Безопасность: отключение аккаунтов? обсудим?

злодеи могут получить дубликат сим-карты без передачи им оригинала
разве не следует подстраховаться от такого сценария развития событий?

возможный сценарий - получение дубликата с помощью подельника из сотовой компании

Фотография из Фотогалереи на E1.ru

Фотография из Фотогалереи на E1.ru

Вы так и не выяснили, отключаем смс банк или нет. И вам не отвечали про возможность запрета включения смс-банка через звонок на номер 900 (чтобы только через банкомат и сбербанк онлайн и офис можно было его включить).

[Сообщение изменено пользователем 25.09.2025 20:40]

не ответили... интересно почему?

подождём

потом зададим вопрос в ЦБ РФ


что интересно, на этот вопрос ответ дали, а насчет смс-банка промолчали.... отметим этот факт в обращении в ЦБ РФ

ВОПРОС

Здравствуйте!

Прошу обратить снимание, что вопрос относится не ко мне лично.

Меня интересует, может ли любой клиент вашего банка потребовать, что бы при ДОБРОВОЛЬНОЙ блокировке дистанционного обслуживания снятие такой блокировки производилось исключительно в офисе банка.

При блокировке по иным причинам снятие блокировки может производиться по телефону 900


ОТВЕТ

Уважаемый клиент, мы рассмотрели ваше обращение № 2509167001572788 от 16.09.2025.

Вы обратились в банк с просьбой предоставить информацию о процедуре блокировки личного кабинета СберБанк Онлайн.

Решение:
В случае необходимости клиент может обратиться в банк и попросить заблокировать личный кабинет СберБанк Онлайн с последующей разблокировкой только через заявление в офисе банка (т.е разблокировка будет возможна только по письменному заявлению в офисе банка). Для подобной блокировки клиенту необходимо обязательно это отразить в своём запросе при обращении в банк.

С уважением, ****************
Специалист ПАО Сбербанк

[Сообщение изменено пользователем 25.09.2025 22:04]

это вопрос напрямую связан с безопасностью банковской системы, так что...

II. Основные задачи ФСБ России


14) формирование и реализация в пределах своих полномочий государственной и научно-технической политики в области обеспечения информационной безопасности;

http://www.fsb.ru/fsb/npd/more.htm%21id%3D10343058...

ещё одна попытка

Здравствуйте!
Прошу разъяснить возможно ли после отключения смс-банка запретить его включение через звонок на номер 900, оставив возможность повторного включения через банкомат, Сбербанк Онлайн или в офисе СБ РФ.

С уважением, ****************

***

Напомню, что в отношении Сбербанк Онлайн такое возможно, как следует из ответа на мой запрос

Уважаемый клиент, мы рассмотрели ваше обращение № 2509167001572788 от 16.09.2025.

Вы обратились в банк с просьбой предоставить информацию о процедуре блокировки личного кабинета СберБанк Онлайн.

Решение:
В случае необходимости клиент может обратиться в банк и попросить заблокировать личный кабинет СберБанк Онлайн с последующей разблокировкой только через заявление в офисе банка (т.е разблокировка будет возможна только по письменному заявлению в офисе банка). Для подобной блокировки клиенту необходимо обязательно это отразить в своём запросе при обращении в банк.

С уважением, ***************
Специалист ПАО Сбербанк

======================================
Мы начали работать с вашим вопросом №250926-7000-826584 от 26.09.2025. Вернёмся с результатом по email не позднее 02.10.2025.


С уважением, ПАО СберБанк

[Сообщение изменено пользователем 26.09.2025 17:12]

Вот такой интересный ответ получен
Вроде бы и по-русски написано, а вроде бы и не по-русски...



ВОПРОС:

Здравствуйте!
Прошу разъяснить возможно ли после отключения смс-банка запретить его включение через звонок на номер 900, оставив возможность повторного включения через банкомат, Сбербанк Онлайн или в офисе СБ РФ.

С уважением, ****************

***

Напомню, что в отношении Сбербанк Онлайн такое возможно, как следует из ответа на мой запрос

Уважаемый клиент, мы рассмотрели ваше обращение № 2509167001572788 от 16.09.2025.

Вы обратились в банк с просьбой предоставить информацию о процедуре блокировки личного кабинета СберБанк Онлайн.

Решение:
В случае необходимости клиент может обратиться в банк и попросить заблокировать личный кабинет СберБанк Онлайн с последующей разблокировкой только через заявление в офисе банка (т.е разблокировка будет возможна только по письменному заявлению в офисе банка). Для подобной блокировки клиенту необходимо обязательно это отразить в своём запросе при обращении в банк.

С уважением, ***************
Специалист ПАО Сбербанк



ОТВЕТ:

Уважаемый клиент, мы рассмотрели ваше обращение №250926-7000-826584 от 26.09.2025.

Вы обратились в банк по вопросу уточнения возможности запретить подключения услуги СМС-банк по номеру 900 (по звонку) в контактный центр после отключения данной услуги.

