Как Сбербанк Онлайн сливает данные пользователей

Как Сбербанк Онлайн сливает данные пользователей Сбербанк онлайн, Защита информации, Скрипт, Видео, Длиннопост

В связи с тем, что мне не удалось связаться со Сбербанком, точнее — с кем-то вменяемым с той стороны, хочу поделиться, чтобы если не исправить утечку данных, то хотя бы предупредить о ней.

Как Сбербанк Онлайн сливает данные пользователей Сбербанк онлайн, Защита информации, Скрипт, Видео, Длиннопост

Совсем недавно случайно обнаружил, что Сбербанк Онлайн густо утыкан счетчиками. Это Google, Doubleclick, Rutarget, ЯМетрика. Еще раз подчеркну, в личном кабинете, где люди переводят деньги, вводят очень персональную информацию и т.п., в этом личном кабинете натыканы скрипты, которые Сбербанку совсем не принадлежат, а принадлежат совсем не нашим компаниям, например. Давайте посмотрим, что из этого выходит (слайды и видео ниже).


Обнаружил я эту гадость совершенно случайно, поскольку баннерорезаками не пользуюсь и брезгую в силу создаваемых ими глюков. Теперь же я настоятельно рекомендую до исправления ситуации резак включать хотя бы на сайте Сберонлайна, хотя и с ним при включенном резаке были глюки, лично у меня.


Баннерорезка блокирует часть зловредов.

Как Сбербанк Онлайн сливает данные пользователей Сбербанк онлайн, Защита информации, Скрипт, Видео, Длиннопост
Я написал на zabota@ Сберу и в FB. Звонить я не терплю, уж извините. В FB был получен замечательный ответ.
Как Сбербанк Онлайн сливает данные пользователей Сбербанк онлайн, Защита информации, Скрипт, Видео, Длиннопост

Я даже не обиделся, просто записал видео.

Слева сайт Сбербанк Онлайн, справа — мой комп в 20км от того места, где я сижу. При наборе какого-либо текста, включая пароль, данные уходят в журнал на моем компьютере. Заморачиваться не хотелось, потому на все ушло меньше времени, чем я пишу эту статью.


Суть происходящего в следующем:


1) Скрипты могут быть использованы для сбора любой информации, о платежах, картах, паролях и других вводимых и отображаемых данных.


2) Скрипты могут не принадлежать тем хостам, с которых их изначально планировалось брать (в видео выше я подменил один из скриптов на свой), поскольку оценка безопасности перекладывается на браузер пользователя, изначально крайне небезопасную вещь.


3) Скрипты могут быть использованы для подмены вводимой информации.


На видео я демонстрировал только дублирование ввода пароля. Просто потому, что не хочу входить в свою учетку публично.


Началось все с моего форума, но, к сожалению, никакого результата это не дало.


Источник:https://geektimes.ru/post/289577/

Дубликаты не найдены

+190
Иллюстрация к комментарию
Иллюстрация к комментарию
раскрыть ветку 51
+35
раскрыть ветку 8
+16
раскрыть ветку 6
0
Комментарий удален. Причина: данный аккаунт был удалён
+65

Видимо ТС несколько лет отсидел за клевету на сбер, но выйдя на свободу всё никак не угомониться

раскрыть ветку 37
+130

Медленно положи мягкий знак на пол и толкни его в мою сторону

раскрыть ветку 3
+24

видимо ТС спиздил где-то статью, но не посмотрел на дату написания этой статьи )
одна из проблем интернета, что за десятилетия накопилось столько инфы, что когда находишь, возникает вопрос, а актуальна ли она на текущий момент?

раскрыть ветку 1
-2
... никак не МОЖЕТ угомнониться.
-3
Более того, как злоумышленник зная даже пароль сможет хоть чтото сделать без мобилы пользователя и смс
раскрыть ветку 29
+3

Левый скрин - сейчас интерфейс другой

раскрыть ветку 1
+3
Комментарий удален. Причина: данный аккаунт был удалён
0

А что за фильм? Я по-моему пропустил в этой жизни что-то.

раскрыть ветку 1
0
Сериал "Обмани меня"
+34

Фигня все это. Вы подменили скрипты? А как злоумышленник это сделает? Разве что завирусит ПК и поставит локальный прокс ... Но в таком случае ему пофиг чей скрипт - рутаргета или родной сбера.

Подменит сам Гугл? Ну да, очень оно ему надо. Да даже если и так, то отвечать за утечку будет Сбер.

