Я не пользуюсь мобильными банками. До сих пор я считал, что это повышает безопасность в случае кражи и потери смартфона. Как же я был наивен!

На днях пришлось взаимодействовать с ВТБ и совершенно случайно я узнал, что для того, чтобы получить доступ к мобильному банку достаточно знать номер карты и... и это всё! То есть, если злоумышленник получает доступ к вашей "симке" и при этом знает номер карточки -- он спокойно ставит приложение и авторизируется! Пароли из банкомата? Зачем, это же так сложно! Прибыли упадут!

Некоторое время не мог прийти в себя. Потом узнал, что точно такая же ситуация и в Сбере.

При этом, я не могу создать счёт, операции с которым были бы не доступны онлайн. Понимаете? Абсолютно все ваши сбережения вы таскаете с собой в кармане! От взлома вас защищает только пароль на Android и надежда на то, что номер карточки злоумышленнику не известен. Что предполагается? "Ну, в случае чего, вы можете позвонить и заблокировать карточку."(c)

Похоже, единственный путь для параноиков, это покупка отдельной "симки" для банкинга. Кстати, тарифы без интернета запрятаны у всех операторов очень глубоко, но всё-таки пока доступны. Правда, надо периодически пользоваться номером, чтобы его не отключили за неактивность.

Интересно, что не смотря на то, что сам я работаю в IT, я не очень доверяю IT-системам, о которых я мало что знаю. Например, я всё ещё сталкиваюсь с проблемами при работе с Госуслугами. Три ситуации за последний месяц со мной и членами моей семьи! Одну из проблем пока так и не удалось решить. И похоже, что это массовое явление. При этом, отсутствие возможности получения услуг без использования IT-систем делает тебя заложником ситуации. Не проходит проверка паспорта? Обращайся в ГУВД! Сайт с услугой проверки паспортов не работает? (И, кстати, не поддерживает https.) Ну, что делать. Никто не знает. :) Хорошо, я хотя бы способен понять, что происходит. А что говорить о людях, для которых IT -- тёмный лес? Так и ходят годами между разными ведомствами.

В общем, везде одно и то же. Тотальная и оголтелая "информатизация" приносит не только пользу, но и вред. Информация -- слишком текучая субстанция. Её тяжело контролировать. Невозможно предотвратить её распространение. Любые базы -- утекают. В любых системах случаются сбои. И если не предусмотрены иные "запасные" механизмы работы, неизбежно возникают "неразрешимые" проблемы.

Я давно не доверяю собственному смартфону. Да и почему я должен ему доверять, если я вижу, что даже фраза произнесённая вслух влияет на выдачу контекстной рекламы? И что история моего браузера уходит куда-то (конечно же, ради моего удобства!) на сервера google? И чтобы это всё отключить, я должен проявить немалое упорство. Почему, зная это, я должен доверять надёжности защиты Android и верить, что мои банковские счета надёжно защищены "кодом доступа"?

Почему я должен решать проблемы неконсистентности баз данных и программных сбоев ведомственных услуг?

Развитие неизбежно. И, возможно, что оголтелая информатизация -- меньшее зло. Особенно, если сравнивать её с традиционной аналоговой бюрократией. Но всё-таки, информация требует более ответственного отношения. Она даёт больше свободы не только нам, но и злоумышленникам! Нельзя, чтобы информатизация развивалась стихийно, по крайней мере в критически важных с точки зрения безопасности сферах.

В ситуации с банками, думаю, победила жадность над здравым смыслом.
В ситуации с Госуслугами скорее всего "сработало" отсутствие нормальных кадров и масштабность задачи.

Причины разные, но во всех случаях прослеживается отсутствие "архитектора". Интересно, я угадал или нет? :)

P.S. Edited: 2021-04-18 12:12:27

hugeping> И что история моего браузера уходит куда-то (конечно же, ради моего удобства!) на сервера google? И чтобы это всё отключить, я должен проявить немалое упорство.

