Проблема
Количество случаев мошенничества просто зашкаливает. Статьи о фактах мошенничества появляются чуть ли не каждый день. Происходит это при полном попустительстве государства и полиции, которая занята оппозицией. А вполне вероятно, что мафии это выгодно, погружать народ в кредиты.
Банки сообразили, что в большинстве случаев это проблема клиента, а им прибыль с процентов по украденным кредитам, поэтому у них и нет заинтересованности реально прекратить этот беспредел, под видом защиты они хотят только глубже залезть к клиентам в штаны. Банки позволяют легко деньги украсть, но не позволяют закрыть счёт даже когда уже в суде много раз воля клиента закрыть счёт была озвучена.
Двухфакторная защита банков на самом деле однофакторная раз мошенникам удаётся менять телефонные номера клиентов и угонять доступ в приложения и ЛК банков.
Попытаемся разобраться так ли бессильно государство, полиция, банки, люди перед жуликами. В Европейском Союзе такого почти нет, во всяком случае в таких масштабах как в России, там значит вопрос решён. Приведём схемы взломов аккаунтов пользователей и возможные варианты защиты.
Как мошенники крадут деньги
Очень много статей из серии N способов как мошенники крадут деньги с банковских карт описывают как разные варианты схемы звонков телефонных мошенников. На самом деле это ровно один вариант, который называется “социальная инженерия” или проще телефонный развод.
Если позвонили из банка, ГосУслуг, службы безопасности, следственного комитета, прокуратуры, полиции, ФСБ, суда, то самое правильное сразу повесить трубку, а номер внести в чёрный список. В идеале вообще не брать трубку с незнакомых номеров. Всё что нужно органам, они сообщат повесткой, сами вас доставят на допрос, и там самое лучшее пользоваться 51 статьёй и никогда не разговаривайте с силовиками. Банк всё что нужно сообщит в письменной форме в своём приложении или личном кабинете банка. Важно помнить, что вы не можете доверять ни входящим звонкам, ни СМС. Номер отправителя легко подделать, см. как Навальный развёл своего отравителя.
Не лишним будет повторить, что не надо:
открывать все письма с загрузкой всего контента, тем самым та сторона знает, что письмо открыли;
открывать прикреплённые файлы, если вы не ждали их получения;
переходить по ссылке в письме, смс, соцсетях, на разных левых сайтах, если вы не ожидали эту ссылку от банка, например, регистрируясь или восстанавливая пароль;
не устанавливайте лишнее ПО.
Есть более банальные способы потери денег — утеря контроля над:
телефонным номером;
адресом электронной почты;
аккаунтом ГосУслуг;
смартфоном, компьютером.
Теперь мы рассмотрим всё это с других точек зрения.
Ключи и алгоритмы защиты
Вход в информационную систему подобен входу в жилище или открытию автомобиля. Хорошо если у вас один ключ. Лучше когда два. Совсем хорошо, когда открыв дверь нужно ещё знать, где отключить сигнализацию, которую если не отключить, то приедет охрана. На автомобили ставили просто тумблер, который пока не переключишь электрическая цепь не включится.
Перечислим какие типы ключей есть в нашем распоряжении:
Логин как правило это: email или телефон или номер карты.
Пароль.
Второй пароль — кодовое слово.
Таблица одноразовых паролей, данные о последней операции, персональные данные.
Аккаунт электронной почты, ГосУслуг или ещё какой.
SMS, телефонный звонок (см. Как мы боролись с фейковыми аккаунтами на сайте знакомств).
Приложение на смартфоне, генератор одноразовых паролей, Яндекс-Google-аутентификация, сумма блокировки текущей операции.
Аппаратные генератор одноразовых паролей, аппаратный токен.
Статический IP-адрес, подсеть, геолокация.
Общение в Telegram, WhatsApp.
Тумблер разрешающий операции сверх заданного лимита. Это может быть последовательность определённых действий.
Типы ключей я расположил в направлении сложности их взлома.
Пароль можно потерять, его может украсть вирус, его можно ввести на фишинговом сайте. Кодовое слово, паспортные данные клиенты часто называют при звонке в банк, а записи телефонных разговоров пишутся не только в банке, но и у операторов связи. Данные об операциях по счёту могут украсть через социальную инженерию, через ментов в даркнете, да и просто проследить, что вот клиент только что заправился. Прочие типы требуют уже завладения смартфоном физически или путём заражения вирусом. Аппаратным генератором кодов можно завладеть только физически. Вирусы ему не страшны. Статический IP можно получить взломав WiFi сеть клиента, но следов много, надо приблизиться к жилищу и засветиться на камерах. А если для входа в банк вы используете VPN, то даже взлом WiFi не поможет.
К алгоритмам защиты относится порядок аутентификации. Информационная система может предложить пользователю на выбор как подтвердить отправку платежа. И только пользователь знает, что по понедельникам он подтверждает кодом Яндекс-аутентификатора, во вторник Google, в среду аппаратным токеном и т.д. Для перевода крупной суммы может быть последовательность действий в виде перевод суммы на вновь открытый счёт или виртуальную карту или вклад, и только уже оттуда перевод дальше. Может быть назначено второе лицо, которое в ЛК своего банка должно ввести будет код для подтверждения платежа. Тем самым, даже если бандиты получат физический доступ ко всем девайсам и ключам клиента, самому клиенту, заставят его самого ввести все коды и даже голосом позвонить в банк и подтвердить, что он это он, то на уровне даже не оператора банка, а службы безопасности банка сработает сигнал, что по локации клиента надо полицию присылать.
Главная причина успеха мошенников — однофакторная аутентификация
— Дайте мне в аренду метр государственной границы.
— Почему метр?
— Чтобы чемодан проходил.
Множество ключей не имеют смысла, если есть один суперключ или завладев одним ключом можно перевыпустить или сменить другие ключи.
Банковские информационные системы должны использовать многофакторную аутентификацию по независимым ключам доступа. На деле же у них есть один суперключ — сим-карта телефона или персональные данные клиента. На Тинькофф Банк, Альфа-банк и другие банки стабильный поток жалоб, когда мошенники меняют номер телефона клиента, затем устанавливают приложение, получают все требуемые смс-коды, воруют те деньги, которые есть, дополнительно открывают кредиты и воруют ещё деньги, которых нет.
Все данные, которые банки спрашивают по телефону не являются фактором аутентификации клиента. Мошенники могут позвонить и выяснить их от имени банка, может запись разговора утечь.
Истории как подделывали сим-карты в каких-нибудь Мухосрансках тоже были.
Что должно сделать государство
Перестать блокировать РосКомПозором оппозиционные сайты и заняться прямыми своими обязанностями операторами связи, которые без должной авторизации продают услуги телефонной связи мошенникам да ещё позволяют подменять телефонный номер.
Следить за call-центрами мошенников. Они же по ключевым словам выявляются. Распознавание голоса работает хорошо.
Суды должны наказывать банки за случаи, когда мошенники получили кредит по откровенно липовым документам, а сотрудники банка не проявили должной осмотрительности. Налоговая ведь доначисляет дикие налоги и штрафы за непроявление должной осмотрительности при выборе поставщиков услуг.
В УК РФ есть статья 293 Халатность. Тут именно она и есть: “Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе либо обязанностей по должности, если это повлекло причинение крупного ущерба или существенное нарушение прав и законных интересов граждан”.
Что должны сделать банки
Внедрить как можно больше вариантов аутентификации клиента и подтверждения платежа. Если клиент хочет иметь 10 независимых ключей, то пусть имеет. Если хоть один потеряет, то дальше ногами топает в банк. Позор банкам, которые позволяют поставить приложение и получить доступ к деньгам мошенникам, которые предварительно сменили телефон клиента в банке.
Сделать их реально независимыми. Или часть из них. Должно быть по желанию клиента хотя бы три независимых ключа. Потерял любой из трёх — топай в банк.
Запретить удалённо менять номер телефона или авторизовывать перевыпущенную сим-карту. Можно не всем. Но хотя бы дать клиентам такую возможность повышенной безопасности.
Внедрить системы уведомлений не только через СМС, а HTTP-уведомлений и писем на email, которые уже хоть на ту же умную колонку можно завернуть. Если сим-карту или смартфон увели, то клиент уже не получит уведомление.
Пока же в каждой статье на VC.ru и на banki.ru пиарслужбы банков в лучших традициях учеников доктора Геббельса врут как они заботятся о безопасности.
Что стоит сделать клиентам банков
https://twitter.com/aloe_ve/status/1434160378473287682
Послушать звонки мошенников в Youtube. Прослушав ещё несколько подобных разговоров сами будете чувствовать развод.
Лучше вообще не разговаривать по входящим звонкам. Повесьте трубку будто связь разъединилась и сами перезвоните в банк по номеру на сайте. В идеале не использовать телефонную связь, а иметь своего менеджера в Telegram, WhatsApp или приложении банка и постоянно удалять переписку в мессенджерах, и в имени менеджера не писать, что это такой-то банк.
Ещё лучше завести для каждого банка отдельный секретный телефонный номер, который нигде больше не используется. Некоторые операторы предлагают виртуальные (дополнительные) мобильные номера. Главное не потерять контроль над таким номером.
Заводить для каждого банка отдельный email, который нигде не светится. Например, в Google это делается так mailbox+bankname@gmail.com. Но всё равно это по сути один email и защита так себе. Вы можете взять в аренду VDS, купить собственный домен и регистрировать на нём уже любые адреса и алиасы электронной почты. Алиас вида shortbankname4901@yourdomain.ru существеннее безопаснее. И если на такой адрес придёт персональное рекламное предложение, то вы будете знать с высокой долей вероятности, откуда утекли ваши персональные данные. Следовательно это повод поменять в банке email и телефон.
Отправить ссылку на эту статью в поддержку своего банка и потребовать дополнительных типов защиты и запрета удалённого смены номера и авторизации новой сим-карты.
Не ставить на смартфон и компьютер постороннее ПО, игры. Если же они вам жизненно необходимы, то не ставьте тогда туда банковские приложения. Купите VDS и заходите в ЛК банков из чистой операционной системы, где нет ничего постороннего. Вредоносное ПО может получить доступ к вашей VDS, но это уже несколько сложнее, особенно, если настроить firewall c двухфакторной авторизацией.
Не открывать ссылки и файлы, которых не запрашивали. Просмотр заголовков письма часто говорит о том, что оно левое. Но ряд заголовков можно подделать.
Не давать доступ к своим контактам никаким приложениям.
Написать своим депутатам с требованием внести законодательную инициативу обязывающие банки по требованию клиента использовать аппаратный токен и запрет на дистанционное изменение телефона. Понятно, что это скорее всего мера бесполезная, но вдруг.
-
Если вы арендуете или размещаете сервер для своей бухгалтерии и работы с банками — вот небольшой список базовых вещей, который помогут спать спокойнее:
ОС и ПО нужно регулярно обновлять, зачастую, обновления закрывают уязвимости, про которые уже узнали мошенники.
Обязательно настройте firewall и разрешите ограниченный круг IP-адресов.
Установите антивирус, убедитесь что его вирусные базы обновляются.
Установите утилиту fail2ban, чтобы исключить ситуацию с перебором паролей.
Настройте или закажите мониторинг, это поможет своевременно отреагировать в случае возникновения проблем.
Даже если у вас есть системный администратор — закажите минимальное администрирование на стороне хостера. Как говорится, одна голова хорошо, а две — лучше!
Если на вашем сайте собираются персональные данные — закажите аудит, обратитесь в поддержку и убедитесь, что все соответствует 152-ФЗ, потому что потерять деньги можно и налетев на штраф от государства.
Заключение
В статье должна была быть таблица с данными о поддерживаемых механизмах защиты российскими банками, но PR-службы банков дважды выморозились. Сначала попросили направить им запросы на почту, а потом видя, что заполнять таблицу нечем просто прислали хамские отписки. Если вы знаете банк, который использует дополнительные степени защиты, то пишите в комментарии, желательно со ссылкой на страницу банка, где указана данная информация.
И ещё одна наша таблица про премиальные карты банков, которую мы делали пару лет назад. Условия у некоторых банков изменились уже в худшую сторону, а у некоторых не изменились, а постоянство и стабильность являются хорошим маркером.
Update
В комментариях и в оценках наблюдается тренд на поддержку бангстеров, мол ничего поделать нельзя и даже вот статья с высоким техническим уровнем, надо полагать. Если ничего не делать, то ничего и не изменится. Меры в статье предложены опциональные и не раз в статье про это сказано. Не надо переживать за бабушек и отток клиентов. Других аругментов почему не внедрять аппаратные токены и прочие варианты защиты, к сожалению, не звучит.
Дата-центр ITSOFT — размещение и аренда серверов и стоек в двух дата-центрах в Москве. За последние годы UPTIME 100%. Размещение GPU-ферм и ASIC-майнеров, аренда GPU-серверов, лицензии связи, SSL-сертификаты, администрирование серверов и поддержка сайтов.
Комментарии (396)
anonymous
00.00.0000 00:00vlad_egrv
04.10.2021 09:48+2предлагаете телефонные разговоры подслушивать для выявления мошенников
они уже подслушивают, предлагается чтобы данная власть использовалась по назначению. А вообще тут и подслушивать не нужно, контроль коллцентров нужен, а то прям сидят такие операторы 2021 году и не видят откуда бешеное количество звонков идет постоянно
Popadanec
04.10.2021 12:10А разве у них есть технические возможности подслушивать/расшифровывать все звонки?
По закону Яровой, только хранить надо и то это такие деньги что годовую прибыль перебивает. А если ещё и анализировать, то ОПОСАМ в три раза надо цены поднять.
ФБР как то призналась что тотальная слежка не эффективна в виду слишком большого объёма данных и сложности анализа разговора(начиная от банальной подмены слов/терминов). Плюс шифрование полным ходом наступает и даже имея бекдоры, эффективно работать не получается. Максимум точечные проверки подозрительных личностей.
CrashLogger
04.10.2021 12:23Телефонные звонки не надо расшифровывать. Шифруется только радиоканал, а в инфраструктуре ОПСОСа все ходит в открытую.
Popadanec
04.10.2021 12:33+2Я наверное не то слово использовал. Конвертировать голос в текст. Иначе тотальное прослушивание не возможно.
dipsy
04.10.2021 14:51Да, все звонки конвертировать тут конечно мощности не хватит никакой, вот бы была возможность как-то по каким-то простым признакам отличить номер вероятного мошеннического колл-центра от номера "обычного" человека и прицельно анализировать только "подозрительные" номера... По количеству исходящих звонков в день на разные номера, к примеру.
Жалко что такой возможности нету, не правда ли?
itsoft Автор
04.10.2021 14:57-1Зачем вам все? Достаточно выборочно с тех номеров, что вызовы идут постоянно. И не нужно весь звонок. Достаточно первые 5 секунд. Если с номера постоянно вызовы, если первые 5 секунд содержат ключевые слова, то дальше уже делается отекстовка полная всех звонков. И программа покажет 99% вероятности, что это мошенничество.
И ещё есть куча факторов. На кого номер оформлен. Что за юрлицо, какие налоги платит. Всё делается. Желание нужно иметь.vlad-kras
04.10.2021 18:14+3Можно просто открыть горячую линию, куда можно жаловаться, если абонент подозревает что звонили мошенники. Порог 5-7 жалоб на один и тот же номер и уже можно начинать разбирательство.
Anrikigai
05.10.2021 17:57Вот именно. Сейчас такие зовнки как Спам помечаю (а не только блкирую), а можно было бы именно как моженнические.
Ну и как несколько человек именно на мошенничество с номера поажловались, начинать разбирательства.
Неужто серии звонков одтинаково начинающихся со "звонит следователь...." недостаточно, чтобы "запеленговать", где сидит владелец (дажэе если номер подделывался)?
Было бы желание...
Layan
06.10.2021 15:50Смысл «пеленговать», где владелец, если главные исполнители сидят в другой стране, судя по данным Сбербанка.
Anrikigai
06.10.2021 16:02Думаете, они каждый звонок с нового номера совершают? Причем совершенно произвольного (не из пула своего оператора и т.п.)?
Мне кажется, если бы его блокировали после 20 звонков, не давая обсзвонить тысячу, уже серьезно затруднило бы работу им. (не у меня в смартфоне он помечался бы спамом, а вообще ни до кого, даже до обычных звонилок не доходил бы).
А там можно дойти и до блокировки операторов, уличенных в значительном количестве мошеннических звонков, да еще и с подменой номера. Все лучше, чем блокировать целиком Linkedin или Twitter..
poige
04.10.2021 10:19+3Мозги можно тренировать, критическое мышление — развивать, но для авторитарных властей это немного в ногу себе стрелять. )
Aleksandr_r
05.10.2021 13:29Так может плотно заняться расследованием таких мошенничеств? Думаю, годик хотя бы плотно поработать и их сильно поубавится. Другой вопрос, что властям это не надо и они используют полицию для других целей. Но еще раз. проблема не выглядит сложной или не решаемой
achekalin
04.10.2021 07:24+17Вы как-то свое мнение за единственно верное выдаете, хотя отлично понимаете (ведь понимаете?!), что мир не из вух красок состоит.
Где-то банк хочет, но не осилил, а где-то рук-во не жадное, но просто тупое.
Ну и еще, даже 2FA не спасет от тупости юзера, просто схемы изменятся. Это не аргумент против 2FA, а мысль, что думать нужно еще глубже.
farafonoff
04.10.2021 09:21+9Ну и еще, даже 2FA не спасет от тупости юзера, просто схемы изменятся. Это не аргумент против 2FA, а мысль, что думать нужно еще глубже.
Не первый комментарий, где вижу эту мысль. То что бронежилет не защищает от атомной бомбы, вовсе не означает что носить его не нужно. Пусть банки/государство сначала защитят добросовестных и адекватных людей от перевыпуска симкарт, а потом уже решают вопросы с мошенниками.
larasage
04.10.2021 10:49+7Аналогия с бронежилетом удачная получилась. Вы его постоянно носите? Думаю, что нет - это жутко неудобно...
CrashLogger
04.10.2021 12:26+2Если бы вероятность получить огнестрельное ранение была такой же, как вероятность потерять деньги в результате мошенничества, мы бы наверное уже даже спали в бронежилетах.
VIPDC
04.10.2021 12:48-1Статистки Банка РФ: 20 тыс случаев незаконного вывода средств
Статистика МВД: 27 тыс. случаев ранения (конечно тут и ножевые)
inkelyad
04.10.2021 12:56+2Выводов, может и 20 тыс. (ссылку, откуда статистика взята, хорошо бы узнать), но:
Обзор операция, совершенных без согласия клиентов финансовых организаций за 2020 год(Сайт Центробанка, PDF)
Страница 6:
Объем всех операций, совершенных без согласия клиента с использованием ЭСП, в 2020 году составил 8757,2 млн рублей. Количество таких операций – 770 075 единиц.
Чуть ниже:
За 2020 год доля операций без согласия клиента в общем объеме операций по переводу денежных средств составила 0,00117% (в 2019 году – 0,00089%). Указанные значения не превышают установленный Банком России целевой показатель доли таких операций в общем объеме операций, совершенных с использованием платежных карт. Этот показатель установлен на уровне 0,005%.
Ну и вообще весь отчет полезен для прочтения.
RTFM13
05.10.2021 02:08На сколько я понимаю, телефонное мошенничество туда не попадает, т.к. сообщив код из СМС клиент дает согласие на проведение операции. Это позиция банков и судов.
Т.е. 20 тыс это редкие счастливцы которым удалось доказать что деньги ушли без их согласия. Какие-нибудь крупные чиновники из силовых ведомств и т.п.
Поправьте, пожалуйста, если я не прав.
itsoft Автор
04.10.2021 13:37+1Вы не учитываете покушения на мошенничество. Они не регистрируются в отличие от покушений на убийство когда стреляли и промазали.
Assargin
04.10.2021 20:02Именно.
А после того, как об одном банке из ТОП-5 стало появляться слишком много совершенно трэшевых историй о завладении средствами мошенниками, я оттуда ушёл после 10+ лет клиентства.
Справедливости ради, они лично мне тоже успели навредить, и хоть (пока ещё) не финансово + у меня оставалось немного лояльности к ним, но неиллюзорная возможность потерять все дебетовые средства и плюсом попасть на кредитные даже без своего участия стала последней каплей.
ksbes
04.10.2021 12:34Знаете, я думаю удобство ношения бронежилета находится в монотонной зависимости от концентрации пуль и осколков в воздухе в ближайшей дельта-окресности.
