вирус умеющий перехватывать пуш-сообщения с паролями уже есть?
а то ведь логин (номер счета) можно достать у своего человека в банке, пароль (4-х значное число) угадать, а динамические пароли перехватывать с помощью вируса, если включены пуш-уведомления?
что безопаснее
пуш-уведомления, или смс на звонилки?
Безопасней отдельный генератор кода, или заранее сделанные одноразовые пароли. Номер телефона увести могут , через своего человека у оператора сотовой связи
"кстати, скандал был, когда из УБРИР, со счета профессора сперли много денег, это не по такой схеме сделали случайно?
Цитата:
От пользователя:
pens111
когда включаешь пуш-уведомления, то пишут "пуш-уведомления включены для номера такого то", а по факту они включаются для того номера, на котором установлен мобильный банк! - ещё одно облегчение для злодея, достаточно на любом смартфоне установить это приложение, раздобыть
номер счета и угадать 4-х значный пароль
профессор вроде бы сказал по телефону код, пришедший ему в смс-ке, а дальше осталось только ввести его и пользоваться пуш-уведомлениями для получения динамических паролей" (С)
кстати, если мобильный банк установлен на
двух смартфонах.и пуш-уведомления включены на обоих, это никак не насторожит систему безопасности?
при установке МБ пуш-оповещения включаются по умолчанию, уверен, что никто и не задумывается об этом, продолжая пользоваться "более удобной системой", при этом не замечая, что пуши
приходят не только ему :-)
это удобно, можно наблюдать, выжидая когда на счете будет приличная сумма
интересно, если войти в инет-банк одновременно с двух смартфонов, с включенными пушами, что будет? :-)
на любом смартфоне установить это приложение, раздобыть номер счета и угадать 4-х значный пароль
Какой 4-значный пароль?
ну как же, для входа в МБ УБРиР (к примеру) надо ввести номер счета, в качестве логина и пароль (4-х
значное число), все мои знакомые вводят год своего рождения, или год рождения своих детей :-)
Там на каждый перевод надо свой новый пришедший код вводить.
если включены пуши, то хакер может по первой смс-ке включить пуши у себя, а остальные коды принимать по пуш-каналу
суть в чем, если коды идут по смс, то они идут только на конкретный номер телефона, а пуши как?
можно ли поставить МБ на два смартфона и работать с обоих, по пуш-уведомлениям?
у меня только один смартфон и планшет, МБ поставился на оба девайса, но на
планшете пуш-уведомления почему то не включаются, а что будет если МБ поставить на два смартфона? - проверить не могу
кроме того, в МБ есть опция "Запомнить устройство (вход без СМС-пароля)", т.е. СМС-код вводится только один раз, потом входишь без него, на моём планшете это прекрасно
работает
ВЫВОД: для взлома МБ УБРиР достаточно
1. узнать номер счета
2. угадать пароль (4-х значное число, часто используют запоминаемую информацию, к примеру, год рождения), или узнать его каким то другим образом
3. получить смс-код ОДИН раз
4. всё,
доступ к вашим счетам открыт :-)
на данный момент у меня доступ к моим счетам есть на смартфоне и планшете, есть желающие проверить методу на себе? - сообщите номер вашего счета и пароль :-)
кстати, можно поставить вирусяку, перехватывающие смс-ки, ближнему своему,
например на совместной пианке (если вирус самодельный, то его никакая антивируска не поймает) :-)
а можно поставить вирусяку неограниченному кругу лиц (через ссылки на зараженные сайты), а потом анализировать перехватываемые смс-ки, для дальнейшей разработки клиентов
ВЫВОД: для взлома МБ УБРиР достаточно
1. узнать номер счета
2. угадать пароль (4-х значное число, часто используют запоминаемую информацию, к примеру, год рождения), или узнать его каким то другим образом
3. получить смс-код ОДИН
раз
4. всё, доступ к вашим счетам открыт
кстати, в УБРиР, при вводе неправильного пароля, никаких сообщений не приходит (только что проверил), а надо бы, иначе некто может совершенно незаметно для меня подбирать эти пароли, по 2 попытки в день, используя разные возможные методы
Цитата: От пользователя: Огненная
Цитата:
От пользователя: pens111
три попытки в УБРиР, можно каждый день делать по 2 попытки,
И что, при неудачной попытке не приходит уведомление на телефон? Печалька. В моем банке приходят.
Цитата: От пользователя: pens111
Цитата:
От пользователя: Огненная
Но. Это уже проблемы лоха, вам так не кажется? Интересно знать, для чего бы это придуманы эти самые коды и в каждой смс и на каждом углу кричат "не говорите его НИКОМУ"?
а задача службы безопасности банка предусмотреть "защиту от дурака", "угадать" 4-х значный цифровой пароль, если это очень надо, достаточно просто, стандартный путь - анализ других паролей этого человека, как правило там присутствуют эти комбинации цифр (проверьте у себя)
со счета профессора сперли много денег, это не по такой схеме сделали случайно?
Нет, там была другая ситуация.
Цитата: От пользователя: z;k
логин у ряда банков очевиден,
Цитата: От пользователя: pens111
ну как же, для входа в МБ УБРиР (к примеру) надо ввести номер счета,
Логин и номер счета не совпадают. К тому же, логин можно поменять в настройках, на буквенный, к примеру
Цитата: От пользователя: pens111
все мои знакомые вводят год своего рождения, или год рождения своих детей
Очень зря. Но для совершения финансовых операций этого недостаточно. Динамические коды приходят на номер телефона, указанный в настройках карты либо на
личный емейл. Если вы опасаетесь мошеннических действий, рекомендуем устанавливать лимиты по карте.
Логин и номер счета не совпадают. К тому же, логин можно поменять в настройках, на буквенный, к примеру
согласен, у вас используется "идентификатор интернет банка", который выдаётся клиенту в анкете-заявлении (в бумажном виде), при
заключении договора, т.е. скомпрометированный, этот идентификатор работает, даже если создать в личном кабинете новый логин, т.е. можно использовать и идентификатор и новый логин
Цитата: От пользователя: ПАО КБ УБРиР
Очень зря. Но для совершения финансовых операций этого
недостаточно. Динамические коды приходят на номер телефона, указанный в настройках карты либо на личный емейл (в виде пуш они не приходят). Если вы опасаетесь мошеннических действий, рекомендуем устанавливать лимиты по карте.
если добраться до базы ваших идентификаторов
(скомпрометированных, как говорилось выше) и базы персональных данных клиентов (это тоже есть в анкете-заявлении, т.е. они тоже скомпрометированы), то можно определить, какие клиенты таки поступают непродуманно :-)
если включен пуш-канал, то все динамические коды приходят пушами
(смс-кой приходит код только при первом входе в МБ, потом автоматически переходит на пуш-канал)
лимиты карты тут не при чём, если злодею удастся войти в ЛК клиента в вашем интернет банке, он просто напросто поменяет эти лимиты и выведет всё что есть на карточном счете и привязанных к
нему вкладах
короче говоря, настоятельно необходимо фиксировать попытки входа в ЛК с неправильными паролями и тут же сообщать об этом клиенту, ибо это может означать начало хакерской атаки
ну и это, интересно же, кто и когда заходил в мой ЛК помимо меня (с
другого ип-адреса, или незнакомого мне устройства :-)
Цитата: От пользователя: pens111
ребята, вы хоть отслеживайте, с каких устройств заходили в ваш МБ и предоставляйте эту информацию вашим пользователям!
например, можно посылать сообщения по
зарегистрированному каналу связи о попытке входа в МБ с нового устройства
или как в гугле
возможно это была жена, а может и нет, в любом случае это предмет для размышлений :-)
Внимание! сейчас Вы не авторизованы и не можете подавать сообщения как зарегистрированный пользователь.
Чтобы авторизоваться, нажмите на эту ссылку (после авторизации вы вернетесь на
эту же страницу)