Другой вопрос, что для таких случаев должно задаваться integrity в тэг.

раскрыть ветку 13
+14

Согласен с человеком.

Для начала, все эти скрипты маркетинговые и могут использоваться для ремаркетинговых кампаний. Не только чтобы показывать определенную рекламу, но и для того, чтобы НЕ показывать её тем, кто уже клиент банка.

Да, тем же аналитиксом можно легко собирать пароли. Тут вопрос уже о том, у кого есть доступ к ГА сбера и о двухфакторной аутентификации. Но пароли и другая конфиденциальная инфа, так или иначе, хранятся в базе и к ней у кого-то есть доступ.

Кстати, когда я работал в банке, мы одно время собирали телефоны юзеров в ГА - для идентификации. Ребята из гугла связались с нами и настойчиво попросили не делать так. Предложили использовать встроенную опцию ГА для идентификации юзеров. Так что они мониторят кто и что собирает.

Как по мне, бояться стоит всякого рода тулбаров сомнительного происхождения, а не метрики и ГА.

раскрыть ветку 10
+10
Вы в общем правы, кроме одного: "пароли хранятся в базе".
У нормально спроектированного ресурса - нет, не хранятся в базе. Вообще нигде не хранятся. Хранятся только их хэши.
раскрыть ветку 9
+3
Тоже люто ржал с поста, ну бред же полнейший, по сути если тебе удалось подменить хосты на компьютеры жертвы то ты с легкостью можешь скачать кэш всего хрома например) Автор путает понятие взлома компьютера жертвы и слива данных банком) чистый хайп, как такое дерьмо до гиктаймся дошло непонятно, причем даже там в комментах сплшная чушь и лишь единицы на это обратили внимание. Хотя да, нечего жаловаться, статья только на гиктаймсе а не на хабре)
+1

Более того, даже зная логин и пароль, как перевести или вывести деньги? Требуется же подтверждение. А для этого придет смс с кодом.

+56

Естественно можно перехватить любой ввод с любого сайта и отправить его куда угодно для себя. Для начала объясните каким образом обходится проверка сертификата? Ответ: никаким, это просто бредовая статья.

раскрыть ветку 10
+10

Два чаю этому господину. Автор поста не слишком то шарит в том что делает, и о каких атаках идёт речь. Более того вводит простой народ в заблуждение своим заголовком. То что на видео показано это подмен скрипта, на скрине все сторонние скрипты имеют защищенный протокол -https(То есть браузер уже намекнет что сертификат не алё). Описываемую атаку теоретически можно провернуть если подменить сертификат в домене, но тогда на кой хрен надо менять скрипты если можно просто подменить страницу?

Ответ от техподдержки норм и объясняет суть на кой там эти скрипты сдались.

Мораль проста, автору лечить навязчивое желание искать баги(данный месье с утра на храбре повесилил). А простым пользователям, если увидят что браузер говорит что сертификат не тот тыкать разорвать соединение.

раскрыть ветку 1
+1
Не поста,а статьи на Гитхабе,этот просто копипастер
+3

Ну, в принципе всегда возможны утечки сертификатов - тот же скандал со startssl возник из-за того, что они выдали сертификаты на чужие домены. Но в общем случае да - если уж на комп умудрились поставить чужой корневой сертификат, то не поставить заодно кейлоггер - просто глупо.

-6

ты фронт на стороне пользователя шифровать собрался ?

раскрыть ветку 4
+9
Я ничего не собрался делать. С чего бы мне шифровать что-то на стороне пользователя, если SSL работает не плохо.
+4

Автор статьи не пояснил как собирал информацию о введенных данных

раскрыть ветку 2
-18
Ха, с чего бредовая? ТС прав. Причем в каждом слове. Он только что выложил в открытую вектор атаки на любого клиента сбербанка. Подмену сертификата можно организовать, это даже легко. А ну-ка пойду все эти счётчики нахер обрежу в своих сетях офисных.
раскрыть ветку 1
+2

Автор говорит, что это делается за 3 минуты, где же тогда сотни жертв?

ещё комментарии
+9

Господи, я получаю инфу с формы имея рут на комьютере. Я ёбанный гений

раскрыть ветку 1
0

Когда мне было 9 лет, одноклассник попросил меня дать ему поиграть на комп какую-нить игруху. У меня был дюк нюкем 3д. И дискета на 1.44 мб. Я записал на дискету ярлык. Проверил- все работает. Профит! Да еще и дискета почти полная.