Что касается банков — так или иначе мошенники разговаривали почти со всем моим ближайшим окружением, с некоторыми даже успешно.
itsoft Автор
04.10.2021 09:50+2А вы видно невнимательно прочитали. В статье не раз говорится, что хотя бы по желанию. Не всем подряд и бесплатно аппаратный токен давать, но если человек хочет, то банк должен дать. Пусть за деньги дополнительные.
От тупости не спасает, а вот от дистанционной смены номера спасает. И от изготовления сим-карты спасает. И от перехвата или недоставки sms спасает.
eee94
04.10.2021 16:11+8Опыт пользования банком ING в небольшой европейской стране:
Карточки мастеркард чипованные - уже много лет.
Доступ в онлайн-банк двумя возможноми аутентификаторами:
железный кард-ридер (выдается, заменяется бесплатно, у всех кого я знаю их клиентов этого банка дома просто залежи этих ридеров)
через 2FA приложение на телефоне, для регистрации в котором нужно первоначально считать электронное ID
Никаких других вариантов нет. Т.о. банк не использует ваш номер мобильного при авторизации. Совсем.
Онлайн-платежи (кроме супер доверенных марчантов вроде Amazon, Uber и т.п.) тоже нужно подтверждать через кардридер. (MasterCard 3d-secure). Это всё не ознчает что всё вот прямо супербезопасно, т.к. есть нюансы с бесконтактными платежами, но, в целом, не плохо.
Про "бабушек" - либо научились (не так то и сложно), либо с пачкой бумажных счетов ходят в отделение - там или операционисты, или специальные машины для автоматического распознавания счетов, выполненных по специальному стандарту оформления. Плюс, распространены доверенности на автосписание средств по договорам.
Для защиты от социальной инженерии тут банки регулярно провдят информационные кампании, главное сообщение которых - "Банк всегда сначала блокирует потом информирует. Никогда не наоборот."
force
04.10.2021 17:53+2Онлайн-платежи (кроме супер доверенных марчантов вроде Amazon, Uber и т.п.) тоже нужно подтверждать через кардридер. (MasterCard 3d-secure).
Позанудствую, но 3D Secure просит не банк, а продавец. Т.е. Amazon не просит не потому что он такой доверенный весь из себя, а потому что он для удобства клиентов готов сам нести риски фрода. Остальным - гораздо проще (и дешевле) заюзать 3D Secure.
eee94
04.10.2021 18:07+1Это справедливо, но справедливо и другое - им разрешают (банки и платежные системы, да и регуляторы) нести эти самые риски. Условный ноунейм даже если и захочет нести такие риски (и заплатить за это) - кто ж ему даст. Т.е. это именно вопрос доверия (и очень специфических договорных отношений) между мерчантом, банками и регулятором (читай государством)
select26
06.10.2021 16:00Это называется "перенос ответственности" в терминах МСП. Эквайр решает - дать мерчанту такое право или нет. Под финансовые гарантии и письменный отказ от претензий. Это сильно повышает конверсию, но и риски тоже. Для высокомаржинального бизнеса выгодно.
Из опыта.
RTFM13
05.10.2021 02:00+8Тупость это не бинарное свойство есть/нет. Банки всё же активно способствуют.
Коды сотруднику никогда сообщать нельзя, но вот этот код надо сообщить, банк никогда не звонит, но если что-то надо впарить клиенту, то звонит и так далее - фиг разберешь какие там сегодня правила, исключения и исключения из исключений.
Свою фамилию, дату рождения и даже скан паспорта я не обязан хранить в секрете и имею полное право разместить в профиле вконтактика.
В ВТБ можно взять телефон человека вбить егона сайте и три раза введя неправильный пароль заблокировать ему доступ в ЛК. Как я, как клиент банка, могу на это повлиять? В чем тут моя тупость?
Ситуация когда по одной СМС можно обобрать клиента до нитки и еще кредитов взять на несколько миллионов - совершенно не нормальная.
Что это вообще за привязка к услуге сторонней коммерческой организации? Может я вообще не хочу пользоваться сотовой связью?
Anrikigai
05.10.2021 18:11В Тинькове действительно бывает код, который нужно сообщить оператору. Например, чтобы подвтердить личность, когда опратился к ним в чате или по телефону. Ну так в этих СМС явно и указано: "Для решения вашего вопроса сообщите сотруднику код ХХХ". Во всех остальных случаях в каждой СМС: "Никому не говорите код...". И даже не только код, но и для какой он цели (подтверждение платежа на сумму, перевод на другой счет...)
В чем путаница-то? Если на СМС "Никому не говорите код для перевода всех ваших денег черти-куда" клиент этоот код сообщает мошеннику - ну тут странно обвинять банк, что он плохо организовал защиту..
Пуши вместо СМС тоже можно выбрать. Тогда при невозможности доставить пуш SMS уйдет.Про "заменил SIM-карту - получил доступ к кабинету" тоже очень странно читать. СМС не достаточно, пароль есть. Когда я забыл пароль от кабинета, не то что через СМС не получилось, а даже и по звонку. "Нет, восстановить пароль нельзя, создайте нового пользователя для доступа к клиент-банку и пройдите сложную процедуру из адовой кучи вопросов и анализа голоса".
RTFM13
05.10.2021 19:49+3Для решения вашего вопроса сообщите сотруднику код ХХХ
Вот эта формулировка вообще прекрасна. Я думал "мой вопрос" - исправление ошибки в паспортных данных, а на самом деле сотрудник только что привязал свой смартфон к моему счету. На банки.ру подобные сценарии уже упоминались как реализованные.
Кстати, почему я должен следовать инструкциям в СМС? В каком законе/договоре это написано? Как я определю подлинность СМС? Может это тоже какой-то хитрый развод? Завтра вам придет СМС: "Войдите в приложение банка и передайте смартфон сотруднику банка, он ожидает Вас у входной двери". Так и сделаете?
В любом случае, я не собираюсь превращать смартфон в чемодан со всеми своими деньгами. Может банк думает что я должен теперь ячейку арендовать для смартфона? Смартфон у меня для котиков и тиктока, а завтра я его любовнице подарю вместе с симкой и номером. При чем тут вообще какой-то дебильный банк со своими СМСками?
СМС не достаточно, пароль есть.
В куче банков приложение привязывается с помощью единственной СМС. А далее уже всё завязано на приложение и пуши.
Думаете ОПСОС будет нести ответственность если отправит Вашу СМС другому абоненту "по ошибке"? Ничего подобного. Максимум он вам вернет стоимость не доставленной бесплатной входящей СМС. Это если Вам каким-то чудом удастся доказать что СМС была доставлена не по адресу.
Я могу контролировать 43 (сорок три) приложения имеющих доступ к СМС на своём смартфоне со всеми этими гигабайтами индийского кода и китайских облаков? И еще 2 раза по столько же сотрудников опсоса, шлюза и еще, не к ночи будет сказано, чекистов с их сормом?
Anrikigai
05.10.2021 20:20+1Я думал "мой вопрос" - исправление ошибки в паспортных данных, а на самом деле сотрудник только что привязал свой смартфон к моему счету.
Вы считаете, что сотрудник банка, с которым вы общаетесь, самостоятельно пишет текст СМС и код в нее? Тогда зачем ему получать этот код от вас?
Если код вместе с текстом формирует система, чтобы предоставить по этому коду дополнительные права сотруднику, то почему вдруг система сформировала СМС с текстом "сообщите код сотруднику", а права сотруднику предоставила на привязку ЕГО номера телефона?
Я уж молчу, что если сотрудник недобросовестный и настолько отмороженный, что сделает что-то под запись всех разговоров, это вскроется моментально. И вряд ли банк будет его отмазывать.
Если же вы всерьез рассматриваете ситуацию, что банк специально такое прокручивает (шлет вам СМС с кодом "сообщите сотруднику", чтобы сотрудник привязал свой смартфон) - зачем банку такие сложности?
Как я определю подлинность СМС? Может это тоже какой-то хитрый развод?
Если что-то выглядит как утка, плавает как утка и крякает как утка, это, вероятно, и есть утка.
Если я оборатился в банк для решения вопроса, и мне пришла СМС "сообщите этот код сотруднику", скорее всего это подлинная СМС.
Но если даже СМС от мошенника, в чем проблема сообщить код сотруднику (я писал в чат банка или звонил по телефону банка)?
И повторюсь: злоумышленник может подделать только номер, но не текст с кодом. Если написано "сообщите код сотруднику" и сам код, значит эта СМС инициирована банком и предполагает сообщение кода сотруднику банка. Либо же она не содержит секретного кода (иначе зачем злоумышленнику спрашивать у меня то, что он написал сам).
Или у вас есть идея, как злоумышленник может отправить вам СМС с кодом от "привзяки к личному кабинету" или "перевода", но с текстом "сообщите код сотруднику"?
Разве что перехватив SMS по дороге и подменив текст. Но тогда зачем мне его вообще слать... И да, пуши в этом плане надежнее.
Завтра вам придет СМС: "Войдите в приложение банка и передайте смартфон сотруднику банка, он ожидает Вас у входной двери"
Если ни с того, ни с сего мне придет такая СМС, я сообщу о ней в банк, и поинтересуюсь подробностями.
Смартфон у меня для котиков и тиктока, а завтра я его любовнице подарю вместе с симкой и номером.
Вот именно после таких действий и появляются душераздирающие истории о том, как "банк крадет деньги вкладчиков"
inkelyad
05.10.2021 21:07+3Осталось понять только, для чего весь этот цирк с SMS-ками нужен. Единственное, что я могу придумать - это экономят на ридерах карт (раньше в подобных ситуациях мой банк просто просил карточку вставить).
Вот именно после таких действий и появляются душераздирающие истории о том, как "банк крадет деньги вкладчиков"
Со смарфоном так обращаются немаленькое количество народа. Ибо не специальная железка исключительно для платежей (как банковская карта), а предмет общего назначения. И это надо учитывать при разработке систем безопасности, а не твердить впустую какие-то требования, которые многие не выполняют. Есть большое желание воспринимать подобное как как то, что это специально делается, чтобы потом отмазываться по 'клиент правила нарушил'.
RTFM13
06.10.2021 00:39+1Вы считаете, что сотрудник банка, с которым вы общаетесь, самостоятельно пишет текст СМС и код в нее? Тогда зачем ему получать этот код от вас?
Што?
Я считаю что текст смс вообще ничего не говорит о той операции которую реально выполняет сотрудник. Система такую смс присылает на любое действие сотрудника. Сотрудник скажет мне что якобы "тут ошибка, нужно внести исправления вот вам бланк заявления и код мне скажите", а сам в это время инициирует привязку приложения к своему смартфону. И СМСку я получу на привязку приложения. Но т.к. в ней не написано какие действия выполняет сотрудник я буду продолжать думать что это изменение паспортных данных.
Вина банка тут в тупом тексте СМС, а деньги воровать естественно будет не банк, а конкретный сотрудник. Хотя возможны варианты.
И это не мои фантазии, а реальные случаи (не точно, но с огромной вероятностью).
Если я оборатился в банк для решения вопроса, и мне пришла СМС "сообщите этот код сотруднику", скорее всего это подлинная СМС.
см. выше.
Если ни с того, ни с сего мне придет такая СМС, я сообщу о ней в банк, и поинтересуюсь подробностями.
Вы же выше мне предлагали выполнять инструкции из СМС? Или не все надо выполнять? Вот об этом я и писал в начале ветки.
Вот именно после таких действий и появляются душераздирающие истории о том, как "банк крадет деньги вкладчиков"
Мой смартфон, что хочу, то и делаю. Что за ограничения? На основании чего? Если у меня задрипаная карточка дебильного банка, я теперь не могу в инстаграм любовницы зайти? Нафига мне такой банк? ...если бы они абсолютно все не были такими.
Вы хотя бы можете сформулировать эти ограничения четко? Что можно делать, а что нельзя?
Anrikigai
06.10.2021 08:36-1Сотрудник скажет мне что якобы "тут ошибка, нужно внести исправления вот вам бланк заявления и код мне скажите", а сам в это время инициирует привязку приложения к своему смартфону.
Мне трудно представить, что в интерфейсе системы заложена штатная функция привязки телефона сотрудника к счету клиента. Специальная дополнительная функция разработана.
Если же вы думаете, что код из этой СМС открывает сотрдунику колл-центра/поддержки прямой доступк к базе, где он может творить все, что угодно, это не так :)
деньги воровать естественно будет не банк, а конкретный сотрудник. Хотя возможны варианты.
Да, по последней фразе видно, что вы ожидаете от банка намеренную реализацию функции привязки телефона сотрудника к вашему аккаунту.
Тут мне сказать нечего, я не держу деньги в банке, вызывающем у меня столь серьзеные опасения.
RTFM13
06.10.2021 15:10Мне трудно представить
Мне трудно представить, что можно украсть все сбережения человека да еще на несколько лет вперед по одной СМС. Но это так.
Где я могу ознакомиться со списком функций доступных сотруднику банка по коду из СМС? Официальный список который я смогу предъявить в суде. Чтобы в том же суде мне потом не говорили что я сам дал согласие, как это бывает обычно. Ладно, я в суде скажу что Вам было сложно представить. Надеюсь, суд примет этот аргумент.
не держу деньги в банке, вызывающем у меня столь серьзеные опасения.
А то, что все деньги плюс кредитный лимит можно угнать по одной смс, к которой имеет доступ не ограниченный круг людей, Вас не беспокоит? Завидую!
Anrikigai
06.10.2021 15:38+1Не очень понимаю, кого вы включили в неограниченный круг лиц, имеющих доступ к моим СМС. Сотрудников органов через СОРМ?
В целом да, не беспокоит. По крайней мере пока я не вижу конкретного сценария, при котором достаточно сгенерировать какой-то запрос и перехватить одну СМС для упомянутых ужасов.
Все сценарии подразумевают целевую атаку конкретно на меня, завязываются на знание номеров карт, которые я нигде не свечу (расплачиваюсь смартфоном) и прочие сложности.
А хищения денежных средств происходят в основном с использованием банального фишинга и социальной инженерией. Для сложных и дорогостоящих целевых атак есть мишени поинтереснее.
RTFM13
06.10.2021 15:57Не очень понимаю, кого вы включили в неограниченный круг лиц, имеющих доступ к моим СМС. Сотрудников органов через СОРМ?
Программистов приложений. Какой-нибудь предустановленный яндекс или меил ру который ни удалить, ни права урезать.
Вам виднее какое ПО у Вас установлено.
По сетям обсоса СМС передается открыто. Плюс шлюз/агрегатор.
Завтра ваш тиньков сделает логином номер телефона как это уже сделал втб и вам не скажет. Для Вас уже в этой теме стало неожиданностью, что можно восстановить пароль по одной СМС.
То что сегодня случаи перехвата СМС не являются массовыми не значит, что так будет всегда. Технология не защищенная by design. И Вы (а равно - я) можете стать первыми кому "повезёт".
Anrikigai
06.10.2021 16:20Для Вас уже в этой теме стало неожиданностью, что можно восстановить пароль по одной СМС
Ссылочку не приведете?
Там, где я "удивлялся" такому, в итоге как раз подтвердилось, что одной SMS не достаточно. Нужно еще и полный номер карты указать, который шлюзам/агрегаторам получить не так просто.
А для условного "силовика", имеющего доступ и к СМС, и к базам налоговой и т.п. есть цели поинтереснее. Хотя о чем это я? В налоговой ведь тоже номеров моих карт/договоров нет. Только счета. Но по ним не восстанавливается.
Я не говорю, что в полной безопасности. Разумеется, могут сойтись звезды, что и трех-четырех-пяти факторов не хватит. Но в реальности более вероятны другие способы изъятия вплоть до физических. Только причем тут банк, если я сам все сдал добровольно и с песней.
RTFM13
06.10.2021 17:10+1Я не говорю, что в полной безопасности. Разумеется, могут сойтись звезды, что и трех-четырех-пяти факторов не хватит.
В реальности у вас 0,5 фактора - это СМС передаваемая по открытым каналам. Номер карты вообще не фактор, его могут срисовать в любом месте где Вы картой расплачиваетесь.
Anrikigai
06.10.2021 17:54Я не расплачиваюсь картой. Я прикладываю смартфон. Теперь даже банкоматы это позволяют (хотя наличкой почти не пользуюсь)
Срисовавший карту тупо на кассе (ну вдруг) не знает телефон
Не уверен, что не требуется еще и login знать.
Пароль-то он сбросит, но по номеру можно зайти только для регистрации аккаунта. Старый мне удаляли по звонку.Есть еще куча механизмов антифрода, препятствующих выводу значительных сумм "внезапно".
Впрочем, мы фигней занимаемся. Достаточно уже. Просто повотрю основную свою мысль.
Если кто-то жалуется, что у него увели со счетов (из Тинькофф как минимум) все деньги, практически наверняка это из-за ошибки клиента (развели мошенники, украли родственники/близкие). А не потому, что банк не дал возможности защититься (не предусмотрел 2FA, неправильно имплементировал и прочее). Бывают экзотические случаи с недобросовестными сотрудниками, но гораздо реже. И решаются по другому.
А вот "подсмотреть номер карточки, сделать поддельную SIM..." если и бывает, то неизмеримо реже, да и наказывать за это надо не банк. И что там с компенсациями за украденные таким образом деньги со стороны салона/сотрудника, необоснованно выдавшего СИМ карту - это отдельная песня.
RTFM13
06.10.2021 18:17Впрочем, мы фигней занимаемся. Достаточно уже.
Согласен, все эти технические детали особого значения не имеют
Если кто-то жалуется, что у него увели со счетов (из Тинькофф как минимум) все деньги, практически наверняка это из-за ошибки клиента (развели мошенники, украли родственники/близкие).
Если таких случаев не один и не два, значит механизм неприемлем. Всё, это достаточное условие, кто виноват - даже не имеет значения.
А вот "подсмотреть номер карточки, сделать поддельную SIM..." если и бывает, то неизмеримо реже, да и наказывать за это надо не банк. И что там с компенсациями за украденные таким образом деньги со стороны салона/сотрудника, необоснованно выдавшего СИМ карту - это отдельная песня.
Может просто не надо пароли передавать по открытым каналам? Может не надо использовать услугу третьих лиц для этого не предназначенную? Нет? Ну я хотя бы попытался...
RTFM13
05.10.2021 18:06+1Чувство уверенности чтобы уверенно послать мошенника при малейших сомнениях.
Politura
04.10.2021 07:40На самом деле это ровно один вариант, который называется “социальная инженерия” или проще телефонный развод.
Вот именно. Ну и как-же двухфакторная аутентификация спасет от, например, такого мошенничества: https://habr.com/ru/post/538794/ ?
itsoft Автор
04.10.2021 09:56Эта статья нудная и очень банальная. У меня это пукнт - послушать записи разговоров с мошенниками, ну и второй пункт ни с кем не разговаривать.
Тупых не спасёт, но у нас задача дать чувство уверенности для нетупых и просто поднять уровень безопасности.
Хотя даже тупых в какой-то степени спасёт. Потому что даже тупой будет иметь больше шансов.
FDA847
04.10.2021 07:41+1Я года 4 назад поменял симку для поддержки 4G. Номер, понятное дело, остался прежним. Так у меня пропал доступ в Сбер Бизнес Онлайн. Оказывается они там проверяют уникальный номер SIM-карты, поэтому при замене надо подтвердить её либо написанием заявления в банке, либо второй учёткой для этого же личного кабинета.
baldr
04.10.2021 08:10В Альфе так же. Поменял симку, но, кажется, в банк не ходил, однако пришлось позвонить и через техподдержку активировать. По крайней мере запись голоса у них должна остаться.
achekalin
04.10.2021 09:16+7Я однажды сменил телефон, и сразу же заменил симку - это давно хотел, но из-за ковида все не мог дойти.
И на сутки остался без мобильного банка, тк, как оказалось, и Би, и банк после смены симки и телефона вводят ограничения. Т.е. - хоть что-то, но есть.
В общем, меня бы устроило, чтобы еще с левых номеров мне не звонили «консультанты банка». И еще очень удивительно, когда консультант рассказывает сне про мои кредиты - явно где-то течет из банков.
