УБРиР безопасность мобильного банка
p
pens111
вирус умеющий перехватывать пуш-сообщения с паролями уже есть?
а то ведь логин (номер счета) можно достать у своего человека в банке, пароль (4-х значное число) угадать, а динамические пароли перехватывать с помощью вируса, если включены пуш-уведомления?
что безопаснее пуш-уведомления, или смс на звонилки?
[Сообщение изменено пользователем 29.09.2018 09:05]
а то ведь логин (номер счета) можно достать у своего человека в банке, пароль (4-х значное число) угадать, а динамические пароли перехватывать с помощью вируса, если включены пуш-уведомления?
что безопаснее пуш-уведомления, или смс на звонилки?
[Сообщение изменено пользователем 29.09.2018 09:05]
p
pens111
[Сообщение удалено пользователем 23.09.2018 04:47]
L
LexaP
что безопаснее пуш-уведомления, или смс на звонилки?
в вашем случае безопаснее пользоваться налом
i
idro
Безопасней отдельный генератор кода, или заранее сделанные одноразовые пароли. Номер телефона увести могут , через своего человека у оператора сотовой связи
U
/\/
самое простое - иметь для банковских смсок как у меня отдельный сотовый без операционки, старый черно белый.
S
:Super: ™
вирус умеющий перехватывать пуш-сообщения с паролями уже есть?
Нет. Пишите
w
wRAR
самое простое
нуну
p
pens111
вы на всех форумах решили выяснить
посетители разные
"кстати, скандал был, когда из УБРИР, со счета профессора сперли много денег, это не по такой схеме сделали случайно?
Цитата:
От пользователя: pens111
когда включаешь пуш-уведомления, то пишут "пуш-уведомления включены для номера такого то", а по факту они включаются для того номера, на котором установлен мобильный банк! - ещё одно облегчение для злодея, достаточно на любом смартфоне установить это приложение, раздобыть номер счета и угадать 4-х значный пароль
профессор вроде бы сказал по телефону код, пришедший ему в смс-ке, а дальше осталось только ввести его и пользоваться пуш-уведомлениями для получения динамических паролей" (С)
кстати, если мобильный банк установлен на двух смартфонах.и пуш-уведомления включены на обоих, это никак не насторожит систему безопасности?
при установке МБ пуш-оповещения включаются по умолчанию, уверен, что никто и не задумывается об этом, продолжая пользоваться "более удобной системой", при этом не замечая, что пуши приходят не только ему :-)
это удобно, можно наблюдать, выжидая когда на счете будет приличная сумма
интересно, если войти в инет-банк одновременно с двух смартфонов, с включенными пушами, что будет? :-)
[Сообщение изменено пользователем 23.09.2018 14:07]
w
wRAR
"пуш-уведомления включены для номера такого то", а по факту они включаются для того номера, на котором установлен мобильный банк!
Пуши не на номер ходят...
на любом
смартфоне установить это приложение, раздобыть номер счета и угадать 4-х значный пароль
Какой 4-значный пароль?
С
Саблезубый кактус
Тема называется - Птица перепил или я познаю мир...
L
Lana
[Сообщение удалено пользователем 02.09.2024 14:01]
Д
Дисконнект©
Тема называется - Птица перепил или я познаю мир...
я еще тут https://www.e1.ru/talk/forum/go_to_message.php?f=6... этому персонажу диагноз ставил... Все никак не уймется
p
pens111
на любом смартфоне установить это приложение, раздобыть номер счета и угадать 4-х значный пароль
Какой 4-значный пароль?
Какой 4-значный пароль?
ну как же, для входа в МБ УБРиР (к примеру) надо ввести номер счета, в качестве логина и пароль (4-х значное число), все мои знакомые вводят год своего рождения, или год рождения своих детей :-)
w
wRAR
ну как же, для входа в МБ УБРиР (к примеру) надо ввести номер счета, в качестве логина и пароль (4-х значное число)
УБРиР, чо.
z
z;k
23 Сен 2018 03:33
логин (номер счета) можно достать у своего человека в банке
логин у ряда банков очевиден, у ряда не хранится в читаемом виде и доступе сотрудников логин (номер счета) можно достать у своего человека в банке
23 Сен 2018 03:33
пароль (4-х значное число) угадать
три, редко пять попытокпароль (4-х значное число) угадать
23 Сен 2018 09:11
Номер телефона увести могут , через своего человека у оператора сотовой связи
достаточно сложно и заметноНомер телефона увести могут , через своего человека у оператора сотовой связи
23 Сен 2018 13:15
профессор вроде бы сказал по телефону код, пришедший ему в смс-ке
23 Сен 2018 17:55
все мои знакомые вводят год своего рождения, или год рождения своих детей
социнжиринг и безблагодатность юзеров рулез, вирусы для андроидов проникают тем же механизмом
профессор вроде бы сказал по телефону код, пришедший ему в смс-ке
23 Сен 2018 17:55
все мои знакомые вводят год своего рождения, или год рождения своих детей
k
kuprum
все мои знакомые вводят год своего рождения, или год рождения своих детей
нафига??? 1111 наше все и никто не догадается....
