Comments 396
Десять пунктов в конце дав раза два раз сдублированы.
Коль уже пишу камент.
Мошенники чаще взламывают мозг, чем авторизацию. Мозг банк укрепит не может. Государство тоже. Можно только учесть среднюю безмозглость, а это сложнее двухфакторка.
Кстати, СДПВ "Роскомпозор" и "Навальный" как раз символизируют процессы учета безмозглости населения государством. А вы на них в обиде с одной стороны, а с другой предлагаете телефонные разговоры подслушивать для выявления мошенников. Парадокс получается.
роскомпозор это квинтесенция глупости и безграмотности, имхо тут уже кровати двигать поздно, тут уже надо и девочек менять и мамочек.. надеюсь отсылку к бородатому анекдоту не придётся объяснять.
Я, как регулярной пользователь этого борделя, имею более богатую картину его жизни и подозреваю что другие бордели просто в виду рода схожести деятельности отличаются лишь цветом стен. Далее эту дискуссию поддерживать не готов.
Роскомпозор защищать не буду, но он вполне включен более богатую картину жизни этого борделя.
А как вообще разблокировка роскомпозора повлияет на безопасность банков?
Посыл в статье увидел, а ответа не нашел.
Со списками какие-то глюки. Сначала из гугл-докс они не вставились. Потом повторно вставил. Сейчас убрал дубль.
2. Парадокса нет. Почтовики типп gmail уже были пойманы на анализе переписки для рекламных целей. Но суд не признал это нарушением тайны переписки, так как это компьютер делал и сама переписка не разглашалась. Речь идёт про анализ автоматический. Если с вашего номера повалится трафик в режиме 24х7 с прозвонами и ключевыми фразами, то это повод дальше проанализировать кому номер принадлежит. Затем уже получение разрешения суда на прослушку. И это же может работать против СПАМ-звонков. А ваши телефонные переговоры и так пишутся и слушаются. Поэтому автоматическому анализу и выявлению - да, персональной прослушке - нет.
предлагаете телефонные разговоры подслушивать для выявления мошенников
они уже подслушивают, предлагается чтобы данная власть использовалась по назначению. А вообще тут и подслушивать не нужно, контроль коллцентров нужен, а то прям сидят такие операторы 2021 году и не видят откуда бешеное количество звонков идет постоянно
По закону Яровой, только хранить надо и то это такие деньги что годовую прибыль перебивает. А если ещё и анализировать, то ОПОСАМ в три раза надо цены поднять.
ФБР как то призналась что тотальная слежка не эффективна в виду слишком большого объёма данных и сложности анализа разговора(начиная от банальной подмены слов/терминов). Плюс шифрование полным ходом наступает и даже имея бекдоры, эффективно работать не получается. Максимум точечные проверки подозрительных личностей.
Телефонные звонки не надо расшифровывать. Шифруется только радиоканал, а в инфраструктуре ОПСОСа все ходит в открытую.
Да, все звонки конвертировать тут конечно мощности не хватит никакой, вот бы была возможность как-то по каким-то простым признакам отличить номер вероятного мошеннического колл-центра от номера "обычного" человека и прицельно анализировать только "подозрительные" номера... По количеству исходящих звонков в день на разные номера, к примеру.
Жалко что такой возможности нету, не правда ли?
И ещё есть куча факторов. На кого номер оформлен. Что за юрлицо, какие налоги платит. Всё делается. Желание нужно иметь.
Можно просто открыть горячую линию, куда можно жаловаться, если абонент подозревает что звонили мошенники. Порог 5-7 жалоб на один и тот же номер и уже можно начинать разбирательство.
Вот именно. Сейчас такие зовнки как Спам помечаю (а не только блкирую), а можно было бы именно как моженнические.
Ну и как несколько человек именно на мошенничество с номера поажловались, начинать разбирательства.
Неужто серии звонков одтинаково начинающихся со "звонит следователь...." недостаточно, чтобы "запеленговать", где сидит владелец (дажэе если номер подделывался)?
Было бы желание...
Думаете, они каждый звонок с нового номера совершают? Причем совершенно произвольного (не из пула своего оператора и т.п.)?
Мне кажется, если бы его блокировали после 20 звонков, не давая обсзвонить тысячу, уже серьезно затруднило бы работу им. (не у меня в смартфоне он помечался бы спамом, а вообще ни до кого, даже до обычных звонилок не доходил бы).
А там можно дойти и до блокировки операторов, уличенных в значительном количестве мошеннических звонков, да еще и с подменой номера. Все лучше, чем блокировать целиком Linkedin или Twitter..
Мозги можно тренировать, критическое мышление — развивать, но для авторитарных властей это немного в ногу себе стрелять. )
Вы как-то свое мнение за единственно верное выдаете, хотя отлично понимаете (ведь понимаете?!), что мир не из вух красок состоит.
Где-то банк хочет, но не осилил, а где-то рук-во не жадное, но просто тупое.
Ну и еще, даже 2FA не спасет от тупости юзера, просто схемы изменятся. Это не аргумент против 2FA, а мысль, что думать нужно еще глубже.
Ну и еще, даже 2FA не спасет от тупости юзера, просто схемы изменятся. Это не аргумент против 2FA, а мысль, что думать нужно еще глубже.
Не первый комментарий, где вижу эту мысль. То что бронежилет не защищает от атомной бомбы, вовсе не означает что носить его не нужно. Пусть банки/государство сначала защитят добросовестных и адекватных людей от перевыпуска симкарт, а потом уже решают вопросы с мошенниками.
Аналогия с бронежилетом удачная получилась. Вы его постоянно носите? Думаю, что нет - это жутко неудобно...
Если бы вероятность получить огнестрельное ранение была такой же, как вероятность потерять деньги в результате мошенничества, мы бы наверное уже даже спали в бронежилетах.
Статистки Банка РФ: 20 тыс случаев незаконного вывода средств
Статистика МВД: 27 тыс. случаев ранения (конечно тут и ножевые)
Выводов, может и 20 тыс. (ссылку, откуда статистика взята, хорошо бы узнать), но:
Обзор операция, совершенных без согласия клиентов финансовых организаций за 2020 год(Сайт Центробанка, PDF)
Страница 6:
Объем всех операций, совершенных без согласия клиента с использованием ЭСП, в 2020 году составил 8757,2 млн рублей. Количество таких операций – 770 075 единиц.
Чуть ниже:
За 2020 год доля операций без согласия клиента в общем объеме операций по переводу денежных средств составила 0,00117% (в 2019 году – 0,00089%). Указанные значения не превышают установленный Банком России целевой показатель доли таких операций в общем объеме операций, совершенных с использованием платежных карт. Этот показатель установлен на уровне 0,005%.
Ну и вообще весь отчет полезен для прочтения.
На сколько я понимаю, телефонное мошенничество туда не попадает, т.к. сообщив код из СМС клиент дает согласие на проведение операции. Это позиция банков и судов.
Т.е. 20 тыс это редкие счастливцы которым удалось доказать что деньги ушли без их согласия. Какие-нибудь крупные чиновники из силовых ведомств и т.п.
Поправьте, пожалуйста, если я не прав.
Вы не учитываете покушения на мошенничество. Они не регистрируются в отличие от покушений на убийство когда стреляли и промазали.
Именно.
А после того, как об одном банке из ТОП-5 стало появляться слишком много совершенно трэшевых историй о завладении средствами мошенниками, я оттуда ушёл после 10+ лет клиентства.
Справедливости ради, они лично мне тоже успели навредить, и хоть (пока ещё) не финансово + у меня оставалось немного лояльности к ним, но неиллюзорная возможность потерять все дебетовые средства и плюсом попасть на кредитные даже без своего участия стала последней каплей.
Что касается банков — так или иначе мошенники разговаривали почти со всем моим ближайшим окружением, с некоторыми даже успешно.
Я снял с неё платье,
А под платьем бронежилет...
(с) Сплин
А вы видно невнимательно прочитали. В статье не раз говорится, что хотя бы по желанию. Не всем подряд и бесплатно аппаратный токен давать, но если человек хочет, то банк должен дать. Пусть за деньги дополнительные.
От тупости не спасает, а вот от дистанционной смены номера спасает. И от изготовления сим-карты спасает. И от перехвата или недоставки sms спасает.
Опыт пользования банком ING в небольшой европейской стране:
Карточки мастеркард чипованные - уже много лет.
Доступ в онлайн-банк двумя возможноми аутентификаторами:
железный кард-ридер (выдается, заменяется бесплатно, у всех кого я знаю их клиентов этого банка дома просто залежи этих ридеров)
через 2FA приложение на телефоне, для регистрации в котором нужно первоначально считать электронное ID
Никаких других вариантов нет. Т.о. банк не использует ваш номер мобильного при авторизации. Совсем.
Онлайн-платежи (кроме супер доверенных марчантов вроде Amazon, Uber и т.п.) тоже нужно подтверждать через кардридер. (MasterCard 3d-secure). Это всё не ознчает что всё вот прямо супербезопасно, т.к. есть нюансы с бесконтактными платежами, но, в целом, не плохо.
Про "бабушек" - либо научились (не так то и сложно), либо с пачкой бумажных счетов ходят в отделение - там или операционисты, или специальные машины для автоматического распознавания счетов, выполненных по специальному стандарту оформления. Плюс, распространены доверенности на автосписание средств по договорам.
Для защиты от социальной инженерии тут банки регулярно провдят информационные кампании, главное сообщение которых - "Банк всегда сначала блокирует потом информирует. Никогда не наоборот."
Онлайн-платежи (кроме супер доверенных марчантов вроде Amazon, Uber и т.п.) тоже нужно подтверждать через кардридер. (MasterCard 3d-secure).
Позанудствую, но 3D Secure просит не банк, а продавец. Т.е. Amazon не просит не потому что он такой доверенный весь из себя, а потому что он для удобства клиентов готов сам нести риски фрода. Остальным - гораздо проще (и дешевле) заюзать 3D Secure.
Это справедливо, но справедливо и другое - им разрешают (банки и платежные системы, да и регуляторы) нести эти самые риски. Условный ноунейм даже если и захочет нести такие риски (и заплатить за это) - кто ж ему даст. Т.е. это именно вопрос доверия (и очень специфических договорных отношений) между мерчантом, банками и регулятором (читай государством)
Тупость это не бинарное свойство есть/нет. Банки всё же активно способствуют.
Коды сотруднику никогда сообщать нельзя, но вот этот код надо сообщить, банк никогда не звонит, но если что-то надо впарить клиенту, то звонит и так далее - фиг разберешь какие там сегодня правила, исключения и исключения из исключений.
Свою фамилию, дату рождения и даже скан паспорта я не обязан хранить в секрете и имею полное право разместить в профиле вконтактика.
В ВТБ можно взять телефон человека вбить егона сайте и три раза введя неправильный пароль заблокировать ему доступ в ЛК. Как я, как клиент банка, могу на это повлиять? В чем тут моя тупость?
Ситуация когда по одной СМС можно обобрать клиента до нитки и еще кредитов взять на несколько миллионов - совершенно не нормальная.
Что это вообще за привязка к услуге сторонней коммерческой организации? Может я вообще не хочу пользоваться сотовой связью?
В Тинькове действительно бывает код, который нужно сообщить оператору. Например, чтобы подвтердить личность, когда опратился к ним в чате или по телефону. Ну так в этих СМС явно и указано: "Для решения вашего вопроса сообщите сотруднику код ХХХ". Во всех остальных случаях в каждой СМС: "Никому не говорите код...". И даже не только код, но и для какой он цели (подтверждение платежа на сумму, перевод на другой счет...)
В чем путаница-то? Если на СМС "Никому не говорите код для перевода всех ваших денег черти-куда" клиент этоот код сообщает мошеннику - ну тут странно обвинять банк, что он плохо организовал защиту..
Пуши вместо СМС тоже можно выбрать. Тогда при невозможности доставить пуш SMS уйдет.
Про "заменил SIM-карту - получил доступ к кабинету" тоже очень странно читать. СМС не достаточно, пароль есть. Когда я забыл пароль от кабинета, не то что через СМС не получилось, а даже и по звонку. "Нет, восстановить пароль нельзя, создайте нового пользователя для доступа к клиент-банку и пройдите сложную процедуру из адовой кучи вопросов и анализа голоса".
Для решения вашего вопроса сообщите сотруднику код ХХХ
Вот эта формулировка вообще прекрасна. Я думал "мой вопрос" - исправление ошибки в паспортных данных, а на самом деле сотрудник только что привязал свой смартфон к моему счету. На банки.ру подобные сценарии уже упоминались как реализованные.
Кстати, почему я должен следовать инструкциям в СМС? В каком законе/договоре это написано? Как я определю подлинность СМС? Может это тоже какой-то хитрый развод? Завтра вам придет СМС: "Войдите в приложение банка и передайте смартфон сотруднику банка, он ожидает Вас у входной двери". Так и сделаете?
В любом случае, я не собираюсь превращать смартфон в чемодан со всеми своими деньгами. Может банк думает что я должен теперь ячейку арендовать для смартфона? Смартфон у меня для котиков и тиктока, а завтра я его любовнице подарю вместе с симкой и номером. При чем тут вообще какой-то дебильный банк со своими СМСками?
СМС не достаточно, пароль есть.
В куче банков приложение привязывается с помощью единственной СМС. А далее уже всё завязано на приложение и пуши.
Думаете ОПСОС будет нести ответственность если отправит Вашу СМС другому абоненту "по ошибке"? Ничего подобного. Максимум он вам вернет стоимость не доставленной бесплатной входящей СМС. Это если Вам каким-то чудом удастся доказать что СМС была доставлена не по адресу.
Я могу контролировать 43 (сорок три) приложения имеющих доступ к СМС на своём смартфоне со всеми этими гигабайтами индийского кода и китайских облаков? И еще 2 раза по столько же сотрудников опсоса, шлюза и еще, не к ночи будет сказано, чекистов с их сормом?
Я думал "мой вопрос" - исправление ошибки в паспортных данных, а на самом деле сотрудник только что привязал свой смартфон к моему счету.
Вы считаете, что сотрудник банка, с которым вы общаетесь, самостоятельно пишет текст СМС и код в нее? Тогда зачем ему получать этот код от вас?
Если код вместе с текстом формирует система, чтобы предоставить по этому коду дополнительные права сотруднику, то почему вдруг система сформировала СМС с текстом "сообщите код сотруднику", а права сотруднику предоставила на привязку ЕГО номера телефона?
Я уж молчу, что если сотрудник недобросовестный и настолько отмороженный, что сделает что-то под запись всех разговоров, это вскроется моментально. И вряд ли банк будет его отмазывать.
Если же вы всерьез рассматриваете ситуацию, что банк специально такое прокручивает (шлет вам СМС с кодом "сообщите сотруднику", чтобы сотрудник привязал свой смартфон) - зачем банку такие сложности?
Как я определю подлинность СМС? Может это тоже какой-то хитрый развод?
Если что-то выглядит как утка, плавает как утка и крякает как утка, это, вероятно, и есть утка.
