Представьте ситуацию: оставили вы на 5 минут без присмотра телефон (например, на зарядке). Возвращаетесь и видите SMSку о переводе крупной суммы денег 3-ему лицу. Представили? А это ведь легко может быть реальностью… В статье пойдёт речь о не очень безопасной системе входа в мобильное приложение Сбербанка, дабы предупредить пользователей о возможности финансовых потерь.

После того, как у меня затупил телефон, мне пришлось сбросить его к заводским настройкам. Установив из Play-маркета приложение «Сбербанк Онлайн», и прождав значительное время, пока приложение сканирует телефон на наличие вирусов, создаётся полное ощущение, что тут всё хорошо с безопасностью. Но каково же было моё удивление, когда после ввода логина и готовности ввести пароль, вместо него меня просят ввести SMS-код, который тут же пришёл на этот же телефон!

Сначала я подумал, что возможно где-то на карте памяти сохранился какой-нибудь идентификатор сессии, из-за которого не надо проходить процедуру ввода пароля, а достаточно пройти упрощённую процедуру подтверждения по SMS. Но это было не так.

Тогда мы с коллегой решили проверить на его телефоне, смогу ли я войти в его приложение. Мы берём его телефон, открываем приложение, выбираем «Сменить пользователя» в меню, вводим логин (который секретным не является и используется им на разных сервисах). И, бинго, опять вводим SMS-код и оказываюсь внутри приложения с полным доступом ко всем финансам! Всё дело заняло пару минут времени.

А как же блокировка телефона по паролю/секретному ключу/отпечатку пальца, спросите вы? Ну во-первых, дело тут не в устройстве а SIM-карте. И полный возврат к заводским настройкам также может свести на нет всю защиту, просто это будет немного дольше.

Кроме того, в ОС куча приложений, которые просят разрешений на чтение SMS. Не удивлюсь, если появится вирус, способный сымитировать вход в приложение с чтением и последующим входом кода из SMS.

А что Сбербанк?


Через обратную связь я писал дважды об этой проблеме сбербанку и оставил отзыв на banki.ru. Но сбербанк судя по всему не считает это проблемой. Кроме того, в условиях использования был найден следующий пункт:

Не совмещайте устройства доступа к системе «Сбербанк Онлайн» и устройства получения SMS-сообщений с подтверждающим одноразовым паролем (например, мобильный телефон, смартфон или планшет). Для мобильных устройств созданы специализированные версии системы.
При утрате мобильного телефона, на который Вы получаете сообщения с SMS-паролем, сразу же обратитесь к оператору сотовой связи и заблокируйте SIM-карту.

То есть фактически приложение нельзя ставить на тот же телефон, на который приходят SMS-ки.

Выводы


Выводы можно сделать только такие — держите телефон всегда при себе, даже когда решили выйти на 5 минут в туалет. Не устанавливайте приложений с доступом к SMS. А ещё лучше — получайте SMS с кодами на кнопочный телефон без приложений.

Комментарии (224)


  1. Murmand
    19.09.2017 18:05
    +8

    Представьте ситуацию: оставили вы на 5 минут без присмотра телефон кошелек

    Думаю так оно получше будет.


    1. Murmand
      19.09.2017 18:10

      И к слову, если вы потеряете к примеру кошелек с пятьюдесятью тысячами рублей, то вероятность этих денег никогда не увидеть гораздо больше чем опустошение счета нашедшим ваш телефон прохожим.


    1. mrchoo
      19.09.2017 18:13
      +1

      Все же, суммы, хранящиеся в кошельке и на счету в банке, могут отличаться на несколько порядков. Это имеет значение.


      1. Murmand
        19.09.2017 18:21

        Бесспорно, для меня к примеру уже давно телефон = кошелек и ни то ни другое я не оставляю без присмотра в малознакомых мне местах, более того у меня отключены всякие глупые переводы по СМС и авторизацию по придуманному мной паролю запрашивает как само приложение (к слову не только сберовское), так и телефон при разблокировке.
        Я думаю при утрате телефона у меня будет достаточно времени для блокировки как счетов так и симкарты.


      1. Wolframium13
        19.09.2017 18:33
        +1

        На сколько я помню, там суточное ограничение в 100 000?. Так что не на порядок, а в два раза.
        *при условии, что за сутки вы заметите пропажу телефона и обратитесь в банк за блокировкой


        1. Black_Shadow
          19.09.2017 21:17

          Вы таскаете с собой в кошельке 50000р?


          1. mphys
            19.09.2017 22:58
            -9

            Сразу видно что вы не из Москвы, тут люди с собой и побольше таскают, на карманные повседневные расходы


            1. mrchoo
              20.09.2017 06:40
              +2

              Да ладно. Пример, конечно, нерепрезентативен, но все мои московские друзья наличку почти не таскают, в основном пластик.


            1. igruh
              20.09.2017 09:44
              +7

              Полтора миллиона в месяц или по полкило чёрной икры в день. Да, мы тут в столице все такие.


              1. vvzvlad
                20.09.2017 14:08
                +1

                Надоела эта чёрная икра, не могу уже. Но и уезжать не хочется. Приходится есть!



    1. arcman
      21.09.2017 09:58
      +1

      Для того что бы получать ваши SMS физический доступ к вашей SIM карте не нужен.
      geektimes.ru/post/288913

      Более того, вполне работоспособной может оказаться схема с дубовым перевыпуском SIM карты по липовой доверенности.
      У меня ломалась карта Мегафон и я заказал новую — ни один банк-клиент подмены не заметил (Альфа-банк, Тинькофф).


  1. basilbasilbasil
    19.09.2017 18:11

    благо на самсах есть knox, туда его и запихнул.
    осталось отрубить перевод по смс на 900.


    1. monster2106
      20.09.2017 10:14

      А это можно как-то сделать? В Сбербанке заявили, что если подключена услуга «Мобильный банк», то такие смс отключить нельзя.


      1. StorkZZ
        20.09.2017 13:21
        +1

        Это называется «быстрый платеж». Нужно отправить «ноль» на 900 для отключения.


      1. dmalov
        20.09.2017 13:48

        Более того, в Сбере мне сообщили, что при отключении опции мобильный платеж (SMS на номер 900) автоматически отключатся и Сбербанк-онлайн (банк на компьютере) и Сбербанк-мобайл (на телефоне).
        При этом мобильный платеж — это огромная дыра в безопасности: если за небольшую мзду сотруднику перевыпустить вашу симкарту (например, в желтом салоне связи в городке Кукуево), то можно переводить деньги с вашего счета просто отправляя SMS. Не нужен не только логин-пароль, но и сам телефон.
        Единственный вариант который удалось найти для закрытия этой дыры — это установить нулевые лимиты на перевод в мобильном платеже (можно сделать через call центр).


        1. icetinte
          20.09.2017 13:53

          Перевыпустите симку и попробуйте сделать перевод. Удивитесь


          1. sumanai
            20.09.2017 16:57

            Зависит от региона, как банка, так и симки.


            1. icetinte
              20.09.2017 18:10

              Мы про разве не про Сбербанк говорим тут?


              1. sumanai
                20.09.2017 18:45

                Сбербанк тоже поделён на регионы, и в разных регионах может действовать разная политика.


          1. 5ergunka
            21.09.2017 09:33

            подтверждаю — после потери телефона и замены сим-карты пришлось заново всё отключать и подключать в сбербанке

            непонятно, какой именно «логин» у автора является «общеизвестным и используетс яна разных сервисах» — в мобильном банке надо знать банковский идентификатор/создать таковой, при этом смс приходит на номер, подключенный через банкомат к карте.


            1. vlivyur
              21.09.2017 16:46
              +1

              Я менял симку раз, жена меняла уже раза три — Сбербанк может и узнал об этом, но вида не подал.
              Выше правильно всё написали — зависит от региона и года.


              1. 5ergunka
                21.09.2017 18:35

                мне в любом случае непонятно, какой такой «общеизвестный» логин использует автор для входа в приложение сбербанка.
                несколько раз после обновления приложения приходилось заново регистрироваться, по почти полному циклу: логин-пароль, смс, пятизначный код для входа в приложение.
                да, в защите куча других дыр, но для всех нужен физический доступ к карте и знание пин-кода — привязать телефон в банкомате. все остальные дыры — в «прокладке между креслом и рулём/экраном»


                1. vlivyur
                  22.09.2017 10:15

                  К логину народ проще относится, его не скрывают так, как пароль. И, как я понял из топика, при установке приложения пароль не просят, только логин и код из смски. Так что вынимаем симку из чужого телефона, вставляем в свой, устанавливаем приложение, вводим логин, а пароль сам придёт на этот же телефон.


