Банки виноваты только в том, что пошли на поводу у беззаботных людей и выпустили мобильное приложение, в котором человек авторизован просто всегда (ну как же, это же его телефон, нельзя же заставить его каждый раз вводить пароль на своём же телефоне, у человека же память не резиновая), и на этот же телефон присылают коды подтверждения для операций.
Разве люди не понимают, что если на этом телефоне стоит мобильное приложение и на этот же телефон приходят коды - это небезопасно? Зачем им вообще мобильное приложение на управление своими деньгами, они собирались свои 100 или 400 тысяч в один клик с телефона куда-то отправить?
Безопасно - это же совсем по-другому. Если используется приложение на телефоне, то подтверждение должно быть другим способом: или кодом с карточки, где надо стирать защитный слой, или кодом с отдельного криптоустройства. Или наоборот - коды подтверждения приходят на телефон, а операции вы делаете через интернет, при этом на телефоне нет ни логина, ни пароля от личного кабинета в интернет-банке.
А ведь банки не предоставляют услугу, когда вход в мобильное приложение происходит с одного номера телефона, а код подтверждения приходит на другой. То есть мобильные приложения по умолчанию сделаны так, чтобы, если будет украден телефон, это автоматом означает, что украдены все деньги.
А некоторые банки ещё и к расчётным счетам предприятий предлагают такую же услугу - это ужасная дыра в безопасности. Классическая защита - это три уровня: физическое usb-устройство (токен), пароль, смс. Нет хотя бы одного из них - нет доступа к деньгам. А мобильное приложение для расчётного счёта организации - это же очевидная дыра! Зачем, для кого такое сделали? Неужели кто-то пользуется?
