УБРиР безопасность мобильного банка
П
ПАО КБ УБРиР
посмотрел - ничего нет, это наверно потому, что карта привязана к одному номеру (на который приходят смс-ки и симка стоит на древнем кнопочном телефоне), а на смартфоне (где стоит МБ) другая симка?
как то всё это странно, не находите, карта привязана к одной симке, а пуши приходят на любые, в чём тут логика?
как то всё это странно, не находите, карта привязана к одной симке, а пуши приходят на любые, в чём тут логика?
Поясните, пожалуйста:
У вас в МБ нет раздела "Уведомления"?
или раздел "Уведомления" есть, но он пустой?
Логика в том, что push-уведомления и смс не одно и то же.
Это не особенность конкретно нашего банка, это различие систем информирования.
p
pens111
в МБ раздел уведомление есть, но он пустой, пуши приходят
П
ПАО КБ УБРиР
как то приятнее, когда распечатку предоставляет незаинтересованная сторона
Банк использует услуги агрегатора. Если вам потребуется распечатка третьей стороны, запросите у них. Контакты предоставим по факту происшествия.
если включены пуши, то хакер может по первой смс-ке включить пуши у себя, а остальные коды принимать по пуш-каналу
суть в чем, если коды идут по смс, то они идут только на конкретный номер телефона, а пуши как?
можно ли поставить МБ на два смартфона и работать с обоих, по пуш-уведомлениям?
у меня только один смартфон и планшет, МБ поставился на оба девайса, но на планшете пуш-уведомления почему то не включаются, а что будет если МБ поставить на два смартфона? - проверить не могу
кроме того, в МБ есть опция "Запомнить устройство (вход без СМС-пароля)", т.е. СМС-код вводится только один раз, потом входишь без него, на моём планшете это прекрасно работает
ВЫВОД: для взлома МБ УБРиР достаточно
1. узнать номер счета
2. угадать пароль (4-х значное число, часто используют запоминаемую информацию, к примеру, год рождения), или узнать его каким то другим образом
3. получить смс-код ОДИН раз
4. всё, доступ к вашим счетам открыт
на данный момент у меня доступ к моим счетам есть на смартфоне и планшете, есть желающие проверить методу на себе? - сообщите номер вашего счета и пароль
кстати, можно поставить вирусяку, перехватывающие смс-ки, ближнему своему, например на совместной пианке (если вирус самодельный, то его никакая антивируска не поймает)
а можно поставить вирусяку неограниченному кругу лиц (через ссылки на зараженные сайты), а потом анализировать перехватываемые смс-ки, для дальнейшей разработки клиентов
суть в чем, если коды идут по смс, то они идут только на конкретный номер телефона, а пуши как?
можно ли поставить МБ на два смартфона и работать с обоих, по пуш-уведомлениям?
у меня только один смартфон и планшет, МБ поставился на оба девайса, но на планшете пуш-уведомления почему то не включаются, а что будет если МБ поставить на два смартфона? - проверить не могу
кроме того, в МБ есть опция "Запомнить устройство (вход без СМС-пароля)", т.е. СМС-код вводится только один раз, потом входишь без него, на моём планшете это прекрасно работает
ВЫВОД: для взлома МБ УБРиР достаточно
1. узнать номер счета
2. угадать пароль (4-х значное число, часто используют запоминаемую информацию, к примеру, год рождения), или узнать его каким то другим образом
3. получить смс-код ОДИН раз
4. всё, доступ к вашим счетам открыт
на данный момент у меня доступ к моим счетам есть на смартфоне и планшете, есть желающие проверить методу на себе? - сообщите номер вашего счета и пароль
кстати, можно поставить вирусяку, перехватывающие смс-ки, ближнему своему, например на совместной пианке (если вирус самодельный, то его никакая антивируска не поймает)
а можно поставить вирусяку неограниченному кругу лиц (через ссылки на зараженные сайты), а потом анализировать перехватываемые смс-ки, для дальнейшей разработки клиентов
за вами уже выехали
С
Саблезубый кактус
На каком этапе все это сотрудникам банка надоест, они придут в СБ и объяснят ситуацию - СБ вычислит больного за 5 минут, ему по 115 ФЗ заблокируют счет, пару месяцев будут требовать объяснения и потом попросят перейти в любой другой банк?
p
pens111
На каком этапе все это сотрудникам банка надоест, они придут в СБ и объяснят ситуацию - СБ вычислит больного за 5 минут, ему по 115 ФЗ заблокируют счет, пару месяцев будут требовать объяснения и потом попросят перейти в любой другой банк?
