Всем привет.
Подскажите — насколько нормально такое отношение:
Находясь далеко от компа получаю смс с кодом подтверждения от бизнес-онлайн. Общая система доступа к интернет банку включает в себя логин, два пароля, сертификат на флешке и смс'ку, т.е. очевидно, что кто-то прошёл либо напрямую, либо как-то получил доступ ко всей цепочке аутентификации (пароли сложные, хранятся в моей собственной хранилке, их ввод не требует клавиатуры и не показывается на экране. Сертификат на truecrypt лежит).
Звоню в банк, девушка выслушала, посмотрела и говорит: да, тут за последние несколько дней несколько подключений (не моих).
И говорит это с таким видом — будто это ок, и так и должно быть. Я её спрашиваю: вы считаете, что это нормально?
Она: ну я могу заблокировать доступ если хотите.
Ок, заблокировали доступ, пошёл в банк. Там такая-же реакция — ну типа да, есть такое, кто-то заходит, но вы не беспокойтесь, они пока ничего не украли. Если у вас есть вопросы о том, что делать — вот телефон, звоните. Звоню, мне там сообщают, что они могут предложить заблокировать доступ, а если есть вопросы — чтобы я шёл в сам банк.
Тут я немного опешил: получается, что какие-то мошенники орудуют, которые либо сложным образом получили доступ к данным, либо идут каким-то обходным путём, для меня данный способ доступа к банку получается скомпроментированным — а банку вообще до балды.
Мне эти деятели доказывали, что онлайн банк может не запрашивать смс-код. Это когда я звонил им и спрашивал почему меня пустили в онлайн после ввода пароля, но без смс-кода.
Здравствуйте, Qt-Coder, Вы писали:
QC>Мне эти деятели доказывали, что онлайн банк может не запрашивать смс-код. Это когда я звонил им и спрашивал почему меня пустили в онлайн после ввода пароля, но без смс-кода.
Здравствуйте, Qt-Coder, Вы писали:
QC>Мне эти деятели доказывали, что онлайн банк может не запрашивать смс-код. Это когда я звонил им и спрашивал почему меня пустили в онлайн после ввода пароля, но без смс-кода.
У меня такого ни разу не было. Ни онлайн-банкинге ВТБ24 для ИП, ни в телебанке ВТБ24 для физиков.
Здравствуйте, Nikе, Вы писали:
N>Тут я немного опешил: получается, что какие-то мошенники орудуют, которые либо сложным образом получили доступ к данным, либо идут каким-то обходным путём, для меня данный способ доступа к банку получается скомпроментированным — а банку вообще до балды.
У меня с ВТБ вообще все взаимоотношения оказывались строго неудачными. Доходило, что я не мог перевести деньги другому их клиенту, писал им отчёты с ошибкой, они завели тикет и замолчали. После три сотрудницы в отделении также не смогли осилить этот перевод и я от ВТБ окончательно ушёл. И это был баг именно у них, раньше такие переводы осуществлялись корректно до обновления их ПО.
В отделениях тоже всё уныло: приходилось стоять в очереди по 20 минут при 14 окнах, половина которых была пустой, в другой половине было всего 3 клиента на семерых. Через 20 минут меня всё таки принял свободный операционист, который занимался своими внутренними делами. Электронная очередь не избавляет от совка. Сбер работает на порядок лучше.
Здравствуйте, Nikе, Вы писали:
N>Всем привет. N>Подскажите — насколько нормально такое отношение:
У ВТБ самая слабая ИТ служба, с которой мне доводилось иметь дело в банках. У меня в интернет банке были транзации, которых я не делал. Служба поддержки сказала, что это нормально и они ничего делать не будут. У меня там был кредит, я его погасил и сразу попросиль удалить мой аккаунт в интернет банке. Они это сделать не смогли, мотивируя, что у меня его нет. Я продемонстировал вход на компьютере в банке, обещали перезвонить, вот уже год, как жду....
Здравствуйте, sushko, Вы писали:
S>У меня такого ни разу не было. Ни онлайн-банкинге ВТБ24 для ИП, ни в телебанке ВТБ24 для физиков.
Вот и я удивился, а по телефону барышня уверяла меня что все нормально.
Здравствуйте, sushko, Вы писали:
S>Есть система аутентификации, кто-то пытается ее сломать, у него это не получается и войти он все-таки не может.
логин,
два пароля,
сертификат на флешке вы находитесь здесь
смс'ку
Варианта два:
1) Злоумышленники каким-то образом смогли узнать логин, два пароля, получили сертификат. Ну может быть сломали как-то топикстартера.
2) Злоумышленники смогли обойти всё это и перейти непосредственно к проверке смс-ки.
Конечно же банк просто обязан выяснить какой из двух вариантов, потому что пока сохраняется вероятность второго варианта, банк по идее спать спокойно не может.
Если это всё же второй вариант, то вполне возможно они и смску смогут обойти.
S>Значит, проблемы-то особенной и нет?
4 фактора из 5 сломаны — как это нет???
S>Я бы на Вашем месте просто перегенерил бы сертификаты доступа к онлайн-банкингу.
Это однозначно стоит сделать. Но вообще, если в банке так относятся к безопасности, то я бы деньги оттуда забрал.
