Comments 50
а также код из sms (под убеждением, что всё безопасно).
Я отдал мошенникам ключ от квартиры, под убеждением, что всё безопасно и они вынесли мой телевизор...
подломив дверь...
Зря вы не продолжили. Там ещё больше дичи, которая как будто из параллельной вселенной. Типа того, что вторая карта банка - это карта для другого пользователя
Вы будете смеяться, но, когда я звоню в ТП своего банка, и говорю, что у нас с женой две карты вашего банка (разные договоры), и я жене или она мне переводим порой суммы денег, так вот нельзя ли при этом сделать так, чтобы переводы внутри такого "семейного" набора договоров были бесплатны - мне отвечают "нельзя, но вы можете к своему договору сделать вторую карту на имя жены, и дать ей - и гонять деньги внутри договора".
Ок, делаю так, потом выясняется, что СМС-подтверждения операций по всем картам приходят на один (мой) номер телефона, и та же ТП на вопрос отвечает - так это же один договор, Вам, мол, и приходит, как владельцу договора.
Так что "для кого" вторая карта - вопрос один, а может ли пользователь второй карты пользоваться ей автономно от владельца договора, не дергая этого самого владельца договора переспросами про СМС - вопрос другой.
И такой дичи полно в работе банков. Продолжая свой кейс: ок, имеем с женой две карты одного договора (на разные имена, что характерно) - раз так, ставим с женой на два наших телефона два мобильных приложения - и получаем граблю с уведомлениями. Приложение умеет пуши, но они приходят на один телефон, на тот, куда последним было поставлено приложение. Не на два (что было бы самым простым выходом из положения), а на один, и не на "основной" по договору, а на рандомный из двух, по сути. ТП, достучавшись до программеров, возвращает ответ "ну так это к Эпл или Гуглу вопрос, куда пуши долетают". Программеров понимаю (посылают, т.к. "это не задача программистов", и в плане работ не значится), но неудобно весьма.
Про код в смс, который не читается телефоном как код (т.е. когда при вводе его телефон не предлагает подставить в поле) уже не говорю. Программисты банка, как видно, любят кульбиты в быту (потому что иначе этот замечательный код не ввести), и не любят тестировать свой софт на реальных телефонах (Самсунг вроде не из третьего эшелона).
Если что, это я про свой банк, не про ВТБ (который вообще полный зашквар и в UI, в общении с сотрудниками, в процессах; само приложение, которое теперь стало веб-приложением, но которое то и дело теряет авторизацию - т.е. не "приложите палец", а "введите логин и пароль", и все так бестолково и нелогично, что рр-р-р). И, простите, если про сам пост, то я не верю, что человек, столь внимательно заполняющий таблицу под высосанный выдуманный кейс, пришел к выводу, что ВТБ его устраивает как нельзя лучше.
Также по субъективному мнению "заминусовал" Сбер и Альфа банк
Да они и заминусованные с ВТБ побороться способны смайлик!
P.S. А ведь правда, когда-то ВТБ был куда лучше, куда всё делось-то?
Про пуши, это не косяк гугла или эпла. Это просто в базе банка у пользователя подразумевается только один телефон. Поэтому при установке приложения на новый телефон старый токен для отправки пушей затирается новый. Не создаётся новая запись для новой установки приложения, а старая заменяется на новую
Если что, это я про свой банк, не про ВТБ (который вообще полный зашквар и в UI, в общении с сотрудниками, в процессах; само приложение, которое теперь стало веб-приложением
Это вы когда последний раз пользовались? Какое-то время было только веб, это так, но сейчас вполне нативное приложение, без потерь авторизации даже если вы случайно переключились в окно смс.
Параллельно у меня был счет в Альфа, но каких-то значимых преимуществ перед ВТБ не увидел вообще. Наоборот, принудительной сменой тарифных планов и чехардой с комиссиями подтолкнули отказаться в пользу зарплатного проекта с ВТБ.
