Pull to refresh

Comments 396

  1. Десять пунктов в конце дав раза два раз сдублированы.

Коль уже пишу камент.

  1. Мошенники чаще взламывают мозг, чем авторизацию. Мозг банк укрепит не может. Государство тоже. Можно только учесть среднюю безмозглость, а это сложнее двухфакторка.

  2. Кстати, СДПВ "Роскомпозор" и "Навальный" как раз символизируют процессы учета безмозглости населения государством. А вы на них в обиде с одной стороны, а с другой предлагаете телефонные разговоры подслушивать для выявления мошенников. Парадокс получается.

роскомпозор это квинтесенция глупости и безграмотности, имхо тут уже кровати двигать поздно, тут уже надо и девочек менять и мамочек.. надеюсь отсылку к бородатому анекдоту не придётся объяснять.

Я, как регулярной пользователь этого борделя, имею более богатую картину его жизни и подозреваю что другие бордели просто в виду рода схожести деятельности отличаются лишь цветом стен. Далее эту дискуссию поддерживать не готов.

Роскомпозор защищать не буду, но он вполне включен более богатую картину жизни этого борделя.

UFO just landed and posted this here

А как вообще разблокировка роскомпозора повлияет на безопасность банков?

Посыл в статье увидел, а ответа не нашел.

Смысл в том, что ресурсы, которые использует РКН на борьбу с ветряными мельницами направить на то, что реально будет нужно и полезно - например на выявление мошенников и т.п.

Со списками какие-то глюки. Сначала из гугл-докс они не вставились. Потом повторно вставил. Сейчас убрал дубль.

2. Парадокса нет. Почтовики типп gmail уже были пойманы на анализе переписки для рекламных целей. Но суд не признал это нарушением тайны переписки, так как это компьютер делал и сама переписка не разглашалась. Речь идёт про анализ автоматический. Если с вашего номера повалится трафик в режиме 24х7 с прозвонами и ключевыми фразами, то это повод дальше проанализировать кому номер принадлежит. Затем уже получение разрешения суда на прослушку. И это же может работать против СПАМ-звонков. А ваши телефонные переговоры и так пишутся и слушаются. Поэтому автоматическому анализу и выявлению - да, персональной прослушке - нет.

UFO just landed and posted this here

Нужен какой то простой механизм выдачи и учёта таких уникальных имён.

А так, в большинстве можно и без своего сервера обойтись: ivan.ivanovich+honneypot-id@gмыло.com. Главное сделать фильтры на чистую почту и на несуществующие honneypot-id.

предлагаете телефонные разговоры подслушивать для выявления мошенников

они уже подслушивают, предлагается чтобы данная власть использовалась по назначению. А вообще тут и подслушивать не нужно, контроль коллцентров нужен, а то прям сидят такие операторы 2021 году и не видят откуда бешеное количество звонков идет постоянно

А разве у них есть технические возможности подслушивать/расшифровывать все звонки?
По закону Яровой, только хранить надо и то это такие деньги что годовую прибыль перебивает. А если ещё и анализировать, то ОПОСАМ в три раза надо цены поднять.
ФБР как то призналась что тотальная слежка не эффективна в виду слишком большого объёма данных и сложности анализа разговора(начиная от банальной подмены слов/терминов). Плюс шифрование полным ходом наступает и даже имея бекдоры, эффективно работать не получается. Максимум точечные проверки подозрительных личностей.

Телефонные звонки не надо расшифровывать. Шифруется только радиоканал, а в инфраструктуре ОПСОСа все ходит в открытую.

Я наверное не то слово использовал. Конвертировать голос в текст. Иначе тотальное прослушивание не возможно.

Да, все звонки конвертировать тут конечно мощности не хватит никакой, вот бы была возможность как-то по каким-то простым признакам отличить номер вероятного мошеннического колл-центра от номера "обычного" человека и прицельно анализировать только "подозрительные" номера... По количеству исходящих звонков в день на разные номера, к примеру.

Жалко что такой возможности нету, не правда ли?

Зачем вам все? Достаточно выборочно с тех номеров, что вызовы идут постоянно. И не нужно весь звонок. Достаточно первые 5 секунд. Если с номера постоянно вызовы, если первые 5 секунд содержат ключевые слова, то дальше уже делается отекстовка полная всех звонков. И программа покажет 99% вероятности, что это мошенничество.

И ещё есть куча факторов. На кого номер оформлен. Что за юрлицо, какие налоги платит. Всё делается. Желание нужно иметь.

Можно просто открыть горячую линию, куда можно жаловаться, если абонент подозревает что звонили мошенники. Порог 5-7 жалоб на один и тот же номер и уже можно начинать разбирательство.

Вот именно. Сейчас такие зовнки как Спам помечаю (а не только блкирую), а можно было бы именно как моженнические.

Ну и как несколько человек именно на мошенничество с номера поажловались, начинать разбирательства.

Неужто серии звонков одтинаково начинающихся со "звонит следователь...." недостаточно, чтобы "запеленговать", где сидит владелец (дажэе если номер подделывался)?

Было бы желание...

Думаете, они каждый звонок с нового номера совершают? Причем совершенно произвольного (не из пула своего оператора и т.п.)?

Мне кажется, если бы его блокировали после 20 звонков, не давая обсзвонить тысячу, уже серьезно затруднило бы работу им. (не у меня в смартфоне он помечался бы спамом, а вообще ни до кого, даже до обычных звонилок не доходил бы).

А там можно дойти и до блокировки операторов, уличенных в значительном количестве мошеннических звонков, да еще и с подменой номера. Все лучше, чем блокировать целиком Linkedin или Twitter..

Мозги можно тренировать, критическое мышление — развивать, но для авторитарных властей это немного в ногу себе стрелять. )

UFO just landed and posted this here

Вы как-то свое мнение за единственно верное выдаете, хотя отлично понимаете (ведь понимаете?!), что мир не из вух красок состоит.

Где-то банк хочет, но не осилил, а где-то рук-во не жадное, но просто тупое.

Ну и еще, даже 2FA не спасет от тупости юзера, просто схемы изменятся. Это не аргумент против 2FA, а мысль, что думать нужно еще глубже.

Ну и еще, даже 2FA не спасет от тупости юзера, просто схемы изменятся. Это не аргумент против 2FA, а мысль, что думать нужно еще глубже.

Не первый комментарий, где вижу эту мысль. То что бронежилет не защищает от атомной бомбы, вовсе не означает что носить его не нужно. Пусть банки/государство сначала защитят добросовестных и адекватных людей от перевыпуска симкарт, а потом уже решают вопросы с мошенниками.

Аналогия с бронежилетом удачная получилась. Вы его постоянно носите? Думаю, что нет - это жутко неудобно...

Если бы вероятность получить огнестрельное ранение была такой же, как вероятность потерять деньги в результате мошенничества, мы бы наверное уже даже спали в бронежилетах.

Статистки Банка РФ: 20 тыс случаев незаконного вывода средств

Статистика МВД: 27 тыс. случаев ранения (конечно тут и ножевые)

Выводов, может и 20 тыс. (ссылку, откуда статистика взята, хорошо бы узнать), но:


Обзор операция, совершенных без согласия клиентов финансовых организаций за 2020 год(Сайт Центробанка, PDF)


Страница 6:


Объем всех операций, совершенных без согласия клиента с использованием ЭСП, в 2020 году составил 8757,2 млн рублей. Количество таких операций – 770 075 единиц.

Чуть ниже:


За 2020 год доля операций без согласия клиента в общем объеме операций по переводу денежных средств составила 0,00117% (в 2019 году – 0,00089%). Указанные значения не превышают установленный Банком России целевой показатель доли таких операций в общем объеме операций, совершенных с использованием платежных карт. Этот показатель установлен на уровне 0,005%.

Ну и вообще весь отчет полезен для прочтения.

На сколько я понимаю, телефонное мошенничество туда не попадает, т.к. сообщив код из СМС клиент дает согласие на проведение операции. Это позиция банков и судов.

Т.е. 20 тыс это редкие счастливцы которым удалось доказать что деньги ушли без их согласия. Какие-нибудь крупные чиновники из силовых ведомств и т.п.

Поправьте, пожалуйста, если я не прав.

Вы не учитываете покушения на мошенничество. Они не регистрируются в отличие от покушений на убийство когда стреляли и промазали.

Именно.

А после того, как об одном банке из ТОП-5 стало появляться слишком много совершенно трэшевых историй о завладении средствами мошенниками, я оттуда ушёл после 10+ лет клиентства.

Справедливости ради, они лично мне тоже успели навредить, и хоть (пока ещё) не финансово + у меня оставалось немного лояльности к ним, но неиллюзорная возможность потерять все дебетовые средства и плюсом попасть на кредитные даже без своего участия стала последней каплей.

Это вы про Альфа-Банк ?

Знаете, я думаю удобство ношения бронежилета находится в монотонной зависимости от концентрации пуль и осколков в воздухе в ближайшей дельта-окресности.

Что касается банков — так или иначе мошенники разговаривали почти со всем моим ближайшим окружением, с некоторыми даже успешно.

Я снял с неё платье,
А под платьем бронежилет...

(с) Сплин

А вы видно невнимательно прочитали. В статье не раз говорится, что хотя бы по желанию. Не всем подряд и бесплатно аппаратный токен давать, но если человек хочет, то банк должен дать. Пусть за деньги дополнительные.

От тупости не спасает, а вот от дистанционной смены номера спасает. И от изготовления сим-карты спасает. И от перехвата или недоставки sms спасает.

Опыт пользования банком ING в небольшой европейской стране:

Карточки мастеркард чипованные - уже много лет.

Доступ в онлайн-банк двумя возможноми аутентификаторами:

  • железный кард-ридер (выдается, заменяется бесплатно, у всех кого я знаю их клиентов этого банка дома просто залежи этих ридеров)

  • через 2FA приложение на телефоне, для регистрации в котором нужно первоначально считать электронное ID

Никаких других вариантов нет. Т.о. банк не использует ваш номер мобильного при авторизации. Совсем.

Онлайн-платежи (кроме супер доверенных марчантов вроде Amazon, Uber и т.п.) тоже нужно подтверждать через кардридер. (MasterCard 3d-secure). Это всё не ознчает что всё вот прямо супербезопасно, т.к. есть нюансы с бесконтактными платежами, но, в целом, не плохо.

Про "бабушек" - либо научились (не так то и сложно), либо с пачкой бумажных счетов ходят в отделение - там или операционисты, или специальные машины для автоматического распознавания счетов, выполненных по специальному стандарту оформления. Плюс, распространены доверенности на автосписание средств по договорам.

Для защиты от социальной инженерии тут банки регулярно провдят информационные кампании, главное сообщение которых - "Банк всегда сначала блокирует потом информирует. Никогда не наоборот."

Онлайн-платежи (кроме супер доверенных марчантов вроде Amazon, Uber и т.п.) тоже нужно подтверждать через кардридер. (MasterCard 3d-secure).

Позанудствую, но 3D Secure просит не банк, а продавец. Т.е. Amazon не просит не потому что он такой доверенный весь из себя, а потому что он для удобства клиентов готов сам нести риски фрода. Остальным - гораздо проще (и дешевле) заюзать 3D Secure.

Это справедливо, но справедливо и другое - им разрешают (банки и платежные системы, да и регуляторы) нести эти самые риски. Условный ноунейм даже если и захочет нести такие риски (и заплатить за это) - кто ж ему даст. Т.е. это именно вопрос доверия (и очень специфических договорных отношений) между мерчантом, банками и регулятором (читай государством)

Это называется "перенос ответственности" в терминах МСП. Эквайр решает - дать мерчанту такое право или нет. Под финансовые гарантии и письменный отказ от претензий. Это сильно повышает конверсию, но и риски тоже. Для высокомаржинального бизнеса выгодно.
Из опыта.

Тупость это не бинарное свойство есть/нет. Банки всё же активно способствуют.

