14 января 2024, 08:10
О взломе онлайн банков через перевыпуск SIM карт (на примере Сбербанка)
Почему от Суточного лимита на платежи и переводы через Сбербанк Онлайн нет толка?
1. Потому что откроется доступ к номерам карт и CVV для вывода денег через онлайн платежи. А если карт нет, то можно создать карточный счет и уже распоряжаться им до получения карты.
2. Потому что можно снять деньги через банкомат без карты, воспользовавшись мобильным приложением
Почему банк виноват при взломе онлайн банка с перевыпуском SIM а не оператор? (На примере Сбербанка)
Потому что Банк установил одним из этапов аутентификации только номер карты (вместо пары логин/пароль), что очень ненадежно. (Мобильное приложение)
Потому что Банк выбрал способ восстановления пароля удаленным и простым что сделало пароль фикцией.
Потому что владелец банковского аккаунта не сообщал никому свой логин/пароль. Банк сам третьему лицу позволил их заменить беспрепятственно.
Как видите вина банка из за отсутствия препятствий для восстановлении доступа. Удобней сервисы — больше операций, больше прибыль. НО! Мы же не каждый день восстанавливаем доступ!
Поясню вот что: когда вы СМС-ками подтверждаете платежи в этом нет ничего такого, просто дополнительная опция для надежности, она даже и не обязательная, когда то такого не было. но когда речь идет о восстановлении полного доступа к сервисам, а Сбербанк Онлайн это куда более полный доступ к сервисам, то кто придумал такую норму, что идентифицировать человека теперь не надо. А ведь тоже и про Госуслуги. Ну забыли вы пароль от Госуслуг, ну всё, начнем сначала, с идентификации личности по паспорту!(Но так там такая же дыра) Попробуйте от Налогового кабинета забыть пароль.
Решение может быть таким:
Во-первых обязательно сделать для входа пару Номер_карты/Пароль можно Логин/Пароль или и то и то. Как мне кажется только Номер_карты/Пароль удобнее, не нужно забивать голову лишним «Логином», а еще проще Номер_телефона/пароль чуть менее надежно, но не суть, суть в уникальном пароле который пользователь придумал сам.При попытке установить приложение и войти на новом устройстве, или через Windows 10 и Chrome пользователь вводит пару Номер_карты/Пароль, на втором этапе СМС код — все как обычно без новых препятствий если он помнит свой пароль
При ситуации в которой пользователь забыл пароль:
Приложение или страница браузера сообщает что для восстановления пароля необходимо в банкомате Сбербанка пройти в меню безопасности и повернуть переключатель «запрет восстановления пароля через СМС код на „выкл“» после чего вы сможете пройти процедуру сброса пароля через одноразовый код из СМС (то есть как сейчас) Время, которое сброс пароля будет возможен через СМС ограниченно, если его пропустить/не успеть нужно снова проделать через банкомат тоже самое. В идеале отведенное время 24 — 48 часа
Кроме того это может быть опциональной настройкой выключенной по умолчанию, то есть пользователь самостоятельно может блокировать себе возможность удаленного восстановления пароля(Сейчас в Сбербанке защиты паролем вообще нет, используется номер карты. Уникальный пароль известный только пользователю и не сгенерированный должен быть обязательно иначе не получится)
ИТОГО потребуется:
1 Изменить стандартный способ входа на следующий: НОМЕР_КАРТЫ/ПАРОЛЬ. Причем пароль строго обязательный, никаких обходов
2 реализовать в банкомате опцию: запрет восстановления пароля через СМС код.
Есть три варианта как эту опцию реализовать:
а) Включенная по умолчанию
б) отключенная по умолчанию
в) Запрет включен, но при отключении автоматически включается обратно через заданное время
Вот еще те уязвимости которые позволяют вывести все средства даже с включенным «Суточным лимитом на платежи и переводы через Сбербанк Онлайн»:
1.возможность целиком видеть Номер карты и CVV в приложении и СБОЛ
2. снятие наличных через банкомат без карты через приложение
Сeм, никогда такого не понимал. Меня вот Дмитрий и в жизни зовут. Странно всё…
My Shadow, дивиденды начали платить как раз, чтобы компенсировать этот момент.
