Comments 788
Здравствуйте.
Мы детально проверили вашу ситуацию — она не имеет никакого отношения к дипфейкам, они здесь не применялись. В Тинькофф есть технология liveness, которая исключает возможность прохождения проверок с помощью дипфейков. В вашем случае сотрудник допустил техническую ошибку, и мошенник смог получить доступ в личный кабинет. Мошенник при этом не проходил видеоидентификацию и не пользовался дипфейками. Сейчас ошибка исправлена, с сотрудником проведена дополнительная работа, к нему применены дисциплинарные меры, он отправлен на переподготовку. Все средства будут возмещены в полном объеме, приносим наши глубочайшие извинения.
В этой ситуации меня интересует пять вопросов:
Главный вопрос, который Вас должен интересовать, это "Как отказаться от регистрации биометрии в единой государственной системе?" :)
https://habr.com/ru/articles/788434/
Там же по умолчанию биометрии нет.
Надо будет к моей жалобе в ЦБ РФ копию этой статьи отравить . Пусть ЦБ РФ поинтересуется безопаснотью точнее её отсутвие в Тинькофф банке
Без биометрии в ЕБС мошенник не смог бы украсть деньги?
Мне наоборот интересен вопрос, как ускорить регистрацию биометрии. Но нужно данную систему докрутить, например, задавать пароль или код для доступа к биометрии на сайте гос услуг.
Биометрия нужна для того, чтобы не было никаких паролей и кодов доступа.. В этом её суть.
Биометрия нужна для того, чтобы не было никаких паролей и кодов доступа.. В этом её суть.
А должно быть - чтобы убеждаться, что пароль и код доступа набирал тот, кто надо, а не кто-то посторонний.
А должно быть - чтобы убеждаться, что пароль и код доступа набирал тот, кто надо, а не кто-то посторонний.
А ещё, в мире не должно быть Зла, булки должны расти на деревьях, а люди жить бесконечно.
"А сбылось ЭТО"
Но реальность такова, что биометрию и внедряют и продвигают именно как ЗАМЕНУ паролю.
В процитированном предполагается, что проверка логин-паролей-биометрии -- на устройство скидывается, а сами сервера Майкрософт вообще ни о какой биометрии и паролях ничего не знает.
Правда то, что обычно надо немного прыгать, чтобы проверялась и биометрия и ввод чего-нибудь -- расстраивает, да.
В процитированном предлагается вместо пароля ( "После удаления пароля из учетной записи" ) использовать вход через Windows Hello, который и есть биометрия
Не в дополненние, а вместо
И такая ЗАМЕНА уже несколько лет открыто проговаривается - https://lenta.ru/articles/2022/06/26/passwordless/
Windows Hello, который и есть биометрия
Только если так настроить. Можно еще PIN-ом (т.е. кодом подходящим конкретно на этом устройстве), аппаратными токенами пользоваться.
Но пароля в учетной записи Microsoft не будет, да.
Кроме того - в Hello биометрия локальная, т.е. для того, чтобы биометрией воспользоваться, надо еще и сам комп/смарт с авторизатором на руках иметь. Т.е. все равно два фактора работают - биометрия+владение, а не только биометрия.
Только если так настроить.
А можно настроить "чтобы убеждаться, что пароль и код доступа набирал тот, кто надо, а не кто-то посторонний. " ?
Вы преувеличиваете, можно поставить authenticator от microsoft и вход без пароля будет работать с ним.
А можно просто его использовать, как доп. защиту что-то типа 2FA.
В случае на переход в режим "Без пароля" и без Windows Hello вам нужно будет соединение с интернетом, чтобы авторизоваться в вашем домашнем компе, но ничего не мешает в 1 команду без потери каких-либо данных переключить вашу учетку в винде на "локальную учетную запись" с паролем.
Поэтому не вижу особой проблемы. Вы просто хайпуете на теме и поднимаете панику на пустом месте.
Т.е. чтобы гопники подносили мое лицо к банкомату и снимали все мои деньги? Или вырубили меня доской по голове и по отпечатку вскрыли телефон и банковское приложение?
Так себе идея. Как доп. проверка может и пойдет, но не как основная.
Главный вопрос - это стоит ли держать деньги в банке, у которого нет отделений, куда можно прийти ножками и решить все вопросы лично.
Есть подозрение, что скоро наличие отделения будет частью элитного обслуживания.
Пользуйтесь услугами регионального отсталого банка, ориентированного на глубинку (деревни).
Нет никаких навороченных инструментов. Только старые классические банкоматы без всякой биометрии для выдачи наличных. Только SMS оповещения о движении по счету (без рекламы). Офис близко и работает даже в субботу.
А мне больше ничего и не надо от них. За то как то поспокойнее.
И НИ разу не было звонка от "службы безопасности" этого банка. А вот "сотрудники ЦБ" или "служба безопасности Сбера/Тинькова" названивают регулярно. Минимум раз в неделю :)
Занимаюсь банковским ПО уже ооочень давно и всегда вспоминаю анекдот про трясущегося от страха в самолете программиста, который ПО самолета делал.
А вот "сотрудники ЦБ" или "служба безопасности Сбера/Тинькова" названивают регулярно.
Извините, а как вы проверяете, что это именно "служба безопасности Сбера/Тинькова"? Неужели верите на слово? ;)
Их выдаёт лексикон, характерный фоновый шум кол-центра и слабая нервная система, приводящая к срыву на обсценную речь сразу после слома скрипта.
Я не понимаю контекста Вашего вопроса.
Если вы не поняли намек на тэг {сарказм} в моем комментарии про "сотрудников ЦБ". То я не понимаю что Вы имели в виду.
Возможно у ТС и нет денег в этом банке, но мошеннику не особо много усилий потребовалось чтобы выпустить кредитку и списать с неё деньги.
Под "держать деньги" я тут хотел сказать "иметь любые дела вообще". Потому как при такой простоте выдачи кредитов, любая доступная банку информация может быть поводом для выдачи кредита.
Банк 100% ничего не удаляет при закрытии даже последнего счёта, так что может и не помочь уже выход из него. Мошенник напишет, что он решил вернуться и открыть счета, а такой бестолковый работник - вернёт к жизни учетку.
к сожалению в "этих ваших отделениях" могут только "принять обращение" и все. У них самих прав нет ни на что. Смысла туда хоть нет. Колцентр больше прав имеет
только вот "подтвердить личность через видеосвязь", которую Тинькофф предложил клиенту, не имеет никакого отношения к идентификации и аутентификации, которые осуществляются путем сопоставления биометрических данных векторам ЕБС.
Поддерживаю. При попытке прямого вопроса, что является ли навязанный просмотр рилсов моим согласием на совершение банком любых действий от моего имени так и не получил прямого ответа нет. Лишь отговорки, и настойчивое предложение звонка с произвольного сотового номера (!) и вопросами о ключевом слове и т.п.
Главное в данном случае, это то что нужно принять закон, который бы привлекал к ответственности сам банк, за то что ведётся на мошенников и при этом наказание для банка должно быть десятикратным. Вот тогда начнут нормально работать.
А так, по сути банк не при чем...
Тогда банку будет проще при любом вопросе оправлять всех в офис, но это не выход в современном мире.
это единственный выход, все остальное можно подделать. Да и с визитами тоже не так просто, даже это обходят.
Подделать паспорт конечно можно, и это происходит, к сожалению. Но есть одно очень важное отличие. Есть ненулевая вероятность, что от такого мошенника останется хотя бы фотография. А дальше уже дело техники, было бы желание. Также важно, что визит левого персонажа будет зафиксирован по месту и времени, то есть доказать что ты не верблюд будет гораздо легче.
Согласен с вами, любое решение - не абсолютное, в любом есть свои риски, но если решение позволяет снизить потери - это уже очень хорошо. По крайней мере не смогут из тюрьмы такое проворачивать.
А ещё можно будет попытаться доказать, что в этот момент времени ты был в другом месте и не мог быть в их офисе.
Так об этом и речь.
Если действительно вы были достаточно далеко
(в городе - от сотни метров и более), то можно будет
(если смартфон был с собой)
как доказательство предоставить записи из журнала оператора сотовой связи
(правда, с получением этих данных, на общих основаниях, могут быть сложности).
Оператор сотовой связи (СС) регистрируют местоположение абонента
(в городе - достаточно быть в сотне метров, чтобы мобильное устройство было зарегистрировано минимум в другом секторе базовой станции),
их (операторов СС) лицензия к этому обязывает (вести журналы роуминга {блуждания} абонента).
Правда, насчёт практики - пока ничего сказать не могу. Лишь знаю о том, что есть такая техническая возможность.
Ещё - можно активировать и использовать 2FA (двухфакторную авторизацию), что должно заметно осложнить реализацию такого мошенничества.
Вообще, либо что-то откровенно "криво" у Тинькофф настроено/реализовано
(с авторизацией клиентов), либо откровенно мошенничает персонал того-же Тинькофф-банка, и "сливает" куда-то не туда часть персональных данных клиента.
Есть ненулевая вероятность, что от такого мошенника останется хотя бы фотография
Можно же прийти в кепке или очках с ИК фонариком, люди ничего не заметят, а на камерах лицо будет засвечено
Ну и отлично, дополнительный аругмент против банка, то что сотрудник при проверке документов не попросил снять очки.
Попробуйте снять в банкомате деньги, засветив ИК-фонариком камеру.
Вы не думали бы что это будет странно выглядеть,они же светят. И да,в банке часто просят снять кепку при фото или чего-то ещё
Никогда ещё Штирлиц не был так близок к провалу. Думаю, все ваши наивные идеи уже много кратно рассматривались службами безопасности.
Можно, но это уже совсем другая категория престуления. Личная явка с заведомо липовыми документами уже сама по себе - статья.
Вряд ли преступников останавливает сроки преступления, любые преступления совершаются из расчета, что наказание не последует.
Другое дело, если расходы на преступление будут явно превышать барыш. Имеется в виду пропорциональность защиты рискам. Если на счету 5 р, вряд ли он заинтересует злоумышленника.
А если сделают маску как в фильме миссия невыполнима?
Зато сразу отвалится огромное количество мошенников с зон и из-за границы.
В случае Тинькова - потенциальная проблема с тем что офис у них один.
Но правда в этом случае - пусть курьера высылают.
электронную подпись нельзя подделать пока что . Но сотудники Тинькофф дрочат на биометрию а не на УКЭП
Так она настоящей будет, просто человек, на которого она формально выписана, может быть не в курсе - https://habr.com/ru/articles/453596/ .
Сейчас есть "больная", неправильная ситуация, когда банк минимизирует свои расходы, все переводит в сеть, опирает все на ненадежные методы аутентификации - и ему это выгодно. А вот сопряженные с этим потери ложатся на клиента. Если будут ложиться на банк, это замотивирует банк думать, где же им можно закрыть глаза на безопасность, а где лучше не надо.
Если что, и для открытия счета и даже для получения резервной сим-карты у Тинькофф целый специалист приходит домой (очень удобно для меня, клиента). Ничего страшного, если для сложных-спорных ситуаций придется что-то подобное.
Вот эти новости, что как-то по биометрии через госуслуги могут квартиру увести - меня шокируют. (Неправда? Может быть - но чтобы убедиться, правда или нет, надо тщательно разобраться, теперь). Меня бы устроил вариант, когда все опасные вещи (которые у меня бывают, дай бог, раз в 5 лет) надо делать в офисе. Ничего, не развалюсь. Зато каждый день буду спать крепче.
