Ваш телефон — ключ к вашим деньгам или о безопасности входа в мобильное приложение Сбербанка

    Представьте ситуацию: оставили вы на 5 минут без присмотра телефон (например, на зарядке). Возвращаетесь и видите SMSку о переводе крупной суммы денег 3-ему лицу. Представили? А это ведь легко может быть реальностью… В статье пойдёт речь о не очень безопасной системе входа в мобильное приложение Сбербанка, дабы предупредить пользователей о возможности финансовых потерь.

    После того, как у меня затупил телефон, мне пришлось сбросить его к заводским настройкам. Установив из Play-маркета приложение «Сбербанк Онлайн», и прождав значительное время, пока приложение сканирует телефон на наличие вирусов, создаётся полное ощущение, что тут всё хорошо с безопасностью. Но каково же было моё удивление, когда после ввода логина и готовности ввести пароль, вместо него меня просят ввести SMS-код, который тут же пришёл на этот же телефон!

    Сначала я подумал, что возможно где-то на карте памяти сохранился какой-нибудь идентификатор сессии, из-за которого не надо проходить процедуру ввода пароля, а достаточно пройти упрощённую процедуру подтверждения по SMS. Но это было не так.

    Тогда мы с коллегой решили проверить на его телефоне, смогу ли я войти в его приложение. Мы берём его телефон, открываем приложение, выбираем «Сменить пользователя» в меню, вводим логин (который секретным не является и используется им на разных сервисах). И, бинго, опять вводим SMS-код и оказываюсь внутри приложения с полным доступом ко всем финансам! Всё дело заняло пару минут времени.

    А как же блокировка телефона по паролю/секретному ключу/отпечатку пальца, спросите вы? Ну во-первых, дело тут не в устройстве а SIM-карте. И полный возврат к заводским настройкам также может свести на нет всю защиту, просто это будет немного дольше.

    Кроме того, в ОС куча приложений, которые просят разрешений на чтение SMS. Не удивлюсь, если появится вирус, способный сымитировать вход в приложение с чтением и последующим входом кода из SMS.

    А что Сбербанк?


    Через обратную связь я писал дважды об этой проблеме сбербанку и оставил отзыв на banki.ru. Но сбербанк судя по всему не считает это проблемой. Кроме того, в условиях использования был найден следующий пункт:

    Не совмещайте устройства доступа к системе «Сбербанк Онлайн» и устройства получения SMS-сообщений с подтверждающим одноразовым паролем (например, мобильный телефон, смартфон или планшет). Для мобильных устройств созданы специализированные версии системы.
    При утрате мобильного телефона, на который Вы получаете сообщения с SMS-паролем, сразу же обратитесь к оператору сотовой связи и заблокируйте SIM-карту.

    То есть фактически приложение нельзя ставить на тот же телефон, на который приходят SMS-ки.

    Выводы


    Выводы можно сделать только такие — держите телефон всегда при себе, даже когда решили выйти на 5 минут в туалет. Не устанавливайте приложений с доступом к SMS. А ещё лучше — получайте SMS с кодами на кнопочный телефон без приложений.
    Стоит ли у вас блокировка на телефоне с мобильным приложением банка?

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 234
    • +8
      Представьте ситуацию: оставили вы на 5 минут без присмотра телефон кошелек

      Думаю так оно получше будет.
      • 0
        И к слову, если вы потеряете к примеру кошелек с пятьюдесятью тысячами рублей, то вероятность этих денег никогда не увидеть гораздо больше чем опустошение счета нашедшим ваш телефон прохожим.
        • +1
          Все же, суммы, хранящиеся в кошельке и на счету в банке, могут отличаться на несколько порядков. Это имеет значение.
          • 0
            Бесспорно, для меня к примеру уже давно телефон = кошелек и ни то ни другое я не оставляю без присмотра в малознакомых мне местах, более того у меня отключены всякие глупые переводы по СМС и авторизацию по придуманному мной паролю запрашивает как само приложение (к слову не только сберовское), так и телефон при разблокировке.
            Я думаю при утрате телефона у меня будет достаточно времени для блокировки как счетов так и симкарты.
            • +1
              На сколько я помню, там суточное ограничение в 100 000₽. Так что не на порядок, а в два раза.
              *при условии, что за сутки вы заметите пропажу телефона и обратитесь в банк за блокировкой
          • +1
            Для того что бы получать ваши SMS физический доступ к вашей SIM карте не нужен.
            geektimes.ru/post/288913

            Более того, вполне работоспособной может оказаться схема с дубовым перевыпуском SIM карты по липовой доверенности.
            У меня ломалась карта Мегафон и я заказал новую — ни один банк-клиент подмены не заметил (Альфа-банк, Тинькофф).
            • 0
              менял симку со сменой телефона (размер не тот) — тинькофф заблокировал мобильный банк до звонка в коллцентр с подтверждением.
          • 0

            благо на самсах есть knox, туда его и запихнул.
            осталось отрубить перевод по смс на 900.