никак не пойму РЖД 1Б-01 88.85 куплю за 885р. в году 2 купона 32,66х2=65,32р., это 65,32/885=7,3%, почему заявлена доходность 30.6%
Кот Лео, да ну неправильно ни*ера, основное бабло на бедноте делается в этой индустрии, и камней больше мелких чем крупных, пыль одна мутная
алроса вообще 2% на бриллиантах делала выручки
остал...
Позабавятся дядьки, потешатся еще месяцок от силы. И забудут все про говнолет, также, как забыли про говномечел, потом про говносистему. Все, что происходит на рынке с конторами в разы дешевле своего ...
W1, да уж, застройщики приспособились
недавно видел рекламу на растяжке в новостройке
1990-1998-2008-2025
твои рубли сгорят в кризис — а недвижимость останется
19:36
Nordstream, это новый распил?
19:35
Практика показывает, что ВТБ имеет смысл брать только после уже случившегося сильного роста всего рынка, тогда он может неплохо обогнать по темпам других, за счёт сохраняющейся низкой базы. Но думать,...
19:21
Мухомор, в феврале снизят, кто-то тут сказал.
Banana, новостью будет включение в индекс
В качестве второго фактора аутентификации по возможности надо выбирать TOTP вместо SMS.
Лично меня не напрягает потратить 30 секунд на то, чтобы ввести 6 цифр с брелка в дополнение к паролю. Правда из трех банков, клиентом которых я являюсь, TOTP дает лишь один, и это даже не российский банк.
Возможно, это не слишком популярные решения.
С другой стороны, гугл аккаунты так же устроены,
если там поставить повышенную безопасность,
при входе из нового места падает уведомление на смартфон,
типо подтвердите что это вы.
А потом удивляются откуда различные номер-определители знают имена, и кто как кого сохранил, друзей друзей. Google Auth хранит ключи в не зашифрованном виде.
В любом случае выбор TOTP должен быть.
Поток сознания значимый и имеющий ценность лишь для его создателя… Зачем оно тут- вопрос риторический.
support.mts.ru/mts_mobilnaya_svyaz/Zamena-nomera-ili-SIM-karti-i-pereoformlenie/zamena-sim-karti
Тут МТС тоже пишет что:
10-Q, One-time-password. В общем это распространённый метод 2-х факторной авторизации без использования SMS и вообще любой связи.
Сервис (гугл почта например) при включении этого метода показывает вам QR код один раз (больше не покажет), который вы считываете в каком-нибудь приложении для OTP ключей (Google Authentificator, Microsoft Authentificator, Яндекс Ключ, и т.д.) стандарт ключей открытый и реализованный в куче приложений, никакой сервис не настаивает на использовании именно его приложения, используете какое хотите. Интернет и связь для работы этих приложений не нужен, важно только чтоб было точное время корректно установлено.
В общем каждую минуту приложение берёт секретный ключ из того QR кода который вам когда-то показал сервис, «складывает» его с временем на устройстве, и выдаёт временный пароль который действует только эту минуту. Через минуту уже будет другой. Вы вводите этот временный пароль при авторизации в сервисе (прямо как код из смс) и сервис также проверяет что ваш секретный ключ + время сходится с тем что вы сейчас ввели. По сгенерированному временному паролю (который известен только вам и сервису) и текущему времени (которое известно всем) невозможно понять секретный ключ который был показан в QR коде, за это отвечает современная криптография.
В общем единственный реальный вариант атаковать такой способ это получить доступ к вашему девайсу с OTP паролями, например к мобильному. Сильно менее вероятный способ — удалённо каким-нибудь вирусом достать эти секретные ключи из OTP приложения, что сильно маловероятнее чем перевыпуск симки (потому что все эти секретные ключи тоже на телефоне хранятся в зашифрованном виде и не расшифровываются пока вы не введёте пароль при входе в приложение). Но если вы прям параноик — заведите для этого дела отдельный телефон, ставьте туда приложения для OTP и выключайте на нём интернет навсегда, так точно удалённо ничего не вытащат.