Коды сотруднику никогда сообщать нельзя, но вот этот код надо сообщить, банк никогда не звонит, но если что-то надо впарить клиенту, то звонит и так далее - фиг разберешь какие там сегодня правила, исключения и исключения из исключений.

Свою фамилию, дату рождения и даже скан паспорта я не обязан хранить в секрете и имею полное право разместить в профиле вконтактика.

В ВТБ можно взять телефон человека вбить егона сайте и три раза введя неправильный пароль заблокировать ему доступ в ЛК. Как я, как клиент банка, могу на это повлиять? В чем тут моя тупость?

Ситуация когда по одной СМС можно обобрать клиента до нитки и еще кредитов взять на несколько миллионов - совершенно не нормальная.

Что это вообще за привязка к услуге сторонней коммерческой организации? Может я вообще не хочу пользоваться сотовой связью?

В Тинькове действительно бывает код, который нужно сообщить оператору. Например, чтобы подвтердить личность, когда опратился к ним в чате или по телефону. Ну так в этих СМС явно и указано: "Для решения вашего вопроса сообщите сотруднику код ХХХ". Во всех остальных случаях в каждой СМС: "Никому не говорите код...". И даже не только код, но и для какой он цели (подтверждение платежа на сумму, перевод на другой счет...)

В чем путаница-то? Если на СМС "Никому не говорите код для перевода всех ваших денег черти-куда" клиент этоот код сообщает мошеннику - ну тут странно обвинять банк, что он плохо организовал защиту..
Пуши вместо СМС тоже можно выбрать. Тогда при невозможности доставить пуш SMS уйдет.

Про "заменил SIM-карту - получил доступ к кабинету" тоже очень странно читать. СМС не достаточно, пароль есть. Когда я забыл пароль от кабинета, не то что через СМС не получилось, а даже и по звонку. "Нет, восстановить пароль нельзя, создайте нового пользователя для доступа к клиент-банку и пройдите сложную процедуру из адовой кучи вопросов и анализа голоса".

Для решения вашего вопроса сообщите сотруднику код ХХХ

Вот эта формулировка вообще прекрасна. Я думал "мой вопрос" - исправление ошибки в паспортных данных, а на самом деле сотрудник только что привязал свой смартфон к моему счету. На банки.ру подобные сценарии уже упоминались как реализованные.

Кстати, почему я должен следовать инструкциям в СМС? В каком законе/договоре это написано? Как я определю подлинность СМС? Может это тоже какой-то хитрый развод? Завтра вам придет СМС: "Войдите в приложение банка и передайте смартфон сотруднику банка, он ожидает Вас у входной двери". Так и сделаете?

В любом случае, я не собираюсь превращать смартфон в чемодан со всеми своими деньгами. Может банк думает что я должен теперь ячейку арендовать для смартфона? Смартфон у меня для котиков и тиктока, а завтра я его любовнице подарю вместе с симкой и номером. При чем тут вообще какой-то дебильный банк со своими СМСками?

СМС не достаточно, пароль есть.

В куче банков приложение привязывается с помощью единственной СМС. А далее уже всё завязано на приложение и пуши.

Думаете ОПСОС будет нести ответственность если отправит Вашу СМС другому абоненту "по ошибке"? Ничего подобного. Максимум он вам вернет стоимость не доставленной бесплатной входящей СМС. Это если Вам каким-то чудом удастся доказать что СМС была доставлена не по адресу.

Я могу контролировать 43 (сорок три) приложения имеющих доступ к СМС на своём смартфоне со всеми этими гигабайтами индийского кода и китайских облаков? И еще 2 раза по столько же сотрудников опсоса, шлюза и еще, не к ночи будет сказано, чекистов с их сормом?

Я думал "мой вопрос" - исправление ошибки в паспортных данных, а на самом деле сотрудник только что привязал свой смартфон к моему счету.

Вы считаете, что сотрудник банка, с которым вы общаетесь, самостоятельно пишет текст СМС и код в нее? Тогда зачем ему получать этот код от вас?

Если код вместе с текстом формирует система, чтобы предоставить по этому коду дополнительные права сотруднику, то почему вдруг система сформировала СМС с текстом "сообщите код сотруднику", а права сотруднику предоставила на привязку ЕГО номера телефона?

Я уж молчу, что если сотрудник недобросовестный и настолько отмороженный, что сделает что-то под запись всех разговоров, это вскроется моментально. И вряд ли банк будет его отмазывать.

Если же вы всерьез рассматриваете ситуацию, что банк специально такое прокручивает (шлет вам СМС с кодом "сообщите сотруднику", чтобы сотрудник привязал свой смартфон) - зачем банку такие сложности?

Как я определю подлинность СМС? Может это тоже какой-то хитрый развод? 

Если что-то выглядит как утка, плавает как утка и крякает как утка, это, вероятно, и есть утка.

Если я оборатился в банк для решения вопроса, и мне пришла СМС "сообщите этот код сотруднику", скорее всего это подлинная СМС.

Но если даже СМС от мошенника, в чем проблема сообщить код сотруднику (я писал в чат банка или звонил по телефону банка)?

И повторюсь: злоумышленник может подделать только номер, но не текст с кодом. Если написано "сообщите код сотруднику" и сам код, значит эта СМС инициирована банком и предполагает сообщение кода сотруднику банка. Либо же она не содержит секретного кода (иначе зачем злоумышленнику спрашивать у меня то, что он написал сам).

Или у вас есть идея, как злоумышленник может отправить вам СМС с кодом от "привзяки к личному кабинету" или "перевода", но с текстом "сообщите код сотруднику"?

Разве что перехватив SMS по дороге и подменив текст. Но тогда зачем мне его вообще слать... И да, пуши в этом плане надежнее.

Завтра вам придет СМС: "Войдите в приложение банка и передайте смартфон сотруднику банка, он ожидает Вас у входной двери"

Если ни с того, ни с сего мне придет такая СМС, я сообщу о ней в банк, и поинтересуюсь подробностями.

Смартфон у меня для котиков и тиктока, а завтра я его любовнице подарю вместе с симкой и номером. 

Вот именно после таких действий и появляются душераздирающие истории о том, как "банк крадет деньги вкладчиков"

Осталось понять только, для чего весь этот цирк с SMS-ками нужен. Единственное, что я могу придумать - это экономят на ридерах карт (раньше в подобных ситуациях мой банк просто просил карточку вставить).

Вот именно после таких действий и появляются душераздирающие истории о том, как "банк крадет деньги вкладчиков"

Со смарфоном так обращаются немаленькое количество народа. Ибо не специальная железка исключительно для платежей (как банковская карта), а предмет общего назначения. И это надо учитывать при разработке систем безопасности, а не твердить впустую какие-то требования, которые многие не выполняют. Есть большое желание воспринимать подобное как как то, что это специально делается, чтобы потом отмазываться по 'клиент правила нарушил'.

Вы считаете, что сотрудник банка, с которым вы общаетесь, самостоятельно пишет текст СМС и код в нее? Тогда зачем ему получать этот код от вас?

Што?

Я считаю что текст смс вообще ничего не говорит о той операции которую реально выполняет сотрудник. Система такую смс присылает на любое действие сотрудника. Сотрудник скажет мне что якобы "тут ошибка, нужно внести исправления вот вам бланк заявления и код мне скажите", а сам в это время инициирует привязку приложения к своему смартфону. И СМСку я получу на привязку приложения. Но т.к. в ней не написано какие действия выполняет сотрудник я буду продолжать думать что это изменение паспортных данных.

Вина банка тут в тупом тексте СМС, а деньги воровать естественно будет не банк, а конкретный сотрудник. Хотя возможны варианты.

И это не мои фантазии, а реальные случаи (не точно, но с огромной вероятностью).

Если я оборатился в банк для решения вопроса, и мне пришла СМС "сообщите этот код сотруднику", скорее всего это подлинная СМС.

см. выше.

Если ни с того, ни с сего мне придет такая СМС, я сообщу о ней в банк, и поинтересуюсь подробностями.

Вы же выше мне предлагали выполнять инструкции из СМС? Или не все надо выполнять? Вот об этом я и писал в начале ветки.

Вот именно после таких действий и появляются душераздирающие истории о том, как "банк крадет деньги вкладчиков"

Мой смартфон, что хочу, то и делаю. Что за ограничения? На основании чего? Если у меня задрипаная карточка дебильного банка, я теперь не могу в инстаграм любовницы зайти? Нафига мне такой банк? ...если бы они абсолютно все не были такими.

Вы хотя бы можете сформулировать эти ограничения четко? Что можно делать, а что нельзя?

Сотрудник скажет мне что якобы "тут ошибка, нужно внести исправления вот вам бланк заявления и код мне скажите", а сам в это время инициирует привязку приложения к своему смартфону. 

Мне трудно представить, что в интерфейсе системы заложена штатная функция привязки телефона сотрудника к счету клиента. Специальная дополнительная функция разработана.

Если же вы думаете, что код из этой СМС открывает сотрдунику колл-центра/поддержки прямой доступк к базе, где он может творить все, что угодно, это не так :)

деньги воровать естественно будет не банк, а конкретный сотрудник. Хотя возможны варианты.

Да, по последней фразе видно, что вы ожидаете от банка намеренную реализацию функции привязки телефона сотрудника к вашему аккаунту.

Тут мне сказать нечего, я не держу деньги в банке, вызывающем у меня столь серьзеные опасения.

Мне трудно представить

Мне трудно представить, что можно украсть все сбережения человека да еще на несколько лет вперед по одной СМС. Но это так.

Где я могу ознакомиться со списком функций доступных сотруднику банка по коду из СМС? Официальный список который я смогу предъявить в суде. Чтобы в том же суде мне потом не говорили что я сам дал согласие, как это бывает обычно. Ладно, я в суде скажу что Вам было сложно представить. Надеюсь, суд примет этот аргумент.

не держу деньги в банке, вызывающем у меня столь серьзеные опасения.

А то, что все деньги плюс кредитный лимит можно угнать по одной смс, к которой имеет доступ не ограниченный круг людей, Вас не беспокоит? Завидую!

Не очень понимаю, кого вы включили в неограниченный круг лиц, имеющих доступ к моим СМС. Сотрудников органов через СОРМ?

В целом да, не беспокоит. По крайней мере пока я не вижу конкретного сценария, при котором достаточно сгенерировать какой-то запрос и перехватить одну СМС для упомянутых ужасов.

Все сценарии подразумевают целевую атаку конкретно на меня, завязываются на знание номеров карт, которые я нигде не свечу (расплачиваюсь смартфоном) и прочие сложности.

А хищения денежных средств происходят в основном с использованием банального фишинга и социальной инженерией. Для сложных и дорогостоящих целевых атак есть мишени поинтереснее.

Не очень понимаю, кого вы включили в неограниченный круг лиц, имеющих доступ к моим СМС. Сотрудников органов через СОРМ?

Программистов приложений. Какой-нибудь предустановленный яндекс или меил ру который ни удалить, ни права урезать.

Вам виднее какое ПО у Вас установлено.

По сетям обсоса СМС передается открыто. Плюс шлюз/агрегатор.

Завтра ваш тиньков сделает логином номер телефона как это уже сделал втб и вам не скажет. Для Вас уже в этой теме стало неожиданностью, что можно восстановить пароль по одной СМС.

То что сегодня случаи перехвата СМС не являются массовыми не значит, что так будет всегда. Технология не защищенная by design. И Вы (а равно - я) можете стать первыми кому "повезёт".

Для Вас уже в этой теме стало неожиданностью, что можно восстановить пароль по одной СМС

Ссылочку не приведете?

Там, где я "удивлялся" такому, в итоге как раз подтвердилось, что одной SMS не достаточно. Нужно еще и полный номер карты указать, который шлюзам/агрегаторам получить не так просто.

А для условного "силовика", имеющего доступ и к СМС, и к базам налоговой и т.п. есть цели поинтереснее. Хотя о чем это я? В налоговой ведь тоже номеров моих карт/договоров нет. Только счета. Но по ним не восстанавливается.

