как обойти одноразовый код сбербанка
Украсть без пароля. Мошенники научились выводить деньги через «Сбербанк Онлайн» в обход защитного кода
Россияне жалуются на кражи денег с карт Сбербанка через онлайн-сервис. Клиенты не получают push-уведомлений о переводах средств или SMS с кодами для подтверждения оплаты покупок. А просто внезапно узнают, что счет опустошен мошенниками.
Закупиться за чужой счет
Москвичка Марина Зайцева стала жертвой мошенников, о чем рассказала в Facebook. Обнаружив, что злоумышленники взломали ее «Сбербанк Онлайн», женщина позвонила в кол-центр и попросила заблокировать счета. Оператор сказал, что сделал это. Но всего через несколько минут Зайцева получила SMS об оплате ее карточкой покупок на 51 990 рублей на сайте «Беру.ру». Хотя 3dsecure-код для подтверждение оплаты ей не приходил.
Повторный звонок в кол-центр принес неутешительные новости. Карта оказалась не заблокирована, деньги списали. На все претензии сотрудница посоветовала Наталье обратиться в полицию. В партнере Сбербанка маркетплейсе «Беру.ру» тоже не смогли помочь Марине. Сотрудница нашла заказы и начала их было отменять.
«Потом просит вдруг неожиданно меня подождать и через пять минут сообщает, что она ошиблась! И она не видит эти заказы, которые она видела только пять минут назад и, более того, начала их отменять! И она советует мне обратиться в полицию», — добавила Наталья.
Запретить уведомления
У 69-летнего пенсионера, бывшего программиста Сергея Сидорова (фамилия изменена) мошенники украли 30 тысяч с кредитной карты. Злоумышленники вошли в его «Сбербанк Онлайн» с нового номера телефона. На пенсионной карте «Мир» денег почти не было. Поэтому мошенники добавили свой номер в список для отправки уведомлений об операциях по кредитке и отключили сообщения на номер Сергея Викторовича. Это может сделать любой клиент банка или мошенник.
«Как можно оставлять возможность отключать основной телефон? Объяснение от Сбербанка: „А вдруг вы потеряли телефон“? Да если кто-то потерял, пусть побегает кругами, пока все не переоформит! Но разрешать всем такое делать нельзя!» — возмущается Сергей Викторович.
В даркнете свободно продаются номера карт. А подобрать срок действия и CVV-код для современных хакеров не представляет труда. Собеседник «360» не называл никому свои банковские данные, а карточкой пользовался только для оплаты парковки. Поэтому полагает, что именно через номер карты злоумышленники попали в его «Сбербанк Онлайн».
После этого мошенники похитили 30 тысяч рублей с карты. Затем попробовали вывести еще 58 тысяч, но помешал ежедневный лимит. Попытки продолжались несколько дней. К сожалению, как и многие его ровесники, Сергей Викторович редко читает SMS. И заметил неладное, когда деньги были украдены. Сейчас пенсионер написал заявление в службу безопасности банка и собирается обратиться в полицию.
«Перевод был из Сбербанка на счет в Сбербанке. И мне служба поддержки сказала, что они не могут отменить этот платеж. Сейчас счета заблокированы, я ничего не могу сделать. А там же большие проценты капают за пользование кредитными деньгами. А проценты, как я понимаю, они сейчас с удовольствием в свой карман считают», — заключил Сергей Викторович.
Обновление от 28 июля 2020 года: по словам сотрудника пресс-службы Сбербанка Анастасии Гулы, они не фиксируют массовых жалоб на кражи денег через приложение. Помимо фрод-мониторинга, для повышения безопасности организация использует одноразовые пароли для подтверждения рисковых операций. Например, при онлайн-покупках по банковским картам подтверждение с помощью пароля требуется при каждой операции.
«К сожалению, клиенты нередко пренебрегают требованиями кибербезопасности и разглашают мошенникам реквизиты карт и пароли. Это дает возможность злоумышленникам не только совершать операции от имени клиентов, но и подключать новые услуги, активировать бесконтактные платежи и регистрироваться в мобильном приложении „Сбербанк Онлайн“», — добавила Гула.
Возможность для мошенников
Если банк дает возможность перевести отправку уведомлений и 3dsecure-кодов на другие номера, то мошенники вполне могут этим пользоваться, согласился руководитель Агентства кибербезопасности, член экспертного совета комитета Госдумы по информационной политике Евгений Лившиц.
«Что касается подбора срока действия и покупки номеров карт в даркнете, то там продаются данные карт уже со сроком действия. Никаких проблем с этим нет. К сожалению, этих утечек много. Зачастую они связаны с сотрудниками банков. Они принимают в этом непосредственное участие», — утверждает эксперт.
