Банк ВТБ заставил меня начать параноить

Теперь в базе отпечаток, связываемый со вторым фактором и пином.

Второй фактор (смс) вряд ли участвует в формировании отпечатка в базе. Ведь он каждый раз разный. Скорее всего там просто хеш этого пин-кода рядом положили в ещё одну табличку. Ну или хеш пароля с солью в виде пина.

(Мне кажется, что ты всё время неосознанно «подгоняешь» ситуацию под сессионные пин-коды, которые есть у других банков. Здесь, конкретно в случае ВТБ, всё немного иначе).

Я не вру. Я лично проверил. Неужели не видел всех этих сообщений?

Я сейчас увидел от вас: Поправка: На новых устройствах нужен будет код из смс. Это какая-то новая мода на ЛОРе обоссывать самого себя быстрее чем Обезьян слезет с пальмы и приблизится?

Есть еще более простой критерий: деньги у ВТБшников уже все украли и банк банкрот. True или False?

Ну ты что. В Нормальных-То Странах такого нет!

А вот это кстати интересно, я раньше не особенно понимал значение поговорки «если храните деньги в банке, то это деньги банка а не ваши», но ровно до того момента когда понадобилось делать переводы более 500 евро. На мои попытки перевода тыщи евро в другую страну мой банк ответил звонком менеджера и получасовым разговором зачем это я делаю. Захотелось снять бабло в отделении - будь добр напиши (от руки!!!) зочем. НО как с этим в полностью онлайн банках типа революта я не знаю.

С такими зверями в банковской системе, я думаю никакие днепропетровские колл-центры не страшны.

У, да ты реально тупенький. В контекст не умеешь, да? Ведь я даже лично тебе прямым текстом писал, что Речь о том, что в 2FA заменили хороший пароль плохим кодом

И ты даже потом ответил на это моё сообщение. Но, видимо, в стремлении всё обоссать забыл.

Идите уже в угол к взломщику 4х значных пинкодов-паролей. Также как он - дергаетесь как червяк и от вас также воняет.

Но, видимо, в стремлении всё обоссать забыл.

Хохма в том что обезьян не успел, вы оказались быстрее обоссав самого себя.

Дёргаешься здесь только ты. Столько раз обделаться - это надо уметь. Примеры:

Обезьян (обсер номер раз): Это достаточная защита вида куки-слепок браузера, ОС и пароля чтобы угнанные куки были бесполезны.

На самом деле: Нет, в случае ВТБ на другой ОС и веб-браузере 4-х значный код тоже работает

Обезьян (обсер номер 2): Значит они решили использовать слепок ip+mac или что-то подобное.

На самом деле: mac в моем эксперименте менялся как и local ip.

Обезьян (обсер номер 4, третий пропускаю): Вы просто не знаете основ ИБ. 2FA всегда надёжнее пары логин пароль любой длины (1FA). Всегда!

На самом деле: Что так было 2FA (смс+пароль), что эдак (смс + код). Речь о том, что в 2FA заменили хороший пароль плохим кодом.

И так далее. Выводы: тупой, читать не умеет, самомнение до небес. О манере общения уже и не говорю - отвратительная. Да ты не обезьяна, ты хуже.

Давай отделим мух от котлет. Я защищаю технологию, а не её реализацию. Если ВТБ плохо реализовал технологию, тогда ждём волны похищений денежных средств, ведь «телеграм аккаунты угоняют в промышленных масштабах». Деньги, значит, будут угонять ещё быстрее.

Жалкие попытки извернуться как и у хакера 4-значных паролей. Продолжайте трепыхаться, это даже забавно :)

Читаю в интернете по данной ситуации, а там все возгласы в виде - «Ратуйте люди добрые!!!11 Гипс снимают, клиент уезжает, все пропало, шеф!!111»
Хоть бы где выступил специалист по ИБ и разобрал ситуацию.

Пример подобного с яплакал, ВТБ решил разрешить вход в интернет-банк с любых устройств . Можно насладиться тюремным лексиконом тамошнего ТС в комментах.
На многих ресурсах подобное, но, правда, чуть приличней в высказываниях. Похоже, никому не интересно разбирать техническую сторону ситуации, горлом стараются брать.

Крыска бегает по топику и кричит Димцу «ПОКАЖИ СИСЬКИ!!!»

А Димец не показывает.
Ну и правильно, я считаю…
Потому что это будет уже пропаганда запрещённого международного движения сами-знаете-куда.

Пароль измеряется не в объёме.

Ну по объёму бинарника рассматривать плох он или хорош это тоже такое себе. Можно наваять программу на пару десятков строк в которой запользовать функции из разного жирного и собрать стариком, получится прога по коду с гулькину пипиську, а по бинарнику на что-то оооочень солидное похоже.

Ну по объёму бинарника рассматривать плох он или хорош это тоже такое себе.

Это то понятно. 600mb apk долго обновляется, в отличие от 60mb ;)

У сбера унутре антивирус, что там в втб - не знаю.

Хоть бы где выступил специалист по ИБ и разобрал ситуацию.

Тебе уже отвечали тут Банк ВТБ заставил меня начать параноить (комментарий)

И Obezyan писал, как оно в теории должно быть сделано правильным образом.

Пример подобного с яплакал,

нашел, где читать :-) Это далеко не единственное место, где обсуждают.

Похоже, никому не интересно разбирать техническую сторону ситуации, горлом стараются брать.