            • 0
              А это можно как-то сделать? В Сбербанке заявили, что если подключена услуга «Мобильный банк», то такие смс отключить нельзя.
              • +1
                Это называется «быстрый платеж». Нужно отправить «ноль» на 900 для отключения.
                • 0
                  Более того, в Сбере мне сообщили, что при отключении опции мобильный платеж (SMS на номер 900) автоматически отключатся и Сбербанк-онлайн (банк на компьютере) и Сбербанк-мобайл (на телефоне).
                  При этом мобильный платеж — это огромная дыра в безопасности: если за небольшую мзду сотруднику перевыпустить вашу симкарту (например, в желтом салоне связи в городке Кукуево), то можно переводить деньги с вашего счета просто отправляя SMS. Не нужен не только логин-пароль, но и сам телефон.
                  Единственный вариант который удалось найти для закрытия этой дыры — это установить нулевые лимиты на перевод в мобильном платеже (можно сделать через call центр).
                  • 0

                    Перевыпустите симку и попробуйте сделать перевод. Удивитесь

                    • 0
                      Зависит от региона, как банка, так и симки.
                      • 0
                        Мы про разве не про Сбербанк говорим тут?
                        • 0
                          Сбербанк тоже поделён на регионы, и в разных регионах может действовать разная политика.
                      • 0
                        подтверждаю — после потери телефона и замены сим-карты пришлось заново всё отключать и подключать в сбербанке

                        непонятно, какой именно «логин» у автора является «общеизвестным и используетс яна разных сервисах» — в мобильном банке надо знать банковский идентификатор/создать таковой, при этом смс приходит на номер, подключенный через банкомат к карте.
                        • +1
                          Я менял симку раз, жена меняла уже раза три — Сбербанк может и узнал об этом, но вида не подал.
                          Выше правильно всё написали — зависит от региона и года.
                          • 0
                            мне в любом случае непонятно, какой такой «общеизвестный» логин использует автор для входа в приложение сбербанка.
                            несколько раз после обновления приложения приходилось заново регистрироваться, по почти полному циклу: логин-пароль, смс, пятизначный код для входа в приложение.
                            да, в защите куча других дыр, но для всех нужен физический доступ к карте и знание пин-кода — привязать телефон в банкомате. все остальные дыры — в «прокладке между креслом и рулём/экраном»
                            • 0
                              К логину народ проще относится, его не скрывают так, как пароль. И, как я понял из топика, при установке приложения пароль не просят, только логин и код из смски. Так что вынимаем симку из чужого телефона, вставляем в свой, устанавливаем приложение, вводим логин, а пароль сам придёт на этот же телефон.
                              • 0
                                Логин многие используют один и тот же, и мало кто заботится о том чтобы он был сложным и секретным. В частности у коллеги логин был абсолютно такой же как в Telegram.
                                • 0
                                  Я пользуюсь тем, который мне банк выдал. И не уверен что много народу его меняет.
                                  Кроме того, в таком случае необходимо знать жертву, со случайным не прокатит.
                                  • 0
                                    вынимаем симку из чужого телефона, вставляем в свой
                                    ну это вообще дырень в «прокладке» же — пин-код на сим-карту с деньгами не ставить :)
                                    Я пользуюсь тем, который мне банк выдал
                                    я тоже, но он ведь не «общедоступный»? я его больше нигде не использую, даже не записывал — утечка только на уровне банка может быть, либо, опять же — физический доступ к карте и знание пин-кода карты
                                    • 0
                                      Я пользуюсь тем, который мне банк выдал. И не уверен что много народу его меняет.

                                      А если банки будут смену логина предлагать. А большинство сменит как попроще, что используют на других сайтах… как в соц сетях.


                                      Другой вектор атаки при установке логина самим пользователем.


                                      Кроме того, в таком случае необходимо знать жертву, со случайным не прокатит.

                                      Да у нас (в реальности) целые базы (соц сети, сайты, скидочные карты.....) — логин или адрес электронной почты, и номер телефона. Остается только перехватывать СМС на телефонные номера.

                          • 0
                            Между прочим это действительно стоит проверить.
                            Вот например когда у меня поломалась симка Мегафон, ни Альфа-банк, ни Тинькофф ничего не заметили.
                          • 0
                            Не путайте «мобильный банк» и «быстрый платеж». Для приема SMS от сбера (с кодами) должен быть подключен хотя бы экономичный пакет мобильного банка. Но перевод по SMS — это отдельная опция «быстрый платеж», которая подключается одновременно с подключением мобильного банка, но ее можно отключить
                          • 0
                            А это можно как-то сделать?