Что интересно, я периодически отключаю персонализацию рекламы и через какое-то время она молча включается снова. Вот прямо сейчас проверил, а там "никогда не было и вот опять" (C)

hugeping> Нельзя, чтобы информатизация развивалась стихийно, по крайней мере в критически важных с точки зрения безопасности сферах.

Вспоминается "Жук в муравейнике". Там постоянно задаётся вопрос: должна ли наука развиваться стихийно? И есть КОМКОН-2.

hugeping> От взлома вас защищает только пароль на Android и надежда на то, что номер карточки злоумышленнику не известен. Что предполагается? "Ну, в случае чего, вы можете позвонить и заблокировать карточку."(c)

Всё-таки, похоже, не всё так совсем плохо. Есть мнение, что в Сбере банк следит за ID устройства при регистрации, географией запросов и так далее. То-есть, есть некая эвристика, которая оценивает риски взлома по доступной информации. Но это вопрос доверия к службе безопасности банка. Было бы гораздо понятнее, если бы доступ предоставлялся по паролю.

hugeping> То есть, если злоумышленник получает доступ к вашей "симке" и при этом знает номер карточки -- он спокойно ставит приложение и авторизируется!

На самом деле даже номер карты не обязательно знать, если в Сбере у тебя подключен смс банк к симке (а он наверное подключен по-умолчанию), то деньги можно выводить смс-командами. И этим наверное можно разведать номер карты.

hugeping> От взлома вас защищает только пароль на Android и надежда на то, что номер карточки злоумышленнику не известен. Что предполагается? "Ну, в случае чего, вы можете позвонить и заблокировать карточку."(c)

Кроме пароля на телефон нужно ставить пин-код на сим-карту. Иначе, если потеряешь/украдут телефон, то пароль на телефоне не поможет, симка просто переставляется в другой телефон и деньги выводятся.

hugeping> Похоже, единственный путь для параноиков, это покупка отдельной "симки" для банкинга.

Также пин код на симку должен помочь.

hugeping> Я давно не доверяю собственному смартфону. Да и почему я должен ему доверять, если я вижу, что даже фраза произнесённая вслух влияет на выдачу контекстной рекламы? И что история моего браузера уходит куда-то (конечно же, ради моего удобства!) на сервера google? И чтобы это всё отключить, я должен проявить немалое упорство. Почему, зная это, я должен доверять надёжности защиты Android и верить, что мои банковские счета надёжно защищены "кодом доступа"?

Вообще гугл с каждой новой версией андроида сильно делает упор на privacy, становится все сложнее вытащить из телефона личную информацию пользователя. Но, как говорилось в одном рассказе: "все животные равны, но некоторые более равны, чем другие" - системные гугловские приложения похоже этим не ограничены.


hugeping> В ситуации с банками, думаю, победила жадность над здравым смыслом.

Кстати в приложении Сбера можно взять кредит не ходя в банк. Так что злоумышленник может не только увести деньги, но ещё и оставить человека должником.

Основная проблема информатизации в том, что те же гос. учреждения зачастую вводят ИС из под палки, в условиях ограниченных ресурсов, часть которых откровенно пилятся. Ну и в очень сжатые сроки, конечно.

В итоге системы годами не работают нормально.

А банки фиг знает отчего такие упыри. Из жадности или из глупости разве что :)

+++ Caesium/0.4 RC1

btimofeev> Кроме пароля на телефон нужно ставить пин-код на сим-карту. Иначе, если потеряешь/украдут телефон, то пароль на телефоне не поможет, симка просто переставляется в другой телефон и деньги выводятся.

Хех, действительно. :) Как тут не стать параноиком?

btimofeev> Кстати в приложении Сбера можно взять кредит не ходя в банк. Так что злоумышленник может не только увести деньги, но ещё и оставить человека должником.

Ох, кредиты, это вообще отдельная тема. :(

Увы пока это только мечты. Современному обществу это не интересно и большинству даже не будет понятно о чем речь и зачем это. Так же как законы робототехники, это будет восприниматься как забавный курьез.
P.S. Edited: 2021-04-23 12:19:23