Ах да, вот когда я при звонке в банк должен рассказать все мои ПД для авторизации… за это бы рукам надавать, да.
dimskiy
04.10.2021 09:26+2со спам- звонками очень выручает фильтр в штатной звонилке от гугла, на андроиде. Режет 90% звонков, а по смс результат еще лучше
zuek
04.10.2021 15:45+3когда консультант рассказывает сне про мои кредиты - явно где-то течет из банков
Это "БКИ" течёт. На такой случай лучше переспрашивать, к какому дебетовому продукту привязан кредит (у меня в разных банках - либо электронная карта, либо зарплатная, либо автомобильно-бонусная) - в БКИ этой информации нет.
Ещё очень популярный поворот диалога "С Вашей карты осуществляется перевод в Манты-Хинкальный край на 15 тыс. руб." - "А с которой из?" - в 90% случаев дальше нить разговора утрачивает связность...
achekalin
04.10.2021 17:38+2Я пару раз такие звонки получал (не знаю, это часто или нет), с первыми поговорил, проверки логики ради, в стиле "какой банк? никаких ваших продуктов у меня у вас нет!" - чувак затупил и все повторял "как нет?"
А второму "сотруднику отдела безопасности" (который начал заливать, что "прямо сейчас вот кто-то на ваше имя берет кредит, это вы или нет?") я прямо сказал, что кредит не беру, а если банк это не может отследить, то это ваша недоработка, вы же безопасники. Вот второй обиделся, и начал прямо наезжать, что же я банк ввожу в заблуждение.
Ну и так - да, интересно, БКИ течет, о клиенте (прямо скажем - о комбинации "ФИО + телефон + банк, где кредит") кому-то что-то известно становится, и даже непонятно, как это прекратить и кто за это отвечает - и после этого гос-во обижается, когда граждане думают, как изобразить виртуалов? Правда, по факту, гос-ву пофиг на утечки, пофиг на виртуалов - но не пофиг на то, что граждане должны (налоги, воинская повинности и пр.).
Ndochp
04.10.2021 22:21+1Меня еще сервис от сбербанка бесит — пробивка Имени Отчества по номеру телефона (при переводе). Очень помогает мошенникам, а окрестные бабушки удивляются, "как же они узнали, как меня зовут?"
Popadanec
04.10.2021 23:08Можно выключить в приложении. Но с другой стороны это удобство и защита от перевода не тому человеку. Не нужно сообщать полный номер карты(что так же не безопасно), достаточно номера телефона.
Ndochp
04.10.2021 23:13+2Я не понимаю, почему имя отчество сочли менее опасными, чем фамилию и инициалы. Или даже фамилию со звездочками, как при печати номера кредитки.
Popadanec
05.10.2021 11:44Фамилия более уникальна, чем сочетание имя — отчество(тоже имя), как я думаю.
Запомнить проще. Да и перевод зачастую осуществляется знакомому человеку и имя, а то и отчество уже известны.
dimskiy
04.10.2021 09:25+1Аналогично в тинькофф - потребовалось списаться в мессенджере и созвониться голосом
Protos
04.10.2021 19:26Ага, автор ссылался при написании текста на старые статьи, уже пару лет если не больше в Тиньке это есть
itsoft Автор
04.10.2021 20:49+1Поищите как клиенты жалуются, что у них поменяли номер телефона и украли деньги, и ещё кредиты открыли и украли даже те деньги, которых не было.
Anrikigai
05.10.2021 18:20Конечно жалуются. Кто способен признать, что облажался и слил секретные коды, не будет во все колокала бить.
Не получится у вас зарегистрировать клиент банк на новом аппарате с новой симкой, выпущенный на старый номер.
RTFM13
05.10.2021 19:58+2По меньшей мере, в ряде банков достаточно одной СМС.
На банки.ру была история. Получили дубликат симки в ларьке опсоса и слили бабло + кредит. Тоже обвиняли клиента пока не выяснилось что симку получили по поддельному паспорту, а потом с этим паспортом еще набрали кредитов в других банках. А был бы ларек без видеокамеры так клиент бы и остался виноват.
Хотя вернут ли ему деньги еще большой вопрос. Но хоть по кредитам скорее всего претензий не будет.
Anrikigai
05.10.2021 20:29У меня в Телеграмме установлен пароль.
Даже если кто-то получит новую симку или сможет перхватить код (через СОРМ, что угодно), войти в мой аккуант Телеграма он не сможет.
С моим банк-клиентом то же самое. В этой ветке речь идет о Тинькофф, где получения кода категорически недостаточно, чтобы подключить клиент-бакн (ни с мобилки, ни из браузера)
Я могу согласиться, что наверняка есть банки, в которых смена СИМ карты не проверяется, а полный доступ ко всем счетам без ограничений предоставляется по единственной СМС.
Но остается лишь гадать о причинах, почему вы выбрали именно такой банк, сокрушаетесь о том, как в нем опасно обслуживаться, но категорически не желаете его сменить на один из многих других, где нельзя вас разорить одной СМС.
itsoft Автор
05.10.2021 20:32+1А пароль можно сменить имея смс.
Anrikigai
05.10.2021 20:41Пароль нельзя сменить даже при общении с сотрудником.
Забыл - опаньки. Создавай новый аккаунт с новым паролем. Но это уже далеко не только СМС, а и голос, и много чего еще.
Если же вы про Телеграм - то аналогично. По СМС вы пароль не смените, не для того он создавался. Может быть через почту можно, не знаю. Но угрозы со стороны спецслужб, перехватывающих мои СМС и почту с зарубежного сервера Телеграм на зарубежный же почтовый сервер я для себя не рассматриваю.
lomalkin
05.10.2021 20:50+1> Если же вы про Телеграм — то аналогично. По СМС вы пароль не смените, не для того он создавался.
(к сожалению) вы не правы. Пароль в Телеге сбросить можно, с полным удалением аккаунта, через обычный код в СМС, да. Но доступ к прошлой переписке получить таким образом нельзя.
Как это работает: при попытке восстановить пароль
— отправляется код на уже залогиненные устройства (если таковые есть)
— отправляется код на привязанный номер телефона через смс.
— при успешном вводе этого кода запрашивается пароль (который типа 2FA), но есть вариант «я не помню пароль». При его выборе будет предупреждение, что аккаунт будет удален и создан новый, если продолжить.
P.S. Предполагаю, что так сделано для возможность пользоваться Телеграмом именно тому, кто в данный момент обладает доступом к номеру телефона (пример: номер освободился у оператора и выдан другому человеку). Но почему нельзя было добавить хотя бы «период охлаждения» перед возможностью снести аккаунт, например в 24 часа — мне не понятно.
Еще раз: если кто-то, даже на короткое время, завладел вашим номером телефона — он может лишить вас всей переписки и контактов в Телеге за несколько минут, несмотря на включенную 2FA (и активные устройства с этим аккаунтом), но не сможет получить к ней доступ.Anrikigai
05.10.2021 21:10Насчет лишить меня старой переписки - да, согласен.
Но я даже не стал писать об уничтожении аккаунта, ибо не могу представить ситуацию, чтобы кто-то стал ради этого заморачиваться с получением поддельной СИМ карты.
Почитать - ну теоретически возможно. Хоть ничего секретного в переписке и нет (секретное автоматически удаляется по времени), это было бы неприятно. Но просто уничтожить, причем потом я доступ к аккаунту все равно восстановлю - это перебор.
Контакты? Вот тут вы меня на мысль натолкнули. Обычно я телефон добавляю в адресную книгу, синхронизируемую с Гуглом. Но, наверное, есть и такие, кто только в Телеграмме есть, особенно "секретные", к мому доступ только по имени (вообще без номера телефона). Они действительно потеряются.
Впрочем, с кем общаюсь, знаю по именам, найдутся. А просто по адресной книге обзвонить устаревшие контакты - маловероятно. Это, скорее, неудобство, чем серьезные потери.
itsoft Автор
05.10.2021 21:02Вы про Тинькофф? Какой новый аккаунт? А со старым что будет?
Anrikigai
05.10.2021 21:17-1Да, я про Тинькофф. И я понимаю, о какой угрозще вы подумали.
Старый в архиве, но создать пользователя с тем же именем нельзя. Не "полное удаление" возможно потому что история хранится со сылками на тот аккаунт.
Поскольку телефон теперь тоже привязан к новому аккаунту, даже если я чудом вспомню пароль, зайти все равно не смогу.
Аналогично, если я новый аккаунт переведу на новый телефон, от старого откажусь, и этот старый номер через полгода попадет в чужие руки, это не даст возможности его новому владельцу получить доступ к моему старому аккаунту, к которому даже я сам с помощью поддержки банка не смог подключиться.
inkelyad
05.10.2021 21:29Я, возможно, чего-то не понимаю, но отсюда: (будем надеятся, что это действительно их сайт, а не какая-то подделка. EDIT: туплю, не их, но будем надеятся, что инструкция все-таки правильная.)
Введите привязанный номер телефона или адрес электронной почты на который был зарегистрирован аккаунт.
Нажмите кнопку «далее» и дождитесь когда на телефон или e-mail придет код подтверждения. (Такой подход делает вашу учетную запись защищенной и кроме вас никто не сможет восстановить пароль Тинькофф банк) В некоторых случаях смс идет до нескольких минут.
Впишите полученный код и нажмите кнопку Ок. На вновь открытой странице придумайте новый пароль для входа в личный кабинет Тинькофф банк. Заполнить нужно 2 поля одинаковыми паролями.
Процедура восстановления пароля закончена и теперь вы можете попробовать войти в интернет банк с новыми данными.
Т.е. имея на руках телефон, можно сменить пароль в личный кабинет банка именно как "пароль можно сменить имея смс.". Ну да, не в мобильное приложение, но разницы-то? Или у них с сайта ничего со счетами сделать нельзя?
Anrikigai
05.10.2021 21:40https://www.otinkoffmobile.ru/ выглядит не похоже на официальный. Впрочем, он и не мошеннический.
Я описывал свой прошлый опыт (год-два назад). В то время "вход по телефону" был возможен только первый раз для регистрации аккаунта. Возможно поменяли процедуру.
Будет жаль, если кто-то здесь подтвердит, что они снизили безопасность, и теперь можно восстанавливать полный доступ по простой СМС. Это категорически неправильно.
RTFM13
06.10.2021 01:09+1Распаролить приложение иногда у банков неожиданно сложно. Но установить на новый смартфон практически всегда достаточно каких-то публичных данных (номер договора/карты/телефона) и единственной СМС. То ли они дерут друг у друга, то ли одна контора делает.
inkelyad
05.10.2021 21:44+6Сообщение выше оставлю для демонстрации своей тупости. Вот инструкции с https://help.tinkoff.ru/:
---
Как восстановить пароль для входа в приложение Тинькофф или в личный кабинет на tinkoff.ru?
Если вы забыли код доступа для входа в приложение Тинькофф, нажмите «Выйти» в левом нижнем углу экрана.
Для повторного входа потребуется ввести номер телефона, который вы указывали при оформлении продуктов Тинькофф. На этот номер придет СМС с кодом. Затем вам нужно будет ввести пароль. Еще пароль потребуется, если вы три раза подряд ввели неверный код доступа в приложение.
Если не помните пароль, нажмите «Забыли?». Вам понадобится ввести или отсканировать номер карты, а затем указать новый пароль и четырехзначный код доступа.
Если вы забыли пароль для доступа в личный кабинет на tinkoff.ru, на странице входа нажмите «Забыли пароль?». Далее введите номер карты или договора. После этого на номер телефона, который вы использовали при оформлении продуктов Тинькофф, придет СМС с кодом. Введите этот код и придумайте новый пароль.
Помните, что логин и пароль для входа в личный кабинет и приложение одинаковые. Если изменить пароль для личного кабинета, он изменится и для приложения Тинькофф.
---
Ну хорошо, совсем чуть-чуть лучше (нужен телефон на руках и номер карты, который, в общем, ну ни разу ни секрет)
navion
15.10.2021 10:25+1В Альфе аналогично и запретить восстановление по SMS у них тоже "нет технической возможности", хотя в отличии от ТКС имеется нормальная сеть отделений.
RTFM13
06.10.2021 00:53Пароль нельзя сменить даже при общении с сотрудником.
Забыл - опаньки. Создавай новый аккаунт с новым паролем. Но это уже далеко не только СМС, а и голос, и много чего еще.
При первой установке тоже голос? Который мошенники запишут при звонке? Мне теперь не только в инстаграм не ходить к любовнице, но и не разговаривать с ней? Жизнь без тинькова мне проще представить, чем жизнь без любовницы.
много чего еще
Чего именно?
Но остается лишь гадать о причинах, почему вы выбрали именно такой банк
Когда я заключал договор такой фигни не было. Тот же ВТБ добавил возможность логиниться по телефону уже сильно после. Если бы не СМС от мошенников, я бы об этом и не узнал.
Anrikigai
06.10.2021 08:45мошенники запишут при звонке? Мне теперь не только в инстаграм не ходить к любовнице, но и не разговаривать с ней?
Извините, но мы здесь обсуждали противодействие мошенникам, а не почему вам любовница дорого обходится, и как банк должен это компенсировать.
Было интересно почитать, что у вас не только в банке мошенники, но и любовница мошеннически записывает ваш голос для снятия денег с вашего счета. Но тут мне нечего сказать, опыта борьбы с такими угрозами у меня нет.
До свидания.
RTFM13
06.10.2021 15:26Хорошо, если вас это смущает, я больше не буду упоминать любовницу.
Вы с кем-нибудь разговариваете по телефону вне доверенного круга? Доставкой пользуетесь, курьеры вам звонят? Если я Вам позвоню, Вы снимите трубку?
Вы вообще серьезно считаете, что образец голоса это какая-то проблема? Даже с определенными фразами.
Теперь если я завел карточку тинькова, мне всю жизнь оглядываться не может ли каждая моя произнесенная фраза быть использована в тинькове для авторизации?
Anrikigai
06.10.2021 15:47Нет, ваша любовница сама по себе меня не смущает :)
Меня смущают ваши опасения, что она запишет ваш голос и использует его для нанесения вам ущерба.И вообще, я не понимаю, о чем вы говорите без конкретики. Можно сценарий?
Например: Мошенник звонит в банк, прикидываясь мной. Просит о чем-то, скажем, привязать другой номер телефона. В нужный момент подставляет записанную фразу "Да" или какую-то иную...
В какой-то степени вы, конечно, правы. Надиктовывать направо и налево всяким курьерам "Здравствуйте, я такой-то, давайте привяжем к моему счету новый номер телефона <диктуете телефон мошенника>" действительно не стоит.
inkelyad
06.10.2021 15:54Например: Мошенник звонит в банк, прикидываясь мной. Просит о чем-то, скажем, привязать другой номер телефона. В нужный момент подставляет записанную фразу "Да" или какую-то иную...
Собственно, именно этого обычно и бояться. Неизвестно, насколько оно технически осуществимо (т.е. в каком месте соревнование брони и снаряда для генерации/распознавания дипфеков голоса и внешности находится), но учитывая некую склонность(по наблюдениям сайтов с жалобами и вообще блогов) банков быть слишком оптимистичными в решении о том, что им на что-то разрешение дали — то есть склонность к некой паранойе.
Anrikigai
06.10.2021 16:13Я не знаю систем, где было бы достаточно позвонить в банк, пройти по меню (не секретному) и в какой-то момент просто сказать "Да" записанным голосом.
Если же сначала нужно поговорить с сотрудником - это другая песня.
Я имею ввиду, что еще в 2017 году было: "Тинькофф Банк разработал собственную систему идентификации клиентов по голосу. Ежедневно она тестируется на 11 тыс. клиентах, голоса которых распознаются на 15 секунде разговора. "
Одной записанной фразы (и даже их набора) мало. Уводят деньги по другому.
Хотя я снимая трубку на всякий случай говорю "Слушаю", а не "Да" :)
inkelyad
06.10.2021 16:52Ну так заранее бояться, что такая система появится.
В которой банк решит, что голос 'достаточно похож' на твой и поэтому можно сделать то, что он просит.
Еще надо учитывать, что 'поговорить с сотрудником' — с достаточно большой вероятностью тоже будет общение с роботом. Причем не отличишь.
Kanut
06.10.2021 16:56+1Ну так заранее бояться, что такая система появится.В которой банк решит, что голос 'достаточно похож' на твой и поэтому можно сделать то, что он просит.
А что вам мешает в такой ситуации просто взять и поменять банк?
RTFM13
06.10.2021 17:24В какой "такой" ситуации? Когда у вас украли все деньги + кредит? Или где-то есть расписание на 20 лет вперед когда какой банк накосячит с безопасностью?
По этому и придумали zero liability и пусть банк делает что хочет.
Kanut
06.10.2021 17:28В ситуации когда появится какая-то новая система и ваш банк решит её использовать. Или скажем откуда банк возьмёт образцы для вашей биометрии?
RTFM13
06.10.2021 17:37Образец голоса банк возьмет из тех самых записей "для повышения качества обслуживания".
Kanut
06.10.2021 17:46Без разрешения с вашей стороны? И даже без уведомления? И законы позволяют так менять договора в одностороннем порядке?
inkelyad
06.10.2021 17:54Уведомит-уведомит. Ткнешь неудачно по специально подставленной кнопке в интерфейсе банкомата или приложения (хорошо еще, если название будет не мутное и можно будет сразу искать, где все обратно отобрать) — и будет у него разрешение.
Anrikigai
06.10.2021 17:56Ткнул неудачно в банкомате, и банк вам выдал 10 тыс руб на руки, а все остальное на непонятный счет. Вы же подтвердили.
Ну ОК. И не надо сложностей с голосом.
RTFM13
06.10.2021 18:08Позволяют ли законы вопрос дискуссионный.
В теории существенные условия договора можно менять только доп. соглашением, акцепт которого не может осуществляться бездействием.
На практике меняют всё по схеме: "Мы разместили на сайте <ссылка> новые правила. Если не прибежите в панике расторгать договор в течение 24х часов, значит
прокатиловы согласились на новые условия". Иногда еще письмо пришлют где в письме написано "<ссылка>". т.е. вместо ссылки прям так и написано русское слово "ссылка" обрамленное какими-нибудь спецсимволами. Мне такие документы в бумажном виде ситибанк присылал - "сумма вашей задолженности - ?сумма?". Программисты они такие программисты.
Kanut
07.10.2021 08:56+1Тогда проблема не в отсуствии нормальной двухфакторной ваторизации, а в том что работают такие "практики". Потому что завтра банк "разместит" где-то там у себя что теперь обсуживание счёта стоит 100500$ в день и вы ещё и должны будете...
muxa_ru
06.10.2021 21:27Без разрешения с вашей стороны? И даже без уведомления? И законы позволяют так менять договора в одностороннем порядке?
Есть пример не про банки.
Знакомым как-то пришла платёжка коммунальная, в которой была строчка про радиоточку (или типа того) и подпись "оплачивая вы заключаете договор"
История о том как этот договор расторгали была увлекательное. :)
Popadanec
04.10.2021 23:34Меня так убедили в комментариях тут, люди работающие в банках. Не могу найти коммент, это было давно
и не правда.
K0styan
07.10.2021 17:57Международные платёжные системы (Visa, Mastercard) чётко делят карты на дебетовые и кредитные, это непосредственно в первых 6 цифрах номера закодировано.
А вот банки могут фантазию проявлять. Бывает, что выпускают карты с номером кредитной, но при этом работающей как дебетовая. Вот только что свою Tinkoff black проверил (сервисы проверки гуглятся по "bank card IIN check") - оказалось, кредитная.
А бывает, что карта с точки зрения МПС дебетовая, но банк позиционирует её как кредитную, разрешив овердрафт.
navion
14.10.2021 18:17Почти все карты российских банков выпущены как кредитные (с овердрафтом или без), так как с них выше комиссия.
muxa_ru
14.10.2021 20:35+2В евросоюзных магазинах бывали неприятные моменты, когда там сказано "кредитные карты не принимаем" и оказывалось что твоя "дебетовая" технически является "кредитной"
iStyx
15.10.2021 15:48Проверил свою кредитку, сервис показывает её как DEBIT. Виртуальную же карту без кредитного лимита от того же банка показывает как CREDIT. Чудеса :)
gecube
16.10.2021 19:06Может быть, что эти BIN номера (или как их там называют) не так однозначно распределяются …
Popadanec
04.10.2021 23:12+1В какой стране? Судя по значку доллара, явно не в РФ. В США/ЕС и вероятно других цивилизованных странах это норма. У нас хоть закон такой же есть(161 ФЗ ст.9 пункт 12), но судя по количеству недовольных клиентов на банки.ру, явно не работает.
navion
14.10.2021 18:24161-ФЗ фактически не работает и некоторые банки прямо в условиях обслуживания намекают, что не будут его исполнять:
Ради интереса посмотрел решения Мосгорсуда, который также в большинстве случаев встаёт на сторону банка. Даже по "страховке от мошенничества" часто не платят с аргументацией в духе сам дурак.
itsoft Автор
04.10.2021 09:59+1А где-то новую симку авторизуют спросив нехитрые вопросы, которые мошенники либо угадывают либо в даркнете покупают. Например, список последних операций люди покупали про себя в ряде крупнейших банках. Была статейка.