                            В личном кабинете (в онлайн-банке) в настройках безопасности, если память не изменяет.
                            • 0
                              Да, остаётся только пополнение своего номера, так что 15к увести при перевыпуске всё равно смогут.
                              • 0
                                остаётся только пополнение своего номера

                                Не знал, думал всё отрубается.
                                • 0
                                  Точнее, остается:
                                  — просмотр инфы по картам, перевод между своими картами, блокировка карт, блокировка мобильного банка
                                  — пополнение своего номера
                                  — SMS-шаблоны (создаются через СБ.О, в банкомате, или контакт-центре)

                                  Под вопросом еще переводы во всякие фонды-teztour-ЕИРЦ. Из мануалов не ясно, остается ли возможность переводить по ним, если опция отключена.
                                  • 0
                                    На самом деле при уводе номера (перевыпуске симки например) всё это не имеет значения, т.к. злоумышленник получает доступ в онлайн-банк, где доступно всё.

                                    А вот от спонтанных переводов с временно бесхозного телефона, а так же от массы зловредов с доступом к СМС вполне спасёт.
                                    • 0
                                      злоумышленник получает доступ в онлайн-банк

                                      Только если знает логин. А логин в принципе нигде не отображается и не требуется, кроме формы авторизации в СБ.О и в мобильном приложении. Если ваш логин очевиден, совпадает с ником или логином в других сервисах — ну так ССЗБ.

                                      Скорее злоумышленник получит доступ к почте, большинство почтовых ящиков как раз для восстановления требуют только доступ к симке, даже логина знать не требуется
                            • 0
                              > благо на самсах есть knox, туда его и запихнул.

                              А он же вроде все, не поддерживается и закрывается уже?
                              • 0

                                это в свежих моделях перешли на новый, у меня старый и так и будет работать.

                            • +2
                              Ну вообще весь смысл двухфакторной авторизации пропадает, если вы получаете код на тот же телефон, где установлено приложение. В чем уязвимость-то?
                              • +4
                                При двухфакторной авторизации вам надо сначала ввести «первый фактор» — пароль или пин-код. Тут по сути однофакторная авторизация осталась, т. к. пароль не запрашивается.
                                • 0
                                  Да, это я по прочтении понял. Просто если судить по их FAQ, то сброс девайса и повторная установка считается как новая регистрация, соответственно процедура будет через СМС.
                                  Не спорю, реализация вызывает вопросы (и нежелание пользоваться), но вопрос в другом. В одной из летних статей по безопасности писали, что бессмысленно спорить о «секурности», если телефон с доступом в руках у злоумышленника. Поэтому и задал вопрос выше — в чем уязвимость?
                                  • 0
                                    А какой смысл задавать 4-символьный пин-код на вход приложение, если его легко обойти зная логин?
                                    • 0
                                      Так поэтому и должен быть другой номер (в другом девайсе), на который в случае сброса кода придет смс :)
                                      Это уже как заповедь любого параноика адекватного юзверя — разделяй телефон с номером, который указан в сервисах, и телефон с сервисами.
                              • 0
                                даже когда решили выйти на 5 минут в туалет.

                                Или хотя бы ставьте на вибро. Достали уже…
                                А если по теме, то какой-то прям уязвимости тут не вижу. Это уже скорее откровенное «не потерял, а про… прожужал».
                                • 0
                                  код по СМС это не безопасный канал, его можно использовать лишь как дополнительный уровень защиты, а не отменять им все остальные.

                                • +1
                                  на 5-м андроиде приложения сбербанка требует доступа к смс и падает при запуске, если доступа нет. Но после трех падений приложение запускалось без доступа к смс. Но после очередного обновления, они убрали счетчик в 3 падения, и обойти доступ тремя падениями уже было нельзя. После этого я снес приложение и использую только веб-версию, чего вам и желаю.
                                  PS: на 6-м андроиде не проверял, возвращаться желания нет, доверие подорвано.
                                  • 0
                                    А на андроиде приложение не запрашивает какой нибудь пароль на запуск себя? только СМС код?
                                    • 0
                                      Насколько помню, можно задать 4-символьный пин-код. И еще надо авторизовать телефон, потом можно его отвязать в веб-интерфейсе.
                                      Но отказаться от чтения смс нельзя никак…
                                      • 0
                                        Ну вот смысл в этом 4-символьном коде нет никакого получается, можно выбрать «сменить пользователя» и тупо ввести код из SMS. Единственное что понадобится дополнительно — логин.
                                    • 0

                                      А какой смысл запрещать доступ сбербанковскому приложению к СМС?

                                      • +4
                                        Потому что в силу своей здоровой паранойи, я не могу доверять приложениям, запрашивающим в принудительном порядке такой доступ. Я не верю что, они не прочтут все смс, а не только свои, либо по своей инициативе, либо по софтверному багу, когда совершенно случайно они весь перечень смс отошлют себе на сервер.
                                        Тем более после одно из обновлений приложение стало требовать доступ к контактам телефона.

                                        Я не против в принципе таких возможностей, я против навязывания, сейчас нельзя никак отказаться от такого, только штатными средствами андроид, но только приложение не запустится.
                                        • 0
                                          удалил три года назад приложение русского стандарта — коллекторы начали названивать по номерам из хранилища телефона людям, номера которых банк знать не мог.
                                          в основном тем, с кем общался достаточно часто.
                                          т.е. утечки могли быть только на двух уровнях — через «слив оператора», или через «двухфакторную защиту приложения, для чего требуется доступ к звонкам и смс»
                                          • 0

                                            У Сбербанка для андройда в Политика конфиденциально… все прописано:
                                            1.1. Информация о номерах телефонов из адресной книги устройства.… данные номера телефонов копируются на серверы Банка и могут периодически обновляться.


                                            2.5 Информация пользователя может сохраняться на ресурсах Банка и его партнеров… а также в течении 5 лет после расторжения таких договоров.

                                            • 0
                                              т.е. всё «легально», хоть и незаконно: «вы же читали оферту — там всё написано, а вы согласились»
                                      • 0
                                        Сейчас оно требует доступ к управлению телефонными звонками, аргументируя это необходимостью проверки на безопасность, следующим пунктом идет доступ к смс и аргументирует это защитой переписки от мошенников. В обоих случаях при отсутствии доступа не дает продолжить.
                                      • 0
                                        На мой взгляд, приложения мобильного банкинга переоценены. Вы рискуете своим счётом, поставив «червивое» приложение из маркета, выпустив телефон из виду на какое-то время или вообще потеряв его. Да и чаще всего банковский софт запрещает работу на рутованном телефоне, просит целую кучу разрешений и по сути служит анальным зондом, исправно собирающим телеметрию о использовании телефона.
                                        Возможно я не настолько деловой человек, но не могу придумать юзкейса использования приложения, которое бы не покрывали обычная пластиковая карта и смс-информирование о балансе и текущих тратах. Единственный раз, когда мне понадобилось работать с валютным переводом, находясь в дороге, да ещё и за границей — подключился по удалёнке к домашнему компу и выполнил нужные действия в веб-версии «Приват24». А банковское приложение в таком случае, ещё и дополнительной аутентификации потребовало небось — вход из необычного места, нестандартные действия.
                                        Так что повторюсь: ИМХО, приложения переоценены, жизнь есть и без них.
                                        • 0
                                          Жизнь есть без них, но с ними удобнее.
                                          Намного удобнее и быстрее запустить приложение и залогиниться в нем, чем через веб-версию.
                                          Экономит время, если достаточно часто необходимо совершать переводы и прочия действия в личном кабинете.
                                          Если изредка, то приложения обычно и не ставят.

                                          Насчет разрешений полностью согласен.
                                          • 0
                                            А как же блокировка телефона по паролю/секретному ключу/отпечатку пальца, спросите вы? Ну во-первых, дело тут не в устройстве а SIM-карте. И полный возврат к заводским настройкам также может свести на нет всю защиту, просто это будет немного дольше

                                            А как же пин-код SIM карты? Немного достает, конечно, при выключении-включении и перезагрузке телефона, но помогает от вставки в другой телефон и сброса настроек телефона с очень большой вероятностью (оставляем крошечную вероятность на подбор злоумышленником пин-кода не более чем за 3 попытки или успешный подбор PUC не более чем за 5 попыток).


                                            Промахнулся...

                                            • 0
                                              Ну вот у xiaomi перезагружается 1-5 раз в неделю (судя по форумам, типичная проблема и это не железо). Если я поставлю пин код на симкарту, я просто незамечу что он перезагрузился и до меня будет недозвониться.
                                              • 0
                                                сообщение о пинкоде выскакивает в виде важного напоминания, не пропустишь
                                                • 0
                                                  Судя по форумам, нужно добавить еще пару десяток брендов к этой типичной проблеме.
                                                  • 0

                                                    При "автоматической" перезагрузке PIN не запрашивается, при ручной — да.

                                                    • 0
                                                      хм, что-т у меня запрашивался.
                                              • 0

                                                А мне нравится (сарказм) что приходящий пароль входа в интернет банкинг читается в SMS сообщении даже на заблокированном телефоне.