Сейчас есть "больная", неправильная ситуация, когда банк минимизирует свои расходы, все переводит в сеть, опирает все на ненадежные методы аутентификации - и ему это выгодно.
Кроме банка, там есть ещё и популяризаторы прогресса, которые рассказывают как всё это здорово. Клакеры хреновы.
Ну вообще это и есть здорово - получать необходимые услуги не отходя от компьютера - в несколько кликов.
Не уверен. Мое личное мнение - в денежных делах должны быть затруднения и паузы, позволяющие подумать над тем, что ты делаешь. Как бы желающим получить деньги не хотелось обратного.
Только в делах выше определенной суммы. Покупать еду с затруднениями такое себе. А вот квартиру уже нормально.
Затруднения от сумм выше среднегодового дохода наверно. Там есть смысл заморочиться и подождать.
Покупать еду с затруднениями такое себе.
Так не 3-х дневное ожидание же для еды. Затруднение вида 'купить ли мне пирожок или лень за карточкой/кошельком в сумку лезть' - тоже сюда относится.
Зачем это? Ну точнее я понимаю когда человек имеет какие-то проблемы и лично для себя такое делает. А вот для всех тут чем проще тем лучше. Платить часами оказалось оптимально. Телефоном чуть менее оптимально, но тоже хорошо.
Для борьбы с тем, что как только делают 'заплати за покупку еды, пройдя мимо камеры' - то такой способ немедленно пытаются прикрутить не только для 'покупка еды'.
И борьбы с импульсивным покупками, которые совершают далеко не только те, у кого какие-то проблемы.
С оплатой пройдя мимо есть проблемы. Согласен. Поэтому я и сказал что часы или телефон выглядят оптимальным способом оплаты.
А что плохого в импульсивных покупках? Захотелось и купил. Стал немного счастливее. Проблем не видно. У кого бюджет перестает сходить это их личная проблема и именно им стоит с этим бороться.
Ребята, вот один из тех, кто поддакивает "да-да, сделайте так чтобы видеопоток мог взять кредит вместо человека"!
Да нет никакой проблемы кроме жлобства.
Одноразовые шифр блокноты были уже 10 лет назад. Их можно интегрировать даже в карту. При этом закрыв отдельным пином.
И это в целом непотопляемо. Но стоит некоторых денег, которые очень хочется сэкономить.
10 лет прогресса не прошли даром. Все гениальное просто: TOTP.
Об этом говорят уже те же 10 лет. Но почему то банки, как ежики, лезут на SMS. И клиенты тоже - как ежики. Хотя есть нормальные банки. Авангард, например, уже 10 лет назад предлагал ЭЦП, карты одноразовых паролей и карты со встроенным TOTP. Сейчас у них есть свой TOTP для мобильного. Наверняка это не уникальный банк, из тех кто серьезно относятся к безопасности.
А Тинькоф - что тут сказать. Видимо прошло его время..
Все гениальное просто: TOTP.
TOTP девайс может сломаться, упасть в реку, сесть батарейка. В идеале всё, что нужно для входа, должно быть у человека всегда с собой, но при этом неотчуждаемо.
В идеале всё, что нужно для входа, должно быть у человека всегда с собой, но при этом неотчуждаемо.
Есть такое - его лицо и мимика, его голос и манера говорить, его отпечатки пальцев.
его отпечатки пальцев
? Во-первых, имея бездыханное тело человека, воспользоваться его отпечатками элементарно. Во-вторых, человек "сорит" своими отпечатками повюду, и этим давно уже смогли воспользоваться.
Вот только эти уникальные данные (биометрию) человек не может осознано контролировать... Т.е. с развитием технологии получить их (а значит теоретически и воспользоваться) без разрешения самого человека все проще и проще... А главное в случае компрометации этих данных сменить их практически невозможно...
Альтернатива - то что находится у человека в голове, мысли пока на расстоянии и твоего разрешения читать еще не научились... :-)
Так и сами вы можете сломаться и упасть в реку.
Ничего неотчуждаемого у вас нет.
А про батарейку я уже писал: есть стретч-карты одноразовых паролей. Работают 10 лет без батарейки.
И не нужно до абсурда доводить: есть вектора угроз, есть риски и их вероятность. Идеального решения нет: есть оптимальное.
Любое решение для безопасности всегда создаёт пользователю неудобство. Нужно искать компромисс. Это задача Security team.
Прогресса? Скорее уж регресса. TOTP был массовым явлением лет 15 назад, я помню, ещё застал "калькуляторы" с TOTP у ВТБ24 (был тогда такой, отдельно от ВТБ). А Авангард, видимо, в так и остался в 2007-м (не только в плане аутентификации, а в целом, как захожу к ним - ловлю флешбеки из нулевых каждый раз).
Пользовался таким от ВТБ. Генератор одноразовых паролей. Только физикам потом отключили. А так, хорошо бы было: до определенной суммы по упрощенной схеме, всё что выше через генератор или офис. Спал бы спокойнее
Но есть нюанс: то, что легко Вам — легко и атакующему.
Правда/неправда хороший вопрос. Сколько раз вы от других айтишников слышали фразу: "да он сам виноват - предоставил данные". В современном мире это victim blaming. Периодически встречаются описания потерпевших, которые требуют реакции ит представителей, желательно публичных, а их не так уж и много. Не обсуждая сценарии инцидентов общая культура разработки и безопасности не улучшается.
Есть ньюанс - специалист у Тинькова приходит для выдачи SIM, для получения eSIM это не нужно (но нужен нормальный доступ в приложения Мобайла и Банка)
Касательно госуслуг и квартиры: есть возможность при наличии квалифицированной ЭП дистанционно через госуслуги наложить запрет на сделки с недвижимостью без личного присутствия
Получить квалифицированную ЭП можно удаленно при наличии биометрического загранника (тот, что с чипом, на 10 лет)
А требуется ли присутствие человека указанного в паспорте?
Снизу странцы Госключа на Госуслугах лежит pdf-ка
Страница 11. На мой взгляд - нет, не нужно. Правда, потребуется учетка Госуслуг.
Нет, не требуется.
эта подпись имеет какой вид, где хранится? на "брелке" (типа рутокена) или в браузере или вообще в PEM файле?
Просто в телефоне, как именно там хранится я не углублялся
Где-то в госключе?
Тоже схема, которую я не понимаю.... подписать что-то просто через госуслуги (войдя через пароль или SMS) - типа несекурно, недостаточно надежно (действительно, пароль менее надежен, чем ключ-сертификат).
Но при этом выпустить сертификат (авторизировавшись так же, через госуслуги) и потом уже сертификатом что-то подписать - уже, считается безопасно.
Если я правильно понял эту схему (может быть ошибся?), она нифига не увеличивает безопасность пользователя (разве что делает мошенничество на 2 минуты дольше), зато уменьшает ее - теперь пользователю сложнее отпереться, так как "ну это же вы подписали документ цифровой подписью, длина ключа 4096 бит, время взлома - сто триллионов лет - его не могли взломать, это точно вы!".
В таком случае это вредный театр безопасности, который сильно портит ситуацию с рисками для пользователя (но, может быть, защищает госуслуги).
Но при этом выпустить сертификат (авторизировавшись так же, через госуслуги) и потом уже сертификатом что-то подписать - уже, считается безопасно.
Чтобы выпустить сертификат, вам надо телефоном с nfc по вашему заграну водить. Без заграна не выпустите.
Без заграна не выпустите.
Еще раз ткну в pdf-ку. Есть еще два варианта - через загруженную в Госуслуги биометрию. Либо при личной явке в МФЦ или банки партнеры. Что, в прочем, то же самое - это заливание биометрии в эти самые Госуслуги.
Это успокаивает, но все равно "как страшно жить" (без иронии). Внезапно вдруг появляется фишка "пролюби квартиру [без СМС] и [регистрации]" и нужно выяснять все подробности этой фичи. Может быть все ок и никуда бежать не надо. А может и надо. Поэтому надо разбираться, выяснять.
Не всё то, что называют DFA таковым является, пример ваш как раз об этом - второй уровень защиты можно получить, используя первый. Разницы тут никакой нет, безопасность отдельного ключа та же самая, что и безопасность пароля в данном случае.
Раньше этот запрет точно так же удалённо снимался, это исправили?
То есть, по дефолту - это открыто!?
То есть, по дефолту - это открыто!?
Открыто что? Есть возможность дистанционно наложить запрет на сделки с недвижимостью без личного присутствия собственника, используя приложение "Госключ". Снять такой запрет дистанционно тоже возможно опять-же при наличии квалифицированной электронной подписи.
Предположим, что человек максимально дундук, безалаберный, рассеянный. Он ничего не предпринимал, не накладывал запреты, но и не разрешал специально (но личный кабинет на госуслугах у него есть). И он легко говорит SMS коды всем, кто его спрашивает (верит в людей). И часто оставляет телефон в барах и такси.
Может ли он профукать квартиру таким образом?
Может, если он предварительно оформил УКЭП и доступ к ней осуществляется посредством приложения "Госключ", которое в свою очередь установлено у него на смартфоне и аутентифицироваться в нем можно посредством пароля ;)
Ничего страшного, если для сложных-спорных ситуаций придется что-то подобное
А если вы за границей? Меня они недавно блочили два раза за попытку перевода на свой же счет по СБП. Если бы вопрос решался только в офисе\курьером, то я бы просто остался без денег.
Ну так пусть для тех у кого такая ситуация в принципе возможна сделают опцию "разрешить удаленную идентификацию" (написав заявление исходно в офисе), а по умолчанию для остальных блокировать. Если человек не ездит за рубеж, зачем ему такая дыра в безопасности?
Можно даже удаленно, не в офисе. Но заблаговременно, и при каждом запуске банковского приложения чтобы было видно, что "происходит что-то важное" (что "вы включили удаленную идентификацию, позвоните 8800... если это не вы").
Вообще, вся проблема с безопасностью, что где-то там наверху думают, что это сложно, дорого, но все таки может быть сведено к чекбоксу "enable security / disable security", а это шнурочки, которые надо каждому человеку подтягивать под размер, или же иметь готовые шаблоны, например "пенсионер" - наиболее устойчивый от типовых мошенничеств (но сложно оплатить хостел в Чехии).
или же иметь готовые шаблоны
ИМХО, по умолчанию должно быть максимально все отключено, а уже по желанию клиента подключать нужные опции.
А то сейчас пенсионер открывает в офисе вклад, а ему некоторые банки автоматом туда интернет кабинет подключают. Вы человека спросили, он вообще интернетом пользуется? А если и пользуется, ему нужен интернет кабинет, если он вклад открыл только для хранения денег?
Вот то же самое и будут делать. Любому незнающему все эти защиты тут же в банке и снимают девочки с планшетом прям во время оформления личного кабинета или еще чего-то. "А давайте чтобы вы не ходили, не стирали ноги, мы сделаем вам возможность получить 8 кредитных карт без подтверждения?". То что они даже и называют вслух иногда то, что делают, не помогает, если человек рассеян и это незнакомая для него обстановка, а слова девочки это вообще белиберда и он на все отвечает ДА, лишь бы закончилось побыстрее.
