Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 126
А что по телефону указанному на экране сказали?
Я не звонил, публиковал фото в фэйсбуке с упоминанием банков, ни один банк не ответил.
То есть вы проигнорировали явное указание действия, которое вы должны совершить, и утверждаете, что это действие не работает?
Если эта проблема существует не один месяц, значит, либо клиенты игнорируют сообщение и снимают деньги, либо они звонят, сообщают об отличиях, но ни чего не меняется. Из этого я делаю вывод. что таки да, эти информационные сообщения не работают.
Звонки в банк ничего не меняют. Знаю по своей аналогичной ситуации.
Не нашел утверждения автора, что это действие не работает. Прошу ткнуть носом в цитату.
Если банки допускают такого рода ошибки, значит никто поправлять это не будет. Не удивлюсь, если при звонке по этому номеру никто не ответит.
Если банки допускают такого рода ошибки, значит никто поправлять это не будет. Не удивлюсь, если при звонке по этому номеру никто не ответит.
Ок, с цитатами:
этим автор заявил, что приведённые меры не работают.
а этим он подтвердил, что указанные действия он не совершал.
«Получается, это не борьба со скиммингом, а её имитация.»
этим автор заявил, что приведённые меры не работают.
"Я не звонил"
а этим он подтвердил, что указанные действия он не совершал.
А что изменил бы звонок автора по указанному номеру? Банки начали бы более компетентно подходить к своей работе?
Автор утверждает что эти изображения всего лишь имитация борьбы со скиммингом, и с этим сложно не согласится учитывая предложенное в статье исследование.
Автор утверждает что эти изображения всего лишь имитация борьбы со скиммингом, и с этим сложно не согласится учитывая предложенное в статье исследование.
Исследование — это сопостовление фактов.
Сопостовление фактов с домыслами — это уже теория заговора, а не исследование.
Тем более, что для доведения до исследования не хватило всего ничего.
Сопостовление фактов с домыслами — это уже теория заговора, а не исследование.
Тем более, что для доведения до исследования не хватило всего ничего.
Я правда не понимаю вашей позиции. Давайте вместе представим идеальный подход к борьбе с скиммингом в банке. Предположим мне нужно решить эту проблему и я собрался использовать именно тот подход, что описан в этой статье. Все что от меня требуется, это сфотографировать и отцифровать клавиатуру на банкоматах нашего банка и добавить это изображение вместе с поясняющими текстами в качестве одного из шагов взаимодействия с пользователем. После я должен протестировать это и запустить «на продакшен». Если банк не может выполнить эти элементарные действия, значит банк и не собирается бороться с скиммингом, все это лишь бутофория и не более того. Так зачем куда то звонить? Что вы ожидаете услушать после звонка?
Моя позиция — пока звонок не совершен, нельзя сказать, насколько неэффективна эта мера.
Можно сколько угодно выдумывать, но это всего лишь домыслы.
Причем поскольку главный вывод основан на домысле — сейчас вся статья — домыслы автора.
Можно сколько угодно выдумывать, но это всего лишь домыслы.
Причем поскольку главный вывод основан на домысле — сейчас вся статья — домыслы автора.
Моя позиция — пока звонок не совершен, нельзя сказать, насколько неэффективна эта мера
Так что изменит звонок? Мера является неэффективной, ибо она изначально являлась нерабочим решением и звонок здесь ничего не исправил.
Причем поскольку главный вывод основан на домысле
Я не считаю звонок главным выводом. Главный вывод здесь в том, что банки настолько халатно подошли к проблеме скимминга, что даже не удосужились протестировать свое решение. Это то же самое, что я создам нерабочую игру, выложу ее в Steam и в описании напишу: «Если игра у вас не запускается, сообщите об этом по телефону». Другими словами заведомо нерабочее решение сопровождается просьбой позвонить и сообщить о неработоспособности этого решения. Вам не кажется это глупостью?
Так что изменит звонок?
Совершенный звонок (и зафиксированное отсутствие реакции на него) меняет домысел на факт, и вся статья вместо голословной становится исследованием.
и зафиксированное отсутствие реакции на него
А тот факт, что банк не удосужился перед использованием решения его протестировать для вас недостаточно? Даже если после звонка к вам приедет «служба замены банкомата на правильный» делает подобный подход не бутофорией?
С чего вы взяли, что решение не протестировано?
Теперь уже не только автор, но и вы впадаете в оперирование домыслами вместо фактов.
Теперь уже не только автор, но и вы впадаете в оперирование домыслами вместо фактов.
С чего вы взяли, что решение не протестировано?
А как оно может быть протестировано, если на картинке одна клавиатура, а в банкомате другая? Те люди, которые внедряли это решение не могли включить банкомат и сверить картинку и реальность?
Во-1х, это может быть реальная атака. То, что вы «на глазок» не обнаружили подмены не означает, что это не атака.
Во-2х, рассмотрим простой случай — у банка 40000 банкоматов 40 физических модификаций в 200 населённых пунктах. Было проверено 4000 банкоматов 40 физических модификаций в 20 населённых пунктах. Считаете ли вы это «протестировано»?
Во-2х, рассмотрим простой случай — у банка 40000 банкоматов 40 физических модификаций в 200 населённых пунктах. Было проверено 4000 банкоматов 40 физических модификаций в 20 населённых пунктах. Считаете ли вы это «протестировано»?
Такие ответы мне уже больше по душе )
Неужели так сложно отличить накладную клавиатуру от реальной?
Зависит от политики безопасности банка и его модели оценки рисков. Я не знаком с тем, как выкатываются подобные модификации в банкомат, но если это делается на месте установки банкомата, думаю не сложно протестировать их все. Если же клавиатуры банкоматов отличаются, а изменения накатываются на них пакетно (не на каждый отдельно, а какой то общей командой вида ./update.sh), то что мешает накатить изменения правильно, чтоб картинка на всех банкоматах совпадала с конфигурацией их клавиатур? Неужели это настолько сложно?
Это как если бы я написал игру для Windows, а затем выложил ее как работающую под OSx и Linux в надежде, что пользователи сообщат мне об ошибках. Как то халатно на мой взгляд.
Во-1х, это может быть реальная атака
Неужели так сложно отличить накладную клавиатуру от реальной?
Считаете ли вы это «протестировано»?
Зависит от политики безопасности банка и его модели оценки рисков. Я не знаком с тем, как выкатываются подобные модификации в банкомат, но если это делается на месте установки банкомата, думаю не сложно протестировать их все. Если же клавиатуры банкоматов отличаются, а изменения накатываются на них пакетно (не на каждый отдельно, а какой то общей командой вида ./update.sh), то что мешает накатить изменения правильно, чтоб картинка на всех банкоматах совпадала с конфигурацией их клавиатур? Неужели это настолько сложно?
Это как если бы я написал игру для Windows, а затем выложил ее как работающую под OSx и Linux в надежде, что пользователи сообщат мне об ошибках. Как то халатно на мой взгляд.
Не смотреть сюда
P.S. Хабр не позволил мне добавить этот комментарий из за какой то SQL ошибки (к сожалению не записал), потому пришлось добавить этот P.S., иначе срабатывает защита от спама.
Неужели так сложно отличить накладную клавиатуру от реальной?
Поскольку это идёт гонка меча и щита, да. Накладки становятся всё лучше и всё сложнее отличить их.
Я не знаком с тем, как выкатываются подобные модификации в банкомат
Немного подробностей
В целом, ПО банкомата — фиксированное, внести в него изменение очень дорого и сложно.
А вот внести изменение в его конфигурацию, без изменения логики работы — легко. Именно это и делается, путем добавления дополнительных шагов.
Скрипт, исполняемый банкоматом может варьироваться в зависимости от аппаратных особенностей банкомата или других параметров, но, насколько знаю, вид клавиатуры в них не входит.
Поэтому и делают самые разные хаки, чтобы на банкоматах выводились правильные картинки. Что и ломается, если какой-то физический банкомат был в ремонте, и факт замены детали не отразили в нужном месте.
p.s.: из ~50 банкоматов, которыми я пользовался в новосибирске, ни у одного не было расхождения.
p.p.s: в швейцарии я пока не видел таких картинок вообще, не знаю, почему.
Было проверено 4000 банкоматов 40 физических модификаций в 20 населённых пунктах. Считаете ли вы это «протестировано»?
Очевидно что нет, описанный вами вариант совершенно не подходит под «было протестировано».
Почему?
Потому что были проверены не все.
Безразличие и безответственность
«Количество банкоматов и терминалов Сбербанка к январю 2015 года превысило 90 тысяч».
15 минут на проверку одного банкомата (оптимистичная оценка, с учетом того, что до некоторых придётся добираться, а некоторые будут делать девочки на местах не совсем понимающие что надо сделать) = 22500 человеко-часов на просто сделать фотки всех банкоматов.
Согласен, глупости, проверять надо всё.
15 минут на проверку одного банкомата (оптимистичная оценка, с учетом того, что до некоторых придётся добираться, а некоторые будут делать девочки на местах не совсем понимающие что надо сделать) = 22500 человеко-часов на просто сделать фотки всех банкоматов.
Согласен, глупости, проверять надо всё.
Совершенно очевидно что проверять нужно всё и сарказм здесь не уместен.
Нет, не очевидно. Можете привести цепочку очевидных для вас рассуждений, приводящих к этому выводу как однозначному?
Могу предложить вам поискать в толковом словаре значение слова «проверять».
Понятия не имею. При чём тут они?
Вы действительно полагаете, что сделав некую неполную выборку по некой методике, можно утверждать что тестирование проведено корректно и проблем не обнаружено? Серьёзно?
Вы действительно полагаете, что сделав некую неполную выборку по некой методике, можно утверждать что тестирование проведено корректно и проблем не обнаружено? Серьёзно?
Да, при определённых условиях. Именно потому различные методики тестирования и существуют.
неужели все кроме вас идиоты, и не понимают, что всегда надо проверять всё?
неужели все кроме вас идиоты, и не понимают, что всегда надо проверять всё?
Вообще то да. Например, при массовом выпуске товара подавляющее большинство тестов — выборочные. И в результате вполне корректная статистическая оценка.
Альтернатива стохастическому подходу — 100% протестированный но не кому не нужный продукт в виду его высокой стоимости.
Альтернатива стохастическому подходу — 100% протестированный но не кому не нужный продукт в виду его высокой стоимости.
Еще немного технических подробностей: это решение, которое легче всего реализуемо. Так как добавить один шаг в workflow со стандартным поведением (просто показать картинку с далее/отмена) проще всего, тогда как любая нетривиальная логика требуется очень сложного процесса возможно с вмешательством в железо, пересертификацией и еще много чем, о чем нам, не-банковским ITшникам, не ведомо.
Поэтому вопрос стоит неправильно. Что можно сделать?
1. Правильная реакция на эти жалобы — однозначно должна быть (и мы не знаем, есть ли реакция, почему я и говорю, что без этого шага — заявление просто сотрясание воздуха).
2. Изменение физическое банкоматов, для усложнения монтажа — во-1х невозможно (всегда можно что-то приделать сверху, чтобы ты не делал), во-2х дорого (именно поэтому постепенно добавляют античиталки на картоприёмники навесные, но никак не меняют сами банкоматы
3. Усиление физической охраны банкоматов — слишком дорого в связи с необходимым охватом доступности банкоматов
Итак, что вы еще предлагаете?
Поэтому вопрос стоит неправильно. Что можно сделать?
1. Правильная реакция на эти жалобы — однозначно должна быть (и мы не знаем, есть ли реакция, почему я и говорю, что без этого шага — заявление просто сотрясание воздуха).
2. Изменение физическое банкоматов, для усложнения монтажа — во-1х невозможно (всегда можно что-то приделать сверху, чтобы ты не делал), во-2х дорого (именно поэтому постепенно добавляют античиталки на картоприёмники навесные, но никак не меняют сами банкоматы
3. Усиление физической охраны банкоматов — слишком дорого в связи с необходимым охватом доступности банкоматов
Итак, что вы еще предлагаете?
Еще немного технических подробностей: это решение, которое легче всего реализуемо
Итак, что вы еще предлагаете?
Я предлагаю очень простое решение — протестировать перед тем как «сливать в продакшен». Я считаю, что если это сделано не было, значит банк халатно относится к своей работе, а так как это решение касается безопасности пользователей, значит банк халатно относится к своим клиентам. Совершенно не важно, будут ли клиенты звонить по указанному номеру или нет, и я считаю это фактом.
Возможно мы друг друга не поняли )
Так, еще раз.
С чего вы взяли, что решение не протестировано?
Мы пока наблюдаем одно — есть расхождение, если действие, которое ожидается от пользователя в случае расхождения. Мы не знаем, является ли это расхождение ошибкой (или даже халатностью) банка (или кого-либо из сотрудников) или реальной атакой на банкомат. И для различения этих ситуаций не было сделано ничего, а выводы были сделаны.
Вы понимаете, что я веду не о конкретном случае а о некорректном поведении исследователя.
С чего вы взяли, что решение не протестировано?
Мы пока наблюдаем одно — есть расхождение, если действие, которое ожидается от пользователя в случае расхождения. Мы не знаем, является ли это расхождение ошибкой (или даже халатностью) банка (или кого-либо из сотрудников) или реальной атакой на банкомат. И для различения этих ситуаций не было сделано ничего, а выводы были сделаны.
Вы понимаете, что я веду не о конкретном случае а о некорректном поведении исследователя.
Мы не знаем, является ли это расхождение ошибкой (или даже халатностью) банка (или кого-либо из сотрудников) или реальной атакой на банкомат
Так автор же сообщает нам:
Я осмотрел ПИН-клавиатуру в банкомате и убедившись, что она не накладная, снял деньги
Следовательно это ошибка или халатность банка. Иначе как объяснить расхождение картинки и конфигурации клавиатуры, которая является частью банкомата (не мошеническая)?
Учитывая, что автор делает выводы на основании своего мнения, а не фактов, я не могу доверять его убеждению.
Вот пример клавиатуры, которую очень сложно обнаружить как накладную:
Вот пример клавиатуры, которую очень сложно обнаружить как накладную:
То есть вопрос больше сводится не к тому — был совершен звонок или нет — а к тому — являлась ли клавиатура на «проблемных» банкоматах настоящей или потдельной.
Нет, вопрос сводится именно к тому, что человек утверждает, что методы неэффективные, при этом, он не стал им следовать.
(разумеется, я согласен, что это еще одно доказательство низкой эффективности методики, но это вне обсуждения — публикуя это исследование, он взял на себя обязательства не балаболить).
(разумеется, я согласен, что это еще одно доказательство низкой эффективности методики, но это вне обсуждения — публикуя это исследование, он взял на себя обязательства не балаболить).
Речь о том, что фактическая клавиатура (настоящая, установленная на банкомате, без скиммеров и прочего добра), как говориться, «из коробки» тупо не соответствует тому, что указано на картинке.
В данном случае подразумевается, что никакой модификации банкомата на самом деле не произошло, но визуальное несоответствие есть, которое лишь сбивает людей с толку. И есть это несоответствие из-за того, что кое-кто не сделал свою работу и недосмотрел, что графика, используемая в информационном сообщение не соответствует фактическому положению вещей.
Если бы решение было протестировано, то несоответствие было бы замечено и в банкомате была бы картинка, соответствующая реальной клавиатуре.
В данном случае подразумевается, что никакой модификации банкомата на самом деле не произошло, но визуальное несоответствие есть, которое лишь сбивает людей с толку. И есть это несоответствие из-за того, что кое-кто не сделал свою работу и недосмотрел, что графика, используемая в информационном сообщение не соответствует фактическому положению вещей.
Если бы решение было протестировано, то несоответствие было бы замечено и в банкомате была бы картинка, соответствующая реальной клавиатуре.
Речь о том, что фактическая клавиатура (настоящая, установленная на банкомате, без скиммеров и прочего добра), как говориться, «из коробки» тупо не соответствует тому, что указано на картинке.
Я еще раз подчеркну, что мы не обладаем достаточным доказательством, что это настоящая клавиатура. В этом и есть проблема.
И есть это несоответствие из-за того, что кое-кто не сделал свою работу и недосмотрел
Откуда эти уши торчат я знаю — после ремонта на старый банкомат поставили новую клавиатуру, информацию о чем не внесли в инвентаризацию конкретного банкомата.
Почему так получилось? Потому, что пока не началась эта байда со скиммерами, никто не думал, что вид клавиатуры важен.
И да, правильное поведение банка — поправить инвентаризацию банкомата (в идеале — на следующем осмотре всех банкоматов провести верификацию этой информации по всем банкоматам).
Но я еще раз подчеркну, что спорю я не с этим, а с тем, что выводы в статье сделаны на голословном базисе.
И это не для хабра, а для какой-нибудь группы фконтакта «мы все умрём».
Я просто намекаю автору, что любые выводы должны делаться основываясь на фактах, а не на домыслах и собственном мнении.
Во-1х иначе есть шанс нарваться на реальное уголовное преследование за клевету
Во-2х в принципе в жизни самое главное — докопаться до истины, а не найти подтверждение собственной правоте.
В общем, избавляйтесь от BIAS.
Во-1х иначе есть шанс нарваться на реальное уголовное преследование за клевету
Во-2х в принципе в жизни самое главное — докопаться до истины, а не найти подтверждение собственной правоте.
В общем, избавляйтесь от BIAS.
А вы не думали, что это не недосмотр, а уловка банка.
В случае, если жулики таки поставят скриммер и сопрут данные карт, банк всегда сможет сказать — а чего вы пихали и нажимали если видели, что клавиатура/щель не соответствует нарисованной на картинке?
В случае, если жулики таки поставят скриммер и сопрут данные карт, банк всегда сможет сказать — а чего вы пихали и нажимали если видели, что клавиатура/щель не соответствует нарисованной на картинке?
Смотрите, вот вам реальный кейс. Я сейчас вышел на работе в фойе, там стоят 3 банкомата. Мне нужно срочно снять деньги. Из 3-х банкоматов 1 не работает по техническим причинам, в двух остальных не соответствуют клавиатура и кард-ридер. Я позвонил по указаному на одном из банкоматов телефону и сообщил о том. что клавиатура не соответствует той, что на изображении. Мне ответили, что передадут эту информацию в службу безопасности. Но вот что мне сейчас делать, когда мне нужно снять деньги, а два банкомата имеют признаки наличия мошеннических накладок? Мне прийдется либо искать другой банкомат, либо ждать, когда банк проверит банкомат и исправит картинку. И теперь ответьте мне на вопрос, работает ли сейчас программа по борьбе со скиммингом? Да, наверное. Но в ущерб банку и клиентам.
А что должно было случиться? Должна была появиться группа захвата, уложить вас лицом в пол и проверить банкомат?
Если предположить, что вы являетесь клиентом только одного банка, при этом у этого банка такое несоответствие на всех банкоматах, то эта «халатность» банка лишает вас возможности пользоваться картой до исправшения этой ошибки (возможно на несколько дней/месяцев/лет).
Правильное поведение с вашей стороны: если обнаружили банкомат с признаками несоответствия, то принять решение о рисках.
Либо вы принимаете риск копирования карты, и пользуетесь им, либо не принимаете, и ищете банкомат, который работает и не имеет признаков.
Вы можете минимизировать риски потери денег, заменив их на гарантированную потерю времени либо сейчас (искать другой банкомат) либо потом (сразу после снятия денег заблокировать карту).
Других вариантов не может быть — потому что если на банкомате реально будет считыватель, у вас будут ровно те же самые варианты.
Либо вы принимаете риск копирования карты, и пользуетесь им, либо не принимаете, и ищете банкомат, который работает и не имеет признаков.
Вы можете минимизировать риски потери денег, заменив их на гарантированную потерю времени либо сейчас (искать другой банкомат) либо потом (сразу после снятия денег заблокировать карту).
Других вариантов не может быть — потому что если на банкомате реально будет считыватель, у вас будут ровно те же самые варианты.
Позвольте вклинусь в Вашу ветку сообщений здесь. Я конечно понимаю Вашу претензию к автору и в сферическом вакууме я бы даже с ней согласился, но суровая пост-советская реальность вносит некоторые коррективы. Я вот лично видел не менее трех случаев, когда банки успешно уведомляли по телефону о проблеме скиммеров:
— в первом случае не совсем понятно было скиммер там или нет, но выглядело все подозрительно и на всякий случай позвонили в банк, где после уточнения всей информации (барабанная дробь) «проверили удаленно по интернету», что «все нормально и скиммера нет»;
— во втором случае было довольно очевидно, что на банкомате скиммер, банк принял информацию и там пообещали в кратчайшие сроки все исправить… через 1-2-7-30 дней (дальше просто лень было проверять) ничего не изменилось;
— в третьем случае внешне все выглядело более чем странно, но попытки сообщить об этом в банк наткнулись на упороторые попытки операторов убедить нас, что мы ничего не понимаем, все хорошо и нет никаких проблем;
Вот Вам реалии того как работает все это добро здесь, а не в Швейцарии :) Надо ли лишний раз упоминать, что для того чтобы сообщить это пришлось проявить упорство т.к. ожидания на линиях и переключений операторов было обычно около получаса в каждом случае.
Мне даже рассказывали как все это выглядит с другой стороны (знакомый один некоторое время проработал в банкинге, прежде чем сбежать оттуда, ибо никакие деньги, по его словам, такие условия и коллектив никогда не компенсируют) — там всем на все плевать, реальный результат никого не волнует, просто требуется закрыть ряд пунктов галочками, что мол предусмотрели, сделали, проинформировали и т.д. Ситуация характерная для многих мест, одно из наследий советской системы — важно не работать, а делать вид, что работаешь.
— в первом случае не совсем понятно было скиммер там или нет, но выглядело все подозрительно и на всякий случай позвонили в банк, где после уточнения всей информации (барабанная дробь) «проверили удаленно по интернету», что «все нормально и скиммера нет»;
— во втором случае было довольно очевидно, что на банкомате скиммер, банк принял информацию и там пообещали в кратчайшие сроки все исправить… через 1-2-7-30 дней (дальше просто лень было проверять) ничего не изменилось;
— в третьем случае внешне все выглядело более чем странно, но попытки сообщить об этом в банк наткнулись на упороторые попытки операторов убедить нас, что мы ничего не понимаем, все хорошо и нет никаких проблем;
Вот Вам реалии того как работает все это добро здесь, а не в Швейцарии :) Надо ли лишний раз упоминать, что для того чтобы сообщить это пришлось проявить упорство т.к. ожидания на линиях и переключений операторов было обычно около получаса в каждом случае.
Мне даже рассказывали как все это выглядит с другой стороны (знакомый один некоторое время проработал в банкинге, прежде чем сбежать оттуда, ибо никакие деньги, по его словам, такие условия и коллектив никогда не компенсируют) — там всем на все плевать, реальный результат никого не волнует, просто требуется закрыть ряд пунктов галочками, что мол предусмотрели, сделали, проинформировали и т.д. Ситуация характерная для многих мест, одно из наследий советской системы — важно не работать, а делать вид, что работаешь.
Нет, эта система вполне работает но при одном условии — нужен реально хороший пастух который за всем следит и всегда в курсе всего.
Когда система настолько сложна что исполнитель никогда не сможет предусмотреть все последствия своих действий — работа по галочкам это единственный вариант, но при этом работа должна быть хорошо организована на верхнем уровне. А с этим как раз похоже проблемы, поэтому и создаётся впечатление что всё разваливается.
Когда система настолько сложна что исполнитель никогда не сможет предусмотреть все последствия своих действий — работа по галочкам это единственный вариант, но при этом работа должна быть хорошо организована на верхнем уровне. А с этим как раз похоже проблемы, поэтому и создаётся впечатление что всё разваливается.
Вы так наезжаете, будто человек опубликовал мегауязвимость не сообщив в службу безопасности.
Считаю что его действия вполне адекватны.
Но даже после выставления разгильдяйства напоказ, думаю, ничего не изменится.
Банкомат работает? — работает. А из-за неправильной картинки клиенты не разбегутся. К тому же такие косяки у всех банков.
Считаю что его действия вполне адекватны.
Но даже после выставления разгильдяйства напоказ, думаю, ничего не изменится.
Банкомат работает? — работает. А из-за неправильной картинки клиенты не разбегутся. К тому же такие косяки у всех банков.
Человек гонит волну без доказательств, тем самым занимается тем же, чем и сам банк — подрывает свой авторитет.
Смотрите, у меня в ситуации, когда я звонил четыре раза, комментаторы говорили, что я зря звоню в банк.
Здесь в статье комментарии — «почему не звонил».
Я читаю всё это и думаю: где же проходит та граница «звонить нужно / не нужно»?
Здесь в статье комментарии — «почему не звонил».
Я читаю всё это и думаю: где же проходит та граница «звонить нужно / не нужно»?
Она проходит примерно там же где и граница между «прочесть инструкцию и делать по инструкции или сначала сделать а потом прочесть инструкцию»
Звонить нужно один раз. Если ничего не меняется — пускать огласке.
Тогда у вас на руках все факты — и наличия проблемы, и наличия реакции на конкретный экземпляр проблемы.
Тогда у вас на руках все факты — и наличия проблемы, и наличия реакции на конкретный экземпляр проблемы.
Давайте проясним один маленький, но очень важный момент.
Обеспечивать безопасность банкомата обязаность банка. И точка.
Позвонить по указаному номеру — это не обязаность клиента, а его добрая воля. Конечно помогать банку в таких вопросах в интересах самого клиента, но если ты «знаешь» что банку пофиг, то вполне можно понять желание людей не тратить зря свое время.
Поэтому не важно поставил банк неправильную клавиатуру/картинку, либо же мошенники накладну установили — это банк недосмотрел.
Обеспечивать безопасность банкомата обязаность банка. И точка.
Позвонить по указаному номеру — это не обязаность клиента, а его добрая воля. Конечно помогать банку в таких вопросах в интересах самого клиента, но если ты «знаешь» что банку пофиг, то вполне можно понять желание людей не тратить зря свое время.
Поэтому не важно поставил банк неправильную клавиатуру/картинку, либо же мошенники накладну установили — это банк недосмотрел.
Я звонил в приват по поводу этой фигни, похожей на скиммер, но это у них такая ЗАЩИТА оказалось
Я звонил в свой банк по поводу отличия кард-ридера на банкомате, установленном на входе в отделение. Я показывал его сотрудникам банка, я множество раз звонил и сообщал про отличия. За полгода так ничего и не изменили. Но через полгода ругани мне ответили что по моим звонкам проверяли этот банкомат и сказали что там всё хорошо и можно им пользоваться, а по поводу того что картинка не та — обслуживанием ПО банкомата занимается сторонняя фирма, а сам банк ничего сделать не может.
Такая защита от скимминга — вред, потому что приучает пользователей игнорировать предупреждения.
Первый и второй банк, похоже, перепутали свои банкоматы ;)
Третья картинка — а может это скиммер и был?
Третья картинка — а может это скиммер и был?
Я писал письмо в банк, мою заявку приняли, спустя 10 месяцев кард-ридер остался таким же. Видимо, с ним всё впорядке.
Иногда еще ставят антискимеры в форме зеленых полусфер, которые от скимеров той же формы и того же цвета ничем не отличаются.
А для чего нужна кнопочка без надписи?
Забавно что система, подключенная к интернету не в состоянии собрать необходимую информацию через третью кнопку на экране. А вместо этого просит воспользоваться телефонной связью :)
упрощение жалобы сведя её к одной кнопке приведёт к повышенному пользованию этой кнопкой и нивелированию этой самый процедуры.
+ сейчас это решение на «отстаньте», то есть просто реализовано дополнительным баннером (простой картинкой) в программе банкомата, тогда как отдельная кнопка требует уже не всегда тривиального интегрирования. (см. тут на хабре статьи о том, как работает банкомат)
+ сейчас это решение на «отстаньте», то есть просто реализовано дополнительным баннером (простой картинкой) в программе банкомата, тогда как отдельная кнопка требует уже не всегда тривиального интегрирования. (см. тут на хабре статьи о том, как работает банкомат)
Я в основном пользуюсь банкоматами Сбербанка и ВТБ24. К сожалению, ни разу не замечал на их экранах подобных сообщений. Вот реклама акций и спецпредложений — это да. А предупреждений о скиммерах — увы, нет.
ИМХО, здорово, что хотя бы некоторые банки начинают обращать внимание на эту угрозу.
ИМХО, здорово, что хотя бы некоторые банки начинают обращать внимание на эту угрозу.
Полностью согласен с автором. Банки сделали еще хуже. Ранее я обращал внимание — не налеплена ли какая нибудь штукенция в проем куда вставляется кредитная карта. Сейчас банки решили сами туда ставить свои накладки, которые по идее должны защитить от вредоносных накладок, но мне уже совершенно неясно, это накладка от банка или вредоносная накладка. Ибо у каждого банка накладки свои, не всегда на банкомате есть картинка, на которой изображено а как-же выглядит накладка от банка. Так что в большинстве случаев приходиться просто забивать и снимать деньги.
Сколько раз звонил в Сбербанк по поводу банкоматов, то наталиквался на три генеральных сценария:
1) обращение не было зафиксировано;
2) обращение было зафиксировано, ему присвоен номер, в установленный срок (20 рабочих дней, что ли), ничего не изменилось и обращение было закрыто, потому что «сроки»;
3) обращение было зафиксировано, ему присвоен номер, в установленный срок (20 рабочих дней, что ли), ничего не изменилось и обращение было закрыто, потому что «объективные обстоятельства», и когда эти «объективные обстоятельства» изменятся никто не знает.
Звонить в банк по поводу банкоматной сети, в общем случае, бесполезно. С другими банками градус неадеквата был ниже, но принцип тот же.
1) обращение не было зафиксировано;
2) обращение было зафиксировано, ему присвоен номер, в установленный срок (20 рабочих дней, что ли), ничего не изменилось и обращение было закрыто, потому что «сроки»;
3) обращение было зафиксировано, ему присвоен номер, в установленный срок (20 рабочих дней, что ли), ничего не изменилось и обращение было закрыто, потому что «объективные обстоятельства», и когда эти «объективные обстоятельства» изменятся никто не знает.
Звонить в банк по поводу банкоматной сети, в общем случае, бесполезно. С другими банками градус неадеквата был ниже, но принцип тот же.
Имел опыт находки накладки считывающую карточку, непосредственно в предбаннике сбербанка, был осуществлен звонок в службу поддержки, где то в 20.00 часов, на следующий день до обеда был звонок от службы безопасности с просьбой рассказать подробнее что и как и почему я решил что этого там быть не должно, вечером того же дня, был звонок от клиентской службы с благодарностью за бдительность, и в качестве бонуса предложили бесплатного годовое обслуживание золотой карточки.
Чудесный ПриватБанк авторизирует в их терминалах по первым 4 цифрам PIN, хотя у меня установлен шестизначный! Терминал позволяет перевести деньги на любую карту в любом (практически) количестве.
Обращения в техподдерэку результата не принесли. На мои заявления о том, что это просто дыра в безопасности (по сути меня авторизирует с другим PIN) сотрудники банка заявляют что это нормально.
Обращения в техподдерэку результата не принесли. На мои заявления о том, что это просто дыра в безопасности (по сути меня авторизирует с другим PIN) сотрудники банка заявляют что это нормально.
Чудесный ПриватБанк авторизирует в их терминалах по первым 4 цифрам PIN, хотя у меня установлен шестизначный!
Это как так? 0_о
Можно поподробнее.
У вас карта ДРУГОГО банка?
Разочарую вас, но в стандарте проверки PIN-а визы он может быть длиной от 4 до 12 символов, но проверяются все равно всегда только последние 4. Зачем так сделано — хз.
Ради интересу проверил. У меня карта системы PLUS, пин 6 цифр. требуют все 6.
Дополнительная карта Visa, 6 цифр. Требуют все 6. (на 4 — ругается)…
Дополнительная карта Visa, 6 цифр. Требуют все 6. (на 4 — ругается)…
Что требует ввести 6, еще ничего не значит. PIN-блок все равно формируется только из последних 4-х… В принципе, можно проверить — ввести PIN с неверными двумя первыми цифрами и проверить, что произойдет. По идее, проверка должна пройти.
Всё просто: софт на банкоматы установлен. Акты приёма/передачи подписаны. Банкомат работает? Банкомат, говорю, работает? Ну и отстаньте. Украдут скиммеры деньги — проблемы клиента ( в договоре строку типа "… клиент сам должен убедиться… бла-бла").