                                                • 0
                                                  это настраивается
                                                  • +1

                                                    Прошу рассказать на примере Windows 10 и Android 6.0.1


                                                    Может это и настраивается, но по умолчанию читается. А по умолчанию на сброшенном к настройкам производителя (только купленном в магазине) читаться не должно.


                                                    О уже минусы прилетели.

                                                    • 0
                                                      Android 6 и 7 — Настройки — Уведомления — На заблокированном экране. В некоторых прошивках вроде еще в 5 андроиде было.
                                                      • 0

                                                        Попробывал — очень много ругался т.к. отключается все, а нужно только с определенных номеров.
                                                        Включил уведомления обратно. Телефон заблокирован PIN кодом — экран блокировки. Тяну СМС вниз и вижу что всегда можно увидеть весь текст сообщения, даже если он очень большой. Ранее думал что можно увидеть только часть. Жесть полная.

                                                      • 0

                                                        Для Windows: Настройки — Система — Уведомления и действия — Отобрадать уведомления когда экран заблокирован (поставить тумблер в выкл.)

                                                        • 0

                                                          Спасибо KorDen32, M_AJ


                                                          Но у меня все равно остается мнение что текст в СМС сообщениях должен быть таким чтобы пароль не читался при заблокированном экране. Определенная длина и сам пароль в конце текста.

                                                          • 0
                                                            А мне например удобно просто смахнуть «шторку» вниз и ввести код подтверждения, не открывая СМС.
                                                            • 0
                                                              Шторка это не экран блокировки, у меня за шторкой можно всю смску прочитать, какой бы длины она ни была. Так что у Сбера всё правильно сделано, в отличие от некоторых других банков, которые жмутся указывать реквизиты к которым этот пароль действует и присылают всё в одной СМС (а не 3-5, как у Сбера).
                                                    • 0
                                                      Да, очень удобно: не надо поднимать телефон со стола, чтобы разблокировать, и можно прочитать код на умных часах не открывая уведомление на полный экран.
                                                    • 0
                                                      Чтобы навсегда отбить желание пользоваться Сбербанком, достаточно взять iPhone держателя их карты и сказать ему заветное:
                                                      «Siri, отправь смс с текстом перевод 9151234567 6000 на номер 900»
                                                      И да, защита паролем с отпечатком пальца не спасёт.
                                                      • 0
                                                        Если подключен мобильный банк только, и то потом будет смс с кодом, без которого перевод не произойдет.
                                                        • 0
                                                          мобильный банк подключают почти автоматически для получении информации о переводах, и мало кто знает о его облегченном варианте.
                                                          • +3
                                                            В облегченном варианте зато оперативно не узнаешь баланс при его изменении.
                                                            Специально зашел в личный кабинет. В разделе мобильного банка есть услуга «Быстрый платеж» — она включена по умолчанию, вот ее и надо сразу отключать, это хоть от всего и не спасет, но все же.
                                                            Быстрый платеж – это услуга Мобильного банка, с помощью которой Вы сможете оплачивать услуги сотовой связи для любого номера, а также переводить деньги другому частному лицу на карту Сбербанка по номеру телефона получателя
                                                            • –1
                                                              беда в том что я этой услугой пользуюсь, она мне нужна
                                                        • 0
                                                          Поэтому нужно запретить работать сири на заблокированном девайсе, не запретили кто ж вам виноват
                                                          • 0

                                                            Разве Siri отправит СМС, если телефон заблокирован?

                                                            • 0
                                                              Да, отправит. Проделывали такой путь в офисе где-то полгода назад (насколько я помню, эта лазейка существует не первый год). Потом приходит смс с подтверждением, а потом отправляете еще раз смс с кодом подтверждения. Вуаля — деньги ушли.
                                                              • 0
                                                                Потом приходит смс с подтверждением, а потом отправляете еще раз смс с кодом подтверждения

                                                                А разве нельзя настроить iOS так, чтобы при заблокированном экране не было видно содержимого SMS?
                                                            • 0
                                                              Не пройдет по 3 причинам:
                                                              — «Привет, Сири» отключено;
                                                              — показ текста входящих СМС на экране блокировки выключен;
                                                              — «Быстрый платеж» в сбербанке отключен (отправлен NULL на номер 900);

                                                              Ну и отпечаток пальца и PIN-код на симку — само собой.
                                                            • 0
                                                              к сожалению, пока нет удобного миниатюрного устройства для приема и чтения sms, носить два устройства — неудобно.

