Блог им. W31 |Еще раз О взломе онлайн банков через перевыпуск SIM карт (на примере Сбербанка)

    • 15 января 2024, 12:45
    • |
    • 10-Q
  • Еще
На предыдущий мой пост smart-lab.ru/blog/977776.php было много вопросов А что собственно делать?
Поэтому я изложу максимально четко все тоже самое:

Во-первых обязательно сделать для входа пару Номер_карты/Пароль можно Логин/Пароль или и то и то. Как мне кажется только Номер_карты/Пароль удобнее, не нужно забивать голову лишним «Логином», а еще проще Номер_телефона/пароль чуть менее надежно, но не суть, суть в уникальном пароле который пользователь придумал сам.

При попытке установить приложение и войти на новом устройстве, или через Windows 10 и Chrome пользователь вводит пару Номер_карты/Пароль, на втором этапе СМС код — все как обычно без новых препятствий если он помнит свой пароль

При ситуации в которой пользователь забыл пароль:
Приложение или страница браузера сообщает что для восстановления пароля необходимо в банкомате Сбербанка пройти в меню безопасности и повернуть переключатель «запрет восстановления пароля через СМС код на „выкл“» после чего вы сможете пройти процедуру сброса пароля через одноразовый код из СМС (то есть как сейчас) Время, которое сброс пароля будет возможен через СМС ограниченно, если его пропустить/не успеть нужно снова проделать через банкомат тоже самое. В идеале отведенное время 24 — 48 часа

( Читать дальше )

Блог им. W31 |О взломе онлайн банков через перевыпуск SIM карт (на примере Сбербанка)

    • 14 января 2024, 08:10
    • |
    • 10-Q
  • Еще

Почему от Суточного лимита на платежи и переводы через Сбербанк Онлайн нет толка?

 

1. Потому что откроется доступ к номерам карт и CVV для вывода денег через онлайн платежи. А если карт нет, то можно создать карточный счет и уже распоряжаться им до получения карты.
2. Потому что можно снять деньги через банкомат без карты, воспользовавшись мобильным приложением

 

Почему банк виноват при взломе онлайн банка с перевыпуском SIM а не оператор? (На примере Сбербанка)

 

Потому что Банк установил одним из этапов аутентификации только номер карты (вместо пары логин/пароль), что очень ненадежно. (Мобильное приложение)

Потому что Банк выбрал способ восстановления пароля удаленным и простым что сделало пароль фикцией.

Потому что владелец банковского аккаунта не сообщал никому свой логин/пароль. Банк сам третьему лицу позволил их заменить беспрепятственно.

Как видите вина банка из за отсутствия препятствий для восстановлении доступа. Удобней сервисы — больше операций, больше прибыль. НО! Мы же не каждый день восстанавливаем доступ!

( Читать дальше )

....все тэги
UPDONW
Новый дизайн