Открыть список
Как стать автором
Обновить

Комментарии 78

После этого, через недобросовестного сотрудника сотовой связи, перевыпускается СИМ-карта.


Запрет действий по доверенности — это первое, что должен сделать человек в России после покупки сим-карты. В Билайне это делается через бумажное заявление. У остальных операторов через отправку SMS. Без этого никакой защиты ваших счетов и данных просто не существует.
Расскажите поподробнее?
Запрет действий по доверенности — это первое, что должен сделать человек в России после покупки сим-карты.
Да никакой разницы не делает вообще.
Если предположить что сотрудник добросовестный, то при замене по доверенности он проверит паспорт того кто требует замену и саму доверенность. Получается надо подделать доверенность и палиться со своим паспортом или подделывать и паспорт и доверенность вместе.
Если предположить что сотрудник недобросовестный, то тоже толку нет. Подделают паспорт самого владельца и за симкой какбэ владелец прийдет. Либо он забудет посмотреть в программе что запрещены действий по доверенности. Либо и паспорт забудет спросить.
Если предположить что сотрудник сообщник, то в принципе нет никакой разницы.
Или же вариант — потерять (дать похитить) телефон, желательно с установленным клиентом банка — чтобы долго не искать номер карты.

И как потеря телефона с паролем и pin кодом на симке скомпрометирует мой номер телефона или карту?
Ладно, банк выпуска карты ещё хоть как-то можно узнать, если зайти в spay или applepay, на заблокированном экране можно увидеть лого карты.
Но позвонить с этого телефона куда-то кроме 911 или экстренных номеров (семья например, если настроено в телефоне) не получится

Более того, если у злоумышленника есть доступ к перевыпуску симки, то приложение сбера тут никак не поможет
Многие почему-то забывают ставить пароль на sim-карту… На телефоне же есть пароль)
(а то что ее легко вытащить и вставить в другой телефон почему-то не учитывают)

Работая в мастерской могу сказать одно, до лампочки все ваши пароли, и даже на симке) есть считыватель сим, и программатор, там будет затерт ваш пин, и также на телефоне spay это вообще мусор, а снять пароль с экрана телефона имея специальный программатор вообще пустяк)

Т.е. запароленная симка без труда считывается? )

Если сильно заморочиться — ПЗУ выпивается и считывается программатором. Вместе с "защищёнными" в данном случае областями, где лежат ключи шифрования )

Или же вариант — потерять (дать похитить) телефон, желательно с установленным клиентом банка — чтобы долго не искать номер карты. Дабл килл!


Если оперировать терминами похищения, тогда уж можно и человека похитить, сделать ему терморектальный анализ и всего делов. Как вы себе представляете защиту со стороны банка от кражи вашего телефона?

После этого, через недобросовестного сотрудника сотовой связи, перевыпускается СИМ-карта.

Многие банки давно отслеживают перевыпуск сим карты, и помечают это как потенциальный фрод. Я не знаю как у сбера обстоят дела, но это точно факт, сталкивался с этим сам.

Вообще в целом статья напомнила давно известную историю «Хакер в столовой»
Тык
помечают это как потенциальный фрод

Мне банк присылал смс после смены оператора (номер тот же), типа «в ближайшие сутки вы ничего не можете с телефона сделать». Если надо, топайте ногами в банк
ICCID это идентификатор куска пластика. Он в сеть никуда не попадает. Банку важно то, что сменился IMSI.
А можно подробнее что именно должно смениться? Другой телефон или что?
Симкарта. Не номер, к ней привязанный, а сама карта. Банк это может сразу отследить. Я не спец, но как понимаю, послав вам смс, он получает некоторое подтверждение, где содержится этот самый IMSI и они сразу увидят что он не совпадает с тем, что у них в базе (который получили в первый раз когда номер телефона привязывали). Ну а дальше уже как построена система у банка. В Альфе приходит предупреждение что все операции через мобильный и интернет банк заблокированы до тех пор, пока не придете с паспортом в офис и не подтвердите оператору что сами поменяли симку. Тогда она сбросит IMSI в базе у них и он перезапишется новым.

