Форум

ВТБ: вывод денег со счёта без паролей, sms и кодов

История о том, как нас обокрали на 60,750 рублей без всякой социальной иженерии
Поиск по теме

vkhein,
Цитата
vkhein пишет:
Ни слова о том, как произошёл вход в учетную запись: через телефон, компьютер, с какого IP, были ли странности при входе, которые должны отлавливаться банком.
дык спросить надо письменно у костина почему его лоботрясы делают тайну из данных которые должны быть видны клиенту... может и номер мобилы для дбо сотрудник банка не клиента вбил в абс а знакомого...
 
Цитата
AlekseevIR пишет:
Без "помощи" явной или неявной "владельца" ЛК вход третьих лиц в ЛК просто невозможен.

МММ Я знаю точно невозможное -возможно. Если сотрудник банка замешан в манипуляциях то можно обойтись и без помощи клиента. Подключить уведомления на другой номер. зарегистрировать левое устройство. затем вернуть уведомления на прежний. Устройство останется подключенным. Клиент ничего не подозревает. Подключенные устройства в ВТБ нигде не отображаются.
 
Цитата
Golikov.VV пишет:
Подключить уведомления на другой номер.

Возможно, но действия сотрудников фиксируются АБС и смена номера для получения кода привязки будет легко вычислена, чтобы стереть/исправить логи нужен высокий уровень доступа в АБС. Таким людям хорошо платят.
 
Клиенты ВТБ, просветите пожалуйста.

Сейчас если у клиента есть привязанное к мобильному банкингу устройство и подключается еще одно, то оно автоматически подключается к уведомлениям, или нужно это делать вручную?
 
Цитата
камо пишет:
чтобы стереть/исправить логи нужен высокий уровень доступа в АБС.

Этого в принципе не возможно, во первых на уровне интерфейса этого нет, во вторых прямого доступа в базу ни у кого (кроме админа БД) нет, в третьих такие таблицы защищают на уровне БД (тригерами, отключать тригер не рискнет даже админ)
 
Цитата
Golikov.VV пишет:
Если сотрудник банка замешан в манипуляциях то можно обойтись и без помощи клиента. Подключить уведомления на другой номер. зарегистрировать левое устройство. затем вернуть уведомления на прежний. Устройство останется подключенным. Клиент ничего не подозревает. Подключенные устройства в ВТБ нигде не отображаются X
сказки
изменение персональных данных (телефона, например) в системе, во-первых, сопровождается смсками на номер клиента. во-вторых, в системе действия логируются, сотрудник настолько грязно наследит , что его даже искать особо не надо будет
 
Здравствуйте
Со мной произошла подобная ситуация.
https://www.banki.ru/services/response...bankAnswer
 
Цитата
p.nasiusha пишет:
Со мной произошла подобная ситуация.

Сочувствую. Если будет информация в рамках УД по способу привязки стороннего устройства, напишите здесь, пжта.
 
По-моему пора всем возвращаться к старому доброму подтверждению операций, в т.ч. и входа через карту переменных кодов. распечатал бумажку, в трусы положил и все, ни пуш-хренюш, ни смс не нужны.
либо вообще запретить операции смены данных для авторизации в ЛК без личного присутствия в офисе с полной идентификацией.
 
Цитата
sukraloza пишет:
По-моему пора всем возвращаться к старому доброму подтверждению операций, в т.ч. и входа через карту переменных кодов. распечатал бумажку, в трусы положил и все, ни пуш-хренюш, ни смс не нужны.
либо вообще запретить операции смены данных для авторизации в ЛК без личного присутствия в офисе с полной идентификацией.

Клиенты разбегутся.
 
Кто может посмотреть - вход по QR в ИБ через заблоченное приложение еще не закрыли?
 
Цитата
m*******@orc.ru пишет:
Клиенты разбегутся.

почему? если предоставить ВЫБОР и озвучить его, что можно вот так с такими рисками, а можно вот так. каждый решит сам и потом уже не будет этих интриг, на предмет хитросплетенных многоходовок.
 
Кстати, незнаю насколько давно, но Сбер закрыл вход по карте в ИБ, оставив только телефон и логин.
Логин конечно можно восстановить по карте, но для этого нужна смс.
Втб пока прикрыл вход телефону.
Может и настанет время когда вернемся к старым добрым логинам с паролями smile:)
 
Цитата
sukraloza пишет:
почему? если предоставить ВЫБОР и озвучить его, что можно вот так с такими рисками, а можно вот так. каждый решит сам и потом уже не будет этих интриг, на предмет хитросплетенных многоходовок.

1. Получится очень дорогостоящий проект, поскольку надо будет делать 2 проекта.
2. Большинство предпочтет то что попроще.
 
Цитата
sukraloza пишет:
если предоставить ВЫБОР

Раньше в втб для физиков в качестве средства аутентификации можно было использовать токен.
Увы вход по токену для физиков прикрыли около 2х лет назад, оставив только для юриков.
 
Цитата
m*******@orc.ru пишет:
Цитата

sukraloza<noindex>пишет</noindex>:
почему? если предоставить ВЫБОР и озвучить его, что можно вот так с такими рисками, а можно вот так. каждый решит сам и потом уже не будет этих интриг, на предмет хитросплетенных многоходовок.

1. Получится очень дорогостоящий проект, поскольку надо будет делать 2 проекта.
2. Большинство предпочтет то что попроще.