В ситуации с Мариной Зайцевой Лившиц предположил, что хищение произошло из-за нерасторопности сотрудницы Сбербанка. Если клиент обратился с просьбой заблокировать карту из-за угрозы кражи средств, это нужно делать молниеносно. Хотя многие кредитные организации самостоятельно блокируют счета при попытках подозрительных транзакций.
«Такие случаи происходят ежедневно. Объективной статистики нет, а та, что есть, точно кратно хуже. Сами банки эту информацию не сообщают, для них это большие репутационные потери, для стоимости акций тоже. В правоохранительные органы обращается маленький процент людей, потому что понимают, что вероятность успеха близка к нулю», — заключил собеседник.
Ваш телефон — ключ к вашим деньгам или о безопасности входа в мобильное приложение Сбербанка
Представьте ситуацию: оставили вы на 5 минут без присмотра телефон (например, на зарядке). Возвращаетесь и видите SMSку о переводе крупной суммы денег 3-ему лицу. Представили? А это ведь легко может быть реальностью… В статье пойдёт речь о не очень безопасной системе входа в мобильное приложение Сбербанка, дабы предупредить пользователей о возможности финансовых потерь.
После того, как у меня затупил телефон, мне пришлось сбросить его к заводским настройкам. Установив из Play-маркета приложение «Сбербанк Онлайн», и прождав значительное время, пока приложение сканирует телефон на наличие вирусов, создаётся полное ощущение, что тут всё хорошо с безопасностью. Но каково же было моё удивление, когда после ввода логина и готовности ввести пароль, вместо него меня просят ввести SMS-код, который тут же пришёл на этот же телефон!
Сначала я подумал, что возможно где-то на карте памяти сохранился какой-нибудь идентификатор сессии, из-за которого не надо проходить процедуру ввода пароля, а достаточно пройти упрощённую процедуру подтверждения по SMS. Но это было не так.
Тогда мы с коллегой решили проверить на его телефоне, смогу ли я войти в его приложение. Мы берём его телефон, открываем приложение, выбираем «Сменить пользователя» в меню, вводим логин (который секретным не является и используется им на разных сервисах). И, бинго, опять вводим SMS-код и оказываюсь внутри приложения с полным доступом ко всем финансам! Всё дело заняло пару минут времени.
А как же блокировка телефона по паролю/секретному ключу/отпечатку пальца, спросите вы? Ну во-первых, дело тут не в устройстве а SIM-карте. И полный возврат к заводским настройкам также может свести на нет всю защиту, просто это будет немного дольше.
Кроме того, в ОС куча приложений, которые просят разрешений на чтение SMS. Не удивлюсь, если появится вирус, способный сымитировать вход в приложение с чтением и последующим входом кода из SMS.
А что Сбербанк?
Через обратную связь я писал дважды об этой проблеме сбербанку и оставил отзыв на banki.ru. Но сбербанк судя по всему не считает это проблемой. Кроме того, в условиях использования был найден следующий пункт:
Не совмещайте устройства доступа к системе «Сбербанк Онлайн» и устройства получения SMS-сообщений с подтверждающим одноразовым паролем (например, мобильный телефон, смартфон или планшет). Для мобильных устройств созданы специализированные версии системы.
При утрате мобильного телефона, на который Вы получаете сообщения с SMS-паролем, сразу же обратитесь к оператору сотовой связи и заблокируйте SIM-карту.
То есть фактически приложение нельзя ставить на тот же телефон, на который приходят SMS-ки.
Одноразовые пароли для Сбербанк онлайн
Идентификатор (или логин) пользователя и постоянный пароль используется каждый раз при входе в личный кабинет системы Сбербанк Онлайн. Это первая ступень защиты дополняется еще и одноразовым паролем, высылаемого в СМС-сообщении.
Чек со списком одноразовых паролей
Если вы будете получать идентификатор и постоянный пароль для входа в систему Сбербанк онлайн через терминал или банкомат Сбербанка, то сразу распечатайте и чек со списком 20 одноразовых паролей.
Срок действия этих паролей неограничен по времени, но при получении нового чека пароли с предыдущего становятся недействительными. Можно использовать пароли только с последнего полученного чека.
Пароли на чеке пронумерованы. При подтверждении операций с помощью паролей из чека, система Сбербанк Онлайн указывает номер пароля, который нужно ввести. Номера запрашиваются в произвольном порядке. Желательно помечать уже использованные пароли, чтобы вы могли контролировать их количество.
SMS-пароли для входа в Сбербанк онлайн
Для получения СМС-паролей никаких запросов делать на номер 900 не нужно. Банк сам определит момент, когда вам потребуется пароль и автоматически сгенерирует секретный код. Вам нужно лишь держать рядом включенный и заряженный мобильный телефон, на который придет сообщение с паролем. Естественно, номер этого телефона должен быть подключен к банковской карте через услугу Мобильный банк Сбербанк.