Но это очень приблизительно. В тонкости не вникал.
Банк это сам по себе не отслеживает. Это может видеть оператор связи. Если у оператора есть система, которая это отслеживает, то банк может купить себе эту B2B-услугу и поставить номер абонента на слежение (у банка есть только номера клиентов, т.е. MSISDN, но нет ни IMSI, ни IMEI, ни ICCID).
Таким образом, во-первых, нужно, чтобы этим заморочился оператор, во-вторых, чтобы этим заморочился банк. Т.е. не все случаи покрываются. Банки попроще не парятся. Операторы тоже не все парятся.

Там у разных банков по разному: у одних — реакция на смену или телефона или симки, у других — только если меняются и телефон и симка, а третьим — пофиг.
Альфа паниковала при смене одного из компонентов, помнится, Сбер — когда оба (под новый телефон пришлось менять симку на нано).

IMSI — это идентификатор абонента на сим-карте. Она передаётся в сеть и уже в системах оператора связи хранится связка IMSI-MSISDN (MSISDN — это, грубо говоря, привычный нам номер телефона). Именно поэтому в настройках телефона вы никогда не увидите ваш номер, только если сами его туда внесёте.
Если меняете сим-карту — меняется IMSI.
Если меняете eSIM — насколько знаю, тоже меняется IMSI.
Если меняете телефон или SIM-слот — меняется IMEI.
Как вы себе представляете защиту со стороны банка от кражи вашего телефона?

Не использовать телефон для авторизации. Для этого банковская карта придумана. Которая pin-ом защищена на случай, если и телефон и карту украли.


Правда тем, у кого либо телефон, либо карта NFC не умеют, придется пользоваться специально придуманным для этого ридером.

А если карту украдут, не использовать карту для авторизации? Не кажется что это замкнутый круг? Что не придумай для авторизации, это не защитит от кражи \ утери и подобных рисков.

Так pin же у карты. Для того и придуман.

А как вы авторизовывать пользователя в банковской системе или приложении будете? Просить его ввести пин от карты вместо пароля или логина? Или он номер карты будет вбивать? Поздравляю, тогда вообще ничего красть не надо, сидишь и буритшь номера карт и пинкоды. И даже если банк будет блокировать карты чтобы не похитили деньги, представьте сколько звонков будет от тех кому залочили карту?
А как вы авторизовывать пользователя в банковской системе или приложении будете? Просить его ввести пин от карты вместо пароля или логина?

Если и карта и телефон NFC умеют — "приложите карту к телефону и наберите pin".
Если что-то из них этого не умеет — то же самое, но через контактный ридер.


Если на телефоне стоит зловред и он пин перехватил — то ему это мало что дает, т.к. любая операция еще и картой подтверждаться должна. Если же зловред очень злобный и умеет вклиниваться и подменять шифрованный обмен карта<->банк — то это означает, что он приватные ключи банка знает, чтобы MitM для карты устроить и совсем другой уровень проблем.

Если и карта и телефон NFC умеют — «приложите карту к телефону и наберите pin».
Если что-то из них этого не умеет — то же самое, но через контактный ридер.

Что делать тем у кого нет NFC?

Если на телефоне стоит зловред и он пин перехватил — то ему это мало что дает, т.к. любая операция еще и картой подтверждаться должна. Если же зловред очень злобный и умеет вклиниваться и подменять шифрованный обмен карта<->банк — то это означает, что он приватные ключи банка знает, чтобы MitM для карты устроить и совсем другой уровень проблем.


Мы говорили про риск кражи, а не зловредов на телефоне.
Что делать тем у кого нет NFC?

Ну строчкой выше же написано 'то же самое, но через контактный ридер.'

Вы его каждому клиенту предоставите бесплатно? Куда его надо будет подключать? Как он будет конектиться с системами банка и по каким протоколам? Что мешает похитить ридер и карту вместе с ним и как ридер спасет от физической кражи?

