И снова про безопасность банков и СМС28.10.2021 20:46

Сегодня меня попытались «развести» интернет-мошенники. Схема обычная и нехитрая — «у вас скомпроментирована карта, пришлите код из СМС чтобы мы заблокировали операцию». Код, естественно, никуда не ушел, но мне стало любопытно какие же мои данные «утекли» и что с подобным кодом могли сделать жулики, я проверил — и мне стало реально страшно.

Итак, господа, что нужно мошенникам для того чтобы полностью скомпроментировать все ваши счета в Альфа-Банке? Как оказалось всего две вещи: номер любой Вашей карты и код из одной СМС. То есть если у Вас банально выхватят из руки телефон с вложенной в обложку картой Альфа-Банка (либо бумажник с телефоном отожмут гопники) то Вы вполне можете помахать всем своим сбережениям белым платочком, а заодно получить уникальную возможность ближайшие несколько лет оплачивать долги другого человека. А в схеме с изготовлением дубликата сим-карты мошенникам не понадобится ничего даже красть — Вы узнаете о случившимся постфактум, когда утром заметите что за ночь почему-то перестал ловить сеть Ваш телефон. Одна чертова СМС и знание номера счета или карты — это вся защита которую нужно обойти злоумышленникам. Пароли? Биометрия? Виртуальные карты и лимиты на расходы? Все это у банка существует лишь для видимости безопасности поскольку полностью перекрывается одним-единственным кодом из СМС.

Осознав это и вздрогнув от того что тщательно продуманные и оберегаемые пароли меня на самом деле ни от чего не защищают, я попробовал повторить тот же фокус со Сбербанком. И Вы знаете что? Оказалось что эта же схема прекрасно работает и со Сбербанком тоже. Последовательность необходимых шагов для этого оказалась чуть-чуть длиннее чем в Альфе, которая предлагает такой вариант прямо на заглавной странице, но принцип был тот же. СМС — это единственная защита которую предлагает банк. И как пишут такая беда, собственно, сегодня практически у всех банков. Увы.

Господа банкиры, я все понимаю, удобство клиента — это очень важно, но Вам не кажется что безопасность клиента — это все-таки немного важнее? Нельзя ли заиметь хотя бы опциональную фичу запрещающую «восстановление пароля» по СМС, без физического визита владельца в отделение банка? Или, как это делает Google, опционально завязав эту возможность на физический токен по типу YubiKey? Да хотя бы начать присылать пароль для входа на указанную при регистрации в банке почту вместо того чтобы предлагать ввести его самостоятельно? И да, я понимаю что банк «в случае чего» ни за что не отвечает так что ему глубоко фиолетово то насколько надежно устроена авторизация, но я обещаю что по крайней мере я переведу к первому серьезному банку который реализует нормальную защиту все свои немалые деньги.

Господа пользователи, я читал на Хабре не одну статью о проблемах с безопасностью СМС-авторизации, но даже прочитав их до сегодняшнего дня недостаточно предоставлял себе масштаб проблемы. Если у Вас есть в банках средства которые Вам жалко потерять, то во-первых отключите прямо сейчас показ уведомлений на экране блокировки, а во-вторых в ближайшее время зайдите в офис своего мобильного оператора и заблокируйте переоформление сим-карты по доверенности. Я откладывал это действие не один месяц, а сейчас понимаю что был идиотом. И напишите в техподдержку своего банка жалобу. Текущий уровень безопасности онлайн-банков — это полное днище. Спишут всё и повесят на Вас огромный кредит на все то щедрое онлайн-предложение которое банки так любят предоставлять айтишникам.

Если у Вас есть идеи как еще можно обезопасить свои счета — то пишите об этом в комментариях.