Я при обращениях в банк (вернее аутсорсинговый call-центр) всегда прошу:
1. Сообщить ФИО оператора (при невозможности — номер оператора)
2. Зафиксировать номер обращения (да-да, девушка, я подожду на линии)
3. При отказе — прошу соединить со старшим смены (трубку-то они бросить не могут — SLA-всё-таки)
Я при обращениях в банк (вернее аутсорсинговый call-центр) всегда прошу:
1. Сообщить ФИО оператора (при невозможности — номер оператора)
2. Зафиксировать номер обращения (да-да, девушка, я подожду на линии)
3. При отказе — прошу соединить со старшим смены (трубку-то они бросить не могут — SLA-всё-таки)
Украдут скиммеры деньги — проблемы клиента ( в договоре строку типа "… клиент сам должен убедиться… бла-бла").
Нет!
Согласно российскому законодательству банки ОБЯЗАННЫ возвращать все средства, украденные в результате скимминга.
Вот только не знаю, каковы аналогичные законы на Украине…
Хабровчане, кто нибудь знает?
Ага, и очень небольшое количество случаев, когда по суду таки удавалось добиться этого самого возврата. Даже, если очевидно, что клиент не мог быть в двух различных местах, где были проведены онлайн-транзакции. Вдруг это клиент слетал на полчаса за 500 км и расплатился, а потом вернулся обратно и стал жаловаться…
Да не, с этим-то проблем нет, возвращают. Вот только через 2 месяца и без учёта потерь на конвертации валют.
Требует обязательного обращения в полицию, но только для галочки — полиция запрашивает информацию, а банки её не выдают, ссылаясь на закон о защите персональной информации. Более того, когда у меня украли карту, я даже не смог получить информацию о местонахождении банкомата, в котором кто-то пытался снять деньги, не говоря уже о получении видеозаписи с камеры.
Пока что самый надёжный способ — подключать SMS-информирование и отменять подозрительную операцию до её реального прохождения (обычно сутки-двое). В такой ситуации деньги возвращают быстро, но менять карту всё равно придётся.
Требует обязательного обращения в полицию, но только для галочки — полиция запрашивает информацию, а банки её не выдают, ссылаясь на закон о защите персональной информации. Более того, когда у меня украли карту, я даже не смог получить информацию о местонахождении банкомата, в котором кто-то пытался снять деньги, не говоря уже о получении видеозаписи с камеры.
Пока что самый надёжный способ — подключать SMS-информирование и отменять подозрительную операцию до её реального прохождения (обычно сутки-двое). В такой ситуации деньги возвращают быстро, но менять карту всё равно придётся.
> Согласно российскому законодательству банки ОБЯЗАННЫ возвращать все средства, украденные в результате скимминга.
Для этого надо сперва доказать факт того, что был скимминг, а не что вы сами сняли. А в правилах банка (по крайней мере всех, что я видел), авторизация пином является «безотзывной».
Кстати, раз вы так уверенно пишете, может быть вы и номер или данные этого закона знаете, где найти его текст?
Для этого надо сперва доказать факт того, что был скимминг, а не что вы сами сняли. А в правилах банка (по крайней мере всех, что я видел), авторизация пином является «безотзывной».
Кстати, раз вы так уверенно пишете, может быть вы и номер или данные этого закона знаете, где найти его текст?
Самое печальное, на мой взгляд, что большинство банков использует то ПО для банкомата, что им дал производитель. Максимум что они делают от себя это заставки в рекламе меняют.
Китайцы на xp до сих пор работают и будут работать до тех пор, пока у них ресурс не кончится. Не обновляется и не безопасно — ну и хрен с ним, перейти на nix — производитель такой услуги не предоставляет, драйверов нет, собственного отдела разработки в банке нет и т.п.
Работаю в банке — знаю.
Китайцы на xp до сих пор работают и будут работать до тех пор, пока у них ресурс не кончится. Не обновляется и не безопасно — ну и хрен с ним, перейти на nix — производитель такой услуги не предоставляет, драйверов нет, собственного отдела разработки в банке нет и т.п.
Работаю в банке — знаю.
Поподробнее про «ПО для банкомата, что им дал производитель» можно? У меня карточка Альфа-банка, в Балтийском банке можно снимать без комиссии, и я два раза элементарно забывал свою карточку в банкомате Балтийского банка. Просто потому, что Альфа всегда выкидывает карточку прежде чем деньги, а Балтийский — нет, и, если спешишь или что-то другое отвлекает, можно забыть, такие вот разные сценарии. Меня интересует, эти сценарии жёстко задаются производителем банкомата, или банк их может как-то корректировать или настраивать?
habrahabr.ru/post/263077
Можно
Можно
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Борются ли банки со скиммингом в банкоматах