+23
Белкиистерички.жпг
Вот фу таким быть - тиснул параноидальную статейку с гиктаймс - и сразу на пикабу за плюсиками. Там же в комментах, если что, всю паранойю развеяли.
Вкратце - подгружаются гугльаналитики и собственные скрипты сбера с цдн по ссл. Вот сильно сомневаюсь, что Гугл денег спиздить хочет.
раскрыть ветку 5
+8

Так что, минусомет готовить или нет?

раскрыть ветку 1
+7

да

+4

Помогу с картиночкой)

Иллюстрация к комментарию
-9
Дело не в этом, а в том что это не кошерно. Эта дыра. А дыры надо затыкать. Сигнальчик для системного администратора однако.
раскрыть ветку 1
+2

В чем дыра то?
см: #comment_88409874

ещё комментарии
+6

Я вот на нашем сайте не вижу вводимых паролей из метрики

раскрыть ветку 4
-1
Потому что автор идиот.
Скрипты сайта не имеют доступа к полям ввода с типом "пароль". К ним имеет доступ только сам браузер.
раскрыть ветку 3
+2
раскрыть ветку 2
+13
Не надо пользоваться онлайн банком из небезопасной среды, подмена запросов на стороне компьютера пользователя делает не безопасным компьютер, а не интернет ресурс. В свою очередь т.к. совершаются потенциально опасные операции, для подтверждения операции используется смс подтверждение, которые не обойдешь никакими подменами. Паника на пустом месте.
раскрыть ветку 12
+3
Так то sms подтверждение уже давно скомпрометировано.
+2

https же

раскрыть ветку 3
+1
На стороне клиента можно подменить и https, для винды тот же Fiddler. Но без смс все равно ничего не сделать.
раскрыть ветку 2
0
Первая мысль - ну а смысл? Аутентификация по смс один фиг. )))
раскрыть ветку 6
+6
И тут вспоминаем про андройд, где любое приложение может иметь доступ к СМС (вспоминаем любой месенджер, который шлет код в виде СМС и сразу сам его подхватывает).
раскрыть ветку 5
+10

Хм... Это все метрики, которые сами ничего никому не пересылают. Их используют, чтоб понять что пользователи и когда делают, чтоб улучшить интерфейс в программах или геймплей в играх. Насколько я могу судить по тому что рассказывал знакомый, которых разрабатывал программы для сбера: там если кусок кода не понятен - программиста начинают допрашивать что, как и для чего. Потом его слова с аналитиками сравнивают и если хоть что-то не так - писец котенку. Они просто боялись использовать хитрые заморочки языка для оптимизации, чтоб к ним не прикапывались. Так что вряд ли там что-то важное пересылали в статистику.
Можно подробнее узнать как это получилось, что метрики передавались не на сервер метрик, а на личный пк? Как я понимаю, это что-то связано с подменой либо скрипта, либо адреса сервера метрик. Но в этом случае удаленно это все не подменить, если только не будет перенаправления через hots. А это уже уязвимость не сберонлайна, а пк, с которого был вход, не?

раскрыть ветку 6
+9

забей, автор мамкин хакер просто

раскрыть ветку 1
+1

100%

0
Да автор "немного" не в теме, но есть один важный момент, про который все забывают углубившись в технические детали.
На странице ввода конфиденциальной информации есть сторонние скрипты. Безопасность этих скриптов зависит уже не от службы безопасности банка, осуществляющей контроль персонала, а совсем от других организаций. И исходить из того, что "Гугл тырить деньги не станет", "Яндексу это не надо" и т.д. не совсем верно. Кроме того там есть и менее именитые поставщики. Тут достаточно приехать к сотруднику одного из таких поставщиков, имеющего достаточный уровень доступа, поговорить с ним "душевно" и получить полный список Логинов и паролей на блюдечке.

Конечно, ни кто не отменял двухфакторную авторизацию и другие элементы защиты, но факт остаётся фактом. Чужие скрипты в закрытой части и на странице автрризации - отсутствие гарантии ее безопасности.

P.S. Но заголовок конечно слишком громкий, а видео вообще порадовало - наброс на вентилятор. Такое видео можно запилить и без всяких подмен вообще)
раскрыть ветку 3
+2

Если я не ошибаюсь, то для метрик не нужны библиотеки. Клиент просто генерирует http запрос к серверу метрик с нужными параметрами и не более. А вот клиент метрик уже внутри себя эти данные обрабатывает, сортирует и выводит аналитику

0

Представим, что у него есть эти логины и пароли и что дальше? Как перевести или вывести деньги, если у сбера включено подтверждение операции через временные пароли, которые приходят на мобилку в виде смс или временный пароль через банкомат (чек)?

