Pull to refresh

Comments 18

Добрый день, спасибо! На самом деле — это не так просто, но зато хоть какие-то результаты.
IMHO, в ситуациях с хищениями еще и банки не очень оптимально строят архитектуру безопасности, много завязывая на мобильный телефон клиента.

Имея отношение к отрасли связи, внимательно анализируя статьи Владимира, думаю есть необходимость поработать и с финансовыми учреждениями.
Добрый день, мне уже задавали вопрос, почему «не трогаю банки». На самом деле — это второй большой цикл. Практику изучаю, но, чтобы выдавать в день по статье — обычно уходит месяца 3-4. Иногда и больше. Но первая часть уже почти готова. Спасибо за поддержку и предложение.

Почему бы операторам не сделать услугу что то типа "смс от финансовых сервисов" идея проста:
Для получения смс от финансовых сервисов услуга должна быть подключена, для Ее подключения требуется пройти телефонную идентификацию в кол центре любого банка (либо в его офисе) где вы обслуживаетесь (в итоге включится она для всех фин сервисов). Скажем так двухфакторная авторизация. Даже если вдруг выдали чужому человеку сим карту то ничего особо страшного не должно произойти.
Для операторов особой проблемы не вижу, у всех банков заключены прямые договора с операторами, и операторы прекрасно знают что смс отправляются имено банками.
+подобная услуга уже есть почти у всех операторов, называется она смс от соц сетей.
И последняя хотелка, было бы прекрасно если бы услуга была платная 60 рублей в месяц сразу за все банки, пусть их хоть 100 будет, а не каждому банку по 30-60 рублей...

Да, что-то в этом роде, без нарушения тайны связи (т.е. согласия клиента) — почему бы и нет. Там есть несколько нюансов, но они — решаемые. Весь вопрос пока в том, что ОСС пока не сильно выгодно это, т.е. мало жалоб и дел: их тысячи. Будут — десятки тысяч, уже возьмутся.

Если примеры? Да, это спам СМС: в его уничтожении тоже пришлось поучаствовать, правда, тогда в частном порядке — через клиентов. Практика + статьи дают больший выхлоп.
Фундаментальная статья, спасибо. Слышал о нескольких случаях подобной замены, но, к счастью, никого из моих близких знакомых это не затронуло.
Подскажите, с что с вашей точки зрения должны (и могут) сделать операторы связи?

Получается ведь абсурдная ситуация — оператор оказывает услуг на (к примеру) 300 руб/мес, а клиент (сам или с помощью своего банка) привязал к этой услуге ещё и банковский счёт на сотни тысяч рублей.
В итоге оператор сам того не желая должен защищать от мошеннических действий не только траты абонента (те самые 300 руб/мес), а ещё и привязанные банковские аккаунты.
Выходит как-то… странно.

Т.е. банки и абоненты переложили ношу по защите на оператора просто из-за того, что им так легче.
К примеру, банк может выдавать своим абонентам аппаратные RSA токены и полностью отказаться от SMS подтверждений,… но это же дорого, пусть отдуваются операторы.

p.s. Ни в коем разе не защищаю операторов, но действительно не представляю, что могут ещё сделать операторы для защиты (кроме озвученной в статье временной блокировки услуги SMS).
Одно дело, когда мошенническую замену выполняют нечистые на руку сотрудники (и с этим нужно бороться), совсем другое, когда приходит мошенник с качественно выполненной копией паспорта — у сотрудников оператора просто нет физической возможности отличить такую подделку.
На самом деле проблема в том, что всё ровно наоборот — это ОСС перекладывали (до поры — до времени, пока в дело не вступили суды апелляционной инстанции, хорошие юристы и даже ВС РФ) ответственность на клиентов.

Здесь — общие рекомендации по антифроду: команда, с которой работаю уже 9й год, реализовала куда более мощный антифрод (в другой сфере, но это не суть) с весьма не великими тратами. Где-то в течение полугода. Для ОСС ещё более мощное решение обошлось бы в несколько десятков миллионов рублей (при несравнимо больших оборотах и даже прибылях) и поддержку в миллионы.

Но ОСС это кажется «дорого» (они же сделали не так давно антифрод решения для рекламных смс): и бабули, в основном и в первую очередь они, а также многие другие пользователи теряли и теряют свои деньги, лишь потому, что и банки, и главное — пользователи зачастую свои обязательство исполняют, а вот ОСС не хотят соблюдать даже элементарных правил.

Когда речь идёт о качественной копии паспорта — вопрос сложный, но подъёмный (множество патернов есть, например, у mail.ru рекомендую почитать про это). Но по всем делам, что читал я — а это, опять же, больше сотни — почти все те, где замена произошла а) по липовой доверенности (ОСС, например, не умудряется проверять даже данные нотариусов, кот. есть в открытом доступе) и б) по «временным удостоверениям».

Кроме того, 300 руб. в мес. — это мало. Но посмотрите, сколько именно и на чём зарабатывают ОСС и на что тратят средства, и станет ясно, что на самом деле эти 300 руб. — это многим больше. Но это не вопрос, вопрос в том, что есть закон и его нужно исполнять, ОСС этого не делают и не делают на элементарном уровне — вот что страшно.

Ведь в тех же банках системы антифрода внедрены повсеместно. Исключения — разве что мелкие региональные фин. учреждения. Более того, сами банки (а их-то я точно не оправдываю — к ним отношение моё многим хуже, чем к ОСС) уже внедрили средства защиты для клиентов: ТКС, Сбер (приложение), Альфа — то, что тестировал сам.

Резюмируя: задача ОСС не лезть в отношения банка и клиента и не контролировать их, а всего лишь разработать простые правила безопасности, подобные тем, что есть в более-менее продвинутых процессингах. Это и не сложно, и не дорого. Тем более что ОСС имеют огромный штат программистов.

Пока, как я уже говорил, для ОСС количество судебных и административных дел не достигнет критичной массы — дело с мёртвой точки не сдвинется. Думаю, что уровень этот уже близок.
Пока не заставить, ОСС шевелится не будут.
А заставить можно только растрелом.

Знаю рабочий момент, что фед. ОСС бодается с ж/д, на тему того что ж/д выставили счёт, а фед. ОСС считают этот счёт большим и платить не хотят.
Счёт на сумму меньше 10 (десяти) рублей.
Думаю, этот опыт стоит где-нибудь расписать историей: это обычно того стоит)
NDA же :) или что-то похожее. И не так я и в теме, в подробностях всё равно не расскажу, я по другому профилю, просто сижу недалеко от спецов, регулярно общаемся, поэтому только в общих чертах.

Могу ещё добавить что отношение ОСС разное. Кто-то вообще не любит никаких сторонних договоров подписывать. Стоят насмерть. Кто-то если надо, то спокойно подписывает, оформляет. Кто-то любит принимать работу по внутренним нормативам.

Из уже чисто гражданского опыта, могу сказать что Ростелеком любит «кидать», менеджеры спокойно лгут. А ещё любит маневрировать, меняя вывеску, перекидывая активы и размазывая ответственность.

На втором месте Билайн. Много-много лет назад, официальный главный офис выдавал чеки с «ЧП ....» причём каждый месяц имена были разные.
Я не знаю как сейчас, но лет 7-5 назад, у Билайна было несколько БД, и они сшивались нетривиальным способом. В результате моему отцу не повезло, и его номер был как бы «виртуальным»: он есть, и как бы его нет… вот как был список включённых опций на момент регистрации, так и всё… даже тариф меняли несколько месяцев, отец ходил к ним как на работу. (у ВТБ24 со мной подобная шутка случилась) — не синхронизировались записи в разных БД.

А «забыть» отключить платные услуги по просьбе клиента — это вообще уже даже преступлением не является.
Благодарю. Я тут ещё понял, что Операторы никогда публично не говорят: СМС — это не безопасно, т.к. это грозит убытками и от физ. лиц, и, что ещё, наверное, страшнее, от юр. лиц, которые это всё просто отключат.
Соглашусь.
Ещё многие сервисы как-будто специально под мошенников сделаны.
А по сути ОСС вырождаются в просто провайдеров, потому наверное и сопротивляются новому, вместо того, что бы возглавить.
Да: они хотели. ФЗ №161 — как раз их детище. Просто они не понимают, что ЦА — абоненты и ЦА — скажем, пользователи ЭПС или вкладчики — это могут быть одни и те же люди, но у них разные критерии и подходы. Читал даже как-то об этом у Кима из Киви.
«это не безопасно, т.к. это грозит убытками и от физ. лиц, и, что ещё, наверное, страшнее, от юр. лиц, которые это всё просто отключат»
Понял. Ну представьте, выходит представитель МТС/Мегафон/Теле2/Билайн/etc. и заявляет: «НЕ используйте СМС нигде и никогда для авторизации — это небезопасно! Абсолютно». И поясняет, что 3DS — это устаревший метод, двухфакторная авторизация — вообще ни в какие ворота не лезет и т.д. И всё это — рассылками, рассылками, как любят операторы. И под красную рамку на корпоративном сайте и пространное интервью на ведущих кланах и в СМИ иного формата. Почему-то мне видится, что ни пользователи, ни организации не захотят оставить это без внимания?..
Sign up to leave a comment.

Articles