В целях безопасности выполняемой платежной операции, одноразовый SMS-пароль высылается на мобильный телефон в процессе выполнения операции, причем в SMS-сообщении указываются и параметры данной операции, для которой этот пароль предназначен.
Одноразовый SMS-пароль действует только для подтверждения конкретной операции. При генерации очередного одноразового пароля, полученного через Мобильный банк, информация о предыдущем пароле уничтожается.
Какие одноразовые пароли лучше использовать
Если карта подключена к услуге Мобильный банк, то при входе в личный кабинет вам обязательно потребуется указать и одноразовый пароль, высланный в виде СМС. Далее, после входа в систему у вас будет возможность выбрать способ подтверждения операций одноразовым паролем или паролем с чека. При условии, что подтверждение данной операции можно выполнить любым из описанных типов одноразовых паролей.
Это очень удобно, поскольку мобильная связь иногда может «отказать» или запоздать смс-сообщение, ведь действие одноразового пароля всего 300 секунд. И вот тогда можно воспользоваться паролями с чека.
В таком случае появится вот такое окошко, где будет указан порядковый номер одноразового пароля. Вычеркивайте уже «использованные» пароли или ставьте «галочки». Это нужно для того, чтобы вы знали, сколько еще паролей осталось на чеке и своевременно получить новый список в банкомате.
Статья носит лишь информативный характер и не содержит все детали, касающиеся системы Сбербанк Онлайн. Более подробную информацию вы можете узнать на сайте банка.
Обратите также внимание на дату публикации. Возможно, к этому моменту часть информации изменилась или устарела.
Дата публикации: 18/10/2015
Логин для входа в Сбербанк онлайн
Логин пользователя используются для входа в Сбербанк Онлайн. Как создать логин для входа в личный кабинет.
Перевод с карты на карту в Сбербанк Онлайн
Перевод с карты на карту в Сбербанк Онлайн. Размер комиссии за перевод денег через Сбербанк Онлайн.
Автоплатеж в Мобильном банке Сбербанка
Как подключать или отключать Автоплатеж в Мобильном банке и другие особенности этой услуги Сбербанка.
Перевод на карту по номеру телефона
В системе Мобильный банк перевод с карты на карту Сбербанка можно выполнить по номеру телефона.
Как разблокировать Мобильный банк Сбербанка
Как разблокировать, временно отключенную вами или банком, услугу Мобильный банк Сбербанка через телефон.
Как отключить Мобильный Сбербанк
Как временно отключить услугу Мобильный Сбербанк или временно заблокировать доступ к мобильному банку Сбербанка.
Комиссия за перевод с карты на карту Сбербанка
Размер комиссии за перевод денег с карты на карту Сбербанка. В каких случаях возможен перевод денег на карту без комиссии.
Как получить одноразовый пароль для входа в Сбербанк Онлайн
Интернет-банкинг стал неотъемлемой частью жизни большинства клиентов Сбербанка. Это обосновано удобством, быстротой выполнения операций и низкой комиссией за это. Для проведения платежей нужен одноразовый пароль Сбербанка Онлайн, который можно получить двумя способами.
Для каких целей создан код
Пароли, получаемые клиентов для выполнения только одной финансовой операции, делятся на два вида (классификация приводится по способу их получения):
Важно знать, что войти в Сбербанк Онлайн по коду из СМС невозможно до тех пор, пока не будет подключена услуга Мобильный банк. В обратном порядке схема не работает, нельзя сначала войти в Сбербанк Онлайн и получить доступ к счетам и картам, а после этого настроить Мобильный банк.
Где взять одноразовый пароль для входа в Сбербанк Онлайн
Все транзакции настоятельно рекомендуется выполнять с применением одноразового кода. Получить его можно при первом входе в Сбербанк Онлайн через интернет с компьютера или в мобильном приложении.
В Мобильном банке
При оформлении любой операции с помощью Интернет-банкинга, пользователь будет получать такой пароль на номер своего телефона. Повторимся, важно чтобы Мобильный банк был подключен. Что нужно делать:
Таким образом, можно получить одноразовый пароль через Сбербанк Онлайн при каждом входе в него. Услуга простая и не потребует много времени.
В терминале
Следующий метод подходит для клиентов дебетовых карт (не кредитка). Необходимо найти ближайший терминал/банкомат и выполнить следующие действия:
Время их использования бессрочное, однако, как только один из паролей был введен – он становится недействительным. Одноразовый пароль от Сбербанк Онлайн можно получить и таким способом. Данный вариант удобен сразу большим количеством кодов.
Если не приходит пароль в СМС
В зависимости от настроек в Личном кабинете, у пользователя может быть только один способ ввода пароля. При использовании одноразового пароля через чек, необходимо заполнить поле, которое появится рядом с данными о проводимой операции. В случае с СМС-кодом данные нужно вводить в строке СМС-пароль. Независимо от выбранного метода, операция будет подтверждена и успешно выполнена.
