Домашняя страница/Разные обсуждения/Проблема безопасности хранения денег в Сбере или как Сбер «любит» своих клиен...
Опубликовано около 1 года назад
Проблема безопасности хранения денег в Сбере или как Сбер «любит» своих клиентов что позволяет слить все их деньга за пару шагов.
Поделился(-ась)
Ivan_Ivanovvvv
Подробнее о скидке
Теперь подробности.
Для организации уровня доступа к своим деньгам ранее можно было спокойно применять следующую схему:
У вас есть:
1. Сберегательный счет, на котором лежат ваши основные сбережения и туда вы перекидываете зарплату и прочие доходы
2. пластиковая карта (или карты), на которую вы периодически закидываете немного денег и платите везде с них, рискуя потерять только ту сумму, которая там есть.
Для работы с банком вы пользуетесь личным кабинетом на Интернет-странице Сбербанк онлайн, на которой у вас надежный пароль и еще смска для подтверждения входа.
И вы конечно же настроили в личном кабинете видимость своих карт и счетов, а именно:
1. убрали возможность доступа с банкомата при помощи любой вашей карты ко всем вашим счетам;
2. настроили так что бы в мобильном приложении, которое вы поставили себе на телефон были видны только карты, но не счета и радуетесь жизни думая, что до ваших счетов можно добраться только через Интернет страницу личного кабинета Сбера где у вас надежный пароль и смска.
Но не тут-то было….
Для того что бы получить доступ ко всем вашим деньгам теперь злоумышленнику нужен только смс на ваш номер ВСЁ!!!
Сценарий очень прост:
1. вор ставит СЕБЕ мобильное приложение Сбера
2. вор получает информацию о номере ЛЮБОЙ вашей карты (а номер карты светится везде)
3. при помощи номера карты вор
регистрируется в личном кабинете Сбера и вот здесь ему нужна СМСка которая придет на ваш номер.
4. Тут вы думаете все нормально, ведь у меня настроена видимость карт и счетов, и я скрыл все счета из мобильного приложения и максимум что вор получит это только те деньги, которые есть на карте.
Но знаете, что сделали гениальные ребята из Сбера??? А они сделали так что бы из мобильного приложения можно восстановить видимость всех скрытых счетов и карт!!!
5. Получив доступ через мобильное приложение, вор восстанавливает видимость скрытых счетов и карт и далее опустошает вашу копилку.
Таким образом ВСЕ ваши деньги в Сбере защищает самая примитивная защита в виде СМС авторизации!!!
Никакого смысла в двухфакторной авторизации на интернет странице Сбера онлайн – НЕТ. А что же нам предлагают «гениальные» ребята Сбера – они предлагаю страховать случаи кражи денег, то есть продают риски, которые они для нас сами создали нам же.
Уязвимость которую я описал больше относится к физическому вектору атаки на самого пользователя по типу гоп стопа. Тормозят вас или вашу жену, у вас телефон и карта с собой. Далее не только бъют но и забирают ВСЕ деньги. Ни вы, ни банк не можете этому помешать.
По факту вы носите все свои деньги всегда с собой.
Прошу уточнить как обстоят дела с этим вопросом в других банках?
Для организации уровня доступа к своим деньгам ранее можно было спокойно применять следующую схему:
У вас есть:
1. Сберегательный счет, на котором лежат ваши основные сбережения и туда вы перекидываете зарплату и прочие доходы
2. пластиковая карта (или карты), на которую вы периодически закидываете немного денег и платите везде с них, рискуя потерять только ту сумму, которая там есть.
Для работы с банком вы пользуетесь личным кабинетом на Интернет-странице Сбербанк онлайн, на которой у вас надежный пароль и еще смска для подтверждения входа.
И вы конечно же настроили в личном кабинете видимость своих карт и счетов, а именно:
1. убрали возможность доступа с банкомата при помощи любой вашей карты ко всем вашим счетам;
2. настроили так что бы в мобильном приложении, которое вы поставили себе на телефон были видны только карты, но не счета и радуетесь жизни думая, что до ваших счетов можно добраться только через Интернет страницу личного кабинета Сбера где у вас надежный пароль и смска.
Но не тут-то было….
Для того что бы получить доступ ко всем вашим деньгам теперь злоумышленнику нужен только смс на ваш номер ВСЁ!!!
Сценарий очень прост:
1. вор ставит СЕБЕ мобильное приложение Сбера
2. вор получает информацию о номере ЛЮБОЙ вашей карты (а номер карты светится везде)
3. при помощи номера карты вор
регистрируется в личном кабинете Сбера и вот здесь ему нужна СМСка которая придет на ваш номер.
4. Тут вы думаете все нормально, ведь у меня настроена видимость карт и счетов, и я скрыл все счета из мобильного приложения и максимум что вор получит это только те деньги, которые есть на карте.
