15 января 2024, 12:45
Еще раз О взломе онлайн банков через перевыпуск SIM карт (на примере Сбербанка)
На предыдущий мой пост smart-lab.ru/blog/977776.php было много вопросов А что собственно делать?
Поэтому я изложу максимально четко все тоже самое:
Во-первых обязательно сделать для входа пару Номер_карты/Пароль можно Логин/Пароль или и то и то. Как мне кажется только Номер_карты/Пароль удобнее, не нужно забивать голову лишним «Логином», а еще проще Номер_телефона/пароль чуть менее надежно, но не суть, суть в уникальном пароле который пользователь придумал сам.
При попытке установить приложение и войти на новом устройстве, или через Windows 10 и Chrome пользователь вводит пару Номер_карты/Пароль, на втором этапе СМС код — все как обычно без новых препятствий если он помнит свой пароль
При ситуации в которой пользователь забыл пароль:
Приложение или страница браузера сообщает что для восстановления пароля необходимо в банкомате Сбербанка пройти в меню безопасности и повернуть переключатель «запрет восстановления пароля через СМС код на „выкл“» после чего вы сможете пройти процедуру сброса пароля через одноразовый код из СМС (то есть как сейчас) Время, которое сброс пароля будет возможен через СМС ограниченно, если его пропустить/не успеть нужно снова проделать через банкомат тоже самое. В идеале отведенное время 24 — 48 часа
Кроме того это может быть опциональной настройкой выключенной по умолчанию, то есть пользователь самостоятельно может блокировать себе возможность удаленного восстановления пароля
(Сейчас в Сбербанке защиты паролем вообще нет, используется номер карты. Уникальный пароль известный только пользователю и не сгенерированный должен быть обязательно иначе не получится)
1 Изменить стандартный способ входа на следующий: НОМЕР_КАРТЫ/ПАРОЛЬ. Причем пароль строго обязательный, никаких обходов
Вот еще те уязвимости которые позволяют вывести все средства даже с включенным «Суточным лимитом на платежи и переводы через Сбербанк Онлайн»:
Поэтому я изложу максимально четко все тоже самое:
Во-первых обязательно сделать для входа пару Номер_карты/Пароль можно Логин/Пароль или и то и то. Как мне кажется только Номер_карты/Пароль удобнее, не нужно забивать голову лишним «Логином», а еще проще Номер_телефона/пароль чуть менее надежно, но не суть, суть в уникальном пароле который пользователь придумал сам.
При попытке установить приложение и войти на новом устройстве, или через Windows 10 и Chrome пользователь вводит пару Номер_карты/Пароль, на втором этапе СМС код — все как обычно без новых препятствий если он помнит свой пароль
При ситуации в которой пользователь забыл пароль:
Приложение или страница браузера сообщает что для восстановления пароля необходимо в банкомате Сбербанка пройти в меню безопасности и повернуть переключатель «запрет восстановления пароля через СМС код на „выкл“» после чего вы сможете пройти процедуру сброса пароля через одноразовый код из СМС (то есть как сейчас) Время, которое сброс пароля будет возможен через СМС ограниченно, если его пропустить/не успеть нужно снова проделать через банкомат тоже самое. В идеале отведенное время 24 — 48 часа
Кроме того это может быть опциональной настройкой выключенной по умолчанию, то есть пользователь самостоятельно может блокировать себе возможность удаленного восстановления пароля
(Сейчас в Сбербанке защиты паролем вообще нет, используется номер карты. Уникальный пароль известный только пользователю и не сгенерированный должен быть обязательно иначе не получится)
ИТОГО потребуется:
1 Изменить стандартный способ входа на следующий: НОМЕР_КАРТЫ/ПАРОЛЬ. Причем пароль строго обязательный, никаких обходов
2 реализовать в банкомате опцию: запрет восстановления пароля через СМС код.
Есть три варианта как эту опцию реализовать:
а) Включенная по умолчанию
б) отключенная по умолчанию
в) Запрет включен, но при отключении автоматически включается обратно через заданное время
Вот еще те уязвимости которые позволяют вывести все средства даже с включенным «Суточным лимитом на платежи и переводы через Сбербанк Онлайн»:
1.возможность целиком видеть Номер карты и CVV в приложении и СБОЛ
2. снятие наличных через банкомат без карты через приложение
Обычная ипотека потребует зарплаты в 400 тысяч рублей в месяц в Москве и 200 тысяч — в регионах
Об этом сообщает официальный печатный орган Правительства РФ «Российская газета».
При отсутств...
21:29
Sloikin, вот согласен во многом там где страшно, но купить да просто… надо чтоб то что купил работало хорошо, и тут смысл в том что маленькой компании вырывать крупные контракты и иметь сильное раз...
Кто в курсе когда квартальный отчёт?
any_to_real, а что говорят графики? Видны медвежьи сигналы и все такое? Да и что за дивидоха в 10%, на смех курям
21:27
Ideafix346, Секрет, а то тоже захочешь ( а боливар двоих не выдержит ). Но, неликвид неликвидом, но 5-10 тыс. в день приносит. Но, у меня таковых неликвидов с десяток ( из числа любимых ). Там я Ку...
Роман Бабанин, упадок? Какой еще упадок? Пока только рост. Упадок это потом, как-нибудь.
Рубль укрепится, цена на акции упадет, Китайские машины подорожают, а если подорожают Китайские машины, значит рубль укрепится
Павел Саблин,
Ситуация прояснилась?
........, ждем когда у них хватит ума кончить нацбатов с инструкторами и поднять триколор…
21:04
YgrOK, они спустят котировку.соберут поднимут и раздадут. И так по кругу
У некоторых банков реализована защита паролем. У Сбера раньше точно была защита логином/паролем, которые выдавались на чеке в банкомате. Потом в угоду технически малограмотным пользователям ухудшили защиту аккаунта для всех пользователей. Вы правильно об этом пишете. И это ужасно и неправильно. Что мешало Сбербанку хотя бы опционально дать опытным пользователям возможность усилить защиту?
Что может каждый клиент Сбербанка (и не только) сделать, чтобы хотя бы немного усилить защиту на случай простой утери/кражи его личного смартфона:
1. Поставить ПИН код на СИМ карту (все телефоны, даже кнопочные, это умеют). Тогда невозможно будет просто вытащить симку и вставив в другой телефон получать СМС коды банков. Как вариант, на современный смартфон можно заменить обычную сим-карту на eSIM — ее уже нельзя будет вытащить. Это можно сделать в личном кабинета оператора связи.
ПИН код нужно будет вводить каждый раз при перезагрузке, или обновлении смартфона или вытаскивании симки. Есть риск забыть ПИН код (4 цифры), дается 3 попытки ввода кода, потом симка блокируется.
2. Отключить вывод СМС сообщений на заблокированный экран смартфона. Чтобы банковские СМС не были видны в случае потери смартфона.
ее можно выписать / поменять онлайн вне реала
А недалекие клиенты возмущаются.
Перевыпуск симки банк никак не может контролировать, а опсосы никаких отношений с банком не имеют и могут перевыпускать симки как угодно и ничего им за это не будет.
В свободном доступе база клиентов Альфа банка от октября 2023. Неполная, есть ошибки.
Но ФИО, дата рождения, контактные номера телефонов, номера карт и срок действия в наличии. Это значительно упрощает и ускоряет обман жертв.
все там нормально и жестко
интересно посмотреть статистику про мойшины схемы у разных банков
кажется у сбера точно меньше всех проколов