Поскольку тема вызвала резонанс, решил поделиться своим опытом в формате статьи, который наглядно демонстрирует уязвимости и неудобства в работе с некоторыми банковскими сервисами.
Безуспешные попытки оплаты
Вечером я потратил целый час, пытаясь оплатить квитанцию от ГИС ЖКХ. Выбор пал на Почта Банк, так как именно через него можно было провести платеж без комиссии. У меня был счет, виртуальная карта и установленное мобильное приложение банка. Казалось бы, все готово для быстрой операции, но реальность оказалась иной.
Первая проблема: "защитные" звездочки
Главная сложность возникла с подтверждением платежа. Мобильное приложение Почта Банка отправляет код верификации через push-уведомление, но сразу же маскирует его звездочками (****). Это крайне нелогичное и раздражающее решение. Кто вообще придумал скрывать информацию в уведомлении на том же устройстве, где уже запущено и авторизовано приложение банка? Это не защита, а создание искусственных барьеров для пользователя.
Решение нашлось не сразу. Пока я ждал ответа оператора в чате поддержки, я дал приложению разрешение на отображение всплывающих уведомлений поверх других окон. Только так код стал читаемым (главное — не смахнуть его случайно). Интересно, что сама техподдержка в итоге посоветовала просто отключить push-уведомления, что тоже является неочевидной и неудобной настройкой.
Неожиданное смс и роковая кнопка
На следующее утро ситуация усугубилась. На телефон пришло смс, а позже, блуждая по запутанному интерфейсу приложения Почта Банка, я случайно нажал на одну из кнопок.
"Верификация", меняющая все
Оказалось, что это была инициация процесса "верификации аккаунта". По логике Почта Банка, верификация свелась к смене пароля и — что самое критичное — номера телефона, привязанного к аккаунту на Госуслугах. Эта ситуация зеркально повторяет случай, описанный в оригинальном посте про ВТБ. К счастью, у меня в телефоне две рабочие SIM-карты, и я смогу восстановить доступ и вернуть настройки в исходное состояние. Но сам факт, что одно неосторожное нажатие в банковском приложении может привести к изменению данных на ключевом государственном портале, вызывает серьезные опасения относительно безопасности и продуманности этих процессов.
Обратите внимание: Поможет ли вам избавится от долгов внесудебное банкротсво через мфц.
Больше интересных статей здесь: Банки.
Источник статьи: Ответ на пост «Взлом Госуслуг через ВТБ без разговоров и смс».