10-Q
10-Q личный блог
15 января 2024, 12:45

Еще раз О взломе онлайн банков через перевыпуск SIM карт (на примере Сбербанка)

На предыдущий мой пост smart-lab.ru/blog/977776.php было много вопросов А что собственно делать?
Поэтому я изложу максимально четко все тоже самое:

Во-первых обязательно сделать для входа пару Номер_карты/Пароль можно Логин/Пароль или и то и то. Как мне кажется только Номер_карты/Пароль удобнее, не нужно забивать голову лишним «Логином», а еще проще Номер_телефона/пароль чуть менее надежно, но не суть, суть в уникальном пароле который пользователь придумал сам.

При попытке установить приложение и войти на новом устройстве, или через Windows 10 и Chrome пользователь вводит пару Номер_карты/Пароль, на втором этапе СМС код — все как обычно без новых препятствий если он помнит свой пароль

При ситуации в которой пользователь забыл пароль:
Приложение или страница браузера сообщает что для восстановления пароля необходимо в банкомате Сбербанка пройти в меню безопасности и повернуть переключатель «запрет восстановления пароля через СМС код на „выкл“» после чего вы сможете пройти процедуру сброса пароля через одноразовый код из СМС (то есть как сейчас) Время, которое сброс пароля будет возможен через СМС ограниченно, если его пропустить/не успеть нужно снова проделать через банкомат тоже самое. В идеале отведенное время 24 — 48 часа
Кроме того это может быть опциональной настройкой выключенной по умолчанию, то есть пользователь самостоятельно может блокировать себе возможность удаленного восстановления пароля

(Сейчас в Сбербанке защиты паролем вообще нет, используется номер карты. Уникальный пароль известный только пользователю и не сгенерированный должен быть обязательно иначе не получится)

 

ИТОГО потребуется:

1 Изменить стандартный способ входа на следующий: НОМЕР_КАРТЫ/ПАРОЛЬ. Причем пароль строго обязательный, никаких обходов
2 реализовать в банкомате опцию: запрет восстановления пароля через СМС код.
Есть три варианта как эту опцию реализовать:
а) Включенная по умолчанию
б) отключенная по умолчанию
в) Запрет включен, но при отключении автоматически включается обратно через заданное время

 

Вот еще те уязвимости которые позволяют вывести все средства даже с включенным «Суточным лимитом на платежи и переводы через Сбербанк Онлайн»:
1.возможность целиком видеть Номер карты и CVV в приложении и СБОЛ
2. снятие наличных через банкомат без карты через приложение

18 Комментариев
  • Alexide
    15 января 2024, 13:08

    У некоторых банков реализована защита паролем. У Сбера раньше точно была защита логином/паролем, которые выдавались на чеке в банкомате. Потом в угоду технически малограмотным пользователям ухудшили защиту аккаунта для всех пользователей. Вы правильно об этом пишете. И это ужасно и неправильно. Что мешало Сбербанку хотя бы опционально дать опытным пользователям возможность усилить защиту? 

    Что может каждый клиент Сбербанка (и не только) сделать, чтобы хотя бы немного усилить защиту на случай простой утери/кражи его личного смартфона:

    1. Поставить ПИН код на СИМ карту (все телефоны, даже кнопочные, это умеют). Тогда невозможно будет просто вытащить симку и вставив в другой телефон получать СМС коды банков. Как вариант, на современный смартфон можно заменить обычную сим-карту на eSIM — ее уже нельзя будет вытащить. Это можно сделать в личном кабинета оператора связи.
    ПИН код нужно будет вводить каждый раз при перезагрузке, или обновлении смартфона или вытаскивании симки. Есть риск забыть ПИН код (4 цифры), дается 3 попытки ввода кода, потом симка блокируется.

    2. Отключить вывод СМС сообщений на заблокированный экран смартфона. Чтобы банковские СМС не были видны в случае потери смартфона.

      • Alexide
        15 января 2024, 15:29
        10-Q, да, все верно. ПИН код на симку — это полумера, но хоть какая-то защита от мелких мошенников. Остальное должны делать банки.
    • Валерий Осипенко
      15 января 2024, 13:22
      Alexide, электронная симка это прямой подарок мошеникам
      • Crogall
        15 января 2024, 14:04
        Валерий Осипенко, почему

        • Валерий Осипенко
          15 января 2024, 14:12
          Crogall, я смотрел у себя 
          ее можно выписать / поменять онлайн вне реала 

  • Иван Иванов
    15 января 2024, 13:12
    Вроде в сбербанке есть какая то опция оффлайн счёта, который доступен только в отделении. Интересно дадут ли они подтверждающий документ на такой счёт, так как без него это бессмысленно
  • last_rat
    15 января 2024, 13:13
    МКБ, например, при перевыпуске sim вобще все блокирует. Добро пожаловать в отделение с паспортом. И это правильно.
    А недалекие клиенты возмущаются. 
    • Иван Иванов
      15 января 2024, 13:18
      last_rat, да, только так и правильно.
      Перевыпуск симки банк никак не может контролировать, а опсосы никаких отношений с банком не имеют и могут перевыпускать симки как угодно и ничего им за это не будет.
  • last_rat
    15 января 2024, 13:21
    Защита от взлома это хорошо. Но деньги сейчас воруют другим способом. 
    В свободном доступе база клиентов Альфа банка от октября 2023. Неполная, есть ошибки.
    Но ФИО, дата рождения, контактные номера телефонов, номера карт и срок действия в наличии. Это значительно упрощает и ускоряет обман жертв.  
  • Валерий Осипенко
    15 января 2024, 13:24
     у сбера любое шевеление на вход в онлайн тут же приходит смс -ка
    все там нормально и жестко
      • Валерий Осипенко
        15 января 2024, 13:47
        10-Q, 40 руб в месяц абон плата за смс от сбера на мой номер 
        интересно посмотреть статистику про мойшины схемы у разных банков
        кажется у сбера точно меньше всех проколов
  • bymka
    15 января 2024, 19:17
    Жаль у банков до сих пор нет выбора для двухфакторки использовать условный google authenticator(или другие), всякие смс нужны только как бекап.

Активные форумы
Что сейчас обсуждают

Старый дизайн
Старый
дизайн