                  1. PaulZi Автор
                    22.09.2017 12:17

                    Логин многие используют один и тот же, и мало кто заботится о том чтобы он был сложным и секретным. В частности у коллеги логин был абсолютно такой же как в Telegram.


                    1. vlivyur
                      22.09.2017 12:30

                      Я пользуюсь тем, который мне банк выдал. И не уверен что много народу его меняет.
                      Кроме того, в таком случае необходимо знать жертву, со случайным не прокатит.


                      1. 5ergunka
                        22.09.2017 13:08

                        вынимаем симку из чужого телефона, вставляем в свой
                        ну это вообще дырень в «прокладке» же — пин-код на сим-карту с деньгами не ставить :)
                        Я пользуюсь тем, который мне банк выдал
                        я тоже, но он ведь не «общедоступный»? я его больше нигде не использую, даже не записывал — утечка только на уровне банка может быть, либо, опять же — физический доступ к карте и знание пин-кода карты


                      1. pnetmon
                        22.09.2017 13:38

                        Я пользуюсь тем, который мне банк выдал. И не уверен что много народу его меняет.

                        А если банки будут смену логина предлагать. А большинство сменит как попроще, что используют на других сайтах… как в соц сетях.


                        Другой вектор атаки при установке логина самим пользователем.


                        Кроме того, в таком случае необходимо знать жертву, со случайным не прокатит.

                        Да у нас (в реальности) целые базы (соц сети, сайты, скидочные карты.....) — логин или адрес электронной почты, и номер телефона. Остается только перехватывать СМС на телефонные номера.


          1. arcman
            21.09.2017 10:26

            Между прочим это действительно стоит проверить.
            Вот например когда у меня поломалась симка Мегафон, ни Альфа-банк, ни Тинькофф ничего не заметили.


        1. KorDen32
          20.09.2017 19:15

          Не путайте «мобильный банк» и «быстрый платеж». Для приема SMS от сбера (с кодами) должен быть подключен хотя бы экономичный пакет мобильного банка. Но перевод по SMS — это отдельная опция «быстрый платеж», которая подключается одновременно с подключением мобильного банка, но ее можно отключить


      1. ploop
        20.09.2017 14:13

        А это можно как-то сделать?

        В личном кабинете (в онлайн-банке) в настройках безопасности, если память не изменяет.


        1. sumanai
          20.09.2017 16:58

          Да, остаётся только пополнение своего номера, так что 15к увести при перевыпуске всё равно смогут.


          1. ploop
            21.09.2017 10:17

            остаётся только пополнение своего номера

            Не знал, думал всё отрубается.


          1. KorDen32
            21.09.2017 10:40

            Точнее, остается:
            — просмотр инфы по картам, перевод между своими картами, блокировка карт, блокировка мобильного банка
            — пополнение своего номера
            — SMS-шаблоны (создаются через СБ.О, в банкомате, или контакт-центре)

            Под вопросом еще переводы во всякие фонды-teztour-ЕИРЦ. Из мануалов не ясно, остается ли возможность переводить по ним, если опция отключена.


            1. ploop
              21.09.2017 10:52

              На самом деле при уводе номера (перевыпуске симки например) всё это не имеет значения, т.к. злоумышленник получает доступ в онлайн-банк, где доступно всё.

              А вот от спонтанных переводов с временно бесхозного телефона, а так же от массы зловредов с доступом к СМС вполне спасёт.


              1. KorDen32
                21.09.2017 13:11

                злоумышленник получает доступ в онлайн-банк

                Только если знает логин. А логин в принципе нигде не отображается и не требуется, кроме формы авторизации в СБ.О и в мобильном приложении. Если ваш логин очевиден, совпадает с ником или логином в других сервисах — ну так ССЗБ.

                Скорее злоумышленник получит доступ к почте, большинство почтовых ящиков как раз для восстановления требуют только доступ к симке, даже логина знать не требуется


  1. Helwig
    19.09.2017 18:23
    +2

    Ну вообще весь смысл двухфакторной авторизации пропадает, если вы получаете код на тот же телефон, где установлено приложение. В чем уязвимость-то?


    1. PaulZi Автор
      19.09.2017 18:25
      +4

      При двухфакторной авторизации вам надо сначала ввести «первый фактор» — пароль или пин-код. Тут по сути однофакторная авторизация осталась, т. к. пароль не запрашивается.


      1. Helwig
        19.09.2017 18:43

        Да, это я по прочтении понял. Просто если судить по их FAQ, то сброс девайса и повторная установка считается как новая регистрация, соответственно процедура будет через СМС.
        Не спорю, реализация вызывает вопросы (и нежелание пользоваться), но вопрос в другом. В одной из летних статей по безопасности писали, что бессмысленно спорить о «секурности», если телефон с доступом в руках у злоумышленника. Поэтому и задал вопрос выше — в чем уязвимость?


        1. PaulZi Автор
          19.09.2017 18:48

          А какой смысл задавать 4-символьный пин-код на вход приложение, если его легко обойти зная логин?


          1. Helwig
            19.09.2017 19:02

            Так поэтому и должен быть другой номер (в другом девайсе), на который в случае сброса кода придет смс :)
            Это уже как заповедь любого параноика адекватного юзверя — разделяй телефон с номером, который указан в сервисах, и телефон с сервисами.


  1. murzik_a
    19.09.2017 18:23

    даже когда решили выйти на 5 минут в туалет.

    Или хотя бы ставьте на вибро. Достали уже…
    А если по теме, то какой-то прям уязвимости тут не вижу. Это уже скорее откровенное «не потерял, а про… прожужал».


    1. arcman
      21.09.2017 10:28

      код по СМС это не безопасный канал, его можно использовать лишь как дополнительный уровень защиты, а не отменять им все остальные.


  1. Argem
    19.09.2017 18:23
    +1

    на 5-м андроиде приложения сбербанка требует доступа к смс и падает при запуске, если доступа нет. Но после трех падений приложение запускалось без доступа к смс. Но после очередного обновления, они убрали счетчик в 3 падения, и обойти доступ тремя падениями уже было нельзя. После этого я снес приложение и использую только веб-версию, чего вам и желаю.
    PS: на 6-м андроиде не проверял, возвращаться желания нет, доверие подорвано.


    1. Murmand
      19.09.2017 18:26

      А на андроиде приложение не запрашивает какой нибудь пароль на запуск себя? только СМС код?


      1. Argem
        19.09.2017 18:30

        Насколько помню, можно задать 4-символьный пин-код. И еще надо авторизовать телефон, потом можно его отвязать в веб-интерфейсе.
        Но отказаться от чтения смс нельзя никак…


        1. PaulZi Автор
          19.09.2017 18:33

          Ну вот смысл в этом 4-символьном коде нет никакого получается, можно выбрать «сменить пользователя» и тупо ввести код из SMS. Единственное что понадобится дополнительно — логин.


    1. migelle74
      19.09.2017 18:36

      А какой смысл запрещать доступ сбербанковскому приложению к СМС?


      1. Argem
        19.09.2017 18:43
        +4

        Потому что в силу своей здоровой паранойи, я не могу доверять приложениям, запрашивающим в принудительном порядке такой доступ. Я не верю что, они не прочтут все смс, а не только свои, либо по своей инициативе, либо по софтверному багу, когда совершенно случайно они весь перечень смс отошлют себе на сервер.
        Тем более после одно из обновлений приложение стало требовать доступ к контактам телефона.

        Я не против в принципе таких возможностей, я против навязывания, сейчас нельзя никак отказаться от такого, только штатными средствами андроид, но только приложение не запустится.


        1. 5ergunka
          21.09.2017 15:08

          удалил три года назад приложение русского стандарта — коллекторы начали названивать по номерам из хранилища телефона людям, номера которых банк знать не мог.
          в основном тем, с кем общался достаточно часто.
          т.е. утечки могли быть только на двух уровнях — через «слив оператора», или через «двухфакторную защиту приложения, для чего требуется доступ к звонкам и смс»


          1. pnetmon
            21.09.2017 18:37

            У Сбербанка для андройда в Политика конфиденциально… все прописано:
            1.1. Информация о номерах телефонов из адресной книги устройства.… данные номера телефонов копируются на серверы Банка и могут периодически обновляться.