                                                              p.s. я был бы безмерно рад двухфакторной авторизации по таймкодам на любые действия. включая мобильный банк
                                                              • +3
                                                                Раньше у ВТБ24 были пластиковые карты одноразовых кодов, было очень удобно. Обычная маленькая карта со 119 кодами, которые нужно вводить для каждой операции. Я мог переводить деньги там, где есть интернет, но нет сотовой сети. Потом их почему-то сменили на самую идиотскую, совершенно для этого не предназначенную и небезопасную технологию — СМС-подтверждения.
                                                                • +1
                                                                  у сбербанка тоже есть одноразовые коды, распечатка в любом банкомате — 20шт
                                                                  дико неудобно, я пользовался когда то давно ими, кончаются внезапно, при распечатке новой — оставшиеся с прошлой бумажки — отменяются
                                                                  • +1
                                                                    Уже нет этого, только смс.
                                                                    • 0
                                                                      У ВТБ все сделано было грамотно: можно было взять карту про запас, а потом ее активировать. Причем активировать следующую можно только тогда, когда закончились коды на предыдущей.
                                                                      • 0

                                                                        Года 3 уже как нет.

                                                                        • 0
                                                                          Всё уже, нет такого. И вообще-то это как раз нормально, что предыдущие отменяются.
                                                                        • +1
                                                                          Вы и сейчас можете переводить деньги через телебанк там, где есть инет, но нет сотовый связи. Включите пуши в настройках и тогда даже с только вай-фаем они (коды) будут приходить без проблем.
                                                                          • 0
                                                                            Я не пользуюсь телефоном, и не всегда с собой его беру, соответственно, программы тоже не устанавливаю. Увы, далеко не у всех банков есть уведомления по email, поэтому я к каждому своему написал программу, которая заходит раз в 15 минут и проверяет баланс, а в случае его смены отправляет email.
                                                                            • 0
                                                                              поэтому я к каждому своему написал программу, которая заходит раз в 15 минут и проверяет баланс

                                                                              Хочу уточнить, так как идея мне очень интересна.
                                                                              — к каждому своему банку?
                                                                              — если к каждому банку, то как реализовано? Программа крутится где-то (где?), заходит через веб интерфейс, парсит содержимое страниц и сравнивает остатки с предыдущими данными?
                                                                              • 0
                                                                                — к каждому своему банку?
                                                                                Да.
                                                                                Реализовано это просто: программа запускается на моем домашнем сервере по cron. У банков с API используется API, у банков без API используется Selenium.
                                                                                • 0
                                                                                  поделитесь наработками на github если у вас много банков
                                                                                  • 0
                                                                                    Нет, не много. Есть для Кукурузы и для Альфа-Банка. Скрипты очень простые, написаны плохо, сами не умеют отправлять сообщения (сообщения отправляются cron'ом), поэтому не думаю, что они будут кому-то нужны в таком виде.
                                                                        • 0
                                                                          У Юникредита пока что есть (?) такие карты с кодами. Взятая весной пока что работает, во всяком случае. В последний раз когда брала ее в банке, меня убеждали перейти на смс-информирование, «это же проще!».
                                                                      • +1
                                                                        Дык там еще круче есть. Отправляем сообщение на 900 и вуаля денежки переведены.
                                                                        Жулики сейчас грамотные пошли и первым делом пробивают ворованный телефон на «900»
                                                                        сторонние скрипты на сбербанк ондай никудя не делись.
                                                                        Моя резалка показывает:
                                                                        google-analytics.com
                                                                        googletagmanager.com
                                                                        yandex.ru

                                                                        Вывод: не пользоваться сбером или не держать там сколь нибудь существенные суммы. Что я и делаю.
                                                                        • 0
                                                                          Вывод: не пользоваться сбером или не держать там сколь нибудь существенные суммы. Что я и делаю.

                                                                          Хотелось бы, но увы, в моём захолустье под названием Самара я не видел банкоматов других банков, кроме сбера и газбанка, где всё ещё неудобнее.
                                                                          • –1
                                                                            А вот не надо про Самару так! В городе огромное количество банкоматов отличных от Сбера банков. Кроме того, многие банки объеденены в партнерские сети вплоть до того, что вы можете пополнять свой счет в банкомате другого банка. Вы бы прогулялись по городу то, да в другие банки загляните.
                                                                            • 0
                                                                              Возможно они и есть, но не по пути с работы домой или в ближайших магазинах. Гулять по городу конечно замечательно, но не на регулярной основе для снятия зарплаты.
                                                                            • +1
                                                                              Тинькофф, например.
                                                                              • 0

                                                                                Но на нем тоже лучше крупные суммы не держать. Тинькофф в красной зоне и по нему может внезапно наступить страховой случай.
                                                                                И с безопасностью в Тинькофф тоже не супер — пароль от банк-клиента легко сбрасывался по смс.