Popadanec
04.10.2021 12:15Так это бизнес, суммы то по более крутятся, да и клиент имеет больше возможностей отбить свои деньги. Вот и повышают защиту.
А Сбер для физиков, максимум на некоторое время блокирует приход смс, надеясь что клиент в курсе замены симки. И чтобы он не ходил в отделение, не тратил время банка.
И в тоже время на чистый нигде не засвеченный номер, после оформления счёта в банке начинает сыпаться реклама.
sunki
04.10.2021 22:18Странные вещи рассказываете. Два года назад замена сим карты подтверждалась в Сбере звонком в колл-центр, никакого визита в банк не требовалось. Как сейчас не знаю.
synedra
04.10.2021 07:41+39Короче, банки должны делать хорошо, а плохо должны не делать. Отличная идея, а главное продуманная.
Во-первых, хакер_в_столовой.txt Ну куда и зачем аппаратный токен, миллион адресов на собственном сервере, чистая ось через прокси и одноразовые шифроблокноты бабульке, которая кнопочным мобильником-то пользоваться толком не научилась? Это всё отличные меры, когда вам надо выстроить периметр корпоративной безопасности, но типичная жертва звонка из тюремного колл-центра — это не бывший подполковник ГРУ, а как раз таки человек без больших технических навыков.
Во-вторых, суперключ в виде ПД в любом случае будет. Мошенник всегда может украсть мой паспорт, найти подручного примерно похожей внешности и отправить его в банк восстанавливать утраченные логины/пароли. Фотке в паспорте десять-пятнадцать лет, как меня клерк по ней достоверно опознает?
В-третьих, наймите себе наконец редактора. Вроде компания, блог на Хабре ведёте с кучей наёмных авторов, а собственные тексты выглядят как поток сознания без половины запятых и с повтором полутора экранов текста. Ещё и со ссылками на собственные сервисы в рекомендациях, офигеть нативочка.
baldr
04.10.2021 08:22-4Вот не надо апеллировать к бабулькам. У нее приложение для мобильного банка установлено? Если да, то разберется и с остальным. Нет - значит пусть ходит ногами в банк со сберкнижкой. И никаких удаленных операций не разрешать ей.
Бабульки смогли разобраться с карточками и с банкоматами - разберутся и с аппаратными токенами.
Если в банк придет кто-то с похожей на вас внешностью и паспортом - он все равно засветится на куче камер. Деньги уведут, может быть, но, по крайней мере, вы сможете доказать что вы были в это время в другом месте и это не ваша уже вина что банк не узнал вас. Опять же, аппаратный токен (на цепочке на шее или вживленный в руку/мозг в будущем).
Вы, критикуя, предлагайте что-то взамен. Или оставить все как есть? Да, проблем много и исключений будет много для разных групп населения.
invasy
04.10.2021 13:31+6Приложение могут установить и сотрудники банка, воспользовавшись тем, что клиент в этом не разбирается, а бонус к зарплате очень хочется. Мои пожилые родственники сталкивались с: «У вас наше приложение есть? Нет? Тогда подойдите к этой девушке, передайте ей телефон, она всё сделает». Хотя это приложение и не нужно.
«Критикуя, предлагай» — это вообще откуда взялось? Чтобы сказать, что безопасность в банке на низком уровне, надо план развития предложить? А своя СБ в банке что делает?baldr
04.10.2021 13:41-2«Критикуя, предлагай» — это вообще откуда взялось?
Это взялось оттуда, что на любое предложение проще всего что-то критиковать с дивана. В итоге толпа бухтящих недовольных, но нет предложений. Если критика спросить - как ты хочешь чтобы было безопасно и удобно - он зависнет и сольется.
"все плохо. Банки, придумайте так чтобы было безопасно, удобно и не приходилось ничего никуда вводить.". Надо запомнить пароль - фу нет. Надо токен - фу нет.
Какое решение для, например, "проблемы бабулек" устроит господина критика?
invasy
04.10.2021 13:48+6«Банки, придумайте, чтобы было безопасно и удобно» — да, именно так, это и требуется от организации, которая обязалась сохранять деньги. Для этого есть ресурсы и сотрудники. При этом даже если и украли деньги, где хвалёный СОРМ? Почему нельзя определить кто, куда и когда звонил, писал СМС, выполнял транзакции?
«Проблему бабулек» для начала стоит сформулировать. Про «если есть приложение, то разберётся» я выше написал. Да и проблема не техническая, а социальная.
synedra
04.10.2021 15:15+1Двухфакторка примерно в текущем виде. В случае лично моих пожилых родственников, например, вторым фактором служит телефон у меня (а не у самой пресловутой бабульки) в кармане. Может не для всех подойти по логистическим или этическим причинам, но для меня работает. Ну и плюс какое-никакое объяснение, что банки не звонят с рандомных номеров, бесплатный сыр бывает в мышеловке, а если я вдруг кого собью и мне надо будет срочно дать взятку — то я и сам вполне могу её заплатить.
Всё остальное, на мой взгляд, чересчур сложно для рядового пользователя (миллион почт/номеров, хитрые схемы с "фактор 1 в понедельник, фактор 2 во вторник...") или театр безопасности (одноразовые пароли и аппаратные токены). Тот же сбер давал когда-то (может, и сейчас даёт) одноразовые пароли для своего онлайна, прям на бумажке и с необходимостью получать их в отделении. Идея в теории неплохая, но мошеннику ничуть не сложнее уговорить жертву продиктовать ему эти пароли или там циферки на этой вашей банковской флешке, чем уговорить её же сказать код подтверждения из СМС. Ну да, не обходится перевыпущенной симкой, но фишингом или социальной инженерией — вполне.
Ndochp
04.10.2021 22:27+2Продиктовать СМС сотруднику банка периодически легальная операция. При этом меня радуют банки, которые пишут в СМС — эту СМС никому не говорите, эту продиктуйте оператору.
И раздражают ребята, то которых приходит СМС "код подтверждения операции 12345" — ни суммы, ни операции, ничего МКБ — камень в ваш огород.На бумажках по хорошему тоже должно быть написано: этот блок кодов сообщайте сотрудникам, этот блок кодов не говорите никому. А если эти 2 блока будут рядом — убедить слить код из закрытого списка станет гораздо сложнее. Так что стоит их писать оба, даже если коды "для сотрудника" не понадобятся никогда.
Popadanec
04.10.2021 13:42+3По крайней мере точно подтверждено что у зелёного банка часть функционала/настроек работает только в приложении, его установка автоматически меняет смс на пуши, а его удаление откатывает настройки(СБП) обратно.
Arioch
04.10.2021 14:22Так они и не скрывают.
Их государство нагнуло на систему быстрых платежей (не свою, а гос-стандартную), так они её и сделали "только через мобильный банк".
Хотя лично я только рад, но вот отцу якобы перевели оплату в СБП - и теперь ищи где хочешь у кого хочешь...
itsoft Автор
04.10.2021 10:02+1В статье сказано по желанию. Есть люди, которые хотят иметь дополнительные независимые средства защиты.
И это уже будет косяк банка, а не ваш. Вам достаточно будет доказать, что вы были в другом месте в это время. Вы реально этого не понимаете?
Повторы были вызваны глюком. Выше писал.
Akuma
04.10.2021 11:482. Доказать то вы докажете, только деньги вам никто не вернет. Украли? Ищем! Найдем? Ну хз.
itsoft Автор
04.10.2021 12:00+2С чего это? Деньги украли у банка. Банк ответственный за хранение. Суд скажет, что банк обязан вернуть деньги. А дальше как раз банк уже пусть ждёт когда жуликов найдут.
synedra
04.10.2021 15:17В формате "по желанию отдельным пользователям" претензий не имею. Если никто из банков в самом деле не предлагает экзотические механизмы авторизации — это как-то странно, да.
RTFM13
05.10.2021 02:38+1Банальную привязку к IP не найдешь. Или есть что-то, но по одной СМС можно установить приложение и из этого приложения отключить все защиты.
anonymous
00.00.0000 00:00
KorDen32
04.10.2021 10:15+3Ну куда и зачем аппаратный токен, миллион адресов на собственном сервере, чистая ось через прокси и одноразовые шифроблокноты бабульке
Бабульке возможно и не нужны. Но если я хочу отказаться от единственного фактора — мобильного номера телефона со способностью принять SMS, и перейти на более надежные методы, то банки в большинстве своем не предоставляют таких вариантов в принципе.
Примером реализации можно привести Google Advanced Protection Program. Либо учетка восстанавливается по SMS, либо при каждой авторизации используй аппаратный токен и быстрое восстановление только через резервный токен.
AlexeyK77
07.10.2021 11:08К сожалению, банка это экономически не выгодно, вернее нет хоть мало-мальски заметного спроса. А в ритэйле рулят те, у кого издержки минимальны.
Не знаю как в России, но в украине ответ один:
-не хотите что бы легко угнали симку оформляйте контракт с мобильным оператором или хотя бы в личном кабинете отключайте услугу "удаленная смены сим-карты" (это бесплатно).
dimskiy
04.10.2021 12:15+1Предлагаете строить систему так, чтобы она подходила самому не заинтересованному в ней элементу? Так и машины тогда не нужно продавать - лошади гораздо понятнее некоторым соц. слоям
svanichkin
04.10.2021 07:47-2Мне кажется что уже есть решение для безопасной работы и хранения своих заработанных. Скорее всего это криптовалюты. Ведь по идее, нет никакого посредника в виде банка между вами и кошельком, а значит нет никаких "менеджеров" которые пришлют смс или позвонят из банка. Подделка телефонного номера тоже ничего не даст. Может быть я не прав, но помоему это единственный выход для людей.
Даже мне на днях поступал звонок от "Главного следователя Москвы", я сразу повесил трубку, но неприятный осадок и доля сомнения у меня осталась.
Так уж мы воспитаны, быть честными и следовать инструкциям и тут вопрос кто этим воспользуется, государство или мошенники.
osipov_dv
04.10.2021 08:09забавно, почему вы не считаете крипту современным МММ?
dimskiy
04.10.2021 09:29+2Так вы лучше расскажите почему так нужно считать - будет что обсудить ;)
osipov_dv
04.10.2021 11:52-3Я вам косвенно отвечу, если вы не против...
Когда я был в Киеве в 2009 году, надо было поменять рубли на гривны. Я обратился в обменный пункт: - "Хочу купить у вас гривны"
На что мне ответили(точно до слов не помню, но смысл такой), что не знают такую валюту как рубли, но могут купить за гривны эти бумажки...
dimskiy
04.10.2021 12:13Не улавливаю вашей аналогии
osipov_dv
04.10.2021 13:40Если я не ошибаюсь, в РФ все денежные расчеты могут быть только в рублях. Остальное все конвертируется по курсу... Аналогия в том, что крипта это не деньги, это товар. А когда вы ее продаете, то на самом деле не вы продаете, а у вас ее покупают. :)
PS: МММ свои бумажки продавал на хайпе, цена их росла от привлечения других клиентов. Сейчас это же делают в общемировом масштабе, интересно когда закроется мышеловка. Иначе как вы объясните такой рост стоимости, к примеру 1 битка...
dimskiy
04.10.2021 13:45Деньги - это ровно тот же эквивалент товара, его компактное воплощение. Разница в обеспечении: доллары и тп обеспечены золотом (должны быть), а битки - математикой. Деньги могут обесцениться ровно как и битки взлететь - для примера, посмотрите на Венесуэлу.
osipov_dv
04.10.2021 14:44Тут все понятно, так как есть экономическое и политическое объяснение. В отличие от крипты. Просто математика, сама по себе ничего не стоит. И результаты вычислений никому не нужны, это не вложение денег в разгадку генома или чего-то еще, а просто сжигание электричества.
svanichkin
04.10.2021 15:03Возможно стоимость крипты как раз складывается от эквивалента сожженного электричества. Электричество же что то стоит? Ну исуть моих слов, в том что когда ты сам распоряжаешься кошельком, тебе не позвонит "хранитель" кошелька и не начнет говорить что срочно надо смс ему переслать, просто потому что нет всей этой бесполезной надстройки.
dimskiy
04.10.2021 16:08Вы так говорите, как будто у всех стран выпуск денег прям 100% обеспечен :)
Мне кажется, это как блеф в покере - все хорошо, пока он не на поверхности. Крипта тут ничем не хуже, но она явно менее удобна в плане контроля. И поэтому, как по мне, активно дискредетируется.
geher
04.10.2021 18:39+3"Доллары и т.п." уже давно не обеспечены золотом. Золотой стандарт отменили.
А криптовалюты пока не блещут стабильностью, чтобы быть удобным и надежным средством оплаты и хранения средств. Пока только спекуляция. Другой печальный аспект для криптовалют - недостаточное признание. Вы не сможете купить за криптовалюту все, что нужно. А вывод из крипты в местную валюту часто излишне сложен и связан с рисками. Плюс (по крайней мере для некоторых криптовалют) или комиссия конская, или транзакцию долго ждать.
RTFM13
05.10.2021 02:44Иначе как вы объясните такой рост стоимости, к примеру 1 битка...
Отсутствием неограниченной эмиссии и наличием спроса на средство расчетов не контролируемое отдельным государством?
Если что, я биток не считаю надежным средством для хранения сбережений, но отрицать некоторый ряд его реальных преимуществ тоже будет не правильно.
dimskiy
04.10.2021 09:31+3Криптовалюта сама по себе подобна кошельку с деньгами в кармане. Чтобы хранить в ней значительные средства, о безопасности нужно думать полностью самостоятельно. И там полно моментов где можно наломать дров - например, использовать облачные кошельки для сбережений
Finesse
04.10.2021 08:05+9Я думаю, что технические меры бесполезны. Пока мошенников не начнут массово ловить и наказывать, мошенничества не прекратятся. Благо, когда речь идёт о безналичных деньгах и телефонных разговорах, поиск причастных не составляет труда для органов.
baldr
04.10.2021 08:35Вот, скорее всего, да. В Европе такого нет? Наверное там гораздо сложнее купить базы с ПД. Постоянно утекают какие-то контакты и прочие фейсбуки, но, думаю, сложнее все вместе связать. Если сами сотрудники МВД-ФСБ продают базы - то тут надо с них и начинать.
У нас у 90% (или больше?) населения есть счет в Сбере - не ошибешься. Мобильные банки и мобильные переводы у нас используются гораздо шире чем в большинстве других стран. А контроль за всем этим банки складывают на клиента.
Насколько я знаю, в штатах можно оспорить практически любую транзакцию и тебе сразу вернут деньги, а разбираться уже будут потом. И за просто количество таких отмен сильно штрафуют сначала банки, а потом платежные гейтвеи. То есть сами гейтвеи вынуждены вводить какие-то меры для того чтобы не допускать вероятности отмены операции клиентом.
vorphalack
04.10.2021 11:28+2в европе, как я понимаю, основное препятствие для работы «СБ НемцеБанка» какого-нить — не проблема с получением ПД, а деревянность самих банков. что толку от всех данных мира, если тебе надо топать ножками в офис для любого более-менее «вкусного» действия?
wataru
04.10.2021 17:01+3В северной европе все совсем не так. Все можно и чаще всего делается отнайн. В качестве второго фактора шла или карточка с кодами, или устройство с кнопочками и экранчиком. Можно еще приложение в телефон поставить, при его регистрации надо использовать и девайс с кодами и смс и пароли. Так при каждой становке.
F0iL
05.10.2021 19:06Не, не так. В Чехии есть несколько банков, почти не имеющих физические отделения и строящие все взаимодействие с клиентами через онлайн-банк и приложения. "Большие" и "старые" банки тоже не отстают, через онлайн можно выпускать карточки, проводить платежи, заказывать выписки, брать кредиты, оформлять страховки, и т.д.
Более того, сейчас внедряют систему, чтобы с использованием банковского приложения (пин-код в приложении, либо аппаратный токен) как аутентификатора можно было получать всякие госуслуги и подтверждать свою личность на различных сервисах.
adante
04.10.2021 11:59За всю Европу не скажу, но в Польше еще как есть.
Здесь довольно продвинутый банкинг, местами круче чем в РФ и банки постоянно рассылают предупреждения про скам.
И пару сообщений от людей, которые в смс получили фейковую задолженность за электричество а потом оплатили в «онлайн-банке» уже тоже видел.
Akuma
04.10.2021 11:51-2Поиск причастных как раз проблема. Деньги уводятся по цепочке счетов и найти края просто нереально, этим и пользуются. А даже если и найдут - на той стороне бомж, с которого взять нечего, либо обычный физик, который вообще не в курсе что происходит.
Kanut
04.10.2021 13:34+7Одно другому не мешает. И почему-то с тех пор как у нас сделали так что в случае мошенничества по умолчанию за всё сначала отвечает банк, то внезапно количество успешных случаев этого самого мошенничества уменьшилось на порядок а то и несколько порядков.
user343
04.10.2021 08:16+1В карман же, иностранец написал?
Перед этим:
Банки сообразили, что в большинстве случаев это проблема клиента, а им прибыль с процентов по украденным кредитам
Т.е. финансовое преступление путают с каким-то сексуальным домогательством.
KotomeNami
05.10.2021 08:55+1Залезть в штаны - это отсылка к "залезть в частную/личную жизнь клиента", где про сбор данных и отказ в нормальном обслуживании если не согласишься предоставить кучу данных.
А вообще судя по оскорблениям в адрес других участников в вашем профиле вам здесь не место.user343
05.10.2021 11:43Хабрёныш - это уменьшительно-ласкательное выражение и не про всех. Писалось в состоянии аффекта со дна кармической ямы :)
SpiderEkb
04.10.2021 08:16-1Скажу про Альфу.
При смене симкарты даже с сохранением номера Вам придется идти в банк с документом и подтверждать что Вы ее поменяли. Иначе никаких доступов не будет.
Любая операция в мобильном или инетбанке должна быть подтверждена кодом из СМС или пуша.
Все мошеннические действия основаны на социальной инженерии. Вам будут звонить, рассказывать что все плохо, ездить по ушам, пудрить мозги, плавно подводя к тому, что "сейчас вам на телефон придет проверочный код, надо его сообщить". Все. Вы сами отдаете все ключи от сейфа. Сколько бы их ни было.
"Против глупости сами боги бороться бессильны" (с)
nerudo
04.10.2021 08:25+11Если код приходит на то же устройство, на котором производятся операции, то это не 2FA, а профанация. Достаточно трояна залетевшего через 0-day уязвимость и опаньки. И одно дело, если на счету всех денег — на обед, и совсем другое — если есть доступ к многомиллионному счету.
dimskiy
04.10.2021 09:33-5Почему профанация? Операции проводятся через интернет-канал, доставка кодов - смс. Вот пуши да, странненькое решение.
inkelyad
04.10.2021 09:41+8Почему профанация?
Потому что превращает всю конструкцию только в "чем владеешь". А именно — владеешь телефоном (устройством)
Если телефоном 'владеет' соответствующий зловред — плакали денежки. Хотя как раз второй фактор должен это предотвращать.
dimskiy
04.10.2021 10:10+1Не ставьте приложение банка на телефон. Так-то можно и аппаратный генератор кодов (или стретч-карту)с банковской карточкой носить в чехле телефона, и потерять все разом
Akuma
04.10.2021 11:53Тогда получается гемморой. И в этом проблема как раз. Либо пользуйся удобно, но менее безопасно, либо безопасно, но страдай.
dimskiy
04.10.2021 12:02+2Вы сейчас описали проблему абсолютно любой ситуации, где речь идет про безопасность
Akuma
04.10.2021 12:04Именно. Но одно дело, когда ты пользуешься "этим" раз в неделю, а другое дело - по 20 раз в день. Отсюда и появляются всякие отпечатки/faceid и сейчас пытаются внедрить биометрию. Правда реализация, как обычно, вызывает вопросы.
dimskiy
04.10.2021 12:12+1Не думаю, что биометрия педалится для вашего удобства. Гос_во никогда не сделает ничего для вашего удобства
sunki
04.10.2021 22:23Не верно. Гемор должен быть для критичных сумм/операций. Для повседневных переводов достаточно того, что есть сейчас, т.е. смс.
