Comments 24
По-моему, было бы логично если и ограничивать доступ, то не на основе IP-адресов, а на криптографического токена/смарт-карты/апплета в EMV-карте. Некопируемо и предоставляет высокий уровень безопасности.
Лично мою паранойю давно жевала передача пароля по SMS в Сбербанке вкупе с историями о том, как мошенники заказывали перевыпуск SIM-карты и опустошали счета.
Лично мою паранойю давно жевала передача пароля по SMS в Сбербанке вкупе с историями о том, как мошенники заказывали перевыпуск SIM-карты и опустошали счета.
Сбербанк при переоформлении сим-карты автоматически отвязывает её. Полагаю, что и при перевыпуске тоже.
Переходил с сохранением номера с Билайна в МТС и мобильный банк как работал так и работает. От замены симкарты ничего не поменялось.
Нифига. Как работало, так и работает.
В Альфабанке точно так. У меня с новым телефоном не работала старая симка, поменял ее — Альфабанк отвалился со словами что я сменил симку и теперь мне пора идти в банк пешком.
Хотя вот друг говорил, что купил билайновскую симку, а она оказалась к чьему-то Сбербанку привязана и вполне работала. Даже статью помню, как кто-то так с чужого счета снял кучу денег и его поймали.
Хотя вот друг говорил, что купил билайновскую симку, а она оказалась к чьему-то Сбербанку привязана и вполне работала. Даже статью помню, как кто-то так с чужого счета снял кучу денег и его поймали.
> на криптографического токена/смарт-карты/апплета в EMV-карте. Некопируемо и предоставляет высокий уровень безопасности.
Есть у меня e-token для доступа к интернет-банку — жутко неудобно. да же не столько сам этот e-token, сколько проблемы с софтом — банк купил право продажи лицензий КриптоПро CSP 3.6 и выдает их клиентам. Все было отлично до тех пор пока КриптоПро не забил на эту версию и не добавил поддержку win 8.1 в следующую. Внезапно оказалось что чтобы пользоваться интернет-банком теперь нужна или win 7/8 (но не 8.1) или новая лицензия на КриптоПро CSP (банк ессно шлет лесом). Офигенно удобно и безопасно получилось :( А знакомый в альфе, с смс-ками, завидую…
Есть у меня e-token для доступа к интернет-банку — жутко неудобно. да же не столько сам этот e-token, сколько проблемы с софтом — банк купил право продажи лицензий КриптоПро CSP 3.6 и выдает их клиентам. Все было отлично до тех пор пока КриптоПро не забил на эту версию и не добавил поддержку win 8.1 в следующую. Внезапно оказалось что чтобы пользоваться интернет-банком теперь нужна или win 7/8 (но не 8.1) или новая лицензия на КриптоПро CSP (банк ессно шлет лесом). Офигенно удобно и безопасно получилось :( А знакомый в альфе, с смс-ками, завидую…
Я возился с этим дерьмом ещё когда не было поддержки debian-based диструбитивов вообще — приходилось конвертировать пакеты через alien, дико морочиться с конфигами, и всё равно работало оно через жопу.
Знаю людей, которым удаётся криптопро юзать под никсами в продакшне (чуваки пишут софт для банков под взаимодействие со службой судебных приставов, и другие тому подобные вещи) — но есть подозрение, что они заключили какую-то хитрую сделку с дьяволом.
Знаю людей, которым удаётся криптопро юзать под никсами в продакшне (чуваки пишут софт для банков под взаимодействие со службой судебных приставов, и другие тому подобные вещи) — но есть подозрение, что они заключили какую-то хитрую сделку с дьяволом.
Альфа-банк умеет определять, что сим-карта перевыпущена, так что технически это реально.
не только альфа, множество банков имеют договора с бльшой тройкой на этот счет
Ничего удивительного, мы же не про технологию, а про юриспруденцию говорим. Тут чисто юридическая неувязка: мобильный оператор по закону не обязан (имеет право, но не обязан) предоставлять банкам эту информацию, а банки, тем не менее, обязаны (постановлением ЦБ) эту информацию как-то получать. Для банков эта нестыковка может послужить оправданием для того, чтобы не получать эту информацию вообще, даже от тех опсосов, которые её предоставляют. Эту проблему нужно как-то решить, но, как и сказано в посте, «критичных проблем с этого направления не ожидается».