Я не говорю, что в полной безопасности. Разумеется, могут сойтись звезды, что и трех-четырех-пяти факторов не хватит. Но в реальности более вероятны другие способы изъятия вплоть до физических. Только причем тут банк, если я сам все сдал добровольно и с песней.

Я не говорю, что в полной безопасности. Разумеется, могут сойтись звезды, что и трех-четырех-пяти факторов не хватит.

В реальности у вас 0,5 фактора - это СМС передаваемая по открытым каналам. Номер карты вообще не фактор, его могут срисовать в любом месте где Вы картой расплачиваетесь.

  • Я не расплачиваюсь картой. Я прикладываю смартфон. Теперь даже банкоматы это позволяют (хотя наличкой почти не пользуюсь)

  • Срисовавший карту тупо на кассе (ну вдруг) не знает телефон

  • Не уверен, что не требуется еще и login знать.
    Пароль-то он сбросит, но по номеру можно зайти только для регистрации аккаунта. Старый мне удаляли по звонку.

  • Есть еще куча механизмов антифрода, препятствующих выводу значительных сумм "внезапно".

Впрочем, мы фигней занимаемся. Достаточно уже. Просто повотрю основную свою мысль.

Если кто-то жалуется, что у него увели со счетов (из Тинькофф как минимум) все деньги, практически наверняка это из-за ошибки клиента (развели мошенники, украли родственники/близкие). А не потому, что банк не дал возможности защититься (не предусмотрел 2FA, неправильно имплементировал и прочее). Бывают экзотические случаи с недобросовестными сотрудниками, но гораздо реже. И решаются по другому.

А вот "подсмотреть номер карточки, сделать поддельную SIM..." если и бывает, то неизмеримо реже, да и наказывать за это надо не банк. И что там с компенсациями за украденные таким образом деньги со стороны салона/сотрудника, необоснованно выдавшего СИМ карту - это отдельная песня.

Впрочем, мы фигней занимаемся. Достаточно уже.

Согласен, все эти технические детали особого значения не имеют

Если кто-то жалуется, что у него увели со счетов (из Тинькофф как минимум) все деньги, практически наверняка это из-за ошибки клиента (развели мошенники, украли родственники/близкие).

Если таких случаев не один и не два, значит механизм неприемлем. Всё, это достаточное условие, кто виноват - даже не имеет значения.

А вот "подсмотреть номер карточки, сделать поддельную SIM..." если и бывает, то неизмеримо реже, да и наказывать за это надо не банк. И что там с компенсациями за украденные таким образом деньги со стороны салона/сотрудника, необоснованно выдавшего СИМ карту - это отдельная песня.

Может просто не надо пароли передавать по открытым каналам? Может не надо использовать услугу третьих лиц для этого не предназначенную? Нет? Ну я хотя бы попытался...

На самом деле это ровно один вариант, который называется “социальная инженерия” или проще телефонный развод.

Вот именно. Ну и как-же двухфакторная аутентификация спасет от, например, такого мошенничества: https://habr.com/ru/post/538794/ ?

Эта статья нудная и очень банальная. У меня это пукнт - послушать записи разговоров с мошенниками, ну и второй пункт ни с кем не разговаривать.

Тупых не спасёт, но у нас задача дать чувство уверенности для нетупых и просто поднять уровень безопасности.

Хотя даже тупых в какой-то степени спасёт. Потому что даже тупой будет иметь больше шансов.

UFO just landed and posted this here

Чувство уверенности чтобы уверенно послать мошенника при малейших сомнениях.

Я года 4 назад поменял симку для поддержки 4G. Номер, понятное дело, остался прежним. Так у меня пропал доступ в Сбер Бизнес Онлайн. Оказывается они там проверяют уникальный номер SIM-карты, поэтому при замене надо подтвердить её либо написанием заявления в банке, либо второй учёткой для этого же личного кабинета.

В Альфе так же. Поменял симку, но, кажется, в банк не ходил, однако пришлось позвонить и через техподдержку активировать. По крайней мере запись голоса у них должна остаться.

Я однажды сменил телефон, и сразу же заменил симку - это давно хотел, но из-за ковида все не мог дойти.

И на сутки остался без мобильного банка, тк, как оказалось, и Би, и банк после смены симки и телефона вводят ограничения. Т.е. - хоть что-то, но есть.

В общем, меня бы устроило, чтобы еще с левых номеров мне не звонили «консультанты банка». И еще очень удивительно, когда консультант рассказывает сне про мои кредиты - явно где-то течет из банков.

Ах да, вот когда я при звонке в банк должен рассказать все мои ПД для авторизации… за это бы рукам надавать, да.

со спам- звонками очень выручает фильтр в штатной звонилке от гугла, на андроиде. Режет 90% звонков, а по смс результат еще лучше

 когда консультант рассказывает сне про мои кредиты - явно где-то течет из банков

Это "БКИ" течёт. На такой случай лучше переспрашивать, к какому дебетовому продукту привязан кредит (у меня в разных банках - либо электронная карта, либо зарплатная, либо автомобильно-бонусная) - в БКИ этой информации нет.

Ещё очень популярный поворот диалога "С Вашей карты осуществляется перевод в Манты-Хинкальный край на 15 тыс. руб." - "А с которой из?" - в 90% случаев дальше нить разговора утрачивает связность...

Я пару раз такие звонки получал (не знаю, это часто или нет), с первыми поговорил, проверки логики ради, в стиле "какой банк? никаких ваших продуктов у меня у вас нет!" - чувак затупил и все повторял "как нет?"

А второму "сотруднику отдела безопасности" (который начал заливать, что "прямо сейчас вот кто-то на ваше имя берет кредит, это вы или нет?") я прямо сказал, что кредит не беру, а если банк это не может отследить, то это ваша недоработка, вы же безопасники. Вот второй обиделся, и начал прямо наезжать, что же я банк ввожу в заблуждение.

Ну и так - да, интересно, БКИ течет, о клиенте (прямо скажем - о комбинации "ФИО + телефон + банк, где кредит") кому-то что-то известно становится, и даже непонятно, как это прекратить и кто за это отвечает - и после этого гос-во обижается, когда граждане думают, как изобразить виртуалов? Правда, по факту, гос-ву пофиг на утечки, пофиг на виртуалов - но не пофиг на то, что граждане должны (налоги, воинская повинности и пр.).

Меня еще сервис от сбербанка бесит — пробивка Имени Отчества по номеру телефона (при переводе). Очень помогает мошенникам, а окрестные бабушки удивляются, "как же они узнали, как меня зовут?"

Можно выключить в приложении. Но с другой стороны это удобство и защита от перевода не тому человеку. Не нужно сообщать полный номер карты(что так же не безопасно), достаточно номера телефона.

Я не понимаю, почему имя отчество сочли менее опасными, чем фамилию и инициалы. Или даже фамилию со звездочками, как при печати номера кредитки.

Фамилия более уникальна, чем сочетание имя — отчество(тоже имя), как я думаю.
Запомнить проще. Да и перевод зачастую осуществляется знакомому человеку и имя, а то и отчество уже известны.
Не только Сбер. Весь СБП так устроен.

Аналогично в тинькофф - потребовалось списаться в мессенджере и созвониться голосом

Ага, автор ссылался при написании текста на старые статьи, уже пару лет если не больше в Тиньке это есть

Поищите как клиенты жалуются, что у них поменяли номер телефона и украли деньги, и ещё кредиты открыли и украли даже те деньги, которых не было.

Конечно жалуются. Кто способен признать, что облажался и слил секретные коды, не будет во все колокала бить.

Не получится у вас зарегистрировать клиент банк на новом аппарате с новой симкой, выпущенный на старый номер.

По меньшей мере, в ряде банков достаточно одной СМС.

На банки.ру была история. Получили дубликат симки в ларьке опсоса и слили бабло + кредит. Тоже обвиняли клиента пока не выяснилось что симку получили по поддельному паспорту, а потом с этим паспортом еще набрали кредитов в других банках. А был бы ларек без видеокамеры так клиент бы и остался виноват.

Хотя вернут ли ему деньги еще большой вопрос. Но хоть по кредитам скорее всего претензий не будет.

У меня в Телеграмме установлен пароль.

Даже если кто-то получит новую симку или сможет перхватить код (через СОРМ, что угодно), войти в мой аккуант Телеграма он не сможет.

С моим банк-клиентом то же самое. В этой ветке речь идет о Тинькофф, где получения кода категорически недостаточно, чтобы подключить клиент-бакн (ни с мобилки, ни из браузера)

Я могу согласиться, что наверняка есть банки, в которых смена СИМ карты не проверяется, а полный доступ ко всем счетам без ограничений предоставляется по единственной СМС.

Но остается лишь гадать о причинах, почему вы выбрали именно такой банк, сокрушаетесь о том, как в нем опасно обслуживаться, но категорически не желаете его сменить на один из многих других, где нельзя вас разорить одной СМС.

А пароль можно сменить имея смс.

Пароль нельзя сменить даже при общении с сотрудником.

Забыл - опаньки. Создавай новый аккаунт с новым паролем. Но это уже далеко не только СМС, а и голос, и много чего еще.

Если же вы про Телеграм - то аналогично. По СМС вы пароль не смените, не для того он создавался. Может быть через почту можно, не знаю. Но угрозы со стороны спецслужб, перехватывающих мои СМС и почту с зарубежного сервера Телеграм на зарубежный же почтовый сервер я для себя не рассматриваю.

> Если же вы про Телеграм — то аналогично. По СМС вы пароль не смените, не для того он создавался.
(к сожалению) вы не правы. Пароль в Телеге сбросить можно, с полным удалением аккаунта, через обычный код в СМС, да. Но доступ к прошлой переписке получить таким образом нельзя.

Как это работает: при попытке восстановить пароль
— отправляется код на уже залогиненные устройства (если таковые есть)
— отправляется код на привязанный номер телефона через смс.
— при успешном вводе этого кода запрашивается пароль (который типа 2FA), но есть вариант «я не помню пароль». При его выборе будет предупреждение, что аккаунт будет удален и создан новый, если продолжить.

P.S. Предполагаю, что так сделано для возможность пользоваться Телеграмом именно тому, кто в данный момент обладает доступом к номеру телефона (пример: номер освободился у оператора и выдан другому человеку). Но почему нельзя было добавить хотя бы «период охлаждения» перед возможностью снести аккаунт, например в 24 часа — мне не понятно.

Еще раз: если кто-то, даже на короткое время, завладел вашим номером телефона — он может лишить вас всей переписки и контактов в Телеге за несколько минут, несмотря на включенную 2FA (и активные устройства с этим аккаунтом), но не сможет получить к ней доступ.

Насчет лишить меня старой переписки - да, согласен.

Но я даже не стал писать об уничтожении аккаунта, ибо не могу представить ситуацию, чтобы кто-то стал ради этого заморачиваться с получением поддельной СИМ карты.

Почитать - ну теоретически возможно. Хоть ничего секретного в переписке и нет (секретное автоматически удаляется по времени), это было бы неприятно. Но просто уничтожить, причем потом я доступ к аккаунту все равно восстановлю - это перебор.

Контакты? Вот тут вы меня на мысль натолкнули. Обычно я телефон добавляю в адресную книгу, синхронизируемую с Гуглом. Но, наверное, есть и такие, кто только в Телеграмме есть, особенно "секретные", к мому доступ только по имени (вообще без номера телефона). Они действительно потеряются.

Впрочем, с кем общаюсь, знаю по именам, найдутся. А просто по адресной книге обзвонить устаревшие контакты - маловероятно. Это, скорее, неудобство, чем серьезные потери.

Вы про Тинькофф? Какой новый аккаунт? А со старым что будет?

Да, я про Тинькофф. И я понимаю, о какой угрозще вы подумали.

Старый в архиве, но создать пользователя с тем же именем нельзя. Не "полное удаление" возможно потому что история хранится со сылками на тот аккаунт.

Поскольку телефон теперь тоже привязан к новому аккаунту, даже если я чудом вспомню пароль, зайти все равно не смогу.