                                                                                • 0
                                                                                  А где можно почитать, что там все не так хорошо(«Тинькофф в красной зоне»). Мне правда интересно.
                                                                                • 0
                                                                                  Банк-клиент — имеете ввиду мобильное приложение? Все хотел попробовать проверить, как автор поста со сбербанком, но вот только руки не доходят)
                                                                                  • 0
                                                                                    нет, веб приложение.
                                                                                    год назад проверял, достаточно было только номера карты и телефона что бы завладеть счетом.
                                                                                  • 0
                                                                                    Откуда дровишки про «красную зону»?
                                                                                    Вроде как один из немногих (или единственный?), кто не берет деньги у ЦБ.
                                                                                    Вроде как и страховому случаю неоткуда взяться
                                                                                    • 0
                                                                                      www.money-in.org/rejting-bankov-rossii-po-nadezhnosti

                                                                                      Страховой случай наступает когда банк не может далее исполнять свои обязательства (банкрот).

                                                                                      Тинькофф проводит рискованную агрессивную политику, поэтому риски наступления страхового случая для них так же высоки.
                                                                                      Если они где то облажаются со своими кредитными картами, то не смогут выплачивать проценты держателям дебетовых карт.
                                                                                      А недавний инцидент с NEMAGIA тому подтверждение.
                                                                            • +4
                                                                              Имхо развод паники на пустом месте. Гораздо проще человеку нашедшему телефон, не пытаться разблокировать телефон пытаясь подбирать пароль, а в тупую вытащить из телефона сим-карту и вставить в свой телефон и спокойно посредством смс команды вывести все деньги со счета, к которому привязан этот номер. Так что это не уязвимость приложения, а уязвимость подхода к обеспечению безопасности в принципе ( читайте — никакой безопасности тут нет и не будет априори).
                                                                              • +2
                                                                                Вот именно так и сделают в приложуху не полезут а просто отправят смс на номер 900.
                                                                                Проблема в самой политике сбера. Вот эта фишка с кодом 900 не отключаемая. Верно защититься можно только не держать деньги на карте. А держать на другом счете не доступном через мобильный банк и пополнять карту по необходимости.

                                                                                Сбер официально поддерживает мелких жуликов.
                                                                                • 0

                                                                                  В случае описанном в статье, доступ получается по всем счетам.

                                                                                  • +1
                                                                                    По всем счетам, привязанным к мобильному банку. Это тоже настраивается, если что, во взрослой версии сбербанка-онлайн. Там же можно отвязать счета от банкомата или устройства самообслуживания.
                                                                                  • 0

                                                                                    "Вот эта фишка с кодом 900 не отключаемая" — цифра 0 на номер 900. Но нет, вы не знали, вам оно не надо, вам посклочничать надо.

                                                                                    • 0
                                                                                      Ну да немного ошибся. Это мобильный банк не отключаемый если есть сбербанк онлайн.
                                                                                      Однако фишечка включена по умолчанию.
                                                                                      И как ее отключить надо еще поискать на каждом углу не написано.
                                                                                      Зато на каждом углу написано и регулярно СМС спам приходит как с помощью этой фишечки отправить перевод. Вобще по наглости СМС спама сберу нет равных!
                                                                                      Особенно «мы заметили что вы оплачивали тото-тото. Чтобы повтороить платеж отправьте....»
                                                                                      • 0
                                                                                        Я отписался в поддержку через сбербанк-онлайн, и меня отписали от рекламных рассылок. Хотя то, что это включено по умолчанию, конечно свинство.
                                                                                        • 0

                                                                                          При открытии счета и получении карты в заявлении не ставил галку о согласии на мобильные платежи. В итоге были долгие разборки. Но 900-й номер у меня более не работает вообще никак. Мобильного банка больше нет. Приложение из маркета есть.

                                                                                        • Отправил.
                                                                                          в Ответ: «Бесплатная опция „быстрый платеж“ отключена. Подключить опция можно в Сбербанк онлайн»
                                                                                          Причем я был уверен, что оно у меня уже давно отлючено. хм…
                                                                                          • 0
                                                                                            Её периодически включают без вашего ведома.
                                                                                            • 0
                                                                                              У вас несколько карт? С тех пор как отключили, какую-либо новую карту (не перевыпуск) получали? Вот он и подключился для той карты, которую вновь добавили в мобильный банк…
                                                                                              • да уже почти 3 года прошло с получения последней. Отключал я эту хню явно позже. Ладно, будем мониторить сию бяку!
                                                                                                • 0
                                                                                                  Только что посмотрел в онлайн-банке — там в настройках мобильного банка на каждой карте написано, включена услуга «быстрый платеж» или нет. Ну и настройки соответственно все есть.
                                                                                          • 0
                                                                                            держать на другом счете
                                                                                            уточню. На другом счете в другом банке. Например в таком, которому не наплевать на своих клиентов.
                                                                                            • 0
                                                                                              фишка с кодом 900 не отключаемая

