Логические дыры в безопасности Сбербанк ОнЛ@йн

image
Так получилось, что будучи часто в разъездах и имея зарплатную карту Сбербанка, мне приходилось пользоваться разными банкоматами, в разных ненадежных местах. Соответственно, был высокий шанс напороться на скиммер. (Скиммер – незаконное устройство для считывания данных с пластикой карты, с целью изготовления дубляжа).

Недолго думая, я решил использовать следующий выход из ситуации. Завести в Сбербанке некий вклад на котором держать деньги, а на карту скидывать наличность в виде небольших порций, по мере необходимости.

Таким образом, даже если карту «отксерят», снимут с нее только тот остаток, который я начислил из вклада. Перевод между картой и счетом вклада беспроцентный, что делало идею еще более заманчивой.

Но не тут-то было.

Первым делом я решил подключить собственно сам Сбербанк ОнЛ@йн.
Подключить его можно очень просто, вставляем карту в банкомат, выбираем Опцию «Интернет Обслуживание», затем «Печать идентификатора и пароля».
Банкомат выплевывает логин и пароль для входа в Сбербанк ОнЛ@йн.
Далее, все операции подтверждаются двумя путями, по смс с привязанного телефона или одноразовыми паролями с еще одного чека. Так как телефона пока не было, напечатал еще чек с одноразовыми паролями.
Имея эти чеки на руках, спокойно залогинился в Онлайн-Банк.
Тут у меня зазвенел первый звоночек. Оказывается, даже если ты ничего не слышал об онлайн обслуживании, оно все равно у тебя есть.

Ладно, изучаю главную страницу и впадаю в легкий ступор. Оказывается у меня есть не только карта Сбербанка, но и некий вклад «Универсальный», на котором уже 3 года как лежат деньги. Долго вспоминал, что же это такое. Вспомнил, это оказывается счет сберкнижки, когда то давно открытый и заброшенный. Зазвенел второй звоночек. Оказывается все вклады, какие открываешь на свое ФИО, доступны по умолчанию, через онлайн.

Попробовал перевести деньги с моего вклада на счет карты, перевелись в момент. Причем, без всяких подтверждений чеком или смс!
Тут я начал метаться по интерфейсу. Очевидно, чтобы осуществить мою задумку, такой реализации защиты недостаточно.
Мошенник, «отксерив» мою карту, напечатает себе Логины и Пароли прямо через банкомат, спокойно зайдет в онлайн банк, выгребет все деньги из вкладов на счет карты, а потом обналичит. Такая ситуация меня категорически не устраивала.

После недолгих метаний, нашел в настройках Безопасности, раздел так называемой видимости продуктов. В нем можно скрывать вклады и счета с экрана как банкомата, так и системы Сбербанк ОнЛ@йн. Было только одно но, доступ к данному разделу осуществлялся только по СМС. Разовый пароль с чека тут не проходил. Уже хорошо!

Радостно потирая руки. Стал читать руководство как подключить оповещения по СМС. Оказывается, для этого надо подключить так называемый «Мобильный банк», и сделать это можно через (угадайте что?), тот же банкомат!

Хорошо, иду к банкомату, вставляю карту, подключаю Мобильный банк – просит ввести номер (?). Ввел свой номер, пришла СМС, что Мобильный банк подключен. Все здорово!

Получил СМС с кодом, настроил видимость продуктов в разделе безопасности. Убрал вклады и счета. Теперь лишнего не видно ни в банкомате, ни онлайн. Вроде все отлично! Но что-то не давало покоя. Возвращаюсь к банкомату, захожу в раздел «Мобильный банк». И что я вижу? Опция добавить номер для подключения «Мобильного банка», по прежнему активна!
В легком недоумении звоню в поддержку, вежливый оператор мне объясняет, что да можно ввести еще номера, и тогда данные на них будут приходить параллельно! Занавес.

Чтобы было более наглядно, я напишу структурно реализованную защиту в Сбербанке и атаку, делающую эту защиту бесполезной, в случае попадания копии карты в руки злоумышленников.

Защита: Держать на карте минимум средств, крупные деньги держать на вкладах, допускающих снятие наличности.
Атака: Злоумышленник переводит все средства со вкладов на карту, после этого обналичивает.

Защита: Сложный пользовательский пароль на вход в онлайн-банк, который можно поставить в настройках безопасности.
Атака: Злоумышленник печатает чек с новыми Логином и Паролем, пользовательский пароль при этом блокируется.

Защита: Сокрытие видимости пользователем своих вкладов с крупными суммами в Банкоматах и Онлайн-банке. Сокрытие производится только по коду СМС.
Атака: Злоумышленник через банкомат регистрирует свой телефон, оперативно получает код СМС на открытие видимости вкладов, с появившихся вкладов, оперативно переводит все деньги на карту и обналичивает.

Это основное.
Еще одна мелочь, это стандартный, неизменяемый шаблон интерфейса, который позволяет нашлепать кучу фейковых сайтов и обманывать пользователей.

И немного о том, как было бы хорошо, всех этих неприятностей избежать.