Norno
05.10.2021 13:49А тут есть проблема, если какой-то механизм-схема не используется регулярно, он может не заработать когда этого от него потребуется. Поэтому использовать принципиально разные механизмы сложно, например если для крупных сумм у вас есть аппаратный генератор кодов, но вы пользуетесь им раз в квартал, то есть высока вероятность что когда он вам потребуется, вы его не найдете/найдете в не работающем состоянии. Понятно что это частный пример, но тем не менее.
Поэтому желательно чтобы способы доступа регулярно проверялись на работоспособность.
Dolios
04.10.2021 13:15+5Так-то можно и аппаратный генератор кодов (или стретч-карту)с банковской карточкой носить
В том-то и дело, что нельзя. Нельзя даже банально запретить мобильное приложение и операции в нем. Я звонил в банк и узнавал.
synedra
04.10.2021 15:25У приложения же есть пароль при входе. Или у каких-то нету? Потому что если есть, то вот и второй фактор. СМС-платежи сбера в этом отношении однофакторные, ну так их и отключить можно (или не хранить больше пары тысяч на привязанной карте).
Dolios
04.10.2021 19:00+4У приложения же есть пароль при входе. Или у каких-то нету?
По крайней мере в Сбере и Альфе достаточно знать номер любой вашей карты и иметь вашу симку и можно залогиниться безо всяких паролей. Про остальные банки не скажу, но, скорее всего, также. Опция эта неотключаемая. Поэтому важно иметь всегда заблокированный телефон и пин-код на симке.
или не хранить больше пары тысяч на привязанной карте
Деньги хранятся не на карте, а на банковском счете. Залогинившись в приложение мошенник увидит все ваши счета и сможет выполнять переводы с любого из них.
junari
04.10.2021 09:00+5Альфа-Банк - если где-то засветили данные карты, то можно вбить их в мобильном приложении, вбить ЛЮБОЙ телефонный номер, узнать подтверждение, которое пришло на зарегистрированный номер абонента (при помощи трояна или социальной инженерии), а потом спокойно вывести все средства, а если средств нет, то можно прям там в приложении одной кнопкой оформить кредит на 450 тысяч, который тоже можно перевести. Куча историй есть на vc.
Клиент Альфа-Банка: у вас дыра в безопасности!
Альфа-Банк: ну хоть что-то у нас в безопасности!
eimrine
04.10.2021 08:33-13Пользуюсь Биткойном. Никакой 2FA, надёжность близка к абсолютной. Что я понял неправильно?
baldr
04.10.2021 08:40+5Вот прямо в магазине им платите? И прямо зарплата на него приходит? И транзакции бесплатно и сразу выполняются?
И что будет, если вам позвонят из службы безопасности вашей криптобиржи и извиняющимся английским голосом попросят перевести ваши криптобиткойны с вашего кошелька на "более защищенный" потому что на бирже произошел взлом и прямо сейчас злобные хакеры криптокачают криптоархивы криптоденег в свои криптомешки?
eimrine
04.10.2021 08:58-2В некоторых магазинах, в которых я скупаюсь, оплата только Биткойном. Зарплата да, приходит. Трансзакции бесплатно бывают только когда вы в маршрутке с заднего сидения передаёте деньги водителю, во всех остальных случаях трансзакции платные так или иначе. Выполняются не сразу, но зато выполняются даже если у всего остального мира есть претензии к вашей трансзакции.
Криптобиржами не пользуюсь, потому что они не имеют отношения к криптовалюте — но вообще-то их ломают не так как вы пишете, а о взломе становится известно тупо с новостей.
dimskiy
04.10.2021 09:35+1Расскажите подробнее почему там абсолютная надежность, и как вы так у себя все устроили?
tmin10
04.10.2021 09:45+2А как быть с курсом, который может колебаться довольно значительно?
eimrine
04.10.2021 11:39+1Ах да, с курсом… Поскольку я с 2012-го почти ничего не тратил, в 2021м я обнаружил себя состоятельным человеком, как и положено вкладчику банка. Кстати, а почему меня хоронят на Хабре, кто эти 8 троллей? Я не смогу ответить на остальные вопросы про абсолютную надёжность, потому что не хочу так много минусов.
baldr
04.10.2021 11:46+4Я не ставил минусов, но предположу что это из-за того что ситуация ваша мало применим к общему состоянию дел сейчас.
Где, кому и как сейчас можно широко применять биткойн? Учителя-пенсионеры? Вот поехал я на заправку - как мне расплатиться там? Каков легальный статус этих всех операций?
RTFM13
05.10.2021 03:10+2Или еще вариант - с завтрашнего дня РФ перешла на биток. Сколько будет весить блокчейн через сутки? через год?
F0iL
05.10.2021 19:14+1А ещё возможен вариант "в РФ использовать биток будет грозить огромным штрафом или даже уголовным делом", например, что на вес блокчейна и курс особо не повлияет, но вот проблем любителям крипты добавит.
RTFM13
05.10.2021 20:15в РФ использовать биток будет грозить огромным штрафом или даже уголовным делом"
Продажа товаров и услуг за битки - уже так и есть. Будь это не так, про рубли бы никто не вспоминал уже лет 25-30.
Politura
04.10.2021 10:02+5надёжность близка к абсолютной
Помимо плавающего туда-сюда курса, защищенность не сильно выше защищенности мешка с наличкой: если у вас их станет достаточно много и об этом станет известно нехорошим людям, они попробуют у вас их отобрать силой.
JerleShannara
04.10.2021 14:10+1А каково это, ждать по полчаса, пока пройдёт оплата за бутылку газировки?
ZhilkinSerg
04.10.2021 08:34+5Без лозунгов была бы нормальная статья (хоть и не без спорных моментов), а так...
bank_admin
04.10.2021 08:41+4Автор публикации рекламный тролль из банка Авангард?
Ну ОКей, подыграю вам :)
В Авангарде по состоянию на 2020 год, насколько я знаю, были варианты одноразовых кодов на скретчкартах, электронных генераторах именно даже для ФИЗЛИЦ (а не ИП).
А еще там очень удобный личный кабинет, в котором ничего не впаривают, в котором не получить кредит, потому что банк выдает только кредитки, и то только после заполнения стопки бумаг лично в офисе.
Лично я еще не встречал более безопасного банка в РФ, как с технической точки зрения, так и с точки зрения полиси самого банка. Предельно профессиональные сотрудники, суперский валютный контроль, который делает все почти на автомате. Образцово-показательный банк.
shaggyone
04.10.2021 09:57+3Помнится в марте 2015 года в отделении этого образцово-показательного банка мне выдали флэшку с ЭЦП, вирусом, и файлом где лежал пароль, который я за пол часа до этого сам же через ЛК установил.
snp
04.10.2021 11:33+1электронных генераторах
Он встроен в карточку. Вроде бы удобно, но у меня был два раза неудачный опыт — батарейка в карточке села через год-полтора. Заменили карту. Через несколько месяцев опять такое же. Когда выдают карту с генератором кода, скретч-коды перестают работать. В итоге, вернулся на скретч-коды. А если нет возможности карту оперативно поменять? Скретч-карта надёжнее.
Карта у них раньше была MC Platinum, теперь обычная МИР (обслуживание дешевле).
Если бы выдавали простой токен с кнопкой, было бы гораздо лучше.
не встречал более безопасного банка в РФ, как с технической точки зрения, так и с точки зрения полиси самого банка.
В даркнете можно пробить любого клиента либого банка и Авангард — не исключение. Так что не стоит расслабляться.
tmin10
04.10.2021 15:06А на скретч-карте сколько кодов? Возможно они тратятся быстрее полугода-года и тогда генератор чуть удобнее. Или карт с кодами можно взять десяток?
snp
04.10.2021 22:54+1На скретч карте — 112 кодов (из них 2 нужны для активации карты). Карт можно взять до 3 штук.
Для оплаты/перевода мелких сумм можно использовать подтверждение по SMS. С некоторой суммы — только одноразовый код. Если сумма совсем большая (несколько сотен тысяч руб), то цифровую подпись просят.
Но с подписью у них полный косяк. Она лежит на обычной флешке в виде обычного файла, кажется даже незашифрованная (не помню точно — много лет уже не пользовался).
tmin10
04.10.2021 23:43Такая градация по суммам — мастхев, конечно. А то тратить одноразовые коды на мелкие оплаты не хочется, конечно.
sunki
04.10.2021 22:28Так для этого скретч-карта и нужна, для защиты от пробива.
snp
04.10.2021 22:54И каким образом она от него защитит?
sunki
04.10.2021 23:02+2Как дополнительный фактор авторизации, если все данные слиты или скомпрометированы (номера карт, кодовое слово, перевыпущена сим карта, троян на компе). От слива кодового слова например вообще не понятно, что может защитить, если это слово называется вслух сотруднику банка или оператору колл-центра. Поэтому не стоит вообще беспокоиться о том, что оно куда-то может утечь (а банкам, конечно, следовало бы давно отказаться от кодовых слов).
Aquahawk
04.10.2021 09:01+2На самом деле еще лет 7 назад у многих банков были аппаратные, как они их называют, криптокалькуляторы. Это девайс куда вставляешь карту и её процессор генерит отдноразовый код. Но почему-то все забили и вывели из оборота. Я пытался в Мск купить, не нашёл. Видимо хоть сколько-то значимой аудитории нет
isden
04.10.2021 10:46+2У меня остался старый аппарат, от ВТБ (там на самом деле используется криптопроцессор на самой карте, а сам аппарат это просто ридер). Все еще работает.
Проблема в том, что в самом банке уже несколько лет не принимают коды от него.
osipov_dv
04.10.2021 13:46+2зачем они сейчас? есть google authenticator, authy и еще с десяток аналогичных прог... Банку ничего особенного не стоит их прикрутить.
snp
04.10.2021 22:57+2У google authenticator (а точнее, TOTP) есть проблема — seed передаётся по открытым каналам и его можно из приложения извлечь. Поэтому его никогда не сертифицируют для использования в банках.
Однако у FIDO U2F есть шансы.
MikhailZakharov
04.10.2021 09:06+2Еще лучше использовать корректное определение двухфакторой (многофакторной) авторизации: использование одновременно комбинаций разных способов авторизации. То что пользователь знает, то чем пользователь владеет, и то, чем пользователь является. Сейчас большинство банков используют схему: пароль (то, что пользователь знает) + СМС (то, чем пользователь владеет). Единственный минус в том, что завладеть номером сейчас, к сожалению, возможно. Вариантом усиления будет использование вместо СМС физических ключей, генераторов кодов или одноразовых кодов.
Почему-то в gmail можно отключить использование СМС, а в банках нельзя.
RTFM13
05.10.2021 03:18+2Сейчас большинство банков используют схему: пароль (то, что пользователь знает) + СМС (то, чем пользователь владеет).
Но пароль можно поменять по СМС.
MikhailZakharov
05.10.2021 06:47Это, конечно, никуда не годится. Мне, такое не встречалось в банках. Видел только в каких-то соцсетях.
valkumei
04.10.2021 09:12+5Есть такой феномен у человека, когда процесс использования вещи для жизни превращается в жизнь для её использования. Здесь с предложением усложнить доступ будет именно это. Постепенно наша жизнь превратится все больше в набор таких вот активностей, которые придумал кто-то кроме нас. Это не правильно само по себе, и вдвойне неправильно, потому что проблема не в двухфакторной аутентификации, а в социальной инженерии и беззащитностью перед нею людей. Причем, я бы не ограничивал ущерб банками. На вскидку, коррупционные материалы бизнеса в научных журналах, работают по такому же принципу в профессиональных сообществах. Чтобы этого не происходило, нужен новый человек, с развитой культурой рефлексии в базе.
itsoft Автор
04.10.2021 10:04+1Внимательно читайте статью. Меры предложены по желанию клиента. Все могут по умолчанию пользоваться как сейчас.
Merrimac
04.10.2021 09:31+9Статья - просто смесь потока сознания и личных комплексов да еще с жаргонами, переходящими в оскорбления. Статьи в поддержку Навального нужно писать на специализированные сайты, а не в ИТ-блоге.
Но если по пунктам... Автор вообще не разбирался в кухне "изнутри". Было бы очень забавно его пересадить внутрь банка и сказать: "Делай!" И примерно через 3 месяца подвести итоги оттока клиентов, разбегания ИТ-команды и прочее. Например: аппаратный ключ - супер! Кто за него платит (он денег стоит) - клиент? И как вы объясните все массе клиентов, что вы для их блага берете с них денег за ключи? И как вы этим клиентам объясните, почему вместо простой и удобной СМС вы требуете подписывать каким-то ключом с USB> Между прочим, Райффайзен изначально использовал ключи (программные, в виде пары файлов) - убрали, чтобы не проигрывать другим банкам клиентов из-за неудобства использования!! Умиляет аргумент, что пусть бабуля идет ножками в Сберкассу, раз токеном не пользуется - настоящий клиентский подход!!! О блокировке на сутки СМС банками после смены сим-карты автор вообще не в курсе...
inkelyad
04.10.2021 09:54+4Например: аппаратный ключ — супер! Кто за него платит (он денег стоит) — клиент?
Кто платит за банковскую карту? А за SIM карту телефоннного оператора? Вот так же. Этот генератор, в который карта вставляется, при массовом производстве не может стоить больше дешевого калькулятора. Потому что просто экран и клавиатура к приложению в карте.
А в современных условиях, когда карт без NFC становится все меньше и меньше (а карта и есть аппаратный токен) — то даже железки не надо будет во многих случаях. Программный интерфейс в виде приложения для смартфона с картой по этому NFC пообщается и код покажет.
Или даже 'приложите карту к смартфону, чтобы подтвердить транзакцию' для тех, кто не такой параноик, чтобы хотеть лично одноразовый код каждый раз вводить.
force
04.10.2021 18:18Программный интерфейс в виде приложения для смартфона с картой по этому NFC пообщается и код покажет.
Т.е. для подтверждения действия с телефона, нужно использовать приложение на телефоне? А давайте просто будем посылать SMS/Push'и на этот телефон и не напрягать пользователя отдельным приложением. Упс... кажется я где-то видел.
inkelyad
04.10.2021 20:54+1Да. Потому что приложение-интерфес к банковской карте живет на другом телефоне. Не том, где банк клиент установлен. И в котором ни SIM-ки нет, ни к WiFi-ю он не подключен. Но это - для параноиков. Всем остальным хватит 'приложите карту...'
bank_admin
04.10.2021 09:54+9К чему вся эта ваша клоунада?
Банки что по вашему, не умеют работать с токенами для ИП и юрлиц?
Добавить это ОПЦИЕЙ для физиков прям архи сложнаааа? Дык чо вы там вообще делаете тогда в банке?
itsoft Автор
04.10.2021 10:07+9Вы внимательно статью прочтите прежде чем наезжать. Вы видно в банке сидите и оправдываете свою беспомощность.
Клиенты если хотят могут заплатить. Все меры по желанию сознательным клиентам. А ваша аргументация тогда сродни тому зачем компьютеры, у бабулек их нет.
iiwabor
04.10.2021 09:36+21Моя теща чуть не купила супер-пылесос (кредит не дали), купила у "газовщиков" датчик газа, едва не заплатила 50 тыщ за "наладку" пластиковых окон, купила "медаль 100 лет Победы", и чуть не попалась на развод с "мама я сбила человека".
Тысячу раз ей все объясняли, даже тренинг проводили - бесполезно. Ей хоть трехфакторную хоть стофакторную идентификацию делай - все равно сольет свои деньги мошенникам, потому что она живет в своем сюрреалистическом мире Первого канала - дибильные ток-шоу и сериалы, стерильные новости - ее мозг полностью отключен для каких-то логический размышлений. (Но голосовать ходит и всегда за кандидата "а за кого еще?")
И таких людей очень много((( Мошенникам хватает.
jaha33
04.10.2021 10:40+1По тем же первому/второму каналу в утренних передачах чуть ли не ежедневно рассказывают про мошенников, способы обмана, и дают советы как избежать развода. Извините, но тут к теще больше вопросов))
Stalker_RED
04.10.2021 10:46+1Наладка пластиковых окон - отличная штука. Там в самом деле есть и в фурнитуре что покрутить, и по периметру стеклопакета клинья позагонять, и резинки бывает изнашиваются. Через 2-3 года после утановки, и потом иногда неплохо бы обслуживать.
Но 50 штук как-то дофига.
n00b1k
04.10.2021 12:21Тысячу раз ей все объясняли, даже тренинг проводили - бесполезно
Деньги отбирать не пробовали? не будет денег - нечего будет мошенникам переводить.
bank_admin
04.10.2021 10:01+1А еще бывают пожилые с плохой памятью, это вообще пипец.
Им только телефон настраивать на белый список с фильтрацией всех неизвестных.
opckSheff
04.10.2021 13:27Взгляните на это с другой стороны. Если человек ничего не помнит, он ничего никому не сольёт!
bank_admin
04.10.2021 13:54А что бы он с вашей точки зрения мог бы слить?
Достаточно того, что жулики могут посчитать какие-то его действия конклюдентными, типа ответа "да, согласен", если персональные данные уже украдены другим способом.Мало того, подобные люди могут обладать избирательной памятью, и слить что-то важное, а потом еще и забыть про то, что они это сделали ...
LexxKn
04.10.2021 10:07-2Я считаю что относительно факта самого взлома проблема не в банках, а в финансовой грамотности, доверии и просто глупости. В наше время из каждой дырки говорят о таких разводах, но люди упорно верят в то что они исключение. Поэтому я считаю, в большинстве случаев, это платный урок по финансовой грамотности и безопасности. Но это. Можно придумать и другие способы развода, из самого простого пылесосы кёрби за 100к или наборы ножей за 30к или ныне модные заработки на криптовалютах или обычной бирже.
А вот относительно процесса оплаты и последствий есть куча вопросов и к банку и к государству. Например почему пой платеж за комуналку идет до 3 дней (поидее можно остановить такую операцию), а вот такие платежи сразу и безвозвратно. Или почему так просто можно достать серую симку.
baldr
04.10.2021 10:25+6Вы знаете, не каждый, даже образованный человек может запросто разобраться во всех тонкостях работы каждого банка.
Вот везде говорят - не сообщайте никому коды из смс, даже сотрудникам. Однако, прихожу я в банк, сижу прямо перед сотрудником и он мне говорит - чтобы мне получить доступ к вашим данным, нужно авторизоваться, сейчас придет смс с кодом и вы мне его сообщите. Приходит смс, я его зачитываю. В нем написано что можно сообщать, но тем не менее.. (в Альфе так и в Сбере, кажется, тоже)
Не доверяйте незнакомым звонкам от "службы безопасности"? Но в двух разных банках мне, действительно, звонили из СБ с вопросом о только что совершенных мной операциях и карту блокировали до выяснения. И перезвонить им напрямую сразу было нельзя.
dekeyro
04.10.2021 11:13-1а что за операция для которой сотруднику нужен код? если не секрет конечно
baldr
04.10.2021 11:32+2Ну у меня - практически любая где что-то надо сделать именно в отделении. активировать новую карту, сделать крупный перевод и тп.
wlr398
04.10.2021 11:34Выдача перевыпущенной карты, смена паспортных данных, например. Как вариант могут предложить не сказать код, а ввести его на планшете самому.
LexxKn
04.10.2021 11:45Не однозначные для меня примеры. Если я нахожусь в банке и общаюсь с его представителем + обычно это происходит под глазом видеокамеры, то для меня это уже достаточные факторы доверия этому человеку. Про гнилых людей мы можем говорить сколько угодно, но такие в банковской сфере могут и без вашего участия сделать многие вещи.
СБ мне тоже звонили и карту блокировали, но ни слова о том чтобы перевести куда-то мои деньги на безопасный счет или еще что-то мне не предлагалось.
Разводилы мне тоже звонили, но их в большинстве случаев распознать можно уже на первых секундах по косвенным признакам: у кого-то на фоне дичь какая-то происходит, у
Подобное не только у нас в стране развито. Сейчас не помню где, но было интервью с одной из таких разводил с Украины и по ее словам в России просто процент срабатывания выше, а за рубежом, особенно молодое поколение, вообще не ведется. И я это связываю именно с финансовой грамотностью.
tmin10
04.10.2021 15:10В тинькове тоже, когда пишешь в сапорт, надо назвать код из смс сотруднику, чтобы он получил доступ к твоеим данным для проверки. Там написано правда, что он для решения вашего вопроса.
muxa_ru
04.10.2021 15:39+1В нем написано что можно сообщать
Что приучает людей к тому, что сообщать коды можно и это штатная процедура.
