Сегодня меня попытались "развести" интернет-мошенники. Схема обычная и нехитрая - "у вас скомпрометирована карта, пришлите код из СМС чтобы мы заблокировали операцию". Код, естественно, никуда не ушел, но мне стало любопытно какие же мои данные "утекли" и что с подобным кодом могли сделать жулики, я проверил - и мне стало реально страшно.
Итак, господа, что нужно мошенникам для того чтобы полностью скомпрометировать все ваши счета в Альфа-Банке? Как оказалось всего две вещи: номер любой Вашей карты и код из одной СМС. То есть если у Вас банально выхватят из руки телефон с вложенной в обложку картой Альфа-Банка (либо бумажник с телефоном отожмут гопники) то Вы вполне можете помахать всем своим сбережениям белым платочком а заодно получить уникальную возможность ближайшие несколько лет оплачивать долги другого человека. А в схеме с изготовлением дубликата сим-карты мошенникам не понадобится ничего даже красть - Вы узнаете о случившимся постфактум, когда утром заметите что за ночь почему-то перестал ловить сеть Ваш телефон. Одна чертова СМС и знание номера счета или карты - это вся защита которую нужно обойти злоумышленникам. Пароли? Биометрия? Виртуальные карты и лимиты на расходы? Все это у банка существует лишь для видимости безопасности поскольку полностью перекрывается одним-единственным кодом из СМС.
Осознав это и вздрогнув от того что тщательно продуманные и оберегаемые пароли меня на самом деле ни от чего не защищают, я попробовал повторить тот же фокус со Сбербанком. И Вы знаете что? Оказалось что эта же схема прекрасно работает и со Сбербанком тоже. Последовательность необходимых шагов для этого оказалась чуть-чуть длиннее чем в Альфе, которая предлагает такой вариант прямо на заглавной странице, но принцип был тот же. СМС - это единственная защита которую предлагает банк. И как пишут, такая беда, собственно, сегодня практически у всех банков. Увы.
Господа банкиры, я все понимаю, удобство клиента - это очень важно, но Вам не кажется что безопасность клиента - это все-таки немного важнее? Нельзя ли заиметь хотя бы опциональную фичу запрещающую "восстановление пароля" по СМС, без физического визита владельца в отделение банка? Или, как это делает Google, опционально завязав эту возможность на физический токен по типу YubiKey? Да хотя бы начать присылать пароль для входа на указанную при регистрации в банке почту вместо того чтобы предлагать ввести его самостоятельно? И да, я понимаю что банк "в случае чего" ни за что не отвечает так что ему глубоко фиолетово то, насколько надежно устроена авторизация, но я обещаю что по крайней мере я переведу свои довольно заметные сбережения к первому серьезному банку, который реализует нормальную защиту.
Господа пользователи, я читал на Хабре не одну статью о проблемах с безопасностью СМС-авторизации, но даже прочитав их, до сегодняшнего дня недостаточно предоставлял себе масштаб проблемы. Если у Вас есть в банках средства, которые Вам жалко потерять, то во-первых, отключите прямо сейчас показ уведомлений на экране блокировки, во-вторых, прямо сейчас установите на сим-карту пароль, а в-третьих, в ближайшее время зайдите в офис своего мобильного оператора и заблокируйте переоформление сим-карты по доверенности. Я откладывал это действие не один месяц, а сейчас понимаю что был идиотом. Это не защитит Вас полностью (мошенник всегда может переставить симку и выудить PUK через социнженерию у опсоса) но хотя бы даст Вам больше времени на то чтобы успеть обратиться в банк с просьбой отключить интернет-банкинг и поможет оставить больше "следов" указывающих на мошенничество. И напишите в техподдержку своего банка жалобу. Текущий уровень безопасности онлайн-банков - это полное днище. Спишут всё и повесят на Вас огромный кредит на все то щедрое онлайн-предложение, которое банки так любят предоставлять айтишникам.
Если у Вас есть идеи, как еще можно обезопасить свои счета - то пишите об этом в комментариях.