1. Привязывать к мобильному банку и онлайн-банку, только проверенные телефоны. С подтверждением личности держателя телефона. Например, по звонку в колл-центр, через кодовое слово или лично в филиалах сбербанка с паспортом. Автоматом привязывать только телефон, который содержится в договоре на получение карты или открытие счета.
2. Более гибкие настройки безопасности авторизации — дать возможность отключить использование паролей выдаваемых банкоматом.
3. Дать возможность устанавливать свой IP адрес в настройках безопасности, чтобы разрешать доступ к Онлайн-Банку только с личных IP адресов.
4. С целью борьбы с фальшивыми фишинговыми сайтами, дать возможность загружать свою уникальную картинку на главную страницу Онлайн-Банка. Если я не вижу свою картинку, значит это левый сайт! Так сделано например в Yahoo.
Поделиться публикацией
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама
Комментарии 204
  • +6
    Интересно, а если сменить ФИО на какого-нибудь обеспеченного человека, появится ли его универсальный счет?
    Возможно, там есть проверка даты рождения, но если это всё что проверяется -то атака становится очень интересной.
    • +7
      У них конечно колхоз, но не до такой же степени, что счета привязываются только к ФИО.
      • +1
        Привязка различных счетов осуществляется на основании паспортных данных, которые и идентифицируют человека.
        • 0
          Я думаю что не совсем так, паспорт может регулярно меняться (потерял, украли, 20/45 лет)
          • 0
            По идее, вы должны уведомить банк о замене паспорта. У меня с этим столкнулась супруга, поменяв фамилию.
            • +2
              В паспорте есть страница с серией старых паспортов, или потерянных! так что паспортные данные уникальны. и у вас за всю жизнь их будет минимум 3, или больше если вы потеряли! Так что все банки привязываются к НЕ к ФИО, а только к паспортным данным, остальное сбор инфы. для удобства обращений. Поэтому не важно потеряли ли вы свои паспорт или поменяли. банк всегда узнает заглянув на страницу с отметкой о старых паспортах!
              • +1
                Так и хочется сказать, что минимум 0.
                Блин, не сдержался…
              • +1
                Я скажу больше, если вы меняете симку (без смены номера), то банк тоже лучше уведомить и убедиться, что всё работает. Я столкнулся с этим в Альфе. Если кто-то сделал симку с твоим номером телефона и пытается получать твои SMSки, то у него ничего не получится, пока он не выдержит часовой допрос с пристрастием службы поддержки. Меня перекидывали между тремя(!) операторам и не спросили только «какого цвета были на вас трусы, когда вы последний раз снимали деньги с вашей карточки».
                • +3
                  А откуда они знают про трусы? Я, конечно, понимаю, что в банкомате стоит камера, но не настолько же :-)
                  • +1
                    В «Альфе» больше не работает привязка к IMSI. Пару месяцев назад заменил испорченную SIM'ку на новую, банк об этом не узнал. А в прошлом году после смены SIM'ки пришлось наведаться в офис с паспортом.
                    • 0
                      Лучше так, чем остаться без денег. Зачем выключили, интересно?
                      • +2
                        Привязка работает. Но очень странным образом — доступ к Альфа-Клик сохраняется, но при попытке, например, перевести деньги наружу появляется уведомление о необходимости подтверждения SIM-карты.
                        Для этого необходимо позвонить в колл-центр и пройти увлекательный квест с рассказами о том когда последний раз по какой карте были списания и прочая.
                        Ирония ситуации в том, что доступ к Альфа-Клику у вас есть — и все эти списания вы видите — даже если вы злобных хакер, и смена SIM-карты как раз таки злонамеренная.
                        • 0
                          Хм. У меня «Перевод в другой банк» работает без подтверждения SIM'ки.
                  • +2
                    Счета, открытые на старый паспорт СбербанкОнлайн автоматом не выцепляет и не присоединяет к остальным. Возможно, нужно для этого какое-нибудь заявление вручную написать…
                    • 0
                      Выцепляет. У меня в сбербанк-онлайн была видна карточка, на которую я получал стипендию ещё до обмена паспортов.
                  • 0
                    Имея нужные контакты, все это делается при помощи коробки конфет :)
                    • 0
                      Вы хотите сказать, что за коробку конфет вам подключат счет другого человека? Не смешите. Это уже статья. Но как дыру в безопасности, конечно, тоже можно рассматривать.
                      • +2
                        Да нет, я имею ввиду, что можно оформить карту на паспорт другого человека. А настоящий это паспорт, или копия паспорта реального владельца — никто проверять не будет.
                    • +3
                      Из опыта работы в банке, счета не привязываются к клиенту автоматом по ФИО. Привязку счета может сделать только операционист, внимательно посмотрев паспорт, в котором есть не только ФИО но и например сведения о ранее выданных паспортах. Так что просто переименовавшись в ФИО известного человека, получить доступ к его счетам у вас не получится. Вы думаете что не бывает полных тезок? Таких людей полно, при чем даже больше чем вы можете себе представить, и ничего в банке у них счета не перепутаны и все пользуются только своими средствами.
                      • 0
                        Вы думаете что не бывает полных тезок? Таких людей полно...

                        Сталкивался с ситуацией в ВТБ24, когда пришел получать заказанную карту, а мне её не выдали из-за несовпадения паспортных данных. Выяснилось, что при оформлении оператор невнимательно вбил мои данные и карту выпустили на моего полного тёзку, да ещё и с датой рождения такой же как у меня. Теперь я знаю, что у меня есть двойник ))
                        • 0
                          От такого никто не застрахован ни в каком банке, если только там по отпечаткам пальцев клиентов не идентифицируют :)
                          Чистый косяк операциониста.
                          • 0
                            Косяк, да, но я не стал ругаться, улыбнулся просто своей наивности, думал, что у меня очень редкие ФИО ))
                  • НЛО прилетело и опубликовало эту надпись здесь
                    • 0
                      В альфабанке, через банкомат, можно получить доступ ко всем счетам.
                      И это нормально (и удобно кстати).

                      • 0
                        Это удобно беспорно. И в сбербанке это есть. И затея, дать возможность скрывать вклады в онлай-банке и банкоматах сбера очень хорошая (возможно она уникальна). Но вот реализация подкачала.
                        • –1
                          В Альфе есть страхование карты от кражи/изготовления копии, стоит копейки, спишь спокойно
                          • +6
                            И просыпаешься, как только удосужишься прочитать описание услуги. Альфа этим славится…
                            • 0
                              Проснулись, смотрим…
                              Вот описание услуги, среди которых:

                              — получением третьими лицами наличных денежных средств из банкомата с вашего счета, когда в результате или под угрозой насилия в отношении себя или своих близких вы были вынуждены сообщить третьим лицам PIN-код своей карты;
                              — получением третьими лицами денежных средств с вашего счета в отделении банка с использованием вашей карты путем копирования вашей подписи на платежных документах (слипе, чеке);
                              получение денежных средств из банкомата по поддельной карте, на которую нанесены данные вашей карты;
                              — снятие денежных средств для оплаты товаров, услуг, работ с вашего счета в результате использования третьими лицами поддельной карты, на которую нанесены данные вашей карты;
                              — мошеннические транзакции, осуществленные с применением методов получения от вас информации по карте (в том числе фишинг и скимминг);
                              — снятия с вашего счета суммы, заведомо большей, чем стоимость приобретаемых товаров или услуг;
                              — несанкционированным использованием вашей карты третьими лицами в результате ее утраты.