да ладно, они меня и так знают, а в УБРиР я держу карту только для текущих расходов, основные деньги в других активах
лично моё мнение - на счетах, к которым есть доступ через инет, серьёзных денег держать нельзя
ЗЫ просто один мой знакомый работает в управлении К (не в Екате) и я немного в курсе реальной ситуации в этой области :-)
[Сообщение изменено пользователем 26.09.2018 16:04]
С
Саблезубый кактус
ЗЫ просто один мой знакомый работает в управлении К (не в Екате) и я немного в курсе реальной ситуации в этой области
Отвел К это Кулинария в твоем убогом случае?
лично моё мнение - на счетах, к которым есть доступ через инет, серьёзных денег держать нельзя
А нас рать (с)
Кого твое мнение, больной, интересует?
Давно в районной психиатрии то был? Надо, надо зайти!
да ладно, они меня и так знают, а в УБРиР я держу карту только для текущих расходов, основные деньги в других активах
И пальцы веером...
Мда - осень на дворе.
Раньше такой же больной каждой конторе свой сайт хотел делать. Принудительно. Ламер зато писал много. Очень стиль похож.
[Сообщение изменено пользователем 26.09.2018 16:25]
p
pens111
ну, держите все ваши сбережения на вкладах УБРиР, оформляемых через интернет и привязанных к их карте, там прОценты выше :-)
а оценить, что безопаснее пуши или смс всё таки хотелось бы, что то нет такой информации в гугельмане :-)
[Сообщение изменено пользователем 26.09.2018 16:42]
а оценить, что безопаснее пуши или смс всё таки хотелось бы, что то нет такой информации в гугельмане :-)
[Сообщение изменено пользователем 26.09.2018 16:42]
p
pens111
в МБ раздел уведомление есть, но он пустой, пуши приходят
ну вот, пуши стали появляться в "уведомлениях" , терпение и труд всё перетрут :-)
[Сообщение изменено пользователем 26.09.2018 17:16]
p
pens111
забавную статейку нашел, которая ещё больше усилила моё убеждение :-)
суть, как я понял, в том, что важны не способы (смс, пуш, или любые другие), а МЕТОДЫ защиты, их алгоритмы, в случае УБРиР (наверно и других банков), алгоритмы не поменялись, просто смс поменяли на пуш И УСЁ :-)
https://xakep.ru/2017/01/17/two-factor-authenticat...
кстати, возникает вопрос, замена смс на пуш повышает безопасность или таки снижает её?
если можно организовать приём пушей на нескольких девайсах, причем незаметно для законного владельца счета, то явно не повышает
даже если пуши пойдут на все девайсы (владельца счета и хакера), то обратит ли владелец счета внимание на эти "лишние" пуши - большой вопрос
а отслеживания и своевременного предупреждения владельца счёта о сомнительных действиях (типа входа в МБ с разных устройств) алгоритмом защиты не предусмотрено
[Сообщение изменено пользователем 27.09.2018 06:01]
лично моё мнение - на счетах, к которым есть доступ через инет, серьёзных денег держать нельзя
суть, как я понял, в том, что важны не способы (смс, пуш, или любые другие), а МЕТОДЫ защиты, их алгоритмы, в случае УБРиР (наверно и других банков), алгоритмы не поменялись, просто смс поменяли на пуш И УСЁ :-)
https://xakep.ru/2017/01/17/two-factor-authenticat...
кстати, возникает вопрос, замена смс на пуш повышает безопасность или таки снижает её?
если можно организовать приём пушей на нескольких девайсах, причем незаметно для законного владельца счета, то явно не повышает
даже если пуши пойдут на все девайсы (владельца счета и хакера), то обратит ли владелец счета внимание на эти "лишние" пуши - большой вопрос
а отслеживания и своевременного предупреждения владельца счёта о сомнительных действиях (типа входа в МБ с разных устройств) алгоритмом защиты не предусмотрено
[Сообщение изменено пользователем 27.09.2018 06:01]
p
pens111
Банк использует услуги агрегатора. Если вам потребуется распечатка третьей стороны, запросите у них. Контакты предоставим по факту происшествия.
и ещё такой вопрос интересен, вопрос безопасности - это зона ответственности банка, "агрегатора", или владельца счета, кто собственно окажется крайним, в случае хакерской атаки на счёта клиентов банка (любого), кто отвечает за дыры в системе безопасности, ведь эти дыры часто обнаруживаются, когда денежки уже того-с, тю-тю? :-)
C
CHEh`OF
"Остановите, Вите надо выйти (с)"
p
pens111
ну вот, если во время сеанса связи кто то ещё входит в ЛК, то первый сеанс блокируется, это уже вперёд :-)
Фотография из Фотогалереи на E1.ru
но желательно бы фиксировать все сеансы связи, дату, время, ип-адрес, вид устройства, записывать это и давать доступ клиенту к этой информации!
Фотография из Фотогалереи на E1.ru
но желательно бы фиксировать все сеансы связи, дату, время, ип-адрес, вид устройства, записывать это и давать доступ клиенту к этой информации!
Авторизуйтесь, чтобы принять участие в дискуссии.