрать пакеты уведомлений «Карты+», «Базовый»

Отсутствует двухфакторая аутентификация. Зачем предоставляется выбор пакета уведомлений для карты к текущему счету?

2.2. Раздел «Клиент»

2.2.1 Подраздел «Основное»

Видны данные основного номера телефона, email, адреса проживания

Видны данные основного номера телефона, email, адреса проживания

Есть отличия в работе ВТБ Онлайн и мобильное приложение для карты к текущему счету

2.2.2 Подраздел «Документы»

Видны данные паспорта РФ, ИНН, СНИЛС, Мои договоры, Заказ справок

Видны данные паспорта РФ, ИНН, СНИЛС, Мои договоры, Заказ справок

Есть отличия в работе ВТБ Онлайн и мобильное приложение для карты к текущему счету

2.2.3 Подраздел «Настройки»

2.2.3.1 «Уведомление»

Управление уведомлениями.

Есть управление уведомлениями. Зачем это сделано?

2.2.3.2 «Безопасность»:
- Вход в приложение:

-- логин;
-- заблокировать учетную
запись.

Почему можно изменить логин?

- Управление лимитами

Почему есть возможность управлять общими лимитами?

Есть отличия в работе ВТБ Онлайн и мобильное приложение для карты к текущему счету

2.2.3.3 Переводы по номеру телефона

Почему доступны настройки СБП?

2.3 Раздел «Главный»

Видны все счета и есть возможно открыть новые продукты.

Видны все счета и есть возможно открыть новые продукты.

Отсутствует ограничение доступа к счетам. Нельзя ограничить доступ к продуктам Банка для карты текущего счета.

2.4 Раздел «Платежи»

2.4.1 Перевод между своими счетами

Полный доступ ко всем счетам Клиента.

Отсутствует ограничение доступа на перевод с других счетов Клиента.

2.4.2 Перевод по номеру телефона, карты, счета

Полный доступ ко всем счетам Клиента.

Отсутствует ограничение доступа на перевод с других счетов Клиента.

2.5. Раздел «Услуги»

Полный доступ ко всем продуктам Банка

3. Банкомат

Выписка по карте

Формируется только по текущей карте

Формируется только по текущей карте

Всё честно и правильно.

Примечание:
1. Проверка не выполнялась.

Комментарии (46)


  1. Ytugator
    09.06.2023 08:20
    +22

    а также код из sms (под убеждением, что всё безопасно).

    Я отдал мошенникам ключ от квартиры, под убеждением, что всё безопасно и они вынесли мой телевизор...


    1. SergeyMax
      09.06.2023 08:20
      +4

      подломив дверь...


    1. Rad-66
      09.06.2023 08:20
      +8

      Даже читать саму статью не стал)

      Но само начало было смешным) и после такого еще хватило смелость (читай глупости) на то чтобы описать сам процесс))

      Даже моя теща в возрасте 80+ заинструктирована до слез посылать в далекий пеший тур всех включая участковых, соцработников , помощников всех мастей не говоря уже о сотрудниках банкоФ и это при наличии КНОПОЧНОГО телефона)


      1. Corsonamor
        09.06.2023 08:20
        +4

        Зря вы не продолжили. Там ещё больше дичи, которая как будто из параллельной вселенной. Типа того, что вторая карта банка - это карта для другого пользователя


        1. achekalin
          09.06.2023 08:20
          +4

          Вы будете смеяться, но, когда я звоню в ТП своего банка, и говорю, что у нас с женой две карты вашего банка (разные договоры), и я жене или она мне переводим порой суммы денег, так вот нельзя ли при этом сделать так, чтобы переводы внутри такого "семейного" набора договоров были бесплатны - мне отвечают "нельзя, но вы можете к своему договору сделать вторую карту на имя жены, и дать ей - и гонять деньги внутри договора".

          Ок, делаю так, потом выясняется, что СМС-подтверждения операций по всем картам приходят на один (мой) номер телефона, и та же ТП на вопрос отвечает - так это же один договор, Вам, мол, и приходит, как владельцу договора.

          Так что "для кого" вторая карта - вопрос один, а может ли пользователь второй карты пользоваться ей автономно от владельца договора, не дергая этого самого владельца договора переспросами про СМС - вопрос другой.

