Форум

ВТБ: вывод денег со счёта без паролей, sms и кодов

История о том, как нас обокрали на 60,750 рублей без всякой социальной иженерии
Поиск по теме

Цитата
Sysyphus пишет:
на ГЛ/в чате
там странные люди работают
надо ногами в банк идти, и отключать 2 канала, мобильный и банкомат
 
Пришла смска от VTB GROUP:
Код на регистрацию аккаунта: .....
Попытка: 1

Что это?
Ошиблись с номером телефона?
 
Цитата
Serg742 пишет:
Пришла смска от VTB GROUP:

Была такая, если не изменяет память, как раз когда покупал ж/д билет:
https://www.vtb.ru/o-banke/press-centr...ssazhiram/
 
Здравствуйте. 20.04 в 16:23 поступил звонок от "сотрудника банка" ВТБ. Сказали, что поступила онлайн заявка на перевыпуск заработной карты. Я сказала, что я заявления не подавала, девушка ответила, что я может быть случайно нажала. Меня начал смущать звонок и я сбросила трубку. Мне тут же перезвонили и спросили, почему я сбросила?! Я начала возмущаться, а девушка ответила, приходил ли мне на телефон пароль от банка?! Я ответила, что да. Но пароль не назвала. Мне сказали, чтоб я зашла в приложение ВТБ и посмотрела там push-уведомление. И что для того чтобы отменить перевыпуск карты, мне нужно ей сказать - отмена операции и назвать пароль. И к моему сожалению я это сделала. Затем она со мной попрощалась. Я проверила свой баланс и всё было впорядке.
На следующий день в 9:34 мне пришло push- уведомление от банка ВТБ что произошло списание на сумму 76 000т.р. плюс 4 000т.р. комиссия. Был осуществлен перевод с моей карты на карту другого банка неизвестному лицу.! Я тут же начала звонить в банк чтоб заблокировать карту и сказать, что это списание было сделано мошенниками. Мне сказали, что в таком случае банк отменить транзакцию не может, деньги уже ушли и мне нужно обращаться в полицию. В приложении было написано, что сумма заблокирована. Служба безопасности не запросила подтверждение перевода, хотя я большие переводы никогда не делала, тем более с кредитной карты. И никакого уведомления не было, что был выполнен вход с другого устройства. Складывается такое впечатление, что банку совершено безразлично на безопастность своих клиентов. Мы с мужем пошли в банк, написали заявление о спорной транзакции и хотели заказать детализацию, но нам сказали, что операция ещё не прошла и нам не могут выдать детализацию. Далее мы стали звонить по номеру 1000 и общаться с операторами. Все как один говорили, что они не могут отменить транзакцию и нам нужно обращаться в полицию. Потом мы пошли в ещё один банк. Просидели там 1.5 часа. Нам сделали детализацию, но решить наш вопрос не смог даже старший сотрудник. В итоге мы пошли в полицию и написали заявление.
 
маша1402,
в МП посмотрите какие устройства привязаны к пуш-кодам и историю посещений, в ВТБ это надо делать постоянно.
 
Цитата
маша1402 пишет:
Складывается такое впечатление, что банку совершено безразлично на безопастность своих клиентов.

Так и есть.
А с какого номера звонил "сотрудник ВТБ"?
 
Цитата
маша1402 пишет:
На следующий день в 9:34 мне пришло push- уведомление от банка ВТБ что произошло списание на сумму 76 000т.р. плюс 4 000т.р. комиссия.

Почему push уведомление пришло на телефон клиента, а не на телефон мошенника? Или это платный пакет уведомлений так работает?

С кредитки через месяц не смогут еще списать деньги, когда банк даст новый лимит?
 
Цитата
Serg742 пишет:
Почему push уведомление пришло на телефон клиента, а не на телефон мошенника?

мошенники не стали подключаться к пуш-уведомлениям, чтобы клиенту не пришло сообщение о подключении нового устройства к пушам. Если планировался всего один перевод, какая разница, получит клиент уведомление или нет? Все равно уже поздно будет.
 
