Так случилось, что мне пришлось озаботиться вопросом безопасности моих денежных средств, размещаемых в коммерческих банках. Причина, по которой я занялся данным вопросом – попал на мошенников, которые «подломив» мой личный кабинет в банке увели за 5 минут 60000 рублей. Для входа в личный кабинет банка мошенниками использовался номер карты, который я им дал (т.к. это не запрещено), а также код из sms (под убеждением, что всё безопасно).
Данную потерю воспринял, как оплата «практического курса» по информационной безопасности. По завершению курса задумался: «Где лучше хранить свои денежные средства?». С сайта ЦБ взял список системно значимых кредитных организаций. Т.к. живу в не большом городе, то из списка исключил кредитные организации, у которых отсутствует офис в городе. Также по субъективному мнению «заминусовал» Сбер и Альфа банк. В результате остановился на банке ВТБ.
ВТБ привлек тем, что у него есть:
-
мастер-счет – банковский (текущий) счет физического лица, предусматривающий совершение операций, не связанных с осуществлением предпринимательской деятельности, открываемый Клиенту при заключении ДКО на основании договора банковского счета;
-
текущий счет.
Также ВТБ заинтересовал:
-
широкий список ограничений операций на перевод и платежи;
-
возможность открыть 5 счетов бесплатно.
В моей картинке мира сложилось, что в ВТБ:
-
мастер-счет – это администратор системы, который имеет полный доступ к личному кабинету Банка и может выполнять все легитимные действия без ограничений.
-
текущий счет – это пользователи системы, которые могут выполнять действия согласно их доступам и ролям.
Следовательно, мои ожидания при работе с ВТБ Онлайн и мобильного приложения ВТБ (далее МП ВТБ) были следующими:
|
Карты |
ВТБ Онлайн |
МП ВТБ |
Примечание |
|
Карта к мастер-счету |
Полный доступ ко всем моим счетам и продуктам банка. |
Полный доступ ко всем моим счетам и продуктам банка. |
|
|
Основная карта к текущему счету |
Операции могут выполняться только по текущему счету в пределах установленных лимитов. |
Операции могут выполняться только по текущему счету в пределах установленных лимитов. |
|
|
Виртуальная карта к текущему счету |
— |
— |
Ожиданий не было. Простое любопытство показало, что вход запрещен. Данный факт будет использован в моих выводах. |
Для подтверждения своей гипотезы к мастер-счету я получил карту в банке ВТБ. К текущему счету открыл основную (именную). Дополнительно к мастер-счету и текущему счету открыл соответственно виртуальную карту.
В рамках проверки моих ожиданий предлагаю ввести термины:
-
пользователь мастер-счета – это клиент Банка, у которого есть основная и/или дополнительная карта, которая привязана к мастер-счету;
-
пользователь счета – это клиент Банка, у которого есть основная и/или дополнительная карта, которая привязана к текущему счету.
Выполнил проверки (см. Таблица 2) в ВТБ Онлайн и МБ ВТБ.
Выводы для ВТБ Онлайн
Положительные моменты:
-
Есть двухфакторная аутентификация.
Отрицательные моменты:
-
отсутствует возможность установить отдельный пароль для пользователя мастер-счета и пользователя счета, т.к. используется единый пароль (см. п. 1.1);
-
отсутствуют ограничения по доступу к информации по счетам в ВТБ Онлайн (см п. 1.3);
-
присутствует разная логика работы ВТБ Онлайн с работой МП ВТБ;
-
отсутствует подтверждение на изменение лимитов по счетам клиента.
Выводы для МП ВТБ
Положительные моменты:
-
вход в МП ВТБ через номер виртуальной карты запрещен.
Отрицательные моменты:
-
отсутствует двухфакторная аутентификация;
-
пользователь счета может изменять лимиты по переводам и платежам(!);
-
отсутствуют ограничения по доступу к информации по счетам в ВТБ Онлайн;
-
присутствует разная логика работы МП ВТБ с работой ВТБ Онлайн;
-
отсутствует подтверждение на изменение лимитов по счетам клиента.
Общие выводы
ВТБ Онлайн и МП ВТБ – это дуршлаг из уязвимостей. Этот вывод подтверждают новости от ВТБ за 30.03.2023 и 07.04.2023. В головах ВТБ хаос и нет общей концепции работы ВТБ Онлайн и МП ВТБ. Есть зачатки по разделению доступов, но это на столько не очевидные вещи, что можно сказать, что их в настоящее время нет.