                              А так же:

                              — утрата банковской карты вследствие ее утери или хищения (кражи, грабежа, разбоя); случайных механических, термических повреждений, размагничивания и т.п., а также неисправной работы банкомата;
                              — хищение у вас наличных денежных средств, полученных в банкомате по карте.

                              Что вам тут не подходит?
                      • +4
                        А вы про PIN-код нигде не забыли упомянуть?
                        • –12
                          Автор видимо настолько неадекватен, что помимо скиммера ещё и камеру снимающую PIN не заметил
                          • +20
                            А вы настолько самоуверенны, что у вас никто и никогда не сможет увидеть пин?:)
                            • –6
                              заслонять клавиатуру второй рукой при наборе, это всё равно что мыть руки перед едой или чистить зубы после — привычка элементарная, не надо быть гением или суперменом чтобы до этого додуматься
                              • +7
                                Скиммер, это не только нашлепка, читающая магнутную полосу карты, но и накладка на клавиатуру, которая может быть выполнена весьма искусно. У меня есть привычка всегда поддевать банкоматную клавиатуру ногтем, но и это не дает полной уверенности…
                                • –9
                                  Читайте внимательнее про «увидеть пин», и тогда не будете выпадать из контекста с
                                  «Скиммер, это не только нашлепка, читающая магнутную полосу карты, но и накладка на клавиатуру» вместо
                                  «Скиммер, это не только нашлепка, читающая магнутную полосу карты, но и камера или накладка на клавиатуру»
                                  • +3
                                    Прочитал. То, что вы мастерски прикрываетесь рукой от накладки вас не спасет.
                                    • +5
                                      Скиммеры бывают совсем разными, вплоть до имитации аппарата.
                                      image
                                      • –2
                                        Давайте не будем превращать обсуждение в фарс.
                                        Думаю никто из местной аудитории, думающей головой не только о внешних признаках мошенничества, так и о внутренних деталях реализации защиты, не полезет в подобный цирк на колёсах. Так что верните картинку туда где вы её взяли — на фишки.нет, и сами туда возвращайтесь
                                        • +2
                                          Вы не понимаете. Продолжайте дальше думать, что прикрывание рукой — это панацея.

                                          Или это бездарный троллинг?
                                          • –2
                                            Да, я считаю, что прикрывание рукой, это панацея от камер.
                                            С интересом послушаю ваши аргументы, доказывающие обратное.
                                            • +1
                                              Как-то попадался банкомат с озвучкой нажатия клавиатуры, причем на каждую клавишу — отдельный тон.

                                              Сам постоянно прикрываю, при этом не двигаю руку и нажимаю каждую кнопку отдельным пальцем как на обычной клавиатуре, прикрываю ее второй рукой.
                                      • –9
                                        Ну не томите, расскажите же, как можно увидеть пин с прикрытой клавиатурой
                                        • +5
                                          Элементарно, есть пара вариантов:

                                          1. На клавиатуру делается спец. накладка с кнопками, внутри радио-передатчик, прием старый и проверенный.
                                          2. На клавиатуру наносится спец. реагент, который видно при УФ-лучах. Если нажимаете клавиши, то видно какие нажали, конечно это не скажет какой точно ПИН, но 4 цифры будут известны — остается только выяснить их последовательность.
                                          • –14
                                            Спасибо, кэп. Как закончите фильмы про хакеров смотреть, обязательно возвращайтесь и пункт 3 про терморектальный криптоанализ допишите.
                                            • +1
                                              В случае пластиковых клавиш всё ещё печальнее, там даже последовательность можно узнать. Правда в исследовании не учтён момент, что кроме pin-кода с клавиатуры могут вводиться другие данные (например снимаемая сумма), что несколько снижает эффективность метода, хотя и не очень сильно, так как для снятия предустановленных сумм в большинстве банкоматов сделаны отдельные кнопки.
                                              • 0
                                                про этот метод уже давно слышал, не знаю, насколько по факту реализуем, но всегда набираю пин-код с fake-нажатиями, когда кладешь палец на кнопку, но не утапливаешь до срабатывания. против камер и зевак, думаю тоже должно помогать.
                                            • НЛО прилетело и опубликовало эту надпись здесь
                                      • +2
                                        Поржал, так и представил чувака с чипованной картой закрывающегося в магазине курткой, так что бы со всех сторон видно не было… :)))
                                • +1
                                  бесплатный аудит безопасности для сбербанка. прислушаются?
                                  • –2
                                    Вряд ли. Про их дизайн говорили не раз, пока больших изменений не видно. Хотя, если честно, то дизайн интерфейса банкоматов у них мне в разы более симпатичен и понятен, чем у того же альфабанка (имею карты как одного, так и другого банков).
                                    • 0
                                      А вы им написали?
                                      Я оформлял с сбер жалобу через онлайн — быстро решили проблему в отличие от отделения. Я к тому, что онлайн жалобы они читают.
                                      • 0
                                        Это когда было? Так же уже не читают.
                                    • простят!
                                    • –5
                                      Ну накладки всякие на клавиатуру тоже вроде бывают, но не заметить ее и скиммер (да и все известные мне банкоматы не просто глотают карту, а возят ее туда-обратно, не давая считать полосу) странно. Хотя я не спец, может знающие детали объяснят.
                                      • +6
                                        Господа, вот здесь хорошая подборка видов скиммеров.
                                        clear0conscience.wordpress.com/2012/02/14/skimming/

                                        Для снятия пина, есть и накладная клавиатура, и почтовый «ящичек», с мощной оптикой, висящий неподалеку.