Проверка банка и решение
Банк развивается и усовершенствует свои услуги и продукты для клиентов, чтобы было удобно ими пользоваться и меньше тратить на это время. Поэтому подключения услуги СМС-банк возможно:
- в мобильном приложении СберБанк Онлайн;
- через банкомат;
- в офисе банка с паспортом и активной картой;
- в контактном центре по номеру 900 (по звонку), при наличии технической возможности. Данную возможность можно проверить только по номеру 900.


Суважением, *************
Специалист ПАО Сбербанк

[Сообщение изменено пользователем 26.09.2025 18:52]

Тема: прошу уточнить

Мной получен ответ на обращение №250926-7000-826584 от 26.09.2025 по вопросу уточнения возможности запретить подключения услуги СМС-банк по номеру 900 (по звонку) в контактный центр после отключения данной услуги.

Прошу уточнить, как следует действовать клиенту вашего банка, если после отключения СМС-банка клиент хочет (в целях безопасности) ЗАПРЕТИТЬ повторное подключение СМС-банка посредством звонка вашему оператору по телефону 900. Т.е. при звонке на номер 900 с просьбой подключить СМС-банк в этой просьбе должно быть отказано.

Ваш ответ на обращение №250926-7000-826584 от 26.09.2025 выглядит так

Проверка банка и решение
Банк развивается и усовершенствует свои услуги и продукты для клиентов, чтобы было удобно ими пользоваться и меньше тратить на это время. Поэтому подключения услуги СМС-банк возможно:
- в мобильном приложении СберБанк Онлайн;
- через банкомат;
- в офисе банка с паспортом и активной картой;
- в контактном центре по номеру 900 (по звонку), при наличии технической возможности. Данную возможность можно проверить только по номеру 900.

С уважением, *************

[Сообщение изменено пользователем 26.09.2025 19:09]

Надумали

***********, мы рассмотрели ваше обращение № 250923-7001-393785 от 23.09.2025.

Установить запрет на подключение СМС-банка по номеру 900 не представляется возможным.
Подключение СМС-банка проводится в банкомате с вводом ПИН-кода, в офисе банка при предъявлении паспорта или по номеру 900.
Подключение СМС-банка по доверенности невозможно. Решение об использовании услуги СМС-банка принимается вами лично и без вашего согласия услуга не может быть подключена.

С уважением, ******************
Специалист ПАО СберБанк

[Сообщение изменено пользователем 26.09.2025 21:46]

Интересно, запретить подключение по 900 Сбербанк Онлайн можно, а СМС-банк нельзя....
Почему так?

Интересно, насколько критична невозможность запрета подключения по 900 СМС-банка для информационной безопасности?
Понятно конечно, что при взломе ЛК Сбербанк Онлайн возможностей у злодеев гораздо больше, но тем не менее....




[Сообщение изменено пользователем 26.09.2025 22:44]

Из ответов получаем:
- Можно запретить подключение Сбербанк Онлайн не способом "по 900", а всеми способами, кроме офиса.
- Нельзя запретить подключение СМС-банк одним способом ("по 900").
Запретить "всеми способами кроме" и запретить "только одним способом" это разные варианты. До одно техника дошла, до другого не дошла. Может и со Сбербанк Онлайн ответят, что нельзя запретить его подключение одним способом ("по 900").

В комменте 19 сентября 2025 19:10 такой же случай: в ответе не упоминается, что возможно отключить услугу СМС-банк через банкомат. Может и до этого техника не дошла.

[Сообщение изменено пользователем 27.09.2025 06:22]

ИМХО, всё проще...

в случае с ЛК СБ Онлайн исключили "человеческий фактор" (подключение через оператора 900), а в случае СМС-банк почему то не хотят

вопрос -почему?

ну что, имеет смысл задать вопрос в ЦБ РФ? :beach:


[Сообщение изменено пользователем 27.09.2025 08:11]

Вам не писали, что нельзя запретить подключение СМС-банк "всеми способами, кроме офиса". Так что случай Сбербанк Онлайн тут не прецедент.

вопрос можно сформулировать так

"Почему при подключении Сбербанк Онлайн у клиента есть возможность исключить "человеческий фактор" (подключение через оператора 900), а в случае СМС-банка такой возможности нет?"

Не дурите СБ, это не сработает.
Вот вопрос.

Здравствуйте!

Прошу обратить снимание, что вопрос относится не ко мне лично.

Меня интересует, может ли любой клиент вашего банка потребовать, что бы при отключении СМС-банка последующее его включение производилось исключительно в офисе банка?

Попробуем...



Здравствуйте!

Прошу обратить снимание, что вопрос относится не ко мне лично.

Меня интересует, может ли любой клиент вашего банка потребовать, что бы при отключении СМС-банка последующее его включение производилось исключительно в офисе банка?



Прошу так же обратить внимание, что в отношении Сбербанк Онлайн было сказано следующее

Уважаемый клиент, мы рассмотрели ваше обращение № 2509167001572788 от 16.09.2025.

