Всем привет.
В начале года написал статью про то, как ВТБ банк втихаря отменил двухфакторную идентификацию в приложении на телефон, оставив один фактор, т.е. вход по одному коду с смс (пароль при активации на новом устройстве не нужен, только код смс и логин, он же номер вашей карты. Пароль приложения задается уже потом. Функция запрета изменения пароля без личного посещения банка, которая так и осталась висеть по наследству в новом личном кабинете ВТБ не используется.
Но не суть.
После штудирования банки.ру, и просмотра десятков постов я пришел к выводу, что единственным способом защитить себя это установить пин на сим карту и перевыпустить ее у виртуального оператора, аффилированного с банком (ТинькоффМобайл, СберМобайл, да их же ВТБ мобайл), а не в салонах большой тройки. Т.к. в банке трудней перевыпустить сим карту по доверенности/паспорту, чем в ларьке оператора тройки.
Проношу извинение, я ошибался.
По крайне мере, ТинькофМобайл это наглядно продемонстрировал.
Они отдали номер мошеннику без предоставления каких-либо документов:
Тинькофф перевыпустили e-sim по телефону и отдал мошеннику, жуликам (я не про Тинькофф) даже никаких подложных паспортов или доверенностей не понадобилось.
Мошенники указали паспортные данные и создали заявку на кредит с левым номером и сами ждали звонка от оператора. И Тинькофф сам связался с мошенником, и отдали ему номер. Как бы комично это не звучало.
Вот кстати наглядное преимущество дистанционного банка/оператора, мошеннику было достаточно ответить на звонок, и никаких «где карту получали, туда и идите». Ну удобно же, скажите, разве не так?
Просто МЕЕГООБСЕР!
Тинькофф АААУУУ,
Паспортные данные давно не являются секретной информацией. Их используют повсеместно при подписании многих договоров.
У меня на прошлой работе, был доступ к куче договоров, где прописаны данные паспортов заказчиков.
Клиент лишь ставил галочку на обработку персональных данных и самолично указывал их.
Я сам подписывал кучу договоров по доверенности (где есть мои паспортные данные), плюс всякие операторы связи и провайдеры тоже просят данные паспорта.
Т.е. знание данных ПАСПОРТа не могут являться подтверждением, что звонит именно владелец номера.
Сам паспорт-безусловно, но только когда его можно пощупать и сверить фото и подтвердить подлинность, но никак не простые циферки с паспорта, которого ты не видишь.
Должна быть идентификация кодовым словом, или дополнительный фактор в виде ссылки для активации номера на эл. почту.
Но забавно еще и то, что Тинькоф не только отдал чужой номер мошеннику, но после того как хозяин вернул его, они ОТДАЛИ ЕГО ПОВТОРНО тому же мошеннику.
В итоге их клиенту набрали микрокредитов, а также попытались вывести деньги с его ИИС. Конечно, из-за сроков закрытия ИИС сделать им это не удалось, но в комментарии несчастный хозяин отписался, что от греха подальше он его закрыл, раньше срока, то есть еще потеряв и право вычета.
Вот такой он Тинькофф. Такой видимо самый технологичный банк /сот. оператор/брокер
Я вообще не понимаю, как они могли дать новый qr код не попробовав связаться с клиентом, а, уже зная, что их обдурили, отдать повторно номер в руки мошеннику…
Разумеется всю вину валят на клиента
После прочтенного писал им на банки ру по поводу планируют ли они усилить защиту в дальнейшем. Вариантов много:
-ввести запрет перевыпуска без представителя оператора
— добавить кодовое слово мобайл
— Ввести блокировку смс при смене на сутки, как это сделано у Мегафон и МТС
— или двойную авторизацию по электронной почте. (ее хоть можно защитить google authenticator или Яндекс.клчом)
Но Тинькофф плевать на безопасность и на всех нас.
Знаю у IB отдельное приложение выполняющее роль криптоключа можно подключить. Никакие СМС тогда не нужны.
У ОткрытииБрокер вроде есть защита вторым фактором — e-mail (только у Брокера, не банка), при попытке сброса логина, если не ошибаюсь.
Другим российским банкам и брокерам, увы это не интересно.
P.S.
Статья написана не для того, чтобы обвалять Тинькофф в дерьме, они и сами прекрасно справились.
Статья написана, для того, чтобы представители банка обратили на нее внимание и реализовали в будущем доп. защиту своим клиентам.
Как думаете, как еще можно защитить себя от перевыпуска сим?