Взлом хакерами Сбербанк онлайн.
Создана: 18 Декабря 2011 Вск 8:29:07.
Раздел: "Платежные системы"
Сообщений в теме: 356, просмотров: 90806
-
Примерно тоже самое со мной произошло на днях, сняли приличную сумму. Был в Банке,написал заявление. Будут рассматривать.
Будьте внимательны в Сбербанк Онлайн !!!
"В последние месяцы Сбербанк России зафиксировал неоднократные попытки взлома счетов пользователей «Сбербанк ОнЛ@йн». Чтобы получить доступ в личный кабинет клиента, злоумышленники с помощью вирусов устанавливают на компьютеры вредоносные программы, которые перенаправляют клиентов на поддельные сайты. Внешний вид поддельного сайта практически полностью соответствует подлинной интернет-странице сервиса «Сбербанк ОнЛ@йн». На подложном сайте, ссылаясь на программный сбой, клиента просят ввести разовый SMS-пароль якобы для отмены ошибочной операции. Банк направляет клиенту в составе SMS-сообщения с паролем реквизиты зарегистрированной в банке операции. Вводя разовый пароль на поддельной странице или сообщая его по телефону позвонившему «сотруднику банка», клиент позволяет злоумышленникам провести операции перевода денежных средств от своего имени." -
-
-
Судя по описанию принципа работы сбера-онлайн, все эти косяки прямая вина банка. Как водитель является владельцем объекта повышенной опасности, так и банк должен был озаботиться безопасностью и надежностью своей системы.SLDENIK писал(а) : При входе в Сбербанк Он@йн вводится логин и пароль, которые ты можешь получить в банкомате. При успешном входе через 1-2 сек. приходит СМС-ка о том, что вы вошли в систему, с указанием времени. При совершении каких либо операций, после заполнения формы СМС-кой на сот. тел. приходит разовый пароль, для подтверждения операции. Кроме того в СМС -ке указаны все реквизиты операции. Только после ввода этого пароля происходит перевод средств со счёта.
И не надо тут опять трындеть что каждый клиент ССЗБ. Клиент не разрабатывал эту систему и его не посвящали в технические подробности реализации проекта, а то так можно будет продавать машины без тормозов, а в инструкции меленько писать "в аварийных ситуации открой дверь, упрись ногой в землю".
PS Строить систему регистрации клиента через СМС-ку - это так свежо, чем-то напоминает "Одноклассников".
PPS Они поди еще и защищенные каналы шифруют кодом Цезаря -
Если я, например, покупаю какую-нибудь хрень для мытья стекол, то там написано "беречь от детей", "при попадании в глаза промыть водой и обратиться к врачу". Если бы в договоре сбер-онлайн было бы честно написано "любой малолетний идиот, который в состоянии сделать на коленке копию сайта по скриншоту экрана, легко сможет увести все ваши деньги" много бы народу подписалось на этот "онлайн"?SLDENIK писал(а) : На нет, тут не всё так просто, клиент тоже виноват, как виноват лох, который начинает играть с напёрстачниками. Вина банка в том, что они не предупреждают о возможности такого мошенничества, а преподносят только всё в радужных пузырях.
Опять таки вопрос: деньги были перечислены на какие-то счета и найти их владельцев невозможно? Их сразу увели в на счета в Ливию, Сомали и Венесуэлу? Прям никаких концов?
А за что тогда получает деньгу СБ? Только за проверку платежеспособности клиентов при взятии кредита? -
Кстати сейчас заглянул в свой "банк", там выставлены лимиты "потребления" - на один раз, на один день, на неделю. То есть просто очистить счет даже имея все ключи будет непросто. А установить лимит можно только в банке имея при себе паспорт с фотографией похожей на лицо владельца.
-
-
KaraKodil писал(а) :Судя по описанию принципа работы сбера-онлайн, все эти косяки прямая вина банка.
Понятно, что пользователя "сбола" хитро намазывают (не все так технически продвинуты).
Меня в этой всей истории удивляет тотальное бездействия сбера по фиксу этого бага. Они не предотвращают подобные деяния, прекрасно зная о них.
Я использую онлайн клиент др. банка. Там авторизация идёт по паре логин-пароль + карта разовых паролий на любое телодвижение: на вход, на отправку денег итп.
Пароли пронумеровыны и идут строго по-порядку. На сайте постоянно висит предупреждение перед входом о возможном мошенничестве.
Нечто подобное можно было сделать и сберу. Но оно им надо? -
Да есть у них такая шняга. При получении логина и пароля для входа в систему в банкомате, выскакивает вторая бумажка с 20-ю разовыми паролями, пронумерованными по порядку. Но эти разовые пароли почему то ни где не используются. А все операции подтверждаются разовым паролем приходящим по СМС. -
SLDENIK писал(а) :
Да есть у них такая шняга. При получении логина и пароля для входа в систему в банкомате, выскакивает вторая бумажка с 20-ю разовыми паролями, пронумерованными по порядку. Но эти разовые пароли почему то ни где не используются. А все операции подтверждаются разовым паролем приходящим по СМС.
Неправда, для подтерждения предлагают юзать пароль на выбор с банкомата/по смс.
Для сбера это типично. Хорошие идеи портить плохой реализацией -
Отнюдь, реально только по СМС пароль. Да и вообще омский функционал СБЕРБАНК ОнЛ@йн сильно урезан. Читаешь Руководство клиента версия 02.002.01, и чё то оно сильно отличается от того, что нам предлагают. Интерфейс даже не похож на тот который в инструкции.
[внешняя ссылка] -
Да хоть ТыщщаДвадцать паролей, суть от этого не меняется. Реализация защиты остается на уровне тупого ввода пароля. Если клиент сидит на фейковом сайте, то он может завводиться паролями до жидкого стула. Пароли будут "использоваться" по прямому назначению.SLDENIK писал(а) : При получении логина и пароля для входа в систему в банкомате, выскакивает вторая бумажка с 20-ю разовыми паролями, пронумерованными по порядку.
Судя по тому что в конторе у моих знакомых клиен-банк от сбера работает на диалапе, весть о несиммитричных ключах шифрования и электронных подписей на их основе еще не дошла до сбера.