<sarcasm>Зачем мелочиться, прибить пользователя к базовой станции. Подключение вне радиуса базовой станции рассматривать как подозрительное. Нормальный человек дальше работы и магазина у дома не должен ездить. А если магазина нет, пусть в службе доставки закажет - это же так удобно. </sarcasm>
Кажется интернет услуги пытаются нарушать главный принцип single responsibility. А перемещаться географически нормальная практика для человека. Осложняется только имплементациями интерфейса IGovernment. Где-то заглушки nonimplemented exception, где-то абстракции протекают, где-то дублирование и легаси, или рефакторинг запрещен.
Вот я сейчас за границей по работе. При попытке получить УКЭП по загранпаспорту приложение "Госключ" не видит чип. Поэтому было установлено приложение "Госуслуги биометрия", где я прошел весь квест с биометрией - и загранник с чипом прикладывал, и аудио/фото, все что просили. В итоге - имею три установленные программы:
Госуслуги, Госуслуги биометрия Госключ
Захожу в Госключ, пытаюсь получить УКЭП по биометрии. И вместо сертификата получаю письмо от Единой биометрической системы о временной блокировке на 10 минут. И так постоянно.
Теперь остался только вариант личного посещения МФЦ или банка.
По поводу квартир и биометрии - сейчас можно в МФЦ (при личном визите) написать заявление на то, чтобы все операции с твоей недвижимостью могли происходить только в твоём личном присутствии.
А личное присутствие это теперь действительно личное присутствие? А то в свое время это трактовалось как "без доверенности", то есть УКЭП через интернет - это личное присутствие.
А можно ли удаленно нет, не продать квартиру, но изменить настройки, убрать это ограничение? (оно же - не операция с недвижимостью).
Да, бинго, так и надо! А если не хотите ходить в офис, сделайте себе полноценную ЭЦП. Брокеры как-то осилили работу по ЭЦП.
Такой закон есть, ничто не мешает вам написать заявление в полицию о том, что пропали ваши деньги, доверенные банку на хранение. Дальше пусть банк оправдывается, что это не хищение.
Как я понимаю, на это банк ответит, что операция была совершена через личный кабинет клиента, а содержание пароля от личного кабинета в тайне - целиком ответственность клиента.
Мне всегда было интересно почему оказывается, что это клиент кому-то передал пароль, а не банк. Как доказать ?
Наверное потому что пароли не хранятся в открытом виде в банке. Хранится его хешированная версия, по которой вычислить оригинальный пароль крайне сложно
…при этом пароль проходит в открытом виде через балансировщики и фронты, а возможно ещё и через сервис защиты от ddos. Взять из БД не получится, а насобирать пароли некоторой части активных пользователей — вполне реалистично.
Не совсем в открытом. Там же httpS.
Вполне возможно что только до балансировщика, где https расшифровывается, а дальше post с plaintext-ом
дальше post с plaintext-ом
По какому протоколу? Если https, то он зашифровывается по новой. А если нет, от это пахнет вплоть до уголовки для владельцев балансировщика.
По обычному http. <Пользователь> - [https] - <LB https://site.com> - [http] - {<http://node1.site.com>,<http://node2.site.com><http://node3.site.com>}
https://habr.com/ru/companies/ruvds/articles/493852/ - CloudFlare как пример.
Я не особо в курсе про текущие реалии законодательства, но у нас уголовно запрещено передавать данные по http протоколу?
В любом случае в цепочке <пользователь вводит пароль текстом> - <хеш введенного пользователем сравнивается с хешем в базе> существует узел который вот этот самый пароль получает в чистом виде, а дальше уже хеширует и солит. Если этот узел компрометируется - то все. Вон в почте это решается с помощью PGP, только кто им пользуется.
у нас уголовно запрещено передавать данные по http протоколу?
Формально прямо в такой формулировке нет, но есть требования регулирующих органов, и, если будет совершено преступление соответствующей степени тяжести с использованием данного канала телекоммуникации (что, кстати, например, в США является само по себе отдельным составом преступления) и при этом будет в наличие свидетельство преднамеренного отказа ответственных лиц со стороны провайдера от использования безопасного протокола, то соответствующие ответственные лица могут быть обвинены в преступном бездействии или даже в преступном сговоре, если удастся доказать связь. Более вероятно и легко, правда, чисто гражданское привлечение юрлица провайдера в качестве соответчика по нанесению ущерба действиями мошенников с использованием его услуг.
В некоторых странах типа Германии, как я читал, даже наличие незапароленной WiFi-сети является правонарушением само по себе. Это не http-протокол, но тоже дыра в безопасности - и закрывают мерами нормативного регулирования.
Да это утопия какая-то. Так бы с учетом того что каждый день кого-то ломают, что-то утекает, программист была бы самая распространенная профессия в тюрьмах.
В авиации, которая зарегулированна регуляторами не сильно меньше чем банки, целые самолеты падают и люди гибнут из-за ошибок в коде, я не помню каких-то санкций к погроммистам. Только акции боинга упали в цене.
Если я правильно понимаю, httpS предполагает установку соединения между браузером и конечным веб-сервером. То что между ними может оказаться балансировщик - ни на что не влияет.
Неправильно понимаете. https://habr.com/ru/companies/ruvds/articles/493852/ как пример, ну или выше я чуть подробнее написал
httpS — между хостами. Это помогает от уборщицы в датацентре — врезать в соединение не получится. А на самих хостах https терминируется.
Речь же шла про злоумышленника который имеет доступ внутрь инфраструктуры (доступ к БД с хэшами паролей).
Это банк так заявляет :)? А как этот пароль установлен ?
Так я клиент заявляю, что у меня вообще пароль никак не хранится... Как эту коллизию разрешить ?
Пусть докажут, что я кому то передавал пароли (покажут логи) . А если они в суде скажут, что идентификация прошла по "морде лица" вся их защита посыпится. Если соврут в суде, а найдутся другие свидетельства, что они списали деньги не по пин-коду, то это уже статья УК. Вменяемый юрист, даже банковский, на подлог не пойдёт. Похожие дела уже были, только не с дипфейком, а с банальными утечками со стороны банка.
Писать заявление в полицию - ошибка, т к в этом случае 90% дело "зависнет", т к банк сделает морду кирпичом типа "ну вы там расследуйте, как найдете к чему прицепиться, мы сразу и признаем". А полиции нафиг не нужно бодаться с банком, "неравенство крыш" не в их пользу. Идти нужно к грамотному юристу (эх, где ж они?!) писать претензию в банк и жалобу в банк россии. Если не вернут деньги, то в суд. Это их система дала сбой, ошибочно признав дипфейк за клиента. Значит и ответственность в первую очередь на них. А как так получилось, вот пусть сам банк идёт к синим человечкам и пишет заяву на мошенников. Это не дело клиента, т к объегорили банк, а не клиента.
Пароль сбрасывается по смс, телефонный номер клиенту не принадлежит и где и как там эта смс ходит и кто её читает, клиент не контролирует и не может контролировать. Сбрасывать пароль по смс разрешил банк, я как клиент просил это запретить.
Так клиент никому не передавал пароль, это банку позвонил мошенник, сказал что забыл пароль и сменил телефон одновременно, и ему поверили, а значит банк должен вернуть деньги как было, отменить все заключённые мошенником договора и дальше искать его самостоятельно и пинать полицию самостоятельно, не заставляя это делать клиента.
В 99+ процентов случаев это не так. Взлом происходит через перехват управления личным кабинетом без использования стандартного входа по паролю. Либо восстановление пароля имея захваченный канал восстановления, либо смена номера ЛК либо захват через присоединение новой карты с новым/дополнительным номером либо, как здесь, через слияние с имеющимся ЛК с другим номером.
А вот интересно бы узнать мнение от практиующих юристов по этому поводу. Так то увели бабки у банка, который вроде как их обязуется хранить, а не у клиента. Автор заяву написал, но не на банк. Можно ли заяву написать на банк? Ведь для клиента это выглядит так, что банк, принявший обязательства хранить деньги вдруг сообщает, что их нет, что типа клиент их снял\перевёл, т.е. мошеннические действия банка по отношению к клиенту. Какие перспективы у подобного развития событий.
Мошенничество (1) имеет субъектом конкретных физических лиц, но не юрлицо, и (2) подразумевает прямой умысел. Поэтому о мошенничестве в отношении банка говорить нельзя. А вот потребовать от банка вернуть незаконно перечисленные со счёта деньги в рамках гражданского процесса может быть перспективным вариантом.
У меня была более мягкая идея. Банк как-то "страхует" ваши риски (не в страховой, а от своего имени). Причем на произвольную величину. Например, если из банка утекает база пользователей и злоумышленники узнают ваш номер телефона и ФИО - банк вам (всем клиентам) выплачивает по 10 рублей.
Если у вас увели 100 000 рублей, банк выплачивает 0.5% от потери, то есть, 500 рублей.
Пустяк? Да. Но в нем есть великая фишка - он заставляет банк признаться, насколько у него все херово. Если банк прямо абсолютно уверен в защищенности (так не бывает, но допустим), он за потерю ваших 100 тысяч будет готов 100 миллионов заплатить (все равно шанс этого события - нулевой). Если же банк понимает, что шанс этого 50/50 в течение года - его оценка будет гораааздо скромнее.
А дальше просто смотрим, какой банк САМ выше оценивает свою безопасность (не рекламными роликами с дикторским голосом), а конкретными цифрами обязательств - и принимаем решение, кому доверяться. Заявлять пустые слова "у нас надежно" - это дешево, а вот обещать хотя бы копейку за каждый украденный рубль - совсем другое дело.
Всё уже придумано до нас. Например, см. Visa Zero Liability Policy. Когда в штатах только начали внедрять кредитные карты, была придумана такая политика. Если клиент банка заявлял, что списание с карты клиентом не авторизовано, платежная система считала эту проблему своей.
Многие платежные системы имеют аналогичные программы защиты от мошенников. Например:
Mastercard Worldwide Zero Liability
American Express Fraud Protection Guarantee
И даже финансовые суррогаты вроде "электронных кошельков" тоже имеют подобные гарантии.
Это не совсем то. Это добровольный шаг, его и у нас можно сделать, но почему-то банк не делает. (Ну или списывает на "ну это же вы перевели деньги мошенникам, тут мы хорошо отработали, вы сами виноваты").
Я же говорю об очень мягком государственном принуждении, как острый вопрос на интервью, на который гость не будет отвечать (пытать же его нельзя), но "всем все понятно".
Принудительно заставить все банки следовать Zero Liability - ни в США, ни у нас нельзя же? Они именно добровольно сами это делают?
Но заставить ответить на вопрос и "подписать" оферту (возможно "нулевую") - это любой банк может. Зато клиенты будут знать, во сколько банк оценивает свою "очень высокую безопасность". 10 копеек? ну ок. 0? еще лучше!
А вообще мне интересно, как в других странах это происходит. В "наших" (типа Украины, Беларуси, с очень похожим населением) и в совсем других (вроде Франции, США). Там совсем нет мошенников? Совсем нет "лохов"? В каких объемах это? Тоже шутку про "Вам звонят из службы безопасности Then Bank of New York" все понимают, потому что всех так пытались разводить?
Они именно добровольно сами это делают?
А не зависит ли это от того, как трактуется "клиент одобрил" в регулировании?
Вполне возможно, что это 'добровольно' - это 'умрешь доказывать, что действительно одобрил, и если не вернуть самим - человек напишет заявление, что банк деньги украл/не уберег'. С посредствующими уголовными делами, штрафами итд. Потому легче вернуть и потом разбираться, чем наоборот.