            2.5 Информация пользователя может сохраняться на ресурсах Банка и его партнеров… а также в течении 5 лет после расторжения таких договоров.


            1. 5ergunka
              21.09.2017 19:01

              т.е. всё «легально», хоть и незаконно: «вы же читали оферту — там всё написано, а вы согласились»


    1. KorDen32
      20.09.2017 00:41

      Сейчас оно требует доступ к управлению телефонными звонками, аргументируя это необходимостью проверки на безопасность, следующим пунктом идет доступ к смс и аргументирует это защитой переписки от мошенников. В обоих случаях при отсутствии доступа не дает продолжить.


  1. mp39a
    19.09.2017 18:30

    На мой взгляд, приложения мобильного банкинга переоценены. Вы рискуете своим счётом, поставив «червивое» приложение из маркета, выпустив телефон из виду на какое-то время или вообще потеряв его. Да и чаще всего банковский софт запрещает работу на рутованном телефоне, просит целую кучу разрешений и по сути служит анальным зондом, исправно собирающим телеметрию о использовании телефона.
    Возможно я не настолько деловой человек, но не могу придумать юзкейса использования приложения, которое бы не покрывали обычная пластиковая карта и смс-информирование о балансе и текущих тратах. Единственный раз, когда мне понадобилось работать с валютным переводом, находясь в дороге, да ещё и за границей — подключился по удалёнке к домашнему компу и выполнил нужные действия в веб-версии «Приват24». А банковское приложение в таком случае, ещё и дополнительной аутентификации потребовало небось — вход из необычного места, нестандартные действия.
    Так что повторюсь: ИМХО, приложения переоценены, жизнь есть и без них.


    1. Argem
      19.09.2017 18:39

      Жизнь есть без них, но с ними удобнее.
      Намного удобнее и быстрее запустить приложение и залогиниться в нем, чем через веб-версию.
      Экономит время, если достаточно часто необходимо совершать переводы и прочия действия в личном кабинете.
      Если изредка, то приложения обычно и не ставят.

      Насчет разрешений полностью согласен.


    1. geher
      19.09.2017 18:42

      А как же блокировка телефона по паролю/секретному ключу/отпечатку пальца, спросите вы? Ну во-первых, дело тут не в устройстве а SIM-карте. И полный возврат к заводским настройкам также может свести на нет всю защиту, просто это будет немного дольше

      А как же пин-код SIM карты? Немного достает, конечно, при выключении-включении и перезагрузке телефона, но помогает от вставки в другой телефон и сброса настроек телефона с очень большой вероятностью (оставляем крошечную вероятность на подбор злоумышленником пин-кода не более чем за 3 попытки или успешный подбор PUC не более чем за 5 попыток).


      Промахнулся...


      1. vsespb
        20.09.2017 01:01

        Ну вот у xiaomi перезагружается 1-5 раз в неделю (судя по форумам, типичная проблема и это не железо). Если я поставлю пин код на симкарту, я просто незамечу что он перезагрузился и до меня будет недозвониться.


        1. rPman
          20.09.2017 01:29

          сообщение о пинкоде выскакивает в виде важного напоминания, не пропустишь


        1. InChaos
          20.09.2017 11:38

          Судя по форумам, нужно добавить еще пару десяток брендов к этой типичной проблеме.


        1. Akon32
          20.09.2017 11:55

          При "автоматической" перезагрузке PIN не запрашивается, при ручной — да.


          1. vsespb
            20.09.2017 11:59

            хм, что-т у меня запрашивался.


  1. pnetmon
    19.09.2017 18:43

    А мне нравится (сарказм) что приходящий пароль входа в интернет банкинг читается в SMS сообщении даже на заблокированном телефоне.


    1. rPman
      19.09.2017 18:46

      это настраивается


      1. pnetmon
        19.09.2017 19:44
        +1

        Прошу рассказать на примере Windows 10 и Android 6.0.1


        Может это и настраивается, но по умолчанию читается. А по умолчанию на сброшенном к настройкам производителя (только купленном в магазине) читаться не должно.


        О уже минусы прилетели.


        1. KorDen32
          20.09.2017 00:48

          Android 6 и 7 — Настройки — Уведомления — На заблокированном экране. В некоторых прошивках вроде еще в 5 андроиде было.


          1. pnetmon
            21.09.2017 17:36

            Попробывал — очень много ругался т.к. отключается все, а нужно только с определенных номеров.
            Включил уведомления обратно. Телефон заблокирован PIN кодом — экран блокировки. Тяну СМС вниз и вижу что всегда можно увидеть весь текст сообщения, даже если он очень большой. Ранее думал что можно увидеть только часть. Жесть полная.


        1. M_AJ
          20.09.2017 11:19

          Для Windows: Настройки — Система — Уведомления и действия — Отобрадать уведомления когда экран заблокирован (поставить тумблер в выкл.)


          1. pnetmon
            20.09.2017 12:04

            Спасибо KorDen32, M_AJ


            Но у меня все равно остается мнение что текст в СМС сообщениях должен быть таким чтобы пароль не читался при заблокированном экране. Определенная длина и сам пароль в конце текста.


            1. konst90
              21.09.2017 10:35

              А мне например удобно просто смахнуть «шторку» вниз и ввести код подтверждения, не открывая СМС.


              1. vlivyur
                21.09.2017 16:58

                Шторка это не экран блокировки, у меня за шторкой можно всю смску прочитать, какой бы длины она ни была. Так что у Сбера всё правильно сделано, в отличие от некоторых других банков, которые жмутся указывать реквизиты к которым этот пароль действует и присылают всё в одной СМС (а не 3-5, как у Сбера).


    1. nidalee
      20.09.2017 09:00

      Да, очень удобно: не надо поднимать телефон со стола, чтобы разблокировать, и можно прочитать код на умных часах не открывая уведомление на полный экран.


  1. berezuev
    19.09.2017 18:44

    Чтобы навсегда отбить желание пользоваться Сбербанком, достаточно взять iPhone держателя их карты и сказать ему заветное:
    «Siri, отправь смс с текстом перевод 9151234567 6000 на номер 900»
    И да, защита паролем с отпечатком пальца не спасёт.


    1. Argem
      19.09.2017 18:46

      Если подключен мобильный банк только, и то потом будет смс с кодом, без которого перевод не произойдет.


      1. rPman
        19.09.2017 18:47

        мобильный банк подключают почти автоматически для получении информации о переводах, и мало кто знает о его облегченном варианте.


        1. Argem
          19.09.2017 19:04
          +3

          В облегченном варианте зато оперативно не узнаешь баланс при его изменении.
          Специально зашел в личный кабинет. В разделе мобильного банка есть услуга «Быстрый платеж» — она включена по умолчанию, вот ее и надо сразу отключать, это хоть от всего и не спасет, но все же.
          Быстрый платеж – это услуга Мобильного банка, с помощью которой Вы сможете оплачивать услуги сотовой связи для любого номера, а также переводить деньги другому частному лицу на карту Сбербанка по номеру телефона получателя


          1. rPman
            19.09.2017 19:58
            -1

            беда в том что я этой услугой пользуюсь, она мне нужна


    1. Barsuk
      19.09.2017 21:29

      Поэтому нужно запретить работать сири на заблокированном девайсе, не запретили кто ж вам виноват


    1. M_AJ
      20.09.2017 07:53

      Разве Siri отправит СМС, если телефон заблокирован?


      1. dimka-zzz
        20.09.2017 19:23

        Да, отправит. Проделывали такой путь в офисе где-то полгода назад (насколько я помню, эта лазейка существует не первый год). Потом приходит смс с подтверждением, а потом отправляете еще раз смс с кодом подтверждения. Вуаля — деньги ушли.


        1. konst90
          21.09.2017 10:37

          Потом приходит смс с подтверждением, а потом отправляете еще раз смс с кодом подтверждения

          А разве нельзя настроить iOS так, чтобы при заблокированном экране не было видно содержимого SMS?


    1. YMA
      20.09.2017 17:36

      Не пройдет по 3 причинам:
      — «Привет, Сири» отключено;
      — показ текста входящих СМС на экране блокировки выключен;
      — «Быстрый платеж» в сбербанке отключен (отправлен NULL на номер 900);

      Ну и отпечаток пальца и PIN-код на симку — само собой.