Сбером не пользуюсь "по политическим мотивам", было дело что заморозили мне все счета из-за однофамильца, с тех пор лет 10 избегаю.
Псб, втб, ренессанс. UI +- одинаковый. На ВТБ оформил первую карту безименную, вторую именную. Первую отдал жене. Платит только в магазинах и пользует в банкомате. В ИМ она карту не использует. Тем более МП ей ни к чему. Могу контролировать траты, которые она делает. Все сообщения о покупках приходят мне. Нас всё устраивает.
Пуши спокойно присылать на сколько надо устройств если разработчики бэка об этом подумали.
Насчет нескольких карт у разных людей но с совместным использованием — Тиньков хотя бы попробовал что-то похожее на нормальное сделать.
Можно делать делать совместный счет но нужно указать ФИО и номер телефона того кому даем доступ. Если это клиент тиньков полноценный — он просто видит счет и полноценно пользуется. Если на момент оформления это не был клиент тиньков — полноценно (со всеми допсервисами) не сможет но карта и базовый функционал будут работать. Вот переход между этим состояними не очень хорошо проработан.
Ах да, с лимитами у Тинькова все очень хорошо (и, в отличии от ВТБ, лимиты на просто-покупки — есть).
Поэтому теперь задумался о более безопасной квартире и покупаю квартиру только в ЖК "Фродлесс-сити"
Сейчас начинается эпоха банков, не имеющих отделений. За ними будущее, не надо их игнорировать.
"Вот в каком отделении открывали... Ах да. Никуда не приходите."
Вот и идите в своей интернет!
В отделении могут ровно так же разводить руками и говорить, что процессы не позволяют. Можно начальника отделения выдернуть, но лучше не будет...
Для входа в личный кабинет банка мошенниками использовался номер карты, который я им дал (т.к. это не запрещено), а также код из sms (под убеждением, что всё безопасно).
С таким подходом тебе деньги вообще в руки давать нельзя ни в каком виде
ВТБшники разучились писать рекламные статьи что ли? Видно бюджеты у ребят просели сильно. Такого полотна текста с таблицами и "выводами" не ожидаешь от человека который отдает смс под убеждение...
п.с. Интересно а что за город такой где нет Сбера, но есть ВТБ?
Человек который дал карту и код из смс мошенникам учит других безопасности, вот это пять, это точно Хабр?
Ну как бы есть еще такие, которые считают что смс это безопасный второй фактор...
А главное что банков "без смс" практически не осталось... На предложение - "Я готов подписать вам любую бумагу, что ответственность за возможные потери беру на себя, но отключите мне смс подтверждение операций!" ответ всегда один "Это невозможно!". :-(
Мастер-счёт – это просто один из текущих счетов, используемый по умолчанию. Никаких двух уровней привилегий нет.
Что такое мастер-счет и зачем он нужен не могут ответить даже сами сотрудники ВТБ, причем открыто признают это ;)
Вопрос квалификации сотрудников - отдельная тема.
А мастер-счёт - просто текущий счёт по умолчанию для вашей персоны. Используется, когда конкретный номер счёта не указан (например, при получении денег по СБП).
На другие вопросы они более-менее отвечали, а тут ответ был примерно такой: банк так решил зачем-то, отказаться нельзя, берите - хлеба не просит. Мастер-счет был задолго до появления СБП. Вот у меня была два комплекта счетов, по каждой валюте: просто счет и счет карты, а потом появился третий - мастер-счет. Логику тут искать не надо, это ВТБ - она там не ночевала. Это банк, где для перечисления 100 долларов со свой карты на свой же долларовый (некарточный) счет требовалось иметь на счету карты чуть больше 100 долларов, иначе - недостаточно средств. Они переводили через конвертацию в рубль и обратно!!! Зачем никто из рядовых сотрудников не понимал: просто держите на карте чуть больше. Учитывая, что у меня тогда была мультивалютная карта это не доставляло проблем.
