Дыра в ВТБ или все для удобства клиента и плевали мы на вашу безопасность

Всем привет.
Я не трейдер, но регулярно, на протяжении нескольких лет инвестирую в акции и ETF. Сумма уже преодолела психологическую отметку, когда беспокоишься не только о надежности брокера или банка (поэтому и был выбран  ВТБ), но и защиты от мошенников или доступа к личному кабинету посторонних, вследствие явных дыр в безопасности ВТБ, которые они не признают (якобы все делается для удобства клиента). Написанное больше касается именно банка, но немного затронул тему и восстановления доступа к брокерскому счету.
Так вот, уже не в первый раз, в комментариях встречаю рекомендацию в ВТБ банке поставить запрет на «удаленное восстановление доступа». Мол, это защитит от мошенников или если вы потеряете сим карту (Например, тут https://smart-lab.ru/blog/676249.php#comment12208793) Хотел сначала написать просто комментарий, однако затем решил выделить в отдельный пост (кстати первый аж за 6 лет, как оказалось. Быстро же летит время), предназначенный  для таких же параноиков как я, а вдруг пригодиться.

В общем, хочу “обрадовать”,  но уже пару месяцев, после выхода нового приложения ВТБ Банк,  данная  настройка не актуальна.

Теперь пароль просто не запрашивается в новом приложении. Пароль спросит только при входе через сайт.И плевать, что вы выставили запрет восстановления пароля.  Если зайти через новое приложение, то пароль не спросят. Переставить симку и поставить приложение может любой, и то что вы ходите с кнопочным телефоном роли теперь не играет, если вы потеряли сим карту. Дополнительной защиты на этот случай больше нет, ее убрали через столько лет. Мол, не баг, а фича, все для нашего с вами удобства)))

На банки.ру УЖЕ множество сообщений о краже денег от таких  потеряшек.

UPD: посмотрел последнюю версию приложения на телефон, только смс уже недостаточно, нужно ввести еще номер карты в приложении. Уже лучше. Однако от утечек со стороны банка или потери вместе с симкой еще и карты- не защищает. Но это сильно сужается возможности доступа постороннего в личный кабинет.
Но в личный кабинет через сайт можно войти только имея сим карту в руках, поэтому обязательно включите запрет удаленного восстановления пароля. Т.к. по номеру телефону и коду можно заходить с сайта ВТБ-он-лайн. Как раз эта настройка в этом случаи и поможет. Но не приложении.

Что касается Брокера ВТБ. Тут дела получше, одного смс недостаточно. Но все же риск остается, т.к. в новом приложении банка (том, что не требует пароля, а только 1 смс) можно подглядеть номер соглашения, а именно он нужен для восстановления пароля к брокеру через сайт брокера  broker.vtb.ru/ — Войти- Восстановить логин или пароль

Хотя рисков именно у брокера и меньше. И описаний случаев их взлома я не встречал, ввиду не такой их распространенности и сложности, но все же

Причем на банки.ру это давно обсуждается, но втб, как в свое время сбер (те через несколько лет долбежки клиентами все же часть дыр позакрывали) пока игнорит пожелания клиентов, якобы это все это для их удобства.
Тут целая тема по ВТБ: www.banki.ru/forum/?PAGE_NAME=read&FID=61&TID=379459&PAGEN_1=70#forum-message-list если кому интересно

Пока я нашел такие способы защиты. Я это все проделал и мой внутренний «параноик» теперь спит спокойней:

1) Установитьпин на сим карту
2) Позвонить в колл-центр ВТБ и запретить доступ в личный кабинет через мобильное приложение
Но если пользуетесь приложением может быть неудобно. Т.к. нужно будет заходить на сайт вместо приложения.(доступ в приложении частично останется, но операции нельзя будет проводить с  приложения в телефоне, но баланс будет виден в приложении).
www.banki.ru/services/responses/bank/response/10405531/

Важное обновление UPD 13.02: Не сразу обратил внимание, что ВТБ опять ввело очередное новшество. На их сайте теперь есть кнопка "быстрый вход по QR" Так вот, у меня запрещен вход через мобильное приложение звонком в банк, но по факту вход в приложении происходит, просто функции переводов теперь заблокированы (при попытки выскакивает ошибка). НО на главной странице "заблокированного через колл центр мобильного приложения" осталась активной кнопка qr-код и если я ее нажму и на на сате ВТБ-онлайн online.vtb.ru/login выберу «быстрый вход по QR», то происходит авторизация без доп. запросов. И переводы можно совершать уже через сайт.
В общем ВТБ, в плане безопасности, полное ДНО. Нужно постоянно следить, вдруг эти «умники» еще что-то обновят у себя для «удобства» клиентов.

Позвонил 3-й раз, уже по поводу qr-кода, сказали, что не предусмотрена его блокировка.

3) Запретить доступ в кабинет через терминалы банка (UPD: делал тоже через колл центр) Снимать и пополнять деньги с карт можно будет, как и прежде.А заходить можно через отдельный браузер на телефоне/компьютере (в некоторых браузерах можно шифровать пароли).
Тут есть обсуждение по по поводу терминала www.banki.ru/services/responses/bank/response/10139405/
4) Ну и от от перевыпуска сим вижу, как способ защиты, использовать отдельные сим карты от банков (операторы сотовой связи Тинькофф мобайл, ВТБ Мобайл, которые работают как виртуальные провайдеры связи на оборудовании TELE2), т.к. тут риски перевыпуска симок в левые руки меньше. Ну или если такое произойдет, то с ними судиться.
Можно перейти со старым номером на сим карты от банков. По отзывам некоторые банки могут разлогится, и нужно будет подтвердить, что вы это вы. Обычно достаточно просто перезайти в приложении, реже позвонить в поддержку банка для подтверждения.
У меня после перехода никаких дополнительных движений не потребовалось.
5) Подключите запрет удаленного восстановления пароля. Эта настройка, как я писал, теперь работает только при выполнении входа через сайт банка (в личном кабинете через сайт-настроки-Изменение логина и пароля-Настройки восстановления доступа). На новое приложение банка она никак не влияет, т.к. пароль оно не запрашивает.
6) Не кладите все яйца в одну корзину.

Набросал сначала в комментарий для статьи smart-lab.ru/blog/676249.php но потом решил создать отдельный пост. Для таких же пароноиков как и я.