Сбербанк (приложение СБОЛ)
Приложение Сбербанк онлайн (СБОЛ) крайне небезопасно, как и вся удаленная архитектура обслуживания Сбера для юзеров. СБОЛ есть в виде приложения для смартфонов и web-версия. Вся безопасность сосредоточена на СМС-сообщениях симки добавленной в мобильный банк.
1 – Случай – кража телефона и банковской карты (сбера). Если телефон хорошо запаролен, и смс-ки не видны на экране блокировки, то вором переставляется симка в другой смартфон – устанавливается приложение СБОЛ, вор вводит данные банковской карты Сбера и получает смс-код для авторизации. С этого момента вы попали. Помимо тупой кражи средств, вор может взять онлайн-кредит на дебетовую карту, поменять в СБОЛ ее пин-код и снять кредит в нал в банкомате. Или использовать новое зло (NFC). Если на карту не установлен лимит – вор снимет все.
2. Случай – кража телефона и фотка банковской карты – тоже самое, что и первый случай. При этом важно, что в WEb-версию СБОЛ вор войдет также.
3. Случай для кражи депозитов – нелегальный перевыпуск симки, дальше все тоже самое.
Вы можете думать, что видимость депозитов вы скрыли в мобильном приложении через Web СБОЛ. Это иллюзия – мобильный СБОЛ вернет видимость в пару тапов.
Что может сделать банк, но не делает:
Ввести дополнительный пароль, который можно получить через терминал или банкомат, для установки СБОЛ или web-авторизации (в случае ” не можете войти? – мы поможем ))) ” ) . Тогда борьба за симку станет бессмысленной. Можно еще запретить закрывать депозиты из СБОЛ. Позволить пользователю самому запретить себе онлайн-кредит (с последующей отменой только ножками в банк). Кражи продолжаются, но ничего не делается для безопасности.
Что делать простым смертным для самолечения этой системной проблемы (каждый выбирает себе по душе) на примере Android:
1. Пин-код на симку – спасет от переустановки в другой смартфон (3 попытки – блокировка и смс-ка не придет). Не спасает от нелегального перевыпуска симки для охотников за деньгами.
2. Хороший пароль на смартфон и запрет уведомлений на экране блокировки
3. Пин-код на приложения (если телефон взломали или блок. по отпечатку пальца): Сообщения (тогда ничего не прочитать) , Google Play (не установить альтернативу системному смс-приложению, не переустановить СБОЛ ) , альтернативные маркеты приложений, Настройки (чтобы нельзя было поставить apk, подключится по USB) , СБОЛ (чтобы дополнительно защитится от “не можете войти ? – придумайте пин-код”).
4. Для депозитов выбрать режим полной невидимости (можно также через web СБОЛ ) для всех систем удаленного обслуживания (только ножками в банк, также и отменить невидимость по звонку нельзя)
5. Запрет на операции без подтверждения через Call-центр банка (отмена через звонок по 900) – легко делается через Web СБОЛ – два переключателя (перевод лицу и платежи). Каждый шаблон придется отменять по звонку 900 отдельно. Остальные платежи-переводы (не согласованные шаблоны) по звонку.
6. Установка лимита на СБОЛ (повышение границы через звонок по 900) – не влияет на карты.
7. Для продвинутых снести службу com.android.nfc через adb для полного дисфункционала NFC (если смартфон с NFC) .
Кому-то эти рекомендации покажутся избыточными – но это Ваши деньги и решать Вам.