Блог им. IgorKokarev

Безопасность вашего банковского и брокерского приложений в смартфоне

    • 21 августа 2022, 20:11
    • |
    • Alexide
  • Еще
Немного о безопасности ваших денег и биржевых активов на вашем смартфоне.

Проблема в том, что ряд популярных банков/брокеров РФ позволяют установить мобильное приложение банка или инвестиций зная только номер вашего телефона и подтвердив кодом из СМС от банка. 

Ситуация. У вас украли телефон. Злоумышленник достал симку и вставил в свой кнопочный телефон. Все, теперь злоумышленник может установить на любом смартфоне приложение скажем Тинькофф Инвестиции (если у вас с ними договор) или банковское приложений Тинькофф. Может продать акции, вывести деньги на карту, сделать перевод другому лицу и т.д.

Даже если вы просто оставили смартфон без присмотра на несколько минут — зная ваш номер, можно получить СМС код прочитав его на заблокированном экране. 

1. Советую использовать eSIM (цифровую сим карту, если смартфон поддерживает — все iPhone начиная с Xs модели, 11,12,13,SE2,SE3) или поставить пин-код (4 цифры) на обычную симку. Пин код на симку означает, что если ее достать или перезагрузить телефон — то нужно будет ввести отдельно этот пин код (помимо пин кода на смартфон).
2. Также лучше скрыть отображение СМС от банков на заблокированном экране смартфона для всех банковских приложений (я скрыл все СМС вообще) и все пуш-сообщения от банковских приложений на заблокированном экране.

Есть брокеры и банки которые обязательно требуют пароль (например Райффайзен, Финам). В этом случае злоумышленник ничего не сделает. Но проблема в том, что такие популярные банки/брокеры как Сбер, ВТБ и Тинькофф просят только номер телефона и СМС код. По крайней мере это было еще недавно. С Тинькофф проверил сегодня.
★7
27 комментариев
год-полтора назад я потерял смарт с кучей банковских и брокерских приложений

потратил месяц на смены паролей. всякие блокировки и т/д/

после этого я не пользуюсь ГугльПей и не ставлю никакие банковские приложения на смарт

Ну правда СБОЛ пришлось поставить
avatar
Viacheslav Ivanenkov, как профессиональный параноик, поддерживаю)

1. не держу на смартфоне банковские приблуды
2. в бесконтактной оплате держу только одну карту 
3. остаток на этой карте никогда не превышает 50 тыс

и да… пин на СМС — это святое
avatar
$100, никакой паранои — смартфон это действительно одна большая дыра
avatar
А без приложух никак?
СлабО?
Прикиньте, у банков есть даже браузерные версии ЛК
Guess_Злыдня редкостная, многие банки старательно выдавливают пользователей с ЛК в приложение. Хотят доступ к личным данным на телефоне.
avatar
Jame Bonds, это да. 
У меня вот нет СБП в Сбере ибо нет приложухи.
Guess_Злыдня редкостная, а как вас это спасает? Ну не ставите вы приложений, ок. Потеряли симку, и что мешает мошеннику поставить приложение с вашей симкой?
avatar
Алексей Андреев, 
1. С какого хлора я симку потеряю?
2. У меня 11 симок. 6 активных гаджетов (с симками)
И только 1! симка стоит в кнопочном телефоне.
И кста, она ещё старого образца, огроменная.
Надо бы поменять, но лень.
3. Я в жизни симок не теряла. Что я делаю не так?
Из 11 моих (личных) симок только одна могла бы сгодиться мошенникам.
4. Но опять таки. Я симок в жисть не теряла.
И даже если бы умудрилась потерять, я 146% вероятности замечу это раньше, чем кто-то не только сумеет поставить приложуху, но даже найти. И конечно заблочу её.
Guess_Злыдня редкостная, речь не конкретно про Вас.
Вы ехидно написали, будто неиспользование приложений на телефоне  сильно помогает обезопасить себя. Но это не так.
avatar
Алексей Андреев, ну раз я ехидно написала,
то и речь шла о моём опыте.
За дальних других я не отвечаю.
Только за близких.
Впендюривая «финансовую симку» в смартфон вы уже
сворачиваете на скользкую дорожку.
Ну а кнопочный и приложухи — вещи несовместимые.
Алексей Андреев, в догонку.
Взломать смарт и приложуху в разы легче (специалисту),
чем кнопочный телефон.
Пин-код — хорошая вешь. Но дитё два раза за последний год умудрилось потыкать телефоны, которые спрашивали пин-коды, доведя симки до блокировки. Я puk вспомнил, а жена не смогла, пришлось идти всю симку менять.
Так что надо и пинкод поставить и карточку, на которой коды написаны, сохранить.
avatar
Jame Bonds, неожиданно. Но тогда решение — eSIM, там вроде не требуется пин код.
avatar
После перестановки симки в другой аппарат блокируются операции на 24 часа во многих банках.