Причины отсутствия СМС-кода могут быть разными. Наиболее распространенные из них:
Данный список – это наиболее распространенные проблемы. Именно они могут привести к затруднениям во время выполнения операции удаленным методом. Если не приходит одноразовый пароль от Сбербанк Онлайн нужно обязательно позвонить в контакт-центр.
Заключение
Одноразовый пароль Сбербанк Онлайн запрашивает каждый раз, когда вы пытаетесь войти в систему. Это условие безопасности клиентов банка. Получить код можно либо на свой телефон в СМС-сообщении, либо в терминале Сбербанка.
Зачем в системе Сбербанк ОнЛайн нужен одноразовый пароль – правила использования
Одноразовый пароль необходим для дополнительной проверки личности пользователя при входе в Сбербанка ОнЛайн или выполнении наиболее рисковых платежей и переводов через интернет-банк.
В Сбербанк ОнЛайн используются два типа одноразовых паролей:
Внимание! Некоторые платежи и переводы в системе Сбербанк ОнЛайн можно выполнить только при подтверждении SMS-паролем.
Одноразовые пароли на чеке
Сбербанк отказался от использования одноразовых паролей с чеков!
Для любопытных об одноразовых паролях с чека
Чек со списком 20 одноразовых паролей для использования в интернет-банке Сбербанк ОнЛайн можно получить с помощью устройств самообслуживания Сбербанка России (банкомат или терминал). Период действия данных паролей не имеет ограничений по времени, но если Вы распечатаете новый чек, то неиспользованные пароли с предыдущего аннулируются. Следовательно, можно пользоваться одноразовыми паролями только с последнего полученного чека.
Для удобства клиентов, пароли на чеке имеют нумерацию. При подтверждении каких-либо действий с помощью чековых паролей, система Сбербанк ОнЛайн попросит ввести пароль по определенным номером. Пароли запрашиваются в случайном порядке, поэтому будьте внимательны при вводе.
Для переводов и платежей, которые Вы будете подтверждать одноразовым паролем с чека установлен пониженный лимит на сумму одной расходной операции – максимум 3000 руб (см. подробнее раздел Лимиты для Сбербанк ОнЛайн).
Внимание! При потере чека или компрометации указанных в нем паролей, как можно быстрее распечатайте новый чек или заблокируйте «проблемный» по телефонам Контакт-Центра Сбербанка: +7(495) 500-5550, 8(800) 555-5550.
Одноразовые пароли в SMS
Получить и воспользоваться одноразовыми паролями из SMS могут только те клиенты, у которых подключен пакет услуг Мобильный банк к банковской карте Сбербанка России (подключить его можно в ближайшем офисе Банка, либо в устройствах самообслуживания, либо в Контактном центре, если помните контрольную информацию и номер телефона указан в договоре на обслуживание).
Одноразовый пароль передается ввиде SMS-сообщений на мобильное устройство при запросе во время оформления операции, если вход в Сбербанк ОнЛайн Вы произвели по карте, которая подключена к услуге Мобильный банк.
Обратите внимание, что в SMS-сообщение с паролем указываются также реквизиты операции, для которой этот пароль предназначен.
Одноразовый SMS-пароль можно использовать только для одной конкретной операции. При запросе еще одного одноразового пароля, передаваемого через Мобильный банк, данные о предыдущем уничтожаются.
Внимание! Перед вводом одноразового пароля в обязательном порядке необходимо сверить реквизиты совершаемой операции с реквизитами в полученном сообщении. Если Вам поступили сообщения от имени Сбербанка с реквизитами операции, которая Вами не совершалась, не вводите одноразовый пароль в формы ввода и не сообщайте его никому, даже при обращении к Вам от имени сотрудников Сбербанка.
Образец SMS-сообщения с паролем для операции создания шаблона платежа в Сбербанк ОнЛайн:
где: 54321 – одноразовый пароль для подтверждения.
Образец SMS-сообщения с паролем для подтверждения операции перевода:
где: 54321 – одноразовый пароль для подтверждения.
Образец одноразового SMS-пароля для подтверждения операции платежа:
где: 54321 – одноразовый пароль для подтверждения.
Подтверждаем платежи и переводы одноразовым паролем
Если в настройках системы Сбербанк ОнЛайн разрешено использовать любой из указанных выше типов одноразовых паролей, интернет-банк сначала спросит, какой тип пароля Вы хотите использовать в этот раз.
При выборе для подтверждения операции паролем с чека, система отобразит сообщение в котором будет указан номер пароля и поле для его ввода:
Если выбрать Подтвердить по SMS, то на телефон, который подключен к системе Мобильный банк, поступит SMS-сообщение, с указанием реквизитов текущей операции и паролем для ее подтверждения.
