ДБО ВТБ

[Companyon]

Обсуждаем интернет-сервисы банка, в т.ч. с возможностью доступа через браузеры (ИБ), мобильные приложения (МП) и прочие варианты дистанционного управления своими деньгами.

---

Обновил МП до версии 18.31.0.3 (Андроид). Стал отображаться кэшбэк по ранее выполненным покупкам. 2,5 месяца бодался с ВТБ касаемо проблемы с отображением кэшбэка в МП, ИБ.

 

[moneytrip]

И эти туда же. Вход в ИБ теперь по пину. Принудительно и неотключаемо.
И раньше-то этот банк не отличался ни умом ни сообразительностью, щаз ваще деньги страшно там держать.

 

[Боковой Кронштейн Шпинделя]

И эти туда же. Вход в ИБ теперь по пину. Принудительно и неотключаемо.
И раньше-то этот банк не отличался ни умом ни сообразительностью, щаз ваще деньги страшно там держать.

Не совсем так.
Добровольно-принудительно для простых смертных, но те, кто умеют пользоваться отладчиком браузера имеют возможность заходить старым способом.

Я вот принципиально не приемлю подобного рода изменений и ищу пути обхода через ревёрсинг, если такое поддерживается апишкой.

К примеру, вот небольшая цепочка действий, которая позволяет воспользоваться старым входом:

1) F12(Консоль) -> Клик на вкладку по типу "Отладчик" или "Sources" ;
2) Ctrl + Shift + F -> Поиск по ключевой фразе "getIsNewPhoneLoginEnabled()" -> Включить pretty print(красивый вывод) исходника, в котором есть совпадение ;
3) Брейкпойнт(Точка остановки) в pretty print файле на линии, где было найден мэтч, сейчас такая строка(533): "_ = getIsNewPhoneLoginEnabled()," ;
4) F5(Обновить страницу) -> Дождаться остановки на поставленном брейкпойнте ;
5) Ввести в консоль "O = false" ;
6) Отключить точки остановки -> F8(Продолжить исполнение сценария) -> Включить точки остановки обратно;
7) Закрыть консоль и пользоваться старой формой аутентификации ;

При повторном заходе на страницу логина может сбиться вход в отладчик по брейкпойнту.
В таком случае следует повторить всю цепочку без шагов 2 и 3.
Если не сбивается(автоматическое открытие консоли при открытии страницы логина) - начинать с 5-го.

Если более не помогает, скорее произошли изменения в кодовой базе и текущий метод более не работает.
Возможны следующие причины:
1) В логике скриптовой части клиента остался старый вход, но теперь он не ищется по старому выражению. Следует искать новую точку зацепки.
2) В скриптовой части клиента полностью убрали старый вход, но сервер всё ещё принимает авторизацию по старому. Следует достать из кэша старую версию авторизации и входить по ней.
3) Убрали старый вход везде. Вот тут уже бессильны вышеописанные манипуляции.

Касательно самой тенденции на подобное обновление безопасности, к сожалению, такое есть и будет внедряться многими банками, собственно, как часть реализации новых технологий сотрудниками, которые заинтересованы в том, чтобы быть-являться-существовать низкооплачиваемыми высококвалифицированными кадрами по сравнению с теми, кто новые правила игры и сам вектор направления не принял.

Одна надежда на то, что такие проекты, как, к примеру, открытые api и включение более широкого количества заинтересованной аудитории смогут убедить регулятора в необходимости обратить внимание на текущий консенсус в плане банковской безопасности, хотя бы на уровне обязательного выбора авторизации через TOTP .

 

[moneytrip]

Одна надежда на то, что такие проекты, как, к примеру, открытые api и включение более широкого количества заинтересованной аудитории смогут убедить регулятора в необходимости обратить внимание на текущий консенсус в плане банковской безопасности, хотя бы на уровне обязательного выбора авторизации через TOTP .

Муа-ха-ха. Извините Вы знаете скока говорят о ТОТР? На моей памяти уже лет 10, чтоб не соврать. И? Вот именно. Пока есть опсосы- не будет никакого тотп ни в одном банке. У них мощное проплаченное лобби. Это вопрос финансовый и политический, но ни разу не технический. Далеко ходить не будем, есть пример (относительно) хорошей реализации в госуслугах. Какой ф топу ЦБ? Они слов таких не знают, чо смеяться. Несколько лет назад регулятор на серьезных щах пыталися пропихнуть тему "верификации электронной почты (c) у клиента". Когда инженеры стали ржать в голос от самой этой формулировки, то тема тихо слилась. Но никто тогда не рассказл ЦБ о том, что существуют разные слова, например OpenPGP, и изобретать велосипед совсем необязательно. Но разве они слышат?
ps консоль в браузере надо потыкать, да, спасибо что напомнили

 

[Plus!]

@Боковой Кронштейн Шпинделя,
Спасибо за детальное описание. Сделал на основе Вашего исследования скрипт для tampermonkey.
Однако этот способ не устраняет проблему возможности входа по цифрокоду вместо пароля, если цифрокод был хотя бы раз установлен.
Вы не пробовали способ смены настроек через мобильное приложение, предлагаемый тут:
https://hranidengi.com/threads/bank-vtb.624/page-17#post-384027

 

[fatman]

Лайфак про говнокод:
логинимся как обычно (в идеале, через инкогнито окно), придумываем говнокод, делаем свои дела, далее логаут, появляется запрос говнокода, вводим чушь, появляется запрос смс кода, вводим смс код, появляется уведомление, что говнокод введен неверно и осталось 2 попытки, еще 2 раза вводим чушь и бинго - говнокод заблокирован, следующий логин только по паролю.

 

[Artёm]

Лайфак про говнокод:
логинимся как обычно (в идеале, через инкогнито окно), придумываем говнокод, делаем свои дела, далее логаут, появляется запрос говнокода, вводим чушь, появляется запрос смс кода, вводим смс код, появляется уведомление, что говнокод введен неверно и осталось 2 попытки, еще 2 раза вводим чушь и бинго - говнокод заблокирован, следующий логин только по паролю.

Смело. Была ненулевая вероятность, что в этом случае в отделение пригласят, в лучшем случае...

Спасибо, применим.

 

[fatman]

Смело. Была ненулевая вероятность, что в этом случае в отделение пригласят, в лучшем случае...

Они даже при неправильном вводе пароля (3 раза) блочат вход только на полчаса.

 

[fatman]

как часть реализации новых технологий сотрудниками, которые заинтересованы в том, чтобы быть-являться-существовать низкооплачиваемыми высококвалифицированными кадрами

Выпускники яндекс практикума продолжают закапывать втб:

Пользователи смартфонов на Android смогут вернуть доступ к «ВТБ Онлайн», приложив карту, а клиенты на iOS скоро смогут снимать блокировку с помощью селфи. Прежде для этого нужно было идти в отделение или звонить в техподдержку

Этот способ восстановления будет работать, даже если пользователь сам заблокировал свой личный кабинет, например из-за угрозы мошенников. Банк подчеркнул, что мошенники не смогут зайти в «ВТБ Онлайн» без физической карты, даже если узнают ее данные. Кроме восстановления аккаунта, приложив карту, можно подтвердить свой доверенный номер телефона.

Кто ни будь уже оценивал масштабы бедствия? Работает только в ранее авторизованном приложении?

P.S. Но тем не менее, ВТБ пока единственный банк (из крупных), который не позволяет просто по СМС получить реквизиты доступа к ДБО?

 

[moneytrip]

Лайфак про говнокод:
логинимся как обычно (в идеале, через инкогнито окно), придумываем говнокод, делаем свои дела, далее логаут, появляется запрос говнокода, вводим чушь, появляется запрос смс кода, вводим смс код, появляется уведомление, что говнокод введен неверно и осталось 2 попытки, еще 2 раза вводим чушь и бинго - говнокод заблокирован, следующий логин только по паролю.

Увы, работает тока на сессию. Во всяком случае в ИБ на десктопе, как в МП не знаю, может там по-другому. Полностью придушить этот "код доступа" у меня не получилось.

Кто ни будь уже оценивал масштабы бедствия?

Не берусь оценивать, но имею сказать, ИМХО, в этом банке сидит какой-то засланный казачок, который делает всё возможное чтобы клиент когда-нибудь потерял-таки свои деньги. А как еще можно оценивать внедрение всех этих "удобств"? И да, я бы не был против, если бы у меня, как клиента, был выбор. Чем бы дитяти не тешились, но дайте мне возможность забанить полет вашей говнофантизии.

 

[fatman]

Увы, работает тока на сессию. Во всяком случае в ИБ на десктопе, как в МП не знаю, может там по-другому. Полностью придушить этот "код доступа" у меня не получилось.

Да, логика именно такая, каждый раз блокировать код, чтобы в следующий раз запрашивался пароль, а не код.
В МП, насколько понимаю, можно отключить код именно для приложения, но не "универсальный код" который устанавливается в вэбе.

Не берусь оценивать, но имею сказать, ИМХО, в этом банке сидит какой-то засланный казачок, который делает всё возможное чтобы клиент когда-нибудь потерял-таки свои деньги.

ИМХО началось с 2019 года после перехода туда товарища из сбера... убрали вход по генераторам паролей, начали обрезать функционал по настройке безопасности (раньше можно было через колл центр заблочить доступ только к моб. приложению и доступ в ИБ через банкомат), сейчас вот выпилили глубокие настройки уведомлений. Возможно режут косты унификацией и отключением мало востребованного функционала, зато каждые полгода(?) новый дизайн сайта, а в тот же ростелеком автоплатежей по времени как не было, так и нет.

Код - это, конечно, фиаско, начинать с 19 и 20 запретили, значит 80% будут ставить день и месяц рождения себя\детей.

 

[moneytrip]

сейчас вот выпилили глубокие настройки уведомлений

На больной мозоль... Я не понимаю зачем они выпилили уведомления на e-mail. Ска, кому оно мешало? Если оно про "безопасность" дык я тока за. Ну не отправляйте мне выписки по счетам/картам, не вопрос, зайду в ИБ и заберу. А вообще почему банк лучше меня знает, что мне безопаснее, а что нет? Банк ваще в курсе, что вся входящая почта у моего провайдера шифруется OpenPGP? Банк ваще в курсе, что он в принципе не сможет мне отправить e-mail до тех пор, пока на стороне своего почтового шлюза не включит шифрование TLSv1.2(минимум), благо что это включено давно и примерно везде? А остальное как? Почему выпилили уведомления о входе? О смене учетных данных? Логина? Пароля? Окрытия/закрытия счета/вклада/карты? Блокировка карты? Изменение лимита карты? Доставка карты в отделение? Ну и т.д