В США же вроде как закон был изначально принят после мошенничества - что по кредиткам максимальная ответственность клиента в случае мошенничества - 50 баксов.
По закону эта защита ограничивает потери клиента 50 долларами. Большинство банков добровольно снижают эту сумму до 0, т. к. 50 долларов для них не сильно большая сумма и если убытки меньше - они на расследование больше потратят. Плюс промо неплохое и повышает доверие к кредиткам.
Beekeeper смотрите. Снят в 2022. Если вы ещё не нагуглили ответ. А вообще про расцвет Phone scam ещё до ковида писали. Ну и понятно, что скам выгодней в богатых странах без ограничений переводов за границу и в крипту, там и работают жулики.
Мне советуют The Beekeeper на imdb со Стетхемом, фильм 2024 года вроде. Не оно?
Оно-оно
https://habr.com/ru/articles/791038/comments/#comment_26456712
Вот ещё из другой ветки ответ на ваш вопрос
Можно получить что-то типа Пейпала, который любит блокировать счета по подозрению, во время месячника борьбы за безопасность и просто на всякий случай.
Да, можно. Но вы же не просто так написали "пейпал" - он уже стал легендой в этом плане, я ведь понимаю о чем вы. И если банк постоянно блочит - люди про это будут знать, и будут решать сами, насколько для них это проблема. Неотъемлимое преимущество пейпала в том, что им ведь можно и не пользоваться :-)
типа Пейпала, который любит блокировать счета по подозрению
опытной группы профессионалов, использующих научно обоснованный алгоритм!
Это добровольно-принудительно делается с кредитами и кредитными картами в виде одного-двух дополнительных процентов кредита в год.
Банк без отделений, это так современно, говорили они... Вот интересно, а сколько лет известно например про сим-своппинг? 10, 15 или больше?... Долго наверное ломал свой электронный мозг хваленый ИИ в антифрод системе, как же решить эту сложнейшую проблему, и наконец придумал. А зачем нам усложнять то жизнь мошенникам? Ведь для угона номера им, бедолагам, приходится ходить в офис опсосов... Давайте просто менять номер по видео связи! И никому вообще никуда не придется ходить...
Кстати, сейчас очень много готовых сетей с присутствием у каждого дома (ПВЗ озон-вайлберриз, магниты, пятерочки). Можно даже банки обязать верифицировать клиентов друг для друга. То есть, если куда-то нужно доставить свое физическое лицо для сверки - не обязательно, что банку придется по всей стране открывать офисы. Достаточно договориться с теми, кто уже открыл.
Что-то подобное вроде у Вебмани было, только там всё же была специальная должность.
Там была система аттестатов.
Если вам хочется начальный аттестат - вам нужна личная (потом добавились еще варианты) встреча с владельцем персонального или выше у которого стоит отметка что он согласен начальные выдавать, на которой он проверит паспорт. Оплата - сколько владелец персонального захочет. Насколько помню - владелец персонального потом скан должен был скинуть выше. Деньги пойдут частью ему а часть - уровнем выше за проверку тех данных. Персональный хотите - вам к владельцу аттестата регистратора.
И так далее.
При общении - видно какой аттестат у другой стороны. Там их много разных.
А можно ваш мудреный текст перевести на простой русский язык?А то приходится констатировать:интересно...,но ни хрена непонятно,что хотел комментатор сказать.Начальный...персональный аттестат...Что вообще за хрень такая?
Аттестаты - просто разные уровни подтверждения с разными лимитами (вебмани любили называть всё упорото по-своему и весьма странно), и для того, чтобы получить подтверждение уровня N, надо найти человека, у которого уже есть уровень N+1 или выше.
Описание текущий версии системы (немного отличается от описанного мной, в сторону еще большего усложнения) - https://wiki.webmoney.ru/projects/webmoney/wiki/attestaty
Совсем простыми словами изначальную версию @svosin описал.
А насчет запутанности - интересно как вы оцените например все многообразия способов входа в систему у webmoney.
Только отделения самих банков, с правильными регламентами и фото-видео съемкой. То что вы предлагаете по сути уже есть в виде офисов опсосов. В случае чего из такого офиса вы не получите даже фото того, кто приходил с липовыми документами.
Мне кажется, эта проблема решаемая. У Озона ПВЗшки вообще всякие ИП делают, тем не менее, каждый ПВЗ соответствует всем регламентам. Если за верификацию каждого пользователя будут платить N рублей - то там и камеру перевесят как надо и хранение записей сделают.
<del>
Вы таким образом доверяете всю систему одному клерку в ПВЗ в селе Зюпаново. Куда один особо ловкий мошенник устроился по поддельным документам, насверял остальным всякой лажи, и растворился в закате.
Банковсим мелким клеркам (которые устроились по поддельным документам) мы же доверяем? Если в банке выше проверка - окей, пусть тот же ПВЗ для получения этой фишки высылает данные в банк. Проверить одного оператора проще, чем проверить 500 человек, которых уже проверит он.
Ну и другие методы есть. Скажем, ПВЗ или сотрудник должны работать долгое время. Мошенники любят быстрые схемы, а если для нее надо полгода честно работать - им сразу не интересно.
То есть, если куда-то нужно доставить свое физическое лицо для сверки -
не обязательно, что банку придется по всей стране открывать офисы.
Достаточно договориться с теми, кто уже открыл.
У Киви и Яндекс.Денег (когда они еще так назывались) была такая опция верификации. Приходишь в магазин Евросети, показываешь паспорт, платишь 50 руб и твой номер с кошельком верифицируется и поднимаются лимиты на операции по кошельку.
Кстати, сейчас очень много готовых сетей с присутствием у каждого дома (ПВЗ озон-вайлберриз, магниты, пятерочки).
А знаете, сколько у сотрудников зарплаты? А знаете, за сколько они согласятся "верифицировать" кого угодно?
при наказании за это? думаю, на тех же условиях, как и операционистка в банке или девочка в окошке на госуслугах. Или, думаете, все подлые и продажные идут в Озоны, а все честные и неподкупные в МФЦ? :-)
Ага. То-то много как наказывают сотрудников мобильных операторов, выдающих дубликаты симок.
Метко подмечено, но мне кажется, этому есть объяснение. Оператору нет нужды напрягаться (и нести расходы) на эту тему, проблемы негров - не проблемы шерифа. А вот, если гипотетические ПВЗ озона начнут на этом зарабатывать, у них будет стимул получить этот контракт и эту возможность. И чтобы получить его - они пойдут на соблюдение требований.
Почему-то же условия в банке или МФЦ отличаются от условий в офисе оператора связи и клерки с той же планеты там уже гораздо более законопослушны. Значит, нужно просто создать условия более похожие на банк и менее похожие на офис оператора.
Тиньков честно скопировал "банк без отделений" с американского Capital One. И даже лицензировал какой-то софт у них, насколько мне известно. Так вот, у американского Capital One совершенно стандартная политика zero liability. И есть стандартный протокол действий в случае фальшивой идентификации. См. например
https://www.capitalone.com/bank/money-management/financial-tips/dealing-with-identity-theft/
Класс, не знал. У нас обычно если про американцев говорят, то кроме бумажных чеков не вспоминают ничего)
Мошенник позвонил с неизвестного номера, сообщив, что старый ему не принадлежит и телефон срочно нужно заменить.
Странно вообще, почему не позвонили по старому номеру чтобы разобраться в ситуации? Ведь то что он более не принадлежит владельцу известно лишь со слов неизвестного с неизвестным номером. Да и вообще подтверждение личности ТОЛЬКО лишь по одному видеозвонку в сомнительных условиях выглядит очень странным. Является ли сотрудник поддержки, проводящий звонок, компетентным чтобы отличить deepfake от реального лица (вопрос риторический)?
PS
Надеюсь автору не придется доказывать банку что это не он опустошал кредитку. Учитывая что Тинькофф банк исполняет, то могут сказать что-то типа - взлом взломом, а денежки с кредитной карты вернуть вам придется...
А каким образом по вашему должен банк подтверждать личность, у которого нет отделений?
С помощью выездного представителя
Ну ок, лучше чем ничего, конечно
мало того - еще он (представитель) фото клиента с развернутым паспортом делает.
Круто, но можно перекупить всех представителей в городе, особенно небольшом, наркодилеры так делают, например.
И я уверен, огнестрела у бандитов явно побольше, чем у банка с единственным офисом и местного районного отделения полиции. Вот что они им сделают?
Так что при таком раскладе можно сверять "кого надо" сверять и подтверждать личность "кого надо" тоже. Это миллионы, если не миллиарды, чистого Кеша за пару месяцев, пока схема работает.
Ну, я бы так и сделал.
Ну одно дело скам, с разводкой на доступ к учетке, процесс, который может даже школьник организовать. А другое дело ОПГ, которое имеет огнестрела больше городского отдела полиции. Вторые скорее будут не пароли тырить, а наркотой торговать
Всё равно реальный человек-верификатор намного лучше. Его можно арестовать и начать с него раскручивать всю цепочку ОПГ. Да-да, он и скрыться может и по поддельным документам работать, я это знаю. Но всё-таки это реальный живой человек, который физически находится (или по крайней мере находился) в стране и городе потерпевшего, от которого могли остаться какие-то следы, зацепки: номер автомобиля, на котором он приезжал, лицо на камерах наблюдения, попадание в логи IMEI его телефона в логи вышки ОпСоСа.
Видеозвонок через интернет это просто набор цветных пикселей. Он может быть произведён из-за границы, обёрнут в 10 VPNов, быть полностью синтезированным: и окружение в кадре и человек, шансы докопаться до истины тут просто нулевые. Не говоря уже о том, что масштабируется на десятки, сотни, тысячи потерпевших такое мошенничество несравненно проще.
Поэтому считать эти два способна верификации равноценными я считаю абсолютно некорректно.
Как-то у вас не "бьётся" по масштабам "перекупить всех представителей в городе, особенно небольшом, наркодилеры так делают" и "миллиарды, чистого Кеша", даже "за пару месяцев" (миллиард за пару месяцев - это 16,666(6)... миллионов в день).
Ну как минимум сначала кодовым словом - это то, чего нет в базах персональных данных.
Лично я, хоть и мне нравится удобное приложение Тинькова - пользуюсь им редко, когда интересные категории кешбека попадаются, а никак не основным банком.
Потому что пару лет назад я чудом успел заблокировать все карты, когда мой аккаунт взломали. Причем смену номера телефона произвели, несмотря на то, что часть вопросов была отвечена неправильно, а главное - кодовое слово вообще не было запрошено!
О взломе я узнал, когда мне прилетело СМС от Тинькова о смене email - наверное, начинающий мошенник попался,поменял почту до смены номера. Позвонил - и мы, наверное, параллельно с ним общались со специалистами.
Потом было долгое разбирательство, перевыпуск карт - но больше в этом банке я большие суммы денег не держу.
Никогда, еще раз - НИКОГДА нельзя использовать кодовое слово для подтверждения чего-либо. Только для блокировки карт... Кодовое слово хранится открытым текстом, доступно сотрудникам и прекрасно сливается со всеми остальными данными...
Ну если его так хранят - то вообще нет никакого доверия банкам. Хотя Кодовое слово входит в перечень конфиденциальных данных, знать которые должен только владелец карты.
