Домашняя страница/Разные обсуждения/Проблема безопасности хранения денег в Сбере или как Сбер «любит» своих клиен...
Опубликовано около 1 года назад

Проблема безопасности хранения денег в Сбере или как Сбер «любит» своих клиентов что позволяет слить все их деньга за пару шагов.

Поделился(-ась)
Ivan_Ivanovvvv

Подробнее о скидке

Теперь подробности.
Для организации уровня доступа к своим деньгам ранее можно было спокойно применять следующую схему:
У вас есть:
1. Сберегательный счет, на котором лежат ваши основные сбережения и туда вы перекидываете зарплату и прочие доходы
2. пластиковая карта (или карты), на которую вы периодически закидываете немного денег и платите везде с них, рискуя потерять только ту сумму, которая там есть.

Для работы с банком вы пользуетесь личным кабинетом на Интернет-странице Сбербанк онлайн, на которой у вас надежный пароль и еще смска для подтверждения входа.

И вы конечно же настроили в личном кабинете видимость своих карт и счетов, а именно:
1. убрали возможность доступа с банкомата при помощи любой вашей карты ко всем вашим счетам;
2. настроили так что бы в мобильном приложении, которое вы поставили себе на телефон были видны только карты, но не счета и радуетесь жизни думая, что до ваших счетов можно добраться только через Интернет страницу личного кабинета Сбера где у вас надежный пароль и смска.
Но не тут-то было….

Для того что бы получить доступ ко всем вашим деньгам теперь злоумышленнику нужен только смс на ваш номер ВСЁ!!!

Сценарий очень прост:
1. вор ставит СЕБЕ мобильное приложение Сбера

2. вор получает информацию о номере ЛЮБОЙ вашей карты (а номер карты светится везде)

3. при помощи номера карты вор
регистрируется в личном кабинете Сбера и вот здесь ему нужна СМСка которая придет на ваш номер.

4. Тут вы думаете все нормально, ведь у меня настроена видимость карт и счетов, и я скрыл все счета из мобильного приложения и максимум что вор получит это только те деньги, которые есть на карте.
Но знаете, что сделали гениальные ребята из Сбера??? А они сделали так что бы из мобильного приложения можно восстановить видимость всех скрытых счетов и карт!!!

5. Получив доступ через мобильное приложение, вор восстанавливает видимость скрытых счетов и карт и далее опустошает вашу копилку.

Таким образом ВСЕ ваши деньги в Сбере защищает самая примитивная защита в виде СМС авторизации!!!

Никакого смысла в двухфакторной авторизации на интернет странице Сбера онлайн – НЕТ. А что же нам предлагают «гениальные» ребята Сбера – они предлагаю страховать случаи кражи денег, то есть продают риски, которые они для нас сами создали нам же.


Уязвимость которую я описал больше относится к физическому вектору атаки на самого пользователя по типу гоп стопа. Тормозят вас или вашу жену, у вас телефон и карта с собой. Далее не только бъют но и забирают ВСЕ деньги. Ни вы, ни банк не можете этому помешать.

По факту вы носите все свои деньги всегда с собой.

Прошу уточнить как обстоят дела с этим вопросом в других банках?
71 комментарий
отсортированы по
default-user-414086
Написать комментарий..
Любимчик
Bully_xD
около 1 года
Прочитал, поставил пин на симку.
Наблюдатель
siski_prokuraturi
около 1 года
@Ivan_Ivanovvvv , ставите шестизначный пин-код на сим и переставлять в другой телефон для приёма смс её бесполезно.
Новичок
Ivan_Ivanovvvv
около 1 года
вам для информации - там 4х значный пин
Судья
Gonkpelch
около 1 года
Для перехвата СМС нужна лишь лавочка под вышкой - безпалевно. И знать где вы физически находитесь.
Новичок
Ivan_Ivanovvvv
около 1 года
тут больше банальная история получения физического доступа к симкарте
Пижон
ALvares
около 1 года
Уязвимость которую я описал больше относится к физическому вектору атаки

не стоит ещё забывать про перехват смс,эмуляцию gsm, зашитые бэкдоры в прошивке во всяких текно itelах и рф смартфонах, восстановление симкарт по доверенности и многое другое.
Прошу уточнить как обстоят дела с этим вопросом в других банках?

по всякому. где-то карты с одноразовыми кодами дают (псб и втб вроде), где-то можно найти, чтобы только с офлайн доступом открыть/отключить
Скаут
aster-max
около 1 года
карта, привязанная на юрика, сводит на нет риск ее получения без реальной доверенности от организации
от остального защиты нет, но это должны быть явно миллионы не рублей на счетах
Скаут
Владимир21
около 1 года
1. В офисе любого банка можно написать заявление о запрете электронного снятия денег со вкладов (только в личном присутствии, с предъявлением паспорта). Большинство банков удовлетворило мои требования, дали письменный ответ с печатью банка.
2. Никогда не пользуйтесь картами тех банков, где храните крупные сбережения.
3. Пользуйтесь только картами тех банков, где почти ничего не храните.
Пижон
ALvares
около 1 года
1. нет.
Ученик
Wardaloss
около 1 года
Оригинально, мне например Сбер, когда я вставил свою симку из старого телефона в новый - заблочил после входа сбол на сутки, можно было только на все смотреть, а если надо раньше - звоните, мол. Так что...
Критик
Мах_Maximov
около 1 года
Это все выдумки и фантазия, что бы молодые умы не тревожились вводят биометрию.