Цитата
Serg742 пишет:
Почему push уведомление пришло на телефон клиента, а не на телефон мошенника? Или это платный пакет уведомлений так работает?

Потому что, push-уведомления и push-коды - это разные вещи... Подключили именно push-коды для авторизации перевода.

Цитата
Serg742 пишет:
С кредитки через месяц не смогут еще списать деньги, когда банк даст новый лимит?

Могут, если не отвязали стороннее устройство от получения push-кодов.

Цитата
маша1402 пишет:
Складывается такое впечатление, что банку совершено безразлично на безопастность своих клиентов.

Если клиенту безразлично на безопасность, то банку тем более...
 
Цитата
маша1402 пишет:
мне нужно ей сказать - отмена операции и назвать пароль. И к моему сожалению я это сделала.
какой смысл тогда писать в эту тему? это обычная разводка
в это теме обсуждаются необычные способы, связанные с дырой в безопасности приложения
 
Цитата
маша1402 пишет:
Мне сказали, чтоб я зашла в приложение ВТБ и посмотрела там push-уведомление. И что для того чтобы отменить перевыпуск карты, мне нужно ей сказать - отмена операции и назвать пароль.

И что-же написано было в push-уведомлении?
 
кошмарный сон с кражей номера телефона наяву: https://www.banki.ru/services/response.../10502138/
 
Цитата
skoser пишет:
кошмарный сон с кражей номера телефона наяву: https://www.banki.ru/services/response.. ./10502138/


номер телефона никто не воровал.
позвонили и сообщили о краже, чтоб заблокировать номер владельца счета, чтоб он не получал смс-ки, пока будут в личном кабинете хозяйничать.

в связи с этим вопрос:
1. как изначально вошли в ИБ мошенники? не было ли сначала какого-то кода, сообщенного кому-то?

ну и как вариант, бывали такие случаи описаны тут, как слияние клиентов, объединение личных кабинетов, в этом случае человек, увидев, что у него в личном кабинете появились два приличных вклада, настолько приличных, что можно наплевать на то, что окажешься на долгие годы в розыске, посмотрел в настройках ИБ привязанный телефон, позвонил оператору, заблокировал, и начал выводить деньги...

хотя, конечно, в обоих случаях странная нерасторопность.. обычно, при получении доступа в ЛК, деньги выводятся в считанные минуты.
 
Цитата
Илья Дружинин пишет:
Чуть позже составим жалобу в Банк России и прокуратуру. Будем проверять действия банка ВТБ.

Здравствуйте, почти такая как у вас ситуация. Вот моя тема на банки ру
https://www.banki.ru/forum/?PAGE_NAME=...age8580598
Хочу тоже заявления в банк России написать и прокуратуру. Можете подсказать как это лучше сделать. Заявление в полицию только идём писать.
 
Цитата
i.jachsmit пишет:
необычные способы, связанные с дырой в безопасности приложения


А вывод денег с кредитных счетов и накопительного счета зная только УНК это дыра в безопасности?
 
Цитата
domovolk пишет:
А вывод денег с кредитных счетов и накопительного счета зная только УНК это дыра в безопасности? X


зная унк, как вы войдете в ИБ?
спросите пароль у владельца карты?
попросите его установить программу для пересылки смс?
 
Вот я и говорю что есть дыра в системе безопасности, или была, и которую признавать банк ВТБ не хочет
 
Впрочем в фин. сфере вообще какие-то мутанты из сферы безопасности плодятся - тот же код CVV для расчетов печатается целенаправленно на всех банковских картах. Чудовищная дыра для кражи средств никого не смущала более десяти лет. И даже сейчас находятся способы списания минуя смс авторизацию....
Изменено: V.Bukina - 07.05.2021 18:30 (Отмодерировано.)
 