Galperin_Mark
04.10.2021 10:19+4Сложно ли найти звонящего? Не сложно. Есть СОРМ (система оперативно-розыскных мероприятий). Точка.
Сложно ли опознать человека по голосу?
Непросто, но и не сверхзадача. В свое время этим вопросом работал небезызвестный Александр Иванович Солженицын. В романе “В круге первом” классик описывал свою работу (заключение) в шарашке, где он занимался визуализацией звука, распознаванием речи и идентификацией личности по голосу. Это было 70 лет назад. Сейчас в распоряжении следователей компьютеры и сотни программ. Жми на кнопочку и собирай доказательную базу.
Areso
04.10.2021 10:54СОРМ либо покажет, что звонили с территории ФСИН, либо это был voip звонок с сопредельных государств. Годится только для совсем отмороженных личностей, занимающихся разводом в частном порядке
Galperin_Mark
04.10.2021 11:39+1И тот и другой путь ведет к мошенникам. Понятно, что за рубежом трудно прижать колл-центр, но есть Интерпол, есть и другие каналы поиска и давления. Так что всё дело в желании найти разводил.
event1
04.10.2021 18:14Учитывая, что ни США, ни ЕС не могут прижать легендарные калькуттские колл-центры, не вполне понятно какие возможности есть у российских правоохранителей для влияния на жуликов за рубежом.
RTFM13
05.10.2021 03:32Мне звонили с "+7 495". Его сложно, как я понимаю, купить анонимно сей час. Хорошо, пусть это IP из Сомали на бомжа. Ну так пусть хотя бы выключат оперативно по жалобе с записью звонка, например. И проведут разбор с продавцом ларька продавшего симку или еще что. Хотя это не самый короткий путь для борьбы с этим, конечно.
itsoft Автор
05.10.2021 09:49Скорее всео там подмена номера была. Навальный именно так звонил убийцам.
А вот тут же дело РосКомНадзора и операторов. Оператор может запретить подмену номера. А РосКомНадзор может штрафовать операторов, которые выпускают смс или звонки под левыми номерами или именами. Это немного поприжали, но не полностью.
event1
05.10.2021 13:41Там речь была про заграничных жуликов. Местных прижать не очень трудно, по-моему. Найти куда бабки уезжают в конце концов и прищемить там кому следует.
Трясти продавца ларька, по-моему не очень продуктивно
Akuma
04.10.2021 12:00Ок. Вы нашли откуда был звонок - это оказался ИП-бомж из соседнего подъезда. Дальше что?
Вариант 2. Вы нашли владельца счета на который ушли ваши деньги - им оказался обычный человек из соседнего подъезда. У него украли карту и вывели с нее ваши деньги в наличку.
Дальше что? Денег вы не получится, поскольку это не ошибка банка, а ваша. Деньги не найдут, потому что пока вы позвонили в полицию они прошли уже десяток государств.
Galperin_Mark
04.10.2021 12:09Как я понимаю ситуацию, проблема не в технических средствах поимки мошенников (средства есть), а в желании заниматься вопросом.
Akuma
04.10.2021 12:14В целом да, но и средств особо нет на самом то деле.
Вы можете на карту друга перевести деньги, вывести их в наличку, а потом подать заявление. Если у друга будет подтверждение, что в момент снятия денег он был не у банкомата, на этом все закончится. Искать дальше нет смысла.
Реальные схемы переводов куда извилистей.
jaha33
04.10.2021 10:36Мне сбер блокирует переводы выше 20т, пока это не подтвержу через оператора.
У вас реально искаженное представление о действительности. Для крупных банков все эти мошенники это тоже проблема, с этим они борются. Может и не лучшим способом, но думаю ни одни безопасники не могли предположить что у нас все настолько плохо охраной ПД. Все покупается через операторов связи, тур оператроов, ментов, прочие сайты, где пользователь оставляет ПД, те же гос услуги.
А "внезапные" кредиты выгодны только мелким шарагам, которые потом всеми способами выбивают долги. И то, у нас вроде в работе законопроект, где гражданин может себе заблокировать возможность получения кредита. Но тут непонятно как это будет работать.
RTFM13
05.10.2021 03:34+2у нас вроде в работе законопроект, где гражданин может себе заблокировать возможность получения кредита.
Для разблокировки сообщите код из СМС или скажите "да".
navion
17.10.2021 14:13Там предлагают сделать окно в неделю между заявлением и разблокировкой, правда законопроект даже не внесли и он лишь немного снизить поверхность атаки.
Ещё с декабря начнут выдавать "электронные паспорта", которые могли бы закрыть возможно получать кредиты по украденным данным, но вместо эстонского варианта с ридером смарт-карт:
для всех мобильных платформ будет доступно мобильное приложение "Мой паспорт", которое нельзя будет взломать, изменить, подделать - сказал Акимов.
Popadanec
17.10.2021 15:17А сколько ридеров надо купить? В каждый магазин торгующий товарами 18+, каждому наряду полиции, в каждое отделение почты/госуслуг.
Это миллиарды рублей, которые могут быть выброшены на свалку, потому что разработчики что то не предусмотрели и терминал оказался уязвимым или ненадёжным.inkelyad
17.10.2021 16:17+1И вместо этого внедряют дурной и потенциально еще более дырявый эквивалент этих ридеров. Которые, кстати, дешевые (кассовая машинка в разы дороже) и слишком дырявыми быть не могут - это тупой адаптер от чипа карты к USB.
Popadanec
18.10.2021 09:13-1Программу то можно полноценно обновлять(лишь с оглядкой на основную массу устройств), улучшая безопасность. А в железках софт конечно можно обновить, но с учётом ограничений платформы и не без проблем. Т.к. ридеры не будут одной и той же модели и аппаратной версии. А разница в версиях неизбежно вызовет глюки и тормоза, плюс будет сдерживать развитие софта.
А тупым адаптером во многих случаях не отделаешься. У полиции к примеру нет вообще никаких терминалов(может что то и есть но на уровне местного теста), для всех остальных придётся писать(и поддерживать) зоопарк программ, т.к. и железо и ОС у многих серьёзно отличается.inkelyad
18.10.2021 09:27+1Программу то можно полноценно обновлять(лишь с оглядкой на основную массу устройств), улучшая безопасность
Ну так именно что. Имеем совершенно тупой ридер, а все остальное — в программе (возможно даже где-то на серверах соответствующего министерства), которую можно обновлять сколько хочешь. И эта программа с чипом карты пускай общается.
А для простейших случаев 'проверить документ'- сейчас все это как-то же по просто по виду бумажного паспорта проверяют?
Так пускай дальше проверяют, но уже по внешнему виду карточки. Ультрафиолетом там посветить на предмет нужного узора, на фотку на ней же посмотреть итд итп.
А если нужно удаленное подписывание документов и подтверждение личности для робота/человека, что тебя вживую не видит — вот тут и берем ридер.
Popadanec
18.10.2021 10:24-1Ридер же не просто кусок пластика и гребёнка проводов. Там есть какая то электроника в которой так же возможна уязвимость и которую программно не закрыть. За замену миллиона ридеров по голове не погладят.
А карточку нужно получить и периодически менять(т.к. они тоже внезапно уязвимы), чаще чем паспорт(а раз в три года как банковскую) и носить с собой с риском потерять. Т.е. альтернатива даже хуже бумажного паспорта.
Приложение в смартфоне активируется или паролем или отпечатком, смартфон с собой носит подавляющее большинство людей(часть и паспорт с собой не носит и банковские карточки т.к. есть NFC).
Потому приложение выглядит более привлекательно как с точки зрения властей, так и со стороны налогоплательщиков.inkelyad
18.10.2021 10:48Приложение в смартфоне активируется или паролем или отпечатком, смартфон с собой носит подавляющее большинство людей(часть и паспорт с собой не носит и банковские карточки т.к. есть NFC).
Чтобы это было хоть как-то безопасно, все равно ключевую информацию нужно хранить в защищенном хранилище. Т.е. в точно таком же чипе, что у карточки и к которому применимы те же возражения по уязвимости, что у карточки. Когда в протоколе/чипе дырку найдут — предложим всем смартфоны менять?
Ну вот и нужно делать это защищенное хранилище внешним по отношению к железке, где программа крутится. Чтобы хотя бы хоть какой-то air gap можно было поддерживать между ключами и тем, что будет пытаться до них добраться.
А карточку нужно получить и периодически менять(т.к. они тоже внезапно уязвимы), чаще чем паспорт(а раз в три года как банковскую) и носить с собой с риском потерять.
Риск — практически такой же, как ношение с собой бумажного паспорта. А уж его уязвимость к атакам — на самом деле вообще ниже плинтуса. Живем как-то.
Впрочем, аргумент с возможностью потерять хороший, и то, что я про это думаю — я вот тут в похожей теме писал. Коротко — одной карточки-ID недостаточно. Должно быть несколько. Чтобы при потере одной восстанавливать его при помощи других.
Popadanec
18.10.2021 10:56Обновить программу для смартфона всё же можно оперативней и куда дешевле. А по поводу безопасности сделали же возможность оплаты смартфон — смартфон, хотя в сфере оплат всегда была и есть серая зона.
По поводу восстановления, тогда должен быть надёжный механизм оперативной блокировки, чтобы им не воспользовались злоумышленники.inkelyad
18.10.2021 11:24+1Обновить программу для смартфона всё же можно оперативней.
Обновлять может потребоваться чип и протоколы защищенного хранилища ключей. Который либо отдельный, либо в процессор смарта встроен.
А если мы верим, что в случае чего можно безопасно обновить все это программно — то, собственно, возможности обновления у внешнего чипа такие же могут быть. Тоже обновим микропрограммы внутри карточки-ID и ридеров. Риски — пр в точности такие же.
Но то что в смарте — нельзя положить в сейф и запереть на ключ, если ты никаких контрактов подписывать не собираешься.По поводу восстановления, тогда должен быть надёжный механизм оперативной блокировки, чтобы им не воспользовались злоумышленники.
Ну так это проблема и с бумажными паспортами есть.
Popadanec
18.10.2021 11:53-1Ну так это проблема и с бумажными паспортами есть.
Т.е. ввод карточек не решает старых проблем, но добавляет новых. Это не прогресс, а регресс.
inkelyad
18.10.2021 13:05+1Ну как не решает. Бумажный паспорт совершенно непригоден для накладывания и проверки личной подписи/печати при удаленном присутствии. Карточка (а точнее ключи ЭП в ней) — как-то более-менее сносно, при выполнении более-менее выполнимых правил использования, позволяет это делать.
Приложение в телефоне — тоже позволяет, но поверхность атаки больше, чем при выносе чипа в карточку.
Оптимально было бы иметь и карточку, и стандартизированный смартообразный терминал к ней, со всех сторон облепленный пломбами и с математически доказанным софтом, в котором собственно никаких ключей нет — но это еще дороже получается.
И у всех трех способов есть разные проблемы с 'а что делать, когда оно потеряется?'
Popadanec
18.10.2021 20:11ЭП и так есть. Физ лицам бесплатно выдают(правда софт платный для её использования). А так ещё и домой считыватель покупать.
Приложение в этом плане лучше. Можно давать одноразовые/многоразовые ссылки(qr коды) с разным уровнем доступа и подтверждения(только лицо и что совершеннолетний к примеру) и историей(где, когда и кому). И не хранить информацию в самом приложении(или работать по запросу, в зависимости от паранойи), а только давать ссылки в/на паспортную базу.
В идеале оно должно быть на отдельном устройстве, но это не удобно таскать два смартфона. Уязвимость с номером, решается как с с банками блокировкой смс и обязательным подтверждением личности в любом отделении МФЦ(и любых других гос органов, как это сделано с подтверждением учётки госуслуг).
navion
18.10.2021 11:08Зачем в магазин? Достаточно мест с юридически значимыми услугами, куда их и так придётся купить. Как полисы ОМС, где для смены страховой надо воткнуть карту в ридер и ввести ПИН, только с биометрией вместо кода.
Popadanec
18.10.2021 11:55Не в каждый(но во многие). Где к примеру продаются продукция/услуги с возрастным цензом/регистрацией. К примеру банальный алкоголь, сигареты, сим карты.
navion
18.10.2021 14:50В магазине не требуется такой уровень проверки, достаточно показать карту с датой рождения. Опционально можно привязать к паспорту face pay или поставить NFC на кассе самообслуживания, чтобы не звать работника покупая бухло.
Есть пример Эстонии, где электронный паспорт сделан как надо - без учёта желания банков выдавать кредиты по украденным данным или максимально "охватить" дистанционное голосование.
RTFM13
18.10.2021 17:00Ещё с декабря начнут выдавать "электронные паспорта", которые могли бы закрыть возможно получать кредиты по украденным данным
А бумажный паспорт аннулируется? Или можно по прежнему взять кредит по поддельному бумажному? Или без смартфона ты теперь вообще никто?
которое нельзя будет взломать, изменить, подделать
нельзя - в смысле, они запретят?
Чем дальше в лес, тем толще партизаны.
Areso
04.10.2021 10:52Самая смешная история, когда одного из топ-менеджеров Сбербанка развели сотрудники "техподдержки Сбербанка" на серьезную сумму.
snp
04.10.2021 11:42+2Недавно была история у меня — с номера 900 звонит робот и спрашивает что-то типа «Я из Сбера, bla-bla, Имя Фамилия это вы?» и ждёт ответа. Имя-Фамилия правильно названы. Молча кладёшь трубку, на следующий день робот опять звонит.
И не понятно, то ли это сам банк развлекается с новыми технологиями, то ли мошенники перешли на новый уровень. Грань размывается всё больше и больше.
n00b1k
04.10.2021 16:53+2Почему вы разделяете банки и мошенников, на мой взгляд, это одни и теже люди
Melister
05.10.2021 08:53+3Это мошенники! Они от вас всячески хотят услышать ответ «да», записать его, а потом позвонить в банк и сменить номер телефона. Биометриях же включена. Мне так же звонили пару раз. Только вот в статистике оператора там почему-то обычный мобильный номер, то есть подмена.
Выработал привычку отвечать «олё» на все звонки и не использовать буквы «а» и «д» в словах, иногда правда туплю обдумывая слова, но это лучше чем потерять деньги.
Так же в Сбербанк-Онлайн есть вкладка безопасность, где можно пожаловаться на мошеннические звонки. Все им описывал и с какого номера и чего говорили, а через неделю с того же номера с подменой звонят. ;(
Не работают их СБ, даже если им указать «кто, где и когда».
LexxKn
05.10.2021 09:22Там, возможно, также отправили запрос опсосу, т.к. СБ ничего заблокировать не может. Есть случай их достаточно оперативной работы: недалеко от офиса был банкомат и у него верхняя часть была отделана стеклом и в солнечные дни стоящие позади видели отражение клавиатуры и пальцев, стоящего у банкомата. В течении 2 дней после обращения туда наклеили какую-то тонирующую пленку.
snp
05.10.2021 11:58ответ «да», записать его, а потом позвонить в банк и сменить номер телефона.
В принципе, у меня в тот период времени у карты «МИР Моментум» заканчивался срок годности. И почему-то звонки были в это время. Странное совпадение. При том, что «моментум» не перевыпускают — можно лишь с новым номером получить.
Но я в курсе, что технически номер можно любой поставить при входящем звонке.
Биометриях же включена.
Где включена? У меня ничего не включено.
Выработал привычку отвечать «олё» на все звонки
Как вариант — поднять трубку и молча ждать, что на той стороне скажут. Или спросить «кто говорит?» или «говорите» или что-то подобное.
Melister
05.10.2021 15:41+1Я вот ничего не включал, но при этом в настройках у меня стоит биометрия по голосу. А что бы отключить ножками в банк.
snp
05.10.2021 19:02Где это можно проверить? В интернет-банке есть информация?
Вообще, сбор биометрии без согласия человека по закону запрещён. Ну да, я знаю, как эти законы исполняются, но тем не менее. Можно попробовать с ними повоевать.
Где-то читал, что в Сбере мошенническим образом собирают согласие на съём биометрии — просят под каким-то предлогом (например, оплата комиссии или получение новой карты) вставить карту и ввести PIN. Было ли такое?
Melister
05.10.2021 21:31В приложении Сбербанк-онлайн, зайти в профиль и нажать кнопку распознавание по лицу и голосу. Там будет несколько функций, и на каждой надпись, либо ждёт подтверждения, либо включена.
Popadanec
18.10.2021 09:16Только вот в статистике оператора там почему-то обычный мобильный номер, то есть подмена.
То есть и ОПСОС знает что это подмена, но ничего не делает. Тогда он идёт как соучастник.
BattleAngelAlita
04.10.2021 11:21+2Збавно что большинство комментариев — обвинение жертвы.
navferty
04.10.2021 13:04+3Я бы сказал, что это не обвинение жертвы, а признание того факта, что это попытка решить нетехническую (социальную) проблему техническими методами, которая заранее обречена на провал.
Хотя, надо заметить, что определённые технические способы могут повысить безопасность клиентов банков.
Spewow
04.10.2021 11:25+3Спасибо за статью. Вы правы, за много лет развития удаленного онлайн банкинга, вменяемой защиты так и не было реализовано. Все сводится к банальному "введите смс". При том что сим-карту можно не только перевыпустить, но и навскидку , коды можно перехватить через SS7 или подключить другой номер телефона обманув оператора банка.
Дайте людям опцию многофакторности, подтверждение платежей по 2м и более факторам --паралельно--.
Самое примитивное, подтверждение платежа не только по коду смс, но и по коду на отдельную секретную электронную почту. В формочки надо-то добавить дополнительное поле. Или по коду смс + коду почты + код otp на базе андроида.
Если какой-то код не ввел, платеж не должен проходить.
Изменение настроек защиты тоже только через мультифактор.
И не надо говорить про клиенториентированность и удобство, сделайте эти защитные опции --подключаемыми--. Кому лень разбираться, будут смсками по старинке, кому не лень настроят себе нужное сочетание защиты.
bank_admin
04.10.2021 14:43+2С U2F то и разбираться особо ненужно:
https://www.rutoken.ru/products/all/rutoken-u2f/
Работает в любой современной операционке.
В качестве 2-ого или 3-его фактора дополнительно к уже существующим обязательным просто прекрасно бы было.
Намного проще классического токена типа Rutoken ECP 2/3.
nivorbud
04.10.2021 11:40+11Если кто-то читает эту тему из сотрудников ВТБ, прошу вас: опомнитесь! Я уже боюсь пользоваться вашими сервисами.
Зачем вы до предела упростили привязку мобильного приложения?
Ведь теперь для привязки нового устройства достаточно ввести логин (номер карты или унк или телефон - это не секретная инфа) и код из одной единственной СМСки. Всё! После этого мошенник может переключиться на пуши и клиент не будет получать СМСки. В результате ему даже отдельный кнопочный телефон не поможет. По сути вы позволяете через одну смску полностью изменить способ аутентификации (на новое устройство - владелец нового устройства получает полный доступ).
Но это полбеды. Почему вы не оповещаете должным образом в смс с кодом, что код нужен для привязки нового устройства (вы пишете, что этот код для входа в л/к)? Извините, но вход в л/к и привязка нового устройства - это разные операции.
Таким образом мы имеем ситуацию, когда разовая утечка одной единственной смс может привести к потере всех денег на всех счетах. Более того, даже если я буду внимательно читать все тексты сообщений в смсках, я не смогу понять, что произойдет после авторизации - вход в личный кабинет или мошенническая привязка нового устройства. Это неприемлемый риск. В итоге я почти отказался от пользования вашими услугами. Любая операция - стресс.
Прошу хотя бы вернуть пароль при привязке мобильного приложения. Пароль - единственный фактор, который полностью мне подконтролен, в отличие от смс. Тогда смс-канал будет полноценным вторым фактором (при использовании отдельного телефона).
VIPDC
04.10.2021 13:05НЕ опомнятся. Несколько лет назад в мобильном приложении заменили пароль на pin код из 4-х цифр, без возможности использовать пароль, ну не бред ли. Раньше хоть какая то защита была.
RTFM13
05.10.2021 03:41+1Еще надо убрать номер карты и телефон из логинов хотя бы как опцию пусть даже выключенную по умолчанию.