                                        А банкоматы мне незнакомы, я их вижу, бывает, только один раз и не знаю какие там формы, нашлепки и выпуклости, стандартны для каждого конкретного банкомата. И какие детали окружающего ланшафта вдруг поменялись.
                                        • 0
                                          А дома вас это не беспокоит?
                                          • 0
                                            А он и чип на карте снимет?
                                            • +3
                                              Дело в том, что карты сейчас гибриды. Магнитная полоса всеравно присутсвует. На сайте банки.ру, на форумах, есть информация об уводе денег с чипованных карт. (Там ксати очень много примеров, как окрадывают мошенники держателей карт, независимо от банка.)
                                              • 0
                                                Полоса присутствует, но по полосе у меня не оплачивается. Вроде и то и другое используется.
                                                • +4
                                                  Если бы карта была только с чипом, то с неё было бы невозможно украсть деньги, банально потому что с чипа считать данные не зная ПИНа невозможно, ну варианты есть конечно, но очень дорогие.

                                                  Все карты, правильно сказано — гибриды, магнитная полоса присутствует везде, отказаться от неё не могут по одной простой причине — дешевизна оборудования для считывания таких карт.

                                                  Даже наличие только одного чипа не является панацеей и не обеспечивает защиту от всех видов нападения.

                                                  Если вы «глазастый» человек и обладаете хорошей мгновенной памятью, то сможете легко запомнить 16 цифр номера карты, дату окончания действия, ФИО и код CVV.
                                                  К примеру, заходите в магазин, стоите на кассе рядом с богатеньким по виду человеком, который собирается оплатить покупку картой, он подаёт карту кассиру и Вы уже можете увидеть её данные с лицевой стороны, имея миниатюрную камеру можно записать это все на видео, тогда даже не нужно обладать хорошей памятью, только хорошим языком. А далее нужно узнать код CVV, тут можно случайно толкнуть человека, чтобы он выронил карту и Вы её быстро подбираете, оборот карты в руке, уж запомнить 3 цифры сможет каждый, возвращаете карту человеку, извиняетесь за свою «медвежесть» и идете делать покупки через Интернет или пополняете свой счет Webmoney или др. кошельки.

                                                  Вариант не держать на карте много денег редко кто использует, поверьте, проверяли. 90% богатых людей держат на карте довольно внушительные суммы.

                                                  Такая методика снятия данных с карты на кассе магазина с помощью камеры проверялась на практике, за день было собрано с десяток номеров карт, естественно это был эксперимент, потом владельцам карты было все рассказано и показано и даны инструкции.

                                                  В таком раскладе, защита одна — стереть код CVV с обратной стороны карты, я давно так сделал на всех своих картах и Вам рекомендую сделать то же самое. Код можно записать и хранить дома в конверте, но хранить его на карте стало опасно.
                                                  • 0
                                                    Опять же, не во всех Интернет-магазинах требуют код CVV для совершения платежа, вот тут уже вопрос к конкретному банку, выпустившему вашу карту, почему он разрешает производит онлайн-платежи без CVV.
                                                    • +2
                                                      Меня вот интересует почему CVV пишут прямо на карте, а не выдают в конверте по аналогии с PIN'ом? Это ж всё равно что бумажку с паролем на монитор клеить.
                                                      • 0
                                                        Насколько я понимаю указание защитного кода на самой карте (CVV2/CVC2) — это требование стандартов и правил международных платёжных систем. Обвинять наши банки в самодеятельности в этом вопросе думаю некорректно.
                                                        А вообще к примеру Visa допускает указание неполного номара карты при эмбоссировании, то есть указывается первые несколько цифр, идентифицирующих платежную система и банк эмитент карты и последние 4 цифры, которые иногда необходимо вводить при оплате в магазинах, а вот будет банк печатать весь номер или часть номера — это его дело.
                                                        • +1
                                                          Я этот вопрос задавал сотрудникам банка — не смогли ответить. Да что вы хотите — на сайте мастеркарда НЕТ контактных данных для связи ВООБЩЕ. Хотел им пожаловаться на банк — фиг там.
                                                        • +2
                                                          >>защита одна — стереть код CVV
                                                          А вот и фигушки Вам — правила по банковским картам дают право мерчанту изъять у Вас карту при внесении в нее изменений. Понимаю, что маразм, но факт. Единственный вариант — изменить CVV на неправильный.
                                                          • 0
                                                            Да, изъять он её может, но предварительно нужно доказать что я намеренно ластиком стер CVV. Ведь CVV не эмбоссирован на карту, а просто нанесен черной краской, которая легко стирается тем же ластиком.

                                                            А вот если Вы его попытаетесь изменить, то это будет видно и вот тут у Вашу карту уж точно изымут.
                                                          • 0
                                                            Не знаю вашего определения «внушительной суммы», но есть такая вещь как дневной лимит на операции по карте. При чем безналичные операции и выдача денег в банкомате имеют раздельные лимиты. На покупки обычно ставят лимит повыше, тк их легче опротестовать и вообще если есть ПИН, то злоумышленник первым делом бежит к банкомату.
                                                      • 0
                                                        Оооо, Алексей Малов там. Недавно читал его «Исповедь кардера», очень понравилось.
                                                    • 0
                                                      Попробовал перевести деньги с моего вклада на счет карты, перевелись в момент. Причем, без всяких подтверждений чеком или смс!

                                                      Я, правда, в Канаде, но банк мой сотовый и не знает и никакие СМС мне не шлет, и деньги я могу переводить и платить в онлайне совершенно свободно… Ну и далее все по тексту, что так напугало автора.

                                                      Единственное, что, насколько я знаю, получить доступ к онлайн-банкингу из банкомата я не могу, нужно попросить это сделать в любом филиале или по телефону. Хотя, возмжно, и через банкомат можно, а я просто этого не знаю.
                                                      • –1
                                                        Вот меня тоже в их системе защиты что-то смущало. Но не думал что все настолько плохо. :(
                                                        • +2
                                                          Да не так уж и плохо.
                                                          По умолчанию подразумевается, что имея на руках карту, вы получаете доступ ко всем услугам. Без визитов в офис и прочего геморроя. Да, это не спасёт от скиммеров, и в идеале надо бы сделать возможность блокировки всех действий с онлайн-банком с банкомата, разумеется по выбору. Но это в идеале.