                                                                                              Через сб.онлайн можно отключить «быстрый платеж». Тогда по SMS останется только перевод по шаблонам и на свой мобильный.
                                                                                              • 0
                                                                                                Не подскажите в каком это месте на сайте?
                                                                                                • 0
                                                                                                  Настройки — мобильный банк — в разделе «детали подключения» у каждой из карт. Либо можно отправить «0» (или «НОЛЬ», «НУЛЬ», «NULL») на 900.
                                                                                              • 0
                                                                                                Сбер в обход правил Visa и MasterCard теперь при смене карты требует либо купить у них же (!) страховку от мошенников, либо говорит: «тогда проблемы лично ваши, раз страховку не берете».
                                                                                                • 0
                                                                                                  Чего? Какой обход правил? Все эти страховки пытаются навязать, но по фроду без проблем возвращают деньги без всяких страховок.
                                                                                                  • 0
                                                                                                    По фроду вы можете пожаловаться только в ваш банк. О нарушении же правил платежных систем сами банком вы как физ лицо туда пожаловаться не сможете.
                                                                                                    • +1
                                                                                                      Так а о каком нарушении/обходе правил речь? Только не беря в расчет то, что говорят клиенту, когда навязывают старховку, а что на практике не так?
                                                                                                      • 0
                                                                                                        Правила международных платежных систем говорят, что банк-эмитент компенсирует держателю карты потери от мошенников. Требование вместо этого заключить страховку — прямое нарушение, с моей точки зрения.
                                                                                                        • 0
                                                                                                          Требование вместо этого заключить страховку

                                                                                                          И опять я повторю: если не брать в расчет то, что говорят клиенту, когда навязывают страховку — были конкретные отказы в возврате?

                                                                                                          Мне подобное говорили практически каждый раз когда приходил в Сбер по поводу карт последние года два, всегда вежливо отказывался.

                                                                                                          А буквально этим летом впервые попал на фрод, до сих пор не могу понять, где мог слить данные карты. Позвонил, заблокировал карту, на следующий день пошел в отделение. Опять были предложения страховки при написании заявления о фроде — я поинтересовался чем бы отличался процесс в данном случае, если бы была страховка, и в очередной раз отказался. Перевыпустили карту за неделю, еще через неделю вернули деньги.
                                                                                              • +1
                                                                                                а в тупую вытащить из телефона сим-карту и вставить в свой телефон

                                                                                                Активируем защиту по PIN коду, и ни один телефон не отправит СМС с данной сим-картой без ввода кода.

                                                                                                • +1
                                                                                                  Ой да бросьте, кто сейчас активирует пин код на сим карте? Вы, ваш друг и еще 10% от всех пользователей смартфонов в мире да и зачем, когда есть пароль на телефоне? Многие уже и не помнят, что на сим карту можно установить PIN.
                                                                                                  • 0
                                                                                                    Я, конечно, согласен с тем, что решать проблему с безопасностью в приложении включением пинкода на сим-карте не верный подход.

                                                                                                    Но вот не включать пинкод на карте — это ССЗБ. Сейчас номер мобильного телефона указывается в стольких местах, что можно огрести проблем, если его потеряешь и быстро не заблокируешь.
                                                                                                    И ваш комментарий натолкнул меня на эту мысль. Выходит не зря я до сих пор использую пинкоды на симкарте и помню их.
                                                                                                    • 0
                                                                                                      Спасение утопающих дело рук самих утопающих.
                                                                                                      Если не знаешь как поставить пин-код на симку и блокировку на телефон, значит тебе вообще нельзя пользоваться услугами любого банка. Храните наличность под подушкой.
                                                                                                • +1
                                                                                                  Было бы достаточно запретить приложению читать смс, но без этого оно не работает, а вроде как с недавних пор они еще и все ваши контакты, сообщения, фотографии, местоположение, ip могут слить через свое приложение
                                                                                                  У себя на MIUI 8 перенес приложение сбера во «второе пространство» и личные данные для приложения не доступны
                                                                                                  • 0
                                                                                                    Прекрасно оно работает и без доступа к SMS и без доступа к контактам, специально проверил только что
                                                                                                    • 0
                                                                                                      У меня при запуске спрашивает доступ к контактам и смс. Я запрещаю. Приложение пишет что для безопасности приложения необходимо разрешить управление телефонными звонками. И так до бесконечности. При этом на заднем фоне видно что запуск приложения останавливается на этапе «инициализация антивируса» и больше не двигается вообще
                                                                                                      • 0

                                                                                                        Это при первоначальном запуске, как я понял?
                                                                                                        Попробуйте запретить после входа.
                                                                                                        У меня два устройства, одно на 7.1, другое на 6.0, с первым вообще никаких проблем, на втором после "закручивания гаек" СО "забыл" привязку к счёту, но после повторной привязки не забывает.