ВТБ и Тиньков запрашивают и пароль и смс. Упрощенная авторизация может быть только если в текущей сессии браузера уже были входы.
avatar

deke, прямо сейчас проверил на телефоне жены — первый раз поставил Тинькофф Инвестиции и указал свой номер телефона. Мне пришла СМС и приложение показало мой брокерский счет. Увы, это небезопасно.

Я мог достать симку и вставить в кнопочный телефон — СМС точно так же бы пришло от банка.

avatar
Alexide, я на компе проверял, на мобиле лень сбрасывать регистрацию
avatar
deke, это при смене сим карты блокировка, я недавно менял меня сразу об этом предупредил сотрудник МТС салона
avatar
Сергей В, банк imsi номер тоже отслеживает
avatar
На телефонах самсунг есть защищеная папка knox, это как телефон в телефоне, в эту папку можно поставить банковские приложения, пуши от приложений можно увидеть только введя пароль. Если неправильно ввести пароль какое то количество раз, или перепрошить телефон, папка стирается.
avatar
Igor, так вот для чего она нужна, эта защищённая папка! я всю голову сломала )))

Тинькоф просит и пароль и код.

про приложения узнаю, когда их под Symbian напишут.

ПИН-код — святое, пароль на вход в операционку — тоже.

По поводу Тинькофф. Если авторизоваться через сайт, можно зайти в раздел «Приложения, у которых есть доступ к аккаунту» и отключить доступ к приложениям на стороннем телефоне.
Ну и сразу сообщить в банк при потере сим карты.

А вообще если потеряли телефон — восстановления сим карты первое дело. Оператор должен заблокировать старую карточку.

Такие же опасности кстати если мошенники оформят дубликат симки (надо сделать запрет на оформление дубликата по доверенности)
avatar
Алексей Андреев, 
А вообще если потеряли телефон — восстановления сим карты первое дело. Оператор должен заблокировать старую карточку

ГуглПей работает(работал) без симки
Лень проверять но многие банковские приложения тоже успешно запускаются без симки

avatar
Viacheslav Ivanenkov, вопрос в том, куда можно залез в случае утери симки.
если потерялся телефон — то он заблочен, как вы зайдете в банковское приложение, если телефон отпечаток пальцев требует (отбросим шпионские теории что хакеры следят за нами и есть БД с пальцами — мы того не стоим)? Опять же можно зайти в гугль и отвязать от аккаунта телефон.
вотпрос с симкой сложнее. Потерял телефон — симку можно физически вытащить и вставить в другой телефон, ставить приложение и логиниться по смс (если есть такая лазейка).
avatar
как вы зайдете в банковское приложение, если телефон отпечаток пальцев требует
1 нельзя исключать случайного угадывания
2 в интернете полно статей как снять блокировку пальца, даже хакером необязательно быть

avatar
Пароль на симку, епт. Смените с дефолтных 0000. Давно уже писал
avatar
у меня все пароли от смартфона приходят на кнопочный телефон в котором нет интернета.
таким образом, потеряв телефон, вы ничего не потеряете 

теги блога Alexide

....все тэги



UPDONW
Новый дизайн