                                                          На счёт того, что видно все вклады и карты — лично мне очень понравилось. Во-первых, если откроете вторую карту, не надо подключать мобильный банк (а он платный), если он есть хотя-бы на одной карте. Во-вторых бесплатные переводы между картами и вкладами в любой момент.

                                                          Вот и получается, что если человек редко куда-то выезжает, не хранит там крупных сумм, а просто пользуется, то существующий алгоритм работы самый удобный.
                                                          • –1
                                                            Ну, что касется удобства — соглашусь. Только часто приходится выбирать — или удобство или безопасность.

                                                            Я сам всегда смотрю в какой банкомат сую карту. Например, банкоматами в Ашанах не пользуюсь принципиально — у них там что-то слишком уж крупная нашлепка на них стоит. Аналогично и с другими подозрительными банкоматами.
                                                            • +1
                                                              Только часто приходится выбирать — или удобство или безопасность.

                                                              Вечная проблема, и не только банков.
                                                        • +1
                                                          А еще сбер выпускает на ваше имя кредитки. А еще нельзя отвязать номер мобильного. И на мобильный приходят уведомления о попытке входа. И на мобильный же падает смс с паролями. Т.е. три года назад вы завели карточку и бросили ее в тумбочку — нужна была на один раз. Сменили, например, работу, сменив при этом и номер мобильника. Через полгода номер мобильника из-за неиспользования улетает в общий пул. Откуда попадает к не чистому на руку человеку. В один прекрасный день вы вспомнили про сбер и попытались войти в банк. Тому человеку приходит смс о попытке входа в банк. Дальше, если он сообразительный, проблем с доступом к вашей кредитке особых у него не будет.
                                                          Я смог удалить номер телефона из системы только заблокировав все карточки (при этом удаляется пара карта-номер телефона)
                                                          • +1
                                                            Не знаю, почему у вас не получалось отвязать номер телефона, несколько раз менял симки, приходил в сбер, писал на бумажке номер телефона старый, номер телефона новый, показывал карту и паспорт — все. На старый номер ничего не приходило, все приходило на новый.
                                                            • +1
                                                              вероятно зависит от кривости рук сотрудницы
                                                              • 0
                                                                Вероятность встретить в сбере сотрудницу с «прямыми» руками составляет немногим больше, чем медведя на улице.
                                                              • 0
                                                                Кстати да, для привязки нового номера, можно было бы отправлять смс на старый для подтверждения.
                                                              • +3
                                                                А у меня из-за какого-то бага в системе сбербанка не получается сменить номер привязанного к сайту сбербанка-онлайн. Т.е сейчас данные о расходах по карте приходят на один номер, а пароли и оповещения о входе на сайт на старый. Ходил два раза в отделение с этой проблемой — ничего сделать не могут. Через телефонный разговор и письма со сбербанком общаться невозможно — как глухая стена.
                                                                • 0
                                                                  во-во
                                                                  • +1
                                                                    У Сбера номера телефонов для мобильного банка и для СБОЛа могут быть разными по вашему желанию (или в результате сбоя или отката базы, как это было у меня).
                                                                    Вам нужно сходить в отделение и написать заявления на изменение личной информации именно в системе Сбербанк-Онлайн.
                                                                  • 0
                                                                    Карту выдали больше чем на полгода и денег всё время за обслуживание не брали? Сбербанк так делает?
                                                                    • 0
                                                                      К примеру карта Моментум.
                                                                    • 0
                                                                      а как, имея только ваш бывший номер телефона, узнает логин и пароль к вашему аккаунту?
                                                                      • 0
                                                                        А зачем? Если туда подключен мобильный банк, можно оттуда провести платежи на телефон. Сбербанк не удосуживается блокировать мобильный банк при изменении сим-карты. В результате сплошь и рядом случаи когда мобильный банк был не отключен и увели деньги. У того же альфабанка симка сменилась, доступ залочился. А тут гуляй Вася.
                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                        • +2
                                                                          Ну я честно говоря сначала пытался на оффициальных форумах решить свою проблемму.
                                                                          forum.sbrf.ru/viewtopic.php?f=56&t=23383
                                                                          www.sbforum.ru/showthread.php?t=8085

                                                                          Но там ничего толком не подсказали. Потом общался с тех поддержкой, там ссылаются, что дескать такая реализация системы.

                                                                          Ну а так как, сам интересуюсь информационной безопасностью, подумал черкануть статью на хабр. Сам был удивлен быстрым инвайтом.
                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                            • 0
                                                                              Так сбербанк-онлайн мне нужен. Я же описал свою проблемму. Мне нужно оперативно перекидывать небольшие деньги на карту из вкладов. Что бы, если что, потерял деньги с карты, но не с вкладов. А получается, такая схема не работает. Утащат все.
                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                  • 0
                                                                                    С таким подходом и будем вечно жить в говне.
                                                                          • 0
                                                                            Я для перестраховки в своем банке завел 2ю карту на жену и по мере необходимости снятия денег перекидываю со своей карты, привязанной к счетам и кабинету, на её и сразу снимаю.
                                                                            Благо внутри-банковские переводы проходят моментально.
                                                                            • +5
                                                                              Безопасность и удобство всегда были диаметрально противоположными вещами. Одним «несекурно», другим «геморно».
                                                                              Каждый банк находит свою какую-то золотую середину между двумя полюсами, только и всего.
                                                                              • +2
                                                                                Почему то никто не хочет сделать «продвинутые» настройки, которые сами в глаза не лезут. Но если человек знает, что ему надо, то наверняка и настройки найдёт.
                                                                                • 0
                                                                                  Я вот тоже пользователь сбербанка, на мой взгляд у них получилось и «несекурно» и «геморно» одновременно.
                                                                                • –7
                                                                                  Я конечно тоже за безопасность итд итп. Но вот из-за таких людей как автор, мне чтобы перевести деньги с карты на яндекс-деньги, нужно высрать пару кирпичей и отправить смску.