Я выше уже писал - сей час зная телефон можно заблокировать клиенту с этим номером доступ в ЛК введя пароль неправильно 3 раза.
preslilvs
04.10.2021 11:47+2Хорошая статья, но я предлагаю сделать автору, больший акцент на Аппаратный генератор одноразовых кодов, судя по опросу не многие его хотят, а зря. Да не удобно, за то повысит безопасность и его нельзя перевыпустить на стороне, как сим карту. Да и потом, никто не думает что если сим-карта перевыпущена самим владельцем, то как быть, остаться без банкинга или ехать в банк писать бумажку что это я, точно я перевыпустил сим карту?
itsoft Автор
04.10.2021 11:58-1Задача статьи - не конкретное решение, а показать, что решения есть, их много, но они не даются банками по желанию клиентов.
Все кто хочет по умолчанию могут работать как сейчас. А кому надо больше, пусть за дополнительную плату хотя бы получат больше. Хотя тот же аппаратные или программный токен сэкономят банку на SMS.Arioch
04.10.2021 16:23+4сэкономят банку на SMS.
А им это не нужно, это просто отговорки, чтобы комиссии повышать и троянов на телефоны клиентам ставить.
Просто пример - полгода у Авангарда было приложение для Androida - QRCode confirmation. Отлично, "джва года" жду от банкоа пассивного приложения, с тоской вспоминая интернет-банк у ПромСвязьБанка. Чтобы с пониженной безопасностью, но зато без излишнего геморроя. Чтобы нельзя было делать платежи, но можно было бы подтверждать и глядеть статистику по счетам. Т.е. - read-only доступ.
Радовался полгода, и вдруг программа "обновилась". Теперь она называется Авангард Pay и тупо не работает на телефоне, почему - непонятно ("ваша модель не поддерживается"), но скорее всего потому что требует отпечатки пальцев, а я их в телефоне включать не собираюсь. И главное, название показывает, что это опять не пассивная просматривалка-подтверждалка, а активный ИНИЦИАТОР платежей.
То есть полгода Авангард действительно пытался сделать 2FA без SMS, потом сделал поворот кругом и начал делать обманку под видом 2FA.
Сижу, опять СМСки вбиваю.
pmcode
04.10.2021 12:26+5Технические меры, это конечно, круто и все такое, но мне на самом деле хватило бы введения нескольких несложных норм на уровне законодательства.
Период охлаждения. В течение суток с момента перевода банк обязан вернуть деньги на счёт по заявлению клиента (физлица), если клиент заявляет, что данный перевод является мошенническим. Поскольку мошенничество также может быть связано с потерей доступа к аккаунту, клиент также в течение суток может подать аналогичное заявление в полицию и банк обязан считать его равноценным поданному напрямую в адрес банка. Это также должно побудить банки активнее развивать антифродовые системы.
Банк обязан предоставлять услугу по запрету выдачи кредита любым дистанционным способом для физлиц. Услуга назначается и снимается только личным визитом в офис банка. Клиенту на руки должно выдаваться соответствующее письменное подтверждение.
Банк обязан предоставлять услугу по суточному ограничению перевода денежных средств дистанционным способом. Услуга назначается и снимается только личным визитом в офис банка. Клиенту на руки должно выдаваться соответствующее письменное подтверждение. Если клиент хочет иметь возможность менять этот лимит дистанционно, это должно прописываться в договоре или в дополнительном соглашении с банком.
Пункты 2 и 3 элементарно прописываются при заключении договора с банком, в том числе таким у которого нет региональных представительств, типа Тинькофф, так что сторонники отсутствия ограничений ничего не теряют. Если параллельно еще усилить борьбу с обнальщиками, то при соблюдении всех трех условий воровать деньги у простых граждан станет сложно и неинтересно.
Popadanec
04.10.2021 12:55Пункт 2 сейчас проходит через бюрократические жернова в виде обязательства банков законом.
itsoft Автор
04.10.2021 13:36Хорошие меры. Они тоже бы не помешали. Только меня вон запинали за куда менее радикальные.
Но и их я бы сделал по желанию клиента.
vasya_robot
04.10.2021 13:48В первом пункте, вы не учли интересы и риски банка.
RTFM13
05.10.2021 03:47+2Я как клиент банка не могу управлять защитой дистанционных каналов, всё определяет банк. Вот пусть он сам и учтёт свои интересы при разработке способов защиты.
vasya_robot
05.10.2021 12:44Речь о законодательстве, а не о технических мерах. Законодатель должен учитывать интересы всех сторон, а в данном предложении не учтены риски банка, в частности, случаи мошенничества со стороны клиента.
RTFM13
05.10.2021 16:28Интересы банка учтены - законодатель предоставляет банку свободу выбора способов защиты дистанционных каналов. Как минимум, в сторону их повышения. Вплоть до полного их отключения, если не ошибаюсь.
В общеюридическом смысле клиент не может нести ответственность за действия банка. Для этого даже не надо новых законов. Просто zero liability проводит четкую черту разграничения ответственности.
Клиент за мошенничество несет уголовную ответственность. Технические средства для контроля клиента банк имеет и именно банк решает какие из них и как применять. У клиента возможностей контроля банка гораздо меньше, а фактически с учетом судебной практики - нет совсем.
aMster1
04.10.2021 21:41По п. 1.
Как будет происходить купля-продажа товара между двумя физлицами? При возможности отозвать покупателем платеж? Продавец отдает вещь, а потом у него забирают деньги за неё. Что предложите? Кэш? Сервисы комиссий? Нотариусы?
По п. 2 люто плюсую. Любой кредит должно быть трудно получить. Только лично, с паспортом и под видеосъемку. И обязательно с фиксацией менеджера выдающего кредит, зачитывающего фразу типа "выдаем кредит на сумму ххх рублей, сроком на уу месяцев, процентной ставкой первые 2 месяца столько, потом столько, общей суммой платежей zzzz" и клиента проговаривающего вслух эту же информацию.
П. 3 - насколько я знаю он почти у всех есть. Более того, я об него очень больно спотыкался, и снятие лимита стоило мне много нервов и большого пучка волос на разных частях тела.
Еще бы как то обязать филиалы банков быть единой системой, а не " ой, мы тут ничего не можем сделать, обратитесь на горячую линию, у вас счет открыт в онлайн-банке, а это московский регион"
Popadanec
04.10.2021 23:19+2По п.1 как то же решили в цивилизованных странах. Банк в случае заявления приостанавливает действие карты и разбирается с привлечением полиции и наступлением ответственности(в т.ч. уголовной) для «умника». Если такое повторяется несколько раз, клиент отправляется в чёрный список банка, а то и вовсе банков.
Как мне кажется тогда быстро переведутся мошенники. Не исчезнут как класс, но вероятность упадёт на порядки.RTFM13
05.10.2021 03:51+1Деньги пусть не вернуть, а хотя бы заморозить до результатов разбора. Принес в банк ДКП и получил свои деньги. За ложный отзыв наказывать.
Popadanec
17.10.2021 15:37Выше привели случай что это не работает(по крайней мере с некоторыми банками). Мало того, деньги сняли онлайн ещё и с кредитной карты.
corvair
04.10.2021 12:40+2Мне однажды позвонили посреди ночи с номера на +4 и начали что-то втирать на немецком со словами "банк", "карта" - евромошенники ошиблись с кодом страны. Там эта проблема на самом деле не менее остра чем у нас: https://germania.one/telefonnoe-moshennichestvo-v-germanii-istorii-zhertv-i-sovety-policii/
К сожалению, везде люди, а не розовые единороги.
Dolios
04.10.2021 13:03+5Zero liability. Если деньги пропадают со счета в банке, это должна быть проблема банка, а не клиента. Клиенту должно быть достаточно просто уведомить, что это не он. Дальше пускай банк обращается в правоохранительные органы. Если подобное установить законодательно, банки моментально сами сделают все возможное, чтобы свести мошенничество на нет.
VIPDC
04.10.2021 13:10Подобное установлено законодательством. У Вас сутки на оповещение банка согласно закона, лет пять назад был издан закон. Просто многие не знают своих прав
navferty
04.10.2021 13:32+3А можете поделиться ссылкой/номером закона, если не трудно?
Popadanec
04.10.2021 13:52+2
vis_inet
04.10.2021 14:12+2"12. После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления."
А как человеку доказать, что "без согласия клиента"?
vasya_robot
04.10.2021 14:28А как человеку доказать, что "без согласия клиента"?
В случае, если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента - физического лица о совершенной операции в соответствии с частью 4 настоящей статьи и клиент - физическое лицо направил оператору по переводу денежных средств уведомление в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом - физическим лицом уведомления. В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента - физического лица.
По сути, банк должен доказать халатность со стороны клиента.
vis_inet
04.10.2021 14:31+2Насколько я понимаю, сейчас практика обратная.
Банк почти всегда заявляет, что человек сам виноват, т.к. транзакция была совершена с доверенного устройства.
vasya_robot
04.10.2021 15:56обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления.
Потому что человек сам, зачастую, виноват.
Ваша обязанность уведомить банку о несанкционированном переводе или утрате эсп, после получения такого уведомления банк обязан принять меры для предотвращения таких переводов. Если он не принял меры, то это его проблемы - он обязан возместить всю сумму по переводам произошедших после получения уведомления.
Банк много чего может заявить, и ваше право оспаривать его заявления. Но если вы нарушили порядок использования эсп, то с какого перепуга банк должен вам возмещать средства из своего кармана? Банк - это коммерческая организация, естественно он будет доказывать вашу вину, чтобы не возвращать деньги по несанкционированным переводам, осуществленным до получения вашего уведомления.
Kanut
04.10.2021 16:06+1Потому что человек сам, зачастую, виноват.
Ну так пусть банк это докажет и тогда вопросов нет. А пока он это не доказал, то и отвечатъ должен банк.
Ваша обязанность уведомить банку о несанкционированном переводе или утрате эсп, после получения такого уведомления банк обязан принять меры для предотвращения таких переводов.
Что значит "принять меры для предотвращения таких переводов"? Перевод уже совершён. Предотвращать что-то поздно.
Банк много чего может заявить, и ваше право оспаривать его заявления. Но если вы нарушили порядок использования эсп, то с какого перепуга банк должен вам возмещать средства из своего кармана?
Нет. Банк должен доказать своё "заявление". А если он этого сделать не может, то это его проблемы и он должен возмещать..
vasya_robot
04.10.2021 17:28Ну так пусть банк это докажет и тогда вопросов нет. А пока он это не доказал, то и отвечатъ должен банк.
Вот он и доказывает :D Не нравятся его доказательства - оспаривайте!
Что значит "принять меры для предотвращения таких переводов"? Перевод уже совершён. Предотвращать что-то поздно.
Снять крупную сумму за одну транзакцию может не получиться. Или банально, потерял карту, и через какое-то время приходит смс о покупке на условные 1000 рублей. Раз поздно что-то предотвращать, то пусть снимают дальше...
Нет. Банк должен доказать своё "заявление". А если он этого сделать не может, то это его проблемы и он должен возмещать..
Еще раз, не устраивают его доказательства - оспаривайте, в том числе в суде.
Kanut
04.10.2021 17:31"Доказывать" и значит доказывать в суде. То есть это банк должен в случае чего в суд обращаться.
vasya_robot
04.10.2021 17:46То-то, все банкиры сразу бегут в суд доказывать...
Пока банк не получит претензию, шевелиться не будет.
AlexeyK77
07.10.2021 11:48+1В наших условиях.
Клиент обращается в банк.Банк проверяет все обстоятельства проведения платежа. Если платеж был совершен в соответствии с правилами проведения операции, то платеж считается проведенным клиентом согласно условий договора.
Если же клиент заранее предупредил банк о компрометации карты/интернет банкинга, то с момента предупреждения вся ответственность лежит на банке. Если операции прошли после факта предупреждения, то банк будет возмещать, если нет - то попадает клиент.
Идеальный zero liability работает в некоторых западных странах благодаря страхованию, т.е. деньги фактически возвращает страховая. Но эта схема у нас еще долго не заработает, т.к. население нищее и желающих побыть мулом пруд пруди, т.е. никто страховать этот риск не будет, он очень высокий.А для всего остального есть суд, самый честный и справедливый в мире.
vasya_robot
04.10.2021 14:10+1Просто многие не знают своих прав и обязанностей
Поправил.
В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции.
Информация к размышлению - что и в каких случаях можно вернуть.
DistortNeo
04.10.2021 13:09+4Чем сложнее технические меры, тем менее удобны они пользователям и более удобны мошенникам. А решение, на самом деле, лежит на поверхности: делать крайним не клиента, потерявшего деньги, а банк.
То есть достаточно клиенту сказать: это не я снимал деньги или не я брал кредит. И банк обязан тут же откатить все операции, а уже потом разбираться. И теперь именно банку придётся следить за безопасностью, а не клиенту.
Black_Spirit
04.10.2021 13:54+2PIN код еще ставить на SIM-карту. В случае утери/кражи телефона, при перестановке в другой аппарат она не сможет принимать одноразовые пароли.
Было бы неплохо, если банки нечто типа Google Authenticator предлагали. Хотя бы опционально. Был у меня давно счет в Bank Of Georgia, так еще в 2008 году там выдавали брелок, генерирующий одноразовые пароли. Он до сих пор генерирует пароли, хотя счета давно уж нет. Не Google Authenticator, но зато довольно железно. А вешать авторизацию на телефонный номер и потом надеяться, что не сделают дубликат симки, та еще затея...
nidalee
04.10.2021 14:05+5Чем сложнее технические меры, тем менее удобны они пользователям и более удобны мошенникам.
Скажите, что мошенникам станет удобнее делать, если я добавлю в белый список ЛК свой статический домашний IP и IP своего прокси на VPS?
Что мошенникам станет удобнее делать, если вместо кода из СМС я буду пользоваться Google Authenticator?
Не рассказывайте мне про бабушек только, хорошо? Я про себя спрашиваю.DistortNeo
04.10.2021 16:54+1Возможны неудобства в случае, если провайдер решит поменять IP. Или упадёт. Или хостинг будет не оплачен. Во прикол будет: чтобы зайти в личный кабинет банка, надо оплатить хостинг, а чтобы оплатить хостинг, надо получить доступ к личному кабинету банка.
Не рассказывайте мне про бабушек только, хорошо? Я про себя спрашиваю.
Ну а вы и не интересны. Целью мошенников являются именно бабушки, а не вы.
А принудительное включение жёстких технических мер для бабушек просто приведёт к тому, что бабушки будут писать пароли и коды на бумажках и хранить вместе с телефоном и картой, что только облегчит работу мошенникам.nidalee
04.10.2021 18:03-1Возможны неудобства в случае, если провайдер решит поменять IP. Или упадёт. Или хостинг будет не оплачен.
Сразу и то, и то? Война что ли начнется?А принудительное включение жёстких технических мер для бабушек
А кто и где писал про «принудительное включение жёстких технических мер»?
itsoft Автор
04.10.2021 20:37Вас никто не заставляет это использовать. А те, кто добровольно на это подпишется, разберётся.
nidalee
07.10.2021 00:59Или хостинг будет не оплачен. Во прикол будет: чтобы зайти в личный кабинет банка, надо оплатить хостинг, а чтобы оплатить хостинг, надо получить доступ к личному кабинету банка.
Я, кстати, только сейчас задумался: а какой VPS вообще можно оплатить не картой, а из личного кабинета банка? Из зарубежных вообще никакой, если я правильно понимаю…DistortNeo
07.10.2021 01:25Например, есть параноики, у которых на картах выставлен запрет на онлайн-операции и которые перед каждой оплатой кидают необходимую сумму на виртуальную карту. Ну или подтверждение оплаты в виде одноразового кода, который приходит не в виде SMS (это небезопасно), а в приложение.
Из жизненного: зарубежный роуминг. Известно, что у некоторых операторов роуминг автоматически отключается, когда баланс телефона снижается ниже порога, и чтобы он заработал, баланс надо пополнить. А пополнить не получается, потому что SMS-ки не приходят из-за недоступного роуминга.
nidalee
07.10.2021 01:30Например, есть параноики, у которых на картах выставлен запрет на онлайн-операции и которые перед каждой оплатой кидают необходимую сумму на виртуальную карту.
А… Ну это от очень специфичных вещей защищает.в виде SMS (это небезопасно), а в приложение.
Так нет разницы же, пока имея доступ к телефону способ выдачи кодов можно изменить.Известно, что у некоторых операторов роуминг автоматически отключается, когда баланс телефона снижается ниже порога, и чтобы он заработал, баланс надо пополнить. А пополнить не получается, потому что SMS-ки не приходят из-за недоступного роуминга.
У меня подобная ситуация с корпоративной СИМкой для интернета. Иногда выхожу из дома и понимаю, что дата оплаты прошла, а я сидя дома не заметил: приходится вспоминать заклинание для оплаты телефона через СМС, ибо интернета нет.DistortNeo
07.10.2021 10:15Так нет разницы же, пока имея доступ к телефону способ выдачи кодов можно изменить.
А что, ограничение по IP на мобильное приложение уже не распространяется? Тогда это дыра в безопасности.
приходится вспоминать заклинание для оплаты телефона через СМС, ибо интернета нет.
А в случае роуминга такое не прокатит, т.к. попросту никакой связи не будет.
thecove
04.10.2021 14:42Должно быть кодовое слово для банка
Пользователь в ЛК банка или в самом банке должен иметь возможность задать кодовое слово которое обязан произнести любой звонящий ему по телефону сотрудник банка.
Логично что мошенники не имеющие доступ к базам банка это кодовое слово получить не могут.
Это не сработает в случае утечки БД с данными пользователями но тем не менее считаю метод вполне эффективный и не сложный для внедрения. Но... всем пофиг
itsoft Автор
04.10.2021 14:52+1Доступ к телефонным разговорам имеет много людей. Ту же прослушку продавали.
Black_Spirit
04.10.2021 15:52+1Всвязи с решением о сборе биометрических данных россиян, скоро и кодовое слово со стороны клиента отменят.
Exclipt
04.10.2021 23:12Логично что мошенники не имеющие доступ к базам банка это кодовое слово получить не могут.Тут-то у меня карта и пошла
thecove
05.10.2021 18:13от мошенников у которых есть доступ к полным базам банка со всей информацией боюсь, что никакие технические средства защиты и не помогут.
Только собственная мозги.
Кодовое слово для клиента поможет против тех кому не хватило денег или связей разжиться полными базами данных.
Большая часть разводил не имеет полных дампов баз. + в банке разграниченный уровень доступов и, допустим, доступ к кодовому слову для клиента может иметь сильно ограниченный набор сотрудников.
Операционистке в отделении, логично что он не нужен - при личном визите в банк проверки не нужны.
Менеджеру который свершает "холодные" звонки в рекламных целях, такой доступ тоже не нужен.
Актуально только для реальных сотрудников безопасности банка и безопасности карточных платежей. И если дампы утекают и в утечке есть кодовые слова для клиента то круг подозреваемых может быть очень сильно сужен. Сугубо мое имхо.
В любом случае это лучше чем ничего. У клиента на данный момент нет вообще никакой возможности верифицировать звонящего.
Единственный вариант спрашивать ФИО и номер добавочного телефона.
Звонить в банк по номеру на сайте и просить соединить с сотрудником.
muxa_ru
04.10.2021 15:30+2Потерял любой из трёх — топай в банк.
Это в теории так, а на практике окажется, что те незащищённые которых Вы хотите защитить, не хотят топать ножками. Он пишут в интернетах шутки про "где карту получали, туда и идите" и хотят всё получить по номеру паспорта и коловому слову.
Что? Номер телефона сменился? Ну так новый введите, вот же я знаю номерп аспорта и кодовое слово.
Таким образом, Вы предлагаете ввести не ещё один фактор защиты, а ещё одну уязвимость, с помощью которой можно будет заоверрайдить пароль от банка.
Надо знать все три фактора? Да никто не будет их знать и пускать будут по любому одному, просто чтобы не трепали нервы суппортам.itsoft Автор
04.10.2021 15:44Предлагаю внимательно прочитать статью и обратить внимание на опциональность.
Никто не предлагает защищать эту категорию. Предлагается дать возможность защиты умным.muxa_ru
04.10.2021 16:25+1Умные ставят сильный пароль на вход и не ставят банковские приложения на смартфон.