Ридер — он просто ридер. Адаптер интерфейса к чипу карты. Который интерфейс вполне стандартный. С другой стороны — USB. Где я утверждал, что он хоть как-то от кражи защищает — непонятно.


Подключать — к телефону (тут лучше бы, чтобы ридер умел usb host, чтобы otg от смарта не требовать) или компу. Протоколы более высокого уровня, по которому банковское приложение внутри чипа карты с банком общаться будет — это пускай у банка и производителей карты голова болит. Сумели же как-то договориться о протоколах, что в NFC оплате используются.


Предоставлять — как банку хочется. Я бы продавал. Тупой адаптер интерфейса дешевый при массовом производстве.

Удачи в ваших идеях конечно, но надеюсь такого не будет ;)

Перечитайте еще раз всю ветку, и посмотрите про что Вы пишете. Дальше полемику не вижу смысла продолжать.

Уже есть. Причем даже pin не спрашивает, как я предлагал, чтобы что-то со счетом карты сделать.


Осталось заменить софт, предназначенный для продавца софтом, предназначенным для управления банковским счетом.


EDIT: вот еще. Тут pin спросили.

Угу PIN-код на несекурном телефоне… PIN-код даже банкомат не знает.

Этот телефон уже имеет доступ к управлению банковским счетом — на нем приложение банк-клиента стоит. Какой сценарий атаки добавляется, если мы начнем pin карты спрашивать, а не тот pin, что сейчас это приложение использует?

Очевидно, что компрометации PIN-кода. После чего можно сделать клон карты даже не имея самой карты.
Сейчас единственный способ узнать ПИН — физически подсмотреть его при наборе в банкомате. PIN ни в банке не хранится, ни в банкомат не передаётся. Сами по себе карты вполне неплохо защищены.
Вы предлагаете снизить уровень защиты одного из компонентов на основании того, что у вас есть проблемы с защитой другого несвязанного компонента.
И на всякий случай ещё раз повторю — если всё сделано правильно, то ПИН-код в банке не хранится, но проверяется банком, как вы его проверять будете?
Очевидно, что компрометации PIN-кода. После чего можно сделать клон карты даже не имея самой карты.

Во первых, это вроде бы ничем не отличается от риска утечки CVV, т.е. мы ситуацию не ухудшаем.
Во вторых, как ключики из чипа карты выковыривать?
Если же имеется в виду клон только по магнитной полосе — то использование такого клона моментально оспаривается.


И на всякий случай ещё раз повторю — если всё сделано правильно, то ПИН-код в банке не хранится, как вы его проверять будете?

Приблизительно (этап согласования сессионного ключа для общения с картой опущен, токости протокола — тоже, придумывалось на ходу):


приложение -> карте: Тут пользователь такой пин ввел. OK?
карта->приложению: (увеличивает счетчик неудачных попыток) Нет.
приложение->пользователю: неверный, давай еще раз.
пользователь: повторяет ввод пина.
приложение -> карте: Тут пользователь такой пин ввел. OK?
карта->приложению: Да.
приложение->банку. Тут залогиниться хотят с картой номер..., дай тикет авторизации
банк->приложению: высылает одноразовый тикет
приложение->карте: держи тикет от банка.
карта: проверяет подпись банка, подписывает тикет своим ключем.
карта->приложению: держи подписанный тикет.
Приложение->банку: держи подписанный тикет.
Банк: проверяет подпись карты на тикете и (не)дает доступ к информации о счете.


<через некоторое время, когда пользователь операцию сформировал>
приложение -> карте: Сделай мне подпись на "пакет данных операции"
карта->приложению: подписывает своим ключем и возвращает результат.
приложение->банку: пользователь захотел операцию сделать, вот подписанные данные.
банк: проверяет подпись на операции и (не)делает ее.


Вообще, не понимаю суди возражений. Аппаратные крипто ключи давно и успешно используются в бизнес-вариантах банковских клиентов. Защищаются именно pin-ами. Вот карта — и есть, по сути, такой аппаратный ключ. Который почему-то использовать не хотят.