Аналогично, если я новый аккаунт переведу на новый телефон, от старого откажусь, и этот старый номер через полгода попадет в чужие руки, это не даст возможности его новому владельцу получить доступ к моему старому аккаунту, к которому даже я сам с помощью поддержки банка не смог подключиться.

Я, возможно, чего-то не понимаю, но отсюда: (будем надеятся, что это действительно их сайт, а не какая-то подделка. EDIT: туплю, не их, но будем надеятся, что инструкция все-таки правильная.)

  1. Введите привязанный номер телефона или адрес электронной почты на который был зарегистрирован аккаунт.

  2. Нажмите кнопку «далее» и дождитесь когда на телефон или e-mail придет код подтверждения. (Такой подход делает вашу учетную запись защищенной и кроме вас никто не сможет восстановить пароль Тинькофф банк) В некоторых случаях смс идет до нескольких минут.

  3. Впишите полученный код и нажмите кнопку Ок. На вновь открытой странице придумайте новый пароль для входа в личный кабинет Тинькофф банк. Заполнить нужно 2 поля одинаковыми паролями.

  4. Процедура восстановления пароля закончена и теперь вы можете попробовать войти в интернет банк с новыми данными.

Т.е. имея на руках телефон, можно сменить пароль в личный кабинет банка именно как "пароль можно сменить имея смс.". Ну да, не в мобильное приложение, но разницы-то? Или у них с сайта ничего со счетами сделать нельзя?

https://www.otinkoffmobile.ru/ выглядит не похоже на официальный. Впрочем, он и не мошеннический.

Я описывал свой прошлый опыт (год-два назад). В то время "вход по телефону" был возможен только первый раз для регистрации аккаунта. Возможно поменяли процедуру.

Будет жаль, если кто-то здесь подтвердит, что они снизили безопасность, и теперь можно восстанавливать полный доступ по простой СМС. Это категорически неправильно.

Распаролить приложение иногда у банков неожиданно сложно. Но установить на новый смартфон практически всегда достаточно каких-то публичных данных (номер договора/карты/телефона) и единственной СМС. То ли они дерут друг у друга, то ли одна контора делает.

Сообщение выше оставлю для демонстрации своей тупости. Вот инструкции с https://help.tinkoff.ru/:

---

Как восстановить пароль для входа в приложение Тинькофф или в личный кабинет на tinkoff.ru?

Если вы забыли код доступа для входа в приложение Тинькофф, нажмите «Выйти» в левом нижнем углу экрана.

Для повторного входа потребуется ввести номер телефона, который вы указывали при оформлении продуктов Тинькофф. На этот номер придет СМС с кодом. Затем вам нужно будет ввести пароль. Еще пароль потребуется, если вы три раза подряд ввели неверный код доступа в приложение.

Если не помните пароль, нажмите «Забыли?». Вам понадобится ввести или отсканировать номер карты, а затем указать новый пароль и четырехзначный код доступа.

Если вы забыли пароль для доступа в личный кабинет на tinkoff.ruна странице входа нажмите «Забыли пароль?». Далее введите номер карты или договора. После этого на номер телефона, который вы использовали при оформлении продуктов Тинькофф, придет СМС с кодом. Введите этот код и придумайте новый пароль.

Помните, что логин и пароль для входа в личный кабинет и приложение одинаковые. Если изменить пароль для личного кабинета, он изменится и для приложения Тинькофф.

---

Ну хорошо, совсем чуть-чуть лучше (нужен телефон на руках и номер карты, который, в общем, ну ни разу ни секрет)

В Альфе аналогично и запретить восстановление по SMS у них тоже "нет технической возможности", хотя в отличии от ТКС имеется нормальная сеть отделений.

Пароль нельзя сменить даже при общении с сотрудником.

Забыл - опаньки. Создавай новый аккаунт с новым паролем. Но это уже далеко не только СМС, а и голос, и много чего еще.

При первой установке тоже голос? Который мошенники запишут при звонке? Мне теперь не только в инстаграм не ходить к любовнице, но и не разговаривать с ней? Жизнь без тинькова мне проще представить, чем жизнь без любовницы.

много чего еще

Чего именно?

Но остается лишь гадать о причинах, почему вы выбрали именно такой банк

Когда я заключал договор такой фигни не было. Тот же ВТБ добавил возможность логиниться по телефону уже сильно после. Если бы не СМС от мошенников, я бы об этом и не узнал.

мошенники запишут при звонке? Мне теперь не только в инстаграм не ходить к любовнице, но и не разговаривать с ней?

Извините, но мы здесь обсуждали противодействие мошенникам, а не почему вам любовница дорого обходится, и как банк должен это компенсировать.

Было интересно почитать, что у вас не только в банке мошенники, но и любовница мошеннически записывает ваш голос для снятия денег с вашего счета. Но тут мне нечего сказать, опыта борьбы с такими угрозами у меня нет.

До свидания.

Хорошо, если вас это смущает, я больше не буду упоминать любовницу.

Вы с кем-нибудь разговариваете по телефону вне доверенного круга? Доставкой пользуетесь, курьеры вам звонят? Если я Вам позвоню, Вы снимите трубку?

Вы вообще серьезно считаете, что образец голоса это какая-то проблема? Даже с определенными фразами.

Теперь если я завел карточку тинькова, мне всю жизнь оглядываться не может ли каждая моя произнесенная фраза быть использована в тинькове для авторизации?

Нет, ваша любовница сама по себе меня не смущает :)
Меня смущают ваши опасения, что она запишет ваш голос и использует его для нанесения вам ущерба.

И вообще, я не понимаю, о чем вы говорите без конкретики. Можно сценарий?

Например: Мошенник звонит в банк, прикидываясь мной. Просит о чем-то, скажем, привязать другой номер телефона. В нужный момент подставляет записанную фразу "Да" или какую-то иную...

В какой-то степени вы, конечно, правы. Надиктовывать направо и налево всяким курьерам "Здравствуйте, я такой-то, давайте привяжем к моему счету новый номер телефона <диктуете телефон мошенника>" действительно не стоит.

Например: Мошенник звонит в банк, прикидываясь мной. Просит о чем-то, скажем, привязать другой номер телефона. В нужный момент подставляет записанную фразу "Да" или какую-то иную...

Собственно, именно этого обычно и бояться. Неизвестно, насколько оно технически осуществимо (т.е. в каком месте соревнование брони и снаряда для генерации/распознавания дипфеков голоса и внешности находится), но учитывая некую склонность(по наблюдениям сайтов с жалобами и вообще блогов) банков быть слишком оптимистичными в решении о том, что им на что-то разрешение дали — то есть склонность к некой паранойе.

Я не знаю систем, где было бы достаточно позвонить в банк, пройти по меню (не секретному) и в какой-то момент просто сказать "Да" записанным голосом.

Если же сначала нужно поговорить с сотрудником - это другая песня.

Я имею ввиду, что еще в 2017 году было: "Тинькофф Банк разработал собственную систему идентификации клиентов по голосу. Ежедневно она тестируется на 11 тыс. клиентах, голоса которых распознаются на 15 секунде разговора. "

Одной записанной фразы (и даже их набора) мало. Уводят деньги по другому.

Хотя я снимая трубку на всякий случай говорю "Слушаю", а не "Да" :)

Ну так заранее бояться, что такая система появится.


В которой банк решит, что голос 'достаточно похож' на твой и поэтому можно сделать то, что он просит.


Еще надо учитывать, что 'поговорить с сотрудником' — с достаточно большой вероятностью тоже будет общение с роботом. Причем не отличишь.

Ну так заранее бояться, что такая система появится.В которой банк решит, что голос 'достаточно похож' на твой и поэтому можно сделать то, что он просит.

А что вам мешает в такой ситуации просто взять и поменять банк?

В какой "такой" ситуации? Когда у вас украли все деньги + кредит? Или где-то есть расписание на 20 лет вперед когда какой банк накосячит с безопасностью?

По этому и придумали zero liability и пусть банк делает что хочет.

В ситуации когда появится какая-то новая система и ваш банк решит её использовать. Или скажем откуда банк возьмёт образцы для вашей биометрии?

Образец голоса банк возьмет из тех самых записей "для повышения качества обслуживания".

Без разрешения с вашей стороны? И даже без уведомления? И законы позволяют так менять договора в одностороннем порядке?

Уведомит-уведомит. Ткнешь неудачно по специально подставленной кнопке в интерфейсе банкомата или приложения (хорошо еще, если название будет не мутное и можно будет сразу искать, где все обратно отобрать) — и будет у него разрешение.

Ткнул неудачно в банкомате, и банк вам выдал 10 тыс руб на руки, а все остальное на непонятный счет. Вы же подтвердили.

Ну ОК. И не надо сложностей с голосом.

Позволяют ли законы вопрос дискуссионный.

В теории существенные условия договора можно менять только доп. соглашением, акцепт которого не может осуществляться бездействием.

На практике меняют всё по схеме: "Мы разместили на сайте <ссылка> новые правила. Если не прибежите в панике расторгать договор в течение 24х часов, значит прокатило вы согласились на новые условия". Иногда еще письмо пришлют где в письме написано "<ссылка>". т.е. вместо ссылки прям так и написано русское слово "ссылка" обрамленное какими-нибудь спецсимволами. Мне такие документы в бумажном виде ситибанк присылал - "сумма вашей задолженности - ?сумма?". Программисты они такие программисты.

Тогда проблема не в отсуствии нормальной двухфакторной ваторизации, а в том что работают такие "практики". Потому что завтра банк "разместит" где-то там у себя что теперь обсуживание счёта стоит 100500$ в день и вы ещё и должны будете...

Без разрешения с вашей стороны? И даже без уведомления? И законы позволяют так менять договора в одностороннем порядке?

Есть пример не про банки.

Знакомым как-то пришла платёжка коммунальная, в которой была строчка про радиоточку (или типа того) и подпись "оплачивая вы заключаете договор"

История о том как этот договор расторгали была увлекательное. :)

Списаться или созвониться это примерно то же самое, что не делать вообще ничего.

А где-то новую симку авторизуют спросив нехитрые вопросы, которые мошенники либо угадывают либо в даркнете покупают. Например, список последних операций люди покупали про себя в ряде крупнейших банках. Была статейка.

Так это бизнес, суммы то по более крутятся, да и клиент имеет больше возможностей отбить свои деньги. Вот и повышают защиту.
А Сбер для физиков, максимум на некоторое время блокирует приход смс, надеясь что клиент в курсе замены симки. И чтобы он не ходил в отделение, не тратил время банка.
И в тоже время на чистый нигде не засвеченный номер, после оформления счёта в банке начинает сыпаться реклама.

Странные вещи рассказываете. Два года назад замена сим карты подтверждалась в Сбере звонком в колл-центр, никакого визита в банк не требовалось. Как сейчас не знаю.

Вы Бизнес с обычной версией не путаете? Для ООО воспользовался учёткой гл. бухгалтера, для ИП мне пришлось топать ножками в отделение.

Сорян, не заметил про бизнес. Конечно, я имел в виду физиков.

Короче, банки должны делать хорошо, а плохо должны не делать. Отличная идея, а главное продуманная.

Во-первых, хакер_в_столовой.txt Ну куда и зачем аппаратный токен, миллион адресов на собственном сервере, чистая ось через прокси и одноразовые шифроблокноты бабульке, которая кнопочным мобильником-то пользоваться толком не научилась? Это всё отличные меры, когда вам надо выстроить периметр корпоративной безопасности, но типичная жертва звонка из тюремного колл-центра — это не бывший подполковник ГРУ, а как раз таки человек без больших технических навыков.

Во-вторых, суперключ в виде ПД в любом случае будет. Мошенник всегда может украсть мой паспорт, найти подручного примерно похожей внешности и отправить его в банк восстанавливать утраченные логины/пароли. Фотке в паспорте десять-пятнадцать лет, как меня клерк по ней достоверно опознает?

В-третьих, наймите себе наконец редактора. Вроде компания, блог на Хабре ведёте с кучей наёмных авторов, а собственные тексты выглядят как поток сознания без половины запятых и с повтором полутора экранов текста. Ещё и со ссылками на собственные сервисы в рекомендациях, офигеть нативочка.