-1
да, тоже прифигел от этих технически подкованных дурачков, которые за деревом леса не увидели, придравшись к замене автором скрипта. Которую он сделал только для примера что именно может уплыть на левые ресурсы. Я конечно в этом нихрена не понимаю, баян это, старые скрины сбербанка, или чо там курил автор, но техноидиоты посмешили
+7

Как жаль специалистов техподдержки, которых, ты, автор, скорее всего успел задолбать. Честное слово, надень свою шапочку из фольги и тихонько сиди.

Или вникни в предмет немного глубже и пойми, что был не прав.

+22

Я ничего не поняла, но напряглась сильно.

раскрыть ветку 21
+21

Расслабь булки

раскрыть ветку 4
+17

И получай удовольствие?

раскрыть ветку 1
+4
А теперь напряги
раскрыть ветку 1
-3
Лучше не расслабляй , так намного лучше ))
-8
Если коротко - все данные из ЛК Сбербанк.ОнЛайн могут читать все кому не лень, а при небольшом усилии еще и деньги тырить.
раскрыть ветку 14
+2

В прочем, все кому не лень, уже так и делают. Вот только это касается собственного ЛК Сбербанка =)

-4

нихуя не так, как подано, яндекс и гугл могут спиздить ваши деньги(нужны ваши 15к в месяц таким гигантам)

раскрыть ветку 12
ещё комментарии
+7

Ghostery мне помогает и вам поможет.

раскрыть ветку 10
+5

Вы предлагайте давать доступ расширениям браузера к странице банка? Оригинальный подход к безопасности.

раскрыть ветку 5
+1

Ад параноика. За вами следят, но устройства, которые помогают скрыться тоже следят. У стен есть глаза.

Иллюстрация к комментарию
раскрыть ветку 2
0
Даже Ublock origin не безопасен?Он же вроде опен сорс.

Он отсылает кому-то какие-то сведения или что?
Кто разбирается во всём этом, скажите, действительно надо выключать дополнения на важных страницах (банка, например)???

раскрыть ветку 1
0

Ghostery - на страже вашей безопасности.

раскрыть ветку 1
+3

на страже вашей паранои.

-1

А мне не помогает иногда. Заходишь так на страницу, а там ничего или не работает что-то. Только потом понимаешь что оно заблочилось.

раскрыть ветку 1
+2

Потому что нужно использовать нормальные списки (чаще всего созданные сообществом), а не использовать расширение с поддержкой только собственных фильтров. Например, uBlock Origin (не uBlock) всегда работает для моего использования. Если что-то и ломается из-за изменения сайтов, я этого не замечаю потому что это всё быстро исправляется (~8 часов -- смотрел на еррор тракерах списков).

+4

Туплю немножк, но ведь вход в Сбербанк Онлайн один фиг подтверждается через SMS, хрен с ним, с паролем?

раскрыть ветку 2
0
Как минимум есть 3 способа заиметь эту смску. Если речь идёт о ЛК очень небедного человека, то атака может быть целевой.
раскрыть ветку 1
0

и так, что это за способы?
1) Подговорить опсоса в офисе сделать клон сим - слишком тупо. Вас найдут на 2ой день

2) Атака по ss7, у вас нихуя не выйдет, т.к слишком сложно и дорого

3) Сделать дубль sim не в офисе - нужна sim на руках и время.

Все способы крайне тупые, для таргетированной атаки

+3

Что это за херня? При чем тут баннерорезки? Не все ли равно какой скрипт подменять: счетчика или родной от веб-приложения?
В любом случае надо сначала этот скрипт подменить, через заражение машины или через митм и потом уже обойти шифрование или подпихнуть скомпрометированный сертификат. То есть что на Сбербанк.Онлайн, что на любом другом сайте, эта атака производится одинаково и со стороны сайта защититься практически невозможно.

Если ор из-за того, что сбер пихает счетчики, то эти самые счетчики вполне себе настраиваются и какие данные в них уходят можно легко проверить сниффером или логированием на шлюзе/маршрутеризаторе.
Пока что все выглядит как паранойя и дилетантство: О боже! Они пихают Яндекс.Метрику, а там есть вебвизор! Что если они его забыли отключить?