На самом деле банки по 115 ФЗ вас замучают до полусмерти и отгопстопят лучше любых мойшейников .
Искатель
Жёлтый_арбуз
около 1 года
Это только Тинькофф обманным способом собирает биометрию.
Искатель
удалено619436
около 1 года
Ни вы, ни банк не можете этому помешать.
Бред какой. Звоните в банк и блокируете, а потом восстановление с паспортом в офисе.
Новичок
Ivan_Ivanovvvv
около 1 года
вы же не круглые сутки дееспособны? или вы не спите по ночам
Альтруист
muchacho
около 1 года
Автор вспомнил про гоп стоп пару ударов в печень и вы снимите грабителям все бабки с банкомата сами и ни какой проблемы для них ни с картами ни с онлайн банком
Скаут
aster-max
около 1 года
Номер банковской карты не светится нигде если:
- на не-эмбоссированной стереть все цифры номера карты
- на эмбоссированной пробить дыроколом 4 цифры номера карты из 2-ой или 3-ей группы цифр

для нешарящих что это выкопирую кусочек интернета:
...Главное отличие эмбоссированных и неэмбоссированных карт в том, что во втором случае данные на карту наносят другим способом (без выдавливания). Вся поверхность карты остается ровной и гладкой, без выпуклых фрагментов. При этом даже на неэмбоссированном пластике есть и чип, и магнитная лента или что-то одно...

Другое важное отличие – с неэмбоссированной карты нельзя провести оплату там, где нет POS-терминала, а есть только импринтер. Импринтер делает оттиск поверхности карты, а неэмбоссированные карты полностью плоские. Для проведения операции кассиру требуется разрешение банка. Импринтеры используют обычно там, где нет интернет-соединения... (в РФ этой технологии все равно считай что нет, а вот за бугром могут быть проблемы)
Скаут
nicht_Lars
около 1 года
Последний раз видела импринтер в России два десятка лет назад
Ученик
Vasyamsk
около 1 года
Поставь лимит на операции в сутки. Без биометрии или звонка в банк не смогут ничё сделать. Я уже молчу о банальном блоке симки.
Новичок
Ivan_Ivanovvvv
около 1 года
про лимит, это хорошо, благодарю
Искатель
Жёлтый_арбуз
около 1 года
>вор получает информацию о номере ЛЮБОЙ вашей карты (а номер карты светится везде)
Где везде? Нигде номер карты не светится. Даже там, где карта сохранена, только последние 4 цифры видны.

>нужна СМСка которая придет на ваш номер.
Как он получит СМС? Надо пин-код на симку ставить и запрет на перевыдачу симки без личного присутствия. Тогда даже украв телефон, вор ничего не получит.

Описанная схема для всех банков применима. При чём тут Сбер? Кстати, в Тинькофф вообще можно без СМС деньги красть. Даже номера карты не надо:
pepper.ru/dis…570
Скаут
Черный_Арбуз
около 1 года
Согласен на все 100
Скаут
Genij07
около 1 года
Автор проснулся из спячки что-ли. Дак вроде +- везде так. Где то вроде вообще только смс надо для входа.
Новичок
Ivan_Ivanovvvv
около 1 года
ианьше можно было скрывать видимость счетов из мобильного приложения
Ученик
Прохор.Шляпин
около 1 года
вот здесь ему нужна СМСка которая придет на ваш номер
Дальше что, а дальше злоумышленник восстанавливает видимость скртытых счетов, как-будто у тебя пропущен один пункт, дружок
Новичок
Ivan_Ivanovvvv
около 1 года
не совсем понял вас, прошу пояснить, дружок
Скаут
Vik962
около 1 года
Поэтому и говорят/пишут что не передавайте коды из смс никому

Когда смените телефон и будете заходить по новой в банки, увидите что только по смс вход и будет, в большинстве банков без доп вопросов (чаще пароль от ЛК, либо номер карты)
Новичок
Ivan_Ivanovvvv
около 1 года
когда у вас отожмут телефон это не поможет
default-user-414086
Написать комментарий..
👋 Добро пожаловать в крупнейшее шопинг-сообщество в России!
Более 732 тысячи людей вроде вас присоединились к нашему сообществу и поделились более чем 387 тысяч скидок, набравшими более 14,58 миллионов комментариев, в которых люди обмениваются своими советами, лайфхаками и экспертным мнением.
Мы входим в число приложений с самым высоким рейтингом.

4.6

6500+ оценок

4.6

28,000+ оценок

Ваши данные в безопасности с нами
256-битное SSL-шифрование
Мы можем получать комиссию, когда вы переходите по ссылкам или совершаете покупки. Благодаря этому наша платформа остается бесплатной и нейтральной. Независимо от того, получаем ли мы комиссию, это никак не влияет на температуру скидок. Мы считаем, что только наше сообщество должно решать, какие скидки горячие, а какие — холодные.
© 2017-2024 Pepper.ru. Все права защищены.