Вы ухудшаете ситуацию. CVV и ПИН — разные механизмы для разный целей. Вы снова предлагаете ухудшить один независимый механизм потому, что вас не нравится другой. Нельзя вам в безопасность.
И вы предлагаете некий свой воображаемый протокол. Там всё не так работает. Теоретически, можно на карту свой отдельный протокол прописать, но зачем? Тогда и ПИН другой прописывайте.
Ну, и вообще в ваш протокол содержит сразу несколько критических уязвимостей, да, и просто плохой. Хотя бы потому, что вы там сначала ПИН проверяете, а потом независимо что-то там от банка подписываете и всё через недоверенную третью сторону.
То что сейчас работает сделано намного лучше и безопаснее.
И вы предлагаете некий свой воображаемый протокол. Там всё не так работает. Теоретически, можно на карту свой отдельный протокол прописать, но зачем?
Ну, и вообще в ваш протокол содержит сразу несколько критических уязвимостей, да, и просто плохой.

Весьма возможно. На ходу же придумывался, без старательных размышлений. Но протоколы, используемые в бизнес-клиентах банков, что с аппаратными токенами работают, уже ведь есть? Они достаточно хорошие?


Почему чип на банковской карте не может делать то же самое, что чип внутри этого токена делает?


а потом независимо что-то там от банка подписываете и всё через недоверенную третью сторону.

В существующией ситуации, когда банк-клиент просто на телефоне стоит, эта непроверенная третья сторона тоже есть. В точности та же самая. Если добавить еще карту, она хотя бы ничего не может сделать, если карты нет поблизости.

Никто не запрещает добавить в карту стандартный протокол от токена NFC авторизации. Карта станет вторым фактором. Но это тупо будет отдельный функционал на том же чипе карте.
Проблема в том, что, во-первых, на данный момент очень малое число пользователей имеют телефоны с NFC. Во-вторых, это требует кастомизации прошивки чипов карт, что достаточного дорого. И, в-третьих, уже выпущенные карты работать в качестве токенов не будут.
В результате в обозримом будущем подавляющие большинство пользователей всё равно не сможет этим функционалом воспользоваться и нужно будет иметь другой способ, авторизации, который будет использоваться в 90+% случаев.
А если у вас всё равно должен быть другой способ, то на черта заморачиваться? Проще добавить поддержку стандартного второго фактора, чтобы желающие могли купить себе ключ и радоваться.
Но это тупо будет отдельный функционал на том же чипе карте.

Да. Именно это и следовало бы сделать. Вон, тут целых полторы новых платежных системы разработали и внедрили (МИР+система быстрых платежей) и нечего, как-то живем.


Проще добавить поддержку стандартного второго фактора, чтобы желающие могли купить себе ключ и радоваться.

Все таки не понял, почему нельзя сделать саму банковскую карту этим самым вторым фактором (с тем же самым стандартным протоколом, что у отдельного ключа). Ну да, поначалу функционал будет не у всех и нужно будет специально просить такую. Или даже таки отдельный ключ покупать. Но постепенно (они же не вечные) карты сменятся, телефоны с NFC подешевеют, люди обзаведутся ридерами и проблема 'есть не у всех' пропадет.