Если я оборатился в банк для решения вопроса, и мне пришла СМС "сообщите этот код сотруднику", скорее всего это подлинная СМС.
Но если даже СМС от мошенника, в чем проблема сообщить код сотруднику (я писал в чат банка или звонил по телефону банка)?
И повторюсь: злоумышленник может подделать только номер, но не текст с кодом. Если написано "сообщите код сотруднику" и сам код, значит эта СМС инициирована банком и предполагает сообщение кода сотруднику банка. Либо же она не содержит секретного кода (иначе зачем злоумышленнику спрашивать у меня то, что он написал сам).
Или у вас есть идея, как злоумышленник может отправить вам СМС с кодом от "привзяки к личному кабинету" или "перевода", но с текстом "сообщите код сотруднику"?
Разве что перехватив SMS по дороге и подменив текст. Но тогда зачем мне его вообще слать... И да, пуши в этом плане надежнее.
Завтра вам придет СМС: "Войдите в приложение банка и передайте смартфон сотруднику банка, он ожидает Вас у входной двери"
Если ни с того, ни с сего мне придет такая СМС, я сообщу о ней в банк, и поинтересуюсь подробностями.
Смартфон у меня для котиков и тиктока, а завтра я его любовнице подарю вместе с симкой и номером.
Вот именно после таких действий и появляются душераздирающие истории о том, как "банк крадет деньги вкладчиков"
Осталось понять только, для чего весь этот цирк с SMS-ками нужен. Единственное, что я могу придумать - это экономят на ридерах карт (раньше в подобных ситуациях мой банк просто просил карточку вставить).
Вот именно после таких действий и появляются душераздирающие истории о том, как "банк крадет деньги вкладчиков"
Со смарфоном так обращаются немаленькое количество народа. Ибо не специальная железка исключительно для платежей (как банковская карта), а предмет общего назначения. И это надо учитывать при разработке систем безопасности, а не твердить впустую какие-то требования, которые многие не выполняют. Есть большое желание воспринимать подобное как как то, что это специально делается, чтобы потом отмазываться по 'клиент правила нарушил'.
Вы считаете, что сотрудник банка, с которым вы общаетесь, самостоятельно пишет текст СМС и код в нее? Тогда зачем ему получать этот код от вас?
Што?
Я считаю что текст смс вообще ничего не говорит о той операции которую реально выполняет сотрудник. Система такую смс присылает на любое действие сотрудника. Сотрудник скажет мне что якобы "тут ошибка, нужно внести исправления вот вам бланк заявления и код мне скажите", а сам в это время инициирует привязку приложения к своему смартфону. И СМСку я получу на привязку приложения. Но т.к. в ней не написано какие действия выполняет сотрудник я буду продолжать думать что это изменение паспортных данных.
Вина банка тут в тупом тексте СМС, а деньги воровать естественно будет не банк, а конкретный сотрудник. Хотя возможны варианты.
И это не мои фантазии, а реальные случаи (не точно, но с огромной вероятностью).
Если я оборатился в банк для решения вопроса, и мне пришла СМС "сообщите этот код сотруднику", скорее всего это подлинная СМС.
см. выше.
Если ни с того, ни с сего мне придет такая СМС, я сообщу о ней в банк, и поинтересуюсь подробностями.
Вы же выше мне предлагали выполнять инструкции из СМС? Или не все надо выполнять? Вот об этом я и писал в начале ветки.
Вот именно после таких действий и появляются душераздирающие истории о том, как "банк крадет деньги вкладчиков"
Мой смартфон, что хочу, то и делаю. Что за ограничения? На основании чего? Если у меня задрипаная карточка дебильного банка, я теперь не могу в инстаграм любовницы зайти? Нафига мне такой банк? ...если бы они абсолютно все не были такими.
Вы хотя бы можете сформулировать эти ограничения четко? Что можно делать, а что нельзя?
Сотрудник скажет мне что якобы "тут ошибка, нужно внести исправления вот вам бланк заявления и код мне скажите", а сам в это время инициирует привязку приложения к своему смартфону.
Мне трудно представить, что в интерфейсе системы заложена штатная функция привязки телефона сотрудника к счету клиента. Специальная дополнительная функция разработана.
Если же вы думаете, что код из этой СМС открывает сотрдунику колл-центра/поддержки прямой доступк к базе, где он может творить все, что угодно, это не так :)
деньги воровать естественно будет не банк, а конкретный сотрудник. Хотя возможны варианты.
Да, по последней фразе видно, что вы ожидаете от банка намеренную реализацию функции привязки телефона сотрудника к вашему аккаунту.
Тут мне сказать нечего, я не держу деньги в банке, вызывающем у меня столь серьзеные опасения.
Мне трудно представить
Мне трудно представить, что можно украсть все сбережения человека да еще на несколько лет вперед по одной СМС. Но это так.
Где я могу ознакомиться со списком функций доступных сотруднику банка по коду из СМС? Официальный список который я смогу предъявить в суде. Чтобы в том же суде мне потом не говорили что я сам дал согласие, как это бывает обычно. Ладно, я в суде скажу что Вам было сложно представить. Надеюсь, суд примет этот аргумент.
не держу деньги в банке, вызывающем у меня столь серьзеные опасения.
А то, что все деньги плюс кредитный лимит можно угнать по одной смс, к которой имеет доступ не ограниченный круг людей, Вас не беспокоит? Завидую!
Не очень понимаю, кого вы включили в неограниченный круг лиц, имеющих доступ к моим СМС. Сотрудников органов через СОРМ?
В целом да, не беспокоит. По крайней мере пока я не вижу конкретного сценария, при котором достаточно сгенерировать какой-то запрос и перехватить одну СМС для упомянутых ужасов.
Все сценарии подразумевают целевую атаку конкретно на меня, завязываются на знание номеров карт, которые я нигде не свечу (расплачиваюсь смартфоном) и прочие сложности.
А хищения денежных средств происходят в основном с использованием банального фишинга и социальной инженерией. Для сложных и дорогостоящих целевых атак есть мишени поинтереснее.
Не очень понимаю, кого вы включили в неограниченный круг лиц, имеющих доступ к моим СМС. Сотрудников органов через СОРМ?
Программистов приложений. Какой-нибудь предустановленный яндекс или меил ру который ни удалить, ни права урезать.
Вам виднее какое ПО у Вас установлено.
По сетям обсоса СМС передается открыто. Плюс шлюз/агрегатор.
Завтра ваш тиньков сделает логином номер телефона как это уже сделал втб и вам не скажет. Для Вас уже в этой теме стало неожиданностью, что можно восстановить пароль по одной СМС.
То что сегодня случаи перехвата СМС не являются массовыми не значит, что так будет всегда. Технология не защищенная by design. И Вы (а равно - я) можете стать первыми кому "повезёт".
Для Вас уже в этой теме стало неожиданностью, что можно восстановить пароль по одной СМС
Ссылочку не приведете?
Там, где я "удивлялся" такому, в итоге как раз подтвердилось, что одной SMS не достаточно. Нужно еще и полный номер карты указать, который шлюзам/агрегаторам получить не так просто.
А для условного "силовика", имеющего доступ и к СМС, и к базам налоговой и т.п. есть цели поинтереснее. Хотя о чем это я? В налоговой ведь тоже номеров моих карт/договоров нет. Только счета. Но по ним не восстанавливается.
Я не говорю, что в полной безопасности. Разумеется, могут сойтись звезды, что и трех-четырех-пяти факторов не хватит. Но в реальности более вероятны другие способы изъятия вплоть до физических. Только причем тут банк, если я сам все сдал добровольно и с песней.
Я не говорю, что в полной безопасности. Разумеется, могут сойтись звезды, что и трех-четырех-пяти факторов не хватит.
В реальности у вас 0,5 фактора - это СМС передаваемая по открытым каналам. Номер карты вообще не фактор, его могут срисовать в любом месте где Вы картой расплачиваетесь.
Я не расплачиваюсь картой. Я прикладываю смартфон. Теперь даже банкоматы это позволяют (хотя наличкой почти не пользуюсь)
Срисовавший карту тупо на кассе (ну вдруг) не знает телефон
Не уверен, что не требуется еще и login знать.
Пароль-то он сбросит, но по номеру можно зайти только для регистрации аккаунта. Старый мне удаляли по звонку.Есть еще куча механизмов антифрода, препятствующих выводу значительных сумм "внезапно".
Впрочем, мы фигней занимаемся. Достаточно уже. Просто повотрю основную свою мысль.
Если кто-то жалуется, что у него увели со счетов (из Тинькофф как минимум) все деньги, практически наверняка это из-за ошибки клиента (развели мошенники, украли родственники/близкие). А не потому, что банк не дал возможности защититься (не предусмотрел 2FA, неправильно имплементировал и прочее). Бывают экзотические случаи с недобросовестными сотрудниками, но гораздо реже. И решаются по другому.
А вот "подсмотреть номер карточки, сделать поддельную SIM..." если и бывает, то неизмеримо реже, да и наказывать за это надо не банк. И что там с компенсациями за украденные таким образом деньги со стороны салона/сотрудника, необоснованно выдавшего СИМ карту - это отдельная песня.
Впрочем, мы фигней занимаемся. Достаточно уже.
Согласен, все эти технические детали особого значения не имеют
Если кто-то жалуется, что у него увели со счетов (из Тинькофф как минимум) все деньги, практически наверняка это из-за ошибки клиента (развели мошенники, украли родственники/близкие).
Если таких случаев не один и не два, значит механизм неприемлем. Всё, это достаточное условие, кто виноват - даже не имеет значения.
А вот "подсмотреть номер карточки, сделать поддельную SIM..." если и бывает, то неизмеримо реже, да и наказывать за это надо не банк. И что там с компенсациями за украденные таким образом деньги со стороны салона/сотрудника, необоснованно выдавшего СИМ карту - это отдельная песня.
Может просто не надо пароли передавать по открытым каналам? Может не надо использовать услугу третьих лиц для этого не предназначенную? Нет? Ну я хотя бы попытался...
На самом деле это ровно один вариант, который называется “социальная инженерия” или проще телефонный развод.
Вот именно. Ну и как-же двухфакторная аутентификация спасет от, например, такого мошенничества: https://habr.com/ru/post/538794/ ?
Эта статья нудная и очень банальная. У меня это пукнт - послушать записи разговоров с мошенниками, ну и второй пункт ни с кем не разговаривать.
Тупых не спасёт, но у нас задача дать чувство уверенности для нетупых и просто поднять уровень безопасности.
Хотя даже тупых в какой-то степени спасёт. Потому что даже тупой будет иметь больше шансов.
Я года 4 назад поменял симку для поддержки 4G. Номер, понятное дело, остался прежним. Так у меня пропал доступ в Сбер Бизнес Онлайн. Оказывается они там проверяют уникальный номер SIM-карты, поэтому при замене надо подтвердить её либо написанием заявления в банке, либо второй учёткой для этого же личного кабинета.
В Альфе так же. Поменял симку, но, кажется, в банк не ходил, однако пришлось позвонить и через техподдержку активировать. По крайней мере запись голоса у них должна остаться.
Я однажды сменил телефон, и сразу же заменил симку - это давно хотел, но из-за ковида все не мог дойти.
И на сутки остался без мобильного банка, тк, как оказалось, и Би, и банк после смены симки и телефона вводят ограничения. Т.е. - хоть что-то, но есть.
В общем, меня бы устроило, чтобы еще с левых номеров мне не звонили «консультанты банка». И еще очень удивительно, когда консультант рассказывает сне про мои кредиты - явно где-то течет из банков.
Ах да, вот когда я при звонке в банк должен рассказать все мои ПД для авторизации… за это бы рукам надавать, да.
со спам- звонками очень выручает фильтр в штатной звонилке от гугла, на андроиде. Режет 90% звонков, а по смс результат еще лучше
когда консультант рассказывает сне про мои кредиты - явно где-то течет из банков
Это "БКИ" течёт. На такой случай лучше переспрашивать, к какому дебетовому продукту привязан кредит (у меня в разных банках - либо электронная карта, либо зарплатная, либо автомобильно-бонусная) - в БКИ этой информации нет.
Ещё очень популярный поворот диалога "С Вашей карты осуществляется перевод в Манты-Хинкальный край на 15 тыс. руб." - "А с которой из?" - в 90% случаев дальше нить разговора утрачивает связность...
Я пару раз такие звонки получал (не знаю, это часто или нет), с первыми поговорил, проверки логики ради, в стиле "какой банк? никаких ваших продуктов у меня у вас нет!" - чувак затупил и все повторял "как нет?"
А второму "сотруднику отдела безопасности" (который начал заливать, что "прямо сейчас вот кто-то на ваше имя берет кредит, это вы или нет?") я прямо сказал, что кредит не беру, а если банк это не может отследить, то это ваша недоработка, вы же безопасники. Вот второй обиделся, и начал прямо наезжать, что же я банк ввожу в заблуждение.
Ну и так - да, интересно, БКИ течет, о клиенте (прямо скажем - о комбинации "ФИО + телефон + банк, где кредит") кому-то что-то известно становится, и даже непонятно, как это прекратить и кто за это отвечает - и после этого гос-во обижается, когда граждане думают, как изобразить виртуалов? Правда, по факту, гос-ву пофиг на утечки, пофиг на виртуалов - но не пофиг на то, что граждане должны (налоги, воинская повинности и пр.).
Меня еще сервис от сбербанка бесит — пробивка Имени Отчества по номеру телефона (при переводе). Очень помогает мошенникам, а окрестные бабушки удивляются, "как же они узнали, как меня зовут?"
Аналогично в тинькофф - потребовалось списаться в мессенджере и созвониться голосом
Ага, автор ссылался при написании текста на старые статьи, уже пару лет если не больше в Тиньке это есть
Конечно жалуются. Кто способен признать, что облажался и слил секретные коды, не будет во все колокала бить.
Не получится у вас зарегистрировать клиент банк на новом аппарате с новой симкой, выпущенный на старый номер.
По меньшей мере, в ряде банков достаточно одной СМС.
На банки.ру была история. Получили дубликат симки в ларьке опсоса и слили бабло + кредит. Тоже обвиняли клиента пока не выяснилось что симку получили по поддельному паспорту, а потом с этим паспортом еще набрали кредитов в других банках. А был бы ларек без видеокамеры так клиент бы и остался виноват.
Хотя вернут ли ему деньги еще большой вопрос. Но хоть по кредитам скорее всего претензий не будет.
У меня в Телеграмме установлен пароль.
Даже если кто-то получит новую симку или сможет перхватить код (через СОРМ, что угодно), войти в мой аккуант Телеграма он не сможет.
С моим банк-клиентом то же самое. В этой ветке речь идет о Тинькофф, где получения кода категорически недостаточно, чтобы подключить клиент-бакн (ни с мобилки, ни из браузера)
Я могу согласиться, что наверняка есть банки, в которых смена СИМ карты не проверяется, а полный доступ ко всем счетам без ограничений предоставляется по единственной СМС.
Но остается лишь гадать о причинах, почему вы выбрали именно такой банк, сокрушаетесь о том, как в нем опасно обслуживаться, но категорически не желаете его сменить на один из многих других, где нельзя вас разорить одной СМС.
А пароль можно сменить имея смс.
Пароль нельзя сменить даже при общении с сотрудником.
Забыл - опаньки. Создавай новый аккаунт с новым паролем. Но это уже далеко не только СМС, а и голос, и много чего еще.
Если же вы про Телеграм - то аналогично. По СМС вы пароль не смените, не для того он создавался. Может быть через почту можно, не знаю. Но угрозы со стороны спецслужб, перехватывающих мои СМС и почту с зарубежного сервера Телеграм на зарубежный же почтовый сервер я для себя не рассматриваю.
(к сожалению) вы не правы. Пароль в Телеге сбросить можно, с полным удалением аккаунта, через обычный код в СМС, да. Но доступ к прошлой переписке получить таким образом нельзя.
Как это работает: при попытке восстановить пароль
— отправляется код на уже залогиненные устройства (если таковые есть)
— отправляется код на привязанный номер телефона через смс.
— при успешном вводе этого кода запрашивается пароль (который типа 2FA), но есть вариант «я не помню пароль». При его выборе будет предупреждение, что аккаунт будет удален и создан новый, если продолжить.
P.S. Предполагаю, что так сделано для возможность пользоваться Телеграмом именно тому, кто в данный момент обладает доступом к номеру телефона (пример: номер освободился у оператора и выдан другому человеку). Но почему нельзя было добавить хотя бы «период охлаждения» перед возможностью снести аккаунт, например в 24 часа — мне не понятно.
Еще раз: если кто-то, даже на короткое время, завладел вашим номером телефона — он может лишить вас всей переписки и контактов в Телеге за несколько минут, несмотря на включенную 2FA (и активные устройства с этим аккаунтом), но не сможет получить к ней доступ.
Насчет лишить меня старой переписки - да, согласен.
Но я даже не стал писать об уничтожении аккаунта, ибо не могу представить ситуацию, чтобы кто-то стал ради этого заморачиваться с получением поддельной СИМ карты.
Почитать - ну теоретически возможно. Хоть ничего секретного в переписке и нет (секретное автоматически удаляется по времени), это было бы неприятно. Но просто уничтожить, причем потом я доступ к аккаунту все равно восстановлю - это перебор.
Контакты? Вот тут вы меня на мысль натолкнули. Обычно я телефон добавляю в адресную книгу, синхронизируемую с Гуглом. Но, наверное, есть и такие, кто только в Телеграмме есть, особенно "секретные", к мому доступ только по имени (вообще без номера телефона). Они действительно потеряются.
Впрочем, с кем общаюсь, знаю по именам, найдутся. А просто по адресной книге обзвонить устаревшие контакты - маловероятно. Это, скорее, неудобство, чем серьезные потери.
Вы про Тинькофф? Какой новый аккаунт? А со старым что будет?
Да, я про Тинькофф. И я понимаю, о какой угрозще вы подумали.
Старый в архиве, но создать пользователя с тем же именем нельзя. Не "полное удаление" возможно потому что история хранится со сылками на тот аккаунт.
Поскольку телефон теперь тоже привязан к новому аккаунту, даже если я чудом вспомню пароль, зайти все равно не смогу.
Аналогично, если я новый аккаунт переведу на новый телефон, от старого откажусь, и этот старый номер через полгода попадет в чужие руки, это не даст возможности его новому владельцу получить доступ к моему старому аккаунту, к которому даже я сам с помощью поддержки банка не смог подключиться.
Я, возможно, чего-то не понимаю, но отсюда: (будем надеятся, что это действительно их сайт, а не какая-то подделка. EDIT: туплю, не их, но будем надеятся, что инструкция все-таки правильная.)
Введите привязанный номер телефона или адрес электронной почты на который был зарегистрирован аккаунт.
Нажмите кнопку «далее» и дождитесь когда на телефон или e-mail придет код подтверждения. (Такой подход делает вашу учетную запись защищенной и кроме вас никто не сможет восстановить пароль Тинькофф банк) В некоторых случаях смс идет до нескольких минут.
Впишите полученный код и нажмите кнопку Ок. На вновь открытой странице придумайте новый пароль для входа в личный кабинет Тинькофф банк. Заполнить нужно 2 поля одинаковыми паролями.
Процедура восстановления пароля закончена и теперь вы можете попробовать войти в интернет банк с новыми данными.
Т.е. имея на руках телефон, можно сменить пароль в личный кабинет банка именно как "пароль можно сменить имея смс.". Ну да, не в мобильное приложение, но разницы-то? Или у них с сайта ничего со счетами сделать нельзя?
https://www.otinkoffmobile.ru/ выглядит не похоже на официальный. Впрочем, он и не мошеннический.
Я описывал свой прошлый опыт (год-два назад). В то время "вход по телефону" был возможен только первый раз для регистрации аккаунта. Возможно поменяли процедуру.
Будет жаль, если кто-то здесь подтвердит, что они снизили безопасность, и теперь можно восстанавливать полный доступ по простой СМС. Это категорически неправильно.
Сообщение выше оставлю для демонстрации своей тупости. Вот инструкции с https://help.tinkoff.ru/:
---
Как восстановить пароль для входа в приложение Тинькофф или в личный кабинет на tinkoff.ru?
Если вы забыли код доступа для входа в приложение Тинькофф, нажмите «Выйти» в левом нижнем углу экрана.
Для повторного входа потребуется ввести номер телефона, который вы указывали при оформлении продуктов Тинькофф. На этот номер придет СМС с кодом. Затем вам нужно будет ввести пароль. Еще пароль потребуется, если вы три раза подряд ввели неверный код доступа в приложение.
Если не помните пароль, нажмите «Забыли?». Вам понадобится ввести или отсканировать номер карты, а затем указать новый пароль и четырехзначный код доступа.
Если вы забыли пароль для доступа в личный кабинет на tinkoff.ru, на странице входа нажмите «Забыли пароль?». Далее введите номер карты или договора. После этого на номер телефона, который вы использовали при оформлении продуктов Тинькофф, придет СМС с кодом. Введите этот код и придумайте новый пароль.
Помните, что логин и пароль для входа в личный кабинет и приложение одинаковые. Если изменить пароль для личного кабинета, он изменится и для приложения Тинькофф.
---
Ну хорошо, совсем чуть-чуть лучше (нужен телефон на руках и номер карты, который, в общем, ну ни разу ни секрет)
Пароль нельзя сменить даже при общении с сотрудником.
Забыл - опаньки. Создавай новый аккаунт с новым паролем. Но это уже далеко не только СМС, а и голос, и много чего еще.
При первой установке тоже голос? Который мошенники запишут при звонке? Мне теперь не только в инстаграм не ходить к любовнице, но и не разговаривать с ней? Жизнь без тинькова мне проще представить, чем жизнь без любовницы.
много чего еще
Чего именно?
Но остается лишь гадать о причинах, почему вы выбрали именно такой банк
Когда я заключал договор такой фигни не было. Тот же ВТБ добавил возможность логиниться по телефону уже сильно после. Если бы не СМС от мошенников, я бы об этом и не узнал.
мошенники запишут при звонке? Мне теперь не только в инстаграм не ходить к любовнице, но и не разговаривать с ней?
Извините, но мы здесь обсуждали противодействие мошенникам, а не почему вам любовница дорого обходится, и как банк должен это компенсировать.
Было интересно почитать, что у вас не только в банке мошенники, но и любовница мошеннически записывает ваш голос для снятия денег с вашего счета. Но тут мне нечего сказать, опыта борьбы с такими угрозами у меня нет.
До свидания.
Хорошо, если вас это смущает, я больше не буду упоминать любовницу.
Вы с кем-нибудь разговариваете по телефону вне доверенного круга? Доставкой пользуетесь, курьеры вам звонят? Если я Вам позвоню, Вы снимите трубку?
Вы вообще серьезно считаете, что образец голоса это какая-то проблема? Даже с определенными фразами.
Теперь если я завел карточку тинькова, мне всю жизнь оглядываться не может ли каждая моя произнесенная фраза быть использована в тинькове для авторизации?
Нет, ваша любовница сама по себе меня не смущает :)
Меня смущают ваши опасения, что она запишет ваш голос и использует его для нанесения вам ущерба.
И вообще, я не понимаю, о чем вы говорите без конкретики. Можно сценарий?
Например: Мошенник звонит в банк, прикидываясь мной. Просит о чем-то, скажем, привязать другой номер телефона. В нужный момент подставляет записанную фразу "Да" или какую-то иную...
В какой-то степени вы, конечно, правы. Надиктовывать направо и налево всяким курьерам "Здравствуйте, я такой-то, давайте привяжем к моему счету новый номер телефона <диктуете телефон мошенника>" действительно не стоит.
Например: Мошенник звонит в банк, прикидываясь мной. Просит о чем-то, скажем, привязать другой номер телефона. В нужный момент подставляет записанную фразу "Да" или какую-то иную...
Собственно, именно этого обычно и бояться. Неизвестно, насколько оно технически осуществимо (т.е. в каком месте соревнование брони и снаряда для генерации/распознавания дипфеков голоса и внешности находится), но учитывая некую склонность(по наблюдениям сайтов с жалобами и вообще блогов) банков быть слишком оптимистичными в решении о том, что им на что-то разрешение дали — то есть склонность к некой паранойе.
Я не знаю систем, где было бы достаточно позвонить в банк, пройти по меню (не секретному) и в какой-то момент просто сказать "Да" записанным голосом.
Если же сначала нужно поговорить с сотрудником - это другая песня.
Я имею ввиду, что еще в 2017 году было: "Тинькофф Банк разработал собственную систему идентификации клиентов по голосу. Ежедневно она тестируется на 11 тыс. клиентах, голоса которых распознаются на 15 секунде разговора. "
Одной записанной фразы (и даже их набора) мало. Уводят деньги по другому.
Хотя я снимая трубку на всякий случай говорю "Слушаю", а не "Да" :)
Ну так заранее бояться, что такая система появится.
В которой банк решит, что голос 'достаточно похож' на твой и поэтому можно сделать то, что он просит.
Еще надо учитывать, что 'поговорить с сотрудником' — с достаточно большой вероятностью тоже будет общение с роботом. Причем не отличишь.
Ну так заранее бояться, что такая система появится.В которой банк решит, что голос 'достаточно похож' на твой и поэтому можно сделать то, что он просит.
А что вам мешает в такой ситуации просто взять и поменять банк?
В какой "такой" ситуации? Когда у вас украли все деньги + кредит? Или где-то есть расписание на 20 лет вперед когда какой банк накосячит с безопасностью?
По этому и придумали zero liability и пусть банк делает что хочет.
В ситуации когда появится какая-то новая система и ваш банк решит её использовать. Или скажем откуда банк возьмёт образцы для вашей биометрии?
Образец голоса банк возьмет из тех самых записей "для повышения качества обслуживания".
Без разрешения с вашей стороны? И даже без уведомления? И законы позволяют так менять договора в одностороннем порядке?
Уведомит-уведомит. Ткнешь неудачно по специально подставленной кнопке в интерфейсе банкомата или приложения (хорошо еще, если название будет не мутное и можно будет сразу искать, где все обратно отобрать) — и будет у него разрешение.
Позволяют ли законы вопрос дискуссионный.
В теории существенные условия договора можно менять только доп. соглашением, акцепт которого не может осуществляться бездействием.
На практике меняют всё по схеме: "Мы разместили на сайте <ссылка> новые правила. Если не прибежите в панике расторгать договор в течение 24х часов, значит прокатило вы согласились на новые условия". Иногда еще письмо пришлют где в письме написано "<ссылка>". т.е. вместо ссылки прям так и написано русское слово "ссылка" обрамленное какими-нибудь спецсимволами. Мне такие документы в бумажном виде ситибанк присылал - "сумма вашей задолженности - ?сумма?". Программисты они такие программисты.
Без разрешения с вашей стороны? И даже без уведомления? И законы позволяют так менять договора в одностороннем порядке?
Есть пример не про банки.
Знакомым как-то пришла платёжка коммунальная, в которой была строчка про радиоточку (или типа того) и подпись "оплачивая вы заключаете договор"
История о том как этот договор расторгали была увлекательное. :)
Списаться или созвониться это примерно то же самое, что не делать вообще ничего.
А где-то новую симку авторизуют спросив нехитрые вопросы, которые мошенники либо угадывают либо в даркнете покупают. Например, список последних операций люди покупали про себя в ряде крупнейших банках. Была статейка.
А Сбер для физиков, максимум на некоторое время блокирует приход смс, надеясь что клиент в курсе замены симки. И чтобы он не ходил в отделение, не тратил время банка.
И в тоже время на чистый нигде не засвеченный номер, после оформления счёта в банке начинает сыпаться реклама.
Странные вещи рассказываете. Два года назад замена сим карты подтверждалась в Сбере звонком в колл-центр, никакого визита в банк не требовалось. Как сейчас не знаю.
Короче, банки должны делать хорошо, а плохо должны не делать. Отличная идея, а главное продуманная.
Во-первых, хакер_в_столовой.txt Ну куда и зачем аппаратный токен, миллион адресов на собственном сервере, чистая ось через прокси и одноразовые шифроблокноты бабульке, которая кнопочным мобильником-то пользоваться толком не научилась? Это всё отличные меры, когда вам надо выстроить периметр корпоративной безопасности, но типичная жертва звонка из тюремного колл-центра — это не бывший подполковник ГРУ, а как раз таки человек без больших технических навыков.
Во-вторых, суперключ в виде ПД в любом случае будет. Мошенник всегда может украсть мой паспорт, найти подручного примерно похожей внешности и отправить его в банк восстанавливать утраченные логины/пароли. Фотке в паспорте десять-пятнадцать лет, как меня клерк по ней достоверно опознает?
В-третьих, наймите себе наконец редактора. Вроде компания, блог на Хабре ведёте с кучей наёмных авторов, а собственные тексты выглядят как поток сознания без половины запятых и с повтором полутора экранов текста. Ещё и со ссылками на собственные сервисы в рекомендациях, офигеть нативочка.
Вот не надо апеллировать к бабулькам. У нее приложение для мобильного банка установлено? Если да, то разберется и с остальным. Нет - значит пусть ходит ногами в банк со сберкнижкой. И никаких удаленных операций не разрешать ей.
Бабульки смогли разобраться с карточками и с банкоматами - разберутся и с аппаратными токенами.
Если в банк придет кто-то с похожей на вас внешностью и паспортом - он все равно засветится на куче камер. Деньги уведут, может быть, но, по крайней мере, вы сможете доказать что вы были в это время в другом месте и это не ваша уже вина что банк не узнал вас. Опять же, аппаратный токен (на цепочке на шее или вживленный в руку/мозг в будущем).
Вы, критикуя, предлагайте что-то взамен. Или оставить все как есть? Да, проблем много и исключений будет много для разных групп населения.
«Критикуя, предлагай» — это вообще откуда взялось? Чтобы сказать, что безопасность в банке на низком уровне, надо план развития предложить? А своя СБ в банке что делает?
«Критикуя, предлагай» — это вообще откуда взялось?
Это взялось оттуда, что на любое предложение проще всего что-то критиковать с дивана. В итоге толпа бухтящих недовольных, но нет предложений. Если критика спросить - как ты хочешь чтобы было безопасно и удобно - он зависнет и сольется.
"все плохо. Банки, придумайте так чтобы было безопасно, удобно и не приходилось ничего никуда вводить.". Надо запомнить пароль - фу нет. Надо токен - фу нет.
Какое решение для, например, "проблемы бабулек" устроит господина критика?
«Проблему бабулек» для начала стоит сформулировать. Про «если есть приложение, то разберётся» я выше написал. Да и проблема не техническая, а социальная.
Двухфакторка примерно в текущем виде. В случае лично моих пожилых родственников, например, вторым фактором служит телефон у меня (а не у самой пресловутой бабульки) в кармане. Может не для всех подойти по логистическим или этическим причинам, но для меня работает. Ну и плюс какое-никакое объяснение, что банки не звонят с рандомных номеров, бесплатный сыр бывает в мышеловке, а если я вдруг кого собью и мне надо будет срочно дать взятку — то я и сам вполне могу её заплатить.
Всё остальное, на мой взгляд, чересчур сложно для рядового пользователя (миллион почт/номеров, хитрые схемы с "фактор 1 в понедельник, фактор 2 во вторник...") или театр безопасности (одноразовые пароли и аппаратные токены). Тот же сбер давал когда-то (может, и сейчас даёт) одноразовые пароли для своего онлайна, прям на бумажке и с необходимостью получать их в отделении. Идея в теории неплохая, но мошеннику ничуть не сложнее уговорить жертву продиктовать ему эти пароли или там циферки на этой вашей банковской флешке, чем уговорить её же сказать код подтверждения из СМС. Ну да, не обходится перевыпущенной симкой, но фишингом или социальной инженерией — вполне.
Продиктовать СМС сотруднику банка периодически легальная операция. При этом меня радуют банки, которые пишут в СМС — эту СМС никому не говорите, эту продиктуйте оператору.
И раздражают ребята, то которых приходит СМС "код подтверждения операции 12345" — ни суммы, ни операции, ничего МКБ — камень в ваш огород.
На бумажках по хорошему тоже должно быть написано: этот блок кодов сообщайте сотрудникам, этот блок кодов не говорите никому. А если эти 2 блока будут рядом — убедить слить код из закрытого списка станет гораздо сложнее. Так что стоит их писать оба, даже если коды "для сотрудника" не понадобятся никогда.
В статье сказано по желанию. Есть люди, которые хотят иметь дополнительные независимые средства защиты.
И это уже будет косяк банка, а не ваш. Вам достаточно будет доказать, что вы были в другом месте в это время. Вы реально этого не понимаете?
Повторы были вызваны глюком. Выше писал.
2. Доказать то вы докажете, только деньги вам никто не вернет. Украли? Ищем! Найдем? Ну хз.
С чего это? Деньги украли у банка. Банк ответственный за хранение. Суд скажет, что банк обязан вернуть деньги. А дальше как раз банк уже пусть ждёт когда жуликов найдут.
Было бы классно, было бы это так просто :)
Почитайте про zero liability, кое-где все именно так. Ну, почти так.
Международные платёжные системы (Visa, Mastercard) чётко делят карты на дебетовые и кредитные, это непосредственно в первых 6 цифрах номера закодировано.
А вот банки могут фантазию проявлять. Бывает, что выпускают карты с номером кредитной, но при этом работающей как дебетовая. Вот только что свою Tinkoff black проверил (сервисы проверки гуглятся по "bank card IIN check") - оказалось, кредитная.
А бывает, что карта с точки зрения МПС дебетовая, но банк позиционирует её как кредитную, разрешив овердрафт.
161-ФЗ фактически не работает и некоторые банки прямо в условиях обслуживания намекают, что не будут его исполнять:
Ради интереса посмотрел решения Мосгорсуда, который также в большинстве случаев встаёт на сторону банка. Даже по "страховке от мошенничества" часто не платят с аргументацией в духе сам дурак.
В формате "по желанию отдельным пользователям" претензий не имею. Если никто из банков в самом деле не предлагает экзотические механизмы авторизации — это как-то странно, да.
Ну куда и зачем аппаратный токен, миллион адресов на собственном сервере, чистая ось через прокси и одноразовые шифроблокноты бабульке
Бабульке возможно и не нужны. Но если я хочу отказаться от единственного фактора — мобильного номера телефона со способностью принять SMS, и перейти на более надежные методы, то банки в большинстве своем не предоставляют таких вариантов в принципе.
Примером реализации можно привести Google Advanced Protection Program. Либо учетка восстанавливается по SMS, либо при каждой авторизации используй аппаратный токен и быстрое восстановление только через резервный токен.
К сожалению, банка это экономически не выгодно, вернее нет хоть мало-мальски заметного спроса. А в ритэйле рулят те, у кого издержки минимальны.
Не знаю как в России, но в украине ответ один:
-не хотите что бы легко угнали симку оформляйте контракт с мобильным оператором или хотя бы в личном кабинете отключайте услугу "удаленная смены сим-карты" (это бесплатно).
Предлагаете строить систему так, чтобы она подходила самому не заинтересованному в ней элементу? Так и машины тогда не нужно продавать - лошади гораздо понятнее некоторым соц. слоям
Мне кажется что уже есть решение для безопасной работы и хранения своих заработанных. Скорее всего это криптовалюты. Ведь по идее, нет никакого посредника в виде банка между вами и кошельком, а значит нет никаких "менеджеров" которые пришлют смс или позвонят из банка. Подделка телефонного номера тоже ничего не даст. Может быть я не прав, но помоему это единственный выход для людей.
Даже мне на днях поступал звонок от "Главного следователя Москвы", я сразу повесил трубку, но неприятный осадок и доля сомнения у меня осталась.
Так уж мы воспитаны, быть честными и следовать инструкциям и тут вопрос кто этим воспользуется, государство или мошенники.
забавно, почему вы не считаете крипту современным МММ?
Так вы лучше расскажите почему так нужно считать - будет что обсудить ;)
Я вам косвенно отвечу, если вы не против...
Когда я был в Киеве в 2009 году, надо было поменять рубли на гривны. Я обратился в обменный пункт: - "Хочу купить у вас гривны"
На что мне ответили(точно до слов не помню, но смысл такой), что не знают такую валюту как рубли, но могут купить за гривны эти бумажки...
Обменный пункт скорее всего был не от банка, а просто менялой, который обзавелся ларьком
Не улавливаю вашей аналогии
Если я не ошибаюсь, в РФ все денежные расчеты могут быть только в рублях. Остальное все конвертируется по курсу... Аналогия в том, что крипта это не деньги, это товар. А когда вы ее продаете, то на самом деле не вы продаете, а у вас ее покупают. :)
PS: МММ свои бумажки продавал на хайпе, цена их росла от привлечения других клиентов. Сейчас это же делают в общемировом масштабе, интересно когда закроется мышеловка. Иначе как вы объясните такой рост стоимости, к примеру 1 битка...
Деньги - это ровно тот же эквивалент товара, его компактное воплощение. Разница в обеспечении: доллары и тп обеспечены золотом (должны быть), а битки - математикой. Деньги могут обесцениться ровно как и битки взлететь - для примера, посмотрите на Венесуэлу.
Тут все понятно, так как есть экономическое и политическое объяснение. В отличие от крипты. Просто математика, сама по себе ничего не стоит. И результаты вычислений никому не нужны, это не вложение денег в разгадку генома или чего-то еще, а просто сжигание электричества.
Возможно стоимость крипты как раз складывается от эквивалента сожженного электричества. Электричество же что то стоит? Ну исуть моих слов, в том что когда ты сам распоряжаешься кошельком, тебе не позвонит "хранитель" кошелька и не начнет говорить что срочно надо смс ему переслать, просто потому что нет всей этой бесполезной надстройки.
Вы так говорите, как будто у всех стран выпуск денег прям 100% обеспечен :)
Мне кажется, это как блеф в покере - все хорошо, пока он не на поверхности. Крипта тут ничем не хуже, но она явно менее удобна в плане контроля. И поэтому, как по мне, активно дискредетируется.
"Доллары и т.п." уже давно не обеспечены золотом. Золотой стандарт отменили.
А криптовалюты пока не блещут стабильностью, чтобы быть удобным и надежным средством оплаты и хранения средств. Пока только спекуляция. Другой печальный аспект для криптовалют - недостаточное признание. Вы не сможете купить за криптовалюту все, что нужно. А вывод из крипты в местную валюту часто излишне сложен и связан с рисками. Плюс (по крайней мере для некоторых криптовалют) или комиссия конская, или транзакцию долго ждать.
Иначе как вы объясните такой рост стоимости, к примеру 1 битка...
Отсутствием неограниченной эмиссии и наличием спроса на средство расчетов не контролируемое отдельным государством?
Если что, я биток не считаю надежным средством для хранения сбережений, но отрицать некоторый ряд его реальных преимуществ тоже будет не правильно.
Криптовалюта сама по себе подобна кошельку с деньгами в кармане. Чтобы хранить в ней значительные средства, о безопасности нужно думать полностью самостоятельно. И там полно моментов где можно наломать дров - например, использовать облачные кошельки для сбережений
Я думаю, что технические меры бесполезны. Пока мошенников не начнут массово ловить и наказывать, мошенничества не прекратятся. Благо, когда речь идёт о безналичных деньгах и телефонных разговорах, поиск причастных не составляет труда для органов.
Вот, скорее всего, да. В Европе такого нет? Наверное там гораздо сложнее купить базы с ПД. Постоянно утекают какие-то контакты и прочие фейсбуки, но, думаю, сложнее все вместе связать. Если сами сотрудники МВД-ФСБ продают базы - то тут надо с них и начинать.
У нас у 90% (или больше?) населения есть счет в Сбере - не ошибешься. Мобильные банки и мобильные переводы у нас используются гораздо шире чем в большинстве других стран. А контроль за всем этим банки складывают на клиента.
Насколько я знаю, в штатах можно оспорить практически любую транзакцию и тебе сразу вернут деньги, а разбираться уже будут потом. И за просто количество таких отмен сильно штрафуют сначала банки, а потом платежные гейтвеи. То есть сами гейтвеи вынуждены вводить какие-то меры для того чтобы не допускать вероятности отмены операции клиентом.
В северной европе все совсем не так. Все можно и чаще всего делается отнайн. В качестве второго фактора шла или карточка с кодами, или устройство с кнопочками и экранчиком. Можно еще приложение в телефон поставить, при его регистрации надо использовать и девайс с кодами и смс и пароли. Так при каждой становке.
За всю Европу не скажу, но в Польше еще как есть.
Здесь довольно продвинутый банкинг, местами круче чем в РФ и банки постоянно рассылают предупреждения про скам.
И пару сообщений от людей, которые в смс получили фейковую задолженность за электричество а потом оплатили в «онлайн-банке» уже тоже видел.
У нас надо сообщить в течение суток. И тогда всё вернуть, а потом разбиратся
Поиск причастных как раз проблема. Деньги уводятся по цепочке счетов и найти края просто нереально, этим и пользуются. А даже если и найдут - на той стороне бомж, с которого взять нечего, либо обычный физик, который вообще не в курсе что происходит.
Одно другому не мешает. И почему-то с тех пор как у нас сделали так что в случае мошенничества по умолчанию за всё сначала отвечает банк, то внезапно количество успешных случаев этого самого мошенничества уменьшилось на порядок а то и несколько порядков.
В карман же, иностранец написал?
Перед этим:
Банки сообразили, что в большинстве случаев это проблема клиента, а им прибыль с процентов по украденным кредитам
Т.е. финансовое преступление путают с каким-то сексуальным домогательством.
Скажу про Альфу.
При смене симкарты даже с сохранением номера Вам придется идти в банк с документом и подтверждать что Вы ее поменяли. Иначе никаких доступов не будет.
Любая операция в мобильном или инетбанке должна быть подтверждена кодом из СМС или пуша.
Все мошеннические действия основаны на социальной инженерии. Вам будут звонить, рассказывать что все плохо, ездить по ушам, пудрить мозги, плавно подводя к тому, что "сейчас вам на телефон придет проверочный код, надо его сообщить". Все. Вы сами отдаете все ключи от сейфа. Сколько бы их ни было.
"Против глупости сами боги бороться бессильны" (с)
Почему профанация? Операции проводятся через интернет-канал, доставка кодов - смс. Вот пуши да, странненькое решение.
Почему профанация?
Потому что превращает всю конструкцию только в "чем владеешь". А именно — владеешь телефоном (устройством)
Если телефоном 'владеет' соответствующий зловред — плакали денежки. Хотя как раз второй фактор должен это предотвращать.
Не ставьте приложение банка на телефон. Так-то можно и аппаратный генератор кодов (или стретч-карту)с банковской карточкой носить в чехле телефона, и потерять все разом
Тогда получается гемморой. И в этом проблема как раз. Либо пользуйся удобно, но менее безопасно, либо безопасно, но страдай.
Вы сейчас описали проблему абсолютно любой ситуации, где речь идет про безопасность
Не верно. Гемор должен быть для критичных сумм/операций. Для повседневных переводов достаточно того, что есть сейчас, т.е. смс.
А тут есть проблема, если какой-то механизм-схема не используется регулярно, он может не заработать когда этого от него потребуется. Поэтому использовать принципиально разные механизмы сложно, например если для крупных сумм у вас есть аппаратный генератор кодов, но вы пользуетесь им раз в квартал, то есть высока вероятность что когда он вам потребуется, вы его не найдете/найдете в не работающем состоянии. Понятно что это частный пример, но тем не менее.
Поэтому желательно чтобы способы доступа регулярно проверялись на работоспособность.
Так-то можно и аппаратный генератор кодов (или стретч-карту)с банковской карточкой носить
В том-то и дело, что нельзя. Нельзя даже банально запретить мобильное приложение и операции в нем. Я звонил в банк и узнавал.
У приложения же есть пароль при входе. Или у каких-то нету? Потому что если есть, то вот и второй фактор. СМС-платежи сбера в этом отношении однофакторные, ну так их и отключить можно (или не хранить больше пары тысяч на привязанной карте).
А чтобы сбросить пароль - введите код из смс, да.
У приложения же есть пароль при входе. Или у каких-то нету?
По крайней мере в Сбере и Альфе достаточно знать номер любой вашей карты и иметь вашу симку и можно залогиниться безо всяких паролей. Про остальные банки не скажу, но, скорее всего, также. Опция эта неотключаемая. Поэтому важно иметь всегда заблокированный телефон и пин-код на симке.
или не хранить больше пары тысяч на привязанной карте
Деньги хранятся не на карте, а на банковском счете. Залогинившись в приложение мошенник увидит все ваши счета и сможет выполнять переводы с любого из них.
Альфа-Банк - если где-то засветили данные карты, то можно вбить их в мобильном приложении, вбить ЛЮБОЙ телефонный номер, узнать подтверждение, которое пришло на зарегистрированный номер абонента (при помощи трояна или социальной инженерии), а потом спокойно вывести все средства, а если средств нет, то можно прям там в приложении одной кнопкой оформить кредит на 450 тысяч, который тоже можно перевести. Куча историй есть на vc.
Клиент Альфа-Банка: у вас дыра в безопасности!
Альфа-Банк: ну хоть что-то у нас в безопасности!
Вот прямо в магазине им платите? И прямо зарплата на него приходит? И транзакции бесплатно и сразу выполняются?
И что будет, если вам позвонят из службы безопасности вашей криптобиржи и извиняющимся английским голосом попросят перевести ваши криптобиткойны с вашего кошелька на "более защищенный" потому что на бирже произошел взлом и прямо сейчас злобные хакеры криптокачают криптоархивы криптоденег в свои криптомешки?
Криптобиржами не пользуюсь, потому что они не имеют отношения к криптовалюте — но вообще-то их ломают не так как вы пишете, а о взломе становится известно тупо с новостей.
Расскажите подробнее почему там абсолютная надежность, и как вы так у себя все устроили?
А как быть с курсом, который может колебаться довольно значительно?
Я не ставил минусов, но предположу что это из-за того что ситуация ваша мало применим к общему состоянию дел сейчас.
Где, кому и как сейчас можно широко применять биткойн? Учителя-пенсионеры? Вот поехал я на заправку - как мне расплатиться там? Каков легальный статус этих всех операций?
надёжность близка к абсолютной
Помимо плавающего туда-сюда курса, защищенность не сильно выше защищенности мешка с наличкой: если у вас их станет достаточно много и об этом станет известно нехорошим людям, они попробуют у вас их отобрать силой.
Без лозунгов была бы нормальная статья (хоть и не без спорных моментов), а так...
Автор публикации рекламный тролль из банка Авангард?
Ну ОКей, подыграю вам :)
В Авангарде по состоянию на 2020 год, насколько я знаю, были варианты одноразовых кодов на скретчкартах, электронных генераторах именно даже для ФИЗЛИЦ (а не ИП).
А еще там очень удобный личный кабинет, в котором ничего не впаривают, в котором не получить кредит, потому что банк выдает только кредитки, и то только после заполнения стопки бумаг лично в офисе.
Лично я еще не встречал более безопасного банка в РФ, как с технической точки зрения, так и с точки зрения полиси самого банка. Предельно профессиональные сотрудники, суперский валютный контроль, который делает все почти на автомате. Образцово-показательный банк.
Помнится в марте 2015 года в отделении этого образцово-показательного банка мне выдали флэшку с ЭЦП, вирусом, и файлом где лежал пароль, который я за пол часа до этого сам же через ЛК установил.
электронных генераторах
Он встроен в карточку. Вроде бы удобно, но у меня был два раза неудачный опыт — батарейка в карточке села через год-полтора. Заменили карту. Через несколько месяцев опять такое же. Когда выдают карту с генератором кода, скретч-коды перестают работать. В итоге, вернулся на скретч-коды. А если нет возможности карту оперативно поменять? Скретч-карта надёжнее.
Карта у них раньше была MC Platinum, теперь обычная МИР (обслуживание дешевле).
Если бы выдавали простой токен с кнопкой, было бы гораздо лучше.
не встречал более безопасного банка в РФ, как с технической точки зрения, так и с точки зрения полиси самого банка.
В даркнете можно пробить любого клиента либого банка и Авангард — не исключение. Так что не стоит расслабляться.
На скретч карте — 112 кодов (из них 2 нужны для активации карты). Карт можно взять до 3 штук.
Для оплаты/перевода мелких сумм можно использовать подтверждение по SMS. С некоторой суммы — только одноразовый код. Если сумма совсем большая (несколько сотен тысяч руб), то цифровую подпись просят.
Но с подписью у них полный косяк. Она лежит на обычной флешке в виде обычного файла, кажется даже незашифрованная (не помню точно — много лет уже не пользовался).
Так для этого скретч-карта и нужна, для защиты от пробива.
И каким образом она от него защитит?
Как дополнительный фактор авторизации, если все данные слиты или скомпрометированы (номера карт, кодовое слово, перевыпущена сим карта, троян на компе). От слива кодового слова например вообще не понятно, что может защитить, если это слово называется вслух сотруднику банка или оператору колл-центра. Поэтому не стоит вообще беспокоиться о том, что оно куда-то может утечь (а банкам, конечно, следовало бы давно отказаться от кодовых слов).
На самом деле еще лет 7 назад у многих банков были аппаратные, как они их называют, криптокалькуляторы. Это девайс куда вставляешь карту и её процессор генерит отдноразовый код. Но почему-то все забили и вывели из оборота. Я пытался в Мск купить, не нашёл. Видимо хоть сколько-то значимой аудитории нет
У меня остался старый аппарат, от ВТБ (там на самом деле используется криптопроцессор на самой карте, а сам аппарат это просто ридер). Все еще работает.
Проблема в том, что в самом банке уже несколько лет не принимают коды от него.
зачем они сейчас? есть google authenticator, authy и еще с десяток аналогичных прог... Банку ничего особенного не стоит их прикрутить.
Еще лучше использовать корректное определение двухфакторой (многофакторной) авторизации: использование одновременно комбинаций разных способов авторизации. То что пользователь знает, то чем пользователь владеет, и то, чем пользователь является. Сейчас большинство банков используют схему: пароль (то, что пользователь знает) + СМС (то, чем пользователь владеет). Единственный минус в том, что завладеть номером сейчас, к сожалению, возможно. Вариантом усиления будет использование вместо СМС физических ключей, генераторов кодов или одноразовых кодов.
Почему-то в gmail можно отключить использование СМС, а в банках нельзя.
Есть такой феномен у человека, когда процесс использования вещи для жизни превращается в жизнь для её использования. Здесь с предложением усложнить доступ будет именно это. Постепенно наша жизнь превратится все больше в набор таких вот активностей, которые придумал кто-то кроме нас. Это не правильно само по себе, и вдвойне неправильно, потому что проблема не в двухфакторной аутентификации, а в социальной инженерии и беззащитностью перед нею людей. Причем, я бы не ограничивал ущерб банками. На вскидку, коррупционные материалы бизнеса в научных журналах, работают по такому же принципу в профессиональных сообществах. Чтобы этого не происходило, нужен новый человек, с развитой культурой рефлексии в базе.
Статья - просто смесь потока сознания и личных комплексов да еще с жаргонами, переходящими в оскорбления. Статьи в поддержку Навального нужно писать на специализированные сайты, а не в ИТ-блоге.
Но если по пунктам... Автор вообще не разбирался в кухне "изнутри". Было бы очень забавно его пересадить внутрь банка и сказать: "Делай!" И примерно через 3 месяца подвести итоги оттока клиентов, разбегания ИТ-команды и прочее. Например: аппаратный ключ - супер! Кто за него платит (он денег стоит) - клиент? И как вы объясните все массе клиентов, что вы для их блага берете с них денег за ключи? И как вы этим клиентам объясните, почему вместо простой и удобной СМС вы требуете подписывать каким-то ключом с USB> Между прочим, Райффайзен изначально использовал ключи (программные, в виде пары файлов) - убрали, чтобы не проигрывать другим банкам клиентов из-за неудобства использования!! Умиляет аргумент, что пусть бабуля идет ножками в Сберкассу, раз токеном не пользуется - настоящий клиентский подход!!! О блокировке на сутки СМС банками после смены сим-карты автор вообще не в курсе...
Не нужно всех пересаживать, но опция была бы удобной такая
Например: аппаратный ключ — супер! Кто за него платит (он денег стоит) — клиент?
Кто платит за банковскую карту? А за SIM карту телефоннного оператора? Вот так же. Этот генератор, в который карта вставляется, при массовом производстве не может стоить больше дешевого калькулятора. Потому что просто экран и клавиатура к приложению в карте.
А в современных условиях, когда карт без NFC становится все меньше и меньше (а карта и есть аппаратный токен) — то даже железки не надо будет во многих случаях. Программный интерфейс в виде приложения для смартфона с картой по этому NFC пообщается и код покажет.
Или даже 'приложите карту к смартфону, чтобы подтвердить транзакцию' для тех, кто не такой параноик, чтобы хотеть лично одноразовый код каждый раз вводить.
Программный интерфейс в виде приложения для смартфона с картой по этому NFC пообщается и код покажет.
Т.е. для подтверждения действия с телефона, нужно использовать приложение на телефоне? А давайте просто будем посылать SMS/Push'и на этот телефон и не напрягать пользователя отдельным приложением. Упс... кажется я где-то видел.
К чему вся эта ваша клоунада?
Банки что по вашему, не умеют работать с токенами для ИП и юрлиц?
Добавить это ОПЦИЕЙ для физиков прям архи сложнаааа? Дык чо вы там вообще делаете тогда в банке?
Вы внимательно статью прочтите прежде чем наезжать. Вы видно в банке сидите и оправдываете свою беспомощность.
Клиенты если хотят могут заплатить. Все меры по желанию сознательным клиентам. А ваша аргументация тогда сродни тому зачем компьютеры, у бабулек их нет.
Моя теща чуть не купила супер-пылесос (кредит не дали), купила у "газовщиков" датчик газа, едва не заплатила 50 тыщ за "наладку" пластиковых окон, купила "медаль 100 лет Победы", и чуть не попалась на развод с "мама я сбила человека".
Тысячу раз ей все объясняли, даже тренинг проводили - бесполезно. Ей хоть трехфакторную хоть стофакторную идентификацию делай - все равно сольет свои деньги мошенникам, потому что она живет в своем сюрреалистическом мире Первого канала - дибильные ток-шоу и сериалы, стерильные новости - ее мозг полностью отключен для каких-то логический размышлений. (Но голосовать ходит и всегда за кандидата "а за кого еще?")
И таких людей очень много((( Мошенникам хватает.
По тем же первому/второму каналу в утренних передачах чуть ли не ежедневно рассказывают про мошенников, способы обмана, и дают советы как избежать развода. Извините, но тут к теще больше вопросов))
Наладка пластиковых окон - отличная штука. Там в самом деле есть и в фурнитуре что покрутить, и по периметру стеклопакета клинья позагонять, и резинки бывает изнашиваются. Через 2-3 года после утановки, и потом иногда неплохо бы обслуживать.
Но 50 штук как-то дофига.
Тысячу раз ей все объясняли, даже тренинг проводили - бесполезно
Деньги отбирать не пробовали? не будет денег - нечего будет мошенникам переводить.
А еще бывают пожилые с плохой памятью, это вообще пипец.
Им только телефон настраивать на белый список с фильтрацией всех неизвестных.
А что бы он с вашей точки зрения мог бы слить?
Достаточно того, что жулики могут посчитать какие-то его действия конклюдентными, типа ответа "да, согласен", если персональные данные уже украдены другим способом.
Мало того, подобные люди могут обладать избирательной памятью, и слить что-то важное, а потом еще и забыть про то, что они это сделали ...
Я считаю что относительно факта самого взлома проблема не в банках, а в финансовой грамотности, доверии и просто глупости. В наше время из каждой дырки говорят о таких разводах, но люди упорно верят в то что они исключение. Поэтому я считаю, в большинстве случаев, это платный урок по финансовой грамотности и безопасности. Но это. Можно придумать и другие способы развода, из самого простого пылесосы кёрби за 100к или наборы ножей за 30к или ныне модные заработки на криптовалютах или обычной бирже.
А вот относительно процесса оплаты и последствий есть куча вопросов и к банку и к государству. Например почему пой платеж за комуналку идет до 3 дней (поидее можно остановить такую операцию), а вот такие платежи сразу и безвозвратно. Или почему так просто можно достать серую симку.
Вы знаете, не каждый, даже образованный человек может запросто разобраться во всех тонкостях работы каждого банка.
Вот везде говорят - не сообщайте никому коды из смс, даже сотрудникам. Однако, прихожу я в банк, сижу прямо перед сотрудником и он мне говорит - чтобы мне получить доступ к вашим данным, нужно авторизоваться, сейчас придет смс с кодом и вы мне его сообщите. Приходит смс, я его зачитываю. В нем написано что можно сообщать, но тем не менее.. (в Альфе так и в Сбере, кажется, тоже)
Не доверяйте незнакомым звонкам от "службы безопасности"? Но в двух разных банках мне, действительно, звонили из СБ с вопросом о только что совершенных мной операциях и карту блокировали до выяснения. И перезвонить им напрямую сразу было нельзя.
а что за операция для которой сотруднику нужен код? если не секрет конечно
Не однозначные для меня примеры. Если я нахожусь в банке и общаюсь с его представителем + обычно это происходит под глазом видеокамеры, то для меня это уже достаточные факторы доверия этому человеку. Про гнилых людей мы можем говорить сколько угодно, но такие в банковской сфере могут и без вашего участия сделать многие вещи.
СБ мне тоже звонили и карту блокировали, но ни слова о том чтобы перевести куда-то мои деньги на безопасный счет или еще что-то мне не предлагалось.
Разводилы мне тоже звонили, но их в большинстве случаев распознать можно уже на первых секундах по косвенным признакам: у кого-то на фоне дичь какая-то происходит, у
Подобное не только у нас в стране развито. Сейчас не помню где, но было интервью с одной из таких разводил с Украины и по ее словам в России просто процент срабатывания выше, а за рубежом, особенно молодое поколение, вообще не ведется. И я это связываю именно с финансовой грамотностью.
В нем написано что можно сообщать
Что приучает людей к тому, что сообщать коды можно и это штатная процедура.
Сложно ли найти звонящего? Не сложно. Есть СОРМ (система оперативно-розыскных мероприятий). Точка.
Сложно ли опознать человека по голосу?
Непросто, но и не сверхзадача. В свое время этим вопросом работал небезызвестный Александр Иванович Солженицын. В романе “В круге первом” классик описывал свою работу (заключение) в шарашке, где он занимался визуализацией звука, распознаванием речи и идентификацией личности по голосу. Это было 70 лет назад. Сейчас в распоряжении следователей компьютеры и сотни программ. Жми на кнопочку и собирай доказательную базу.
Леонид Каганов, "Законопроект". Осторожно: очень много ненормативной лексики!
СОРМ либо покажет, что звонили с территории ФСИН, либо это был voip звонок с сопредельных государств. Годится только для совсем отмороженных личностей, занимающихся разводом в частном порядке
И тот и другой путь ведет к мошенникам. Понятно, что за рубежом трудно прижать колл-центр, но есть Интерпол, есть и другие каналы поиска и давления. Так что всё дело в желании найти разводил.
Учитывая, что ни США, ни ЕС не могут прижать легендарные калькуттские колл-центры, не вполне понятно какие возможности есть у российских правоохранителей для влияния на жуликов за рубежом.
Мне звонили с "+7 495". Его сложно, как я понимаю, купить анонимно сей час. Хорошо, пусть это IP из Сомали на бомжа. Ну так пусть хотя бы выключат оперативно по жалобе с записью звонка, например. И проведут разбор с продавцом ларька продавшего симку или еще что. Хотя это не самый короткий путь для борьбы с этим, конечно.
А вот тут же дело РосКомНадзора и операторов. Оператор может запретить подмену номера. А РосКомНадзор может штрафовать операторов, которые выпускают смс или звонки под левыми номерами или именами. Это немного поприжали, но не полностью.
Там речь была про заграничных жуликов. Местных прижать не очень трудно, по-моему. Найти куда бабки уезжают в конце концов и прищемить там кому следует.
Трясти продавца ларька, по-моему не очень продуктивно
Ок. Вы нашли откуда был звонок - это оказался ИП-бомж из соседнего подъезда. Дальше что?
Вариант 2. Вы нашли владельца счета на который ушли ваши деньги - им оказался обычный человек из соседнего подъезда. У него украли карту и вывели с нее ваши деньги в наличку.
Дальше что? Денег вы не получится, поскольку это не ошибка банка, а ваша. Деньги не найдут, потому что пока вы позвонили в полицию они прошли уже десяток государств.
Как я понимаю ситуацию, проблема не в технических средствах поимки мошенников (средства есть), а в желании заниматься вопросом.
В целом да, но и средств особо нет на самом то деле.
Вы можете на карту друга перевести деньги, вывести их в наличку, а потом подать заявление. Если у друга будет подтверждение, что в момент снятия денег он был не у банкомата, на этом все закончится. Искать дальше нет смысла.
Реальные схемы переводов куда извилистей.
Мне сбер блокирует переводы выше 20т, пока это не подтвержу через оператора.
У вас реально искаженное представление о действительности. Для крупных банков все эти мошенники это тоже проблема, с этим они борются. Может и не лучшим способом, но думаю ни одни безопасники не могли предположить что у нас все настолько плохо охраной ПД. Все покупается через операторов связи, тур оператроов, ментов, прочие сайты, где пользователь оставляет ПД, те же гос услуги.
А "внезапные" кредиты выгодны только мелким шарагам, которые потом всеми способами выбивают долги. И то, у нас вроде в работе законопроект, где гражданин может себе заблокировать возможность получения кредита. Но тут непонятно как это будет работать.
у нас вроде в работе законопроект, где гражданин может себе заблокировать возможность получения кредита.
Для разблокировки сообщите код из СМС или скажите "да".
Там предлагают сделать окно в неделю между заявлением и разблокировкой, правда законопроект даже не внесли и он лишь немного снизить поверхность атаки.
Ещё с декабря начнут выдавать "электронные паспорта", которые могли бы закрыть возможно получать кредиты по украденным данным, но вместо эстонского варианта с ридером смарт-карт:
для всех мобильных платформ будет доступно мобильное приложение "Мой паспорт", которое нельзя будет взломать, изменить, подделать - сказал Акимов.
Это миллиарды рублей, которые могут быть выброшены на свалку, потому что разработчики что то не предусмотрели и терминал оказался уязвимым или ненадёжным.
И вместо этого внедряют дурной и потенциально еще более дырявый эквивалент этих ридеров. Которые, кстати, дешевые (кассовая машинка в разы дороже) и слишком дырявыми быть не могут - это тупой адаптер от чипа карты к USB.
А тупым адаптером во многих случаях не отделаешься. У полиции к примеру нет вообще никаких терминалов(может что то и есть но на уровне местного теста), для всех остальных придётся писать(и поддерживать) зоопарк программ, т.к. и железо и ОС у многих серьёзно отличается.
Программу то можно полноценно обновлять(лишь с оглядкой на основную массу устройств), улучшая безопасность
Ну так именно что. Имеем совершенно тупой ридер, а все остальное — в программе (возможно даже где-то на серверах соответствующего министерства), которую можно обновлять сколько хочешь. И эта программа с чипом карты пускай общается.
А для простейших случаев 'проверить документ'- сейчас все это как-то же по просто по виду бумажного паспорта проверяют?
Так пускай дальше проверяют, но уже по внешнему виду карточки. Ультрафиолетом там посветить на предмет нужного узора, на фотку на ней же посмотреть итд итп.
А если нужно удаленное подписывание документов и подтверждение личности для робота/человека, что тебя вживую не видит — вот тут и берем ридер.
А карточку нужно получить и периодически менять(т.к. они тоже внезапно уязвимы), чаще чем паспорт(а раз в три года как банковскую) и носить с собой с риском потерять. Т.е. альтернатива даже хуже бумажного паспорта.
Приложение в смартфоне активируется или паролем или отпечатком, смартфон с собой носит подавляющее большинство людей(часть и паспорт с собой не носит и банковские карточки т.к. есть NFC).
Потому приложение выглядит более привлекательно как с точки зрения властей, так и со стороны налогоплательщиков.
Приложение в смартфоне активируется или паролем или отпечатком, смартфон с собой носит подавляющее большинство людей(часть и паспорт с собой не носит и банковские карточки т.к. есть NFC).
Чтобы это было хоть как-то безопасно, все равно ключевую информацию нужно хранить в защищенном хранилище. Т.е. в точно таком же чипе, что у карточки и к которому применимы те же возражения по уязвимости, что у карточки. Когда в протоколе/чипе дырку найдут — предложим всем смартфоны менять?
Ну вот и нужно делать это защищенное хранилище внешним по отношению к железке, где программа крутится. Чтобы хотя бы хоть какой-то air gap можно было поддерживать между ключами и тем, что будет пытаться до них добраться.
А карточку нужно получить и периодически менять(т.к. они тоже внезапно уязвимы), чаще чем паспорт(а раз в три года как банковскую) и носить с собой с риском потерять.
Риск — практически такой же, как ношение с собой бумажного паспорта. А уж его уязвимость к атакам — на самом деле вообще ниже плинтуса. Живем как-то.
Впрочем, аргумент с возможностью потерять хороший, и то, что я про это думаю — я вот тут в похожей теме писал. Коротко — одной карточки-ID недостаточно. Должно быть несколько. Чтобы при потере одной восстанавливать его при помощи других.
По поводу восстановления, тогда должен быть надёжный механизм оперативной блокировки, чтобы им не воспользовались злоумышленники.
Обновить программу для смартфона всё же можно оперативней.
Обновлять может потребоваться чип и протоколы защищенного хранилища ключей. Который либо отдельный, либо в процессор смарта встроен.
А если мы верим, что в случае чего можно безопасно обновить все это программно — то, собственно, возможности обновления у внешнего чипа такие же могут быть. Тоже обновим микропрограммы внутри карточки-ID и ридеров. Риски — пр в точности такие же.
Но то что в смарте — нельзя положить в сейф и запереть на ключ, если ты никаких контрактов подписывать не собираешься.
По поводу восстановления, тогда должен быть надёжный механизм оперативной блокировки, чтобы им не воспользовались злоумышленники.
Ну так это проблема и с бумажными паспортами есть.
Ну так это проблема и с бумажными паспортами есть.
Т.е. ввод карточек не решает старых проблем, но добавляет новых. Это не прогресс, а регресс.
Ну как не решает. Бумажный паспорт совершенно непригоден для накладывания и проверки личной подписи/печати при удаленном присутствии. Карточка (а точнее ключи ЭП в ней) — как-то более-менее сносно, при выполнении более-менее выполнимых правил использования, позволяет это делать.
Приложение в телефоне — тоже позволяет, но поверхность атаки больше, чем при выносе чипа в карточку.
Оптимально было бы иметь и карточку, и стандартизированный смартообразный терминал к ней, со всех сторон облепленный пломбами и с математически доказанным софтом, в котором собственно никаких ключей нет — но это еще дороже получается.
И у всех трех способов есть разные проблемы с 'а что делать, когда оно потеряется?'
Приложение в этом плане лучше. Можно давать одноразовые/многоразовые ссылки(qr коды) с разным уровнем доступа и подтверждения(только лицо и что совершеннолетний к примеру) и историей(где, когда и кому). И не хранить информацию в самом приложении(или работать по запросу, в зависимости от паранойи), а только давать ссылки в/на паспортную базу.
В идеале оно должно быть на отдельном устройстве, но это не удобно таскать два смартфона. Уязвимость с номером, решается как с с банками блокировкой смс и обязательным подтверждением личности в любом отделении МФЦ(и любых других гос органов, как это сделано с подтверждением учётки госуслуг).
Зачем в магазин? Достаточно мест с юридически значимыми услугами, куда их и так придётся купить. Как полисы ОМС, где для смены страховой надо воткнуть карту в ридер и ввести ПИН, только с биометрией вместо кода.
В магазине не требуется такой уровень проверки, достаточно показать карту с датой рождения. Опционально можно привязать к паспорту face pay или поставить NFC на кассе самообслуживания, чтобы не звать работника покупая бухло.
Есть пример Эстонии, где электронный паспорт сделан как надо - без учёта желания банков выдавать кредиты по украденным данным или максимально "охватить" дистанционное голосование.
Ещё с декабря начнут выдавать "электронные паспорта", которые могли бы закрыть возможно получать кредиты по украденным данным
А бумажный паспорт аннулируется? Или можно по прежнему взять кредит по поддельному бумажному? Или без смартфона ты теперь вообще никто?
которое нельзя будет взломать, изменить, подделать
нельзя - в смысле, они запретят?
Чем дальше в лес, тем толще партизаны.
Самая смешная история, когда одного из топ-менеджеров Сбербанка развели сотрудники "техподдержки Сбербанка" на серьезную сумму.
Недавно была история у меня — с номера 900 звонит робот и спрашивает что-то типа «Я из Сбера, bla-bla, Имя Фамилия это вы?» и ждёт ответа. Имя-Фамилия правильно названы. Молча кладёшь трубку, на следующий день робот опять звонит.
И не понятно, то ли это сам банк развлекается с новыми технологиями, то ли мошенники перешли на новый уровень. Грань размывается всё больше и больше.
Почему вы разделяете банки и мошенников, на мой взгляд, это одни и теже люди
Это мошенники! Они от вас всячески хотят услышать ответ «да», записать его, а потом позвонить в банк и сменить номер телефона. Биометриях же включена. Мне так же звонили пару раз. Только вот в статистике оператора там почему-то обычный мобильный номер, то есть подмена.
Выработал привычку отвечать «олё» на все звонки и не использовать буквы «а» и «д» в словах, иногда правда туплю обдумывая слова, но это лучше чем потерять деньги.
Так же в Сбербанк-Онлайн есть вкладка безопасность, где можно пожаловаться на мошеннические звонки. Все им описывал и с какого номера и чего говорили, а через неделю с того же номера с подменой звонят. ;(
Не работают их СБ, даже если им указать «кто, где и когда».
Там, возможно, также отправили запрос опсосу, т.к. СБ ничего заблокировать не может. Есть случай их достаточно оперативной работы: недалеко от офиса был банкомат и у него верхняя часть была отделана стеклом и в солнечные дни стоящие позади видели отражение клавиатуры и пальцев, стоящего у банкомата. В течении 2 дней после обращения туда наклеили какую-то тонирующую пленку.
ответ «да», записать его, а потом позвонить в банк и сменить номер телефона.
В принципе, у меня в тот период времени у карты «МИР Моментум» заканчивался срок годности. И почему-то звонки были в это время. Странное совпадение. При том, что «моментум» не перевыпускают — можно лишь с новым номером получить.
Но я в курсе, что технически номер можно любой поставить при входящем звонке.
Биометриях же включена.
Где включена? У меня ничего не включено.
Выработал привычку отвечать «олё» на все звонки
Как вариант — поднять трубку и молча ждать, что на той стороне скажут. Или спросить «кто говорит?» или «говорите» или что-то подобное.
Я вот ничего не включал, но при этом в настройках у меня стоит биометрия по голосу. А что бы отключить ножками в банк.
Где это можно проверить? В интернет-банке есть информация?
Вообще, сбор биометрии без согласия человека по закону запрещён. Ну да, я знаю, как эти законы исполняются, но тем не менее. Можно попробовать с ними повоевать.
Где-то читал, что в Сбере мошенническим образом собирают согласие на съём биометрии — просят под каким-то предлогом (например, оплата комиссии или получение новой карты) вставить карту и ввести PIN. Было ли такое?
Т.е. вы теперь звуки "д" и "а" вообще по телефону не произносите?
Только вот в статистике оператора там почему-то обычный мобильный номер, то есть подмена.
То есть и ОПСОС знает что это подмена, но ничего не делает. Тогда он идёт как соучастник.
"Забавная" история - это вице-президент самого надежного банка ))
Спасибо за статью. Вы правы, за много лет развития удаленного онлайн банкинга, вменяемой защиты так и не было реализовано. Все сводится к банальному "введите смс". При том что сим-карту можно не только перевыпустить, но и навскидку , коды можно перехватить через SS7 или подключить другой номер телефона обманув оператора банка.
Дайте людям опцию многофакторности, подтверждение платежей по 2м и более факторам --паралельно--.
Самое примитивное, подтверждение платежа не только по коду смс, но и по коду на отдельную секретную электронную почту. В формочки надо-то добавить дополнительное поле. Или по коду смс + коду почты + код otp на базе андроида.
Если какой-то код не ввел, платеж не должен проходить.
Изменение настроек защиты тоже только через мультифактор.
И не надо говорить про клиенториентированность и удобство, сделайте эти защитные опции --подключаемыми--. Кому лень разбираться, будут смсками по старинке, кому не лень настроят себе нужное сочетание защиты.
С U2F то и разбираться особо ненужно:
https://www.rutoken.ru/products/all/rutoken-u2f/
Работает в любой современной операционке.
В качестве 2-ого или 3-его фактора дополнительно к уже существующим обязательным просто прекрасно бы было.
Намного проще классического токена типа Rutoken ECP 2/3.
Если кто-то читает эту тему из сотрудников ВТБ, прошу вас: опомнитесь! Я уже боюсь пользоваться вашими сервисами.
Зачем вы до предела упростили привязку мобильного приложения?
Ведь теперь для привязки нового устройства достаточно ввести логин (номер карты или унк или телефон - это не секретная инфа) и код из одной единственной СМСки. Всё! После этого мошенник может переключиться на пуши и клиент не будет получать СМСки. В результате ему даже отдельный кнопочный телефон не поможет. По сути вы позволяете через одну смску полностью изменить способ аутентификации (на новое устройство - владелец нового устройства получает полный доступ).
Но это полбеды. Почему вы не оповещаете должным образом в смс с кодом, что код нужен для привязки нового устройства (вы пишете, что этот код для входа в л/к)? Извините, но вход в л/к и привязка нового устройства - это разные операции.
Таким образом мы имеем ситуацию, когда разовая утечка одной единственной смс может привести к потере всех денег на всех счетах. Более того, даже если я буду внимательно читать все тексты сообщений в смсках, я не смогу понять, что произойдет после авторизации - вход в личный кабинет или мошенническая привязка нового устройства. Это неприемлемый риск. В итоге я почти отказался от пользования вашими услугами. Любая операция - стресс.
Прошу хотя бы вернуть пароль при привязке мобильного приложения. Пароль - единственный фактор, который полностью мне подконтролен, в отличие от смс. Тогда смс-канал будет полноценным вторым фактором (при использовании отдельного телефона).
НЕ опомнятся. Несколько лет назад в мобильном приложении заменили пароль на pin код из 4-х цифр, без возможности использовать пароль, ну не бред ли. Раньше хоть какая то защита была.
Еще надо убрать номер карты и телефон из логинов хотя бы как опцию пусть даже выключенную по умолчанию.
Я выше уже писал - сей час зная телефон можно заблокировать клиенту с этим номером доступ в ЛК введя пароль неправильно 3 раза.
Хорошая статья, но я предлагаю сделать автору, больший акцент на Аппаратный генератор одноразовых кодов, судя по опросу не многие его хотят, а зря. Да не удобно, за то повысит безопасность и его нельзя перевыпустить на стороне, как сим карту. Да и потом, никто не думает что если сим-карта перевыпущена самим владельцем, то как быть, остаться без банкинга или ехать в банк писать бумажку что это я, точно я перевыпустил сим карту?
Задача статьи - не конкретное решение, а показать, что решения есть, их много, но они не даются банками по желанию клиентов.
Все кто хочет по умолчанию могут работать как сейчас. А кому надо больше, пусть за дополнительную плату хотя бы получат больше. Хотя тот же аппаратные или программный токен сэкономят банку на SMS.
сэкономят банку на SMS.
А им это не нужно, это просто отговорки, чтобы комиссии повышать и троянов на телефоны клиентам ставить.
Просто пример - полгода у Авангарда было приложение для Androida - QRCode confirmation. Отлично, "джва года" жду от банкоа пассивного приложения, с тоской вспоминая интернет-банк у ПромСвязьБанка. Чтобы с пониженной безопасностью, но зато без излишнего геморроя. Чтобы нельзя было делать платежи, но можно было бы подтверждать и глядеть статистику по счетам. Т.е. - read-only доступ.
Радовался полгода, и вдруг программа "обновилась". Теперь она называется Авангард Pay и тупо не работает на телефоне, почему - непонятно ("ваша модель не поддерживается"), но скорее всего потому что требует отпечатки пальцев, а я их в телефоне включать не собираюсь. И главное, название показывает, что это опять не пассивная просматривалка-подтверждалка, а активный ИНИЦИАТОР платежей.
То есть полгода Авангард действительно пытался сделать 2FA без SMS, потом сделал поворот кругом и начал делать обманку под видом 2FA.
Сижу, опять СМСки вбиваю.
Хорошие меры. Они тоже бы не помешали. Только меня вон запинали за куда менее радикальные.
Но и их я бы сделал по желанию клиента.
В первом пункте, вы не учли интересы и риски банка.
Я как клиент банка не могу управлять защитой дистанционных каналов, всё определяет банк. Вот пусть он сам и учтёт свои интересы при разработке способов защиты.
Речь о законодательстве, а не о технических мерах. Законодатель должен учитывать интересы всех сторон, а в данном предложении не учтены риски банка, в частности, случаи мошенничества со стороны клиента.
Интересы банка учтены - законодатель предоставляет банку свободу выбора способов защиты дистанционных каналов. Как минимум, в сторону их повышения. Вплоть до полного их отключения, если не ошибаюсь.
В общеюридическом смысле клиент не может нести ответственность за действия банка. Для этого даже не надо новых законов. Просто zero liability проводит четкую черту разграничения ответственности.
Клиент за мошенничество несет уголовную ответственность. Технические средства для контроля клиента банк имеет и именно банк решает какие из них и как применять. У клиента возможностей контроля банка гораздо меньше, а фактически с учетом судебной практики - нет совсем.
По п. 1.
Как будет происходить купля-продажа товара между двумя физлицами? При возможности отозвать покупателем платеж? Продавец отдает вещь, а потом у него забирают деньги за неё. Что предложите? Кэш? Сервисы комиссий? Нотариусы?
По п. 2 люто плюсую. Любой кредит должно быть трудно получить. Только лично, с паспортом и под видеосъемку. И обязательно с фиксацией менеджера выдающего кредит, зачитывающего фразу типа "выдаем кредит на сумму ххх рублей, сроком на уу месяцев, процентной ставкой первые 2 месяца столько, потом столько, общей суммой платежей zzzz" и клиента проговаривающего вслух эту же информацию.
П. 3 - насколько я знаю он почти у всех есть. Более того, я об него очень больно спотыкался, и снятие лимита стоило мне много нервов и большого пучка волос на разных частях тела.
Еще бы как то обязать филиалы банков быть единой системой, а не " ой, мы тут ничего не можем сделать, обратитесь на горячую линию, у вас счет открыт в онлайн-банке, а это московский регион"
Как мне кажется тогда быстро переведутся мошенники. Не исчезнут как класс, но вероятность упадёт на порядки.
Первый пункт уже реализован в 161-ФЗ, но добровольно банки возмещают только небольшие суммы, а крупную даже через суд вернуть вряд ли получится.
Мне однажды позвонили посреди ночи с номера на +4 и начали что-то втирать на немецком со словами "банк", "карта" - евромошенники ошиблись с кодом страны. Там эта проблема на самом деле не менее остра чем у нас: https://germania.one/telefonnoe-moshennichestvo-v-germanii-istorii-zhertv-i-sovety-policii/
К сожалению, везде люди, а не розовые единороги.
Zero liability. Если деньги пропадают со счета в банке, это должна быть проблема банка, а не клиента. Клиенту должно быть достаточно просто уведомить, что это не он. Дальше пускай банк обращается в правоохранительные органы. Если подобное установить законодательно, банки моментально сами сделают все возможное, чтобы свести мошенничество на нет.
Подобное установлено законодательством. У Вас сутки на оповещение банка согласно закона, лет пять назад был издан закон. Просто многие не знают своих прав
А можете поделиться ссылкой/номером закона, если не трудно?
"12. После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления."
А как человеку доказать, что "без согласия клиента"?
А как человеку доказать, что "без согласия клиента"?
В случае, если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента - физического лица о совершенной операции в соответствии с частью 4 настоящей статьи и клиент - физическое лицо направил оператору по переводу денежных средств уведомление в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом - физическим лицом уведомления. В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента - физического лица.
По сути, банк должен доказать халатность со стороны клиента.
Насколько я понимаю, сейчас практика обратная.
Банк почти всегда заявляет, что человек сам виноват, т.к. транзакция была совершена с доверенного устройства.
обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления.
Потому что человек сам, зачастую, виноват.
Ваша обязанность уведомить банку о несанкционированном переводе или утрате эсп, после получения такого уведомления банк обязан принять меры для предотвращения таких переводов. Если он не принял меры, то это его проблемы - он обязан возместить всю сумму по переводам произошедших после получения уведомления.
Банк много чего может заявить, и ваше право оспаривать его заявления. Но если вы нарушили порядок использования эсп, то с какого перепуга банк должен вам возмещать средства из своего кармана? Банк - это коммерческая организация, естественно он будет доказывать вашу вину, чтобы не возвращать деньги по несанкционированным переводам, осуществленным до получения вашего уведомления.
Потому что человек сам, зачастую, виноват.
Ну так пусть банк это докажет и тогда вопросов нет. А пока он это не доказал, то и отвечатъ должен банк.
Ваша обязанность уведомить банку о несанкционированном переводе или утрате эсп, после получения такого уведомления банк обязан принять меры для предотвращения таких переводов.
Что значит "принять меры для предотвращения таких переводов"? Перевод уже совершён. Предотвращать что-то поздно.
Банк много чего может заявить, и ваше право оспаривать его заявления. Но если вы нарушили порядок использования эсп, то с какого перепуга банк должен вам возмещать средства из своего кармана?
Нет. Банк должен доказать своё "заявление". А если он этого сделать не может, то это его проблемы и он должен возмещать..
Ну так пусть банк это докажет и тогда вопросов нет. А пока он это не доказал, то и отвечатъ должен банк.
Вот он и доказывает :D Не нравятся его доказательства - оспаривайте!
Что значит "принять меры для предотвращения таких переводов"? Перевод уже совершён. Предотвращать что-то поздно.
Снять крупную сумму за одну транзакцию может не получиться. Или банально, потерял карту, и через какое-то время приходит смс о покупке на условные 1000 рублей. Раз поздно что-то предотвращать, то пусть снимают дальше...
Нет. Банк должен доказать своё "заявление". А если он этого сделать не может, то это его проблемы и он должен возмещать..
Еще раз, не устраивают его доказательства - оспаривайте, в том числе в суде.
В наших условиях.
Клиент обращается в банк.
Банк проверяет все обстоятельства проведения платежа. Если платеж был совершен в соответствии с правилами проведения операции, то платеж считается проведенным клиентом согласно условий договора.
Если же клиент заранее предупредил банк о компрометации карты/интернет банкинга, то с момента предупреждения вся ответственность лежит на банке. Если операции прошли после факта предупреждения, то банк будет возмещать, если нет - то попадает клиент.
Идеальный zero liability работает в некоторых западных странах благодаря страхованию, т.е. деньги фактически возвращает страховая. Но эта схема у нас еще долго не заработает, т.к. население нищее и желающих побыть мулом пруд пруди, т.е. никто страховать этот риск не будет, он очень высокий.
А для всего остального есть суд, самый честный и справедливый в мире.
Просто многие не знают своих прав и обязанностей
Поправил.
В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции.
Информация к размышлению - что и в каких случаях можно вернуть.
Чем сложнее технические меры, тем менее удобны они пользователям и более удобны мошенникам. А решение, на самом деле, лежит на поверхности: делать крайним не клиента, потерявшего деньги, а банк.
То есть достаточно клиенту сказать: это не я снимал деньги или не я брал кредит. И банк обязан тут же откатить все операции, а уже потом разбираться. И теперь именно банку придётся следить за безопасностью, а не клиенту.
PIN код еще ставить на SIM-карту. В случае утери/кражи телефона, при перестановке в другой аппарат она не сможет принимать одноразовые пароли.
Было бы неплохо, если банки нечто типа Google Authenticator предлагали. Хотя бы опционально. Был у меня давно счет в Bank Of Georgia, так еще в 2008 году там выдавали брелок, генерирующий одноразовые пароли. Он до сих пор генерирует пароли, хотя счета давно уж нет. Не Google Authenticator, но зато довольно железно. А вешать авторизацию на телефонный номер и потом надеяться, что не сделают дубликат симки, та еще затея...
Чем сложнее технические меры, тем менее удобны они пользователям и более удобны мошенникам.Скажите, что мошенникам станет удобнее делать, если я добавлю в белый список ЛК свой статический домашний IP и IP своего прокси на VPS?
Что мошенникам станет удобнее делать, если вместо кода из СМС я буду пользоваться Google Authenticator?
Не рассказывайте мне про бабушек только, хорошо? Я про себя спрашиваю.
Возможны неудобства в случае, если провайдер решит поменять IP. Или упадёт. Или хостинг будет не оплачен. Во прикол будет: чтобы зайти в личный кабинет банка, надо оплатить хостинг, а чтобы оплатить хостинг, надо получить доступ к личному кабинету банка.
Не рассказывайте мне про бабушек только, хорошо? Я про себя спрашиваю.
Ну а вы и не интересны. Целью мошенников являются именно бабушки, а не вы.
А принудительное включение жёстких технических мер для бабушек просто приведёт к тому, что бабушки будут писать пароли и коды на бумажках и хранить вместе с телефоном и картой, что только облегчит работу мошенникам.
Возможны неудобства в случае, если провайдер решит поменять IP. Или упадёт. Или хостинг будет не оплачен.Сразу и то, и то? Война что ли начнется?
А принудительное включение жёстких технических мер для бабушекА кто и где писал про «принудительное включение жёстких технических мер»?
Или хостинг будет не оплачен. Во прикол будет: чтобы зайти в личный кабинет банка, надо оплатить хостинг, а чтобы оплатить хостинг, надо получить доступ к личному кабинету банка.Я, кстати, только сейчас задумался: а какой VPS вообще можно оплатить не картой, а из личного кабинета банка? Из зарубежных вообще никакой, если я правильно понимаю…
Например, есть параноики, у которых на картах выставлен запрет на онлайн-операции и которые перед каждой оплатой кидают необходимую сумму на виртуальную карту. Ну или подтверждение оплаты в виде одноразового кода, который приходит не в виде SMS (это небезопасно), а в приложение.
Из жизненного: зарубежный роуминг. Известно, что у некоторых операторов роуминг автоматически отключается, когда баланс телефона снижается ниже порога, и чтобы он заработал, баланс надо пополнить. А пополнить не получается, потому что SMS-ки не приходят из-за недоступного роуминга.
Например, есть параноики, у которых на картах выставлен запрет на онлайн-операции и которые перед каждой оплатой кидают необходимую сумму на виртуальную карту.А… Ну это от очень специфичных вещей защищает.
в виде SMS (это небезопасно), а в приложение.Так нет разницы же, пока имея доступ к телефону способ выдачи кодов можно изменить.
Известно, что у некоторых операторов роуминг автоматически отключается, когда баланс телефона снижается ниже порога, и чтобы он заработал, баланс надо пополнить. А пополнить не получается, потому что SMS-ки не приходят из-за недоступного роуминга.У меня подобная ситуация с корпоративной СИМкой для интернета. Иногда выхожу из дома и понимаю, что дата оплаты прошла, а я сидя дома не заметил: приходится вспоминать заклинание для оплаты телефона через СМС, ибо интернета нет.
Так нет разницы же, пока имея доступ к телефону способ выдачи кодов можно изменить.
А что, ограничение по IP на мобильное приложение уже не распространяется? Тогда это дыра в безопасности.
приходится вспоминать заклинание для оплаты телефона через СМС, ибо интернета нет.
А в случае роуминга такое не прокатит, т.к. попросту никакой связи не будет.
Должно быть кодовое слово для банка
Пользователь в ЛК банка или в самом банке должен иметь возможность задать кодовое слово которое обязан произнести любой звонящий ему по телефону сотрудник банка.
Логично что мошенники не имеющие доступ к базам банка это кодовое слово получить не могут.
Это не сработает в случае утечки БД с данными пользователями но тем не менее считаю метод вполне эффективный и не сложный для внедрения. Но... всем пофиг
Всвязи с решением о сборе биометрических данных россиян, скоро и кодовое слово со стороны клиента отменят.
Логично что мошенники не имеющие доступ к базам банка это кодовое слово получить не могут.
Тут-то у меня карта и пошла
от мошенников у которых есть доступ к полным базам банка со всей информацией боюсь, что никакие технические средства защиты и не помогут.
Только собственная мозги.
Кодовое слово для клиента поможет против тех кому не хватило денег или связей разжиться полными базами данных.
Большая часть разводил не имеет полных дампов баз. + в банке разграниченный уровень доступов и, допустим, доступ к кодовому слову для клиента может иметь сильно ограниченный набор сотрудников.
Операционистке в отделении, логично что он не нужен - при личном визите в банк проверки не нужны.
Менеджеру который свершает "холодные" звонки в рекламных целях, такой доступ тоже не нужен.
Актуально только для реальных сотрудников безопасности банка и безопасности карточных платежей. И если дампы утекают и в утечке есть кодовые слова для клиента то круг подозреваемых может быть очень сильно сужен. Сугубо мое имхо.
В любом случае это лучше чем ничего. У клиента на данный момент нет вообще никакой возможности верифицировать звонящего.
Единственный вариант спрашивать ФИО и номер добавочного телефона.
Звонить в банк по номеру на сайте и просить соединить с сотрудником.
Потерял любой из трёх — топай в банк.
Это в теории так, а на практике окажется, что те незащищённые которых Вы хотите защитить, не хотят топать ножками. Он пишут в интернетах шутки про "где карту получали, туда и идите" и хотят всё получить по номеру паспорта и коловому слову.
Что? Номер телефона сменился? Ну так новый введите, вот же я знаю номерп аспорта и кодовое слово.
Таким образом, Вы предлагаете ввести не ещё один фактор защиты, а ещё одну уязвимость, с помощью которой можно будет заоверрайдить пароль от банка.
Надо знать все три фактора? Да никто не будет их знать и пускать будут по любому одному, просто чтобы не трепали нервы суппортам.
Предлагаю внимательно прочитать статью и обратить внимание на опциональность.
Никто не предлагает защищать эту категорию. Предлагается дать возможность защиты умным.
Умные ставят сильный пароль на вход и не ставят банковские приложения на смартфон.
Если следовать такой логике, то "умные" вообще не пользуются различным онлайн-банкингом и по старинке каждый раз ножками ходят в оффис банка.
Я вот например хочу иметь возможность пользоваться банковскими приложениями на смартфоне. И не вижу причины.почему их нельзя сделать относительно безопасными.
И не вижу причины.почему их нельзя сделать относительно безопасными.
Если на одном смартфоне приложение, а на другой приходит СМС - это будет относительно безопасно.
А если на смартфон завязаны ВСЕ факторы, то это "однофакторная" схема
Нужен аппаратный токен, который удалённо нельзя поменять.
Технически, SIM-ка подошла бы. Только банк-клиент должен привязываться именно к SIM-ке, а не к номеру. И общаться с этим чипом напрямую, а не через сеть оператора связи.
Нужен аппаратный токен, который удалённо нельзя поменять.
Добрый день, у меня что-то токен перстал работать. Я сейчас заграницей и не могу придти в банк, а первод сделать нужно. Что можно сделать?
Не переживайте, сейчас разберёмся.
Добрый день, у меня что-то токен перстал работать. Я сейчас заграницей и не могу придти в банк, а первод сделать нужно. Что можно сделать?
Взять листочек с резервными кодами или резервный токен. В переводе на современные реалии описанная ситуация — это 'у меня банковская карта сломалась/потерялась, а я хочу расплатиться'. Что в этом случае делают?
Это не карта и она не сломалась.
Человеку просто прямо сейчас надо получить доступ к работающему личному кабинету где лежат его деньги.
Или отвезти отца в больницу, в жизни бывают разные ситуации
Это не карта и она не сломалась.
Какая разница? У вас перестал работать "штатный" способ доступа. По хорошему в такой ситуации надо идти в банк и разбираться "вживую". Или по крайней мере использовать все те методы аутентификации которые вы использовали если открывали счёт удалённо.
Или отвезти отца в больницу, в жизни бывают разные ситуации
Ситуации бывают очень разные. Но ни один банк не обязан предоставлять вам удобный вариант выхода из абсолютно любой ситуации.
Но ни один банк не обязан предоставлять вам удобный вариант выхода из абсолютно любой ситуации.
Кому и что будет предоставлять банк, решать ни мне и не Вам, а тем кто пишет скрипты для суппортов.
Если они решат, что им выгодней давать доступ по телефонному звонку и девичьей фамилии матери, чем смотреть как аудитория уходит в более клиенто-ориентированный банк, то они так и сделают.
Кстати, а в Вашем банке Вас заставили выбрать кодовое слово, по которому можно будет предоставлять Вам услуги по телефону?
Кому и что будет предоставлять банк, решать ни мне и не Вам, а тем кто пишет скрипты для суппортов.
Во первых это не совсем так. Я как клиент могу "голосовать ногами" и тем самым влиять на банки. Кроме того есть ещё и законодательные вопросы, которые тоже оказывают на всё это дело заметное влияние. То есть например у меня в стране авторизацию по смс признали не особо безопасной на законодательном уровне. И если банк предлагает авторизацию по смс, то он несёт полную отвественность и обязан возмещать любой ущерб.
А во вторых выходы из абсолютно любой ситуации вам не предоставит ни один банк.
Если они решат, что им выгодней давать доступ по телефонному звонку и девичьей фамилии матери, чем смотреть как аудитория уходит в более клиенто-ориентированный банк, то они так и сделают.
До тех пор пока они берут на себя ответственность за возможные случаи мошенничества меня такой подход устраивает. Но в комментариях к данной статье скоее обсуждается ситуация когда банк предоствляет не особо адекватные способы авторизации, а в случае мошенничества спихивает всё на клиента.
Кстати, а в Вашем банке Вас заставили выбрать кодовое слово, по которому можно будет предоставлять Вам услуги по телефону?
Я вообще не уверен что мой банк предоставляет такую опцию. И подозреваю что она тоже признана не особо безопасной.
А если на смартфон завязаны ВСЕ факторы, то это "однофакторная" схема
Во первых даже это совсем не обязательно так. Банально биометрия и пароль это уже два фактора.
Во вторых есть варианты с дополнительными устройствами, которые не являются смартфонами.
И в третьих мне в общем-то не важно "сколькофакторная" у меня схема до тех пор пока мне это удобно, а банк готов брать на себя риски.
> Банально биометрия
Да, Вы правы, есть такая возможность.
Кстати, может Вы ещё знаете в какое отделение нужно сходить ножками, чтобы подписать бумагу "нигде, никогда и не при каких обстоятельствах не авторизовать меня удалённо по биометрии"?
Ну в моём банке абсолютно в любое :)
Или точнее когда вы подписываете договор вам надо выбрать хотите ли вы вообще иметь онлайн-банкинг и если да, то какой/какие из вариантов авторизации вам подходят. Ну и разные виды авторизации имеют разные лимиты на переводы/оплаты.
П.С. Ну и как бы биометрия сама по себе в одиночку не особо вариант, но на мой взгляд однозначно лучше чем смски в качестве второго или третьего фактора.
Конечно поставят. И будут делать это до тех пор, пока будет такая возможность.
То есть, проблема в самом факте существования этих приложений, а не в том, сколько Вы выдумаете гипотетических преград для мошенников.
Просто потому, что Вы выдумываете гипотетическую преграду работающую при условии "топай в банк", а это условие не будет соблюдено.
Для того, чтобы в этом убедиться, попробуйте убедить вот этого человека в том что он должен ходить ножками в банк - https://habr.com/ru/company/itsoft/blog/581154/comments/#comment_23552598 .
Некоторые операторы предлагают виртуальные (дополнительные) мобильные номера. Главное не потерять контроль над таким номером
Когда насоздавал сложных паролей и забыл
Введение доп проверок банально уменьшает прибыль бизнеса. Просто потому что любая до проверка отсечет часть клиентов. Для последнего клиента введение 3дс пейментов для сайнапа стоило 10% конверсии (или переводя в абсолютные цифры - миллионы баксов в год). Просто потому что платеж с доп запросом на пин (или смс) сложнее чем платеж без оного.
уже нет. Именно для этого бизнесмены, что бы не парится безопансостью придумали 3dsec v2.0. Если в первой версии каждый платеж в независимости от суммы должен был подтверждаться кодом, то во второй версии - далеко не каждый, а только те, которые банк решит что они "рисковые". Понятие рисковости - внутренняя кухня банка.
Но смысл и глобальная тенденция в мире финансов такова - F*CK SECURITY! И именно поэтому никто для нескольких параноиков не будет делать повышенную безопасность. Лично мне, как параноику эта ситуация предельно не нравится, но такова реальность :(
Но в сочетании с zero liability это, на самом деле, хорошо. Причина простая: ущерб от мошенников меньше, чем упущенная выгода от использования сложных схем обеспечения безопасности.
В России своеборазное понимание этого термина. Например, работники Альфа-Банка обманом затягивают сроки принятия заявки, чтобы клиент не получил возмещение.
Мне кажется это решается проще. Вы еж сами пишите что банки устраивает что у клиента увели деньги, он все равно проплатит ему все+процент. Так и поменять ситуацию тут - по моему заявлению банк автоматом возвращает мне мои деньги, и только потом разбирается что там и как. Если я вру - доказывает и трясет с меня +штраф. Нет - это проблемы найти мошенников и вернуть деньги. И поверьте тогда сразу все наладится, банки начнут искать решения и скорее всего найдут.
Заставить ОПСОСов бесплатно уведомлять о подозрительном звонке, например, путем публикации тако базы сервисам проверки входящих звонков в операционной системе
Личная статистика нерепрезентативна, но всё же у меня ни разу не пытались увести деньги техническими способами, а только соц инженерией. А если работает соц инженерия, то уже без разницы какие технические средства.
Реклама VDS - не пройдет. Это точно так же недоверенный ресурс, на мощностях третьей стороны, с непонятными политиками доступа.
fail2ban - вообще говнина, простите, никогда не забуду, как я вляпался с ним и астериском, когда попросту в f2b не работал multiport бан. И это был признанный issue. Не, нафиг, такой софт. Надо защищаться по-серьезному, а не это вот все
И f2b и астериск - решения бесплатные, но есть и аналоги, которые за деньги позволят (вероятно) в подобные ситуации не попадать. О проблеме, которую вы описали было известно еще в 2015 году и ее давно исправили: https://github.com/fail2ban/fail2ban/issues/1092
В США вопрос решается проще: если клиент заявил о мошенничестве, банк обязан возместить всё и сразу. А потом уже самостоятельно работать с правоохранителям, ловить мошенников и т.п. Это установлено на законодательном уровне.
И банки со-овсем по другому относятся к вопросу.
Банк «Санкт-Петербург»:
— Программный генератор кодов (Google authenticator) — бесплатно (правда только как доп альтернатива, а не замена смс, (емнип подтверждение по смс нельзя отключить). Это для физиков, а для юриков еще какие-то аппаратные токены есть, не вникал www.bspb.ru/business/distant-services/protection
— Можно настроить уведомления на почту, вместо смс — дешевле, чем смс, но платно.
Банк «Авангард»:
— Есть карта с дисплеем для подтверждения операций. www.avangard.ru/rus/private/cards/card_with_display
Уведомление на почту платно?! Да они что там совсем кукой поехали?
не столкнутся, т.к. банки осознанно отказались от более продвинутых средств защиты платежей в ритэйле (аппаратные брелки OTP). Посему возврат обратно скорее всего будет очень нескоро, к сожалению, текущая привзяка к телефону должна полностью себя дескредитировать в массовом порядке. Пока такое не наблюдается, текущая ситуация не изменится.
Посему самый действенный вариант для себя лично:
-отдельный телефон для банка, в отдельном аппарате, желательно даже кнопочном.
-привязка симки к паспорту и контракту, что бы ее перевыпуск через соц. инженерию стал невозможным (правда тут есть нюансы, т.к. телекомы жгут своей жадностью сводя безопасность симки ниже плинтуса).
-перейти на зарубежные банки, где аппаратные брелки - это норма.
Проблема есть но решения так себе - чего стоит только совет завести собственную VPSку для электронной почты - проще надо быть и к тебе потянуться люди :) Решения должны быть простыми и эффективным, без того что бы завел 10-ть паролей и если потерял хоть один - топай в банк :) Если СИМ карту поменял - да , иди , это правильно - большинство за эту идею в опросе и проголосовало. Полумера в этом вопросе конечно блокировка СМС на 24 часа при получении новой карты которую предлагает Мегафон- защита тоже не очень, но в принципе тоже работает
Спасибо за табличку со сравнением премиальных услуг банков. Жаль, полтора года назад о ней не знал, когда выбирал новый с PriorityPass/LoungeKey вместо Открытия.
Чем больше ключей и чем их сложность выше, тем сложнее пользователю их запомнить. Чем сложнее пользователю запомнить, тем выше вероятность, что он попытается облегчить себе жизни: записать на бумажку, сохранить в телефоне и так далее.
Поэтому можно придумать сколь угодно независимых ключей для доступа, но вся эта система с треском разобьется о бабушку, которая не сможет запомнить пароль сложнее, чем имя внучки + дата рождения.
К решению проблем безопасности нужно подходить с двух сторон: со стороны профессиональной (те самые варианты ключей и их независимость) и со стороны простого пользователя. А сделать простой, но безопасный ключ - весьма нетривиальная задача.
А с вашим десятком независимых ключей, выбор которых зависит от дня недели, ретроградного меркурия и луны в козероге, от услуг таких банков пользователи начнут уходить ибо "сложно, ничего не понятно".
Вам не надо, работайте как есть. А вон голосовалка, так куча людей проголосовало. Вполне грамотных и сознательных. И они хотят, чтобы им по их желанию были доступны дополнительные ключи.
Почему вы хотите решать за других как им будет лучше?
Во-первых, в статье я, к сожалению, не заметил указания, что эта система должна предоставляться по желанию.
Во-вторых, лично я выбрал бы усложнение. Частично я с вами согласен. Но лишь частично.
В-третьих, с такой системой (если убрать незамеченное мной "по желанию") за других решаете как раз вы.
И последнее. Даже среди грамотно подкованных людей существует один недостаток, выражающийся в банальной фразе: "если это сложно и необязательно, то использоваться не будет".
Поэтому таких, кто реально (не в голосовании, а на практике) выберет такую сложную систему, а после некоторого времени ее использования с нее не уйдет, будет минимум. И именно поэтому банки не будут это делать, как их не заставляй.
Работать ради 0.1% рынка (цифру взял для из головы для красного слова, но не думаю, что в реале наберется хотя бы 5-10%) никто не станет. Особенно в такой неповоротливой сфере как банки.
P.S. однако мне понравился вот этот комментарий:
В США вопрос решается проще: если клиент заявил о мошенничестве, банк обязан возместить всё и сразу. А потом уже самостоятельно работать с правоохранителям, ловить мошенников и т.п. Это установлено на законодательном уровне.И банки со-овсем по другому относятся к вопросу.
Вот это похоже на один из реальных способов простимулировать банки сделать хоть что-то. И именно так на них и стоит воздействовать.
Банки не хотят внедрять многофакторную авторизацию и покончить с мошенничеством