Kanut
04.10.2021 17:11Если следовать такой логике, то "умные" вообще не пользуются различным онлайн-банкингом и по старинке каждый раз ножками ходят в оффис банка.
Я вот например хочу иметь возможность пользоваться банковскими приложениями на смартфоне. И не вижу причины.почему их нельзя сделать относительно безопасными.
muxa_ru
04.10.2021 18:01И не вижу причины.почему их нельзя сделать относительно безопасными.
Если на одном смартфоне приложение, а на другой приходит СМС - это будет относительно безопасно.
А если на смартфон завязаны ВСЕ факторы, то это "однофакторная" схемаitsoft Автор
04.10.2021 20:41+1Не будет. Это однофакторная авторизация. Телефон некоторые банки меняют удалённо просто поговорив по телефону. Нужен аппаратный токен, который удалённо нельзя поменять. И в идеале ещё что-то.
inkelyad
04.10.2021 20:56-1Нужен аппаратный токен, который удалённо нельзя поменять.
Технически, SIM-ка подошла бы. Только банк-клиент должен привязываться именно к SIM-ке, а не к номеру. И общаться с этим чипом напрямую, а не через сеть оператора связи.
muxa_ru
04.10.2021 22:53+1Нужен аппаратный токен, который удалённо нельзя поменять.
Добрый день, у меня что-то токен перстал работать. Я сейчас заграницей и не могу придти в банк, а первод сделать нужно. Что можно сделать?
Не переживайте, сейчас разберёмся.
inkelyad
05.10.2021 09:37+1Добрый день, у меня что-то токен перстал работать. Я сейчас заграницей и не могу придти в банк, а первод сделать нужно. Что можно сделать?
Взять листочек с резервными кодами или резервный токен. В переводе на современные реалии описанная ситуация — это 'у меня банковская карта сломалась/потерялась, а я хочу расплатиться'. Что в этом случае делают?
muxa_ru
05.10.2021 13:53Это не карта и она не сломалась.
Человеку просто прямо сейчас надо получить доступ к работающему личному кабинету где лежат его деньги.Или отвезти отца в больницу, в жизни бывают разные ситуации
Kanut
05.10.2021 14:02Это не карта и она не сломалась.
Какая разница? У вас перестал работать "штатный" способ доступа. По хорошему в такой ситуации надо идти в банк и разбираться "вживую". Или по крайней мере использовать все те методы аутентификации которые вы использовали если открывали счёт удалённо.
Или отвезти отца в больницу, в жизни бывают разные ситуации
Ситуации бывают очень разные. Но ни один банк не обязан предоставлять вам удобный вариант выхода из абсолютно любой ситуации.
muxa_ru
05.10.2021 14:16Но ни один банк не обязан предоставлять вам удобный вариант выхода из абсолютно любой ситуации.
Кому и что будет предоставлять банк, решать ни мне и не Вам, а тем кто пишет скрипты для суппортов.
Если они решат, что им выгодней давать доступ по телефонному звонку и девичьей фамилии матери, чем смотреть как аудитория уходит в более клиенто-ориентированный банк, то они так и сделают.
Кстати, а в Вашем банке Вас заставили выбрать кодовое слово, по которому можно будет предоставлять Вам услуги по телефону?
Kanut
05.10.2021 14:23Кому и что будет предоставлять банк, решать ни мне и не Вам, а тем кто пишет скрипты для суппортов.
Во первых это не совсем так. Я как клиент могу "голосовать ногами" и тем самым влиять на банки. Кроме того есть ещё и законодательные вопросы, которые тоже оказывают на всё это дело заметное влияние. То есть например у меня в стране авторизацию по смс признали не особо безопасной на законодательном уровне. И если банк предлагает авторизацию по смс, то он несёт полную отвественность и обязан возмещать любой ущерб.
А во вторых выходы из абсолютно любой ситуации вам не предоставит ни один банк.
Если они решат, что им выгодней давать доступ по телефонному звонку и девичьей фамилии матери, чем смотреть как аудитория уходит в более клиенто-ориентированный банк, то они так и сделают.
До тех пор пока они берут на себя ответственность за возможные случаи мошенничества меня такой подход устраивает. Но в комментариях к данной статье скоее обсуждается ситуация когда банк предоствляет не особо адекватные способы авторизации, а в случае мошенничества спихивает всё на клиента.
Кстати, а в Вашем банке Вас заставили выбрать кодовое слово, по которому можно будет предоставлять Вам услуги по телефону?
Я вообще не уверен что мой банк предоставляет такую опцию. И подозреваю что она тоже признана не особо безопасной.
JerleShannara
06.10.2021 03:52Если вы сами не предусмотрели себе резервный источник денежных средств (см. «Кошелёк с наличными», «Карта другого банка», «Банка под кроватью»), то см. в гугл про админов, которые ещё не делают бэкапы. Ну или если это у вас случается второй раз — то поздравляю, вы ССЗБ.
Kanut
05.10.2021 08:39А если на смартфон завязаны ВСЕ факторы, то это "однофакторная" схема
Во первых даже это совсем не обязательно так. Банально биометрия и пароль это уже два фактора.
Во вторых есть варианты с дополнительными устройствами, которые не являются смартфонами.
И в третьих мне в общем-то не важно "сколькофакторная" у меня схема до тех пор пока мне это удобно, а банк готов брать на себя риски.
muxa_ru
05.10.2021 13:56+1> Банально биометрия
Да, Вы правы, есть такая возможность.
Кстати, может Вы ещё знаете в какое отделение нужно сходить ножками, чтобы подписать бумагу "нигде, никогда и не при каких обстоятельствах не авторизовать меня удалённо по биометрии"?
Kanut
05.10.2021 13:59Ну в моём банке абсолютно в любое :)
Или точнее когда вы подписываете договор вам надо выбрать хотите ли вы вообще иметь онлайн-банкинг и если да, то какой/какие из вариантов авторизации вам подходят. Ну и разные виды авторизации имеют разные лимиты на переводы/оплаты.
П.С. Ну и как бы биометрия сама по себе в одиночку не особо вариант, но на мой взгляд однозначно лучше чем смски в качестве второго или третьего фактора.
itsoft Автор
04.10.2021 20:33Ну так мошенники поставят их за вас, предварительно купив ваши персональные данные и выписку по последним операциям.
muxa_ru
04.10.2021 22:46Конечно поставят. И будут делать это до тех пор, пока будет такая возможность.
То есть, проблема в самом факте существования этих приложений, а не в том, сколько Вы выдумаете гипотетических преград для мошенников.
Просто потому, что Вы выдумываете гипотетическую преграду работающую при условии "топай в банк", а это условие не будет соблюдено.
Для того, чтобы в этом убедиться, попробуйте убедить вот этого человека в том что он должен ходить ножками в банк - https://habr.com/ru/company/itsoft/blog/581154/comments/#comment_23552598 .
FedorovDimulya
04.10.2021 15:45Некоторые операторы предлагают виртуальные (дополнительные) мобильные номера. Главное не потерять контроль над таким номером
Когда насоздавал сложных паролей и забыл
itsoft Автор
04.10.2021 15:46Это всё по желанию. Не хотите - пользуйтесь одним паролем на все сервисы. Жизнь потом сама может объяснит. А может и нет.
KarazeyAndrey
04.10.2021 16:40+2Введение доп проверок банально уменьшает прибыль бизнеса. Просто потому что любая до проверка отсечет часть клиентов. Для последнего клиента введение 3дс пейментов для сайнапа стоило 10% конверсии (или переводя в абсолютные цифры - миллионы баксов в год). Просто потому что платеж с доп запросом на пин (или смс) сложнее чем платеж без оного.
itsoft Автор
04.10.2021 20:34И сейчас почти везде подтверждение платежа смс-кодом при оплате в инете. И как-то все смирились.
AlexeyK77
07.10.2021 12:12уже нет. Именно для этого бизнесмены, что бы не парится безопансостью придумали 3dsec v2.0. Если в первой версии каждый платеж в независимости от суммы должен был подтверждаться кодом, то во второй версии - далеко не каждый, а только те, которые банк решит что они "рисковые". Понятие рисковости - внутренняя кухня банка.
Но смысл и глобальная тенденция в мире финансов такова - F*CK SECURITY! И именно поэтому никто для нескольких параноиков не будет делать повышенную безопасность. Лично мне, как параноику эта ситуация предельно не нравится, но такова реальность :(DistortNeo
07.10.2021 13:49+1Но в сочетании с zero liability это, на самом деле, хорошо. Причина простая: ущерб от мошенников меньше, чем упущенная выгода от использования сложных схем обеспечения безопасности.
navion
17.10.2021 14:37В России своеборазное понимание этого термина. Например, работники Альфа-Банка обманом затягивают сроки принятия заявки, чтобы клиент не получил возмещение.
Popadanec
17.10.2021 15:34После такого зелёный банк уже не смотрится так плохо. Как минимум не хуже.
А онлайн перевод с кредитной карты и вовсе эпичен.
maldalik
04.10.2021 17:56+1Мне кажется это решается проще. Вы еж сами пишите что банки устраивает что у клиента увели деньги, он все равно проплатит ему все+процент. Так и поменять ситуацию тут - по моему заявлению банк автоматом возвращает мне мои деньги, и только потом разбирается что там и как. Если я вру - доказывает и трясет с меня +штраф. Нет - это проблемы найти мошенников и вернуть деньги. И поверьте тогда сразу все наладится, банки начнут искать решения и скорее всего найдут.
Exclipt
04.10.2021 23:16+1Это логично, если вас обчистили, перевыпустив сим-карту, а если вы сами сообщили по телефону пароль из СМС, то с какого бы перепуга банк должен страдать бесплатно?
maldalik
05.10.2021 02:45+1Ну пишут же люди что в Европе такой проблемы нет. Значит есть решения, но банки текущая ситуация устраивает.
Protos
04.10.2021 19:17Заставить ОПСОСов бесплатно уведомлять о подозрительном звонке, например, путем публикации тако базы сервисам проверки входящих звонков в операционной системе
Popadanec
04.10.2021 21:17Я установил(в т.ч. и родителям) гугловскую звонилку, там есть отсекатель звонков мошенников/спамеров. Уже полгода наверное наслаждаюсь тишиной. Только иногда вижу их в списке пропущенных.
buldo
04.10.2021 21:16+1Личная статистика нерепрезентативна, но всё же у меня ни разу не пытались увести деньги техническими способами, а только соц инженерией. А если работает соц инженерия, то уже без разницы какие технические средства.
gecube
04.10.2021 21:42Реклама VDS - не пройдет. Это точно так же недоверенный ресурс, на мощностях третьей стороны, с непонятными политиками доступа.
fail2ban - вообще говнина, простите, никогда не забуду, как я вляпался с ним и астериском, когда попросту в f2b не работал multiport бан. И это был признанный issue. Не, нафиг, такой софт. Надо защищаться по-серьезному, а не это вот все
s_batalov
05.10.2021 12:02+2И f2b и астериск - решения бесплатные, но есть и аналоги, которые за деньги позволят (вероятно) в подобные ситуации не попадать. О проблеме, которую вы описали было известно еще в 2015 году и ее давно исправили: https://github.com/fail2ban/fail2ban/issues/1092
kspshnik
05.10.2021 01:03+7В США вопрос решается проще: если клиент заявил о мошенничестве, банк обязан возместить всё и сразу. А потом уже самостоятельно работать с правоохранителям, ловить мошенников и т.п. Это установлено на законодательном уровне.
И банки со-овсем по другому относятся к вопросу.vis_inet
05.10.2021 13:17И это единственно правильное решение.
Т.к. у "банка + полиции" гораздо больше возможностей в поиске причин мошенничеств.
lomalkin
05.10.2021 03:33+3> Если вы знаете банк, который использует дополнительные степени защиты, то пишите в комментарии, желательно со ссылкой на страницу банка, где указана данная информация.
Банк «Санкт-Петербург»:
— Программный генератор кодов (Google authenticator) — бесплатно (правда только как доп альтернатива, а не замена смс, (емнип подтверждение по смс нельзя отключить). Это для физиков, а для юриков еще какие-то аппаратные токены есть, не вникал www.bspb.ru/business/distant-services/protection
— Можно настроить уведомления на почту, вместо смс — дешевле, чем смс, но платно.
Банк «Авангард»:
— Есть карта с дисплеем для подтверждения операций. www.avangard.ru/rus/private/cards/card_with_displayitsoft Автор
05.10.2021 09:52+1Вот это и была цель статьи столкнуть банки, чтобы они начали движение в нужном направлении. Если есть 1-2 банка, то и остальные начнут подтягиваться. Как с кэшбэком. Когда-то он был только в одном банке, а потом почти у всех.
Уведомление на почту платно?! Да они что там совсем кукой поехали?AlexeyK77
08.10.2021 10:16+2не столкнутся, т.к. банки осознанно отказались от более продвинутых средств защиты платежей в ритэйле (аппаратные брелки OTP). Посему возврат обратно скорее всего будет очень нескоро, к сожалению, текущая привзяка к телефону должна полностью себя дескредитировать в массовом порядке. Пока такое не наблюдается, текущая ситуация не изменится.
Посему самый действенный вариант для себя лично:
-отдельный телефон для банка, в отдельном аппарате, желательно даже кнопочном.
-привязка симки к паспорту и контракту, что бы ее перевыпуск через соц. инженерию стал невозможным (правда тут есть нюансы, т.к. телекомы жгут своей жадностью сводя безопасность симки ниже плинтуса).
-перейти на зарубежные банки, где аппаратные брелки - это норма.itsoft Автор
08.10.2021 10:19Если об этом не писать, не требовать, то под лежачий камень вода точно не течёт. Но если будут массовые требования, то банки начнут их удовлетворять.
vis_inet
08.10.2021 19:17телекомы жгут своей жадностью сводя безопасность симки ниже плинтуса)
Поясните, что это означает?
AlexeyK77
12.10.2021 11:16есть варианты обхода действующих процедур ради повыщения KPI и "клиентского экспириенса", но те кто в курсе, те в курсе, а распространять это в открытых источниках лучше не надо.
dve2003
05.10.2021 08:52+3Когда мошенничество угрожает интересам гос-ва(выпуск фальшивых денег) меры принимаются беспрецендентные. Отслеживаются все цепочки распространения, источники, причастные лица и т.д. Меры наказания за это самые жёсткие в уголовном праве всех стран. Если за мошенничества в банках клиенту будет немедленно возмещать ущерб гос-во из бюджета, а потом разбираться кто виноват: банк, сотовый оператор или кто-то ещё, я думаю процент мошенничества будет таким-же как процент изготовления фальшивых денег т.е. очень маленьким.
HiTechLetnach
05.10.2021 13:25+2Проблема есть но решения так себе - чего стоит только совет завести собственную VPSку для электронной почты - проще надо быть и к тебе потянуться люди :) Решения должны быть простыми и эффективным, без того что бы завел 10-ть паролей и если потерял хоть один - топай в банк :) Если СИМ карту поменял - да , иди , это правильно - большинство за эту идею в опросе и проголосовало. Полумера в этом вопросе конечно блокировка СМС на 24 часа при получении новой карты которую предлагает Мегафон- защита тоже не очень, но в принципе тоже работает
Anrikigai
05.10.2021 21:25+1Спасибо за табличку со сравнением премиальных услуг банков. Жаль, полтора года назад о ней не знал, когда выбирал новый с PriorityPass/LoungeKey вместо Открытия.
fadeinmad
07.10.2021 10:20+1Чем больше ключей и чем их сложность выше, тем сложнее пользователю их запомнить. Чем сложнее пользователю запомнить, тем выше вероятность, что он попытается облегчить себе жизни: записать на бумажку, сохранить в телефоне и так далее.
Поэтому можно придумать сколь угодно независимых ключей для доступа, но вся эта система с треском разобьется о бабушку, которая не сможет запомнить пароль сложнее, чем имя внучки + дата рождения.
К решению проблем безопасности нужно подходить с двух сторон: со стороны профессиональной (те самые варианты ключей и их независимость) и со стороны простого пользователя. А сделать простой, но безопасный ключ - весьма нетривиальная задача.
А с вашим десятком независимых ключей, выбор которых зависит от дня недели, ретроградного меркурия и луны в козероге, от услуг таких банков пользователи начнут уходить ибо "сложно, ничего не понятно".
itsoft Автор
07.10.2021 10:34-2Уже много раз повторено — ОПЦИОНАЛЬНО! ПО ЖЕЛАНИЮ!
Вам не надо, работайте как есть. А вон голосовалка, так куча людей проголосовало. Вполне грамотных и сознательных. И они хотят, чтобы им по их желанию были доступны дополнительные ключи.
Почему вы хотите решать за других как им будет лучше?fadeinmad
07.10.2021 11:01+2Во-первых, в статье я, к сожалению, не заметил указания, что эта система должна предоставляться по желанию.
Во-вторых, лично я выбрал бы усложнение. Частично я с вами согласен. Но лишь частично.
В-третьих, с такой системой (если убрать незамеченное мной "по желанию") за других решаете как раз вы.
И последнее. Даже среди грамотно подкованных людей существует один недостаток, выражающийся в банальной фразе: "если это сложно и необязательно, то использоваться не будет".
Поэтому таких, кто реально (не в голосовании, а на практике) выберет такую сложную систему, а после некоторого времени ее использования с нее не уйдет, будет минимум. И именно поэтому банки не будут это делать, как их не заставляй.
Работать ради 0.1% рынка (цифру взял для из головы для красного слова, но не думаю, что в реале наберется хотя бы 5-10%) никто не станет. Особенно в такой неповоротливой сфере как банки.
P.S. однако мне понравился вот этот комментарий:
В США вопрос решается проще: если клиент заявил о мошенничестве, банк обязан возместить всё и сразу. А потом уже самостоятельно работать с правоохранителям, ловить мошенников и т.п. Это установлено на законодательном уровне.И банки со-овсем по другому относятся к вопросу.
Вот это похоже на один из реальных способов простимулировать банки сделать хоть что-то. И именно так на них и стоит воздействовать.
Golex
Десять пунктов в конце дав раза два раз сдублированы.
Коль уже пишу камент.
Мошенники чаще взламывают мозг, чем авторизацию. Мозг банк укрепит не может. Государство тоже. Можно только учесть среднюю безмозглость, а это сложнее двухфакторка.
Кстати, СДПВ "Роскомпозор" и "Навальный" как раз символизируют процессы учета безмозглости населения государством. А вы на них в обиде с одной стороны, а с другой предлагаете телефонные разговоры подслушивать для выявления мошенников. Парадокс получается.
13werwolf13
роскомпозор это квинтесенция глупости и безграмотности, имхо тут уже кровати двигать поздно, тут уже надо и девочек менять и мамочек.. надеюсь отсылку к бородатому анекдоту не придётся объяснять.
Golex
Я, как регулярной пользователь этого борделя, имею более богатую картину его жизни и подозреваю что другие бордели просто в виду рода схожести деятельности отличаются лишь цветом стен. Далее эту дискуссию поддерживать не готов.
Роскомпозор защищать не буду, но он вполне включен более богатую картину жизни этого борделя.
ClearAirTurbulence
Его не менять надо, а закрывать.
alexey_c
А как вообще разблокировка роскомпозора повлияет на безопасность банков?
Посыл в статье увидел, а ответа не нашел.
mrBarabas
Смысл в том, что ресурсы, которые использует РКН на борьбу с ветряными мельницами направить на то, что реально будет нужно и полезно - например на выявление мошенников и т.п.
shaggyone
Нужен какой то простой механизм выдачи и учёта таких уникальных имён.
А так, в большинстве можно и без своего сервера обойтись: ivan.ivanovich+honneypot-id@gмыло.com. Главное сделать фильтры на чистую почту и на несуществующие honneypot-id.
itsoft Автор
Со списками какие-то глюки. Сначала из гугл-докс они не вставились. Потом повторно вставил. Сейчас убрал дубль.
2. Парадокса нет. Почтовики типп gmail уже были пойманы на анализе переписки для рекламных целей. Но суд не признал это нарушением тайны переписки, так как это компьютер делал и сама переписка не разглашалась. Речь идёт про анализ автоматический. Если с вашего номера повалится трафик в режиме 24х7 с прозвонами и ключевыми фразами, то это повод дальше проанализировать кому номер принадлежит. Затем уже получение разрешения суда на прослушку. И это же может работать против СПАМ-звонков. А ваши телефонные переговоры и так пишутся и слушаются. Поэтому автоматическому анализу и выявлению - да, персональной прослушке - нет.