я думаю, что разобрать её полностью затруднительно, т.к. по сути имеем дело с «черным ящиком». Комментарии ВТБ в обсуждении на pikabu не соответствую действительности.

У сбера унутре антивирус

А откуда дровишки?

С соответствующей энтропией, конечно

Дело же не в том, что PIN чем-то плох, а в том, что в ВТБ обозвали 4значный пароль пином и отменили нормальный

Эмм, это уже лет 10 как, если не больше. Принудительно требует права доступа к файловому хранилищу, без них приложение не работает (во всяком случае так лет 5 назад было, когда я от услуг сбера окончательно отказался). Причем эта хрень реально сканила все до чего могла дотянуться минимум пару раз в сутки.

От самого Сбера.

Не, ну они могут врать, конечно, но объяснение неплохое.

ВТБ обозвали 4значный пароль пином и отменили нормальный

Теперь это как пароли в играх? :)

защищаю технологию, а не её реализацию

какую именно?

Google Play и все, что в нем находится, просто по определению не бзопасны. тогда уж F-Droid

да, у некоторых банков есть такая возможность. а вообще, не вижу проблемы поставить нормальный пароль на телефон просто

ну раньше можно было считать, что если один пакет с сайта разработчика, второй лежит в GP, они имеют одинаковую подпись и ты доверяешь разработчику - то пакет доверенный. Теперь гугол сломал этот механизм т.к требует представлять ему ПРИВАТНЫЙ МАТЬ ЕГО сертификат подписи

Начиная примернр с 2022г. это confirmed fake. После отключения от swift нет никакого практического способа сделать прямой перевод на зарубежный счёт. А значит, все переводы жертвы мошенников делают на российские карты. Причём, полученные по российскому паспорту.

Полиция гарантированно знает паспортные данные мошенников: Банк ВТБ заставил меня начать параноить (комментарий)

Как же так получается, что раскрываемость классических дел о телефонных мошенничествах - примерно в районе 0?

и через отечественных же дропов и растекаются )

Причем эта хрень реально сканила все до чего могла дотянуться минимум пару раз в сутки.

Круто.

Угу, выше косвенные доказательства привели. Интересна мотивация данного поступка, но нам об этом не расскажут.

Пока что вместо задания этого кода я отказался от услуг ВТБ: код не задал, соответственно пользоваться сервисом не могу. Правильно ли я сделал?

Неправильно ты отказался от услуг ВТБ - возьми в руки паспорт и счета закрой. Пока что ты услугами не пользуешься, зато банк их предоставляет.

У ВТБ не так. Никакого «недоверенного» режима, и уведомлений тоже не приходит. Я выше вон обезьяне ссылок накидал.

В обсуждении на pikabu комментаторы писали про суточный лимит 50К после каждой смены цифрокода.

У некоторых банков онлайн-банк сделан так, что вход осуществляется по 1F, а уже при совершении транзакций запрашивают 2F, для существенных транзакций/настроек - ещё и 3F.

Возможно у ВТБ реализована аналогичная схема, только внешне это незаметно.

И справочку надо не забыть взять. О том что все счета действительно закрыты и кредитов и задолженностей никаких нет.

В обсуждении на pikabu комментаторы писали про суточный лимит 50К после каждой смены цифрокода.

Там кто-то нашёл способ менять этот код?

Вспомнилось из сбера. Завожу у них карточку и меня по завершении спрашивают «у вас какая мабила андроид или гейфон?» я удивляюсь вопросу, но честно отвечаю, что я тридварас, на что мне говорят «приходите завтра утром, будет чел который вам установит нашу приложуху», я «а зачем?», они «ну вам же нужно мобильное приложение», я «как нибудь обойдусь без него».

Там кто-то нашёл способ менять этот код?

Как я понял, у того комментатора был запрос на установку нового кода при смене устройства (удалении cookies и пр.). (ссылка)

А поменять оказалось несложно: вместо ввода цифрокода жмешь «не помню», далее вводишь пароль, потом идет запрос нового кода.

это да, но цимес-то в том, что паспортные данные мошенников заведомо известны, но поймать их годами не могут

Это да, многое из происходящего вызывает вопросы )

но поймать их годами не могут

Статья от 3 марта 2025, Началась охота на дропперов

Даже если отловить самих мошенников таким способом сложно, то охотиться на дропперов станет значительно легче — и это уже должно дать эффект: ведь если потенциальные дропперы будут уверены в неотвратимости наказания, это даст большой плюс в профилактике преступлений.

Ну, лучше поздно, чем никогда.

С такими зверями в банковской системе, я думаю никакие днепропетровские колл-центры не страшны.

К сожалению, они научились это обходить.

Там работают профессионалы

Ещё особенность такова, что они не просто профессионалы, они курируются уже очень давно государством, а это уже совсем другой уровень.

Власти возводят новые укрепления на пути мошенников. Уже с 1 марта 2025 года в своей кредитной истории на портале «Госуслуги» можно будет установить самозапрет на оформление потребительских кредитов (включая кредитные карты и счета с овердрафтом) в банках и микрофинансовых организациях

Кстати, забыл про это. Не подскажете, как в точности называется эта опция, я ее немедленно активирую

На Госуслугах в поиск вбить «самозапрет на кредиты», бот предоставит нужные ссылки. Имхо, самый простой способ поиска нужного на сайте.