                                                                                  Предлагаю автору проинспектировать методику намазывания масла на хлеб, для начала конечно ввести подтверждение через смс…

                                                                                  Спасибо что делаете нашу жизнь труднее!
                                                                                  • 0
                                                                                    «Я конечно тоже за безопасность итд итп.»

                                                                                    Только на словах.
                                                                                  • 0
                                                                                    Мечтаю чтобы ЦБ ввел единые стандарты Онлайн-банкинг.
                                                                                    • +2
                                                                                      Осторожно! Мечты иногда сбываются…
                                                                                    • 0
                                                                                      1. Касаемо переводов между счетами в внутри сбера, насколько я помню, без подтверждения до определённой суммы.
                                                                                      2. У меня две карты майстро, на одну открыт сбер-онлайн, а второй пользуюсь. Насколько я помню со второй карты нельзя получить чек с паролями, только по первой.
                                                                                      • +21
                                                                                        Кто-то удивлен степенью защиты сбера? Я просто оставлю это здесь…
                                                                                        (картинка на случай смерти ссылки)
                                                                                        • +2
                                                                                          шикарно
                                                                                          • +3
                                                                                            in Entity, line: 252 in D:\Disk_D\WEB_SITE\www\sberbank.ru\ ...

                                                                                            Какой кошмар. Вот теперь совсем боязно стало за свою карточку
                                                                                            • 0
                                                                                              А чего кошмар-то? База на MS SQL, другого выхода кроме винды для веб-сервера и нету в общем-то. Другое дело, что там IIS6.
                                                                                              Ну и на сбербанк-онлайн все на asp.net + iis6
                                                                                          • +4
                                                                                            Яндекс-Метрика сбербанка.
                                                                                          • 0
                                                                                            Ну и тут тоже порадовало (картинко).
                                                                                            • +3
                                                                                              это ни в какие рамки —
                                                                                              персональные данные

                                                                                              • 0
                                                                                                Пипец. Особенно доставила дата в теге Вы им скиньте описание дырки то…
                                                                                                • +1
                                                                                                  Да уж. А потом вежливый человек звонит на Ваш телефон, представляется менеджером сбера, называет Вас полностью по ФИО и ненавязчиво так, добивается нужного.
                                                                                                  www.banki.ru/services/responses/bank/?responseID=3466241
                                                                                              • +5
                                                                                                Я на втором курсе устроилась работать в Сбербанке промо-консультантом, наивная думала, что заплатят хорошо. Моей задачей было предлагать клиентам этот Сбербанк Онлайн. А т.к. я без 2-х лет специалист по безопасности информационных систем, то система крайне меня смущала. Соглашусь с автором, что если карта попадет кому-нибудь в руки, то все вклады и т.п. и т.д. полетят к чертям.

                                                                                                В один из таких моих слава Богу прошлых рабочих дней к нам в банк прибежала женщина лет 50 с криками, что у нее с карты пропадают деньги. К моему адскому удивлению ей просто дали распечатку операций с картой. Суммы были ужасающие. Женщина говорит, что делать дальше, куда обращаться, мне же на карточку ЗП приходит? На что ей отвечают — жалобу на имя директора и ждать ответа из Москвы.
                                                                                                • 0
                                                                                                  Это уже клиника. А отдела безопасности на местах в сбербанке не предусмотрено?
                                                                                                  • 0
                                                                                                    В филиалах никакого отдела безопасности). Реально жалко было тетку. Она слезно попросила администратора, чтобы ее пустили без очереди для разборок, но «Нет, ждите очереди!». Так что отношение ужасное. И глядя на это, создается впечатление, что с безопасностью у них такая же беда под названием «Ждите ответа из Москвы».
                                                                                                  • 0
                                                                                                    Это странно, так как карта блокируется по звонку за 5 минут, нужен номер паспорта и кодовое слово, сам проверял ))) А вот потом разблокировать можно только в отделение, причем в том где и получали карту…
                                                                                                    • 0
                                                                                                      В ВТБ24 то же самое.
                                                                                                      Правда я кодовое слово не знал, так что пришлось на допвопросы отвечать)
                                                                                                      • 0
                                                                                                        Ну это мы знаем, а женщина не знала, что можно позвонить.
                                                                                                    • 0
                                                                                                      А я уже так и живу в альфе почти год.
                                                                                                      2 счета доступ к ним только из интернет банка — мобильного или на сайте. Но все через мобильник авторизируется, так что нужно только его беречь. Банкомат торой счет не видит.

                                                                                                      Так и делаю — перевожу тыщу в день примерно перед первой покупкой и все ок. Заграницей, где интернет дорогой раз в пару дней по паре сотен евро.

                                                                                                      Действительно, удобно, если это просто и быстро.
                                                                                                      • 0
                                                                                                        у втб аналогично. Карта и три счета бесплатных. Но альфа милее чтоле сейчас… втб не развивается инет банк.
                                                                                                        • 0
                                                                                                          А что это за второй счет? Еще один «текущий счет», «мой сейф» или еще какой
                                                                                                          ?
                                                                                                          • 0
                                                                                                            Возможно, зарплатный, насколько я знаю, это сейчас единственная возможность заиметь там два счёта в одной валюте.
                                                                                                            • 0
                                                                                                              Не совсем верно, можно открыть карту космополитан на имя другого человека, вместе с ней будет открыт еще один текущий счет, потом эту карту уничтожить и выпустить к этому счету такую карту, какую хочется уже на свое имя.

                                                                                                              По крайней мере мне так сегодня в альфа-банке сказали.

                                                                                                              Про видимость других счетов с этой самой карты космополитан или другой карты подключенной к этому счету я не уточнил, а зря.
                                                                                                            • 0
                                                                                                              Мой сейф и текущий.
                                                                                                              Деньги в сейфе, текущий проецируется на карту. Почему называю это проекцией — потому что есть несколько карт и несколько счетов и в 1 клик можно перепривязать любой текущий к любой карте.
                                                                                                              • 0
                                                                                                                Спросил я именно потому что у меня из банкоматов альфа-банка видно все счета, и текущие, и мой сейф, и все остальные.
                                                                                                                Из банкоматов других банков да — только текущий.