          И такой дичи полно в работе банков. Продолжая свой кейс: ок, имеем с женой две карты одного договора (на разные имена, что характерно) - раз так, ставим с женой на два наших телефона два мобильных приложения - и получаем граблю с уведомлениями. Приложение умеет пуши, но они приходят на один телефон, на тот, куда последним было поставлено приложение. Не на два (что было бы самым простым выходом из положения), а на один, и не на "основной" по договору, а на рандомный из двух, по сути. ТП, достучавшись до программеров, возвращает ответ "ну так это к Эпл или Гуглу вопрос, куда пуши долетают". Программеров понимаю (посылают, т.к. "это не задача программистов", и в плане работ не значится), но неудобно весьма.

          Про код в смс, который не читается телефоном как код (т.е. когда при вводе его телефон не предлагает подставить в поле) уже не говорю. Программисты банка, как видно, любят кульбиты в быту (потому что иначе этот замечательный код не ввести), и не любят тестировать свой софт на реальных телефонах (Самсунг вроде не из третьего эшелона).

          Если что, это я про свой банк, не про ВТБ (который вообще полный зашквар и в UI, в общении с сотрудниками, в процессах; само приложение, которое теперь стало веб-приложением, но которое то и дело теряет авторизацию - т.е. не "приложите палец", а "введите логин и пароль", и все так бестолково и нелогично, что рр-р-р). И, простите, если про сам пост, то я не верю, что человек, столь внимательно заполняющий таблицу под высосанный выдуманный кейс, пришел к выводу, что ВТБ его устраивает как нельзя лучше.

          Также по субъективному мнению "заминусовал" Сбер и Альфа банк

          Да они и заминусованные с ВТБ побороться способны смайлик!

          P.S. А ведь правда, когда-то ВТБ был куда лучше, куда всё делось-то?


          1. Nihiroz
            09.06.2023 08:20
            +2

            Про пуши, это не косяк гугла или эпла. Это просто в базе банка у пользователя подразумевается только один телефон. Поэтому при установке приложения на новый телефон старый токен для отправки пушей затирается новый. Не создаётся новая запись для новой установки приложения, а старая заменяется на новую


          1. sergarcada
            09.06.2023 08:20
            +1

            Если что, это я про свой банк, не про ВТБ (который вообще полный зашквар и в UI, в общении с сотрудниками, в процессах; само приложение, которое теперь стало веб-приложением

            Это вы когда последний раз пользовались? Какое-то время было только веб, это так, но сейчас вполне нативное приложение, без потерь авторизации даже если вы случайно переключились в окно смс.

            Параллельно у меня был счет в Альфа, но каких-то значимых преимуществ перед ВТБ не увидел вообще. Наоборот, принудительной сменой тарифных планов и чехардой с комиссиями подтолкнули отказаться в пользу зарплатного проекта с ВТБ.

            Сбером не пользуюсь "по политическим мотивам", было дело что заморозили мне все счета из-за однофамильца, с тех пор лет 10 избегаю.


          1. bankir1980
            09.06.2023 08:20

            Псб, втб, ренессанс. UI +- одинаковый. На ВТБ оформил первую карту безименную, вторую именную. Первую отдал жене. Платит только в магазинах и пользует в банкомате. В ИМ она карту не использует. Тем более МП ей ни к чему. Могу контролировать траты, которые она делает. Все сообщения о покупках приходят мне. Нас всё устраивает.


          1. vikarti
            09.06.2023 08:20

            Пуши спокойно присылать на сколько надо устройств если разработчики бэка об этом подумали.
            Насчет нескольких карт у разных людей но с совместным использованием — Тиньков хотя бы попробовал что-то похожее на нормальное сделать.
            Можно делать делать совместный счет но нужно указать ФИО и номер телефона того кому даем доступ. Если это клиент тиньков полноценный — он просто видит счет и полноценно пользуется. Если на момент оформления это не был клиент тиньков — полноценно (со всеми допсервисами) не сможет но карта и базовый функционал будут работать. Вот переход между этим состояними не очень хорошо проработан.


            Ах да, с лимитами у Тинькова все очень хорошо (и, в отличии от ВТБ, лимиты на просто-покупки — есть).


    1. vitslepukhin
      09.06.2023 08:20
      +5

      Поэтому теперь задумался о более безопасной квартире и покупаю квартиру только в ЖК "Фродлесс-сити"


  1. nikhotmsk
    09.06.2023 08:20
    +1

    Сейчас начинается эпоха банков, не имеющих отделений. За ними будущее, не надо их игнорировать.


