Блог им. W31

Еще раз О взломе онлайн банков через перевыпуск SIM карт (на примере Сбербанка)

    • 15 января 2024, 12:45
    • |
    • 10-Q
  • Еще
На предыдущий мой пост smart-lab.ru/blog/977776.php было много вопросов А что собственно делать?
Поэтому я изложу максимально четко все тоже самое:

Во-первых обязательно сделать для входа пару Номер_карты/Пароль можно Логин/Пароль или и то и то. Как мне кажется только Номер_карты/Пароль удобнее, не нужно забивать голову лишним «Логином», а еще проще Номер_телефона/пароль чуть менее надежно, но не суть, суть в уникальном пароле который пользователь придумал сам.

При попытке установить приложение и войти на новом устройстве, или через Windows 10 и Chrome пользователь вводит пару Номер_карты/Пароль, на втором этапе СМС код — все как обычно без новых препятствий если он помнит свой пароль

При ситуации в которой пользователь забыл пароль:
Приложение или страница браузера сообщает что для восстановления пароля необходимо в банкомате Сбербанка пройти в меню безопасности и повернуть переключатель «запрет восстановления пароля через СМС код на „выкл“» после чего вы сможете пройти процедуру сброса пароля через одноразовый код из СМС (то есть как сейчас) Время, которое сброс пароля будет возможен через СМС ограниченно, если его пропустить/не успеть нужно снова проделать через банкомат тоже самое. В идеале отведенное время 24 — 48 часа
Кроме того это может быть опциональной настройкой выключенной по умолчанию, то есть пользователь самостоятельно может блокировать себе возможность удаленного восстановления пароля

(Сейчас в Сбербанке защиты паролем вообще нет, используется номер карты. Уникальный пароль известный только пользователю и не сгенерированный должен быть обязательно иначе не получится)

 

ИТОГО потребуется:

1 Изменить стандартный способ входа на следующий: НОМЕР_КАРТЫ/ПАРОЛЬ. Причем пароль строго обязательный, никаких обходов
2 реализовать в банкомате опцию: запрет восстановления пароля через СМС код.
Есть три варианта как эту опцию реализовать:
а) Включенная по умолчанию
б) отключенная по умолчанию
в) Запрет включен, но при отключении автоматически включается обратно через заданное время

 

Вот еще те уязвимости которые позволяют вывести все средства даже с включенным «Суточным лимитом на платежи и переводы через Сбербанк Онлайн»:
1.возможность целиком видеть Номер карты и CVV в приложении и СБОЛ
2. снятие наличных через банкомат без карты через приложение

★8
18 комментариев
+5

У некоторых банков реализована защита паролем. У Сбера раньше точно была защита логином/паролем, которые выдавались на чеке в банкомате. Потом в угоду технически малограмотным пользователям ухудшили защиту аккаунта для всех пользователей. Вы правильно об этом пишете. И это ужасно и неправильно. Что мешало Сбербанку хотя бы опционально дать опытным пользователям возможность усилить защиту? 

Что может каждый клиент Сбербанка (и не только) сделать, чтобы хотя бы немного усилить защиту на случай простой утери/кражи его личного смартфона:

1. Поставить ПИН код на СИМ карту (все телефоны, даже кнопочные, это умеют). Тогда невозможно будет просто вытащить симку и вставив в другой телефон получать СМС коды банков. Как вариант, на современный смартфон можно заменить обычную сим-карту на eSIM — ее уже нельзя будет вытащить. Это можно сделать в личном кабинета оператора связи.
ПИН код нужно будет вводить каждый раз при перезагрузке, или обновлении смартфона или вытаскивании симки. Есть риск забыть ПИН код (4 цифры), дается 3 попытки ввода кода, потом симка блокируется.

2. Отключить вывод СМС сообщений на заблокированный экран смартфона. Чтобы банковские СМС не были видны в случае потери смартфона.

