14 января 2024, 08:10
О взломе онлайн банков через перевыпуск SIM карт (на примере Сбербанка)
Почему от Суточного лимита на платежи и переводы через Сбербанк Онлайн нет толка?
1. Потому что откроется доступ к номерам карт и CVV для вывода денег через онлайн платежи. А если карт нет, то можно создать карточный счет и уже распоряжаться им до получения карты.
2. Потому что можно снять деньги через банкомат без карты, воспользовавшись мобильным приложением
Почему банк виноват при взломе онлайн банка с перевыпуском SIM а не оператор? (На примере Сбербанка)
Потому что Банк установил одним из этапов аутентификации только номер карты (вместо пары логин/пароль), что очень ненадежно. (Мобильное приложение)
Потому что Банк выбрал способ восстановления пароля удаленным и простым что сделало пароль фикцией.
Потому что владелец банковского аккаунта не сообщал никому свой логин/пароль. Банк сам третьему лицу позволил их заменить беспрепятственно.
Как видите вина банка из за отсутствия препятствий для восстановлении доступа. Удобней сервисы — больше операций, больше прибыль. НО! Мы же не каждый день восстанавливаем доступ!
Поясню вот что: когда вы СМС-ками подтверждаете платежи в этом нет ничего такого, просто дополнительная опция для надежности, она даже и не обязательная, когда то такого не было. но когда речь идет о восстановлении полного доступа к сервисам, а Сбербанк Онлайн это куда более полный доступ к сервисам, то кто придумал такую норму, что идентифицировать человека теперь не надо. А ведь тоже и про Госуслуги. Ну забыли вы пароль от Госуслуг, ну всё, начнем сначала, с идентификации личности по паспорту!(Но так там такая же дыра) Попробуйте от Налогового кабинета забыть пароль.
Решение может быть таким:
Во-первых обязательно сделать для входа пару Номер_карты/Пароль можно Логин/Пароль или и то и то. Как мне кажется только Номер_карты/Пароль удобнее, не нужно забивать голову лишним «Логином», а еще проще Номер_телефона/пароль чуть менее надежно, но не суть, суть в уникальном пароле который пользователь придумал сам.При попытке установить приложение и войти на новом устройстве, или через Windows 10 и Chrome пользователь вводит пару Номер_карты/Пароль, на втором этапе СМС код — все как обычно без новых препятствий если он помнит свой пароль
При ситуации в которой пользователь забыл пароль:
Приложение или страница браузера сообщает что для восстановления пароля необходимо в банкомате Сбербанка пройти в меню безопасности и повернуть переключатель «запрет восстановления пароля через СМС код на „выкл“» после чего вы сможете пройти процедуру сброса пароля через одноразовый код из СМС (то есть как сейчас) Время, которое сброс пароля будет возможен через СМС ограниченно, если его пропустить/не успеть нужно снова проделать через банкомат тоже самое. В идеале отведенное время 24 — 48 часа
Кроме того это может быть опциональной настройкой выключенной по умолчанию, то есть пользователь самостоятельно может блокировать себе возможность удаленного восстановления пароля(Сейчас в Сбербанке защиты паролем вообще нет, используется номер карты. Уникальный пароль известный только пользователю и не сгенерированный должен быть обязательно иначе не получится)
ИТОГО потребуется:
1 Изменить стандартный способ входа на следующий: НОМЕР_КАРТЫ/ПАРОЛЬ. Причем пароль строго обязательный, никаких обходов
2 реализовать в банкомате опцию: запрет восстановления пароля через СМС код.
Есть три варианта как эту опцию реализовать:
а) Включенная по умолчанию
б) отключенная по умолчанию
в) Запрет включен, но при отключении автоматически включается обратно через заданное время
Вот еще те уязвимости которые позволяют вывести все средства даже с включенным «Суточным лимитом на платежи и переводы через Сбербанк Онлайн»:
1.возможность целиком видеть Номер карты и CVV в приложении и СБОЛ
2. снятие наличных через банкомат без карты через приложение
21:04
YgrOK, они спустят котировку.соберут поднимут и раздадут. И так по кругу
Я все понял
ребят, что думаете о компании finandy.com? Есть возможность торговать на ликвидности Бинанс (хотя Бинанс ограничил торговлю для новых пользователей в России) и функционал интересный.