    1. Squoworode
      09.06.2023 08:20
      +5

      "Вот в каком отделении открывали... Ах да. Никуда не приходите."


      1. lovermann
        09.06.2023 08:20

        Вот и идите в своей интернет!


        1. nikhotmsk
          09.06.2023 08:20

          Вы многое пропустили, сейчас не надо идти в отделение, просто приезжает сотрудник банка на автомобиле, вы садитесь к нему в автомобиль, вскрываете конверт с картой. И все, можно пользоваться. Банку легче. Не надо тратить деньги на аренду. Виртуальная карта вообще автоматически настраивается.


          1. dom1n1k
            09.06.2023 08:20

            Надо только сфоткаться с картой и паспортом в открытом виде (для отчетности), а так норм.


      1. K0styan
        09.06.2023 08:20

        В отделении могут ровно так же разводить руками и говорить, что процессы не позволяют. Можно начальника отделения выдернуть, но лучше не будет...


  1. Alex500IS
    09.06.2023 08:20
    +4

    Для входа в личный кабинет банка мошенниками использовался номер карты, который я им дал (т.к. это не запрещено), а также код из sms (под убеждением, что всё безопасно).

    С таким подходом тебе деньги вообще в руки давать нельзя ни в каком виде


    1. Actaeon
      09.06.2023 08:20

      ....


  1. Buchachalo
    09.06.2023 08:20
    +1

    ВТБшники разучились писать рекламные статьи что ли? Видно бюджеты у ребят просели сильно. Такого полотна текста с таблицами и "выводами" не ожидаешь от человека который отдает смс под убеждение...

    п.с. Интересно а что за город такой где нет Сбера, но есть ВТБ?


    1. wepp
      09.06.2023 08:20

      Сбер и Альфу он исключил сам из выбора.


    1. SibVal
      09.06.2023 08:20

      Офис сбера наверняка есть, но автор сам пишет, что "Также по субъективному мнению "заминусовал" Сбер и Альфа банк..."


    1. rak_track
      09.06.2023 08:20

      Город за колючей проволокой.


  1. HelgeTheLappar
    09.06.2023 08:20
    +16

    Человек который дал карту и код из смс мошенникам учит других безопасности, вот это пять, это точно Хабр?


    1. VVitaly
      09.06.2023 08:20
      +2

      Ну как бы есть еще такие, которые считают что смс это безопасный второй фактор...
      А главное что банков "без смс" практически не осталось... На предложение - "Я готов подписать вам любую бумагу, что ответственность за возможные потери беру на себя, но отключите мне смс подтверждение операций!" ответ всегда один "Это невозможно!". :-(


  1. vadimr
    09.06.2023 08:20
    +5

    Мастер-счёт – это просто один из текущих счетов, используемый по умолчанию. Никаких двух уровней привилегий нет.


    1. ifap
      09.06.2023 08:20

      Что такое мастер-счет и зачем он нужен не могут ответить даже сами сотрудники ВТБ, причем открыто признают это ;)


      1. vadimr
        09.06.2023 08:20
        +2

        Вопрос квалификации сотрудников - отдельная тема.

        А мастер-счёт - просто текущий счёт по умолчанию для вашей персоны. Используется, когда конкретный номер счёта не указан (например, при получении денег по СБП).


        1. ifap
          09.06.2023 08:20

          На другие вопросы они более-менее отвечали, а тут ответ был примерно такой: банк так решил зачем-то, отказаться нельзя, берите - хлеба не просит. Мастер-счет был задолго до появления СБП. Вот у меня была два комплекта счетов, по каждой валюте: просто счет и счет карты, а потом появился третий - мастер-счет. Логику тут искать не надо, это ВТБ - она там не ночевала. Это банк, где для перечисления 100 долларов со свой карты на свой же долларовый (некарточный) счет требовалось иметь на счету карты чуть больше 100 долларов, иначе - недостаточно средств. Они переводили через конвертацию в рубль и обратно!!! Зачем никто из рядовых сотрудников не понимал: просто держите на карте чуть больше. Учитывая, что у меня тогда была мультивалютная карта это не доставляло проблем.


          1. vadimr
            09.06.2023 08:20
            +1

            Раньше все расчёты между считками шли через мастер. Сейчас это не так.

            Кроме СБП, на мастер приходят деньги от брокера, всякие бонусы, комиссии и т.д.