профессор вроде бы сказал по телефону код, пришедший
ему в смс-ке, а дальше осталось только ввести его и пользоваться
И так повторилось ВОСЕМЬ РАЗ.......
Там на каждый перевод надо свой новый пришедший код вводить.
p
pens111
И так повторилось ВОСЕМЬ РАЗ.......
Там на каждый перевод надо свой новый пришедший код вводить.
Там на каждый перевод надо свой новый пришедший код вводить.
если включены пуши, то хакер может по первой смс-ке включить пуши у себя, а остальные коды принимать по пуш-каналу
суть в чем, если коды идут по смс, то они идут только на конкретный номер телефона, а пуши как?
можно ли поставить МБ на два смартфона и работать с обоих, по пуш-уведомлениям?
у меня только один смартфон и планшет, МБ поставился на оба девайса, но на планшете пуш-уведомления почему то не включаются, а что будет если МБ поставить на два смартфона? - проверить не могу
кроме того, в МБ есть опция "Запомнить устройство (вход без СМС-пароля)", т.е. СМС-код вводится только один раз, потом входишь без него, на моём планшете это прекрасно работает
ВЫВОД: для взлома МБ УБРиР достаточно
1. узнать номер счета
2. угадать пароль (4-х значное число, часто используют запоминаемую информацию, к примеру, год рождения), или узнать его каким то другим образом
3. получить смс-код ОДИН раз
4. всё, доступ к вашим счетам открыт :-)
на данный момент у меня доступ к моим счетам есть на смартфоне и планшете, есть желающие проверить методу на себе? - сообщите номер вашего счета и пароль :-)
кстати, можно поставить вирусяку, перехватывающие смс-ки, ближнему своему, например на совместной пианке (если вирус самодельный, то его никакая антивируска не поймает) :-)
а можно поставить вирусяку неограниченному кругу лиц (через ссылки на зараженные сайты), а потом анализировать перехватываемые смс-ки, для дальнейшей разработки клиентов
[Сообщение изменено пользователем 24.09.2018 09:12]
L
LW
ВЫВОД: для взлома МБ УБРиР достаточно
1. узнать номер счета
2. угадать пароль (4-х значное число, часто используют запоминаемую информацию, к примеру, год рождения), или узнать его каким то другим образом
3. получить смс-код ОДИН раз
4. всё, доступ к вашим счетам открыт
1. узнать номер счета
2. угадать пароль (4-х значное число, часто используют запоминаемую информацию, к примеру, год рождения), или узнать его каким то другим образом
3. получить смс-код ОДИН раз
4. всё, доступ к вашим счетам открыт
Только шапочка из фольги ...
p
pens111
ПОЖЕЛАНИЕ (настоятельное) :-)
кстати, только что зашел в свой МБ УБРиР с планшета и смартфона одновременно, их система безопасности такие ситуации не отслеживает!
ребята, вы хоть отслеживайте, с каких устройств заходили в ваш МБ и предоставляйте эту информацию вашим пользователям!
например, можно посылать сообщения по зарегистрированному каналу связи о попытке входа в МБ с нового устройства
или как в гугле
Фотография из Фотогалереи на E1.ru
а то ведь обворованным профессором дело не закончится :-)
[Сообщение изменено пользователем 24.09.2018 10:08]
кстати, только что зашел в свой МБ УБРиР с планшета и смартфона одновременно, их система безопасности такие ситуации не отслеживает!
ребята, вы хоть отслеживайте, с каких устройств заходили в ваш МБ и предоставляйте эту информацию вашим пользователям!
например, можно посылать сообщения по зарегистрированному каналу связи о попытке входа в МБ с нового устройства
или как в гугле
Фотография из Фотогалереи на E1.ru
а то ведь обворованным профессором дело не закончится :-)
[Сообщение изменено пользователем 24.09.2018 10:08]
С
Саблезубый кактус
2. угадать пароль (4-х значное число, часто используют запоминаемую информацию, к примеру, год рождения), или узнать его каким то другим образом
Рекомендую ставить 0000 пароль
Ну а чо... Год рождения пойди вспомни
Кто-то еще надеется персонажу что-то объяснить?
p
pens111
кстати, в УБРиР, при вводе неправильного пароля, никаких сообщений не приходит (только что проверил), а надо бы, иначе некто может совершенно незаметно для меня подбирать эти пароли, по 2 попытки в день, используя разные возможные методы
Цитата:
От пользователя: pens111
три попытки в УБРиР, можно каждый день делать по 2 попытки,
И что, при неудачной попытке не приходит уведомление на телефон? Печалька. В моем банке приходят.