21:03
nrwnd, Да, 1 раз в сутки.
Denis Stelmak, чем это хорошо? все наоборот
21:00
www.finam.ru/publications/item/u-softlayna-est-shansy-pokazat-rost-finpokazateley-blagodarya-sdelkam-ma-20240627-1825/?utm_source=yxnews&utm_medium=desktop вот на все 100% согласен
Цифра мне ответила сегодня на мэйл, что продать на AIX будет можно. А к тому моменту, как будет целесообразно их продавать, уже 100 пакетов новых санкций будет, а может и все санкции отменят.
20:58
Пенсионерам 2000р, военным пенсионерам 4000р 💳 Промсвязьбанк продлил акцию с бонусом за перевод пенсии
Но внесено существенное условие: нужно также сделать по пенсионной карте покупки на 10 тыс. ...
Почему я не буду покупать офз, а куплю наличный бакс ответ на картинке. грядущая гойда выглядит именно так. пора как говориться, венесуэла с нами!!! в венесуэле правда уже пост гойда и выглядит она п...
20:58
Почему я не буду покупать офз, а куплю наличный бакс ответ на картинке. грядущая гойда выглядит именно так. пора как говориться, венесуэла с нами!!! в венесуэле правда уже пост гойда и выглядит она п...
В качестве второго фактора аутентификации по возможности надо выбирать TOTP вместо SMS.
Лично меня не напрягает потратить 30 секунд на то, чтобы ввести 6 цифр с брелка в дополнение к паролю. Правда из трех банков, клиентом которых я являюсь, TOTP дает лишь один, и это даже не российский банк.
Возможно, это не слишком популярные решения.
С другой стороны, гугл аккаунты так же устроены,
если там поставить повышенную безопасность,
при входе из нового места падает уведомление на смартфон,
типо подтвердите что это вы.
А потом удивляются откуда различные номер-определители знают имена, и кто как кого сохранил, друзей друзей. Google Auth хранит ключи в не зашифрованном виде.
В любом случае выбор TOTP должен быть.
О каком удобстве может идти речь, если Сбер навязывает использование платной дебетовой карты для входа?? Чтобы пользоваться банковскими услугами и другими сервисами (брокерским, страховым и тд) дебетовая карта не обязательна!
Поток сознания значимый и имеющий ценность лишь для его создателя… Зачем оно тут- вопрос риторический.
support.mts.ru/mts_mobilnaya_svyaz/Zamena-nomera-ili-SIM-karti-i-pereoformlenie/zamena-sim-karti
Тут МТС тоже пишет что:
10-Q, One-time-password. В общем это распространённый метод 2-х факторной авторизации без использования SMS и вообще любой связи.
Сервис (гугл почта например) при включении этого метода показывает вам QR код один раз (больше не покажет), который вы считываете в каком-нибудь приложении для OTP ключей (Google Authentificator, Microsoft Authentificator, Яндекс Ключ, и т.д.) стандарт ключей открытый и реализованный в куче приложений, никакой сервис не настаивает на использовании именно его приложения, используете какое хотите. Интернет и связь для работы этих приложений не нужен, важно только чтоб было точное время корректно установлено.
В общем каждую минуту приложение берёт секретный ключ из того QR кода который вам когда-то показал сервис, «складывает» его с временем на устройстве, и выдаёт временный пароль который действует только эту минуту. Через минуту уже будет другой. Вы вводите этот временный пароль при авторизации в сервисе (прямо как код из смс) и сервис также проверяет что ваш секретный ключ + время сходится с тем что вы сейчас ввели. По сгенерированному временному паролю (который известен только вам и сервису) и текущему времени (которое известно всем) невозможно понять секретный ключ который был показан в QR коде, за это отвечает современная криптография.
В общем единственный реальный вариант атаковать такой способ это получить доступ к вашему девайсу с OTP паролями, например к мобильному. Сильно менее вероятный способ — удалённо каким-нибудь вирусом достать эти секретные ключи из OTP приложения, что сильно маловероятнее чем перевыпуск симки (потому что все эти секретные ключи тоже на телефоне хранятся в зашифрованном виде и не расшифровываются пока вы не введёте пароль при входе в приложение). Но если вы прям параноик — заведите для этого дела отдельный телефон, ставьте туда приложения для OTP и выключайте на нём интернет навсегда, так точно удалённо ничего не вытащат.