Карту нельзя сделать потому, что вы таким образом компрометируете карту. Т.е. вам не нравится одна дыра в безопасности и вы в попытках её заделать проделываете вторую.
Если у вас несколько лет будут и карты и возможность делать «как раньше», то на фига вам карты? Уязвимость-то вы оставили. А если вы можете устранить уязвимость прямо сейчас без карт, то ключ-карты не нужна. Получается, что они в любом случае ненужны. «Л» — Логика.
Вот потому никто и не делает.
С МИР и прочим сравнивать нельзя, так как это грязные и кривые руки государства, приносящие вреда больше чем пользы. Вы можете заставить банки заменить все карты, добавить к ним ключи и заставить их использовать для авторизации в приложениях. Но вреда от этого будет больше чем пользы, заплатят за это пользователи карт и не мало, а использовать это смогут только 10% пользователей. Отличная идея!
Как я уже сказал — есть другие способы. Например, просто разрешить применять стандартные NFC-токены для авторизации. Или биометрию использовать. Тот же Тинькоф умеет в качестве второго фактора биометрию принимать. Более того, сканер отпечатков есть у гораздо большего количества пользователей чем NFC. И каждый телефон с NFC умеет в отпечатки, но не каждый со сканером отпечатком умеет в NFC. Отсюда мораль — зачем вы топите за какие-то хитрые карты и прочее, если нужно топить за использование отпечатков?
Карту нельзя сделать потому, что вы таким образом компрометируете карту.

А этого не понял. Почему копрометирую? В смысле, почему приложение авторизации в этой же карте сильно опаснее, чем в соседней, только для этого предназначенной.


Если у вас несколько лет будут и карты и возможность делать «как раньше», то на фига вам карты? Уязвимость-то вы оставили. А если вы можете устранить уязвимость прямо сейчас без карт, то ключ-карты не нужна. Получается, что они в любом случае ненужны. «Л» — Логика.

Такое же рассуждение работает и для внедрения чипов в картах. "Если нужно оставить обратную совместимость с магнитной полосой, то зачем вам чип? Уязвимость же останется. Если хочется, давайте отдельную, чисто чипованую карту лучше сделаем"


Одноко этого не произошло, а сами чипы почти повсеместно использовать стали. Правда, мнооого лет прошло.


Как я уже сказал — есть другие способы. Например, просто разрешить применять стандартные NFC-токены для авторизации.

Я, в общем, согласен, но стандартные токены с нужным функционалом как-то сильно отдельно и неудобно покупать надо, а карты — просто банком выдаются.


Отсюда мораль — зачем вы топите за какие-то хитрые карты и прочее, если нужно топить за использование отпечатков?

Я не верю в биометрию для этих целей. Прежде всего, потому что железку можно уничтожить, после чего никто никуда по ней доступа не получит. А биометрию уничтожить нельзя.

Ну и, если уж очень не хочется, чтобы карта какой-то пин помнила, можно весь обмен выше модифицировать так, чтобы переданный карте pin она просто использовала в процессе формирования подписи тикета при авторизации. И пускай уже банк, а не карта, разбирается, правильный он был или нет.

Если и карта и телефон NFC умеют — «приложите карту к телефону и наберите pin».

Только вот телефон не сможет проверить PIN-код банковской карты.

pin от SIM-ки он сам проверить тоже не может. Что не мешает его вводить и пользоваться. Тут точно так же. Спрашиваем и чипу карты отдаем, чтобы она операции над счетом подтвердила.

При этом телефон должен обладать полной функциональностью банкомата/терминала — мечта кардеров. И всё равно не сработает, так как ПИН банк проверяет, а не карта.
И всё равно не сработает, так как ПИН банк проверяет, а не карта.

Не совсем. Есть оффлайновый еще, который именно картой проверяться может.

Это от протокола авторизации зависит и в этом случае у карте реально два ПИНа получается, причём, офлайновый не может быть изменён.

В данном случае речь идет не о протоколе, что при покупке используется, а о том, который следовало бы использовать (по моему мнению) при авторизации банковского клиента. Какой надо пин, такой и будет. Пусть даже другой. Не вижу в этом проблемы.

Выше написал, что проблема в том, что вам и протокол нужно добавить и текущие способы оставить. А значит, безопасность вы так не улучшите.
Если и карта и телефон NFC умеют — «приложите карту к телефону и наберите pin».

Только вот телефон не сможет проверить PIN-код банковской карты.

