И снова про безопасность банков и СМС

Сегодня меня попытались «развести» интернет-мошенники. Схема обычная и нехитрая — «у вас скомпроментирована карта, пришлите код из СМС чтобы мы заблокировали операцию». Код, естественно, никуда не ушел, но мне стало любопытно какие же мои данные «утекли» и что с подобным кодом могли сделать жулики, я проверил — и мне стало реально страшно.

Итак, господа, что нужно мошенникам для того чтобы полностью скомпроментировать все ваши счета в Альфа-Банке? Как оказалось всего две вещи: номер любой Вашей карты и код из одной СМС. То есть если у Вас банально выхватят из руки телефон с вложенной в обложку картой Альфа-Банка (либо бумажник с телефоном отожмут гопники) то Вы вполне можете помахать всем своим сбережениям белым платочком а заодно получить уникальную возможность ближайшие несколько лет оплачивать долги другого человека. А в схеме с изготовлением дубликата сим-карты мошенникам не понадобится ничего даже красть — Вы узнаете о случившимся постфактум, когда утром заметите что за ночь почему-то перестал ловить сеть Ваш телефон. Одна чертова СМС и знание номера счета или карты — это вся защита которую нужно обойти злоумышленникам. Пароли? Биометрия? Виртуальные карты и лимиты на расходы? Все это у банка существует лишь для видимости безопасности поскольку полностью перекрывается одним-единственным кодом из СМС.

Осознав это и вздрогнув от того что тщательно продуманные и оберегаемые пароли меня на самом деле ни от чего не защищают, я попробовал повторить тот же фокус со Сбербанком. И Вы знаете что? Оказалось что эта же схема прекрасно работает и со Сбербанком тоже. Последовательность необходимых шагов для этого оказалась чуть-чуть длиннее чем в Альфе, которая предлагает такой вариант прямо на заглавной странице, но принцип был тот же. СМС — это единственная защита которую предлагает банк. И как пишут такая беда, собственно, сегодня практически у всех банков. Увы.

Господа банкиры, я все понимаю, удобство клиента — это очень важно, но Вам не кажется что безопасность клиента — это все-таки немного важнее? Нельзя ли заиметь хотя бы опциональную фичу запрещающую «восстановление пароля» по СМС, без физического визита владельца в отделение банка? Или, как это делает Google, опционально завязав эту возможность на физический токен по типу YubiKey? Да хотя бы начать присылать пароль для входа на указанную при регистрации в банке почту вместо того чтобы предлагать ввести его самостоятельно? И да, я понимаю что банк «в случае чего» ни за что не отвечает так что ему глубоко фиолетово то насколько надежно устроена авторизация, но я обещаю что по крайней мере я переведу к первому серьезному банку который реализует нормальную защиту все свои немалые деньги.

Господа пользователи, я читал на Хабре не одну статью о проблемах с безопасностью СМС-авторизации, но даже прочитав их до сегодняшнего дня недостаточно предоставлял себе масштаб проблемы. Если у Вас есть в банках средства которые Вам жалко потерять, то во-первых отключите прямо сейчас показ уведомлений на экране блокировки а во-вторых в ближайшее время зайдите в офис своего мобильного оператора и заблокируйте переоформление сим-карты по доверенности. Я откладывал это действие не один месяц, а сейчас понимаю что был идиотом. И напишите в техподдержку своего банка жалобу. Текущий уровень безопасности онлайн-банков — это полное днище. Спишут всё и повесят на Вас огромный кредит на все то щедрое онлайн-предложение которое банки так любят предоставлять айтишникам.

Если у Вас есть идеи как еще можно обезопасить свои счета — то пишите об этом в комментариях.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Ваше отношение к безопасности онлайн-банков

17.5% Мой банк уже поддерживает нормальную авторизацию для которой недостаточно перехвата одной СМС 7

2.5% Мой банк не требует ничего кроме одной СМС но меня это устраивает 1

40% Меня не устраивает то что моя безопасность обеспечивается одной СМС, но ничего делать с этим я не буду 16

12.5% Меня не устраивает уровень безопасности и я буду жаловаться и принимать другие меры но менять банк не буду 5

27.5% Меня не устраивает уровень безопасности и я готов уйти в банк который предложит вменяемую защиту поскольку считаю что моя безопасность важнее 11

Проголосовали 40 пользователей. Воздержались 10 пользователей.

Читайте так же:

  • Яндекс представил новый партнерский кабинет Я.НовостейЯндекс представил новый партнерский кабинет Я.Новостей Команда Я.Новостей сообщила о запуске нового партнерского кабинета. Войти в него можно с тем же логином, что и в старый, он пока тоже работает. Что нового: 1. Лента новостей – список всех проиндексированных материалов издания в хронологическом порядке с возможностью фильтровать по дате и […]
  • Комплексное digital-продвижение для дилерских центров. Точки роста в жестких рамках.Комплексное digital-продвижение для дилерских центров. Точки роста в жестких рамках. Описание Дилерским центрам по продаже автомобилей приходится выстраивать свою работу в условиях жестких ограничений. Импортер определяет структуру сайта и его контент. Разрешает использовать регламентированные изображения и коммуникации. В итоге дилеры сталкиваются с тем, что их […]
  • Квадрокоптеры выявляют нарушения, связанные с недвижимостью в МосквеКвадрокоптеры выявляют нарушения, связанные с недвижимостью в Москве Беспилотные дроны в ближайшие два месяца будут инспектировать около 70 районов Москвы. С их помощью Госинспекция по недвижимости в начале 2020 проверила  уже свыше 160 квадратных километров на предмет земельно-имущественных нарушений. До конца первого квартала она собирается изучить […]
  • Бесхозный контент вордпрессБесхозный контент вордпресс Есть ли какой-нибудь способ проверить unowned(safe)ссылку Swift на Итак. Я ищу гипотетическую функцию. Как isReferenceAccessibleв этом примере: func someMethod() { someAsyncOperation(parameters) { [unowned(safe) self] in guard isReferenceAccessible(self) else { return } […]