Банковские приложения на телефоне: за и против

Если онлайн-банкинг привязан к тому же номеру телефона, симка с которым вставлена в телефон, то безопасность должна быть одинаковая.

• Имея физический доступ к смартфону и сумев его разблокировать можно рулить всеми твоими деньгами через банковское приложение

• Точно также имея физический доступ к смартфону и сумев его разблокировать, можно залогинится с СМС подтверждением в онлайн-банкинг и рулить всеми твоими деньгами подтверждая операции опять же через СМС коды (у сбербанка ещё можно слать СМС на номер 900 и тоже рулить деньгами)

В общем, не теряй свой телефон и будет тебе счастье.

СМС от сбера с кодами на андройде можно читать и без разблокировки.

Голосовые помощники тоже стоит проверить.

Может с экрана блокировки удасться отправить СМС на номер банка с командой перевода.

Имея физический доступ к смартфону и сумев его разблокировать можно рулить всеми твоими деньгами через банковское приложение

Это как? Выбив пинками код разблокировки приложения из владельца, или палец ему отрезав?

имея физический доступ к смартфону и сумев его разблокировать, можно залогинится с СМС подтверждением в онлайн-банкинг

Чтоб пришло смс-подтверждение, надо сперва логин и пароль на сайте ввести.

логин и пароль

Или номер карты, ага, чтобы их «восстановить»

Для восстановления — да. А что, номер карты и срок действия где-то в телефоне записаны?

Ну, номер карты и срок действия - это не особо секретная инфа, кто угодно может её знать

или палец ему отрезав?

Преподавателя-биохимика из Санкт-Петербургского государственного технологического университета нашли в Петербурге убитой и с отрезанным пальцем, сообщил РИА Новости в понедельник источник в силовых структурах.

«Тело преподавателя биохимии 1986 года рождения обнаружили в воскресенье в квартире дома на улице Димитрова (Фрунзенский район). У женщины повреждена шея и отрезана фаланга пальца», - сказал собеседник агентства.

По предварительным данным, преступник отрезал палец для разблокировки смартфона. Возбуждено уголовное дело об убийстве, обстоятельства выясняются.

И обладать доступом к твоему разблокированному телефону, чтоб получать смс? Тогда, извини, твоим деньгам трындец без всяких смартфонов и банковских приложений. :)

можно читать и без разблокировки

Зависит от настроек.

Ну то есть мы пришли к физическому насилию, а не просто к, например, потере телефона. С точки зрения такого воздействия лучше вообще денег не иметь.

Только что ты говорил, что обладать телефоном ОК, ведь номер карты не узнать.. ага

Чтоб пришло смс-подтверждение, надо сперва логин и пароль на сайте ввести.

У многих банков в качестве логина выступает номер телефона. Пароль можно сбросить через СМС, либо через почту (при этом нынче многие почтовики сейчас хотят номер телефона и позволяют по нему восстанавливать доступ), если он вообще требуется.

Ещё можно рассмотреть вариант установки мобильного приложения на смартфон (даже если оно там не стояло раньше) и авторизацию. Опять же часто хватает номера телефона и СМС-кода.

В общем, лучше считать, что компрометация смартфона компрометирует доступ к счетам вне зависимости от наличия мобильного приложения. Варианты, когда этого не происходит - отдельные особые частные случаи или случайность. Так что при утере смартфона нужно перевыпускать симку, а также бежать в банк и просить как-то прекратить авторизацию мобильного приложения (надеюсь, такая возможность у банков доступа).

Так как узнать номер карты и срок действия случайному человеку, получившему физический доступ к твоему разблокированному телефону? И какая в такой ситуации разница, есть у тебя банковское приложение, нет его, или у тебя вообще звонилка?

У многих банков в качестве логина выступает номер телефона. Пароль можно сбросить через СМС, либо через почту (при этом нынче многие почтовики сейчас хотят номер телефона и позволяют по нему восстанавливать доступ), если он вообще требуется.

Нужен номер карты и срок действия, но допустим. У тебя всё упирается в то, что слабое место — доступ к чтению смс на привязанном номере. При чём тут банковские приложения, смартфоны, и прочее? Нужен просто твой мобильник. Любой.

По умолчанию :(

Я именно это и пытаюсь сказать. По этой причине установка банковского приложения не создаёт какой-то новой принципиальной дыры, если в телефоне уже торчит симка, на которую приходят СМС-коды.

Согласен. Не забываем блокировать телефон, не забываем ставить на симку пин, и надеемся на лучшее. )

Мне кажется, что после смерти последующая обчистка счетов большинство людей уже не особо беспокоит.

Я где-то на ОпенНете в подобном диалоге уже писал, что при реальной угрозе отрезания пальца сам отдам карту вместе с пином, или переведу с неё деньги куда попросят. :)

ты походу вообще не вдупляешь

Точно также имея физический доступ к смартфону и сумев его разблокировать, можно залогинится с СМС подтверждением в онлайн-банкинг и рулить всеми твоими деньгами подтверждая операции опять же через СМС коды (у сбербанка ещё можно слать СМС на номер 900 и тоже рулить деньгами)

В он-лайн банках кроме СМС нужен пароль. СМС-банкинг можно отключить у всех банков. А вот возможности требовать пароль при входе в банковское приложение на смартфоне невозможно, если уже есть отпечаток.