                                                                                                                У вас как-то по-другому?
                                                                                                                • 0
                                                                                                                  Я понял в чем у нас с вами отличие. Ввиду того, что у альфы крайне мало банкоматов я снимаю в беспроцентных партнерах в основном — а там их не видно. А в альфавских видно, да.
                                                                                                          • +2
                                                                                                            Самый лучший способ защиты от Сбера — иметь счет в другом банке!
                                                                                                            • +2
                                                                                                              Увы, поверьте — «зарплатные проекты» впаривают на многих предприятиях не спрашивая работников:
                                                                                                              «вот здесь распишитесь, сдесь галочку поставьте, идите.»
                                                                                                              • +1
                                                                                                                Забавно. Я когда устраивался, у меня спросили — вам налом платить или на карту? Я говрю — карта. Мне — сходить в банк, принисите реквизиты. Все — любая карта, любой банк. У меня альфа, у коллеги сбер.
                                                                                                                • 0
                                                                                                                  Это вы просто не в курсе, что такое «зарплатный проект» в банке. Он не предполагает и не позволяет выбора, так как операции с фондом заработной платы осуществляются на стороне банка.
                                                                                                                  • +2
                                                                                                                    Хотя можно написать заявление и получать деньги на свою стороннюю карту при этом.
                                                                                                                    • 0
                                                                                                                      Вот наверное так я и сделал.
                                                                                                                      • 0
                                                                                                                        При этом платить за обслуживание карты, в то время как «Зарплатный проект» подразумевает бесплатное пользование картой
                                                                                                                        • 0
                                                                                                                          Строго говоря, бесплатное для сотрудника — за него платит компания. Но эти 500 рублей погоду вряд ли делают.
                                                                                                                      • 0
                                                                                                                        Так-то ТК РФ не отменял никто. Имеете право выбора, что бы там бухгалтерия не вещала.
                                                                                                                        www.garant.ru/consult/work_law/257352/
                                                                                                                        • 0
                                                                                                                          Это ж очевидно. Хотя ссылка на закон в особо запущенных случаях может быть полезна.
                                                                                                                          • 0
                                                                                                                            Закон, конечно есть закон. Но Сбербанк — это уже монополия на уровне менталитета среднего российского человека. К сбербанку уже все привыкли, и простой обыватель всех этих «тонкостей» работы сбербанка с картами (и не только) просто не знает — люди сталкиваются с проблемами, когда они уже начались. Поэтому, мне кажется, тут надо копать в сторону создания законов, защищающих собственность человека, который работает с тем или иным банком, причем без всяких там дополнительных услуг, типа «страхование карты». А то странная штука получается, я заключаю договор с банком, даю ему свои деньги, и при этом я должен еще платить за «мобильный банк», «страхование вкладов» и т.д., да еще и боятся, что мои деньги могут украсть, и банк при этом мне ничего не вернет. Кому нужна такая «философия»?
                                                                                                                  • 0
                                                                                                                    А в Связном можно держать мелочь на карте, а остальные деньги на счете SAFE c 10% годовых :)
                                                                                                                  • 0
                                                                                                                    Меняйте свою зарплатную безчиповую «циррусовку» на мастер или визу с чипом.
                                                                                                                    • +1
                                                                                                                      Все сберовские карты с чипами, их копировать пока не научились, а копию карты без чипа сберовский банкомат не примет.
                                                                                                                      • 0
                                                                                                                        И какие проблемы хорошенечно треснуть по картоприемнику на прочность перед вставкой карты. Я так часто делаю) Если не отвалилось — можно вставлять.
                                                                                                                      • 0
                                                                                                                        Практически у всех онлайн служб есть забавный глюк, на который редко обращают внимание, это даже не кодовое слово, которое обычно девичья фамилия матери (у ситибанка даже в инструкции было прописано именно девичью фамилию использовать). Первым делом задаются вопросы — номер паспорта, день рождения, кодовое слово, причём говорить надо громко и отчётливо… на всю улицу или на весь офис!!! Всё равно что свой пароль не набирать, а диктовать компьютеру через микрофон громко и по буквам. Какая нафиг защита. Достаточно испортить считыватель или клавиатуру банкомата и постоять рядом с включённым диктофоном, как база такого рода информации будет собрана. Что уж с ней потом делать — вопрос фантазии.
                                                                                                                        • 0
                                                                                                                          Да, я тоже об этом давно говорю окружающим. Тупизм, фактически можно даже без технических средств «проснифать» авторизационные данные.
                                                                                                                          • 0
                                                                                                                            Алгоритмы фрогбастера. Если вы подслушаете сведения такого рода для несвойственной операции, вам зададут еще один вопрос на который у вас не будет ответа.
                                                                                                                            • +1
                                                                                                                              >(у ситибанка даже в инструкции было прописано именно девичью фамилию использовать
                                                                                                                              О! Спасибо, а то я сомневался, какое же у меня кодовое слово:)
                                                                                                                            • 0
                                                                                                                              Год назад подключал себе как раз онлайн банк от сбербанка на зарплатную карту. Также получил логин и пароль в банкомате. Но в онлайн банке не было ни одной карты. Оказалось что надо написать 1-страничное заявление на подключение онлайн банка(в нем насколько я помню можно указать какие карты должны быть видны), кроме того с января 2012 онлайн банк не работает если не подключена услуга СМС-информирования. Так как я подключал ранее 2012 и без услуги СМС информирования(хотя смс кодами приходили на мобильный), то сразу после нового года онлайн банк меня перестал работать, пришлось съездить в отделение и подключить информирование за 30р\месяц. Могу предположить что автор статьи изначально при подписании договора, подписал бумажку на онлайн банк и СМС-информирование!
                                                                                                                              • 0
                                                                                                                                sms-информирование входит в пакет экономный мобильного банка.
                                                                                                                                • 0
                                                                                                                                  Ну я про это и писал что услуги зависит от пакетов(услуг) которые указаны в договоре на обслуживание карты и скорее всего автор статьи согласил на эту услуги подписав изначальный договор. Насколько я понимаю утверждение в статье что всем пользователям сбербанка по умолчанию доступен онлайн банк не совсем корректно!
                                                                                                                                  • 0
                                                                                                                                    Онлайн банк доступен всем. Достаточно в банкомате взять логин и пароль. По умолчанию правда там можно только смотреть и гонять средства между счетами. Для расширения функционала требуется написать заявление в банке, тогда отрастут платежи.
                                                                                                                              • +3
                                                                                                                                При входе в сбербанк-онлайн падает СМС со словами «вы залогинились». Так что если смс пришла, а вы не логинились, значит что-то тут не так.
                                                                                                                                • 0
                                                                                                                                  Странно, я мобильный банк смог подключить только по визиту в офис, что частично решает проблему. Регион — Москва. Может поменялась политика за последнее время? Нужно будет изучить возможности банкомата.