  1. rPman
    19.09.2017 18:45

    к сожалению, пока нет удобного миниатюрного устройства для приема и чтения sms, носить два устройства — неудобно.

    p.s. я был бы безмерно рад двухфакторной авторизации по таймкодам на любые действия. включая мобильный банк


    1. ValdikSS
      19.09.2017 18:52
      +3

      Раньше у ВТБ24 были пластиковые карты одноразовых кодов, было очень удобно. Обычная маленькая карта со 119 кодами, которые нужно вводить для каждой операции. Я мог переводить деньги там, где есть интернет, но нет сотовой сети. Потом их почему-то сменили на самую идиотскую, совершенно для этого не предназначенную и небезопасную технологию — СМС-подтверждения.


      1. rPman
        19.09.2017 19:59
        +1

        у сбербанка тоже есть одноразовые коды, распечатка в любом банкомате — 20шт
        дико неудобно, я пользовался когда то давно ими, кончаются внезапно, при распечатке новой — оставшиеся с прошлой бумажки — отменяются


        1. Barsuk
          19.09.2017 21:38
          +1

          Уже нет этого, только смс.


        1. ValdikSS
          19.09.2017 23:49

          У ВТБ все сделано было грамотно: можно было взять карту про запас, а потом ее активировать. Причем активировать следующую можно только тогда, когда закончились коды на предыдущей.


        1. Akon32
          20.09.2017 11:56

          Года 3 уже как нет.


        1. vlivyur
          20.09.2017 14:38

          Всё уже, нет такого. И вообще-то это как раз нормально, что предыдущие отменяются.


      1. IgorGIV
        19.09.2017 23:38
        +1

        Вы и сейчас можете переводить деньги через телебанк там, где есть инет, но нет сотовый связи. Включите пуши в настройках и тогда даже с только вай-фаем они (коды) будут приходить без проблем.


        1. ValdikSS
          19.09.2017 23:47

          Я не пользуюсь телефоном, и не всегда с собой его беру, соответственно, программы тоже не устанавливаю. Увы, далеко не у всех банков есть уведомления по email, поэтому я к каждому своему написал программу, которая заходит раз в 15 минут и проверяет баланс, а в случае его смены отправляет email.


          1. bars_arseniy
            20.09.2017 09:15

            поэтому я к каждому своему написал программу, которая заходит раз в 15 минут и проверяет баланс

            Хочу уточнить, так как идея мне очень интересна.
            — к каждому своему банку?
            — если к каждому банку, то как реализовано? Программа крутится где-то (где?), заходит через веб интерфейс, парсит содержимое страниц и сравнивает остатки с предыдущими данными?


            1. ValdikSS
              20.09.2017 09:45

              — к каждому своему банку?
              Да.
              Реализовано это просто: программа запускается на моем домашнем сервере по cron. У банков с API используется API, у банков без API используется Selenium.


              1. rPman
                20.09.2017 11:38

                поделитесь наработками на github если у вас много банков


                1. ValdikSS
                  20.09.2017 11:44

                  Нет, не много. Есть для Кукурузы и для Альфа-Банка. Скрипты очень простые, написаны плохо, сами не умеют отправлять сообщения (сообщения отправляются cron'ом), поэтому не думаю, что они будут кому-то нужны в таком виде.


                  1. rPman
                    20.09.2017 15:51

                    парсеры уже полезны



      1. Ryle
        20.09.2017 16:29

        У Юникредита пока что есть (?) такие карты с кодами. Взятая весной пока что работает, во всяком случае. В последний раз когда брала ее в банке, меня убеждали перейти на смс-информирование, «это же проще!».


  1. MikeVC
    19.09.2017 18:47
    +1

    Дык там еще круче есть. Отправляем сообщение на 900 и вуаля денежки переведены.
    Жулики сейчас грамотные пошли и первым делом пробивают ворованный телефон на «900»
    сторонние скрипты на сбербанк ондай никудя не делись.
    Моя резалка показывает:
    google-analytics.com
    googletagmanager.com
    yandex.ru

    Вывод: не пользоваться сбером или не держать там сколь нибудь существенные суммы. Что я и делаю.


    1. sumanai
      19.09.2017 21:18

      Вывод: не пользоваться сбером или не держать там сколь нибудь существенные суммы. Что я и делаю.

      Хотелось бы, но увы, в моём захолустье под названием Самара я не видел банкоматов других банков, кроме сбера и газбанка, где всё ещё неудобнее.


      1. motpac
        19.09.2017 23:02
        -1

        А вот не надо про Самару так! В городе огромное количество банкоматов отличных от Сбера банков. Кроме того, многие банки объеденены в партнерские сети вплоть до того, что вы можете пополнять свой счет в банкомате другого банка. Вы бы прогулялись по городу то, да в другие банки загляните.


        1. sumanai
          19.09.2017 23:20

          Возможно они и есть, но не по пути с работы домой или в ближайших магазинах. Гулять по городу конечно замечательно, но не на регулярной основе для снятия зарплаты.


      1. Dolbe
        20.09.2017 11:55
        +1

        Тинькофф, например.


        1. arcman
          21.09.2017 09:34

          Но на нем тоже лучше крупные суммы не держать. Тинькофф в красной зоне и по нему может внезапно наступить страховой случай.
          И с безопасностью в Тинькофф тоже не супер — пароль от банк-клиента легко сбрасывался по смс.


          1. a1ien_n3t
            21.09.2017 09:52

            А где можно почитать, что там все не так хорошо(«Тинькофф в красной зоне»). Мне правда интересно.


            1. arcman
              21.09.2017 10:05

              www.money-in.org/rejting-bankov-rossii-po-nadezhnosti
              Из известных мне случаев, все банки лишенные лицензии сначала попадали в желтую зону, потом в красную.


          1. Dolbe
            21.09.2017 10:00

            Банк-клиент — имеете ввиду мобильное приложение? Все хотел попробовать проверить, как автор поста со сбербанком, но вот только руки не доходят)


            1. arcman
              21.09.2017 10:10

              нет, веб приложение.
              год назад проверял, достаточно было только номера карты и телефона что бы завладеть счетом.


          1. fouriki
            21.09.2017 10:29

            Откуда дровишки про «красную зону»?
            Вроде как один из немногих (или единственный?), кто не берет деньги у ЦБ.
            Вроде как и страховому случаю неоткуда взяться


            1. arcman
              21.09.2017 12:26

              www.money-in.org/rejting-bankov-rossii-po-nadezhnosti

              Страховой случай наступает когда банк не может далее исполнять свои обязательства (банкрот).

              Тинькофф проводит рискованную агрессивную политику, поэтому риски наступления страхового случая для них так же высоки.
              Если они где то облажаются со своими кредитными картами, то не смогут выплачивать проценты держателям дебетовых карт.
              А недавний инцидент с NEMAGIA тому подтверждение.


  1. Palazur
    19.09.2017 18:57
    +4

    Имхо развод паники на пустом месте. Гораздо проще человеку нашедшему телефон, не пытаться разблокировать телефон пытаясь подбирать пароль, а в тупую вытащить из телефона сим-карту и вставить в свой телефон и спокойно посредством смс команды вывести все деньги со счета, к которому привязан этот номер. Так что это не уязвимость приложения, а уязвимость подхода к обеспечению безопасности в принципе ( читайте — никакой безопасности тут нет и не будет априори).


    1. MikeVC
      19.09.2017 20:41
      +2

      Вот именно так и сделают в приложуху не полезут а просто отправят смс на номер 900.
      Проблема в самой политике сбера. Вот эта фишка с кодом 900 не отключаемая. Верно защититься можно только не держать деньги на карте. А держать на другом счете не доступном через мобильный банк и пополнять карту по необходимости.

      Сбер официально поддерживает мелких жуликов.


      1. PaulZi Автор
        19.09.2017 21:11

        В случае описанном в статье, доступ получается по всем счетам.


        1. HappyGroundhog
          19.09.2017 21:47
          +1

          По всем счетам, привязанным к мобильному банку. Это тоже настраивается, если что, во взрослой версии сбербанка-онлайн. Там же можно отвязать счета от банкомата или устройства самообслуживания.


      1. rever
        19.09.2017 22:30

        "Вот эта фишка с кодом 900 не отключаемая" — цифра 0 на номер 900. Но нет, вы не знали, вам оно не надо, вам посклочничать надо.


        1. MikeVC
          19.09.2017 23:13

          Ну да немного ошибся. Это мобильный банк не отключаемый если есть сбербанк онлайн.
          Однако фишечка включена по умолчанию.
          И как ее отключить надо еще поискать на каждом углу не написано.
          Зато на каждом углу написано и регулярно СМС спам приходит как с помощью этой фишечки отправить перевод. Вобще по наглости СМС спама сберу нет равных!
          Особенно «мы заметили что вы оплачивали тото-тото. Чтобы повтороить платеж отправьте....»