Вы обратились в банк с просьбой предоставить информацию о процедуре блокировки личного кабинета СберБанк Онлайн.

Решение:
В случае необходимости клиент может обратиться в банк и попросить заблокировать личный кабинет СберБанк Онлайн с последующей разблокировкой только через заявление в офисе банка (т.е разблокировка будет возможна только по письменному заявлению в офисе банка). Для подобной блокировки клиенту необходимо обязательно это отразить в своём запросе при обращении в банк.

С уважением, *********** (ваш клиент)

[Сообщение изменено пользователем 27.09.2025 15:03]

Подозреваю, что ответят точно так же

Интересно, в чьей компетенции оценить риски для информационной безопасности и принять соответствующие меры реагирования?

Меня так и не убедили, что отключение СМС-банка возможно. Там отключаются только услуга «Уведомления об операциях» (дополняет бесплатный SMS-банк) и опции «СМС-платежи» (входит в состав СМС-банка). Подробнее я писал 24 сентября 2025 19:26.

Интересно, в чьей компетенции читать все нижеследующее?
Указ Президента РФ от 05.12.2016 N 646 "Об утверждении Доктрины информационной безопасности Российской Федерации"

Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения. СТО БР ИББС-1.0-2006
(принят и введен в действие распоряжением Банка России от 26.01.2006 N Р-27)

"Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности" РС БР ИББС-2.2-2009"
(приняты и введены в действие Распоряжением Банка России от 11.11.2009 N Р-1190)

в моей?

я то всего лишь клиент СБ РФ, могу только поделиться своими сомнениями и попросить разъяснить ситуацию

но, краем уха, слышал что есть законодательная власть. и есть власть исполнительная, которая должна адекватно применять законодательные акты....

что остаётся - дождаться ответа и думать дальше

[Сообщение изменено пользователем 28.09.2025 11:24]

Вы откуда-то выудили словечки "риски для информационной безопасности", я дал справку о них. Считаете, что риски в СБ есть - пишите в ЦБ обоснование необходимости исполнения в СБ нормативного документа. В СБ писать безполезно, см. 10 сентября 2025 16:41 на стр.5.

В нормативных документах прописано намного больше того, что вам дают эти самые законодательная власть и власть исполнительная, которые хоть и чего-то должны, но могут свободно, без негативных для них последствий не применять нормативные акты...
Вам же из СБ врали и вы не возражали. А когда тем, кто вам чего-то обязан, можно (гарантируется возможность свободно) врать, то никакой разницы, обязаны вам чего-то или нет.

подготовлю и выложу сюда, для обсуждения (перед тем как отправить)

В ЦБ РФ

Прошу разъяснить, почему не представляется возможным установить (по желанию клиента, в целях безопасности) запрет на подключение СМС-банка по номеру 900, по аналогии с СберБанк Онлайн.

Переписку с СБ РФ прилагаю

С уважением, ************



ПРИЛОЖЕНИЕ Переписка с СБ РФ

Уважаемый клиент, мы рассмотрели ваше обращение № 2509167001572788 от 16.09.2025.

Вы обратились в банк с просьбой предоставить информацию о процедуре блокировки личного кабинета СберБанк Онлайн.

Решение:
В случае необходимости клиент может обратиться в банк и попросить заблокировать личный кабинет СберБанк Онлайн с последующей разблокировкой только через заявление в офисе банка (т.е разблокировка будет возможна только по письменному заявлению в офисе банка). Для подобной блокировки клиенту необходимо обязательно это отразить в своём запросе при обращении в банк.

С уважением, ************
Специалист ПАО Сбербанк


************, мы рассмотрели ваше обращение № 250923-7001-393785 от 23.09.2025.

Установить запрет на подключение СМС-банка по номеру 900 не представляется возможным.
Подключение СМС-банка проводится в банкомате с вводом ПИН-кода, в офисе банка при предъявлении паспорта или по номеру 900.
Подключение СМС-банка по доверенности невозможно. Решение об использовании услуги СМС-банка принимается вами лично и без вашего согласия услуга не может быть подключена.

С уважением, ***************
Специалист ПАО СберБанк

ОБОСНОВАНИЕ необходимости блокировки операций через оператора 900

При проведении операций через оператора 900 есть вероятность использования злодеями конфиденциальной информации, полученной с использованием методов социальной инженерии, с последующим проведением несанкционированных банковских онлайн операций

Например теоретически возможна такая схема:

1. Прозвоном выясняется, что сим-карта привязанная к ЛК не в сети (клиент длительное время отсутствует в сети)
2. Делается дубликат сим-карты
3. Через оператора 900 (с использованием полученной информации) восстанавливается СМС-банкинг
4. Проводятся несанкционированные банковские онлайн операции

ВЫВОД: Считаю, что у клиента должна быть возможность защитить свои вклады, в условиях длительного отсутствия в сети сим-карты привязанной к аккаунту клиента


[Сообщение изменено пользователем 29.09.2025 08:11]