Как стать автором
Обновить

ВТБ. Опасно vs безопасно

Уровень сложностиПростой
Время на прочтение7 мин
Количество просмотров13K

Так случилось, что мне пришлось озаботиться вопросом безопасности моих денежных средств, размещаемых в коммерческих банках. Причина, по которой я занялся данным вопросом – попал на мошенников, которые «подломив» мой личный кабинет в банке увели за 5 минут 60000 рублей. Для входа в личный кабинет банка мошенниками использовался номер карты, который я им дал (т.к. это не запрещено), а также код из sms (под убеждением, что всё безопасно).

Данную потерю воспринял, как оплата «практического курса» по информационной безопасности. По завершению курса задумался: «Где лучше хранить свои денежные средства?». С сайта ЦБ взял список системно значимых кредитных организаций. Т.к. живу в не большом городе, то из списка исключил кредитные организации, у которых отсутствует офис в городе. Также по субъективному мнению "заминусовал" Сбер и Альфа банк. В результате остановился на банке ВТБ.

ВТБ привлек тем, что у него есть:

  • мастер-счет – банковский (текущий) счет физического лица, предусматривающий совершение операций, не связанных с осуществлением предпринимательской деятельности, открываемый Клиенту при заключении ДКО на основании договора банковского счета;

  • текущий счет.

Также ВТБ заинтересовал:

  • широкий список ограничений операций на перевод и платежи;

  • возможность открыть 5 счетов бесплатно.

В моей картинке мира сложилось, что в ВТБ:

  • мастер-счет – это администратор системы, который имеет полный доступ к личному кабинету Банка и может выполнять все легитимные действия без ограничений.

  • текущий счет – это пользователи системы, которые могут выполнять действия согласно их доступам и ролям.

Следовательно, мои ожидания при работе с ВТБ Онлайн и мобильного приложения ВТБ (далее МП ВТБ) были следующими:

Карты

ВТБ Онлайн

МП ВТБ

Примечание

Карта к мастер-счету

Полный доступ ко всем моим счетам и продуктам банка.

Полный доступ ко всем моим счетам и продуктам банка.

Основная карта к текущему счету

Операции могут выполняться только по текущему счету в пределах установленных лимитов.

Операции могут выполняться только по текущему счету в пределах установленных лимитов.

Виртуальная карта к текущему счету

-

-

Ожиданий не было. Простое любопытство показало, что вход запрещен. Данный факт будет использован в моих выводах.

Для подтверждения своей гипотезы к мастер-счету я получил карту в банке ВТБ. К текущему счету открыл основную (именную). Дополнительно к мастер-счету и текущему счету открыл соответственно виртуальную карту.

В рамках проверки моих ожиданий предлагаю ввести термины:

  • пользователь мастер-счета – это клиент Банка, у которого есть основная и/или дополнительная карта, которая привязана к мастер-счету;

  • пользователь счета – это клиент Банка, у которого есть основная и/или дополнительная карта, которая привязана к текущему счету.

Выполнил проверки (см. Таблица 2) в ВТБ Онлайн и МБ ВТБ.

Выводы для ВТБ Онлайн

Положительные моменты:

  • Есть двухфакторная аутентификация.

Отрицательные моменты:

  • отсутствует возможность установить отдельный пароль для пользователя мастер-счета и пользователя счета, т.к. используется единый пароль (см. п. 1.1);

  • отсутствуют ограничения по доступу к информации по счетам в ВТБ Онлайн (см п. 1.3);

  • присутствует разная логика работы ВТБ Онлайн с работой МП ВТБ;

  • отсутствует подтверждение на изменение лимитов по счетам клиента.

Выводы для МП ВТБ

Положительные моменты:

  • вход в МП ВТБ через номер виртуальной карты запрещен.

Отрицательные моменты:

  • отсутствует двухфакторная аутентификация;

  • пользователь счета может изменять лимиты по переводам и платежам(!);

  • отсутствуют ограничения по доступу к информации по счетам в ВТБ Онлайн;

  • присутствует разная логика работы МП ВТБ с работой ВТБ Онлайн;

  • отсутствует подтверждение на изменение лимитов по счетам клиента.