          1. sumanai
            19.09.2017 23:22

            Я отписался в поддержку через сбербанк-онлайн, и меня отписали от рекламных рассылок. Хотя то, что это включено по умолчанию, конечно свинство.


          1. Skerrigan
            20.09.2017 05:11

            При открытии счета и получении карты в заявлении не ставил галку о согласии на мобильные платежи. В итоге были долгие разборки. Но 900-й номер у меня более не работает вообще никак. Мобильного банка больше нет. Приложение из маркета есть.


        1. EvgeniyNuAfanasievich
          20.09.2017 16:52

          Отправил.
          в Ответ: «Бесплатная опция „быстрый платеж“ отключена. Подключить опция можно в Сбербанк онлайн»
          Причем я был уверен, что оно у меня уже давно отлючено. хм…


          1. Gerh
            20.09.2017 17:33

            Её периодически включают без вашего ведома.


          1. KorDen32
            20.09.2017 19:19

            У вас несколько карт? С тех пор как отключили, какую-либо новую карту (не перевыпуск) получали? Вот он и подключился для той карты, которую вновь добавили в мобильный банк…


            1. EvgeniyNuAfanasievich
              21.09.2017 10:29

              да уже почти 3 года прошло с получения последней. Отключал я эту хню явно позже. Ладно, будем мониторить сию бяку!


              1. ploop
                21.09.2017 10:55

                Только что посмотрел в онлайн-банке — там в настройках мобильного банка на каждой карте написано, включена услуга «быстрый платеж» или нет. Ну и настройки соответственно все есть.


      1. rustavelli
        20.09.2017 00:26

        держать на другом счете
        уточню. На другом счете в другом банке. Например в таком, которому не наплевать на своих клиентов.


      1. KorDen32
        20.09.2017 00:53

        фишка с кодом 900 не отключаемая

        Через сб.онлайн можно отключить «быстрый платеж». Тогда по SMS останется только перевод по шаблонам и на свой мобильный.


        1. moviq
          21.09.2017 09:33

          Не подскажите в каком это месте на сайте?


          1. KorDen32
            21.09.2017 10:30

            Настройки — мобильный банк — в разделе «детали подключения» у каждой из карт. Либо можно отправить «0» (или «НОЛЬ», «НУЛЬ», «NULL») на 900.


      1. dravor
        20.09.2017 10:15

        Сбер в обход правил Visa и MasterCard теперь при смене карты требует либо купить у них же (!) страховку от мошенников, либо говорит: «тогда проблемы лично ваши, раз страховку не берете».


        1. KorDen32
          20.09.2017 19:22

          Чего? Какой обход правил? Все эти страховки пытаются навязать, но по фроду без проблем возвращают деньги без всяких страховок.


          1. dravor
            20.09.2017 23:16

            По фроду вы можете пожаловаться только в ваш банк. О нарушении же правил платежных систем сами банком вы как физ лицо туда пожаловаться не сможете.


            1. KorDen32
              20.09.2017 23:41
              +1

              Так а о каком нарушении/обходе правил речь? Только не беря в расчет то, что говорят клиенту, когда навязывают старховку, а что на практике не так?


              1. dravor
                22.09.2017 23:03

                Правила международных платежных систем говорят, что банк-эмитент компенсирует держателю карты потери от мошенников. Требование вместо этого заключить страховку — прямое нарушение, с моей точки зрения.


                1. KorDen32
                  22.09.2017 23:39

                  Требование вместо этого заключить страховку

                  И опять я повторю: если не брать в расчет то, что говорят клиенту, когда навязывают страховку — были конкретные отказы в возврате?

                  Мне подобное говорили практически каждый раз когда приходил в Сбер по поводу карт последние года два, всегда вежливо отказывался.

                  А буквально этим летом впервые попал на фрод, до сих пор не могу понять, где мог слить данные карты. Позвонил, заблокировал карту, на следующий день пошел в отделение. Опять были предложения страховки при написании заявления о фроде — я поинтересовался чем бы отличался процесс в данном случае, если бы была страховка, и в очередной раз отказался. Перевыпустили карту за неделю, еще через неделю вернули деньги.


    1. geher
      19.09.2017 21:16
      +1

      а в тупую вытащить из телефона сим-карту и вставить в свой телефон

      Активируем защиту по PIN коду, и ни один телефон не отправит СМС с данной сим-картой без ввода кода.


      1. Palazur
        19.09.2017 21:29
        +1

        Ой да бросьте, кто сейчас активирует пин код на сим карте? Вы, ваш друг и еще 10% от всех пользователей смартфонов в мире да и зачем, когда есть пароль на телефоне? Многие уже и не помнят, что на сим карту можно установить PIN.


        1. bars_arseniy
          20.09.2017 09:22

          Я, конечно, согласен с тем, что решать проблему с безопасностью в приложении включением пинкода на сим-карте не верный подход.

          Но вот не включать пинкод на карте — это ССЗБ. Сейчас номер мобильного телефона указывается в стольких местах, что можно огрести проблем, если его потеряешь и быстро не заблокируешь.
          И ваш комментарий натолкнул меня на эту мысль. Выходит не зря я до сих пор использую пинкоды на симкарте и помню их.


        1. padalkofedor
          21.09.2017 09:34

          Спасение утопающих дело рук самих утопающих.
          Если не знаешь как поставить пин-код на симку и блокировку на телефон, значит тебе вообще нельзя пользоваться услугами любого банка. Храните наличность под подушкой.


  1. tuxx
    19.09.2017 20:30
    +1

    Было бы достаточно запретить приложению читать смс, но без этого оно не работает, а вроде как с недавних пор они еще и все ваши контакты, сообщения, фотографии, местоположение, ip могут слить через свое приложение
    У себя на MIUI 8 перенес приложение сбера во «второе пространство» и личные данные для приложения не доступны


    1. maxzhurkin
      19.09.2017 22:09

      Прекрасно оно работает и без доступа к SMS и без доступа к контактам, специально проверил только что


      1. tuxx
        20.09.2017 20:28

        У меня при запуске спрашивает доступ к контактам и смс. Я запрещаю. Приложение пишет что для безопасности приложения необходимо разрешить управление телефонными звонками. И так до бесконечности. При этом на заднем фоне видно что запуск приложения останавливается на этапе «инициализация антивируса» и больше не двигается вообще


        1. maxzhurkin
          20.09.2017 20:51

          Это при первоначальном запуске, как я понял?
          Попробуйте запретить после входа.
          У меня два устройства, одно на 7.1, другое на 6.0, с первым вообще никаких проблем, на втором после "закручивания гаек" СО "забыл" привязку к счёту, но после повторной привязки не забывает.


          1. tuxx
            21.09.2017 10:47

            Запрещал до запуска.
            Попробовал запретить после запуска. При переключении на приложение оно начинает заново загружаться и так же останавливается на запуске антивируса, но предлагает либо работать в ограниченном режиме, либо перейти в настройки системы


            1. maxzhurkin
              22.09.2017 11:52

              У меня тоже посопротивлялся, потом, после того, как я запустил его повторно, смирился.


    1. zedalert
      20.09.2017 11:00

      В MIUI можно даже отпечаток пальца повесить на любое приложение.


  1. Himura
    19.09.2017 22:14

    Буквально вчера сменил телефон мобильного банка на всех картах, после того как получил запоздалое часов на 8 уведомление о входе, не посмотрел на его timestamp и запаниковал.

    Свое устройство я всегда при себе держу и оно заблокировано, но меня беспокоит возможность дублирования сим-карты. Насколько эта угроза реальна?

    И еще, в последнее время один из моих контактов сообщает мне о звонках от меня, которые я не совершенно точно совершал. Этот человек сразу же перезванивает и попадает ко мне, но минуту назад у него был вызов от меня, а мой телефон 100% не вызывал этого абонента. Это происходило 2 раза, после первого я даже телефон сменил, так что дело точно не в девайсе. Это что, социальная инжинерия и HackerSIM?


    1. sanrega
      20.09.2017 00:01

      Есть такая фишка у Билайна и Мегафона. У меня Мтс, поэтому не сталкивался, а вот знакомая рассказывала, что с её номера идут фантомные звонки, которые у абонента на том конце провода отображаются как пропущенные, но которых на самом деле не было. При этом, телефон у знакомой работает на Windows Phone 8.1, т.е. всевозможные трояны и прочие вредоносные приложения исключены.


      1. rPman
        20.09.2017 01:34
        +1

        При этом, телефон у знакомой работает на Windows Phone 8.1, т.е. всевозможные трояны и прочие вредоносные приложения исключены.
        это с чего?


        1. sanrega
          20.09.2017 08:18
          +1

          Это факт. Для WP, несмотря на всю её убогость и никому не нужность, так и не сделали ни одного вредоноса. Касперский, кстати, тоже говорил, что это самая безопасная система для банкинга.


          1. General_Failure
            20.09.2017 09:07

            Для WP, несмотря на всю её убогость и никому не нужность, так и не сделали ни одного вредоноса.
            Скорее благодаря ненужности, а не вопреки :)


          1. Arty_Fact
            20.09.2017 09:11

            Не «несмотря», а «благодаря».
            UPD: опередили.


      1. Himura
        20.09.2017 08:59

        Йота — мечта идиота.
        Более Мегафон чем кажется (((


    1. astraleuro
      20.09.2017 11:01

      А у Вашего контакта случайно телефон не HTC?

      Просто я, являясь обладателем One M8, заметил в нём следующую особенность:
      Если я был вне зоны доступа (в лифте например или подвальном помещении) и мне в этот момент кто-то звонил, то вызывающему абоненту, как и положено, оператор сообщил о том что я вне зоны доступа. Но у меня на девайсе через некоторое время (иногда часа через 2-3) появляется пропущенный вызов от того абонента.


      1. Himura
        20.09.2017 11:59

        Айфон 4 старенький (
        Да и проблема тут не совсем в этом, звонок проходит и это абсолютно внезапный звонок с моего номера. Один раз звонок был принят, но сразу сброшен вызывающей стороной. Что интересно, мой телефон тогда ненадолго потерял сеть и сразу перезвонить к человека не получилось, но я склоняюсь к тому что это всё-таки совпадение...


      1. lonelysuch
        20.09.2017 13:29

        Еще есть у оператора Билайн «услуга». Если на счету не хватает денег, то вызов не проходит, а у абонента, которому звонили, показывается пропущенный вызов.


  1. emil_nikitin
    19.09.2017 22:30
    -1

    Гораздо больше шансов что к вам в квартиру влезут воры и возьмут всё что им надо, чем потерять деньги с карты


    1. bars_arseniy
      20.09.2017 09:24
      +4

      Ваше высказывание основано на статистических данных или это ваше личное внутреннее ощущение?


  1. shurricken
    19.09.2017 22:30

    У сбербанка столько дыр даже в отделении банка… начиная от набирателя пинкода повернутого к залу… и кончая хохотушкой девушкой, которая кричит бабушке «какой ваш телефон, какая там смс пришла — вот вам пароль, распечатанный на бумажке и я его сейчас введу» — и все вокруг смотрят на эту бумажку, а хохотушка уже в личном кабинете смотрит вклады бабушки на планшете, светя его всем окружающим… ну и о стационарного компа «вы забыли пароль сейчас я вам пришлю смс и у вас будет новый пароль к онлайн банку без всякого паспорта…


    1. HappyGroundhog
      19.09.2017 22:56

      К слову о Сбербанке. Расскажу одну интересную историю, приключившуюся с моим знакомым. Ранним посленовогодним утром он получил веселые смс о блокировке всех своих счетов в банке. Как потом оказалось, на волю после долгой отсидки вышел некий Иванов Иван Иванович, который оказался не только его полным тезкой, но и имел такую же дату рождения! Так вот этот Иванов имел долг государству и некий пристав на другом конце страны радостно наложил арест на все его имущество. Так вот, Сбер ЕДИНСТВЕННЫЙ, кто не выполнил предписание, т.к не совпало место рождения у того Иванова и моего знакомого. Другой банк заблокировал все счета, на машину был наложен запрет на любые действия с ней и еще очень долго он отковыривал свое имущество обратно, т.к. пристав был на другом конце страны, а наша бюрократическая машина уж очень неповоротлива… И на протяжении 4 месяцев сбер был единственным местом, где он мог получать зарплату)


      1. nidalee
        20.09.2017 09:06

        Угу, у меня похожая история была. Позвонил мне следователь, узнавать про перевод, который я получил. Причем пока он мне не позвонил, никто в Сбере так и не смог мне назвать причину блокировки. А вот деньги с заблокированной ментом карты снять мне никто не помешал. Разобрались, но карту перевыпускать за свой счет пришлось потом.


      1. zlov
        20.09.2017 17:05

        Была аналогичная ситуация с полным тёзкой, но результат другой — сбер отдал все деньги с карты. Ооочень долго ругались с банком, в итоге эта тёзка внезапно прибежала и вернула всё. Моя мама слишком мягкий человек, и от всех претензий отказалась, хотя там были виновны и сотрудник отделения и начальница и тёзка, радостно снявшая в пять раз большую сумму.


        1. HappyGroundhog
          20.09.2017 17:13

          У меня в последнее время складывается впечатление, что в Сбере очень адекватный колл-центр, по крайней мере они всегда бвстро и квалифицированно решают проблемы, даже такие как использование «паленого банкомата» в другом городе, после сообщения о котором мне заблокировали карту, но дали варианты не остаться без денег до возвращения домой. А вот в отделениях обычно умудряются знатно косячить, опять же двже в том случае с возможно скомпрометированной картой…


          1. a1ien_n3t
            21.09.2017 10:57

            Ага очень адекватен. Заблокировал карту и не предупредил.
            У карты перестал работать чип, но можно было оплатить по полосе. Позвонил в КЦ попросил перевыпустить карту. Они оформили перевыпуск, только и словом не обмолвились, что текущую они заблочат. Спрашивается почему нельзя было заблокировать когда выдавать карту будут или хотя бы сказать что заблокируют


            1. ploop
              21.09.2017 11:41

              Что не предупредили — косяк конечно, а в остальном всё верно, после оформления перевыпуска карта блокируется.


            1. KorDen32
              21.09.2017 13:03

              У карты перестал работать чип, но можно было оплатить по полосе

              Если терминал с поддержкой чипа (а у нас я уже и не помню когда видел терминалы без него), по полосе не оплатить, попросит вставить чипом.


              1. a1ien_n3t
                21.09.2017 15:57

                Да но если чип много раз выдает ошибку то на некоторых терминалах можно оплатить полосой.


              1. vlivyur
                21.09.2017 17:26

                У меня тоже внезапно переставал работать чип. Прокатили полосой и норм. В следующем магазине (там уже был сберовский терминал, в первом не обратил внимания кто) такая фишка не сработала.


  1. OlegXD
    19.09.2017 23:01
    +1

    Всегда подозревал, что найдутся какие-то подвохи, поэтому ПО банков не ставлю. В случае крайней необходимости пользуюсь браузером. Менее удобно, но спокойнее себя чувствуешь.


  1. altee
    19.09.2017 23:03

    А помню, Сбербанк раньше не пускал в приложение после замены sim-карты, в банк нужно было идти.


    1. sumanai
      19.09.2017 23:24

      Так симка как раз и не меняется.


  1. sanrega
    20.09.2017 00:02

    Только нал, только хардкор. А для мелких онлайн-платежей и всяких алиэкспрессов — карта Кукуруза, которая пополняется ровно на ту сумму, которую нужно потратить в онлайне.


    1. rustavelli
      20.09.2017 00:29
      +1

      просто попробуйте нормальный банк.


      1. sanrega
        20.09.2017 09:28
        +3

        Спасибо, напробовался. В итоге, осталось твёрдое убеждение, что деньги в банке — это не твои деньги. А наличка — вот она.


        1. Gorthauer87
          20.09.2017 11:45

          Наличка из за инфляции потихоньку тает, так что только крипта, только хардкор.


          1. sanrega
            20.09.2017 12:22

            На крипту булку хлеба не купишь)


            1. Gorthauer87
              21.09.2017 11:33

              Ну когда-нибудь это поменяется.


          1. EvgeniyNuAfanasievich
            20.09.2017 17:06

            ага. вон она сдулась на 30% намедни. И это не в первой.


            1. Gorthauer87
              21.09.2017 11:34

              А полгода назад она на 60% меньше стоила.


        1. rustavelli
          20.09.2017 16:00

          когда в этой стране крадут наличку, никто её уже не вернет.


