Безопасное хранение денежных средств: мой опыт работы с банком ВТБ
Когда мошенники за несколько минут смогли вывести 60000 рублей из моего банковского аккаунта через личный кабинет, я решил задуматься о безопасности своих финансов. Это стало для меня своеобразным практическим курсом по информационной безопасности. И я начал искать лучший способ для хранения своих денежных средств.
Выбор банка
Изучив список системно значимых кредитных организаций, я выбрал банк ВТБ. Мне понравилось, что у этого банка есть:
- Широкая сеть офисов
- Мобильное приложение
- Удобный интернет-банк
- Безопасные способы доступа к аккаунту
Мои ожидания
При работе с банком ВТБ, я ожидал:
Для карты к мастер-счету:
- Полный доступ ко всем счетам и продуктам банка
Для основной карты к текущему счету:
- Операции могут выполняться только по текущему счету в пределах установленных лимитов
Для виртуальной карты:
- Ожидал запрет на вход
Мой опыт
Для проверки своих ожиданий, я открыл карты в банке ВТБ и начал использовать интернет-банк и мобильное приложение. Я обнаружил следующее:
| Тип карты | Результат проверки |
|---|---|
| Карта к мастер-счету | Ожидания совпали |
| Основная карта | Ожидание подтвердилось — операции только по текущему счету |
| Виртуальная карта | Вход был действительно запрещен |
Мои предложения
Из моего опыта, я предлагаю использовать freezing-период для списаний со счетов при входе в интернет-банк и мобильное приложение с новых устройств. Также предлагаю добавить дополнительную проверку через телефонный звонок при подтверждении операций.
В заключение, я надеюсь, что банк ВТБ будет улучшать свои механизмы безопасности, чтобы защитить денежные средства своих клиентов.
Результаты проверок по состоянию на 12.03.2023
Базовая (основная) карта
ВТБ Онлайн
1.1 Регистрация:
- Номер карты;
- Пароль;
- Код из SMS.
Вход не выполнен. Ограничение системы: Пароль при регистрации через номер карты мастер-счета и текущего счета одинаковый. Вывод: пароль единый для входа в ВТБ Онлайн и он привязан к УНК. Следовательно, по большому счету нельзя разделить вход в ВТБ Онлайн для клиента и для третьих лиц (родственников).
1.2. Раздел Клиент
1.2.1 Подраздел Профиль
- Есть данные основного номера телефона, email, адреса проживания
- Отсутствуют данные основного номера телефона, email, адреса проживания
1.2.2 Подраздел Документы
- Есть данные о моих документах: паспорт РФ, ИНН, СНИЛС
- Отсутствует информация о моих документах.
1.2.3 Подраздел Настройки
- Есть управление уведомлениями. Зачем это сделано?
- Управление лимитами Отсутствует возможность изменить лимиты
1.2.3.3 Переводы по номеру телефона
Почему доступны настройки СБП?
1.3 Раздел Главный
- Видны все счета и продукты банка
- По умолчанию видны все счета. Есть возможность открыть новые продукты. Зачем это сделано?
1.3.1 Подраздел Последние операции
- Полный доступ к истории по всем счетам
- Полный доступ к истории по всем счетам Клиента
1.4 Раздел Платежи
1.4.1 Перевод между своими счетами
- Полный доступ ко всем счетам
- Полный доступ ко всем счетам. Отсутствует ограничение доступа на перевод с других счетов Клиента
1.4.2 Перевод по номеру телефона, карты, счета
- Полный доступ ко всем счетам при выполнении перевода
- Полный доступ ко всем счетам Клиента. Отсутствует ограничение доступа на перевод с других счетов Клиента
1.5 Раздел История
- Полный доступ к истории по всем счетам
- Полный доступ к истории по всем счетам Клиента. Отсутствует ограничение доступа к истории по счетам
1.6 Раздел Справки
- Можно заказать справки по счетам и продуктам Банка
- При запросе справок можно получить информацию по всем счетам и продуктам Банка
1.7 Раздел Сервисы
- Полный доступ ко всем продуктам Банка
- Полный доступ ко всем продуктам Банка
Мобильное приложение ВТБ (версия 17.11.1.0)
2.1 Регистрация
- Номер карты;
- Пароль из SMS
Вход выполнен. Предлагает выбрать пакеты уведомлений Карты+, Базовый. Отсутствует двухфакторная аутентификация. Зачем предоставляется выбор пакета уведомлений для карты к текущему счету?
2.2 Раздел Клиент
2.2.1 Подраздел Основное
- Видны данные основного номера телефона, email, адреса проживания
- Видны данные основного номера телефона, email, адреса проживания. Есть отличия в работе ВТБ Онлайн и мобильного приложения для карты к текущему счету.
Подраздел Документы
В данном разделе видны данные паспорта РФ, ИНН, СНИЛС, Мои договоры, а также возможность заказа справок. Есть отличия в работе ВТБ Онлайн и мобильного приложения для карты текущего счета.
Подраздел Настройки
Безопасность
- Вход в приложение:
- Управление лимитами: Почему есть возможность управлять общими лимитами?
Переводы по номеру телефона
Почему доступны настройки СБП?
Раздел Главный
В данном разделе видны все счета и есть возможность открыть новые продукты. Отсутствует ограничение доступа к счетам, однако нельзя ограничить доступ к продуктам Банка для карты текущего счета.
Раздел Платежи
Перевод между своими счетами
Полный доступ ко всем счетам Клиента. Отсутствует ограничение доступа на перевод с других счетов Клиента.
Перевод по номеру телефона, карты, счета
Полный доступ ко всем счетам Клиента. Отсутствует ограничение доступа на перевод с других счетов Клиента.
Раздел Услуги
Полный доступ ко всем продуктам Банка.
- Выписка по карте: Формируется только по текущей карте. Всё честно и правильно.
Примечание: Проверка не выполнялась.
Общие выводы
ВТБ Онлайн и МП ВТБ – это дуршлаг из уязвимостей. Этот вывод подтверждают новости от ВТБ за 30.03.2023 и 07.04.2023. В головах ВТБ хаос и нет общей концепции работы ВТБ Онлайн и МП ВТБ. Есть зачатки по разделению доступов, но это настолько неочевидные вещи, что можно сказать, что их в настоящее время нет.
Единственный положительный момент моих изысканий — вход в МП ВТБ через номер виртуальной карты запрещен. Надеюсь это не исправят в следующих доработках.
Вывод: при текущей реализации ВТБ Онлайн и МП ВТБ опасно для хранения денежных средств в банке ВТБ.
ВТБ Онлайн