Но знаете, что сделали гениальные ребята из Сбера??? А они сделали так что бы из мобильного приложения можно восстановить видимость всех скрытых счетов и карт!!!
5. Получив доступ через мобильное приложение, вор восстанавливает видимость скрытых счетов и карт и далее опустошает вашу копилку.
Таким образом ВСЕ ваши деньги в Сбере защищает самая примитивная защита в виде СМС авторизации!!!
Никакого смысла в двухфакторной авторизации на интернет странице Сбера онлайн – НЕТ. А что же нам предлагают «гениальные» ребята Сбера – они предлагаю страховать случаи кражи денег, то есть продают риски, которые они для нас сами создали нам же.
Уязвимость которую я описал больше относится к физическому вектору атаки на самого пользователя по типу гоп стопа. Тормозят вас или вашу жену, у вас телефон и карта с собой. Далее не только бъют но и забирают ВСЕ деньги. Ни вы, ни банк не можете этому помешать.
По факту вы носите все свои деньги всегда с собой.
Прошу уточнить как обстоят дела с этим вопросом в других банках?
Категории :
Самое горячее
Новое Крепление для приставок и других приборов к телевизору Novigo NV-360 B
87%
Новое Робот-пылесос Mijia Mop 3C за 9999₽ и 3C Plus за 10999₽ (LiDAR, 4000 и 5000 Па, сухая и влажная уборка, MiHome)
24%
![[Москва и другие] Автомобиль LADA Granta Седан 1.6 MT 90 л.с. Classic 24 Рестайлинг](https://cdn2.pepper.ru/topics/photos/564748/small/7180223669.jpg?1731754283)
Новое [Москва и другие] Автомобиль LADA Granta Седан 1.6 MT 90 л.с. Classic 24 Рестайлинг
11%
Новое Телевизор iFFALCON IFF75U64 (75", Google TV)
11%
Новое Ботинки мужские Safety Jogger Street
70%
Показать все
Топ обсуждения
135955° Спортмастер: делимся бонусами -30%
удалено10580
81325° М.Видео: делимся бонусами и промокодами
Александр_Р.
332° Ваши Анимированные Аватары
ismellmoney
225° Посоветуйте мышь до 3к
Myunis
180° Сборка или Выбор Системника для пенсионера за 30к для интернета и игр типа Ферма
Evgeny_Larionov
Показать все
не стоит ещё забывать про перехват смс,эмуляцию gsm, зашитые бэкдоры в прошивке во всяких текно itelах и рф смартфонах, восстановление симкарт по доверенности и многое другое.
по всякому. где-то карты с одноразовыми кодами дают (псб и втб вроде), где-то можно найти, чтобы только с офлайн доступом открыть/отключить
от остального защиты нет, но это должны быть явно миллионы не рублей на счетах
2. Никогда не пользуйтесь картами тех банков, где храните крупные сбережения.
3. Пользуйтесь только картами тех банков, где почти ничего не храните.
На самом деле банки по 115 ФЗ вас замучают до полусмерти и отгопстопят лучше любых мойшейников .
- на не-эмбоссированной стереть все цифры номера карты
- на эмбоссированной пробить дыроколом 4 цифры номера карты из 2-ой или 3-ей группы цифр
для нешарящих что это выкопирую кусочек интернета:
...Главное отличие эмбоссированных и неэмбоссированных карт в том, что во втором случае данные на карту наносят другим способом (без выдавливания). Вся поверхность карты остается ровной и гладкой, без выпуклых фрагментов. При этом даже на неэмбоссированном пластике есть и чип, и магнитная лента или что-то одно...
Другое важное отличие – с неэмбоссированной карты нельзя провести оплату там, где нет POS-терминала, а есть только импринтер. Импринтер делает оттиск поверхности карты, а неэмбоссированные карты полностью плоские. Для проведения операции кассиру требуется разрешение банка. Импринтеры используют обычно там, где нет интернет-соединения... (в РФ этой технологии все равно считай что нет, а вот за бугром могут быть проблемы)
Где везде? Нигде номер карты не светится. Даже там, где карта сохранена, только последние 4 цифры видны.
>нужна СМСка которая придет на ваш номер.
Как он получит СМС? Надо пин-код на симку ставить и запрет на перевыдачу симки без личного присутствия. Тогда даже украв телефон, вор ничего не получит.
Описанная схема для всех банков применима. При чём тут Сбер? Кстати, в Тинькофф вообще можно без СМС деньги красть. Даже номера карты не надо:
pepper.ru/dis…570
Когда смените телефон и будете заходить по новой в банки, увидите что только по смс вход и будет, в большинстве банков без доп вопросов (чаще пароль от ЛК, либо номер карты)