avatar
Alexide
+1
Alexide, Это все конечно базовая защита, понятно что такие люди как мы ставим pin, но я все чаще читаю такие посты: Т«инькофф Мобайл перевыпустил мою SIM на eSIM мошеннику, с кредитной карты списали деньги,» и даже пускай банк возвращает украденное в случае с Тинькофф, я читаю где то что выпустить дубликат ничего не стоит, паспорт подделать на человека сейчас ничего не стоит, а что уж про Симки говорить, Сейчас можно отследить по местоположению телефона что человек покинул город, получить информацию что он не в стране, количество данных о человеке сейчас огромное можно получить. Персонал банка знает размер состояния каждого клиента, знают всю систему безопасности и все лазейки и уникальный пароль для них головная боль так как его можно наверное только из СОРМа получить
avatar
10-Q
10-Q, да, все верно. ПИН код на симку — это полумера, но хоть какая-то защита от мелких мошенников. Остальное должны делать банки.
avatar
Alexide
+1
Alexide, электронная симка это прямой подарок мошеникам
avatar
Валерий Осипенко
Валерий Осипенко, почему

avatar
Crogall
Crogall, www.banki.ru/services/responses/bank/response/11227879/
avatar
10-Q
Crogall, Там дело такое: взламывали аккаунты оператора связи  и выпускали виртуальный дубликат SIM, с тем же номером телефона. Физическая и виртуальная карта работали вместе
avatar
10-Q
Crogall, я смотрел у себя 
ее можно выписать / поменять онлайн вне реала 

avatar
Валерий Осипенко
Вроде в сбербанке есть какая то опция оффлайн счёта, который доступен только в отделении. Интересно дадут ли они подтверждающий документ на такой счёт, так как без него это бессмысленно
avatar
Иван Иванов
Иван Иванов, Конечно дадут, у моего отца так
avatar
10-Q
+3
МКБ, например, при перевыпуске sim вобще все блокирует. Добро пожаловать в отделение с паспортом. И это правильно.
А недалекие клиенты возмущаются. 
avatar
last_rat
last_rat, да, только так и правильно.
Перевыпуск симки банк никак не может контролировать, а опсосы никаких отношений с банком не имеют и могут перевыпускать симки как угодно и ничего им за это не будет.
avatar
Иван Иванов
Защита от взлома это хорошо. Но деньги сейчас воруют другим способом. 
В свободном доступе база клиентов Альфа банка от октября 2023. Неполная, есть ошибки.
Но ФИО, дата рождения, контактные номера телефонов, номера карт и срок действия в наличии. Это значительно упрощает и ускоряет обман жертв.  
avatar
last_rat
 у сбера любое шевеление на вход в онлайн тут же приходит смс -ка
все там нормально и жестко
avatar
Валерий Осипенко
+2
Валерий Осипенко, у сбера любое шевеление на вход в онлайн тут же приходит смс -ка
Но уже не вам, 
avatar
10-Q
10-Q, 40 руб в месяц абон плата за смс от сбера на мой номер 
интересно посмотреть статистику про мойшины схемы у разных банков
кажется у сбера точно меньше всех проколов
avatar
Валерий Осипенко
+1
Жаль у банков до сих пор нет выбора для двухфакторки использовать условный google authenticator(или другие), всякие смс нужны только как бекап.
avatar
bymka

полезные записи за 24 часа

★11 71 Ситуация на текущий момент
★5 30 🌐Газовый гигант под давлением: как изменился Газпром за 17 лет?
★4 1 Второй принцип инвестирования – «Всё пройдёт»
★4 0 ​​ЮГК - отчет, дивиденды и новый НДПИ
★4 1 📌 Ужасный отчет Газпрома. Будут ли дивиденды?
★3 117 Индекс МБ сегодня
★3 0 Продажа Озон с точки зрения налогов
★3 24 СДЭК запустил продажи авто с доставкой из Европы.
★3 18 Покупаю дивидендные акции в пенсионный портфель - Май 2024
★3 2 Какие дивиденды заплатит Газпром? И заплатит ли?
+258 71 Ситуация на текущий момент
+136 117 Индекс МБ сегодня
+104 2 Газпром продолжает идти на дно, Совкомбанк слабо отчитался, а QIWI даёт надежду на выкуп🔥Акции и инвестиции
+95 32 Азия. Пятница.
+76 65 "Цель она есть". Полетаем? (GOLD)
+71 24 🔥 Газпром (GAZP) - отчет за 2023й год не так плох
+65 10 Газпром (GAZP) пробивает дно. Рекордные убытки. Назад в 1998-й
+58 3 Балансовая оценка акции Газпрома по МФСО = 678р., что в 4,5 раза выше рыночной стоимости.
+56 15 Что самое сложное для инвестора
+49 20 Газпром: анализ долга и вывод. Дивиденды.

самые обсуждаемые сегодня

13к Объявляю амнистию! Всех убиру из чс! Каждого! Не поленюсь!
Маск предрёк конец доллару, если США не разберутся с госдолгом
Мнение о Газпроме
Ходють тут всякие. Гугл адвордс и аналитикс снесут? Или это только про боты?

теги блога 10-Q

....все тэги



UPDONW
Новый дизайн