Пускай и базы клиентов открытыми хранят, чего уж там... Всё равно сливаются базы как та же Альфа недавно. Проверил - там все карты кроме недавней виртуальной были
Возможно вы сильно удивитесь, но даже номер карты в такой перечень не входит. Платежными системами не запрещено например выдавать карты клиенту без конверта, то есть в открытом виде. К тому же, ранее было обычным дело передавать карту в руки продавцу, официанту например... Никому ведь не могло прийти в голову когда придумывались эти правила, что банки додумаются использовать номер карты в качестве доступа ко всем счетам клиента...
как же можно прятать кодовое слово от сотрудников, если они должны его у вас спросить и сверить?
Все просто. Оно не должно использоваться ни для каких критичных операций. Можно использовать для блокировки карты например.
Ну это не будет работать, потому что могут быть нюансы в написании. Код именно должно быть очень просто передать голосом, для нектритичных операций - он именно для этого изначально и придумывался. Код не должен использоваться в таком же формате как и пароль.
Для такого случая citi bank придумал передавать код, известный только клиенту, в процессе общения с оператором в тональном режиме, так же он и устанавливается. Таким образом, авторизация происходит силами самого клиента в автоматическом режиме и сотрудник банка не имеет доступа к этой информации.
В Русском Стандарте в то время когда я им пользовался (в конце нулевых) кодовое слово представляло собой 5 цифр и поддержка при необходимости подтверждения запрашивала 3 случайных их них: "назовите третью цифру, назовите пятую цифру, назовите вторую цифру". Запрашиваемые позиции, конечно, всегда были разными.
Как по мне - неплохой вариант, поскольку не даёт оператору всей информации и даже не оставляет полной информации при тотально применяемой сейчас записи разговоров с поддержкой. Одновременно с этим довольно простой для того, чтобы им могли пользоваться люди, не привыкшие относиться к безопасности серьёзно, поскольку объём запоминаемой информации очень маленький.
кмк у сотрудника не должен быть удобный интерфейс для просмотра всей базы. Посмотреть данные о Васе Пупкине можно только если нам позвонил Вася Пупкин и только во время звонка. Ну и если сотрудник техподдержки за день обслуживает 60-70 заявок, нельзя чтобы он вдруг открыл профили 200 клиентов в сутки.
Зачем ему их открывать? Ему голосом кодовые слова сами клиенты говорят.
Очень немногие. Сколько звонков за день он принимает? Это не те объемы, чтобы сливать. Да и он может не знать полные данные человека, не видеть его полный номер даже (ему ведь уже позвонили и система уже знает, совпадает или нет). Не может их записывать в тетрадку (если там есть наблюдение).
Я подозреваю, что у Freedom Finance сделана подобная штука. При общении с саппортом нужно произнести присланный код. Я предполагаю (точно не знаю) что саппорт сам не может открыть профиль произвольного юзера - только если он позвонит.
В смысле не те объемы? Каким образом вы это считаете? Этого более чем достаточно, для одного человека.
Я представил утечку в 1000+ кодовых слов, и мне кажется, неправдоподобным, чтобы она произошла от оператора, который эту 1000 месяцами копил. Все таки это риск. Мне кажется более вероятным (для крупной утечки) когда есть относительно безопасный способ слить всю базу или ее большой кусок за раз, а не тысячей лотереек "поймают меня сегодня или нет".
Давно придумана система одноразовых кодов. Клиенту высылается одноразовый 4 значный пинкод по всем каналам связи которые он оставил. Он его называет сотруднику техподдержки и только введя его сотрудник техподдержки получает доступ ко всей информации клиента. Срок действия пинкода один раз или минут 15.
Первично использовать курьера. Но далее нужно использовать 2х-3х факторную аутентификацию, и это будет безопаснее, чем использовать только биометрию.
Да, только банков с такой двухфакторкой - единицы.
Неужели есть хоть один ;)?
Авангард вроде бы раньше был... Сейчас не знаю.
Авангард работает. Ну вот здесь писали, что вроде юникредит еще держится. Еще слышал про Сбер, но для счетов ИП. Про физиков больше не слышал, все сдулись.
Один из компромиссных вариантов - временно ограничивать счет, допустим, на месяц, пока пройдена только проверка 1го уровня. Полное снятие ограничений либо после проверки 2го уровня (физ. встреча), либо через месяц-два автоматически (если не будет оспорено).
Потенциально получаем способ устроить DoS атаку
Ну моя идея, чтобы вместо того, что сейчас дает полный контроль за счетом, давать лимитированный. Сейчас все хуже, чем DoS атака - у тебя просто уводят все деньги и ты тоже не можешь ими пользвоваться.
Ну и если таки кто-то это смог, то хозяин может вернуть все назад и возможно устранить проблему, чтоб не повторилась.
А почему они тогда карты не выдают по видеосвязи, а присылают какого-то чудика, который вас фоткает?
ЭЦП
Ну они же уже собрали биометрию хитрым способом ( по сути подтверждением является вход в приложение) и решили, что могут использовать ее как хотят. Мы собирем у вас все данные, а вы придумайте как их защитить, если они "случайно" утекут.
А у банка в этой ситуации можно отсудить украденные мошенником деньги? Все же именно банк допустил ошибку и верифицировал мошенника под дипфейком.
А вообще перестал пользоваться их услугами из-за очень классной техподдержки, у которых одно решение на все проблемы - вот тебе новая карта.
А ещё вы не можете поменять лицо и голос, поэтому мошенник может спокойно продолжать использовать вашу биометрию против вас. Именно поэтому я отозвал свои биометрические данные (которые были собраны без согласия) из Тинькофф и других банков.
А еще голос может искажаться при болезни, а лицо в месте со слабым светом плохо видно, поэтому это не только не безопасно, но и может создавать проблемы самому владельцу.
Я вообще не представляю, как люди сверяют лицо.
Как AI может сверять лица - понимаю - там магия.
Как на границе сверяют - понимаю - там тоже магия, их в особых спецшколах учили по методикам КГБ.
Но как сверяет лицо сотрудник Татьяна или Михаил - я не понимаю. Они неделю назад искали работу. Сегодня работают в банке. При этом, люди не молодеют, и человек через 3 года уже не слишком похож ни на свое фото в паспорте (последний раз меняется, напомню, в 45. А клиенту банка может быть и 70), ни на свое фото при открытии счета.
Подозреваю, что сверяется через вербальное представление "тааак, он лысый и еще с усами как у моего дяди Сережи", а что там у нас на фото - "ну да, лысенький тоже и усатый". Вся уникальность лица при визуальной сверке упрощается до 3-10 бит (лысый/волосатый, тощий/жирный, мужчина/женщина, урод/симпатяга, нос обычный/кривой).
Вся уникальность лица при визуальной сверке упрощается до 3-10 бит
По правильному - больше https://ru.wikipedia.org/wiki/Словесный_портрет#Голова . Часть признаков "пожизненные" (соотношения частей в основном).
Раньше чтобы получить диплом охранника для частной охранной (где-то в нулевых), нужно было знать чуть больше чем по ссылке (пропорциям частей лица ощутимо больше уделялось в соотношении друг с другом), уходило на это несколько занятий и в экзамене было.
Насколько это сейчас в банках реализуется - хз, но по большому счету распознавание с помощью ИИ это автоматизация этого процесса и скорее всего более надежная даже в плане сравнения с профессионалом среднего уровня, а дипфейки натягивающие лицо по сути подделывают сразу практически всё, т.к. они не генерят новое лицо, а накладывают реальное.
немного не понял про затылок, там два параметра, у одного 2 варианта, у другого три?
Я недавно видеопроверку проходил. Затылок не показывал. Даже ЕСЛИ они следуют этой методике, то там могли проверить 3 части, и у каждого 3 варианта... три в кубе, 27 всего! И это от организаций, которые требуют пароль длинее 8 символов, пусть каждый символ - 6 байт всего (64 комбинации) (то есть 2**48, триста триллионов). И они усилили этот пароль "ключом" из 27 комбинаций? Да у меня на сарае ключ похитрее. (самый дешевый из ближайшего магазина, механически ломается за минуту, но "криптографически", там явно больше 27 комбинаций ключа)
А еще, вряд ли он это сверял с паспортом (хоть и видео его), фотку на паспорте, мне кажется, даже глазами разглядеть тяжело, не то что через веб-камеру.
Даже ЕСЛИ они следуют этой методике, то там могли проверить 3 части, и у каждого 3 варианта... три в кубе, 27 всего!
Не поняли как у Вас 27 получилось. Даже по голове - это 4 оценочных критерия, каждый с 3 вариантами, это уже 3^4=81. А ведь кроме головы есть еще 12 разделов (рот, глаза и т.д.), более вариативных (везде больше чем 4 критерия и больше чем 3 варианта), но даже если брать тот же 81 вариант на 1 часть тела, то это будет 81^12= до фига короче.
немного не понял про затылок, там два параметра, у одного 2 варианта, у другого три?
Сложно сказать, тут википедия честно говоря очень упрощенно все дает, если тема интересна - поищите в учебнике по криминалистике раздел. Научной теме опознания как по словесным портретам так и по фото уже несколько веков минимум, там всё проработано. Другой вопрос насколько разглильдяйски используется.
А что скажете про одного очень известного человека, по этой методике он один или их несколько ?
При этом, люди не молодеют, и человек через 3 года уже не слишком похож ни на свое фото в паспорте (последний раз меняется, напомню, в 45. А клиенту банка может быть и 70), ни на свое фото при открытии счета.
В нашей семье была такая ситуация. Бабушке как раз больше 70, болеет, сидит дома, за неё ходил снимать пенсию с карточки родственник. Родственник внезапно умирает. Кроме него PIN-код никто не знал. Звоним в Сбербанк с целью сменить PIN, но техподдержка желает общаться только с владельцем карты, что пожалуй правильно. Но бабушка ввиду деменции объяснить уже ничего не может. Говорят везите её в банк. Ну что поделать, повезли, под руки вносим в отделение, ибо уже ходит с трудом, объясняем ситуацию. Но сотрудник нас игнорит и пытается общаться с бабушкой. А та уже ответить ничего не может и едва понимает что происходит. Мы даже не можем доказать что её родственники, ибо фамилии у нас разные. Тягостная ситуация сама по себе, так ещё и сотрудники банка напряжены, для них вся ситуация выглядит как «какие-то мошенники нашли доверчивую старушку и пытаются украсть у неё пенсию». Мы всё пытаемся объяснить ситуацию и доказать, что ничего плохого не задумали. Сотрудники смотрят фото в паспорте бабушки - там 45-летняя моложавая женщина без единой морщины. А перед ними сидит сгорбленная вся в морщинах сухонькая старушка. Два сотрудника операциониста + старший смены втроём минут 10 стояли рассматривали паспорт и её, сравнивали, но всё-таки отказали, дескать, слишком большие различия. Мы тогда ушли ни с чем, пришлось потом оформлять недееспособность и опеку.
Какой вывод можно сделать? Наверно сотрудники Сбера всё-таки правы. Любые серьёзные действия проводят лишь при личном присутствии в банке + при наличии сомнений предпочитают перебдеть и отказать. Привет Тинькоффу. Также это лишний раз показывает, что метод визуального сравнения с паспортом ненадёжен. Хорошо что тут случилось ложно-отрицательное срабатывание, а не ложно-положительное. Я невольно задумался над тем, как было бы проще, если у банка были отпечатки пальцев бабушки.
А вы бы хотели оставить свои отпечатки банку, чтобы в 70 лет снять деньги без проблем? Или предпочтёте просто регулярно обновлять фото в паспорте?
