Так случилось, что мне пришлось озаботиться вопросом безопасности моих денежных средств, размещаемых в коммерческих банках. Причина, по которой я занялся данным вопросом – попал на мошенников, которые «подломив» мой личный кабинет в банке увели за 5 минут 60000 рублей. Для входа в личный кабинет банка мошенниками использовался номер карты, который я им дал (т.к. это не запрещено), а также код из sms (под убеждением, что всё безопасно).
Данную потерю воспринял, как оплата «практического курса» по информационной безопасности. По завершению курса задумался: «Где лучше хранить свои денежные средства?». С сайта ЦБ взял список системно значимых кредитных организаций. Т.к. живу в не большом городе, то из списка исключил кредитные организации, у которых отсутствует офис в городе. Также по субъективному мнению "заминусовал" Сбер и Альфа банк. В результате остановился на банке ВТБ.
ВТБ привлек тем, что у него есть:
мастер-счет – банковский (текущий) счет физического лица, предусматривающий совершение операций, не связанных с осуществлением предпринимательской деятельности, открываемый Клиенту при заключении ДКО на основании договора банковского счета;
текущий счет.
Также ВТБ заинтересовал:
широкий список ограничений операций на перевод и платежи;
возможность открыть 5 счетов бесплатно.
В моей картинке мира сложилось, что в ВТБ:
мастер-счет – это администратор системы, который имеет полный доступ к личному кабинету Банка и может выполнять все легитимные действия без ограничений.
текущий счет – это пользователи системы, которые могут выполнять действия согласно их доступам и ролям.
Следовательно, мои ожидания при работе с ВТБ Онлайн и мобильного приложения ВТБ (далее МП ВТБ) были следующими:
Карты | ВТБ Онлайн | МП ВТБ | Примечание |
Карта к мастер-счету | Полный доступ ко всем моим счетам и продуктам банка. | Полный доступ ко всем моим счетам и продуктам банка. | |
Основная карта к текущему счету | Операции могут выполняться только по текущему счету в пределах установленных лимитов. | Операции могут выполняться только по текущему счету в пределах установленных лимитов. | |
Виртуальная карта к текущему счету | - | - | Ожиданий не было. Простое любопытство показало, что вход запрещен. Данный факт будет использован в моих выводах. |
Для подтверждения своей гипотезы к мастер-счету я получил карту в банке ВТБ. К текущему счету открыл основную (именную). Дополнительно к мастер-счету и текущему счету открыл соответственно виртуальную карту.
В рамках проверки моих ожиданий предлагаю ввести термины:
пользователь мастер-счета – это клиент Банка, у которого есть основная и/или дополнительная карта, которая привязана к мастер-счету;
пользователь счета – это клиент Банка, у которого есть основная и/или дополнительная карта, которая привязана к текущему счету.
Выполнил проверки (см. Таблица 2) в ВТБ Онлайн и МБ ВТБ.
Выводы для ВТБ Онлайн
Положительные моменты:
Есть двухфакторная аутентификация.
Отрицательные моменты:
отсутствует возможность установить отдельный пароль для пользователя мастер-счета и пользователя счета, т.к. используется единый пароль (см. п. 1.1);
отсутствуют ограничения по доступу к информации по счетам в ВТБ Онлайн (см п. 1.3);
присутствует разная логика работы ВТБ Онлайн с работой МП ВТБ;
отсутствует подтверждение на изменение лимитов по счетам клиента.
Выводы для МП ВТБ
Положительные моменты:
вход в МП ВТБ через номер виртуальной карты запрещен.
Отрицательные моменты:
отсутствует двухфакторная аутентификация;
пользователь счета может изменять лимиты по переводам и платежам(!);
отсутствуют ограничения по доступу к информации по счетам в ВТБ Онлайн;
присутствует разная логика работы МП ВТБ с работой ВТБ Онлайн;
отсутствует подтверждение на изменение лимитов по счетам клиента.