На самом деле с безопаностью на современных айфонах/андроидах всё отлично, если конечно за вами не охотятся спецслужбы, так что я таким методам доверяю больше чем оператору который перевыпускает симки.
Симка, которая привязана к банкам на одном телефоне — у меня в кнопочном аппарате с большой батареей.
А вот СберОнлайн на смартфоне.
Не панацея, но…
В общем есть смысл банковский номер не выносить из дома и не светить его в сбп и других местах
Как они пин код для запуска сим карты узнают?
А у нее на меня
Еще из приколов про Сбер. Надо было мне сделать большой перевод. А ранее я настроил меньший лимит в 200тр в сутки (настраивается). Подумал, что придется топать в банк, чтобы увеличить свой лимит.
Но оказалось, что для увеличения лимитов достаточно 2 раза сказать Да голосовому помошнику.
Руки поотрывать тому кто такую безопасность в Сбере придумал.
Почему от Суточного лимита на платежи и переводы через Сбербанк Онлайн нет толка?
1. Потому что откроется доступ к номерам карт и CVV для вывода денег через онлайн платежи. А если карт нет, то можно создать карточный счет и уже распоряжаться им до получения карты.
2. Потому что можно снять деньги через банкомат без карты, воспользовавшись мобильным приложением
P.S. Я еще раз перечитал бред… Аффтор в курсе что прямо сейчас через банкомат можно получить логин и пароль? Внезапно, как несколько лет тому назад? Надобно СМС-ки запретить?
Например ставишь в ЛК галочку, что при смене пароля, телефона, для снятия галочки и т.д. — обязательно личное присутствие в отделении банка.
Или делаешь запрет на перевод денег онлайн. (многие пользуются картой чисто для покупок в магазинах.) .
Я уже сменил пару карт, т.к. заметил нездоровую активность в отношении их. Деньги по приходу сразу перекидываю на простой счет, без карты который.
А есть те, вроде меня, у которых свербит в одном месте, они получают больше всех пистюлей.
Мне в феврале нужно будет перевыпускать мировскую карту сбера Причём в службе поддержки сказали что нужна новая карта и текуща не продлевается, а в офисе местном пару месяцев назад говорили что продлить можно Придётся разбираться
Решение может быть таким:
Если надо восстановить доступ через СМСку клиент идет в банкомат и щелкает переключатель в настройках что готов восстановить по СМСке, через 24 часа опция перестает действовать, то есть что бы снова восстановить доступ по СМСке — опять в банкомат щелкать переключатель(В Сбербанке защиты паролем вообще нет, используется номер карты который известен например сотрудникам банка, то есть я к тому что уникальный пароль известный только пользователю и не сгенерированный должен быть обязательно иначе не получится)
Еще как вариант: В банкомате генерируется временный код для сброса пароля. Но это менее надежно, наверное, я так думаю. Так как его можно подобрать за то время пока он будет действовать.
Иван Иванов, разумно. Но можно-ли разделить счета в пределах одного банка. Или ты предлагаешь использовать для текущих расходов другой совершенно банк, сбрасывая туда средства через банкомат или путем платежного поручения.
При попытке установить приложение и войти на новом устройстве, или через Windows 10 и Chrome пользователь вводит пару Номер_карты/Пароль, на втором этапе СМС код — все как обычно без новых препятствий если он помнит свой пароль
При ситуации в которой пользователь забыл пароль:
Приложение или страница браузера сообщает что для восстановления пароля необходимо в банкомате Сбербанка пройти в меню безопасности так и так туда то и повернуть то то и то, после чего вы сможете пройти процедуру сброса пароля через одноразовый код из СМС (то есть как сейчас) Время, которое сброс пароля будет возможен через СМС ограниченно, если его пропустить/не успеть нужно снова проделать через банкомат тоже самое. В идеале это всего один простой переключатель, а отведенное время 24 — 48 часа
1 Изменить стандартный способ входа на следующий: НОМЕР_КАРТЫ/ПАРОЛЬ
2 реализовать в банкомате опцию: запрет восстановления пароля через СМС код.