Сегодня меня попытались "развести" интернет-мошенники. Схема обычная и нехитрая - "у вас скомпроментирована карта, пришлите код из СМС чтобы мы заблокировали операцию". Код, естественно, никуда не ушел, но мне стало любопытно какие же мои данные "утекли" и что с подобным кодом могли сделать жулики, я проверил - и мне стало реально страшно.
Итак, господа, что нужно мошенникам для того чтобы полностью скомпроментировать все ваши счета в Альфа-Банке? Как оказалось всего две вещи: номер любой Вашей карты и код из одной СМС. То есть если у Вас банально выхватят из руки телефон с вложенной в обложку картой Альфа-Банка (либо бумажник с телефоном отожмут гопники) то Вы вполне можете помахать всем своим сбережениям белым платочком а заодно получить уникальную возможность ближайшие несколько лет оплачивать долги другого человека. А в схеме с изготовлением дубликата сим-карты мошенникам не понадобится ничего даже красть - Вы узнаете о случившимся постфактум, когда утром заметите что за ночь почему-то перестал ловить сеть Ваш телефон. Одна чертова СМС и знание номера счета или карты - это вся защита которую нужно обойти злоумышленникам. Пароли? Биометрия? Виртуальные карты и лимиты на расходы? Все это у банка существует лишь для видимости безопасности поскольку полностью перекрывается одним-единственным кодом из СМС.
Осознав это и вздрогнув от того что тщательно продуманные и оберегаемые пароли меня на самом деле ни от чего не защищают, я попробовал повторить тот же фокус со Сбербанком. И Вы знаете что? Оказалось что эта же схема прекрасно работает и со Сбербанком тоже. Последовательность необходимых шагов для этого оказалась чуть-чуть длиннее чем в Альфе, которая предлагает такой вариант прямо на заглавной странице, но принцип был тот же. СМС - это единственная защита которую предлагает банк. И как пишут такая беда, собственно, сегодня практически у всех банков. Увы.
Господа банкиры, я все понимаю, удобство клиента - это очень важно, но Вам не кажется что безопасность клиента - это все-таки немного важнее? Нельзя ли заиметь хотя бы опциональную фичу запрещающую "восстановление пароля" по СМС, без физического визита владельца в отделение банка? Или, как это делает Google, опционально завязав эту возможность на физический токен по типу YubiKey? Да хотя бы начать присылать пароль для входа на указанную при регистрации в банке почту вместо того чтобы предлагать ввести его самостоятельно? И да, я понимаю что банк "в случае чего" ни за что не отвечает так что ему глубоко фиолетово то насколько надежно устроена авторизация, но я обещаю что по крайней мере я переведу к первому серьезному банку который реализует нормальную защиту все свои немалые деньги.
Господа пользователи, я читал на Хабре не одну статью о проблемах с безопасностью СМС-авторизации, но даже прочитав их до сегодняшнего дня недостаточно предоставлял себе масштаб проблемы. Если у Вас есть в банках средства которые Вам жалко потерять, то во-первых отключите прямо сейчас показ уведомлений на экране блокировки а во-вторых в ближайшее время зайдите в офис своего мобильного оператора и заблокируйте переоформление сим-карты по доверенности. Я откладывал это действие не один месяц, а сейчас понимаю что был идиотом. И напишите в техподдержку своего банка жалобу. Текущий уровень безопасности онлайн-банков - это полное днище. Спишут всё и повесят на Вас огромный кредит на все то щедрое онлайн-предложение которое банки так любят предоставлять айтишникам.
Если у Вас есть идеи как еще можно обезопасить свои счета - то пишите об этом в комментариях.