          1. sanrega
            20.09.2017 16:15
            +1

            Когда в этой стране™ за несколько тысяч километров от дома обнаруживаешь свои карты заблокированными по ошибке ретивым, но тупым судебным приставом, тратишь баланс телефона (который нечем пополнить) на незапланированные звонки в роуминге, пытаясь выяснить что произошло, и понимаешь, что налички в кармане хватит на два раза пообедать, потому что ты доверил свои деньги "нормальным" банкам, а ты в чужом городе, вот тогда и понимаешь, что твои деньги под твои контролем только тогда, когда они у тебя в кармане.


            1. HappyGroundhog
              20.09.2017 17:15

              Это до случая, когда бедные мексиканцы попросят тебе помочь им материально или из номера вынесут наличку из сейфа… вот тогда понимаешь силу пластика и western union :)


        1. YMA
          20.09.2017 17:56

          Самое интересное, что вы совершенно правы ;) Деньги на депозите/карте в банке — это не ваши деньги. Это обязательства банка перед вами.

          Проверяется просто — вносите 2000000 рублей в банк, у которого отзывают лицензию, и потом долго и упорно пытаетесь получить 600000 (сверх страховки АСВ) с банка.

          Насколько я знаю, только средства на брокерских/депозитарных счетах и в ДУ являются средствами клиента, и их возврат идет вне очередей кредиторов.


  1. vsespb
    20.09.2017 01:06
    +1

    А как у других банков дела обстоят? Что-то я подозреваю что много где можно пройти «регистрацию» с нуля имея только телефон (симку) и не имея первый фактор (пароль).


  1. FreeManOfPeace
    20.09.2017 07:32
    +1

    Повторял, повторяю и буду повторять, смартфон потенциально уязвимое устройство которое может исполнять любой код, при том большая часть этого кода (в том числе и банковское приложение) закрыт, и поэтому банк-клиентам там вообще не место. Где даже гарантия что узнав про подобную уязвимость хакеры не взломают/купят какую либо популярную игру/приложение в маркете и не внедрят в неё вредонос который приведёт к массовым переводам денег на счета хакеров (особенно с учётом что по умолчанию маркет стремится сразу обновлять все приложения как только появилась сеть).

    Ну и конкретно про меня, я не всегда ношу с собой смартфон, мне он больше как КПК нужен (карты, интернет и т.п.), а базовые операции с картой (посмотреть баланс/заблокировать/разблокировать) мне доступны и с звонилки USSD запросами (но я не могу, например перевести деньги таким запросом), хотя я всё равно предпочитаю платить наличкой. А для интернет банкинга есть ноутбук на Линуксе и с дополнительными мерами предосторожности.


    1. Akon32
      20.09.2017 16:44

      По идее, доступ к данным других приложений на нерутованном устройстве у приложения закрыт, факт получения рута проверяется банк-клиентом, существуют лимиты на переводы, подтверждения "подозрительных" операций по другим каналам и т.д. Всё качественно огорожено.
      Конечно, все защиты в принципе можно обойти, но вероятность "несанкционированного" доступа к счетам достаточно мала, чтобы банк-клиент можно было использовать.


    1. springimport
      20.09.2017 18:09

      На айфоне с отпечатком (теперь и лица) тоже так просто украсть приложения под защитой?


      1. Akon32
        21.09.2017 11:56
        +1

        Если владельцу сильно лицо не портить — наверное да.


  1. shurupkirov
    20.09.2017 08:00

    При установке приложения Сбербанк.Онлайн и выборе использования входа по отпечатку пальца — использование экранной блокировки обязательно, в противном случае — не пашет


  1. M_AJ
    20.09.2017 08:02

    Статья выглядит так, как будто я могу взять любой телефон, удалить сберовское приложение, постааить его снова, и получить доступ к счету хозяина телефона. НО, автор забыл сообщить, что перед тем как отправить код приложение просит логин от личного кабинета. Не надо так делать.


    1. PaulZi Автор
      20.09.2017 09:34

      Логин от личного кабинета зачастую можно легко найти в этом же телефоне, не говоря уже о том, что часто логин вообще общеизвестен и легко находим.


      1. M_AJ
        20.09.2017 10:49

        С тем же успехом, на телефоне может быть и номер карты с CVV, и пароль от ЛК. Человеку, что так хранит учётные данные вообще мало что поможет.


        1. PaulZi Автор
          20.09.2017 11:01

          С каких пор логин является секретной информацией? Многие сайты логины запоминают и подставляют в поле, да даже браузеры запоминают логины и дают их в подсказках автокомплитом, о чём вы говорите? Большая часть людей не запаривается с секретностью логина.


          1. M_AJ
            20.09.2017 11:35

            Смотря какой логин. Понятно, что логин от форума не особо секретен, но все что связано с авторизацией в банке очевидно нужно хранить в секрете. А что касается сайтов, то некоторые особо одаренные и CVV код во время ввода показывают, хотя он определённо чувствительная информация.


            1. vsespb
              20.09.2017 11:40

              Логин — не секретен. Тут нечего обсуждать.


              1. M_AJ
                20.09.2017 12:52

                Ну нечего так нечего. Лично я храню свои логины от личных кабинетов в важные места в секрете, если это конечно не номер телефона.


                1. vsespb
                  20.09.2017 12:53

                  А сам сервис где логин заведён разглашает их направо и налево


                  1. M_AJ
                    20.09.2017 13:58

                    Пока из тех крупных, что я пользовался так делал только Яндекс: стоит один раз войти, как он задолбает вопросом: "Ваш аккаунт?" За остальными такого пока слава богу не замечал.


  1. ggo
    20.09.2017 10:15
    +1

    Увы и ах. Это не Сбер плохой, или любой другой условный банк.
    Консьюмеризация виновата.
    Абсолютному большинству клиентов банков плевать, что выполнение чего-либо в мобильном приложении, и получение СМС на этот же телефон, никак не связано с повышенной безопасностью.
    С другой стороны, если банк будет делать все правильно с точки зрения безопасного поведения пользователей, то абсолютному большинству его клиентов это будет неудобно. И они сбегут в соседний банк.

    Пример, Банк запускает услугу — можно онлайн снять с чужой карты нужную сумму, и закинуть ее на свою. Для этого в мобильном приложении этого банка нужно вбить все реквизиты чужой карты, включая cvv. Для любого здравомыслящего очевидно, нельзя вбивать реквизиты своей карты в чужой телефон, в чужое приложение. Для абсолютного большинства — вау, классная фишка, надо срочно пользоваться. И ведь пользуются…


    1. pnetmon
      20.09.2017 10:55

      С другой стороны, если банк будет делать все правильно с точки зрения безопасного поведения пользователей, то абсолютному большинству его клиентов это будет неудобно. И они сбегут в соседний банк.

      Банк делает как не надо, а Виноваты и убытки от этих неправильных действий должны нести клиенты, да?
      Может виноваты в этом управленцы которые такое допускают в погоне за своей личной прибылью.


      Консьюмеризация виновата

      Ух слово то какое. Консьмеризация подразумевает под собой внедрение различных потребительских устройств (планетов, смартфонов) для выполнения бизнес-задач на уровне корпоративной ИТ-системы. Так устанавливаемое приложение не является рабочим инструментом клиента банка для выполнения своих трудовых функций.


  1. THT
    20.09.2017 10:58

    Приложение установлено на основном телефоне (андройд), смс-ки сыпятся на другой телефон (ios).
    После недавнего обновление СберОнлайн, можно теперь блокировать доступ к смс, и приложение запустится и будет работать. До этого, нужно было обязательно выдавать доступ на смс, иначе приложение не запускалось бы. Написал им фидбек месяца 3-4 назад, с недоумением, почему приложению нужен доступ к смс, хотя смс от 900 в этом телефоне ни когда не было и не будет. Разум, восторжествовал :)


  1. Corsonamor
    20.09.2017 10:59

    Как раз на днях новое лицензионное соглашение подъехало. Если приложение сбербанка установлено, то вы соглашаетесь с доступом к контактам, смс, камере, микрофону, геоданные, айпи, версия ОС и модель телефона, информация об установленном на телефоне ПО (проверяется их встроенным антивирусом).
    Всю эту информацию банк может отправлять сторонним лицам для обработки и анализа.


    1. YMA
      21.09.2017 12:36

      Вот только еще осталось заставить меня дать приложению эти разрешения. Щаззз…

      PS: заглянул в свойства приложения — геопозиция: Никогда, контакты: выключено, камеру, смс и микрофон приложение не просит.