Не знаю как сейчас, раньше они те же зарплатные карты вообще привязывали к СКС (специальный карточный счет). А потом внезапно оказывалось, что на такую карту нельзя сделать "обычный" перевод.
Был у меня еще с ними неприятный момент (но тут, все-таки, не их вина) - ВТБ-24, который под санкциями не был, влился в ВТБ, который под санкциями был, три недели не могли понять, почему мой перевод из-за границы не проходит, хотя еще пару месяцев до этого все было ок.
Человек отдавший код из СМС пишет статью как обезопасить свои деньги.
Я просто оставлю это здесь – как иллюстрацию «безопасности» системы ДБО в ВТБ (избранное содержимое заголовка CSP с https://online.vtb.ru/login):
connect-src <…> https://*.3dsdombank.ru:* https://*.multicarta.ru:* https://paymo.ru:* https://checkout.paymo.ru:* https://magnit.ru https://moy.magnit.ru https://new.moy.magnit.ru https://www.wildberries.ru https://napi.wildberries.ru https://api.flocktory.com https://opefront.vtb24.ru https://web.telegram.org/ https://*.aliexpress.ru
Я вообще не понимаю, откуда может возникнуть ожидание какого-то многоролевого доступа для физлица, которое по определению - один человек...
Примечание:1. Проверка не выполнялась.
Большая просьба оставлять это в начале статьи.
Есть двухфакторная аутентификация.
Недавно успешно восстановил пароль к ВТБ-онлайн используя только номер телефона и код из СМС. У меня там старые счета, и я им давно не пользуюсь, а причина сходить была та, что мне на телефон стали каждые 15-30 минут приходить СМС с кодами для входа туда, которые я, понятно, не запрашивал. На звонок в поддержку отвечал ИИ, от которого добиться переключения на живого человека за два звонка и в общей сумме минут 40 общения так и не удалось. Хренотень эта началась не так давно, потому что года три назад, когда у меня по какой-то причине (уже не помню) доступ к онлайн-банку заблокировался, то мне пришлось лично по телефону общаться с их СБ, потом отправлять им всякие сканы документов и только после этого они мне доступ восстановили. Статью я бы переименовал в: "ВТБ. Опасно." :)
Теперь так, увы везде. Однофакторная по симке.
Нет ни одного крупного банка ктоб пользовался обычными аппаратными токенами. Им не надо. Деньги же ваши уведут, а они свою коммисию возьмут все равно.
И в каждом крупном банке мне рассказывали про надёжность фейс айди и авторизации по отпечатку пальца в смартфоне.
АдЬ
Двухфакторная аутентификация: то что ты знаешь, и то чем ты владеешь. СМС не может быть вторым фактором по этому определению, так как номер не принадлежит пользователю, а арендуется. И тем более, в случае, когда для входа надо только получить СМС
У ВТБ, когда он еще был ВТБ 24 были скретч-карты с кодами. А для тех, кто пользовался очень часто был электронный генератор, размером с карманный калькулятор. Вот это была когда-то настоящая двухфакторная аутентификация.
СМС не может быть вторым фактором по этому определению, так как номер не принадлежит пользователю, а арендуется.
Зависит от того, что вкладывать в понятие "владеешь". Нигде не оговаривается, что владение должно быть юридическим. Например, если я завладел мячом на футбольном поле, это не делает мяч моей собственностью.
Скорее, тут вкладывается смысл "имеет на руках в данный момент сим-карту, к которой привязан номер" (при этом, сим-карта существует в единственном экземпляре, двух рабочих сим-карт с одним номером в сети быть не может, а при перевыпуске старая сим-карта превращается в кусок пластика).
скретч-карты с кодами
Я выхватил у вас скретч-карту из рук и убежал. Вы ей юридически всё ещё владеете, но в реальности уже не очень владеете, а я, хоть и не владею юридически, но могу её использовать.
Мне кажется, что достаточно считать "владение" как часть триады полномочий имущественного права: владение, пользование, распоряжение.