Головлёв отметил, что ещё остаются вопросы по поводу обязанности банков приостанавливать рассылку уведомлений по SMS при смене клиентом SIM-карты, поскольку о такой смене банк самостоятельно узнать не может.
А что HLR-запросы уже отменили?
Использование HLR- и IMSI-запросов:
Верификация SIM-карты клиента при отправке одноразовых кодов авторизации и одноразовых паролей 3D Secure (OTP). В результате отправки HLR-запроса, проводится проверка на соответствие уникального идентификатора (IMSI-номера) SIM-карты. Благодаря такой проверке мошенники не смогут воспользоваться услугами SMS-банкинга, имея на руках поддельную SIM-карту или её дубликат.
Правда эти запросы платные. Поэтому проще сказать что они не могут самостоятельно это узнать.
А что вы предлагаете?
Перед отсылкой каждой СМС делать платный запрос? Это повлияет не на банк. Это повлияет на стоимость обслуживания для клиентов.
Перед отсылкой каждой СМС делать платный запрос? Это повлияет не на банк. Это повлияет на стоимость обслуживания для клиентов.
Да. Именно так и надо делать. Стоимость мобильного банка (который по смс а не web на телефоне) сейчас колеблется от 30 руб до 60 руб (может и дороже есть — не узнавал), стоимость смс уведомлений для банков — копеечная, учитывая объемы, стоимость HLR запроса я думаю будет примерно такая-же. А учитывая, что некоторые платят за этот банк, просто, чтобы знать что деньги пришли на счет/карту или были сняты, банки сильно не обеднеют.
зачем каждой?
достаточно делать запросы перед выполнением расходных операций на большие суммы.
достаточно делать запросы перед выполнением расходных операций на большие суммы.
Я например за то, что-бы клиенту дали больше средств управления безопасностью своих счетов. Безопасники банков думаю тоже.
habrahabr.ru/post/146284/
Но кроме безопасников, есть и другие стороны, типа финансистов и экономистов. Понятно что любая система защиты требует денег на внедрение.
И просчитывая затраты на внедрение очередной защиты, банк говорит, да ну нафиг — пусть обычных физиков граблют. Чутка потом вернем, остальное в судах не докажут.
Почитайте Народный рейтинг в банки ру. Какие там шедевральные отписки лепит «Связь с общественностью»
Типа «банк исполняя Ваше поручение, перевел командой по смс, +100500 рублей», а на все крики, не Моё это поручение не Моё, не я поручал, это все перевыпущенная карта, отправляет в полицию и в суд :)
habrahabr.ru/post/146284/
Но кроме безопасников, есть и другие стороны, типа финансистов и экономистов. Понятно что любая система защиты требует денег на внедрение.
И просчитывая затраты на внедрение очередной защиты, банк говорит, да ну нафиг — пусть обычных физиков граблют. Чутка потом вернем, остальное в судах не докажут.
Почитайте Народный рейтинг в банки ру. Какие там шедевральные отписки лепит «Связь с общественностью»
Типа «банк исполняя Ваше поручение, перевел командой по смс, +100500 рублей», а на все крики, не Моё это поручение не Моё, не я поручал, это все перевыпущенная карта, отправляет в полицию и в суд :)
Ну и пара ссылок про сбер, как наиболее распространенный банк :)
Сбербанк и несанкционированная замена сим-карт
www.banki.ru/blog/KiraSoft/5278.php
Подборка случаев
www.banki.ru/blog/KiraSoft/3115.php
Свеженькое
www.banki.ru/services/responses/bank/response/7799389/
А тут с использованием трояна на самом телефоне. (так что смена сим уже далеко не основная «тема»)
www.banki.ru/forum/?PAGE_NAME=message&FID=61&TID=278727
Сбербанк и несанкционированная замена сим-карт
www.banki.ru/blog/KiraSoft/5278.php
Подборка случаев
www.banki.ru/blog/KiraSoft/3115.php
Свеженькое
www.banki.ru/services/responses/bank/response/7799389/
А тут с использованием трояна на самом телефоне. (так что смена сим уже далеко не основная «тема»)
www.banki.ru/forum/?PAGE_NAME=message&FID=61&TID=278727
Ага, вайфай по коду через смс тоже отменяется.
Sign up to leave a comment.
Повальная регистрация устройств для онлайн-банкинга отменяется