Многие банки давно отслеживают перевыпуск сим карты, и помечают это как потенциальный фрод. Я не знаю как у сбера обстоят дела, но это точно факт, сталкивался с этим сам.
У сбера никак, недавно меняли симку.
Оператор (мтс) на сутки заблокировал смс-ки от банков, о чем при смене сотрудник предупреждал.
Но из всех наших банков (с десяток наберется наверное) на сменку симки отреагировала только альфа, надо было или по телефону кодовое слово назвать или в отделение топать (пришлось топать, т.к. кодовое слово 15 лет назад еще выбирали и не помнили уже). Но и даже она заблокировала не полностью все смс-ки.
Вот уж не знаю, менял симку года 3 назад, пришлось идти к банкомату и запрашивать баланс, для того чтоб заработал. Идти пришлось не сразу, потому что оператор после перевыпуска получение СМС тоже заблокировал на сутки вроде.
СМСки не блокирует, но на сутки блокирует все действия через мобильный клиент и инетбанк. Т.е. зайти туда можно, а деньги перевести куда-то нет.

И при наличии мобильного клиента уведомления и коды могут приходить не смсками, а пушами.
втб через месяца 3-4 может начать лочить вам вначале операции в онлайне, но после того как сходите подтвердить в офис ножками еще через пару недель вообще вход в онлайн может закрыть.
Обновил формфактор симки, мать их…
Эмм. Задам вопрос попроще.

Почему при смене логина и пароля перестала использоваться двухфакторная авторизация?

И логин был уникальным набором цифр и пароль, изначально выдавался банком на листочке.
И логин был уникальным набором цифр и пароль, изначально выдавался банком на листочке.

И проклинал за это проклятую сберкассу каждый второй. Весь мир мол, на онлайн перешел, а мы все еще лично с пачпортом вынужденны ходить. Сделали, как просилли массы. Опять не то. Оказывается — хотим лично с пачпортом.
Хотим чтобы спросили старый пароль или секретное слово.
Ходить не очень хотим.
Хотим чтобы спросили старый пароль

При кейсе «я забыл свой пароль»? Отличные вариант. Рабочий.
Отдельно радует предложение не хранить пароли в закрытом виде, как полагается, а дать возможность рядовому оператору колл-центра видить их в открытом виде. Это безусловно повысит безопасность.
или секретное слово.

Которое не помнит 90% пользователей? Вот интересу ради, поспрашивайте вокруг себя, помнят ли люди свое «секретное слово». Меня в свое время результат поразил. Оказалось, что большинство даже и не знает, что оно есть.
В этом случае конечно топать. Или дыра в безопасности.

Или лезть в шкафчик с документами и искать заветный листик.

90% вообще чужда эта ваша безопасность. А в итоге имеем описанную идиотскую ситуацию, когда для получения доступа ко всем моим счетам достаточно иметь мой телефон и номер карты. И эту "фичу" нельзя отключить. Я звонил в банк, узнавал. При этом, банки, которые внедрили эту дырявую систему, отказываются нести отвестсвенность за кражу денег со счетов.

Вообще в целом статья напомнила давно известную историю «Хакер в столовой»
Да, кстати, историю про мамкиного хакера советую рассказать в лицо ограбленным людям.

Например тому росгвардейцу, который в новости по ссылке.
Я не знаю вашу историю, но мне сбер присылал оповещения пуши и все остальное на телефон, которым не пользовался около 6 месяцев и приложение оттуда было удалено. Телефон все эти 6 месяцев валялся выключенным и неактивным. Если сбер не может отследить, что его приложением на телефоне не пользуются и телефон не активен — он правда может отследить, что был перевыпуск карты?
Спасибо, кэп. Можете добавить в заголовок еще целый список: Тинькоф, ВТБ, Альфа…
Они тоже позволяют сменить пароль без дополнительных вопросов и указания предыдущего логина/пароля?
Да. Не просто сменить, а еще и зарегистрироваться, если вдруг вообще не было логина/пароля
АльфаБанк нет.

Сейчас только выяснилось, что они откатили привязку к онлайн-банку на старый номер телефона. (Как так — другая история, у них вечные проблемы с ИТ и персоналом).