Формально договором вам могут быть переданы большие права, и даже гарантировать, что номер принадлежит только вам. То есть не обязательно чем-то владеть физически. Например, арендуя что-то вы получаете право пользования.
Только в существующих договорах есть указание, что номер может быть изъят обратно в номерной фонд.
Еще нужно учесть, что номер это не sim-карта, а запись в реестре. Номер, в том числе может быть и виртуальным.
UPD: добавлю, что я не против использования СМС. Это скорее про удобство. Для для не требовательных к безопасности сервисов можно вообще использовать только его. Но для финансовых услуг хотелось бы выбор. Кстати, можно и использовать и сертификат / ЭЦП на ключе, как второй фактор. Получить его несложно, а удобств много.
Кстати, можно и использовать и сертификат / ЭЦП на ключе, как второй фактор. Получить его несложно, а удобств много.
Проблема в том, что его не надо выпускать. Он уже есть. Внутри банковской карты живет. Банк и платежная система этому чипу доверяют, для платежей используют. А вот научиться использовать этот чип еще и для целей, для которых СМС понадобилась - почему-то не могут.
Для меня ВТБ самый безопасный банк, так как я уже не пользуюсь им.
Статья косит под рекламу ВТБ, ну а я, пользуясь случаем, дам этой мутной конторе небольшую антирекламу.
А случилось вот что — банкомат ВТБ увёл у меня 5-тысячную купюру: при внесении на счёт 14000 рублей внеслось только 9000. Я тут же обратился к администратору с соответствующим заявлением, с указанием номера банкомата и точного времени происшествия. Администраторша обещала рассмотреть и дать ответ на следующий день — мол, надо смотреть видеозаписи с камер наблюдения. На другой день получил ответ: "Вы клали в лоток пачку купюр, и на видео не видно, сколько их там и каких именно". Т.е. не видать тебе денег как своих ушей.
Ну, ушёл несолоно хлебавши, увёл оттуда всё, что там у меня было, и теперь всем советую с ВТБ дел не иметь. Конечно, можно считать этот случай доставшейся мне случайностью, но можно считать его и типичным примером корпоративного подхода к обслуживанию клиентов всей конторы в целом. Я принял второе, и остальных предупреждаю.
Вероятно самодеятельность сотрудников на местах. Банкомат инкассируют как кассу и излишки и недостачи фиксируют. Просто посмотрели камеру а к инкассатора заявки не сделали. Человеческий фактор. Дураков везде хватает. Возможно совпадение каких то случайных факторов, типа банкомат выдал купюру обратно, но вы ее не увидели в купюроприемнике, т.к. она замялась и торчала где то внутри, а следующий клиент ее уже и получил. Техника иногда тоже сбоит...
К вопросу о безопасности: уехал за границу в 22-м году по понятной причине. В ВТБ осталась приличная сумма, размазанная по мастер-счету и нескольким срочным депозитам. Попробовал в очередной раз зайти в онлайн-банкинг, обнаружил, что аккаунт заблокирован. Ну, бывает: иногда использую VPN, возможно с точки зрения банка скачки между странами выглядят странно. Позвонил. Там предложили для разблокировки назвать точную текущую сумму одного из депозитов. Либо приехать в Россию и прийти в отделение. Больше никаких вариантов: ни СМС, ни кодового слова, ни фотки с паспортом - ничего. Скажите сумму вашего вклада (а там, на минутку, сложные проценты, каждый месяц сумма изменяется) либо идите лесом. Смог им примерно сказать, сколько на мастер-счете, но нет, так нельзя, только сумма депозита.
Короче, живу теперь без этих денег, может быть однажды разблокирую, если банк еще жив будет.
Так что все там норм - все безопасно.
публикация материалов столь некомпетентных авторов вообще неуместна.
Банк ВТБ предоставляет мошенникам инструменты для обмана клиентов.
ВТБ. Опасно vs безопасно