Что нужно было предпринять автору: проверить зашифрованы ли соединения, по которым выкачиваются скрипты и по которым они шлют данные, проверить вообще наличие ssl и насколько адекватен удостоверяющий центр, выдавший сертификат, используется ли CSP, какие данные уходят в счетчики и только в случае если где-то в этом списке прокол, то поднимать панику, а еще лучше отписать в саппорт.

раскрыть ветку 2
+2

Пожалуйста остановись - один парень смог получить инфу из формы (на компе на котором у него рут), второй подумал, что это круто и решил похайпиться.

раскрыть ветку 1
+1
Сорри, бомбануло )
+3
Личный фсбшник негодует.
раскрыть ветку 3
0
Тут скорее ЦРУшник.
раскрыть ветку 2
0

Они вдвоем там сидят и негодуют

раскрыть ветку 1
+2

И при этом в их приложении для смартфона говноантивирус и с рутом нельзя ведь. Какая нахуй разница, есть рут или нет? Если под рутом словлю вирусню, ей чихать на эту софтину, по СМСкам всё сделает.

+2

Учитывая список хостов для передачи данных, все они достаточно доверены. "Сливает" данные пользователей практически любой сайт, где есть метрика. А подменить скрипт или добавить скрипт тебе могут даже на чистом сайте, если будешь шляться где не нужно. Толку резать аналитику?

+2

Судя по скринам и курсам валют, чувак пишет из прошлого.

раскрыть ветку 1
0

Да и интерфейс там уже давно обновили

+2

Ghostery и AdBlock помогут?

раскрыть ветку 3
+3

да

раскрыть ветку 2
-1

ни

раскрыть ветку 1
+1
В век цифровых технологий, вы все ещё думаете что защищены?
Вспоминается " Если вы ещё не сидите, то это не ваша заслуга, а наша не доработка (с)"
Я думаю все кому надо, данные ваши уже получили. К сожалению (
0

мне Яндекс.Дзен сначала предложил это статью на geektimes - прочитал, теперь кидает копию с пикабу

0

Скорей бы Земля  - налетела на Небесную Ось...

0
Это всего лишь метрика. Такие скрипты вставляют для вычисления посещений разных страниц. И только, создано для того чтобы посмотреть выходят сразу пользователи с этой страницы или нет? В общем просто статистика поисковых систем. Ничего они не воруют!!
раскрыть ветку 1
-1

DNS spoofing, иная подмена ip сервера-источника даёт возможность добавить свой скрипт в дополнение к скрипту метрики. В случае отсутствия https на сервере-источнике задача сильно упрощается. Скорее всего речь об этом, но без подробностей остаётся лишь исследовать вопрос самостоятельно либо догадываться

0
Тебе сказали не волнуйся, а ты волнуешься
0
О, а я полностью переписал главную страницу сайта Пентагона простым нажатием f12. Йа ниибаццо хакир.
0

Автор с шизой. Показывает подмену сертификата, при этом меняя один скрип. Почему тогда нельзя было подменить страницу целиком?

0
Ушёл из этого банка в другой , сбер зажрался
0

Теоретически слить твой пароль можно, если программист, писавший страницу его отправит. Но тут метрика не при чём. Подобная ситуация может теоретически существовать на любом сайте. Выводы автора ОЧЕНЬ притянуты за уши.

0

Почитайте про сервис segmento. Он использует данные собранные сбербанком. И показывает вам рекламу) И угадайте кому он принадлежит?)

0

Параноики блин

раскрыть ветку 14
+4
Да, сэр. Психи с гиктаймса, сэр.
-9

WannaCry было мало?

раскрыть ветку 12
+6

Это другая тема. Это все равно что после крушения самолета бояться велосипедов, потому что на них можно утонуть.

раскрыть ветку 9
-1
Ну большинству было мало)) не учатся люди на чужих ошибках. А пикабушка это не место для админов, так что тут этот пост бесполезен. Вы на комменты посмотрите это же просто юзеры между собой срутся не зная сути вопроса.
раскрыть ветку 1
ещё комментарии
-1

П - паранойяяяяяя

Как можно жить в Интернетах без АДблока?

Я как-то увидал знакомую страницу без блокинга - чуть глаза не вытекли от ужаса лево- и право- бережной рекламы, всяких частей тела и прочих непотребностей...

Жуть-кошмар!!!

раскрыть ветку 1
-1

Сегодня столкнулся. Адблок не блокирует Яндекс-Директ. Потратил час, но так и не смог его блокировать. В сети отметили, что ЯД Адблок не берёт.

-1
интересно, а с unicredit такое зайдёт?
-1
Это они типа такие крутые, но не в состоянии запилить свою аналитику??? При тех зарплатах в сбертехе???
-3

AdBlock - мой выбор.