Цитата
AdvocatSpb пишет:
Впрочем в фин. сфере вообще какие-то мутанты из сферы безопасности плодятся - тот же код CVV для расчетов печатается целенаправленно на всех банковских картах.

При этом в правилах использования пластиковых карт есть информация о том, что нельзя сообщать этот код третьим лицам, так же как и передавать свои пластиковые карты.
Тоже самое относиться к пин-кодам, кодам из SMS, деньгам в кошельке, ключам от квартиры и т.д.
Любая возможность воспользоваться чем-либо и является якобы "дырой в безопасности".
Самая безопасная карта та, которой нет и пользоваться ей невозможно...
Самое слабое звено в любой системе безопасности - это человек. Какие бы строгие меры безопасности не были - если что-то можно снять/перевести, то всегда найдутся те, кто может в этом "помочь".
 
Цитата
ntv83 пишет:
Любая возможность воспользоваться чем-либо и является якобы "дырой в безопасности".
Самая безопасная карта та, которой нет и пользоваться ей невозможно...
Самое слабое звено в любой системе безопасности - это человек. Какие бы строгие меры безопасности не были - если что-то можно снять/перевести, то всегда найдутся те, кто может в этом "помочь".


Вы похоже не поняли сабжевой проблемы. Проблема не в том, что мошенники, украв данные карты, могут обчистить эту карту, а в том, что по одной смске получают почти неограниченный доступ ко всем счетам. Т.е. сейчас нельзя разложить яйца по разным корзинам для снижения рисков. Нельзя разделить счета/карты: одну - для рискованных операций, а вторую - для надежного хранения.

Ну, и смс как единственное средство аутентификации вызывает сомнения. СМС ведь передается через третьих лиц. Как дополнительное средство защиты - ок, но как основное - не ок. Нужен пароль, который знаете только вы, но по факту пароль сделали необязательной опцией.
Изменено: kisych - 26.04.2021 11:22
 
Цитата
kisych пишет:
Проблема не в том, что мошенники, украв данные карты, могут обчистить эту карту, а в том, что по одной смске получают почти неограниченный доступ ко всем счетам. Т.е. сейчас нельзя разложить яйца по разным корзинам для снижения рисков. Нельзя разделить счета/карты: одну - для рискованных операций, а вторую - для надежного хранения.


Про эту проблему я в курсе. И так же, как и многие здесь, считаю это недопустимым. Ради дистанционного комфорта меньшинства клиентов, существенно увеличились риски потерять значительные средства у большинства клиентов.
Даже больше - в качестве логина есть возможность использоваться номер карты вместо УНК. Номер карты до этого момента не считался чем-то конфиденциальным и сообщался повсеместно с целью Card2Card переводов. Сейчас с этим желательно быть поаккуратнее.
"Разложить яйца по разным корзинам" в любом случае лишним не будет - использование отдельной карты и отдельного счета с минимальным остатком минимизирует убытки от других рисков.

Для надежного долгосрочного хранения - депозит без каких-либо "онлайнов" и/или брокерский счет (например, тот же ИИС - там даже если захочешь вывести свои средства, быстро и просто это сделать не получиться).

P.S. Чем сложнее что-то вывести, тем сложнее это что-то украсть...
Изменено: ntv83 - 26.04.2021 11:45
 
Цитата
kisych пишет:
по одной смске получают почти неограниченный доступ ко всем счетам

Удобство использования всегда вступает в конфликт с безопасностью. Чем безопаснее тем неудобнее. И наоборот. Что так напрыгнули на ВТБ не знаю, все росбанки в этом противостоянии сделали сильный перекос в сторону удобства.

ИМХО, проблема полностью решается запретом дистанционного восстановления логина и пароля. Получение новой пары логин+пароль только у маринок (если нет карты) или в банкомате. Залогиниться в мобильном приложении можно только один раз; при этом тот же логин+пароль доступен для многократного использования при входе в ИБ через браузер. Получение новой пары логин+пароль аннулирует предыдущую и завершает все активные сессии. Звонок на ГЛ с сообщением о компрометации делает то же самое без получения новой пары логин+пароль. Таким образом клиент будет точно уверен что если из банкомата вылез чек с новыми данными то хвостов не осталось.
 