Общие выводы
ВТБ Онлайн и МП ВТБ – это дуршлаг из уязвимостей. Этот вывод подтверждают новости от ВТБ за 30.03.2023 и 07.04.2023. В головах ВТБ хаос и нет общей концепции работы ВТБ Онлайн и МП ВТБ. Есть зачатки по разделению доступов, но это на столько не очевидные вещи, что можно сказать, что их в настоящее время нет.
Единственный положительный момент моих изысканий - вход в МП ВТБ через номер виртуальной карты запрещен. Надеюсь это не погубят в следующих доработках.
Вывод: при текущей реализации ВТБ Онлайн и МП ВТБ опасно для хранения денежных средств в банке ВТБ.
Не много эмоций по текущей теме
ВТБ по каким-то причинам не желает отвадить мошенников от своих клиентов. ВТБ приятнее написать портрет клиентов, которые попадаются на уловки мошенников, чем составить портрет мошенника и включить этот портрет в антифрод.
ВТБ, вы действительно считаете «… рассказывать об активности мошенников – важная превентивная мера, которая позволяет уберечь других клиентов от хищений»? А вы не задумались, что для защиты клиентов от мошенников в ВТБ Онлайн и МП ВТБ добавить:
добавить двухфакторную аутентификацию для МП ВТБ;
изменение лимитов с sms-подтверждением, как это сделано в банке «Открытие»;
разграничение доступов мастер-счета и текущего счета, как это сделано в Альфа-Банк;
разграничение входа в ВТБ Онлайн и МП ВТБ для мастер-счета и текущего счета;
freezing-период для списаний со счетов при входе в ВТБ Онлайн и МП ВТБ с новых устройств и подтверждением через телефонный звонок клиенту?
Как по мне, то реализация freezing-период (например, от 2 до 5 рабочих дней) для списаний со счетов при входе в ВТБ Онлайн и МП ВТБ с новых устройств и подтверждением через телефонный звонок клиенту позволит сохранить денежные средства ваших клиентов. Что мешает добавить в вашу систему в антифрод проверки на вход ВТБ Онлайн и МП ВТБ с новых устройств с подтверждением этих операций через звонок (да еще зная портрет мошенников)?
ВТБ в новости от 07.04.2023 заявил, что «планирует предоставить клиентам возможность самостоятельно устанавливать самоограничения на дистанционное кредитование». Заявление хорошее, но только техническая поддержка ВТБ ничего про это не знает и не может назвать дату анонса. Буду следить за данной темой и обязательно ею воспользуюсь при первой же возможности.
Прошу представителей ВТБ под статьей не извиняться за сложившуюся ситуацию. Я всего лишь выполнил вашу работу по тестированию ВТБ Онлайн и МП ВТБ на предмет безопасности. Очень хочу видеть от представителей ВТБ сообщения типа: «Устранена такая-то уязвимость. Рекомендуем обновить МП ВТБ до версии ХХ.XX.X.X.», а не ваши извинения.
Таблица 2. Результаты проверок по состоянию на 12.03.2023
Наименование проверок | Мастер счет | Текущий счет | Примечание | ||
Базовая (основная) карта | Виртуальная карта1 | Основная карта | Виртуальная карта | ||
1. ВТБ Онлайн | |||||
1.1 Регистрация: | Вход выполнен. | - | Вход выполнен. | Вход не выполнен. Ограничение системы | Пароль при регистрации через номер карты мастер-счета и текущего счета одинаковый. |
1.2. Раздел «Клиент» | |||||
1.2.1 Подраздел «Профиль» | Есть данные основного номера телефона, email, адреса проживания | Отсутствуют данные основного номера телефона, email, адреса проживания | |||
1.2.2 Подраздел «Документы» | Есть данные о моих документах: паспорт РФ, ИНН, СНИЛС | Отсутствует информация о моих документах. | |||
1.2.3 Подраздел «Настройки» | |||||
1.2.3.1 «Уведомление» | Управление уведомлениями. | Есть управление уведомлениями. Зачем это сделано? | |||
1.2.3.2 «Безопасность»: | |||||