раскрыть ветку 2
0
Btw, Adblock уже давно проплаченный кусок говна. ublock origin режет куда лучше
-2

тут он не помогает

-4

Вот поэтому и просят мобильные пароли мошенники, потому что таким образом они получают логин и пароль от кабинета.

-4
На banki.ru оставьте отзыв
раскрыть ветку 1
0

Сберыч этими отзывами подтирается, в отличие от других банков.

-4
Адблок и есс нод32
-5

ВНИМАНИЕ!!! Два часа назад у моего коллеги сняли деньги с карты СБербанк В Тайланде!!!! Просто прошла транзакция в Таиланде, в отеле, на сумму 8500 тайских бат, около 15000 рублей России, но он в России!!! Просто больше суммы не оказалось, приходили отказы по смс! Он названивал на горячую линию в Сбер, а они несут хуйню, типа, может это вы сделали бронь в отеле?! Короче полный пиздец, товарищи!

раскрыть ветку 4
+1

И чё? Причём тут вообще это

ещё комментарии
-5

Да сбербанк и так все о вас знает.

раскрыть ветку 4
0
Так тут потенциально не только сбер, но и совсем чужие дяди
раскрыть ветку 3
+3

Google? Они о вас знают ещё больше. А rutarget принадлежит Сбербанку, поэтому расслабьте ягодички.

раскрыть ветку 2
-6

Пользуйтесь Альфабанком, у них такой хни нет :-).

-6
Госты, ноды, адблоки, хуеки... только наличка только хардкор. Сейф, собака, карабин - надежнее. Никакая мразь не украдет и ты всегда знаешь сколько их у тебя. Надо что-то оплатить виртуально? Закинул - оплатил. А хранить цифры у себя в телефоне, которые по факту тебе не принадлежат - бред.
раскрыть ветку 6
0

нет никакого способа обезопасить свои сбережения на 100%, могут как со счета в банке спиздить, так-же могут и твой сейф спиздить.

раскрыть ветку 3
+1

Или дефолт запилить, и деньги все равно "сгорят", будь они даже в брюхо зашиты)

раскрыть ветку 2
0

Граждане! Храните деньги в сберегательной кассе! Если, конечно, они у вас есть ;-)

0

Зато как удобно

-6

Всеравно без телефона к которому привязан логин и пароль сбербанк онлайн - не зайдешь и ничего не сделаешь.

раскрыть ветку 37
+10
К сожалению, все что связано с телефонией дырявое как решето. Уже вагон историй как телеграмм взламывали. Надеяться на защиту номером не стоит.
раскрыть ветку 4
-3

Телеграмм - другая тема.

раскрыть ветку 3
+9

копия сим-карты сейчас делается на раз. так что не защита от слова совсем.

раскрыть ветку 24
+2

Во-первых, не совсем "на раз", во-вторых, имея рабочую симку и без пароля от ЛК можно денег снять.

раскрыть ветку 2
0

Как сделать копию симки, не имея её на руках?

раскрыть ветку 18
-2
Три года в МТС работал. Расскажите мне как сделать копию сим-карты.
раскрыть ветку 1
+2

Так-то на видео демонстрация простенького скрипта кейлоггера, но ничто не мешает прикрутить подмену данных, и тогда введя ваш ответ по смс вы сами отправите деньги злоумышленнику, а способов реализации "на чем подловить пользователя" можно придумать вагон и маленькую тележку. Да можно вообще в автоматическом режиме прикрутить через ваш роутер, левый "свой" днс сервер и вы долго будете выяснять почему у вас пропадают деньги вашими же руками.

раскрыть ветку 6
+1

ПАРАНОЙЯ)) Как ты  зайдешь в сбербанк онлайн без кода подтверждения по смс?

раскрыть ветку 4
0

Да и при любом входе в сбербанк онлайн в любом случае приходит уведомление что произведен вход. Если человек тупой то ему ни какие меры осторожности не помогут- многие тупо данные своей карты дают мошенникам или  код для привязки к сбербанк онлайн на телефоне и не надо никаких троянов,кейлогеров,подмен номеров и т.п

-11
Судя по распространению WannaCry в крупных компаниях долбоебов на должности системных администраторов дохрена, а судя по Сбербанк.Онлайн еще и программистов...
раскрыть ветку 5
+8

Да сабж - херня. ТС мутит воду на пустом месте и желтом заголовке.

ещё комментарии