Единственный положительный момент моих изысканий — вход в МП ВТБ через номер виртуальной карты запрещен. Надеюсь это не погубят в следующих доработках.
Вывод: при текущей реализации ВТБ Онлайн и МП ВТБ опасно для хранения денежных средств в банке ВТБ.
Не много эмоций по текущей теме
ВТБ по каким-то причинам не желает отвадить мошенников от своих клиентов. ВТБ приятнее написать портрет клиентов, которые попадаются на уловки мошенников, чем составить портрет мошенника и включить этот портрет в антифрод.
ВТБ, вы действительно считаете «… рассказывать об активности мошенников – важная превентивная мера, которая позволяет уберечь других клиентов от хищений»? А вы не задумались, что для защиты клиентов от мошенников в ВТБ Онлайн и МП ВТБ добавить:
-
добавить двухфакторную аутентификацию для МП ВТБ;
-
изменение лимитов с sms-подтверждением, как это сделано в банке «Открытие»;
-
разграничение доступов мастер-счета и текущего счета, как это сделано в Альфа-Банк;
-
разграничение входа в ВТБ Онлайн и МП ВТБ для мастер-счета и текущего счета;
-
freezing-период для списаний со счетов при входе в ВТБ Онлайн и МП ВТБ с новых устройств и подтверждением через телефонный звонок клиенту?
Как по мне, то реализация freezing-период (например, от 2 до 5 рабочих дней) для списаний со счетов при входе в ВТБ Онлайн и МП ВТБ с новых устройств и подтверждением через телефонный звонок клиенту позволит сохранить денежные средства ваших клиентов. Что мешает добавить в вашу систему в антифрод проверки на вход ВТБ Онлайн и МП ВТБ с новых устройств с подтверждением этих операций через звонок (да еще зная портрет мошенников)?
ВТБ в новости от 07.04.2023 заявил, что «планирует предоставить клиентам возможность самостоятельно устанавливать самоограничения на дистанционное кредитование». Заявление хорошее, но только техническая поддержка ВТБ ничего про это не знает и не может назвать дату анонса. Буду следить за данной темой и обязательно ею воспользуюсь при первой же возможности.
Прошу представителей ВТБ под статьей не извиняться за сложившуюся ситуацию. Я всего лишь выполнил вашу работу по тестированию ВТБ Онлайн и МП ВТБ на предмет безопасности. Очень хочу видеть от представителей ВТБ сообщения типа: «Устранена такая-то уязвимость. Рекомендуем обновить МП ВТБ до версии ХХ.XX.X.X.», а не ваши извинения.
Таблица 2. Результаты проверок по состоянию на 12.03.2023
|
Наименование проверок |
Мастер счет |
Текущий счет |
Примечание |
||
|
Базовая (основная) карта |
Виртуальная карта1 |
Основная карта |
Виртуальная карта |
||
|
1. ВТБ Онлайн |
|||||
|
1.1 Регистрация: |
Вход выполнен. |
— |
Вход выполнен. |
Вход не выполнен. Ограничение системы |
Пароль при регистрации через номер карты мастер-счета и текущего счета одинаковый. |
|
1.2. Раздел «Клиент» |
|||||
|
1.2.1 Подраздел «Профиль» |
Есть данные основного номера телефона, email, адреса проживания |
|
Отсутствуют данные основного номера телефона, email, адреса проживания |
|
|
|
1.2.2 Подраздел «Документы» |
Есть данные о моих документах: паспорт РФ, ИНН, СНИЛС |
|
Отсутствует информация о моих документах. |
|
|
|
1.2.3 Подраздел «Настройки» |
|||||
|
1.2.3.1 «Уведомление» |
Управление уведомлениями. |
|
Есть управление уведомлениями. Зачем это сделано? |
|
|
|
1.2.3.2 «Безопасность»: |
|
|
|
|
|
|
— Вход в приложение: |
Изменение логина |
|
Почему можно изменить логин, если он предоставляется для мастер-счета? |
|
|
|
— Управление лимитами |
Изменение лимитов |
|
Отсутствует возможность изменить лимиты |
|
Это правильно. |
|
1.2.3.3 Переводы по номеру телефона |