Общие выводы

ВТБ Онлайн и МП ВТБ – это дуршлаг из уязвимостей. Этот вывод подтверждают новости от ВТБ за 30.03.2023 и 07.04.2023. В головах ВТБ хаос и нет общей концепции работы ВТБ Онлайн и МП ВТБ. Есть зачатки по разделению доступов, но это на столько не очевидные вещи, что можно сказать, что их в настоящее время нет.

Единственный положительный момент моих изысканий - вход в МП ВТБ через номер виртуальной карты запрещен. Надеюсь это не погубят в следующих доработках.

Вывод: при текущей реализации ВТБ Онлайн и МП ВТБ опасно для хранения денежных средств в банке ВТБ.

Не много эмоций по текущей теме

ВТБ по каким-то причинам не желает отвадить мошенников от своих клиентов. ВТБ приятнее написать портрет клиентов, которые попадаются на уловки мошенников, чем составить портрет мошенника и включить этот портрет в антифрод.

ВТБ, вы действительно считаете «… рассказывать об активности мошенников – важная превентивная мера, которая позволяет уберечь других клиентов от хищений»? А вы не задумались, что для защиты клиентов от мошенников в ВТБ Онлайн и МП ВТБ добавить:

  • добавить двухфакторную аутентификацию для МП ВТБ;

  • изменение лимитов с sms-подтверждением, как это сделано в банке «Открытие»;

  • разграничение доступов мастер-счета и текущего счета, как это сделано в Альфа-Банк;

  • разграничение входа в ВТБ Онлайн и МП ВТБ для мастер-счета и текущего счета;

  • freezing-период для списаний со счетов при входе в ВТБ Онлайн и МП ВТБ с новых устройств и подтверждением через телефонный звонок клиенту?

Как по мне, то реализация freezing-период (например, от 2 до 5 рабочих дней) для списаний со счетов при входе в ВТБ Онлайн и МП ВТБ с новых устройств и подтверждением через телефонный звонок клиенту позволит сохранить денежные средства ваших клиентов. Что мешает добавить в вашу систему в антифрод проверки на вход ВТБ Онлайн и МП ВТБ с новых устройств с подтверждением этих операций через звонок (да еще зная портрет мошенников)?

ВТБ в новости от 07.04.2023 заявил, что «планирует предоставить клиентам возможность самостоятельно устанавливать самоограничения на дистанционное кредитование». Заявление хорошее, но только техническая поддержка ВТБ ничего про это не знает и не может назвать дату анонса. Буду следить за данной темой и обязательно ею воспользуюсь при первой же возможности.

Прошу представителей ВТБ под статьей не извиняться за сложившуюся ситуацию. Я всего лишь выполнил вашу работу по тестированию ВТБ Онлайн и МП ВТБ на предмет безопасности. Очень хочу видеть от представителей ВТБ сообщения типа: «Устранена такая-то уязвимость. Рекомендуем обновить МП ВТБ до версии ХХ.XX.X.X.», а не ваши извинения.

Таблица 2. Результаты проверок по состоянию на 12.03.2023

Наименование проверок

Мастер счет

Текущий счет

Примечание

Базовая (основная) карта

Виртуальная карта1

Основная карта

Виртуальная карта

1. ВТБ Онлайн

1.1 Регистрация:
- Номер карты;
- Пароль;
- Код из SMS.

Вход выполнен.

-

Вход выполнен.

Вход не выполнен. Ограничение системы

Пароль при регистрации через номер карты мастер-счета и текущего счета одинаковый.
Вывод: пароль единый для входа в ВТБ Онлайн и он привязан к УНК.
Следовательно, по большому счету нельзя разделить вход в ВТБ Онлайн для клиента и для третьих лиц (родственников).

1.2. Раздел «Клиент»

1.2.1 Подраздел «Профиль»

Есть данные основного номера телефона, email, адреса проживания

Отсутствуют данные основного номера телефона, email, адреса проживания

1.2.2 Подраздел «Документы»

Есть данные о моих документах: паспорт РФ, ИНН, СНИЛС

Отсутствует информация о моих документах.

1.2.3 Подраздел «Настройки»

1.2.3.1 «Уведомление»

Управление уведомлениями.

Есть управление уведомлениями. Зачем это сделано?

1.2.3.2 «Безопасность»:

- Вход в приложение:
-- логин;
-- заблокировать учетную
запись.

Изменение логина

Почему можно изменить логин, если он предоставляется для мастер-счета?

- Управление лимитами

Изменение лимитов

Отсутствует возможность изменить лимиты

Это правильно.

1.2.3.3 Переводы по номеру телефона

Настройка СБП

Почему доступны настройки СБП?

1.3 Раздел «Главный»

Видны все счета и продукты банка

По умолчанию видны все счета. Есть возможность открыть новые продукты. Зачем это сделано?

1.3.1 Подраздел «Последние операции»

Полный доступ к истории по всем счетам

Полный доступ к истории по всем счетам Клиента

1.4 Раздел «Платежи»

1.4.1 Перевод между своими счетами

Полный доступ ко всем счетам

Полный доступ ко всем счетам.

Отсутствует ограничение доступа на перевод с других счетов Клиента.

1.4.2 Перевод по номеру телефона, карты, счета

Полный доступ ко всем счетам при выполнении перевода

Полный доступ ко всем счетам Клиента.

Отсутствует ограничение доступа на перевод с других счетов Клиента.

1.5 Раздел «История»

Полный доступ к истории по всем счета

Полный доступ к истории по всем счетам Клиента.

Отсутствует ограничение доступа к истории по счетам.

1.6. Раздел «Справки»

Можно заказать справки по счетам и продуктам Банка

При запросе справок можно получить информацию по всем счета и продуктам Банка

1.7. Раздел «Сервисы»

Полный доступ ко всем продуктам Банка

Полный доступ ко всем продуктам Банка

2. Мобильное приложение ВТБ (версия 17.11.1.0)

2.1 Регистрация
- Номер карты;
- Пароль из SMS

Вход выполнен. Предлагает выбрать пакеты уведомлений «Карты+», «Базовый»

Вход выполнен. Предлагает выбрать пакеты уведомлений «Карты+», «Базовый»

Отсутствует двухфакторая аутентификация. Зачем предоставляется выбор пакета уведомлений для карты к текущему счету?

2.2. Раздел «Клиент»

2.2.1 Подраздел «Основное»

Видны данные основного номера телефона, email, адреса проживания

Видны данные основного номера телефона, email, адреса проживания

Есть отличия в работе ВТБ Онлайн и мобильное приложение для карты к текущему счету

2.2.2 Подраздел «Документы»

Видны данные паспорта РФ, ИНН, СНИЛС, Мои договоры, Заказ справок

Видны данные паспорта РФ, ИНН, СНИЛС, Мои договоры, Заказ справок

Есть отличия в работе ВТБ Онлайн и мобильное приложение для карты к текущему счету

2.2.3 Подраздел «Настройки»

2.2.3.1 «Уведомление»

Управление уведомлениями.

Есть управление уведомлениями. Зачем это сделано?

2.2.3.2 «Безопасность»:
- Вход в приложение:

-- логин;
-- заблокировать учетную
запись.

Почему можно изменить логин?

- Управление лимитами

Почему есть возможность управлять общими лимитами?

Есть отличия в работе ВТБ Онлайн и мобильное приложение для карты к текущему счету

2.2.3.3 Переводы по номеру телефона

Почему доступны настройки СБП?

2.3 Раздел «Главный»

Видны все счета и есть возможно открыть новые продукты.

Видны все счета и есть возможно открыть новые продукты.

Отсутствует ограничение доступа к счетам. Нельзя ограничить доступ к продуктам Банка для карты текущего счета.

2.4 Раздел «Платежи»

2.4.1 Перевод между своими счетами

Полный доступ ко всем счетам Клиента.

Отсутствует ограничение доступа на перевод с других счетов Клиента.

2.4.2 Перевод по номеру телефона, карты, счета

Полный доступ ко всем счетам Клиента.

Отсутствует ограничение доступа на перевод с других счетов Клиента.

2.5. Раздел «Услуги»

Полный доступ ко всем продуктам Банка

3. Банкомат

Выписка по карте

Формируется только по текущей карте

Формируется только по текущей карте

Всё честно и правильно.

Примечание:
1. Проверка не выполнялась.

Теги:
Хабы:
Всего голосов 28: ↑7 и ↓21-12
Комментарии51

Публикации

Истории

Работа

Ближайшие события

2 – 18 декабря
Yandex DataLens Festival 2024
МоскваОнлайн
11 – 13 декабря
Международная конференция по AI/ML «AI Journey»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань