Взлом Госуслуг через ВТБ: Выводы1
10 дней жизни ушло у меня на то, чтобы понять, как произошёл взлом моих Госуслуг через кабинет ВТБ и оформление на меня онлайн займа мошенниками..
UPD: началось всё это больше недели назад, 16 апреля 24 года с одной скромной смс-ки от отправителя gosuslugi: "Ваш номер телефона на Госуслугах изменён. Если не меняли, обратитесь в поддержку"
Какие выводы я сделала.
Расчетные счета надо закрывать.
Создавая какой нибудь аккаунт, читайте, нажимая кнопку "согласие", на что вы соглашаетесь. Что разрешаете.
Банки - дырявые. Они не защищают ваши данные, но с радостью выдадут быстрозайм онлайн на ваш паспорт.
Пока все спали, Госуслуги (они же Минцифры), вооружившись нашими согласиями при создании аккаунтов на Госуслугах, сделали следующее: есть список банков, через онлайн банк которых теперь можно зайти на Госуслуги .
При этом первичен будет тот номер телефона, который в банке. Даже если ему триста лет. Но вы указали его как контактный.
Ваш авторизованный аккаунт на Госуслугах идёт побоку, если вы заходите через онлайн банк. Если номер телефона в онлайн банке не совпадает с указанным в Госуслугах, как было у меня, то с аккаунта банка вы привяжете к Госуслугам другой номер, другую почту. Без подтверждений.
Что имеем на практике.
На практике в предыдущем посте человек воспроизвёл мою ситуацию, а именно: со своего телефона зашёл в онлайн банк ВТБ другого человека.
У него - номер предыдущего владельца, у которого есть незакрытый счёт. Возможно, такое получается, если никогда не заходил в онлайн банк, как я. Внимание: ввел номер телефона и получил смс. И оказался в чужом кабинете ВТБ. Оттуда можно по вкладке услуги зайти в Госуслуги, поменять номер телефона на свой и подтвердить таким образом данные, заодно завладев и кабинетом Госуслуг другого человека.
При этом чат банка ВТБ говорит, что в этом нет ничего такого и, я так поняла, нормально, что вы зашли не в свой кабинет. Дальше придумайте сами.
Чел заводит свой номер на сайте.
Заваливается в чужой кабинет
Болтает с чатом втб
То есть Госуслуги в лице Минцифры дали банкам право подтверждать аккаунт онлайн банка через Госуслуги, игнорируя личные данные, предоставленные самим живым человеком при подтверждении своей личности в МФЦ после регистрации кабинета в Госуслугах.
Мой аккаунт в Госуслугах был подтверждён мной при личном визите в МФЦ с паспортом, с указанием контактного номера телефона, двухфакторная аутентификация была в наличии) И я думала, что без моего ведома в мои Госуслуги никто не может зайти. Но Минцифры с банками подумали за меня и решили, что у населения маловато кредитов и пора начать их раздавать онлайн без регистрации и СМС. Не хочешь брать кредиты? Ничего страшного, всё равно выдадим.
А, и самый мякиш: первичный вход в онлайн банк идёт по смс а потом придумываешь пароль.
Если никогда не заходил в онлайн банк, то пароль придумает тот, кто зайдет туда первый). Об этом мне врали сотрудники ВТБ. Что нужен пароль, что без него не зайти.
И карта сейчас не нужна, как выяснилось.
Просто прекрасно. Очень удобно. Только телефон и смски.
Лига Юристов
39K постов39.9K подписчиков
Правила сообщества
1. Действуют общие правила Пикабу.
2. Дополнительно к правилам Пикабу предупреждение, скрытие комментария, бан в лиге или перемещение поста из лиги, можно получить за:
- глумление, издевательство, высмеивание, троллинг, провокации, подстрекательство пользователей к неправомерным и преступным действиям, рекламу своих услуг;
- оскорбление и/или унижение пользователей, социальных групп, народов, национальностей, комментарии экстремистского характера, разжигание национальной, расовой, религиозной и иной розни и ненависти;
- шитпостинг, постинг не на юридическую тематику.
3. Размещение ссылок на свои социальные сети в сообществе разрешено только в профиле. Размещение ссылок на свои социальные сети (телеграм-канал, дзен, инстаграм, вк и прочие) в посте расценивается как реклама. Такие посты будут выноситься из Лиги юристов, автор поста предупреждается о нарушении, и, при повторном нарушении - получать бан в сообществе.
4. Запрещено размещать в качестве поста или комментария сгенерированные искуственным интеллектом тексты. Комментарий будет скрыт, пост - вынесен из сообщества.