Вот мы когда про безопасность говорим, часто вообще упускаем этот момент, полагаем, что человек достаточно самостоятельный. Юридически, наверное, опека нужна, но более просто было бы, если бы в банке можно было оформить доверенное лицо. Чтобы человек, пока еще в более-менее светлом уме мог бы добавить туда супруга, детей, да хоть соседку.
Там есть проблема. Находясь "еще в более-менее светлом уме" (но сваливаясь в деменцию) человек уже никому не доверяет. Ведь с его точки зрения его непрерывно обманывают! Воруют деньги, еду, перекладывают предметы, прячут очки. И родственники под это попадают первыми - они же рядом.
Никакой нотариус в таком состоянии человека доверенность не оформит. Честно скажет, что не уверен, что человек понимает смысл действий.
Раньше, кста, можно было так сделать. Я на тётку оформлял типа "доверенность" в отделении банка. А она потом спокойно снимала деньги с моего счёта не беспокоя меня.
Ну по хорошему - там не ложноотрицательное случилось. Даже если бы признали что она это она, следующим пунктом стояло бы что вот эти действия хочет выполнить именно она, а не странные сопровождающие. И вас бы снова должны были завернуть.
Практика смены паспорта в 45 лет и до конца жизни - порочная, в Беларуси давно отказались и паспорта выдают на 10 лет максимум. Ну а если бабушка впала в деменцию, то назначается опекунство.
Как люди запоминают и сверяют лица..
Ездили большой компанией на Бали. Официантка принеся заказ металась глазами между мной и блондинкой пытаясь понять кому. Как она бедная смущалась, когда весь народ за столом просек ситуацию и заржал.
Заржал не вежливо, но уж очень смешно когда идентификацию только по оттенку волос.
Какой то адский ад просто, очень хреново у вас там в 2024, натуральная антиутопия как в кино, у меня в 2009 с кирпичем, наличкой и криптой намного лучше.
Мы подождём, сами к нам приедете.
"С криптой" в 2009-м? Это когда пица за 10К биткойнов? Оригинально!
Вот я тоже слегка откатился назад. Например добился полного запрета на ДБО в банке, где храню ту часть средств, которую доверяю банкам, а не святому матрасу. С отсутствием биометрии и прочего - очень надежно получается - раз в месяц сходил в отделение, докинул на счёт наличных и спокойно дальше отдыхаю, когда вдруг надо денег - зашел в отделение, заказал наличные, потом пришел и снял, по телефонам, смсам и всяким приложениям фиг, а не снять что-то. И удачи поклонникам потинька, давно оттуда надо было когти рвать. Да и с криптой можно по прежнему пить оооочень дорогой кофе в одной знаменитой башне.
В почти любом интернет-банке можно настроить двухфакторную идентификацию, секретный код на списание и перевод средств. Периодически секретный код можно менять, как и кодовое слово., всякие face id нужно отключать и не использовать. Это максимально усложнит мошенникам взлом и кражу денег с ваших карт и скорее всего мошенники предпочту менее защищённые аккаунты. Многие просто этого не знают или пофигисты.
Туфта это все, точно также обходится через смену сим карты например и легенду про потерянный телефон.
Секретный код с телефоном не связан. Даже если поменять номер телефона секретный код знаете только вы.
Не знаю что такое секретный код. Всю жизнь для этого использовался пароль. А кодовое слово подходит только для блокировки карты и более не для чего.
В альфа банке можно зайти в приложение на телефоне по секретному коду или по опечатку пальца. Есть настройка ввода этого кода и на списание средств. Я менял номер телефона, секретный код остался прежним. К номеру телефона он не привязан и поэтому его можно использовать как дополнительную защиту от кражи со своего счета, если забыл, то только через визит в отделение банка можно восстановить.
Этот код внутри приложения живет. Он вообще не имеет никакого отношения к рассматриваемой ситуации. У мошенника свое будет приложение без вашего кода.
Не думаю что в приложении. Если бы я делал это приложение, то я как программист сделал бы этот код в бд. К тому же при удалении и переустановке приложения это код сохраняется.
Код в бд? Из 4 цифр? Вы серьезно? Из того что я видел, как правило при установке приложения код задается заново.
Это код в приложении. Скорее всего - для открытия кейстора телефона, где и хранится 'настоящий' ключ доступа к API банка. Это подтверждается тем, что по отпечатку пальца - оно так же работает.
Секретный код точно так же меняется через опцию забыл код.
Мда, на фоне этого массовый сбор биометрии тем же банком выглядит по другому - видимо чтобы мошенникам было удобнее .
Кстати а в полицию то уже заявление подали ? ( это вообще первое что надо было сделать при обнаружении попыток).
У человека ничего не украли.
Украли у банка, которому были доверены ДС. В соответствии с ФЗ о банках,списания со счета клиента допускаются только в двух случаях: по распоряжению клиента или по решению суда.
Если вы не давали распоряжение на списание - нужно написать заявление в Банк о возврате ошибочно списанных средств. Одновременно в ЦБ, чтобы не тратить свое время.
У вас нет повода обращаться с полицию - у вас ничего не украли. Через полгода вы такое же официальное заключение и получите. Но время уже будет упущенно.
Здравствуйте.
Мы проверяем все подробности произошедшего, чтобы выяснить больше деталей. Как только будем готовы, опубликуем развернутый комментарий.
Будет ли ответ публичный? А то тут в комментариях задаются вопросом не фейк ли статья про дипфейк? Хотя в остальном полезная дискуссия с учетом повсеместного нарушения догм безопасности
Лучше бы написали детальную инструкцию, как ещё оставшиеся у вас клиенты могут себя обезопасить.
Думаю, поддержат многие. Пожалуйста, сделайте опциональный режим "повышенная безопасность", когда смена номера телефона возможна только после офлайн-встречи с представителем банка.
Почему Вы не смените банк?
первый правильный вопрос
Это что-то даст?
А как это поможет? Разве есть банки, иммунные ко мошенникам?
Вы видите только чёрное и белое? У банков разная устойчивость к мошенникам. Тиньков - один из худших в этом плане.
Хорошо, а как тогда эту устойчивость определять? На какие метрики смотреть?
На наличие отделений?
Как будто банки с отделениями не проверяют личность удаленно, а за каждой сменой пароля отправляют в отделение.
Зато в них можно прийти пешком разбираться. С паспортом и т.п.
Очень часто там говорят что-то в стиле: "Мы этого сделать не можем - мол, так и так, у нас все в Москве это делается в службе безопасности/головном офисе. Позвоните по номеру 9xx - вам там все подскажут".
Там сидят люди, которые работают точно так же по скриптам, как и люди в чате или в колл-центре. Личное присутствие никакой погоды не сделает.
Вообще-то не проверяют. Сменить удалённо паспортные данные или другие основные параметры безопасности в большинстве банков невозможно.
В данном случае Вы просто решите конкретную проблему с конкретным мошенником, так как он не будет знать ваш новый банк и ваш новый счет, если вы ему не сообщите.
А на какой менять? Подозреваю, что у других не лучше. Пример - получаю ЛИЧНО карту в Сбере. У меня паспорт иностранного гражданина. Специалист говорит - я не могу подтвердить Вашу личность. На вопрос что делать отвечает, что позвоните по такому то номеру и они подтвердят вашу личность. Пришлось доказывать, что это алогично, т.к. по телефону они меня не смогут идентифицировать, а тут я стою лично перед ним живой и меня можно пощупать. Просто ощущал себя в каком-то фарсе. Хорошо хоть логичные доводы помогли решить ситуацию.
Да там крыса в банке. А, возможно, и не одна. Поэтому так и реагируют неестественно.
Интересно, сколько факторов в защите у банков в современных условиях осталось?
Раньше повсеместно были в обязательном порядке: логин, пароль + код (из смс или карты кодов). Потом логин отменили, заменив на номер карты или телефонный номер. Потом отменили и пароль как обязательный фактор. Потом отменили и функционал запрета восстановления пароля без посещения офиса. В итоге во многих случаях остался только единственный фактор - код из смс/пушей. Но ведь эти каналы пользователю неподконтрольны в полной мере, в отличие от пароля. Да еще всё это приправлено размытыми, нечеткими формулировками в смках, по которым зачастую нельзя понять, какое именно действие подтверждается кодом. Разве их можно использовать как основной и единственный фактор? Кому вообще в голову пришло использовать одну единственную смску для подтверждения полной смены способа аутентификации?
А из этой статьи следует, что и смски уже необязательны? Не могу в такое поверить, это за пределом моего понимания.
И что делать то? Такая тенденция, смотрю, становится мейнстримом... Я уже не понимаю, на чем вообще защита строится.
В итоге во многих случаях остался только единственный фактор - код из смс/пушей. Но ведь эти каналы пользователю неподконтрольны в полной мере, в отличие от пароля.
смс в силу дырок в протоколе - никогда не были надежным средством защиты
Код из смс не считают полноценным фактором. Насколько я встречал его принято считать половинкой фактора. Потому что передаётся по незащищенному каналу и конечному пользователю не принадлежит контроль за ним. Короче как дверь в поле
Я тоже много про это слышал, и звучит правдоподобно, но кое-что меня в этой теории смущает.
1) Человек, который сможет это сломать - получит все деньги со всех счетов в России. Ну ок, чтоб не палиться, будет снимать не слишком много. Почему это до сих пор не случается настолько массово? Каждый мошенник сам себя сдерживает, они заключили конвенцию, как дети лейтенанта Шмидта - не воровать больше чем у 10 человек в месяц?
2) Что требуется для этой атаки, кроме решения переступить грань закона и морали? (почему каждый закладчик не перейдет на бизнес воровства из банков, ну или почему каждый программист с пониженной соц.ответственностью не перейдет)?
По поводу именно технической реализации известны случаи угона телеграмм акаунтов (возможно и других тоже) у политиков, после чего телеграмм добавил двухфакторку (1.5) или я тогда о ней узнал. Возможно при мошенничестве все задействованные станут известны. По крайней мере это уже ставит крест на надёжности этой транспортной реализации. Totp этого недостатка лишен, именно поэтому он считается фактором. Ну и изначально уязвимость использовали проще, были случаи когда мошенникам доставались уже свежие симки с номером, ранее принадлежавшим пользователю зеленого банка и таким образом восстанавливался доступ. Ввиду непубличности уводов аккаунтов и отсутствия раскрытия инцидента сложно сказать именно такой был порядок или соц. инженерия. Но это фактор лишенный всех смыслов фактора описываемых выражением: "я владею информацией(пароль) + я владею устройством (генератор кодов)"
Почему это до сих пор не случается настолько массово?
А на сколько надо массово? В стране "самого удобного в мире финтеха" в 23м году сумма украденных средств оценивается в 150 000 000 000 рублей. Это недостаточно массово?
Кстати, возвращено клиентам менее 1% от этой суммы. Более 90% даже не признаются украденными. Т.е. украденные деньги автоматом становятся проблемой клиента.
сумма украденных средств оценивается в 150 000 000 000 рублей.
А можно источник? А то у меня только достаточно древний есть, где суммы несколько меньше.
Хотелось бы источник и понять, что они считали. Мы же тут обсуждаем, насколько вероятно заэксплойтить SMS (я вот знаю много разных уязвимостей и умею их относительно просто и надежно эксплойтить). Но можно ли так же заэксплойтить SMS из дома (ну ок, через VPN) если вечерок-другой почитать книжки?