Вот не надо апеллировать к бабулькам. У нее приложение для мобильного банка установлено? Если да, то разберется и с остальным. Нет - значит пусть ходит ногами в банк со сберкнижкой. И никаких удаленных операций не разрешать ей.

Бабульки смогли разобраться с карточками и с банкоматами - разберутся и с аппаратными токенами.

Если в банк придет кто-то с похожей на вас внешностью и паспортом - он все равно засветится на куче камер. Деньги уведут, может быть, но, по крайней мере, вы сможете доказать что вы были в это время в другом месте и это не ваша уже вина что банк не узнал вас. Опять же, аппаратный токен (на цепочке на шее или вживленный в руку/мозг в будущем).

Вы, критикуя, предлагайте что-то взамен. Или оставить все как есть? Да, проблем много и исключений будет много для разных групп населения.

Приложение могут установить и сотрудники банка, воспользовавшись тем, что клиент в этом не разбирается, а бонус к зарплате очень хочется. Мои пожилые родственники сталкивались с: «У вас наше приложение есть? Нет? Тогда подойдите к этой девушке, передайте ей телефон, она всё сделает». Хотя это приложение и не нужно.

«Критикуя, предлагай» — это вообще откуда взялось? Чтобы сказать, что безопасность в банке на низком уровне, надо план развития предложить? А своя СБ в банке что делает?

«Критикуя, предлагай» — это вообще откуда взялось?

Это взялось оттуда, что на любое предложение проще всего что-то критиковать с дивана. В итоге толпа бухтящих недовольных, но нет предложений. Если критика спросить - как ты хочешь чтобы было безопасно и удобно - он зависнет и сольется.

"все плохо. Банки, придумайте так чтобы было безопасно, удобно и не приходилось ничего никуда вводить.". Надо запомнить пароль - фу нет. Надо токен - фу нет.

Какое решение для, например, "проблемы бабулек" устроит господина критика?

«Банки, придумайте, чтобы было безопасно и удобно» — да, именно так, это и требуется от организации, которая обязалась сохранять деньги. Для этого есть ресурсы и сотрудники. При этом даже если и украли деньги, где хвалёный СОРМ? Почему нельзя определить кто, куда и когда звонил, писал СМС, выполнял транзакции?

«Проблему бабулек» для начала стоит сформулировать. Про «если есть приложение, то разберётся» я выше написал. Да и проблема не техническая, а социальная.

Двухфакторка примерно в текущем виде. В случае лично моих пожилых родственников, например, вторым фактором служит телефон у меня (а не у самой пресловутой бабульки) в кармане. Может не для всех подойти по логистическим или этическим причинам, но для меня работает. Ну и плюс какое-никакое объяснение, что банки не звонят с рандомных номеров, бесплатный сыр бывает в мышеловке, а если я вдруг кого собью и мне надо будет срочно дать взятку — то я и сам вполне могу её заплатить.

Всё остальное, на мой взгляд, чересчур сложно для рядового пользователя (миллион почт/номеров, хитрые схемы с "фактор 1 в понедельник, фактор 2 во вторник...") или театр безопасности (одноразовые пароли и аппаратные токены). Тот же сбер давал когда-то (может, и сейчас даёт) одноразовые пароли для своего онлайна, прям на бумажке и с необходимостью получать их в отделении. Идея в теории неплохая, но мошеннику ничуть не сложнее уговорить жертву продиктовать ему эти пароли или там циферки на этой вашей банковской флешке, чем уговорить её же сказать код подтверждения из СМС. Ну да, не обходится перевыпущенной симкой, но фишингом или социальной инженерией — вполне.

Продиктовать СМС сотруднику банка периодически легальная операция. При этом меня радуют банки, которые пишут в СМС — эту СМС никому не говорите, эту продиктуйте оператору.
И раздражают ребята, то которых приходит СМС "код подтверждения операции 12345" — ни суммы, ни операции, ничего МКБ — камень в ваш огород.


На бумажках по хорошему тоже должно быть написано: этот блок кодов сообщайте сотрудникам, этот блок кодов не говорите никому. А если эти 2 блока будут рядом — убедить слить код из закрытого списка станет гораздо сложнее. Так что стоит их писать оба, даже если коды "для сотрудника" не понадобятся никогда.

По крайней мере точно подтверждено что у зелёного банка часть функционала/настроек работает только в приложении, его установка автоматически меняет смс на пуши, а его удаление откатывает настройки(СБП) обратно.

Так они и не скрывают.

Их государство нагнуло на систему быстрых платежей (не свою, а гос-стандартную), так они её и сделали "только через мобильный банк".

Хотя лично я только рад, но вот отцу якобы перевели оплату в СБП - и теперь ищи где хочешь у кого хочешь...

  1. В статье сказано по желанию. Есть люди, которые хотят иметь дополнительные независимые средства защиты.

  2. И это уже будет косяк банка, а не ваш. Вам достаточно будет доказать, что вы были в другом месте в это время. Вы реально этого не понимаете?

  3. Повторы были вызваны глюком. Выше писал.

2. Доказать то вы докажете, только деньги вам никто не вернет. Украли? Ищем! Найдем? Ну хз.

С чего это? Деньги украли у банка. Банк ответственный за хранение. Суд скажет, что банк обязан вернуть деньги. А дальше как раз банк уже пусть ждёт когда жуликов найдут.

Было бы классно, было бы это так просто :)

Почитайте про zero liability, кое-где все именно так. Ну, почти так.

UFO just landed and posted this here
В какой стране? Судя по значку доллара, явно не в РФ. В США/ЕС и вероятно других цивилизованных странах это норма. У нас хоть закон такой же есть(161 ФЗ ст.9 пункт 12), но судя по количеству недовольных клиентов на банки.ру, явно не работает.
UFO just landed and posted this here
Меня так убедили в комментариях тут, люди работающие в банках. Не могу найти коммент, это было давно и не правда.

Международные платёжные системы (Visa, Mastercard) чётко делят карты на дебетовые и кредитные, это непосредственно в первых 6 цифрах номера закодировано.

А вот банки могут фантазию проявлять. Бывает, что выпускают карты с номером кредитной, но при этом работающей как дебетовая. Вот только что свою Tinkoff black проверил (сервисы проверки гуглятся по "bank card IIN check") - оказалось, кредитная.

А бывает, что карта с точки зрения МПС дебетовая, но банк позиционирует её как кредитную, разрешив овердрафт.

Почти все карты российских банков выпущены как кредитные (с овердрафтом или без), так как с них выше комиссия.

В евросоюзных магазинах бывали неприятные моменты, когда там сказано "кредитные карты не принимаем" и оказывалось что твоя "дебетовая" технически является "кредитной"

Проверил свою кредитку, сервис показывает её как DEBIT. Виртуальную же карту без кредитного лимита от того же банка показывает как CREDIT. Чудеса :)

Может быть, что эти BIN номера (или как их там называют) не так однозначно распределяются …

161-ФЗ фактически не работает и некоторые банки прямо в условиях обслуживания намекают, что не будут его исполнять:

Ради интереса посмотрел решения Мосгорсуда, который также в большинстве случаев встаёт на сторону банка. Даже по "страховке от мошенничества" часто не платят с аргументацией в духе сам дурак.

В формате "по желанию отдельным пользователям" претензий не имею. Если никто из банков в самом деле не предлагает экзотические механизмы авторизации — это как-то странно, да.

Банальную привязку к IP не найдешь. Или есть что-то, но по одной СМС можно установить приложение и из этого приложения отключить все защиты.

Ну куда и зачем аппаратный токен, миллион адресов на собственном сервере, чистая ось через прокси и одноразовые шифроблокноты бабульке

Бабульке возможно и не нужны. Но если я хочу отказаться от единственного фактора — мобильного номера телефона со способностью принять SMS, и перейти на более надежные методы, то банки в большинстве своем не предоставляют таких вариантов в принципе.


Примером реализации можно привести Google Advanced Protection Program. Либо учетка восстанавливается по SMS, либо при каждой авторизации используй аппаратный токен и быстрое восстановление только через резервный токен.

К сожалению, банка это экономически не выгодно, вернее нет хоть мало-мальски заметного спроса. А в ритэйле рулят те, у кого издержки минимальны.

Не знаю как в России, но в украине ответ один:
-не хотите что бы легко угнали симку оформляйте контракт с мобильным оператором или хотя бы в личном кабинете отключайте услугу "удаленная смены сим-карты" (это бесплатно).

Предлагаете строить систему так, чтобы она подходила самому не заинтересованному в ней элементу? Так и машины тогда не нужно продавать - лошади гораздо понятнее некоторым соц. слоям

Мне кажется что уже есть решение для безопасной работы и хранения своих заработанных. Скорее всего это криптовалюты. Ведь по идее, нет никакого посредника в виде банка между вами и кошельком, а значит нет никаких "менеджеров" которые пришлют смс или позвонят из банка. Подделка телефонного номера тоже ничего не даст. Может быть я не прав, но помоему это единственный выход для людей.

Даже мне на днях поступал звонок от "Главного следователя Москвы", я сразу повесил трубку, но неприятный осадок и доля сомнения у меня осталась.

Так уж мы воспитаны, быть честными и следовать инструкциям и тут вопрос кто этим воспользуется, государство или мошенники.

забавно, почему вы не считаете крипту современным МММ?

Так вы лучше расскажите почему так нужно считать - будет что обсудить ;)

Я вам косвенно отвечу, если вы не против...

Когда я был в Киеве в 2009 году, надо было поменять рубли на гривны. Я обратился в обменный пункт: - "Хочу купить у вас гривны"

На что мне ответили(точно до слов не помню, но смысл такой), что не знают такую валюту как рубли, но могут купить за гривны эти бумажки...

Обменный пункт скорее всего был не от банка, а просто менялой, который обзавелся ларьком

Это не важно, ответ меня хотя и задел, но понравился. Уели красиво! :)

Не улавливаю вашей аналогии

Если я не ошибаюсь, в РФ все денежные расчеты могут быть только в рублях. Остальное все конвертируется по курсу... Аналогия в том, что крипта это не деньги, это товар. А когда вы ее продаете, то на самом деле не вы продаете, а у вас ее покупают. :)

PS: МММ свои бумажки продавал на хайпе, цена их росла от привлечения других клиентов. Сейчас это же делают в общемировом масштабе, интересно когда закроется мышеловка. Иначе как вы объясните такой рост стоимости, к примеру 1 битка...

Деньги - это ровно тот же эквивалент товара, его компактное воплощение. Разница в обеспечении: доллары и тп обеспечены золотом (должны быть), а битки - математикой. Деньги могут обесцениться ровно как и битки взлететь - для примера, посмотрите на Венесуэлу.

Тут все понятно, так как есть экономическое и политическое объяснение. В отличие от крипты. Просто математика, сама по себе ничего не стоит. И результаты вычислений никому не нужны, это не вложение денег в разгадку генома или чего-то еще, а просто сжигание электричества.

Возможно стоимость крипты как раз складывается от эквивалента сожженного электричества. Электричество же что то стоит? Ну исуть моих слов, в том что когда ты сам распоряжаешься кошельком, тебе не позвонит "хранитель" кошелька и не начнет говорить что срочно надо смс ему переслать, просто потому что нет всей этой бесполезной надстройки.

Вы так говорите, как будто у всех стран выпуск денег прям 100% обеспечен :)

Мне кажется, это как блеф в покере - все хорошо, пока он не на поверхности. Крипта тут ничем не хуже, но она явно менее удобна в плане контроля. И поэтому, как по мне, активно дискредетируется.

"Доллары и т.п." уже давно не обеспечены золотом. Золотой стандарт отменили.

А криптовалюты пока не блещут стабильностью, чтобы быть удобным и надежным средством оплаты и хранения средств. Пока только спекуляция. Другой печальный аспект для криптовалют - недостаточное признание. Вы не сможете купить за криптовалюту все, что нужно. А вывод из крипты в местную валюту часто излишне сложен и связан с рисками. Плюс (по крайней мере для некоторых криптовалют) или комиссия конская, или транзакцию долго ждать.