Настройка СБП |
|
Почему доступны настройки СБП? |
|
|
|
1.3 Раздел «Главный» |
Видны все счета и продукты банка |
|
По умолчанию видны все счета. Есть возможность открыть новые продукты. Зачем это сделано? |
|
|
|
1.3.1 Подраздел «Последние операции» |
Полный доступ к истории по всем счетам |
|
Полный доступ к истории по всем счетам Клиента |
|
|
|
1.4 Раздел «Платежи» |
|||||
|
1.4.1 Перевод между своими счетами |
Полный доступ ко всем счетам |
|
Полный доступ ко всем счетам. |
|
Отсутствует ограничение доступа на перевод с других счетов Клиента. |
|
1.4.2 Перевод по номеру телефона, карты, счета |
Полный доступ ко всем счетам при выполнении перевода |
|
Полный доступ ко всем счетам Клиента. |
|
Отсутствует ограничение доступа на перевод с других счетов Клиента. |
|
1.5 Раздел «История» |
Полный доступ к истории по всем счета |
|
Полный доступ к истории по всем счетам Клиента. |
|
Отсутствует ограничение доступа к истории по счетам. |
|
1.6. Раздел «Справки» |
Можно заказать справки по счетам и продуктам Банка |
|
При запросе справок можно получить информацию по всем счета и продуктам Банка |
|
|
|
1.7. Раздел «Сервисы» |
Полный доступ ко всем продуктам Банка |
|
Полный доступ ко всем продуктам Банка |
|
|
|
2. Мобильное приложение ВТБ (версия 17.11.1.0) |
|||||
|
2.1 Регистрация |
Вход выполнен. Предлагает выбрать пакеты уведомлений «Карты+», «Базовый» |
|
Вход выполнен. Предлагает выбрать пакеты уведомлений «Карты+», «Базовый» |
|
Отсутствует двухфакторая аутентификация. Зачем предоставляется выбор пакета уведомлений для карты к текущему счету? |
|
2.2. Раздел «Клиент» |
|||||
|
2.2.1 Подраздел «Основное» |
Видны данные основного номера телефона, email, адреса проживания |
|
Видны данные основного номера телефона, email, адреса проживания |
|
Есть отличия в работе ВТБ Онлайн и мобильное приложение для карты к текущему счету |
|
2.2.2 Подраздел «Документы» |
Видны данные паспорта РФ, ИНН, СНИЛС, Мои договоры, Заказ справок |
|
Видны данные паспорта РФ, ИНН, СНИЛС, Мои договоры, Заказ справок |
|
Есть отличия в работе ВТБ Онлайн и мобильное приложение для карты к текущему счету |
|
2.2.3 Подраздел «Настройки» |
|||||
|
2.2.3.1 «Уведомление» |
Управление уведомлениями. |
|
Есть управление уведомлениями. Зачем это сделано? |
|
|
|
2.2.3.2 «Безопасность»: — логин; |
|
|
Почему можно изменить логин? |
|
|
|
— Управление лимитами |
|
|
Почему есть возможность управлять общими лимитами? |
|
Есть отличия в работе ВТБ Онлайн и мобильное приложение для карты к текущему счету |
|
2.2.3.3 Переводы по номеру телефона |
|
|
Почему доступны настройки СБП? |
|
|
|
2.3 Раздел «Главный» |
Видны все счета и есть возможно открыть новые продукты. |
|
Видны все счета и есть возможно открыть новые продукты. |
|
Отсутствует ограничение доступа к счетам. Нельзя ограничить доступ к продуктам Банка для карты текущего счета. |
|
2.4 Раздел «Платежи» |
|||||
|
2.4.1 Перевод между своими счетами |
|
|
Полный доступ ко всем счетам Клиента. |
|
Отсутствует ограничение доступа на перевод с других счетов Клиента. |
|
2.4.2 Перевод по номеру телефона, карты, счета |
|
|
Полный доступ ко всем счетам Клиента. |
|
Отсутствует ограничение доступа на перевод с других счетов Клиента. |
|
2.5. Раздел «Услуги» |
|
|
Полный доступ ко всем продуктам Банка |
|
|
|
3. Банкомат |
|||||
|
Выписка по карте |
Формируется только по текущей карте |
|
Формируется только по текущей карте |
|
Всё честно и правильно. |
Примечание:
1. Проверка не выполнялась.
ссылка на оригинал статьи https://habr.com/ru/articles/740854/
Добавить комментарий