Уязвимость Мобильного банка (Сбербанк Онлайн)

дак сбер вроде хвастался, да и автор пишет - что приложение сбера оснащено мегаевристическим вирусоанализатором (ну запускается долго), которое надежно охраняет покой клиента.

Про почту и ржд в точку :-( :-(

сейчас идет речь не о приложении, как уже говорилось.

Повторюсь, моё предположение, у автора на телефоне стоял СМС грабер, которые без палева читал смс и отправлял их злоумышленнику, через него же злоумышленник с помощью СМС грабера отправлял запросы в банк от номера владельца держателя мобильного устройства. Логично?

ну это как продать дырявый кошелек и говорить "почему автор не удосужился сходить к портному и зашить дырку"

А ну классно получается, это даже не ответственность мошенника или сбера, а вообще антивируса)))) супер. Антивирус может ведь еще не найти троян. Мошенники ведь для этого вири пишут, чтобы была работа у касперского или доктора вэба))) ну супер)) а если антивирь троян не нашел? То что? Он будет виноват...но никак не сбер?

да, я уже ознакомился, ZayatZ кинул ссылку..
похоже все действительно не очень радужно :-(
но может разрешение на управление через смс нужно как то дополнительно получать?

Отличная фраза. :hi: Прямо в точку.
Мистер Психо, вы случаем не работаете в Сбере? :-D

Я работал, в целом осведомлен о безопасности и уже не однократно писал - Антивирусник стоит, прием и отправка с коротких номеров забанено на стороне оператора, кроме номера 900. Левые приложения не ставил, джейлом никогда не пользовался, в чужие руки телефон не давал, в чужих сетях в кафе не сидел.

ну вот пользователь, обычный пользователь андроид устройства ползает по сайтам, устанавливает всякие приложения и в какой-то момент попался на такое приложение, которое предоставляет доступ к СМС на телефоне, вот так скорее всего и было

нет :-D

интересен сей факт, а симкарта на тебя зарегистрирована?

если я правильно понимаю- то не постоянный доступ а разовый! если хоть раз утекло- то дальше уже без помощи СМС и происходят спорные списания.
Об этой дыре и речь вроде, а не о том что сами собой без ведома хозяина телефона отправляются СМС ибо хозяин телефона накосячил, тут речь именно о том что без вины Сбера подобные ситуации невозможны- а Сберу плевать.

На самом деле все просто- как только гос банки, страховые, РЖД, гос органы и прочие ловкие перцы начнут проигрывать суды за нарушение прав граждан- они сразу станут работать нормально )) да вот только суды у нас на страже интересов гос служащих стоят, а не на защите наших прав...
И вот эта проблемка уже идет на самый верх, и её обсуждение в таких темах тоже не приветствуется местной властью )))

причем там еще были случаи и в обратную сторону когда фальшивое лицо приносило фальшивую платежку по которой снимало деньги с помощью безалаберного кассира- а потом когда начинались разборки то подпись оказывалась ненастоящая и Сбер очень очень сильно обижался на клиента за то что тот смог стребовать с банка все деньги за такое вот разгильдяйство )) а вот когда у Сбера получается послать подальше клиента в аналогичной ситуации, и вот как в этой теме когда нет платежки а есть интернет и карточка -то виноват именно клиент, а банк типа не при чем )) забавные они ребятки ))

нет, я говорил не об этом, а о том, что вот например я не хочу управлять своим счетом через смс, но хочу пользоватья онлайн банком.. возможно ли это в сбере?

с ЖКХ, с судом, с приставами и со всеми остальными гос корпорациями и гос учреждениями РФ.

Даже Юр. лица с их токенами не защищены от мошенников. Токен нужен для чего? Это просто сгенерированный ключ, который долбится на сервер безопасности банка, получает ответ, проверяется и создает туннель между 2-мя компами. На вид - безопасно, по факту по некоторой информации - туннель строится 1 раз за сессию и далее проверка никакая не идет. Ну да, для понимания - данная тачка прописана в Банке как тачка для доступа к услугам, там стоит опробированное банком антивирусное ПО, накатаны всякого рода политики безопасности. Отключены все СД,ДВД ромы, флопики, УСБ порты. На вид - круто. Но по факту - не очень :-D

кардеров развелось полно
правда они пытаются все ж с америкосов бабки снять, но и у нас такие же есть
+при плохой наблюдательности возможно поставить хакерский сберонлайн

Конечно на меня. И она работает. В чужие аппараты 146% ниразу ее не ставил. Могу сказать уверенно, так как почти 1 год назад поменял телефон и нано-симку на микро-симку . После этого ниразу даже не вынимал ее.

Да просто если я хочу обычного уведомления по смс о состоянии счета без возможности управления им через короткий номер, т.е. без обратной связи через смс службу. Почему этой услуги нет по умолчанию. Почему управление по умолчанию - вкл. Да еще и без нормальной верификации. Подозревал что дыра но не думал что она в таких масштабах будет использоваться и главное что сберу будет плевать на тебя и твои проблемы в связи с этим

без токена второй раз не зайдешь в систему сбер бизнес онлайн

это скорее всего недоработка сбера

Можно даже зайти на сайт-клон банка и типа совершать операции.

Нам помню на курсах по безопасности приводили скриншоты таких Сбербанк-Онлайнов. Различие в 1 символе и ты уже на другом сайте.

И не надо. Вирус начнет работать, когда туннель построен ;-)

крдеры - это те что воруют базы по картам и затем издают собственные карты и с них снимают деньги? в этом плане нужно не светить свою карту в инете, а для оплаты пользоваться отдельной картой на которю закидывать бапки с оснвого счета
при плохой наблюдательности проблемы не избежны, и не только с банками :-D

но вот тот факт что я могу с мобильника управлять счетом по смс мне совсем не по нраву :-( как бы это вырубить, но онлайн банк оставить

так возможно отключить управление по смс, но онлайн банк оставить? вы в курсе или нет?

каким образом туда попадет вирус, вы не в курсе про нашу информационную безопасность на предприятии, так что не прокатит ;-) И кстати, ты утверждал что всё таки на твоём телефоне был обнаружен вирус, так ведь? Значит утечка информации о твоей сим была

ну чья это ошибка, банка или пользователя? что по вашему банки должны контролировать фишинговые сайты?

да и вправду это самый глупый, самый небезопасный способ, это тоже самое что с моей мобилы позвонят в сбер и скажут, переведите энную сумму на энный счет, хрень какая-то! :ultra: