Взлом Госуслуг через ВТБ: Выводы⁠⁠1

ну вот.

Я не знала, что теперь можно в гу зайти через банк, сбросить подтвержденный акк и привязать другой номер.

Вкуснота будет, когда акки на госуслугах данными подзаполнят, добавят туда биометрию, эцп, еще чего-нибудь придумают.

Научатся жилье продавать онлайн, пока человек спит и ничего не подозревает.

И будут многие голенькие, зато с цифровизацией

на налог.ру зайдите, в свой кабинет. правда, тоже через госуслуги туда пускает-)

Подзакройте, если надо.

Да!

Причем скидывается ваш номер телефона госуслуг. По идее, должно быть так:

Купил некий Вася симкарту. Сидит такой вечером и думает, а позахожу ка я со своего телефона в онлайн банки. Заходит, получает смс, вваливается в личный кабинет прежнего владельца симки. Кабинет этот не авторизован.

Если бы Минцифры не дало прав банку, то Вася поразглядывал бы пустой счет и вышел, несолоно хлебавши. Но Минцифры дало банку право подтверждать личность клиента через госуслуги. Прям из кабинета банка. Пускает этот номер в госуслуги, где он, почему-то, имеет право скинуть ваш номер телефона, привязанный к госуслугам, минуя двухфакторную авторизацию, и просто перепривязать номер свой. С которого зашли в кабинет банка. И тут открываются прекрасные возможности: банк авторизует вас как клиента, дает займы, так же можно накидать заявок на займы в мфо через кабинет госуслуг, ведь вы авторизовались.

Да, если так сделают, они сразу и онлайн перестанут бабло по смске за 3 минуты выдавать.

Будет, как в старые времена, хочешь копейку-приходи ногами.

Не пойму, если все онлайн-то чего люди то толпами сидят в офисе банка? Раз все хорошо и все очень цифровые и грамотные. Видимо, хорошо, да не очень

Стала смотреть другие банки -первичный вход в онлайн кабинет везде по номеру телефона и смс. То есть в банках висят заброшенные расчетные счета со старыми номерами телефонов. Можно делать выборку, проверять заходил ли человек в онлайн кабинет. Если нет - добро пожаловать на раздачу кредитов. Осталось скупить симки с номерами. Или развести владельца номера на диктовку смс. Диктовать будет нынешний владелец телефона, а займ получит бывший владелец. А мошенник получит бабло. Все рады, все счастливы

Госуслуги считают, что первичен номер, который в банке. Банк считает, что ничего такого, что по номеру много лет нет движения средств. Вернее по онлайн банку. Никогда не было. Зачем тогда подтверждение аккаунта госуслуг, двухфакторка, непонятно

Тычут в морду график, с мая. Объяснить, как тот номер зашёл, не хотят. Может, знают о таком косяке. Но молчат. Благодаря доброму пикабушнику из прошлого поста, наконец, поняла. Как зашли.

Причем врут нагло. Сначала говорят: иди в полицию. Лишь бы ты свалил. Идёшь в полицию, они говорят: так это дело твое и банка. Но раз госуслуги взломали, то возьмём заявление. Несёшь талон в банк - они говорят -да нам пофиг на мошенничество, паспорт твой, номер у нас записано, что твой, поэтому это ты. Про то, как этот номер зашёл по смс и авторизовался через госуслуги, молчат.

Сам ты проеб. Я его в МТС сдала, договор закрыла.

Сервиса кредит онлайн по смске не было раньше.

Я ж не в курсе, что там для хтони придумывают, чтобы их половчее в долговую яму загонять.

Если по смске делать можно все-родился -получил сим-карту. На всю жизнь.

А не вот это вот все: отвяжи, привяжи

Хор белопальтовых тут поет, что надо быть грамотным и все закрывать.

Попутно банки с минцифры устраивают лазы из банка в госуслуги, дают перепривязывают номера, запускают в онлайн банк при отсутствии карты и выдают займ за 2 минуты.

Как вариант-помимо прочего, писать им заявление об отзыве персональных данных, и себе брать экземпляр.

Да, первичны теперь данные банка.

Если у вас телефон не совпадает в банке и госуслугах, то первичен тот, что из банка. Он может привязаться к госуслугам и скинуть ваш подтвержденный телефон на госуслугах.

Ещё стали биометрию с фоток собирать, как мне тут подсказали. Что они с ней смогут делать -полагаю, продолжат займы выдавать

Написала в госуслуги. Почему вы считаете первичным телефон у банка, а не мой на госуслугах. Ответили: удалите банк из разрешений, смените пароль, блаблабла-)

На прямой вопрос не ответили. Тут народ настаивал написать им, я написала

обратилась.

А толку то?

В обществе почему то есть мнение, что факт наличия заявления имеет отношение к займу. Не имеет.

Факт наличия признания даже потерпевшим по уголовному делу о мошенничестве тоже не имеет веса в гражданском процессе.

Пока еще думаю, подавать ли иск. Можно просто потратить денег на суды, потратить минимум год на суды, а может и более. Итого на выходе: расходы на суды, расходы на займ, проценты и т.д. Сумма может вырасти в 3 раза, а толку будет ноль

нет. Сейчас есть функционал -подтвердить номер через онлайн банк. При этом при несовпадении номеров игнорируется номер на госуслугах, и привязывается тот, который идет из банка.

Я так понимаю, заход на госуслуги через банк-это свежая штука. Может год ей, может полтора.

Смотря кто. Может это алкоголик, оформил за 500 рублей симку и отдал ее. Ему 500 рублей на опохмел, а кому он симку отдал, он может и не упомнить

ну вы что, тут армия людей в белом пальто говорит, что они все отвязывают, и никогда-никогда нет ни одного счетика незакрытого. Только вот и у меня.

И у Олега валерьевича. Вот, у вас еще. Трое нас на всю страну.

Вы, я и Олег Валерьевич

У них есть мой старый договор, где контактом указан тот номер, которым мошенники взяли займ. Естественно, они получили на него смс. Тут все четко с точки зрения банка: они прислали смс на номер, который я когда-то указала при открытии расчетного счета. То, что номер не мой, им по барабану-)

Сотрудники либо молчат, либо отнекиваются, делая вид. что не понимают, о чем речь.

Пока думаю насчет судов. Суды-это дело долгое и недешевое. Займ этот под 50%-так указано было в договоре, что они мне распечатали.

Пока идут суды, проценты будут капать. Через год это будет не 30, а 60-)

И, думаю, они не будут ждать, а продадут этот долг коллекторам.

Читала, что некоторые мфошки снимают займ, взятый мошенниками-если пишешь заявление и талон из полиции прикладываешь. Но не банк-) Банку пофиг. Думаю, что это из-за того, что они знают, что суды принимают решения в их пользу, мошенничество или нет-это им без разницы. Народ пишет, что после судов приходилось банкротиться после таких вот займов-правда, там суммы были намного больше, от сотен тысяч.

Уже писала, что дело не только в номере. А в том, что минцифра разрешила банкам авторизацию через госуслуги, игнорируя зареганный номер на госуслугах. Нафига тогда подтверждение личности, если можно зайти в банк с любого номера лохматых годов и подтвердить его смской?

То есть налицо какая-то цифровая жопа, уж извините. Если раньше имело значение туловище человека, его бумажный документ, они сейчас подводят к тому, что будут делать с цифровой копией человека что захотят, без его ведома.

Надо только подсобрать биометрию, заставить всех сделать эцп в госуслугах, и можно будет делать все, что хочешь. пока человек своими делами занимается.

Вот-вот. Тихо-мирно висел мой расчетный счет, никого не трогал. Как и онлайн банк много лет никому не был нужен, и мне в том числе.

И тут-упс, ой, кто-то номер купил случайно: и такой: а не проверить ли мне его по сбп?

Ой, смотрите, че тут есть-)

А зайдем-ка мы на сайт банка. Там, наверное, все защищено, пароль, и все такое-нет, заходим по смске.

Как же нам авторизоваться, подтвердить, так сказать, свою прекрасную цифровую личность? А тут услужливо дырка на госуслуги зияет, подмигивает. Там, наверное, защита стоит, логин-пароль, двухфакторка-не, ты ж в банк зашел-подумаешь, что номер старый, заходи, подтвердим.

Ну, и так далее.

О, авторизовался дорогой клиент через госуслуги, мы так соскучились по тебе, драгоценный, наверное, надо денег тебе дать, под 51% годовых?

Нет, не надо? А ты бери-бери, вот мы тебе займ тут повесили, предодобренный.

Не, ничего не надо дополнительно подтверждать, хватай, переводи займ скорее на другие счета, не страшно, что карты у тебя нет и счета не твои.

у банка есть пункт в договоре, что разрешаешь передачу телефона их партнерам-которые и шлют всякие смски. Какием именно, они, естественно не пишут.

Причем о переходах из банка в госуслуги случайно узнала, после взлома. То есть они накручивают новых возможностей, но людей не предупреждают.

К скидочным картам у многих тоже номера привязаны. они сейчас везде требуют номер

Да.

у них на сайте написан этот вариант с доступом через кабинет банка, то есть они сами рассказывают, как это делать. И не видят в этом ничего зазорного.

да. Онлайн не закроют. Онлайн они только кредиты дают

ну сбер когда будет вас смотреть, снова зайдет и поглядит. Согласие минцифры вы давали, а минцифры раздает банкам право смотреть ваши данные

Наверное, чтобы со сбера проверить, нужно в онлайн банк сбера зайти, да посмотреть, заходит ли на гу из него

вот они и встречают. Полагаю, что если уберут онлайн займы, банкам нечего будет кушать. Им же нужно больше займов каждый день

Предположу, что старый владелец должен не заходить в онлайн банк. То есть он никогда не авторизовывался там, поэтому первичный заход по смс. Без паролей. Мне в банке талдычили про пароль. Что типа нельзя по смске. Если б нельзя было, на мне бы займ не висел

пустой счет. Годами. Никогда не закроют. Имеют право закрыть через 2 года, но не обязаны. То есть никогда-)))

Моему было 4 года без движения, не закрыли. Только по заявлению, да еще их надо перепроверить потом, закрыли или нет

Я закрывала карту, а не счёт. 8 лет назад ещё не очень много знала о том, что закрывая карту вы не закрываете счёт) И что сотрудник банка из кожи вон вылезет, лишь бы вы продолжали этого не знать. Хотя по логике счёт должен закрываться вместе с картой, это должна быть автоматическая процедура, а не "прийди через месяц, напиши заявление и мы подумаем")

это как пойдет.

Вот тиньков например пособирал биометрию без ведома клиентов. Согласием было ввод пинкода на банкомате или в приложении. Что мешает и другим банкам так же поступить?

У бабок вон сбер собирает-просто фоткает их при личном обращении, и все. Потом фото обрабатывают и оно становится биометрией. А бабка ни сном, ни духом

Это переходный период, пройдет несколько лет, никакого согласия не будут спрашивать.

Чем больше они устраивают цифровизацию, которая нужна скорее им, чем клиентам, тем больше у них прав и вариантов для мошенников.

У них это на сайте есть. С каких пор - не знаю. Как и не знаю, с какого года проход с онлайн банка в госуслуги.

Только что, кстати, узнала от возрастных родственников: их знакомой пенсионерке позавчера позвонили, сказали что ей пришло письмо от госуслуг. И надо код продиктовать. Продиктовала.

По ходу, угнали у бабки аккаунт. Она до сих пор ничего не поняла. сказала им, пусть скажут идти в мфц. Госуслуги никогда не звонят.

Вот так вот-(

8-9 лет назад не было входа в онлайн банк через госуслуги.

Не было входа в кабинет банка без карты и пароля по смс, первичного имею ввиду.

Правила они свои вводят постафктум. При этом торгуют старыми номерами симкарт.

как тогда зарабатывать, если дыр не будет?

ссылку тут кто-то кидал, втб выдал студентке займ онлайн больше миллиона. У студентки в втб карта, на которую стипендия приходит 9 тысяч. Ну разве это нормально?

офигеть! спасибо, что сказали!

пишу в тиньков-там карта есть-они мне пишут что я биометрию дала в банкомате в ноябре 2023! Хотя это неправда. Отозвала

почитала на хабре, там у человека тоже ноябрь 2023

офигеть, слов нет-(((((

Тетки в ВТБ мне что то проквакали про биометрию.

Видимо, думают, если я счёт не закрыла, то у меня деменция.

Я не сдавала биометрию. И не собираюсь. Наверное, если украсть госуслуги с биометрией, можно полезного понаделать и интересного

Думаете, на фалангу краба не хватало, решил за мой счёт кредитнуться по-быстрому?

Вот мошенники и обновили, так сказать.

кто вам сказал, что не обратилась.

Обратилась. А толку то?-)

Если возбудят, на это у них 30 дней. найдут какого-нибудь алкоголика, который за бутылку отдал свою симкарту. Что с него взять то?

у госуслуг есть памятка -как подтвердить данные, если утерян доступ к старому номеру на госуслугах.

Если бы нельзя было по старому номеру авторизоваться, они бы не смогли проделать все, что проделали. Номер этот в логах госуслуг есть-)

при первичном заходе в онлайн банк сейчас не нужно ничего. Карта, как я поняла, сейчас вообще пережиток прошлого, она не нужна. Займы, по крайней мере, выдают даже если карты нет.