Цитата
kisych пишет:
СМС ведь передается через третьих лиц. Как дополнительное средство защиты - ок, но как основное - не ок. Нужен пароль, который знаете только вы, но по факту пароль сделали необязательной опцией

Все правильно!
СМС можно случайно "упустить" на фишинговом сайте; симкарта может быть перевыпущена мошенниками при содействии сотрудника ОпСоС или по липовой доверенности; об угрозе перехвата СМС в связи с покупкой доступа к коммутатору мошенниками недавно сообщали СМИ
https://iz.ru/1148488/natalia-ilina/vp...iian-v-mae
А большинство банков, действительно, сделали пароль необязательной опцией - его легко сбросить по СМС, имея только номер карты, используя опцию дистанционного восстановления доступа smile:wall: smile:wall: smile:wall:
Я бы с радостью отказалась во всех своих банках от СМС для подтверждения операций (и тем более, от МП с подтверждением операций ПУШ-кодами!!!), и полностью перешла на подтверждение операций одноразовыми кодами со скретч-карты - но увы! Только один из моих банков позволяет это сделать smile:cry:
А ведь при существующих масштабах утечки данных из банков и разгуле мошенничества, учитывая полную несостоятельность следственных органов и незаинтересованность полиции в поимке мошенников, единственный способ уберечь свои сбережения - это использовать скретч-карты. Или полностью отказаться от ДБО. Потому что добровольно отказаться от использования отдельных небезопасных опций ДБО банки не позволяют, впаривая клиентам всё в комплексе. И МП с ПУШами, и дистанционное восстановление доступа, и полный доступ к ЛК через банкоматы, и онлайн-кредиты.
Отказ от дистанционного восстановления доступа, который можно установить в ВТБ-онлайн, легко обходится через QR-код, т.е. это фиктивный отказ.
Отказ от использования каналов дистанционного доступа, отличных от браузера, который вроде бы устанавливается по звонку в службу поддержки, задокументировать невозможно - т.е. официального, юридического статуса такой отказ не имеет.
ВТБ даже опцию изменения лимитов по операциям исхитрился сделать фиктивной, без подтверждения по СМС.
Т.е. мошенник, имея номер карты клиента и единоразово получив код СМС, получает полный доступ к аккаунту клиента, регистрирует МП на своем устройстве, в МП меняет способ подтверждения операций на ПУШ-коды, меняет лимиты по своему усмотрению, оформляет онлайн-кредит, и спокойно выводит все сбережения клиента вместе с полученным кредитом на нужный счет.
Полное раздолье мошенникам! smile:evil:
 
Цитата
vfenty пишет:
Что так напрыгнули на ВТБ не знаю, все росбанки в этом противостоянии сделали сильный перекос в сторону удобства

вроде бы и у СБера, и у Открытки, и у ВТБ одинаково организован первый вход в МП -- по паре "номер карты/код подтверждения", -- но жалобы идут только от клиентов ВТБ smile:|
Изменено: skoser - 26.04.2021 13:10
 
Цитата
vfenty пишет:
Что так напрыгнули на ВТБ не знаю, все росбанки в этом противостоянии сделали сильный перекос в сторону удобства.

Тому есть две причины.
1. Только ВТБ в СМС с кодом для привязки мобильного приложения пишет, что это код для входа в ИБ.
Так что даже тот, кто читает весь текст СМС, будет введен в заблуждение.
2. Только для ВТБ кто-то постарался сделать фишинговый сайт, на котором успели отметиться сотни клиентов до его ликвидации, которых постепенно и обрабатывают мошенники.
 
Читают тему (гостей: 3, пользователей: 1, из них скрытых: 1)

Продукты Банки.ру