При звонке, чтобы поставить верный номер для СМС подтверждений (пароль логин не менялся) запросили ФИО, дату рождения и секретное слово.
Если вы потеряли мобильный телефон, на который приходят смс с одноразовыми паролями и подключен мобильный банк, вам нужно немедленно обратиться к оператору для блокировки сим-карты. А на блокировку на вход в телефон лучше поставить надежный пароль, а не FACE ID или по отпечатку пальца. А то, если следуя вашей логике, после банковской карты и привязанного к СБ Онлайн телефона могут еще и палец оттяпать (3.)
После этого, через недобросовестного сотрудника сотовой связи, перевыпускается СИМ-карта


Почти наверняка это не сработает. Не скажу за сбер, а альфе просто поменял симку как-то (старая была, большая, нсменил телефон, нужна была мелкая). Номер тот же. Но… Фиг. Банковский клиент не работает. Пишет что симка поменялась нужно идти в отделение, там с паспортом обратится к оператору и сказать что поменял симку. После этого через сутки разблокируется и можно будет пользоваться.

Так что не так все просто.
Менял симку осенью вместе с телефоном. Банк не отреагировал никак.

Менял оператора с сохранением номера. Сбер отвязал номер от всех своих сервисов.

А все почему? А потому как (читаем 382-П (https://cbr.ru/Queries/UniDbQuery/File/85920?fileId=-1&scope=1350)): Оператор по переводу денежных средств обеспечивает приостановление пересылки клиенту извещений (подтверждений) о принятии к исполнению распоряжений и иной защищаемой информации и осуществления перевода денежных средств на основании сообщений (кодов), отправленных с номера телефона, указанного в договоре с клиентом, в случае если оператору по переводу денежных средств стало известно о признаках, указывающих на изменение:
получателя информации, направленной оператором по переводу денежных средств и используемой при аутентификации клиента;
отправителя сообщений (кодов) с номера телефона, указанного в договоре с клиентом, на основании которых осуществляется перевод денежных средств.
К указанным признакам может быть отнесена информация о замене SIM-карты клиента, прекращении обслуживания или смене номера телефона, указанного в договоре с клиентом

Добавил апдейт в конец текста.
Сбербанк однажды стал засыпать меня СМС типа «Попытка входа в Ваш аккаунт» и т.п… Я долго разбирался и выяснил, что кто-то пытается зарегистрировать аккаунт с тем же логином, что у меня, хотя он весьма нестандартный. И Сбербанк предложил мне единственный выход — сменить логин, что я и сделал…
через недобросовестного сотрудника

Если принимать в расчёт недобросовестного сотрудника (любой компании, в принципе), то можно придумать гораздо более интересные сценарии. А если двух и более, то вообще шпионский боевик получится)
Давайте рассмотрим ваши сценарии.

Защищаться нужно от любых, но я привел часто используемые.
Давайте рассмотрим ваши сценарии.

Недобросовестный сотрудник банка инициировал перевыпуск вашей карты, отключил вам уведомления, получил ее и воспользовался.
В этом случае вина самого банка, а не неизвестных 3х лиц.

Проще найти виновных.
В этом случае вина самого банка, а не неизвестных 3х лиц.

Это если вы сумеете доказать, что никакого перевыпуска не заказывали, что не факт, что получится.

А почему вы отвергаете мысль о том, что вы можете просто не знать всех техник, которые использовал банк, пока вы восстанавливали свой пароль? Пофантазирую:


  • идентефикация по голосу
  • признак смены SIM > подлинность пользователя
  • вы были помечены в CRM, как клиент, который должен обратиться для восстановления пароля (результат известного сбоя)

… мы много не знаем. И иногда за кажущейся простотой скрывается продуманный заранее алгоритм и сложная механика.

Не надо искать сложных ходов там, где все можно объяснить простой безалаберностью.

  • Отпечатка голоса у них моего нет, я согласия не давал.
  • Смену Сим я уже проходил, реакции не заметил.
  • Это тоже уязвимость, открыть дыру при сбое.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.