            1. ifap
              09.06.2023 08:20

              Возможно, со временем я бы и понял, зачем мне еще один счет с тем же функционалом, что и у обычного текущего, но этот говнобанк попробовал украсть у меня денег и получил в ответ закрытие всех счетов.


    1. nronnie
      09.06.2023 08:20

      Не знаю как сейчас, раньше они те же зарплатные карты вообще привязывали к СКС (специальный карточный счет). А потом внезапно оказывалось, что на такую карту нельзя сделать "обычный" перевод.

      Был у меня еще с ними неприятный момент (но тут, все-таки, не их вина) - ВТБ-24, который под санкциями не был, влился в ВТБ, который под санкциями был, три недели не могли понять, почему мой перевод из-за границы не проходит, хотя еще пару месяцев до этого все было ок.


  1. AllexIn
    09.06.2023 08:20
    +3

    Человек отдавший код из СМС пишет статью как обезопасить свои деньги.


  1. ifap
    09.06.2023 08:20
    +7

    Я просто оставлю это здесь – как иллюстрацию «безопасности» системы ДБО в ВТБ (избранное содержимое заголовка CSP с https://online.vtb.ru/login):

    connect-src <…> https://*.3dsdombank.ru:* https://*.multicarta.ru:* https://paymo.ru:* https://checkout.paymo.ru:* https://magnit.ru https://moy.magnit.ru https://new.moy.magnit.ru https://www.wildberries.ru https://napi.wildberries.ru https://api.flocktory.com https://opefront.vtb24.ru https://web.telegram.org/ https://*.aliexpress.ru


  1. MiraclePtr
    09.06.2023 08:20
    +4

    отсутствует возможность установить отдельный пароль для пользователя мастер-счета и пользователя счета, т.к. используется единый пароль

    Не совсем понятно, а с чего вы вообще взяли, что должно быть как-то по-другому. Как уже сказали выше, "мастер-счет" - это просто "счет по умолчанию".

    пользователь счета может изменять лимиты по переводам и платежам(!);

    Владелец счета может изменять лимиты по операциям своего счета - с ума сойти, ужас-то какой!

    добавить двухфакторную аутентификацию для МП ВТБ

    В 99% случаев вторым фактором являются или push'и или sms - то есть по сути дела второй фактор прилетает на то же устройство, где и работает МП, и смысла в нем особого не будет. То же самое с изменением лимитов из приложения.

    Не, я ни в коем случае не фанат ВТБ (у них очень много чего криво, косо и вообще через задницу), но претензии в статье выглядят, мягко говоря, странно


  1. K0styan
    09.06.2023 08:20
    +5

    Я вообще не понимаю, откуда может возникнуть ожидание какого-то многоролевого доступа для физлица, которое по определению - один человек...


    1. usrsse2
      09.06.2023 08:20
      +1

      Клиентам с диссоциативным расстройством идентичности пригодилось бы


  1. Krouler7
    09.06.2023 08:20

    Примечание:1. Проверка не выполнялась.

    Большая просьба оставлять это в начале статьи.


    1. usrsse2
      09.06.2023 08:20

      Это же сноска, которая относится к столбцу "Виртуальная карта".


  1. nronnie
    09.06.2023 08:20
    +5

    Есть двухфакторная аутентификация.

    Недавно успешно восстановил пароль к ВТБ-онлайн используя только номер телефона и код из СМС. У меня там старые счета, и я им давно не пользуюсь, а причина сходить была та, что мне на телефон стали каждые 15-30 минут приходить СМС с кодами для входа туда, которые я, понятно, не запрашивал. На звонок в поддержку отвечал ИИ, от которого добиться переключения на живого человека за два звонка и в общей сумме минут 40 общения так и не удалось. Хренотень эта началась не так давно, потому что года три назад, когда у меня по какой-то причине (уже не помню) доступ к онлайн-банку заблокировался, то мне пришлось лично по телефону общаться с их СБ, потом отправлять им всякие сканы документов и только после этого они мне доступ восстановили. Статью я бы переименовал в: "ВТБ. Опасно." :)


    1. xSVPx
      09.06.2023 08:20

      Теперь так, увы везде. Однофакторная по симке.

      Нет ни одного крупного банка ктоб пользовался обычными аппаратными токенами. Им не надо. Деньги же ваши уведут, а они свою коммисию возьмут все равно.