Иначе как вы объясните такой рост стоимости, к примеру 1 битка...

Отсутствием неограниченной эмиссии и наличием спроса на средство расчетов не контролируемое отдельным государством?

Если что, я биток не считаю надежным средством для хранения сбережений, но отрицать некоторый ряд его реальных преимуществ тоже будет не правильно.

Криптовалюта сама по себе подобна кошельку с деньгами в кармане. Чтобы хранить в ней значительные средства, о безопасности нужно думать полностью самостоятельно. И там полно моментов где можно наломать дров - например, использовать облачные кошельки для сбережений

Я думаю, что технические меры бесполезны. Пока мошенников не начнут массово ловить и наказывать, мошенничества не прекратятся. Благо, когда речь идёт о безналичных деньгах и телефонных разговорах, поиск причастных не составляет труда для органов.

Вот, скорее всего, да. В Европе такого нет? Наверное там гораздо сложнее купить базы с ПД. Постоянно утекают какие-то контакты и прочие фейсбуки, но, думаю, сложнее все вместе связать. Если сами сотрудники МВД-ФСБ продают базы - то тут надо с них и начинать.

У нас у 90% (или больше?) населения есть счет в Сбере - не ошибешься. Мобильные банки и мобильные переводы у нас используются гораздо шире чем в большинстве других стран. А контроль за всем этим банки складывают на клиента.

Насколько я знаю, в штатах можно оспорить практически любую транзакцию и тебе сразу вернут деньги, а разбираться уже будут потом. И за просто количество таких отмен сильно штрафуют сначала банки, а потом платежные гейтвеи. То есть сами гейтвеи вынуждены вводить какие-то меры для того чтобы не допускать вероятности отмены операции клиентом.

в европе, как я понимаю, основное препятствие для работы «СБ НемцеБанка» какого-нить — не проблема с получением ПД, а деревянность самих банков. что толку от всех данных мира, если тебе надо топать ножками в офис для любого более-менее «вкусного» действия?

В северной европе все совсем не так. Все можно и чаще всего делается отнайн. В качестве второго фактора шла или карточка с кодами, или устройство с кнопочками и экранчиком. Можно еще приложение в телефон поставить, при его регистрации надо использовать и девайс с кодами и смс и пароли. Так при каждой становке.

UFO just landed and posted this here

За всю Европу не скажу, но в Польше еще как есть.

Здесь довольно продвинутый банкинг, местами круче чем в РФ и банки постоянно рассылают предупреждения про скам.

И пару сообщений от людей, которые в смс получили фейковую задолженность за электричество а потом оплатили в «онлайн-банке» уже тоже видел.

У нас надо сообщить в течение суток. И тогда всё вернуть, а потом разбиратся

Поиск причастных как раз проблема. Деньги уводятся по цепочке счетов и найти края просто нереально, этим и пользуются. А даже если и найдут - на той стороне бомж, с которого взять нечего, либо обычный физик, который вообще не в курсе что происходит.

Одно другому не мешает. И почему-то с тех пор как у нас сделали так что в случае мошенничества по умолчанию за всё сначала отвечает банк, то внезапно количество успешных случаев этого самого мошенничества уменьшилось на порядок а то и несколько порядков.

В развитых странах так и есть.

Бавария :)


Но насколько я знаю это так работает в целом ряде стран.

залезть к клиентам в штаны

В карман же, иностранец написал?

Перед этим:

Банки сообразили, что в большинстве случаев это проблема клиента, а им прибыль с процентов по украденным кредитам

Т.е. финансовое преступление путают с каким-то сексуальным домогательством.

Залезть в штаны - это отсылка к "залезть в частную/личную жизнь клиента", где про сбор данных и отказ в нормальном обслуживании если не согласишься предоставить кучу данных.

А вообще судя по оскорблениям в адрес других участников в вашем профиле вам здесь не место.

Хабрёныш - это уменьшительно-ласкательное выражение и не про всех. Писалось в состоянии аффекта со дна кармической ямы :)

Скажу про Альфу.

  1. При смене симкарты даже с сохранением номера Вам придется идти в банк с документом и подтверждать что Вы ее поменяли. Иначе никаких доступов не будет.

  2. Любая операция в мобильном или инетбанке должна быть подтверждена кодом из СМС или пуша.

Все мошеннические действия основаны на социальной инженерии. Вам будут звонить, рассказывать что все плохо, ездить по ушам, пудрить мозги, плавно подводя к тому, что "сейчас вам на телефон придет проверочный код, надо его сообщить". Все. Вы сами отдаете все ключи от сейфа. Сколько бы их ни было.

"Против глупости сами боги бороться бессильны" (с)

Если код приходит на то же устройство, на котором производятся операции, то это не 2FA, а профанация. Достаточно трояна залетевшего через 0-day уязвимость и опаньки. И одно дело, если на счету всех денег — на обед, и совсем другое — если есть доступ к многомиллионному счету.

Почему профанация? Операции проводятся через интернет-канал, доставка кодов - смс. Вот пуши да, странненькое решение.

Почему профанация?

Потому что превращает всю конструкцию только в "чем владеешь". А именно — владеешь телефоном (устройством)


Если телефоном 'владеет' соответствующий зловред — плакали денежки. Хотя как раз второй фактор должен это предотвращать.

Не ставьте приложение банка на телефон. Так-то можно и аппаратный генератор кодов (или стретч-карту)с банковской карточкой носить в чехле телефона, и потерять все разом

Тогда получается гемморой. И в этом проблема как раз. Либо пользуйся удобно, но менее безопасно, либо безопасно, но страдай.

Вы сейчас описали проблему абсолютно любой ситуации, где речь идет про безопасность

Именно. Но одно дело, когда ты пользуешься "этим" раз в неделю, а другое дело - по 20 раз в день. Отсюда и появляются всякие отпечатки/faceid и сейчас пытаются внедрить биометрию. Правда реализация, как обычно, вызывает вопросы.

Не думаю, что биометрия педалится для вашего удобства. Гос_во никогда не сделает ничего для вашего удобства

Не верно. Гемор должен быть для критичных сумм/операций. Для повседневных переводов достаточно того, что есть сейчас, т.е. смс.

А тут есть проблема, если какой-то механизм-схема не используется регулярно, он может не заработать когда этого от него потребуется. Поэтому использовать принципиально разные механизмы сложно, например если для крупных сумм у вас есть аппаратный генератор кодов, но вы пользуетесь им раз в квартал, то есть высока вероятность что когда он вам потребуется, вы его не найдете/найдете в не работающем состоянии. Понятно что это частный пример, но тем не менее.

Поэтому желательно чтобы способы доступа регулярно проверялись на работоспособность.

Ну ничего страшного, для редких операций это допустимо.

Так-то можно и аппаратный генератор кодов (или стретч-карту)с банковской карточкой носить

В том-то и дело, что нельзя. Нельзя даже банально запретить мобильное приложение и операции в нем. Я звонил в банк и узнавал.

На какой, например?

У приложения же есть пароль при входе. Или у каких-то нету? Потому что если есть, то вот и второй фактор. СМС-платежи сбера в этом отношении однофакторные, ну так их и отключить можно (или не хранить больше пары тысяч на привязанной карте).

А чтобы сбросить пароль - введите код из смс, да.

У приложения же есть пароль при входе. Или у каких-то нету?

По крайней мере в Сбере и Альфе достаточно знать номер любой вашей карты и иметь вашу симку и можно залогиниться безо всяких паролей. Про остальные банки не скажу, но, скорее всего, также. Опция эта неотключаемая. Поэтому важно иметь всегда заблокированный телефон и пин-код на симке.


или не хранить больше пары тысяч на привязанной карте

Деньги хранятся не на карте, а на банковском счете. Залогинившись в приложение мошенник увидит все ваши счета и сможет выполнять переводы с любого из них.

Альфа-Банк - если где-то засветили данные карты, то можно вбить их в мобильном приложении, вбить ЛЮБОЙ телефонный номер, узнать подтверждение, которое пришло на зарегистрированный номер абонента (при помощи трояна или социальной инженерии), а потом спокойно вывести все средства, а если средств нет, то можно прям там в приложении одной кнопкой оформить кредит на 450 тысяч, который тоже можно перевести. Куча историй есть на vc.

Клиент Альфа-Банка: у вас дыра в безопасности!

Альфа-Банк: ну хоть что-то у нас в безопасности!

Пользуюсь Биткойном. Никакой 2FA, надёжность близка к абсолютной. Что я понял неправильно?

Вот прямо в магазине им платите? И прямо зарплата на него приходит? И транзакции бесплатно и сразу выполняются?

И что будет, если вам позвонят из службы безопасности вашей криптобиржи и извиняющимся английским голосом попросят перевести ваши криптобиткойны с вашего кошелька на "более защищенный" потому что на бирже произошел взлом и прямо сейчас злобные хакеры криптокачают криптоархивы криптоденег в свои криптомешки?

В некоторых магазинах, в которых я скупаюсь, оплата только Биткойном. Зарплата да, приходит. Трансзакции бесплатно бывают только когда вы в маршрутке с заднего сидения передаёте деньги водителю, во всех остальных случаях трансзакции платные так или иначе. Выполняются не сразу, но зато выполняются даже если у всего остального мира есть претензии к вашей трансзакции.

Криптобиржами не пользуюсь, потому что они не имеют отношения к криптовалюте — но вообще-то их ломают не так как вы пишете, а о взломе становится известно тупо с новостей.

Что мешает украсть ваши данные авторизации?

Картошку вы тоже на гидре берёте?

Расскажите подробнее почему там абсолютная надежность, и как вы так у себя все устроили?

А как быть с курсом, который может колебаться довольно значительно?

Ах да, с курсом… Поскольку я с 2012-го почти ничего не тратил, в 2021м я обнаружил себя состоятельным человеком, как и положено вкладчику банка. Кстати, а почему меня хоронят на Хабре, кто эти 8 троллей? Я не смогу ответить на остальные вопросы про абсолютную надёжность, потому что не хочу так много минусов.

Я не ставил минусов, но предположу что это из-за того что ситуация ваша мало применим к общему состоянию дел сейчас.

Где, кому и как сейчас можно широко применять биткойн? Учителя-пенсионеры? Вот поехал я на заправку - как мне расплатиться там? Каков легальный статус этих всех операций?

Или еще вариант - с завтрашнего дня РФ перешла на биток. Сколько будет весить блокчейн через сутки? через год?

UFO just landed and posted this here

в РФ использовать биток будет грозить огромным штрафом или даже уголовным делом"

Продажа товаров и услуг за битки - уже так и есть. Будь это не так, про рубли бы никто не вспоминал уже лет 25-30.

Ну если все доходы и расходы в битках, тогда не страшно)

надёжность близка к абсолютной

Помимо плавающего туда-сюда курса, защищенность не сильно выше защищенности мешка с наличкой: если у вас их станет достаточно много и об этом станет известно нехорошим людям, они попробуют у вас их отобрать силой.

А каково это, ждать по полчаса, пока пройдёт оплата за бутылку газировки?

Без лозунгов была бы нормальная статья (хоть и не без спорных моментов), а так...

Автор публикации рекламный тролль из банка Авангард?

Ну ОКей, подыграю вам :)

В Авангарде по состоянию на 2020 год, насколько я знаю, были варианты одноразовых кодов на скретчкартах, электронных генераторах именно даже для ФИЗЛИЦ (а не ИП).

А еще там очень удобный личный кабинет, в котором ничего не впаривают, в котором не получить кредит, потому что банк выдает только кредитки, и то только после заполнения стопки бумаг лично в офисе.

Лично я еще не встречал более безопасного банка в РФ, как с технической точки зрения, так и с точки зрения полиси самого банка. Предельно профессиональные сотрудники, суперский валютный контроль, который делает все почти на автомате. Образцово-показательный банк.

Помнится в марте 2015 года в отделении этого образцово-показательного банка мне выдали флэшку с ЭЦП, вирусом, и файлом где лежал пароль, который я за пол часа до этого сам же через ЛК установил.

электронных генераторах

Он встроен в карточку. Вроде бы удобно, но у меня был два раза неудачный опыт — батарейка в карточке села через год-полтора. Заменили карту. Через несколько месяцев опять такое же. Когда выдают карту с генератором кода, скретч-коды перестают работать. В итоге, вернулся на скретч-коды. А если нет возможности карту оперативно поменять? Скретч-карта надёжнее.


Карта у них раньше была MC Platinum, теперь обычная МИР (обслуживание дешевле).



Если бы выдавали простой токен с кнопкой, было бы гораздо лучше.


не встречал более безопасного банка в РФ, как с технической точки зрения, так и с точки зрения полиси самого банка.

В даркнете можно пробить любого клиента либого банка и Авангард — не исключение. Так что не стоит расслабляться.

А на скретч-карте сколько кодов? Возможно они тратятся быстрее полугода-года и тогда генератор чуть удобнее. Или карт с кодами можно взять десяток?

На скретч карте — 112 кодов (из них 2 нужны для активации карты). Карт можно взять до 3 штук.


Для оплаты/перевода мелких сумм можно использовать подтверждение по SMS. С некоторой суммы — только одноразовый код. Если сумма совсем большая (несколько сотен тысяч руб), то цифровую подпись просят.


Но с подписью у них полный косяк. Она лежит на обычной флешке в виде обычного файла, кажется даже незашифрованная (не помню точно — много лет уже не пользовался).

Такая градация по суммам — мастхев, конечно. А то тратить одноразовые коды на мелкие оплаты не хочется, конечно.

Так для этого скретч-карта и нужна, для защиты от пробива.

И каким образом она от него защитит?

Как дополнительный фактор авторизации, если все данные слиты или скомпрометированы (номера карт, кодовое слово, перевыпущена сим карта, троян на компе). От слива кодового слова например вообще не понятно, что может защитить, если это слово называется вслух сотруднику банка или оператору колл-центра. Поэтому не стоит вообще беспокоиться о том, что оно куда-то может утечь (а банкам, конечно, следовало бы давно отказаться от кодовых слов).

Пробив — когда сливают данные по запросу, клиент в этом процессе не участвует, сливают сотрудники банка обычно, которые по служебной надобности (или по недосмотру) имеют доступ к таким данным.

На самом деле еще лет 7 назад у многих банков были аппаратные, как они их называют, криптокалькуляторы. Это девайс куда вставляешь карту и её процессор генерит отдноразовый код. Но почему-то все забили и вывели из оборота. Я пытался в Мск купить, не нашёл. Видимо хоть сколько-то значимой аудитории нет

У меня остался старый аппарат, от ВТБ (там на самом деле используется криптопроцессор на самой карте, а сам аппарат это просто ридер). Все еще работает.
Проблема в том, что в самом банке уже несколько лет не принимают коды от него.

зачем они сейчас? есть google authenticator, authy и еще с десяток аналогичных прог... Банку ничего особенного не стоит их прикрутить.

У google authenticator (а точнее, TOTP) есть проблема — seed передаётся по открытым каналам и его можно из приложения извлечь. Поэтому его никогда не сертифицируют для использования в банках.


Однако у FIDO U2F есть шансы.

Ну да, конечно, смс же передается по закрытым каналам... куда там tls

Еще лучше использовать корректное определение двухфакторой (многофакторной) авторизации: использование одновременно комбинаций разных способов авторизации. То что пользователь знает, то чем пользователь владеет, и то, чем пользователь является. Сейчас большинство банков используют схему: пароль (то, что пользователь знает) + СМС (то, чем пользователь владеет). Единственный минус в том, что завладеть номером сейчас, к сожалению, возможно. Вариантом усиления будет использование вместо СМС физических ключей, генераторов кодов или одноразовых кодов.

Почему-то в gmail можно отключить использование СМС, а в банках нельзя.

Сейчас большинство банков используют схему: пароль (то, что пользователь знает) + СМС (то, чем пользователь владеет).

Но пароль можно поменять по СМС.

Это, конечно, никуда не годится. Мне, такое не встречалось в банках. Видел только в каких-то соцсетях.

Есть такой феномен у человека, когда процесс использования вещи для жизни превращается в жизнь для её использования. Здесь с предложением усложнить доступ будет именно это. Постепенно наша жизнь превратится все больше в набор таких вот активностей, которые придумал кто-то кроме нас. Это не правильно само по себе, и вдвойне неправильно, потому что проблема не в двухфакторной аутентификации, а в социальной инженерии и беззащитностью перед нею людей. Причем, я бы не ограничивал ущерб банками. На вскидку, коррупционные материалы бизнеса в научных журналах, работают по такому же принципу в профессиональных сообществах. Чтобы этого не происходило, нужен новый человек, с развитой культурой рефлексии в базе.

Внимательно читайте статью. Меры предложены по желанию клиента. Все могут по умолчанию пользоваться как сейчас.

Статья - просто смесь потока сознания и личных комплексов да еще с жаргонами, переходящими в оскорбления. Статьи в поддержку Навального нужно писать на специализированные сайты, а не в ИТ-блоге.

Но если по пунктам... Автор вообще не разбирался в кухне "изнутри". Было бы очень забавно его пересадить внутрь банка и сказать: "Делай!" И примерно через 3 месяца подвести итоги оттока клиентов, разбегания ИТ-команды и прочее. Например: аппаратный ключ - супер! Кто за него платит (он денег стоит) - клиент? И как вы объясните все массе клиентов, что вы для их блага берете с них денег за ключи? И как вы этим клиентам объясните, почему вместо простой и удобной СМС вы требуете подписывать каким-то ключом с USB> Между прочим, Райффайзен изначально использовал ключи (программные, в виде пары файлов) - убрали, чтобы не проигрывать другим банкам клиентов из-за неудобства использования!! Умиляет аргумент, что пусть бабуля идет ножками в Сберкассу, раз токеном не пользуется - настоящий клиентский подход!!! О блокировке на сутки СМС банками после смены сим-карты автор вообще не в курсе...

Например: аппаратный ключ — супер! Кто за него платит (он денег стоит) — клиент?

Кто платит за банковскую карту? А за SIM карту телефоннного оператора? Вот так же. Этот генератор, в который карта вставляется, при массовом производстве не может стоить больше дешевого калькулятора. Потому что просто экран и клавиатура к приложению в карте.


А в современных условиях, когда карт без NFC становится все меньше и меньше (а карта и есть аппаратный токен) — то даже железки не надо будет во многих случаях. Программный интерфейс в виде приложения для смартфона с картой по этому NFC пообщается и код покажет.


Или даже 'приложите карту к смартфону, чтобы подтвердить транзакцию' для тех, кто не такой параноик, чтобы хотеть лично одноразовый код каждый раз вводить.

Программный интерфейс в виде приложения для смартфона с картой по этому NFC пообщается и код покажет.

Т.е. для подтверждения действия с телефона, нужно использовать приложение на телефоне? А давайте просто будем посылать SMS/Push'и на этот телефон и не напрягать пользователя отдельным приложением. Упс... кажется я где-то видел.

Да. Потому что приложение-интерфес к банковской карте живет на другом телефоне. Не том, где банк клиент установлен. И в котором ни SIM-ки нет, ни к WiFi-ю он не подключен. Но это - для параноиков. Всем остальным хватит 'приложите карту...'

К чему вся эта ваша клоунада?

Банки что по вашему, не умеют работать с токенами для ИП и юрлиц?

Добавить это ОПЦИЕЙ для физиков прям архи сложнаааа? Дык чо вы там вообще делаете тогда в банке?

Вы внимательно статью прочтите прежде чем наезжать. Вы видно в банке сидите и оправдываете свою беспомощность.

Клиенты если хотят могут заплатить. Все меры по желанию сознательным клиентам. А ваша аргументация тогда сродни тому зачем компьютеры, у бабулек их нет.

Моя теща чуть не купила супер-пылесос (кредит не дали), купила у "газовщиков" датчик газа, едва не заплатила 50 тыщ за "наладку" пластиковых окон, купила "медаль 100 лет Победы", и чуть не попалась на развод с "мама я сбила человека".

Тысячу раз ей все объясняли, даже тренинг проводили - бесполезно. Ей хоть трехфакторную хоть стофакторную идентификацию делай - все равно сольет свои деньги мошенникам, потому что она живет в своем сюрреалистическом мире Первого канала - дибильные ток-шоу и сериалы, стерильные новости - ее мозг полностью отключен для каких-то логический размышлений. (Но голосовать ходит и всегда за кандидата "а за кого еще?")

И таких людей очень много((( Мошенникам хватает.

По тем же первому/второму каналу в утренних передачах чуть ли не ежедневно рассказывают про мошенников, способы обмана, и дают советы как избежать развода. Извините, но тут к теще больше вопросов))

Наладка пластиковых окон - отличная штука. Там в самом деле есть и в фурнитуре что покрутить, и по периметру стеклопакета клинья позагонять, и резинки бывает изнашиваются. Через 2-3 года после утановки, и потом иногда неплохо бы обслуживать.

Но 50 штук как-то дофига.

Тысячу раз ей все объясняли, даже тренинг проводили - бесполезно

Деньги отбирать не пробовали? не будет денег - нечего будет мошенникам переводить.

Мошенники и на кредит могут развести. Отсутствие денег не спасает(((

Могут и не разводить. Могут купить персональные данные и выписки по счёту. Дальше меняют номер телефона, ставят приложение и погнали.

А еще бывают пожилые с плохой памятью, это вообще пипец.

Им только телефон настраивать на белый список с фильтрацией всех неизвестных.

UFO just landed and posted this here

А что бы он с вашей точки зрения мог бы слить?

Достаточно того, что жулики могут посчитать какие-то его действия конклюдентными, типа ответа "да, согласен", если персональные данные уже украдены другим способом.

Мало того, подобные люди могут обладать избирательной памятью, и слить что-то важное, а потом еще и забыть про то, что они это сделали ...

Я считаю что относительно факта самого взлома проблема не в банках, а в финансовой грамотности, доверии и просто глупости. В наше время из каждой дырки говорят о таких разводах, но люди упорно верят в то что они исключение. Поэтому я считаю, в большинстве случаев, это платный урок по финансовой грамотности и безопасности. Но это. Можно придумать и другие способы развода, из самого простого пылесосы кёрби за 100к или наборы ножей за 30к или ныне модные заработки на криптовалютах или обычной бирже.

А вот относительно процесса оплаты и последствий есть куча вопросов и к банку и к государству. Например почему пой платеж за комуналку идет до 3 дней (поидее можно остановить такую операцию), а вот такие платежи сразу и безвозвратно. Или почему так просто можно достать серую симку.

Вы знаете, не каждый, даже образованный человек может запросто разобраться во всех тонкостях работы каждого банка.

Вот везде говорят - не сообщайте никому коды из смс, даже сотрудникам. Однако, прихожу я в банк, сижу прямо перед сотрудником и он мне говорит - чтобы мне получить доступ к вашим данным, нужно авторизоваться, сейчас придет смс с кодом и вы мне его сообщите. Приходит смс, я его зачитываю. В нем написано что можно сообщать, но тем не менее.. (в Альфе так и в Сбере, кажется, тоже)

Не доверяйте незнакомым звонкам от "службы безопасности"? Но в двух разных банках мне, действительно, звонили из СБ с вопросом о только что совершенных мной операциях и карту блокировали до выяснения. И перезвонить им напрямую сразу было нельзя.

а что за операция для которой сотруднику нужен код? если не секрет конечно

Ну у меня - практически любая где что-то надо сделать именно в отделении. активировать новую карту, сделать крупный перевод и тп.

Выдача перевыпущенной карты, смена паспортных данных, например. Как вариант могут предложить не сказать код, а ввести его на планшете самому.