  1. YMA
    20.09.2017 11:05

    Поддерживаю автора, писал уже много раз в поддержку Сбера, чтобы помимо СМС-кода добавили и проверку пароля для введенного логина. Игнорируют…

    PS: Помимо безопасности, еще и неудобства пользователям причиняют — мне регулярно приходят СМС с кодами, которые запросил кто-то, пытающийся зарегистрировать себе мой логин.


  1. amarao
    20.09.2017 11:09
    -1

    SMS не является фактором авторизации.


  1. Gorthauer87
    20.09.2017 11:43

    Храню на счету с которого доступны траты денег на телефоне, только небольшую сумму денег. Для повседневных дел хватает с лихвой, а потерять не так жалко, как все деньги.
    Ну и к тому же у альфы авторизация по отпечатку пальца.
    Смешно, что при всем этом приложение сбера блокируется на андроидах с рутом. Вот уж безопасность.


    1. KorDen32
      20.09.2017 19:33

      Ну и к тому же у альфы авторизация по отпечатку пальца

      Это авторизация в приложении, когда вы уже зарегистрировали приложение.
      А если снести приложение и поставить заново чистое — что понадобится первоначально для входа в вашем банке?


      1. Gorthauer87
        21.09.2017 11:34
        +1

        Логин пароль а только потом код по смс.


  1. bigstone
    20.09.2017 11:56

    Ждём комментарий или пост от товарища SCST «Мобильный банк Сбербанка России абсолютно безопасен».


  1. TimsTims
    20.09.2017 12:32

    Не совмещайте устройства доступа к системе «Сбербанк Онлайн» и устройства получения SMS-сообщений с подтверждающим одноразовым паролем (например, мобильный телефон, смартфон или планшет). Для мобильных устройств созданы специализированные версии системы.

    Подсказываю лайфхак: сбербанк оформляем себе, а такие смски заводим на номер жены/супруги. Соответственно если надо восстановить доступ — код придёт ей. С её стороны — делаем то же самое.


    1. ploop
      20.09.2017 14:45
      +1

      на номер жены/супруги.

      Не секьюрно. Как заначки-то ныкать?


      1. TimsTims
        20.09.2017 19:48

        Ну если нужно ныкать, то вам телефон надо ныкать, а смски тут уже не при чем


        1. ploop
          21.09.2017 10:46

          Мне-то не надо, но знаю людей, у которых реально есть вторая карта для заначек :) Раньше под ковром прятали, теперь прогресс!


  1. Ivan_83
    20.09.2017 14:13
    -1

    Какие мобилы!?
    Какие смс!?
    Вы вообще думать умеете? А читать?

    xakep.ru/2017/09/19/ss7-flaws-poc
    Сколько вам ещё надо статей о том что:
    — аднройд решето (и гуглеаутентификатор тоже, потому что на решете исполняется)
    — яблоко решето
    — сотовая связь и SS7 решето

    СКОЛЬКО ещё раз повторять!?


    1. Andrusha
      20.09.2017 15:02

      А что делать-то? Вы деньги в стеклянной банке храните, на криптовалюты уже перешли или натуральным хозяйством живёте? Поделитесь опытом борьбы с неидеальным (по меркам криптоанархистов) миром.


      1. Ivan_83
        23.09.2017 00:31

        Я всё спускаю на семью, у меня нет проблемы с хранением.
        Мысль моя в том, что проводной телефон был средством связи, а сотовый это средство контроля. И чем дальше — тем хуже. В начале тебя просто можно было везде достать звонком и узнать примерно где ты, сейчас можно точно узнать где ты, сфотать/посмотреть видео с тобой и тп.
        Не доверять сотовым ничего ценного вообще.
        Знает сотовый — знает ещё 100500 людей. Не важно что ты думаешь что у тебя безопасный телефон и ты вроде никому ничего не отправлял и тп.
        Вон, кури, сам увидишь какая это гнилая тема: kiwibyrd.org/tag/%d1%82%d0%b5%d0%bb%d0%b5%d1%84%d0%be%d0%bd%d0%bd%d0%b0%d1%8f-%d0%bf%d1%80%d0%be%d1%81%d0%bb%d1%83%d1%88%d0%ba%d0%b0

        SVP7777
        1. Если бы темой интересовался, то знал бы что уже ломали африканских операторов и через них залезали в SS7.
        Это то что всплывало на публике.
        И вообще, сс7 только кажется сложной темой, нужно учитывать что это всё хозяйство от кондовых телефонистов, а они… кхм, ну короче телефонист это диагноз, по хуже пхпголовного мозга, намного.
        Достаточно посмотреть на эрланг и фрирадиус и их неповторимую логику :)
        Это всё к тому, что знающий скорее всего без проблем найдёт кучи шлюзов в сс7 открытых или с паролями вендора/интегратора.

        2. Тебе не просто доступ к сс7 получить, но вопрос в том, от кого ты защищаешься.
        В истории с телегой и кем то от Навального доступ к не был проблемой.

        3. Кроме дырявой SS7 есть ещё не менее дырявый GSM и всё что пришло после него, но тут действительно порог чуть выше чем клаводрочество, ибо нужно и приёмник иметь и как то предварительно выцепить терминал — те быть близко и тп.
        Ну или более простая в плане напрягов тема с фальшивыми сотами и митм, но более дорогая по деньгам.

        arcman
        Перевыпуск это для всяких недалёких жуликов-гопников.
        Ссылки выше, тема с мобильными очень гнилая, насквозь: от железа до сетей.


        1. Andrusha
          23.09.2017 17:34

          В целом я согласен, что защищённость современных гаджетов оставляет желать лучшего, но вот так радикально отказываться от благ цивилизации тоже не вариант. Всегда можно найти компромисс между безопасностью и удобством. И по поводу стационарного телефона вы зря так: с технической точки зрения его прослушать — раз плюнуть, что для государства, что для частных лиц.


    1. svp777
      21.09.2017 09:34

      Процитирую, что доступ в SS7 получить не так просто

      И в итоге мы дошли до того, что нужно иметь доступ к внутренней сети оператора, который получается либо посредством взлома периметра, либо реганьем виртуального оператора, который будет иметь право получать данные по абонентам внутри сети и всё такое прочее. Т.е. ничего похожего на «смотри, вот антена с алиэкспресс за 300 рублей, вот прога которая работает с антеной и перехватывает все смс для абонента, если он находится в пределах 100 метров действия антены по спец. алгоритму описанному ЗДЕСЬ, т.к. все передаваемые данные не шифрованы». Т.е. всё сводится к получению доступа к внутр. сети оператора.

      Ну или это «тайное знание» вы знаете, и молчите, а мы не знаем и плохо искали.


      1. arcman
        21.09.2017 10:17

        Есть проще варианты:
        www.mobile-review.com/articles/2015/bee-sim-zamena.shtml

        Перевыпуск SIM карты по липовой доверенности.
        Банки не всегда могут определить, что была замена SIM, у меня так было с Мегафон (Альфа-банк, Тинькофф).


    1. arcman
      21.09.2017 10:21

      Зря минуснули, все правильно написал, пусть и немного эмоционально.
      Про успешную эксплуатацию уязвимости SS7:
      geektimes.ru/post/288913
      Про банальный перевыпуск SIM карты по липовой доверенности:
      www.mobile-review.com/articles/2015/bee-sim-zamena.shtml


  1. 152251
    20.09.2017 14:52

    Телефон с рутом, приложение сбербанка позволяет делать платежи? только по шаблонам, карта привязана к симке которую вставляю в телефон только при необходимости)))


    1. pnetmon
      20.09.2017 15:59

      Проблема в телефоне, а не в симке которую вставляете при необходимости.


      1. 152251
        21.09.2017 02:53

        Я о том что, даже если мой телефон? попадёт в чужие руки, то ничего не случится, т.е деньги останутся на счету.


  1. neolink
    20.09.2017 16:14

    нужно же логин ещё подобрать?


  1. unwrecker
    21.09.2017 12:31

    Сбером не пользовался. Но вот в мобильных приложениях Тинькова и ВТБ24 при входе пароль или пин-код/отпечаток пальца (который ставишь сам после первой авторизации) спрашивается.


    1. arcman
      21.09.2017 13:44

      неважно что там спрашивается при в ходе, важно что достаточно лишь кода из СМС что бы сбросить любой ваш пароль/пин-код.


  1. qwertyqwerty
    21.09.2017 18:33

    У меня SE W810i и я радуюсь жизни!