                                                                                                                                  Меня больше волнует другое. На карточках есть VISA 3-D Secure, т.е. в комплексе с мобильным банком любые платежные операции без ввода пина (например через интернет) должны подтверждаться по СМС.
                                                                                                                                  На некоторых сайтах — это так, а на некоторых (пример — Яндекс.Директ) деньги просто снимаются по CVV2. Т.е. достаточно иметь ксерокс карточки с двух сторон. Этого я не понимаю: если технология есть, почему она работает не везде?
                                                                                                                                  • +1
                                                                                                                                    Странно, я мобильный банк смог подключить только по визиту в офис, что частично решает проблему.

                                                                                                                                    Подключение мобильного банка в банкомате имеется.
                                                                                                                                    • 0
                                                                                                                                      На сколько я понимаю, то за платежи без 3-D Secure несет ответственность получатель.
                                                                                                                                      • 0
                                                                                                                                        3-D Secure — это просто один из способов авторизации.
                                                                                                                                        Если получатель не поддерживает 3-D Secure, то, в целях обратной совместимости, используется более старый способ.
                                                                                                                                      • +2
                                                                                                                                        Давайте я вам все расскажу) Устанавливаете лимит на снятие денег с карты/счета…
                                                                                                                                        Профит, больше определенной суммы у вас не снимут.
                                                                                                                                        В через банкомат видно только остаток от лимита, лимит можно установить/снять только лично, с паспортом, через окошко сбербанка.
                                                                                                                                        Даже имея доступ в сбербанк онлайн, вы ничего не получите сверх лимита.
                                                                                                                                        P.s. Я честно нашел только такой выход, со сбербанком я намучился. Намучился с некомпетентными сотрудниками, одно время хотел совсем переехать в другой банк, но потом решил остаться.
                                                                                                                                        p.s.s. Если вас, уважаемые сотрудники сбербанка, интересует с чем я намучился и в каком именно отделении это происходило, все вопросы в личку.
                                                                                                                                        • 0
                                                                                                                                          Установка лимитов — это не выход, а если мне самому потребуется купить что то сверх лимита? Бежать в час ночи в сбер и увеличивать лимиты? А если я за границей, куда тогда бежать?

                                                                                                                                          Вообще на мой взгляд самое правильное решение в защите онлайн-банка — это карта одноразовых кодов на операции, такое решение используется в ВТБ24 уже много лет. Помимо карты конечно должен быть логин и пароль на вход. Конечно хакеры придумали как красть деньги и при такой защите, но как говориться — против лома нет приема. Не используйте интернет-банк в публичных местах — это единственный совет. И купите хороший антивирусник — если вам дороги свои деньги.
                                                                                                                                          Или что еще лучше, используйте для банкинга отдельный компьютер или виртуальную машину, которому разрешен выход строго на определенный набор сайтов.
                                                                                                                                          • 0
                                                                                                                                            Согласен совершенно, вот здесь, кстати дал такие-же рекомендации пользователям сбера.
                                                                                                                                            www.sbforum.ru/showthread.php?t=8024

                                                                                                                                            Еще мне нравится, что в некоторых онлайн банках, по умолчанию, используется виртуальная клавиатура на скриптах. Дополнительная защита логина и пароля от клавиатурных шпионов.
                                                                                                                                            • +1
                                                                                                                                              >Еще мне нравится, что в некоторых онлайн банках, по умолчанию, используется виртуальная клавиатура на скриптах. Дополнительная защита логина и пароля от клавиатурных шпионов.
                                                                                                                                              Слабенькая защита, учитывая что клавиатура возникает в строго определённом месте…
                                                                                                                                            • +1
                                                                                                                                              Мне кажется, вам лишь бы поспорить. Задам пару вопросов.
                                                                                                                                              Как часто вы совершаете покупку в час ночи?
                                                                                                                                              Вы пробовали использовать карту сбербанка за границей? Как результаты?
                                                                                                                                              Или что еще лучше, используйте для банкинга отдельный компьютер или виртуальную машину, которому разрешен выход строго на определенный набор сайтов.
                                                                                                                                              Этот совет меня умиляет еще больше. В ответ — предлагаю таки сделать бункер, с доступом по сетчатке глаза, отпечаткам пальцев и анализу крови, а так же 2 криптостойких пароля и голосовая активация системы на котором стоит самый дорогой антивирус, и пара десятков специалистом мониторят ее состояние.
                                                                                                                                              В конце концов это нужно для того, чтобы вы могли быть защищены от хакеров! Хотя можно и денежки прямо в бункере хранить.
                                                                                                                                              Еще раз и серьезно. Есть большая сумма, делайте пополняемый вклад в любом банке, без возможности снятия до определенного срока. Устанавливайте лимиты, многие уже вполне взрослые и месячный бюджет определяют с погрешностью 1к руб. Топик стартер вот, корректно описал проблему, надеюсь банки обратят на это внимание и скоро чтобы снять деньги со счета надо будет сдать анализ крови))
                                                                                                                                              Проблема есть, надеюсь ее решат.
                                                                                                                                          • 0