От пользователя: pens111
три попытки в УБРиР, можно каждый день делать по 2 попытки,
И что, при неудачной попытке не приходит уведомление на телефон? Печалька. В моем банке приходят.
Цитата:
От пользователя: Огненная
Но. Это уже проблемы лоха, вам так не кажется? Интересно знать, для чего бы это придуманы эти самые коды и в каждой смс и на каждом углу кричат "не говорите его НИКОМУ"?
а задача службы безопасности банка предусмотреть "защиту от дурака", "угадать" 4-х значный цифровой пароль, если это очень надо, достаточно просто, стандартный путь - анализ других паролей этого человека, как правило там присутствуют эти комбинации цифр (проверьте у себя)
откуда взять другие пароли? - надо много думать
От пользователя: Огненная
Но. Это уже проблемы лоха, вам так не кажется? Интересно знать, для чего бы это придуманы эти самые коды и в каждой смс и на каждом углу кричат "не говорите его НИКОМУ"?
а задача службы безопасности банка предусмотреть "защиту от дурака", "угадать" 4-х значный цифровой пароль, если это очень надо, достаточно просто, стандартный путь - анализ других паролей этого человека, как правило там присутствуют эти комбинации цифр (проверьте у себя)
откуда взять другие пароли? - надо много думать
П
ПАО КБ УБРиР
со счета профессора сперли много денег, это не по такой схеме сделали случайно?
Нет, там была другая ситуация.
логин у ряда банков очевиден,
ну как же, для входа в МБ УБРиР (к примеру) надо ввести номер счета,
Логин и номер счета не совпадают. К тому же, логин можно поменять в настройках, на буквенный, к примеру
все мои знакомые вводят год своего рождения, или год рождения своих детей
Очень зря. Но для совершения финансовых операций этого недостаточно. Динамические коды приходят на номер телефона, указанный в настройках карты либо на личный емейл. Если вы опасаетесь мошеннических действий, рекомендуем устанавливать лимиты по карте.
[Сообщение изменено пользователем 25.09.2018 14:04]
П
ПАО КБ УБРиР
ребята, вы хоть отслеживайте, с каких устройств заходили в ваш МБ и предоставляйте эту информацию вашим пользователям!
Мы передадим ваши пожелания разработчикам.
p
pens111
Логин и номер счета не совпадают. К тому же, логин можно поменять в настройках, на буквенный, к примеру
согласен, у вас используется "идентификатор интернет банка", который выдаётся клиенту в анкете-заявлении (в бумажном виде), при заключении договора, т.е. скомпрометированный, этот идентификатор работает, даже если создать в личном кабинете новый логин, т.е. можно использовать и идентификатор и новый логин
Очень зря. Но для совершения финансовых операций этого
недостаточно. Динамические коды приходят на номер телефона, указанный в настройках карты либо на личный емейл (в виде пуш они не приходят). Если вы опасаетесь мошеннических действий, рекомендуем устанавливать лимиты по карте.
если добраться до базы ваших идентификаторов (скомпрометированных, как говорилось выше) и базы персональных данных клиентов (это тоже есть в анкете-заявлении, т.е. они тоже скомпрометированы), то можно определить, какие клиенты таки поступают непродуманно :-)
если включен пуш-канал, то все динамические коды приходят пушами (смс-кой приходит код только при первом входе в МБ, потом автоматически переходит на пуш-канал)
лимиты карты тут не при чём, если злодею удастся войти в ЛК клиента в вашем интернет банке, он просто напросто поменяет эти лимиты и выведет всё что есть на карточном счете и привязанных к нему вкладах
короче говоря, настоятельно необходимо фиксировать попытки входа в ЛК с неправильными паролями и тут же сообщать об этом клиенту, ибо это может означать начало хакерской атаки
ну и это, интересно же, кто и когда заходил в мой ЛК помимо меня (с другого ип-адреса, или незнакомого мне устройства :-)
ребята, вы хоть отслеживайте, с каких устройств заходили в ваш МБ и предоставляйте эту информацию вашим пользователям!
например, можно посылать сообщения по зарегистрированному каналу связи о попытке входа в МБ с нового устройства
или как в гугле
например, можно посылать сообщения по зарегистрированному каналу связи о попытке входа в МБ с нового устройства
или как в гугле
возможно это была жена, а может и нет, в любом случае это предмет для размышлений :-)
[Сообщение изменено пользователем 24.09.2018 21:05]
Авторизуйтесь, чтобы принять участие в дискуссии.