Не однозначные для меня примеры. Если я нахожусь в банке и общаюсь с его представителем + обычно это происходит под глазом видеокамеры, то для меня это уже достаточные факторы доверия этому человеку. Про гнилых людей мы можем говорить сколько угодно, но такие в банковской сфере могут и без вашего участия сделать многие вещи.

СБ мне тоже звонили и карту блокировали, но ни слова о том чтобы перевести куда-то мои деньги на безопасный счет или еще что-то мне не предлагалось.

Разводилы мне тоже звонили, но их в большинстве случаев распознать можно уже на первых секундах по косвенным признакам: у кого-то на фоне дичь какая-то происходит, у

Подобное не только у нас в стране развито. Сейчас не помню где, но было интервью с одной из таких разводил с Украины и по ее словам в России просто процент срабатывания выше, а за рубежом, особенно молодое поколение, вообще не ведется. И я это связываю именно с финансовой грамотностью.

В тинькове тоже, когда пишешь в сапорт, надо назвать код из смс сотруднику, чтобы он получил доступ к твоеим данным для проверки. Там написано правда, что он для решения вашего вопроса.

В нем написано что можно сообщать

Что приучает людей к тому, что сообщать коды можно и это штатная процедура.

Сложно ли найти звонящего? Не сложно. Есть СОРМ (система оперативно-розыскных мероприятий). Точка.

Сложно ли опознать человека по голосу?
Непросто, но и не сверхзадача. В свое время этим вопросом работал небезызвестный Александр Иванович Солженицын. В романе “В круге первом” классик описывал свою работу (заключение) в шарашке, где он занимался визуализацией звука, распознаванием речи и идентификацией личности по голосу. Это было 70 лет назад. Сейчас в распоряжении следователей компьютеры и сотни программ. Жми на кнопочку и собирай доказательную базу.

СОРМ либо покажет, что звонили с территории ФСИН, либо это был voip звонок с сопредельных государств. Годится только для совсем отмороженных личностей, занимающихся разводом в частном порядке

И тот и другой путь ведет к мошенникам. Понятно, что за рубежом трудно прижать колл-центр, но есть Интерпол, есть и другие каналы поиска и давления. Так что всё дело в желании найти разводил.

Учитывая, что ни США, ни ЕС не могут прижать легендарные калькуттские колл-центры, не вполне понятно какие возможности есть у российских правоохранителей для влияния на жуликов за рубежом.

Мне звонили с "+7 495". Его сложно, как я понимаю, купить анонимно сей час. Хорошо, пусть это IP из Сомали на бомжа. Ну так пусть хотя бы выключат оперативно по жалобе с записью звонка, например. И проведут разбор с продавцом ларька продавшего симку или еще что. Хотя это не самый короткий путь для борьбы с этим, конечно.

Скорее всео там подмена номера была. Навальный именно так звонил убийцам.

А вот тут же дело РосКомНадзора и операторов. Оператор может запретить подмену номера. А РосКомНадзор может штрафовать операторов, которые выпускают смс или звонки под левыми номерами или именами. Это немного поприжали, но не полностью.

Тогда бы сразу номер банка вписали. Но был какой-то малоизвестный оператор.

Хм... Действительно.

Там речь была про заграничных жуликов. Местных прижать не очень трудно, по-моему. Найти куда бабки уезжают в конце концов и прищемить там кому следует.

Трясти продавца ларька, по-моему не очень продуктивно

Ок. Вы нашли откуда был звонок - это оказался ИП-бомж из соседнего подъезда. Дальше что?

Вариант 2. Вы нашли владельца счета на который ушли ваши деньги - им оказался обычный человек из соседнего подъезда. У него украли карту и вывели с нее ваши деньги в наличку.

Дальше что? Денег вы не получится, поскольку это не ошибка банка, а ваша. Деньги не найдут, потому что пока вы позвонили в полицию они прошли уже десяток государств.

Как я понимаю ситуацию, проблема не в технических средствах поимки мошенников (средства есть), а в желании заниматься вопросом.

В целом да, но и средств особо нет на самом то деле.

Вы можете на карту друга перевести деньги, вывести их в наличку, а потом подать заявление. Если у друга будет подтверждение, что в момент снятия денег он был не у банкомата, на этом все закончится. Искать дальше нет смысла.

Реальные схемы переводов куда извилистей.

Мне сбер блокирует переводы выше 20т, пока это не подтвержу через оператора.

У вас реально искаженное представление о действительности. Для крупных банков все эти мошенники это тоже проблема, с этим они борются. Может и не лучшим способом, но думаю ни одни безопасники не могли предположить что у нас все настолько плохо охраной ПД. Все покупается через операторов связи, тур оператроов, ментов, прочие сайты, где пользователь оставляет ПД, те же гос услуги.

А "внезапные" кредиты выгодны только мелким шарагам, которые потом всеми способами выбивают долги. И то, у нас вроде в работе законопроект, где гражданин может себе заблокировать возможность получения кредита. Но тут непонятно как это будет работать.

у нас вроде в работе законопроект, где гражданин может себе заблокировать возможность получения кредита.

Для разблокировки сообщите код из СМС или скажите "да".

Там предлагают сделать окно в неделю между заявлением и разблокировкой, правда законопроект даже не внесли и он лишь немного снизить поверхность атаки.

Ещё с декабря начнут выдавать "электронные паспорта", которые могли бы закрыть возможно получать кредиты по украденным данным, но вместо эстонского варианта с ридером смарт-карт:

для всех мобильных платформ будет доступно мобильное приложение "Мой паспорт", которое нельзя будет взломать, изменить, подделать - сказал Акимов.

А сколько ридеров надо купить? В каждый магазин торгующий товарами 18+, каждому наряду полиции, в каждое отделение почты/госуслуг.
Это миллиарды рублей, которые могут быть выброшены на свалку, потому что разработчики что то не предусмотрели и терминал оказался уязвимым или ненадёжным.

И вместо этого внедряют дурной и потенциально еще более дырявый эквивалент этих ридеров. Которые, кстати, дешевые (кассовая машинка в разы дороже) и слишком дырявыми быть не могут - это тупой адаптер от чипа карты к USB.

Программу то можно полноценно обновлять(лишь с оглядкой на основную массу устройств), улучшая безопасность. А в железках софт конечно можно обновить, но с учётом ограничений платформы и не без проблем. Т.к. ридеры не будут одной и той же модели и аппаратной версии. А разница в версиях неизбежно вызовет глюки и тормоза, плюс будет сдерживать развитие софта.
А тупым адаптером во многих случаях не отделаешься. У полиции к примеру нет вообще никаких терминалов(может что то и есть но на уровне местного теста), для всех остальных придётся писать(и поддерживать) зоопарк программ, т.к. и железо и ОС у многих серьёзно отличается.
Программу то можно полноценно обновлять(лишь с оглядкой на основную массу устройств), улучшая безопасность

Ну так именно что. Имеем совершенно тупой ридер, а все остальное — в программе (возможно даже где-то на серверах соответствующего министерства), которую можно обновлять сколько хочешь. И эта программа с чипом карты пускай общается.


А для простейших случаев 'проверить документ'- сейчас все это как-то же по просто по виду бумажного паспорта проверяют?


Так пускай дальше проверяют, но уже по внешнему виду карточки. Ультрафиолетом там посветить на предмет нужного узора, на фотку на ней же посмотреть итд итп.


А если нужно удаленное подписывание документов и подтверждение личности для робота/человека, что тебя вживую не видит — вот тут и берем ридер.

Ридер же не просто кусок пластика и гребёнка проводов. Там есть какая то электроника в которой так же возможна уязвимость и которую программно не закрыть. За замену миллиона ридеров по голове не погладят.
А карточку нужно получить и периодически менять(т.к. они тоже внезапно уязвимы), чаще чем паспорт(а раз в три года как банковскую) и носить с собой с риском потерять. Т.е. альтернатива даже хуже бумажного паспорта.
Приложение в смартфоне активируется или паролем или отпечатком, смартфон с собой носит подавляющее большинство людей(часть и паспорт с собой не носит и банковские карточки т.к. есть NFC).
Потому приложение выглядит более привлекательно как с точки зрения властей, так и со стороны налогоплательщиков.
Приложение в смартфоне активируется или паролем или отпечатком, смартфон с собой носит подавляющее большинство людей(часть и паспорт с собой не носит и банковские карточки т.к. есть NFC).

Чтобы это было хоть как-то безопасно, все равно ключевую информацию нужно хранить в защищенном хранилище. Т.е. в точно таком же чипе, что у карточки и к которому применимы те же возражения по уязвимости, что у карточки. Когда в протоколе/чипе дырку найдут — предложим всем смартфоны менять?


Ну вот и нужно делать это защищенное хранилище внешним по отношению к железке, где программа крутится. Чтобы хотя бы хоть какой-то air gap можно было поддерживать между ключами и тем, что будет пытаться до них добраться.


А карточку нужно получить и периодически менять(т.к. они тоже внезапно уязвимы), чаще чем паспорт(а раз в три года как банковскую) и носить с собой с риском потерять.

Риск — практически такой же, как ношение с собой бумажного паспорта. А уж его уязвимость к атакам — на самом деле вообще ниже плинтуса. Живем как-то.


Впрочем, аргумент с возможностью потерять хороший, и то, что я про это думаю — я вот тут в похожей теме писал. Коротко — одной карточки-ID недостаточно. Должно быть несколько. Чтобы при потере одной восстанавливать его при помощи других.

Обновить программу для смартфона всё же можно оперативней и куда дешевле. А по поводу безопасности сделали же возможность оплаты смартфон — смартфон, хотя в сфере оплат всегда была и есть серая зона.
По поводу восстановления, тогда должен быть надёжный механизм оперативной блокировки, чтобы им не воспользовались злоумышленники.
Обновить программу для смартфона всё же можно оперативней.

Обновлять может потребоваться чип и протоколы защищенного хранилища ключей. Который либо отдельный, либо в процессор смарта встроен.


А если мы верим, что в случае чего можно безопасно обновить все это программно — то, собственно, возможности обновления у внешнего чипа такие же могут быть. Тоже обновим микропрограммы внутри карточки-ID и ридеров. Риски — пр в точности такие же.
Но то что в смарте — нельзя положить в сейф и запереть на ключ, если ты никаких контрактов подписывать не собираешься.


По поводу восстановления, тогда должен быть надёжный механизм оперативной блокировки, чтобы им не воспользовались злоумышленники.

Ну так это проблема и с бумажными паспортами есть.

Ну так это проблема и с бумажными паспортами есть.

Т.е. ввод карточек не решает старых проблем, но добавляет новых. Это не прогресс, а регресс.

Ну как не решает. Бумажный паспорт совершенно непригоден для накладывания и проверки личной подписи/печати при удаленном присутствии. Карточка (а точнее ключи ЭП в ней) — как-то более-менее сносно, при выполнении более-менее выполнимых правил использования, позволяет это делать.


Приложение в телефоне — тоже позволяет, но поверхность атаки больше, чем при выносе чипа в карточку.


Оптимально было бы иметь и карточку, и стандартизированный смартообразный терминал к ней, со всех сторон облепленный пломбами и с математически доказанным софтом, в котором собственно никаких ключей нет — но это еще дороже получается.


И у всех трех способов есть разные проблемы с 'а что делать, когда оно потеряется?'

ЭП и так есть. Физ лицам бесплатно выдают(правда софт платный для её использования). А так ещё и домой считыватель покупать.
Приложение в этом плане лучше. Можно давать одноразовые/многоразовые ссылки(qr коды) с разным уровнем доступа и подтверждения(только лицо и что совершеннолетний к примеру) и историей(где, когда и кому). И не хранить информацию в самом приложении(или работать по запросу, в зависимости от паранойи), а только давать ссылки в/на паспортную базу.
В идеале оно должно быть на отдельном устройстве, но это не удобно таскать два смартфона. Уязвимость с номером, решается как с с банками блокировкой смс и обязательным подтверждением личности в любом отделении МФЦ(и любых других гос органов, как это сделано с подтверждением учётки госуслуг).