Добавка.
3. Проблема не в передаче кодов, а в их сливе, что мешает клиенту слить коды из шифр-блокнота? Или перевести деньги на "безопасный" счет?
 
Цитата
vtbuser23 пишет:
Может и настанет время когда вернемся к старым добрым логинам с паролями Рисунок

"Жаль только — жить в эту пору прекрасную уж не придется — ни мне, ни тебе" (с) Н.А.Некрасов smile:D
Да, сейчас посмотрел - есть какие-то изменения на входе в ЛК. Но при возможности сброса даже логина по номеру карты всё эта бодяга всё равно держится на одной SMS-ке.. smile:(
 
Нужны возможности запрета на привязку дополнительных МП и дистанционную
выдачу кредитов. Слишком большие риски при таких удобствах доступа.
 
Цитата
m*******@orc.ru пишет:
1. Получится очень дорогостоящий проект, поскольку надо будет делать 2 проекта.
2. Большинство предпочтет то что попроще.


У них (и не только) это было, еще со времен ВТБ24, карта переменных кодов в Телебанке или отдельный сертификат на ПК.
ВО вторых, да пусть предпочитают что выбирут, в том и соль вопроса, что выбора то НИКАКОГО нет.
Почему от электронных сделок в Росреестре собственник может отказаться, а от ДБО и прочих операций дистанционно нет? тем более, это все услуги.
конечно, когда государство занято постоянно законопроектами ограничивающими только то, что мешает им любимым, ничего меняться не будет. Правоохранительные органы занимаются своими делами им не до раскрытия преступлений. Про спеццслужбы я вообще молчу.
а банкам, как бы это странно не звучало, это ВЫГОДНО!
 
Цитата
m*******@orc.ru пишет:
Добавка.
3. Проблема не в передаче кодов, а в их сливе, что мешает клиенту слить коды из шифр-блокнота? Или перевести деньги на "безопасный" счет?


по сути обсуждаются не все виды мошенничества, мы не про социальную инженерию.
кому надо могут просто снимать нал и разбрасывать по улице, или переводить на всевозможные номера по СПБ, кто мешает то.
 
А как быть по поводу таких пунктов в Правилах комплексного обслуживания физических лиц в Банке ВТБ (ПАО):
- Доверенный номер телефона;
- Пароль.
Ведь согласно действующих правил сменить номер можно только "при личной явке в Офис Банка. В один момент времени у Клиента может быть только один Доверенный номер телефона."
И соответственно Пароль представляет Банк Клиенту на Доверенный номер телефона.
Получается Банк сам не исполняет свои же правила?
 
Цитата
samui пишет:
Получается Банк сам не исполняет свои же правила?

Откуда такое мнение? Номер телефона мошенники не меняют, это не требуется. Для привязки приложения нужно только один раз выманить один код из одной СМС.
А мобильное приложение может быть поставлено на любое устройство (и на любое разумное количество устройств) на андроиде или яблоси, притом вообще не имеющее какого-либо сотового номера. И на него будут далее высылаться коды в виде пуш-сообщений в приложении.
 
Цитата
uGNot пишет:
Клиенты ВТБ, просветите пожалуйста.

Сейчас если у клиента есть привязанное к мобильному банкингу устройство и подключается еще одно, то оно автоматически подключается к уведомлениям, или нужно это делать вручную?

Ответ: уведомления нужно подключать вручную.
Проверил: сразу после входа (1) с нового устройства (светлая тема) предлагается перейти на пуши (2). Если этого не делать, то уведомления не подключаются, но пуш-коды уже подключены (3).
На старое устройство (темная тема) сначала пришло запоздалое уведомление о входе (4), а после подключения пушей на новом устройстве - сообщение об этом (5).
Рисунок
06411.jpg (38.67 КБ) [ Скачать ]
Рисунок
06421.jpg (43.59 КБ) [ Скачать ]
Рисунок
06422.jpg (78.64 КБ) [ Скачать ]
Рисунок
06431.jpg (52.6 КБ) [ Скачать ]
Рисунок
06432.jpg (81.81 КБ) [ Скачать ]
 
Цитата
Nadi Volskaya пишет:
Вот оплата комуслуг на сайте X
X
X
X
X
X Прикрепленные файлы
X
X





Рисунок
Снимок.PNG (40.94 КБ) [ Скачать ]

Это оплата ком услуг, а не оплата в магазине, это разные вещи, оплата ком услуг, особенно из личного кабинета "своего" банка, осуществляется именно переводом.
 
Цитата
skoser пишет:
Проверил: сразу после входа (1) с нового устройства (светлая тема) предлагается перейти на пуши (2). Если этого не делать, то уведомления не подключаются, но пуш-коды уже подключены (3).
На старое устройство (темная тема) сначала пришло запоздалое уведомление о входе (4), а после подключения пушей на новом устройстве - сообщение об этом (5).
Спасибо за проверку!

Я правильно понял, что если не подключать уведомления на новом устройстве, то на старом узнать о его наличии можно только посмотрев в настройках кому приходят push-коды? Не уверен, что правильно понимаю ВТБ-шную разницу между кодами и уведомлениями - коды подтверждения начинают сразу приходить и на новое устройство и на старое, даже если не подключены уведомления? Тогда не очень понятно зачем мошенники подключают уведомления.
 
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)

Продукты Банки.ру