Ты, походу, пытаешься натянуть сову на глобус, но она не налезает.

Точно также имея физический доступ к смартфону и сумев его разблокировать, можно залогинится с СМС подтверждением в онлайн-банкинг и рулить всеми твоими деньгами подтверждая операции опять же через СМС коды (у сбербанка ещё можно слать СМС на номер 900 и тоже рулить деньгами)

Я наоборот разграничил. У меня альфа, вхожу в интернет-банк по паролю через смс на кнопочном телефоне.

Счас надо быть внимательными, у меня родственница тут в сбер заходила, девушка предложила помочь и взяла телефон, так та смотрит - она уже на неё направляет. Спрашивает: «Что это вы такое делаете?» И оказывается, что та без её согласия хотела биометрию записать. Родственница отказалась от биометрии, конечно.

Ну т.к., это палка о двух концах: телефон (и в перспективе банкомат), может и будет тебя узнавать и другому человеку не давать совершить операцию. Удобно, да, безопасно. Но вот в случае утечки базы, в отличии от пароля/кода, ты биометрию уже никогда не сменишь. Да и неизвестно, в каких ещё приложениях она потом будет использоваться (а сейчас на нейронных сетях разрабатывается не мало, плюс к тому камеры на каждом углу).

хотела биометрию записать.

Типа сфоткать или чего?

морду лица + образцы речи

зависит от настроек оболочки

Пароль сбрасывается через смс. А другого способа подтверждения операций 99% банков не дают. Поэтому дыры SS7 на порядок перекрывают дыры в андроиде или приложениях. И плевать, бабкофон или ойфон12промаксмегасупер

Чо там за бида с этой биометрией? Для пороля хеш функции придумали, а для рисунка вен - никак?

Что за дятлы воспроизводимую биометрию используют? Скан глаза/вен - не?

Сберободранк, но они конченые и так

сбирбанк такое предлагает. (может они и делают какую-то особую фотографию морды с глазами и венами, не знаю).

но речевые семплы точно собирают. предлагают произнести какие-то фразы. (а дальше видимо нейронная сеть будут опознавать, ты или не ты при звонках например)

Пароль сбрасывается через смс.

Сбербанк, например, не даёт так сделать. В случае любых проблем посылают в отделение.

На большинстве телефонов уже сейчас есть опция не показывать уведомления на локскрине

Вот и проверю, т.к. по умолчанию в чистом андроид 8 и 9 отображение включено по умолчанию.

ну и лох

почему сразу лох? может он специально на карте держит умышленно небольшую сумму, как раз для случая отдавания.

или забашлял за страховку карты от таких случаев.

специально на карте держит умышленно небольшую сумму, как раз для случая отдавания.

это психология и поведение жертвы

эту небольшую сумму можно было бы потратить хотя бы на газовый баллончик

ты биометрию уже никогда не сменишь

уже продается в даркнете, кто сдал - «молодцы» заскамлены навечно, слив денег + тотальная слежка с камер

балончик конечно иногда дает некоторое тактическое преимущество, но абсолютизровать не стоит его.

и боьлшинство людей, носящих с собой ножи, балончики, травматы, etc - обычно попадают в настолько жопные по глубине ситуации, в какие ничем невоороруженные люди не попадают впринципе. ибо наличие присутствия этого эфемерного тактического преимущества меняет ход мыслей и даже развивающихся событий.

хотя может лично ты тратишь время на трениновки поддержания навыков применения балончика регулярно, аж по 3 раза в неделю и у тебя все будет по-другому.

В альфе можно отключить вход по отпечатку в приложение, оставить только пинкод.

и боьлшинство людей, носящих с собой ножи, балончики, травматы, etc - обычно попадают в настолько жопные по глубине ситуации, в какие ничем невоороруженные люди не попадают впринципе.

Намекаешь на историю, случившуюся в Красноярске?

тратишь время на трениновки поддержания навыков применения

Не тратишь, а инвестируешь. И это правильный подход. Тем более, что ГБ лучше всего работает совместно с навыками рукопашного боя, а вот их точно купить раз и положить в карман не получится.

что при реальной угрозе отрезания пальца

Не надо ничего отрезать. По отпечаткам, которые владелец оставляет повсюду включая поверхность смартфона, можно изготовить муляж и пройти проверку. Злоумышленники уже научились обходить все защиты сенсоров отпечатков пальцев.

Отпечатки пальцев - решето.

Точно также имея физический доступ к смартфону и сумев его разблокировать, можно залогинится с СМС подтверждением в онлайн-банкинг и рулить всеми твоими деньгами подтверждая операции опять же через СМС коды

Если банковского приложения нет, то всё-таки нельзя: нужно ещё знать пароль.