пойду забирать копию договора, покажу им скрины, как в их банк по смске заходят.

А то они не знают-)

Напишите им заявление на отзыв персональных данных, если не лень.

А у вас заявления остались?

Карта была, онлайн кабинетом их не пользовалась. Года 4 назад закрыла карту.

У меня тоже не отображался счёт в Сбере. Вклад был пустой, пришла после этого взлома закрыть, сказали, что и счёт есть. Не сказали бы - так и висел. Схожу ещё возьму справку, что счетов у них нет и заявление отнесу на запрет обработки персональных данных

Вы в коллцентре работаете, тоже людей разводите? Или в банке?

Причем тут просохатить сим? Я ее закрыла. Ее продали кому то ещё 8 лет назад.

Пропустила момент, когда диванным кредитоманам стали давать бабло на всякие без карт и прочего. Что поделать. Так понимаю, началось с посиделок при спасении от ужасного вируса в 2020.

Ладно, хоть узнала о цифровизации занедорого.

Ок. Да я, конечно, возьму копию старого договора. Но, полагаю, там есть какой то пункт про дистанционное обслуживание на века вперёд, плюс пункт, что надо было номер убрать старый по заявлению.

Судиться год или более -процентов набежит, там договор на 50 процентов. То есть было 30 станет под полтинник или более.

Почитаю сама да дам юристу почитать знакомому. Но, думаю, придется заплатить, закрыть счёт, отозвать персональные данные и забыть про них.

Не беру займы, как-то отстала от жизни, видимо. Сейчас все без карт уже, да и мошенников развелось.

Я ведь писала много раз - вход ПЕРВИЧНЫЙ в онлайн кабинет. По смске, без карты и пароля. Далее подтверждаешь личность через Госуслуги, заходишь туда прямо из онлайн кабинета банка - это новая функция.

Смотрите: номер телефона - смс - вход в онлайн банк - проход в госуслуги - подтверждаем личность - возвращаетмя в онлайн банк, выдача займа за пару минут.

Причем платить займ будет паспорт, а не телефон.

Если вход по телефону и смс, почему бы не сделать нормальное подтверждение личности, если они телефону стали в долг давать? Почему, если уж номер телефона стал ID по умолчанию, не привязать его к паспорту? Прям у оператора связи?

Но тогда будет неинтересно.

конечно не давал на переход согласие-банку -нет-) Но минцифры-да.

Минцифра с банками сами договаривается, откуда у них там будут переходы. Для этого достаточно сделать кнопочку "согласие" при создании аккаунта гу. Согласился-дал разрешение минцифры, а они вот думали, и придумали, что хорошо бы из банка напрямую заходить.

Скажите, тогда, как админ: почему при входе из аккаунта банка по смске, в аккаунт госуслуг, подтвержденный аккаунт, можно скинуть номер телефона и привязать другой? Без запроса на этот номер? Разве это не дыра? Разве это правильно?

они имеют право закрыть через 2 года, но не должны.

Не знаю. Вроде нет. Они же не для того старались, чтобы вы запреты устанавливали. Вон в банке личность теперь более авторизованная, чем в мфц почему то

Да я писала в саппорт госуслуг. 2 раза описывала. Первый раз дали логи, в ороц раз список советов, типа поменять пароль, отозвать разрешение у банка. На вопрос почему приоритетны данные банка, не ответили

у меня на гу нет ничего, в разделе биометрия, в том то и дело. Спасибо еще раз, распространите эту информацию, по возможности. Я тоже всем расскажу.

Пишу в тиньков-они говорят, да, есть биометрия. Я говорю: с шиша это?

Они мне: дык это, ты согласие дала. Я: "ГДЕ?!!"

они мне: в банкомате, в ноябре 2023!!!!

Офигеть, что делается, а.

Биометрия типа-это фотка у представителя, это было в 2020. А потом я клянусь, никакого согласия в банкомате я не давала-)

Говорю: обманули меня, отзываем. Мне позвонил их саппорт, мы поболтали, потом прислал мне на почту бумажку, что не держат и не обрабатывают. Распечатаю, сохраню.

В 23 больше ляма? Одним займом? А онлайн или нет? Тут История была, как около млн дали дедушке без имущества с маленькой пенсией в офисе ВТБ. Странно, что везде ВТБ фигурирует

В ВТБ по первичном заходе теперь не нужна карта. Заводишь номер телефона -приходит на него смс . На скринах видно, как человек зашёл в чужой ВТБ онлайн. Если первичный заход -не нужен пароль.

Не нужна. Карту я закрыла 4 года назад. Не существует она -)