На самом деле с безопаностью на современных айфонах/андроидах всё отлично, если конечно за вами не охотятся спецслужбы, так что я таким методам доверяю больше чем оператору который перевыпускает симки.
Симка, которая привязана к банкам на одном телефоне — у меня в кнопочном аппарате с большой батареей.
А вот СберОнлайн на смартфоне.
Не панацея, но…
В общем есть смысл банковский номер не выносить из дома и не светить его в сбп и других местах
Как они пин код для запуска сим карты узнают?
А у нее на меня
Еще из приколов про Сбер. Надо было мне сделать большой перевод. А ранее я настроил меньший лимит в 200тр в сутки (настраивается). Подумал, что придется топать в банк, чтобы увеличить свой лимит.
Но оказалось, что для увеличения лимитов достаточно 2 раза сказать Да голосовому помошнику.
Руки поотрывать тому кто такую безопасность в Сбере придумал.
Почему от Суточного лимита на платежи и переводы через Сбербанк Онлайн нет толка?
1. Потому что откроется доступ к номерам карт и CVV для вывода денег через онлайн платежи. А если карт нет, то можно создать карточный счет и уже распоряжаться им до получения карты.
2. Потому что можно снять деньги через банкомат без карты, воспользовавшись мобильным приложением
P.S. Я еще раз перечитал бред… Аффтор в курсе что прямо сейчас через банкомат можно получить логин и пароль? Внезапно, как несколько лет тому назад? Надобно СМС-ки запретить?
Например ставишь в ЛК галочку, что при смене пароля, телефона, для снятия галочки и т.д. — обязательно личное присутствие в отделении банка.
Или делаешь запрет на перевод денег онлайн. (многие пользуются картой чисто для покупок в магазинах.) .
Я уже сменил пару карт, т.к. заметил нездоровую активность в отношении их. Деньги по приходу сразу перекидываю на простой счет, без карты который.
А есть те, вроде меня, у которых свербит в одном месте, они получают больше всех пистюлей.
Мне в феврале нужно будет перевыпускать мировскую карту сбера Причём в службе поддержки сказали что нужна новая карта и текуща не продлевается, а в офисе местном пару месяцев назад говорили что продлить можно Придётся разбираться
Решение может быть таким:
Если надо восстановить доступ через СМСку клиент идет в банкомат и щелкает переключатель в настройках что готов восстановить по СМСке, через 24 часа опция перестает действовать, то есть что бы снова восстановить доступ по СМСке — опять в банкомат щелкать переключатель(В Сбербанке защиты паролем вообще нет, используется номер карты который известен например сотрудникам банка, то есть я к тому что уникальный пароль известный только пользователю и не сгенерированный должен быть обязательно иначе не получится)
Еще как вариант: В банкомате генерируется временный код для сброса пароля. Но это менее надежно, наверное, я так думаю. Так как его можно подобрать за то время пока он будет действовать.
Иван Иванов, разумно. Но можно-ли разделить счета в пределах одного банка. Или ты предлагаешь использовать для текущих расходов другой совершенно банк, сбрасывая туда средства через банкомат или путем платежного поручения.
При попытке установить приложение и войти на новом устройстве, или через Windows 10 и Chrome пользователь вводит пару Номер_карты/Пароль, на втором этапе СМС код — все как обычно без новых препятствий если он помнит свой пароль
При ситуации в которой пользователь забыл пароль:
Приложение или страница браузера сообщает что для восстановления пароля необходимо в банкомате Сбербанка пройти в меню безопасности так и так туда то и повернуть то то и то, после чего вы сможете пройти процедуру сброса пароля через одноразовый код из СМС (то есть как сейчас) Время, которое сброс пароля будет возможен через СМС ограниченно, если его пропустить/не успеть нужно снова проделать через банкомат тоже самое. В идеале это всего один простой переключатель, а отведенное время 24 — 48 часа
1 Изменить стандартный способ входа на следующий: НОМЕР_КАРТЫ/ПАРОЛЬ
2 реализовать в банкомате опцию: запрет восстановления пароля через СМС код.