      И в каждом крупном банке мне рассказывали про надёжность фейс айди и авторизации по отпечатку пальца в смартфоне.

      АдЬ


  1. MikhailZakharov
    09.06.2023 08:20
    +2

    Двухфакторная аутентификация: то что ты знаешь, и то чем ты владеешь. СМС не может быть вторым фактором по этому определению, так как номер не принадлежит пользователю, а арендуется. И тем более, в случае, когда для входа надо только получить СМС

    У ВТБ, когда он еще был ВТБ 24 были скретч-карты с кодами. А для тех, кто пользовался очень часто был электронный генератор, размером с карманный калькулятор. Вот это была когда-то настоящая двухфакторная аутентификация.


    1. dartraiden
      09.06.2023 08:20

      СМС не может быть вторым фактором по этому определению, так как номер не принадлежит пользователю, а арендуется.

      Зависит от того, что вкладывать в понятие "владеешь". Нигде не оговаривается, что владение должно быть юридическим. Например, если я завладел мячом на футбольном поле, это не делает мяч моей собственностью.


      Скорее, тут вкладывается смысл "имеет на руках в данный момент сим-карту, к которой привязан номер" (при этом, сим-карта существует в единственном экземпляре, двух рабочих сим-карт с одним номером в сети быть не может, а при перевыпуске старая сим-карта превращается в кусок пластика).


      скретч-карты с кодами

      Я выхватил у вас скретч-карту из рук и убежал. Вы ей юридически всё ещё владеете, но в реальности уже не очень владеете, а я, хоть и не владею юридически, но могу её использовать.


  1. QDeathNick
    09.06.2023 08:20
    +1

    Для меня ВТБ самый безопасный банк, так как я уже не пользуюсь им.


  1. nehrung
    09.06.2023 08:20

    Статья косит под рекламу ВТБ, ну а я, пользуясь случаем, дам этой мутной конторе небольшую антирекламу.
    А случилось вот что — банкомат ВТБ увёл у меня 5-тысячную купюру: при внесении на счёт 14000 рублей внеслось только 9000. Я тут же обратился к администратору с соответствующим заявлением, с указанием номера банкомата и точного времени происшествия. Администраторша обещала рассмотреть и дать ответ на следующий день — мол, надо смотреть видеозаписи с камер наблюдения. На другой день получил ответ: "Вы клали в лоток пачку купюр, и на видео не видно, сколько их там и каких именно". Т.е. не видать тебе денег как своих ушей.
    Ну, ушёл несолоно хлебавши, увёл оттуда всё, что там у меня было, и теперь всем советую с ВТБ дел не иметь. Конечно, можно считать этот случай доставшейся мне случайностью, но можно считать его и типичным примером корпоративного подхода к обслуживанию клиентов всей конторы в целом. Я принял второе, и остальных предупреждаю.


    1. bankir1980
      09.06.2023 08:20

      Вероятно самодеятельность сотрудников на местах. Банкомат инкассируют как кассу и излишки и недостачи фиксируют. Просто посмотрели камеру а к инкассатора заявки не сделали. Человеческий фактор. Дураков везде хватает. Возможно совпадение каких то случайных факторов, типа банкомат выдал купюру обратно, но вы ее не увидели в купюроприемнике, т.к. она замялась и торчала где то внутри, а следующий клиент ее уже и получил. Техника иногда тоже сбоит...


  1. SergeyVin
    09.06.2023 08:20
    +2

    К вопросу о безопасности: уехал за границу в 22-м году по понятной причине. В ВТБ осталась приличная сумма, размазанная по мастер-счету и нескольким срочным депозитам. Попробовал в очередной раз зайти в онлайн-банкинг, обнаружил, что аккаунт заблокирован. Ну, бывает: иногда использую VPN, возможно с точки зрения банка скачки между странами выглядят странно. Позвонил. Там предложили для разблокировки назвать точную текущую сумму одного из депозитов. Либо приехать в Россию и прийти в отделение. Больше никаких вариантов: ни СМС, ни кодового слова, ни фотки с паспортом - ничего. Скажите сумму вашего вклада (а там, на минутку, сложные проценты, каждый месяц сумма изменяется) либо идите лесом. Смог им примерно сказать, сколько на мастер-счете, но нет, так нельзя, только сумма депозита.
    Короче, живу теперь без этих денег, может быть однажды разблокирую, если банк еще жив будет.
    Так что все там норм - все безопасно.