Есть же огромная разница между "метод не заслуживает абсолютного доверия, теоретически взламывается и даже были прецеденты" и "В этом есть огромная дыра, любой школьник поломает, если добавит в HTTP запрос поле is_admin=True.".
Что если в этих 150 миллиардах 149 - это бабушки, которые сами выдали свои коды мошенникам? Это тоже проблема, но уже другая, не про техническую уязвимость SMS.
150 ярдов это общая оценочная сумма которую потеряли клиенты банков в результате мошеннических действий. Точную сумму определить невозможно т.к. официально регистрируют как мошеннические мизерную часть обращений. Сумму украденную через угон SMS определить сложно, но жалобы такие появляются регулярно от людей вполне ясного рассудка если судить по тексту жалобы. Но из-за убогости технологии невозможно определить достоверность слов клиента (что само по себе делает неприемлемым использование техноллогии). Могу предположить что счет идёт по меньшей мере на миллиарды.
В общем, считать что "я не бабушка, меня это не коснётся" думаю достаточно наивно.
Если у вас в 2024м году всё еще есть сомнения в том, что пароли надо шифровать, то мне, с моим одним сообщением в сутки на хабре, вас не переубедить, особенно если вы будете переспрашивать то, что нагуглить у меня заняло менее 10 секунд буквально. В дальнейшем я это за вас делать не планирую, не спрашивайте у меня подобные вещи, пожалуйста.
К SMS без всяких взломов имеют доступ по меньшей мере тысячи сотрудников из десятков организаций. При чем среди них есть организации с устойчивой репутацией мошенников и организации чей доступ к SMS вообще никак не контролируется, не ограничивается и даже не логгируется. Просто прикиньте ваши шансы что-то доказать, если кто-то из этих людей выпишет себе премию с вашего счета.
И кроме самих SMS огромная проблема в их безальтернативности. Что подразумевает умысел организаторов.
25 лет назад у меня была карточка со стираемым защитным слоем, и нестёртый защитный слой был железным алиби в том, что я этим кодом не пользовался. Прошло четверть века технического прогресса, а защита не только не улучшилась, а по сути исчезла полностью. Сей час я должен полагаться на честность неопределенного круга лиц, что само по себе абсурдно, а точнее на своё везение.
Что если в этих 150 миллиардах 149 - это бабушки, которые сами выдали свои коды мошенникам?
В принципе 150 ярдов украденных денег уже достаточное условие для принятия незамедлительных мер. Уже даже не в отношении банков, а в отношении регулирующих органов вплоть до полного расформирования. Не зависимо от того бабушки это, дедушки, сами или не сами.
Воот, то есть, это не совсем техническая уязвимость, а организационная, через доверие человеческому фактору...
Любая "техническая" уязвимость состоит из технической и организационной части.
А можно источник?
см. выше.
Как будто банки с отделениями не проверяют личность удаленно, а за каждой сменой пароля отправляют в отделение.
У удаленного обслуживания есть еще одно "преимущество". Недовольные клиенты не стоят в одной физической очереди с потенциальными клиентами, новые клиенты не слышат жалобы оставшихся без своих денег людей.
Вот что мне интересно - почему ну прям ни один банк в России не использует хотя бы как дополнительное средство идентификации:
УКЭП через Госключ(просто подписать запрос какой то)
Биометрический загранпаспорт (там можно считать данные с чипа по NFC, в Play Store куча приложений, включая фотку но для их расшифровки надо ввести часть напечатанных данных и эти данные подписаны)
Практически все клиенты банков уже по умолчанию имеют специализированный аппаратный ключ который можно смело соединять с банком по открытым каналам. Это чипированная банковская карта. Он даже пин-кодом прикрыт. Нужно только считываетль купить за 15 баксов.
Но в стране самого удобного финтеха его запрещено использовать секретным указом. (сарказм второго уровня).
В других странах это используется повсеместно.
Я бы на него еще экранчик добавил с отображением суммы сделки и наименования контрагента. Технологии давно позволяют сделать это сохранив формфактор.
Можно его заковырять в смартфон или часы, только на время активности он должен иметь аппаратно монопольный доступ к экрану и вводу (кто-то вроде собирался так делать?). Чтобы операционка просто посылала комманду "передать управление банковскому чипу". А банковское приложение просто будет обычным "магазином" где можно набивать корзину.
Это очень характерная гиковская иллюзия, о том что раз сам гик постоянно
ходит на какой-то сайт и понаставил себе кучу приложений, значит и все
остальные люди такие же.
Мне кажется, приложения банков (и не только банков) как раз уже тема не гиков, а домохозяек и пенсионеров. По крайней мере, появилась такая тенденция.
Уж не говоря о том, что на рутованные телефоны они сами порой отказываются ставиться.
Человек, который сможет это сломать - получит все деньги со всех счетов в России
Речь не идёт о краже всех денег мира ввиду во-первых ввиду технических трудностей, во-вторых ввиду того, что чем больше денег будет украдено, тем лучше будут искать вора и тем больше шанс быть раскрытым.
Что требуется для этой атаки, кроме решения переступить грань закона и морали?
Либо восстановление сим карты по поддельной доверенности (но некоторые банки это проверяют через свои каналы обмена данными с ОпСоСами), либо иметь уровень доступа к инфраструктуре и (или) биллингу ОпСоСа, что бы иметь возможность в реальном времени читать SMS.
Причём это может быть не только работник ОпСоСа, но и сотрудник всякого рода интересных трёхбуквенных структур которому по работе положено иметь такой доступ.
Воот, то есть, это не совсем техническая уязвимость, а организационная, через доверие человеческому фактору...
Если вам интересно чисто с технической стороны есть маленькая дырочка в протоколе SS7, но там тоже всё не так просто и надо иметь доступ к сети как минимум на уровне ОпСоСа. Обычно для этого используются операторы связи из малоизвестных стран
Вот про этот способ я слышал, и он уже, да, чисто технический. В плане безопасности атака интересная - если хоть один оператор в мире уязвимый - все клиенты всех SMS-аутентификаций уязвимы. Но судя по тому, что получить чужую SMSку еще не предлагается массово по 100р за единицу - все таки, не так уж просто найти SS7 оператора с уязвимостями даже в Гондурасе...
Оператор может решит торговать доступом если все равно лицензию скоро сдавать. Ну пока не всплыло.
Оператор может быть уверен что от властей своей страны A не только ничего а не будет а еще и похвалят. Если атака будет использоваться против граждан страны B с которой отношения...весьма напряженные и мошенники из A и так против B работают. Вот как против этого защищаются интересно? Только фильтрами по стране?
Это единственный фактор сегодня, потому что кодом из смс можно сбросить пароль.
Интересно, сколько факторов в защите у банков в современных условиях осталось?
Как минимум 2
Личная встреча с клиентом
Подтверждение с помощью УКЭП
Вот что мне интересно - почему ну прям ни один банк в России не использует хотя бы как дополнительное средство идентификации:
УКЭП через Госключ(просто подписать запрос какой то)
Биометрический загранпаспорт (там можно считать данные с чипа по NFC, в Play Store куча приложений, включая фотку но для их расшифровки надо ввести часть напечатанных данных и эти данные подписаны)
Потому что Госключ сравнительно недавно появился.
Кроме того, кольцевая зависимость. УКЭП через Госключ можно получить воспользовавшись банком-партнером (хорошо хоть только очно)
Вы имеете в виду чтобы подтвердить учетную запись гос услуг. Укэп и гос ключ не привязаны к банку непосредственно, просто госключу нужна подтвержденная запись гос услуг и биометрический загранпаспорт.
Подтверждение учетки Госуслуг это, кажется, слегка другое. Они банки используют, чтобы биометрию снять.
Загранпаспорт - необязателен. Можно лично в этот банк явится и оформить. Или просто по биометрии, если она в Госулуги загружено.
Выше ссылку давал. Просто есть опасения, что вот это 'очно' в какой-то момент сломают и можно будет так же - через приложение банка.
Загранник не нужен, у меня нет никакого, Госключом пользуюсь.
Вчера оформил УКЭП в Госключ, бесплатно подтвердил в Россельхозбанке и доволен ?
Меня оно порядком смущает. Потому что:
Ключ ЭП хранится на устройстве пользователя в зашифрованном контейнере, ключ от которого хранится на HSM "в облаке". Вычисление хэша при формировании подписи производится на устройстве пользователя.
Теперь вопрос - где именно происходит подписывание, если HSM, по идее, никаких ключей из себя выпускать не должен. И как (приватный, вроде бы) ключ ЭП в это место попадает? Сдается мне, что в HSM шлется весь этот контейнер, там расшифровывается, используется...
Нельзя конечно, на загнивающем западе от смс уже давным-давно отказываются. Но у нас то самый продвинутый банкинг, самый удобный.
Ещё почему то не учитывают что зона наличия интернета не равна таковой для канала смс. То есть нельзя пользоваться услугой там где есть интернет (спутник например) и не ловит твой оператор. Так что я бы не назвал это удобством. Как то сидя на море с местной симкой пришлось ходить 5км туда обратно, выйти в зону приёма чтобы воспользоваться сервисом с смс входом, ага самые удобные. Пользователя только спросить забыли. Интернет сервис должен работать через интернет, а не через смесь разных каналов.
Теоретически для таких случаев есть call over wifi, но не уверен насколько он работает если совсем никаких сотовых сетей нет.
Он более менее нормально но есть ньюансы:
про некоторых российских операторов пишут что у них НЕ работает если аппарат в роуминге причем точной системы вроде нет
если оператору WiFi/его ISP или местному роскомнадзору кажется что у вас не должно быть этой услуги - у вас ее не будет - оно поверх IPSec же - https://habr.com/ru/companies/cti/articles/721966/ как VoWiFi с точки зрения сети выглядит
Voice over WiFi/WiFi Calling - совсем не значит что у вас будут и SMS так ходить. Обратное тоже не значит.
Другое дело что у Мегафона и МТС как минимум - кроме VoWiFi есть и "вот приложение используйте его", и тут уже - работает через тот канал интернета что на телефоне есть(и через VPN) а что думают местные роскомнадзоры - их проблемы.
С российскими операторами тестировать не приходилось. Я знаю что у некоторых американских операторов если включить wifi calling находясь в домашней сети, в роуминге будет работать и голос и текст, несмотря на то, что роуминга через обычную сотовую сеть у этих операторов нет даже как опции. Официально это нигде не прописано, поэтому единственный способ узнать точно - протестировать на практике.
Я гораздо чаще бывал в местах, где ходят sms и нет интернета.
Что-то ровно наоборот получается. Современные выкидыши погроммистов тормозят на 3G соединениях даже порой, а про GPRS/EDGE я вообще молчу. И это при том, что жопорезу нужен не один слот, чтобы хоть как-то ворочаться, а SMS летит по служебному каналу в SS7, который практически всегда доступен, когда телефон вообще хоть как-то сеть видит. И на такую жопу я постоянно натыкался, когда куда-то из дефолтска катался.
Это уже даже не злит, а вызывает недоумение - зачем банковскому приложению обмениваться с сервером сотнями килобайт данных, когда я просто нажимаю по вкладу, и выбираю перевод между своими счетами - 1000 рублей на карту.
Подозреваю, что даже если бы мобильное приложение было бы тупым RDP-клиентом, а все остальное крутилось бы на сервере - объем данных был бы меньше.