- Вход в приложение: | Изменение логина | Почему можно изменить логин, если он предоставляется для мастер-счета? | |||
- Управление лимитами | Изменение лимитов | Отсутствует возможность изменить лимиты | Это правильно. | ||
1.2.3.3 Переводы по номеру телефона | Настройка СБП | Почему доступны настройки СБП? | |||
1.3 Раздел «Главный» | Видны все счета и продукты банка | По умолчанию видны все счета. Есть возможность открыть новые продукты. Зачем это сделано? | |||
1.3.1 Подраздел «Последние операции» | Полный доступ к истории по всем счетам | Полный доступ к истории по всем счетам Клиента | |||
1.4 Раздел «Платежи» | |||||
1.4.1 Перевод между своими счетами | Полный доступ ко всем счетам | Полный доступ ко всем счетам. | Отсутствует ограничение доступа на перевод с других счетов Клиента. | ||
1.4.2 Перевод по номеру телефона, карты, счета | Полный доступ ко всем счетам при выполнении перевода | Полный доступ ко всем счетам Клиента. | Отсутствует ограничение доступа на перевод с других счетов Клиента. | ||
1.5 Раздел «История» | Полный доступ к истории по всем счета | Полный доступ к истории по всем счетам Клиента. | Отсутствует ограничение доступа к истории по счетам. | ||
1.6. Раздел «Справки» | Можно заказать справки по счетам и продуктам Банка | При запросе справок можно получить информацию по всем счета и продуктам Банка | |||
1.7. Раздел «Сервисы» | Полный доступ ко всем продуктам Банка | Полный доступ ко всем продуктам Банка | |||
2. Мобильное приложение ВТБ (версия 17.11.1.0) | |||||
2.1 Регистрация | Вход выполнен. Предлагает выбрать пакеты уведомлений «Карты+», «Базовый» | Вход выполнен. Предлагает выбрать пакеты уведомлений «Карты+», «Базовый» | Отсутствует двухфакторая аутентификация. Зачем предоставляется выбор пакета уведомлений для карты к текущему счету? | ||
2.2. Раздел «Клиент» | |||||
2.2.1 Подраздел «Основное» | Видны данные основного номера телефона, email, адреса проживания | Видны данные основного номера телефона, email, адреса проживания | Есть отличия в работе ВТБ Онлайн и мобильное приложение для карты к текущему счету | ||
2.2.2 Подраздел «Документы» | Видны данные паспорта РФ, ИНН, СНИЛС, Мои договоры, Заказ справок | Видны данные паспорта РФ, ИНН, СНИЛС, Мои договоры, Заказ справок | Есть отличия в работе ВТБ Онлайн и мобильное приложение для карты к текущему счету | ||
2.2.3 Подраздел «Настройки» | |||||
2.2.3.1 «Уведомление» | Управление уведомлениями. | Есть управление уведомлениями. Зачем это сделано? | |||
2.2.3.2 «Безопасность»: -- логин; | Почему можно изменить логин? | ||||
- Управление лимитами | Почему есть возможность управлять общими лимитами? | Есть отличия в работе ВТБ Онлайн и мобильное приложение для карты к текущему счету | |||
2.2.3.3 Переводы по номеру телефона | Почему доступны настройки СБП? | ||||
2.3 Раздел «Главный» | Видны все счета и есть возможно открыть новые продукты. | Видны все счета и есть возможно открыть новые продукты. | Отсутствует ограничение доступа к счетам. Нельзя ограничить доступ к продуктам Банка для карты текущего счета. | ||
2.4 Раздел «Платежи» | |||||
2.4.1 Перевод между своими счетами | Полный доступ ко всем счетам Клиента. | Отсутствует ограничение доступа на перевод с других счетов Клиента. | |||
2.4.2 Перевод по номеру телефона, карты, счета | Полный доступ ко всем счетам Клиента. | Отсутствует ограничение доступа на перевод с других счетов Клиента. | |||
2.5. Раздел «Услуги» | Полный доступ ко всем продуктам Банка | ||||
3. Банкомат | |||||
Выписка по карте | Формируется только по текущей карте | Формируется только по текущей карте | Всё честно и правильно. |
Примечание:
1. Проверка не выполнялась.