Только вчера был вынужден воспользоваться сберовским приложением в точке, где из связи был только EDGE - на простую операцию ушло 10 минут чистого времени. Тап - и ждем реакции, тап - и опять ждем...
Это уже даже не злит, а вызывает недоумение - зачем банковскому приложению обмениваться с сервером сотнями килобайт данных, когда я просто нажимаю по вкладу, и выбираю перевод между своими счетами - 1000 рублей на карту.
Моя версия состоит в том, что разработчики сами не знают - они просто берут готовые решения и собирают из них своё, а что там как ходит и шлётся, они не в курсе, потому что они фронтендеры, а не сетевики.
зачем банковскому приложению обмениваться с сервером сотнями килобайт данных, когда я просто нажимаю по вкладу
Ехала аналитика через аналитику. Мамкины специалисты онанируют на статистику, аналитику, А/Б-тесты и прочие способы повысть конверсию, поэтому считай на каждый чих плюют информацией. Тоже самое они делают к слову на сайтах и в десктопных приложениях (и даже на уровне ОС), просто на десктопе это обычно менее заметно.
Свойства продукта определяются (к сожалению ?), не технической/инженерной разумностью, правильностью, логичностью, а их востребованностью. До тех пор, пока от абсурдно большого трафика страдают полтора инвалида на edge, никто и не почешется, да даже и не задумается о том, чтобы его (трафик) уменьшить
Как это - зачем? :)
Один крупный банк:
"давно" - общение с бэком по своему кастомизированному(версия какого то стандартного) протоколу бинарному и кастомный маршалинг и например все текстовые строки в пакете встречаются ровно 1 раз - потому что ссылки и прочее.
позднее - неудобно работать, поехали на микросервисы, даешь REST+JSON. Разработчикам и тестировщикам стало удобнее, скорость даже поднялась из-за того что это позволило кое что оптимизировать на бэке
...
а давайте это - сделаем так что 90% UI будет на веб-технологиях, пусть мобильное приложение будет по сути специализированным браузером. Будет тормозить? Ну это - будем оптимизировать дальше но можно ж будет фичи выводить быстрее. И вообще так удобнее.
А это очень забавный момент, кстати. Скорости GPRS/EDGE вполне достаточно для сёрфинга, но недостаточно для "рукопожатия" в HTTPS: там на него даётся ограниченное время, и оно не успевает отработать.
Очень сложно сделать И удобно, И безопасно. Идеал - законодательно обязать банки давать клиенту выбор, от каких опций в плане удобства он готов отказаться ради безопасности, и наоборот.
Интересно, сколько факторов в защите у банков в современных условиях осталось?
Различные варианты паролей. Различные варианты биометрии. Привязка к конкретному железу. Личное присутствие(в идеале с предьявлением и проверкой валидного удостоверения личности).
В идеале для любого действия должно использоваться минимум два фактора разного "типа". Например пароль + биометрия или пароль + привязка к железу.
Для "опасных операций" (например крупные переводы) должно быть минимум три фактора разного "типа".
Для изменений в условиях контрактов или там для всяких кредитов на мой взгляд необходимо личное присутствие. Причём опять же с удостоверением личности. Как минимум через какого-то официального посредника. В идеале через филиалы банка.
Ну в принципе достаточно в большинстве случаев было бы следующих очевидных вещей:
1) пароль,
2) смс на вход.
3) смс на каждую операцию.
4) четкое и однозначное сообщение в смс о совершаемой операции.
5) невозможность (!!!) дистанционного изменения способа аутентификации и восстановления пароля, смены номера телефона и пр. Т.е. все дистанционные лазейки должны быть закрыты.
6) Утеря банковской карты должна приводить лишь к риску потери средств на этой карте. А не быть ключом доступа к всем счетам (как сейчас через банкомат).
Этого в принципе было бы достаточно.
А практически неограниченный доступ ко всем счетам и кредитам через одну единственную смску - это безумие какое-то.
Почта блин! Ещё почта! И чтобы при удалении почты из аккаунта туда ещё два месяца без вариантов шли отчёты по операциям и уникальный код для их блокировки. Всё, все вопросы отпадают. Только почту к номеру телефона никак не привязывать и всё. Украли номер - открываешь свою почту и отменяешь операцию. Укарали почту - единственное что могут сделать это заблокировать вам счёт, но укравшим от этого не перепадёт ни копейки. Украли тебя - родственники по почте блокируют счёт.
Расскажите кто-нибудь банкам, что почту придумали.
Смс(или авторизация через телефонный номер в целом) тоже не то чтобы супер вариант. В куче стран это даже законодательно запретили использовать как один из факторов.
Ну то есть как запретили: банк может это делать но уже полностью под свою ответственность. И если что-то случится то тогда за всё отвечает банк. И ущерб должен целиком возмещать.
Только не СМС, а TOTP код или аппаратный ключ, смс - это канал информирования. Номер нужно дать возмодность менять на любой, в том числе иностранный. Когда угодно без доп подтверждений и плясок с видеозвонками.
Я пользуюсь Тинькофф и мне всегда нравился Тинькофф. Но одна вещь меня просто поражает. В 2020 году я им предлагал добавить информацию обо всех устройствах, которые сейчас в сети с возможностью отключения им доступа. Идёт 2024 год, а такое походу и не планируется.
Хотя такой функционал присутствует чуть ли не у каждого более-менее популярного сайта. Да даже деревянный Сбер показывает авторизованные устройства, а вот Тинькофф - нет.
с возможностью отключения им доступа
В результате мошенник, зашедший на своем устройстве, получит возможность выкинуть законного владельца.
В веб-морде есть такой раздел.
мобильное приложение меню Ещё -> Безопасность -> Вход в приложение -> Устройства
Не благодарите
Здравствуйте. У нас есть возможность управлять залогиненными устройствами. В комментариях верно подсказали.
Вот поэтому мне очень нравится идея, чтобы конкретный сервис (банк, опсос, дропбокс, эл. почта, VPN и так далее) просто имели интерфейс (Oauth2, OpenID Connect) для аутентификации, а саму аутентификацию чтобы выполнял внешний сервис (один из множества). А клиент выбирал бы, какой сервис ему больше нравится, какой удобнее по функционалу под его требования.
Я приведу в пример Телеграм (не в значении, что он всем должен понравиться, наоборот - мой тезис, что каждому под себя что-то подходит, под свои требования и свои риски ), но в телеграмме вы сразу получаете: - Возможность привязать несколько устройств, - Возможность восстановить через SMS (а ее - через офис опсоса), - Возможность второго фактора, если кто-то украдет симку - Возможность видеть другие сессии и сбрасывать их.
Как видим, даже не все банки так умеют. То, что традиционно пошло так, что аутентификацию делают внутри приложения - это еще с тех времен, когда вся аутентификация была - "логин и пароль" и писалась за час. Сейчас же это сложная тема, со множеством параметров и то что подходит одному - не подходит другому.
Блокировка гуглового аккаунта вместе с oauth как бы подсказывает, что это плохая идея.
Как раз показывает, что хорошая. Вот использовать что-то с "лишними функциями", например, гугл как сервис аутентификации - это плохо. Вы сделали что-то не так, нарушили правила гугла - и вот у вас нет гугла. Сделали что-то не так, нарушили правила телеграмма - и вот у вас нет телеги.
А нужен сервис аутентификации именно. Вы с этим сервисом регаетесь, допустим, на хабре и на сбербанке. На хабре нарушаете правила - получаете бан на хабре, но не на сервисе! Доступ к сберу у вас остается. А получить бан на самом сервисе, мне кажется, надо ну прямо постараться (если там есть только функция аутентификации, а она вроде как разрешенная).
А нужен сервис аутентификации именно
Было. Например, OpenID. Но не взлетело. Или Гугл постарался, чтобы не взлетело. Вместо этого переусложненный OAuth-образное почему-то повсеместно используется.
Ну... с одной стороны, сделать OAuth-клиент на бэкенде - достаточно просто, чуть ли не на уровне декораторов решается (пишем над route в любом фреймфорке декоратор, и вот вызов этого route теперь требует аутентификации через Oauth2). OpenID Connect (нашлепка поверх OAuth2, чтоб удобнее было) - тоже простой в использовании.
Вся сложность - под капотом. Но мне тоже кажется, что OAuth2 - переусложнен. Вдобавок, он еще и вообще не для аутентификации, а для авторизации. Вот использовать его, скажем, для гугла или гитхаба - оправдано (вы через него может дать стороннему приложению одни права, но не давать другие). Там эта сложность окупается. А есть же мелкие проекты, где аутентификация и авторизация практически синонимы, все пользователи почти равны, отличаются только флагом is_admin.
Вот для простых проектов, мне кажется, JWT - решение. Он гораздо проще и при этом достаточно гибок (не только для простых проектов).
А, про "нужен" никаких сомнений. Но он не выгоден корпорациям, поэтому его нет. А есть только то, что привязано к аккаунтам.
А из этой статьи следует, что и смски уже необязательны? Не могу в такое поверить, это за пределом моего понимания.
Нет, из статьи следует, что автор, находясь в здравом уме и твердой памяти, действуя добровольно, сам отключил у себя в телефоне СМСки:
И я мог обнаружить это сразу, если бы не отключил iMessage. Рекламщики уже давно превратили телефон в спам-помойку и критически важная информация рассеялась в море сообщений. В какой-то момент я устал с этим бороться и отключил уведомления.
Хм. "интересуюсь развитием нейросетей, к которым и относится технология deepfake" и мошенничество с применением deepfake. Это ведь просто совпадение?
Я думаю автор имел в виду, что он разбирается в том, как это могло произойти
Я всю жизнь смеялся над идиотами, которых по телефону разводят. Потом зашел в райф и сделал конвертацию валюты. Потом мне (в течение трех минут) позвонили "из райфа", спросили, "не я ли меняю свой номер телефона?". Я сразу представил, что у меня открыто 30 вкладок, на одной из них что-то зловредное и через CSRF отправили запрос на райф, когда у меня была сессия с валидной кукой.
Дальше я общался по телефону и держал в голове две версии - "мне звонит мошенник" и "мне звонит СБ банка", и пытался определить, какая из них верна. Ну, все таки, оказалось, что мошенник, так как он напутал кое что из информации про меня (не знал, предположил наиболее вероятное, а у меня все не как у дюдей).
Но я вот, представив себя жертвой атаки по сети - вполне себе вообразил в голове вероятный сценарий.
В каком банке вам дали внутренний номер? Я иногда спрашиваю, никогда ещё не давали.
У меня есть визитка сотрудника банка, который условно назначен мне как персональный менеджер. Может номер и не внутренний, но и не номер с сайта банка.
нет ножек, нет мультиков, без внутреннего номера у них не получится мои деньги украсть
В Тинькофф Банке сотрудники всегда называли свой внутренний номер по запросу клиента, они обязаны.
Прикол в том, что мне вот так звонили из настоящего банка) Общаться было не страшно, потому что на счете было рублей 300, и терять было нечего... Еще слышал историю, как человек послал по телефону капитана полиции, а на следующий день к нему пришел очень расстроенный участковый
на счету может быть и ноль рублей, но может быть возможность получения онлайн-кредита
Слава богу, в этом банке такого не было и нет. Я даже специально еще ходил к ним и спрашивал, а реально ли у них получить кредит не в отделении банка (например в торговой точке). Сказали что такого тоже нет)
"Еще слышал историю, как человек послал по телефону капитана полиции" - эти капитаны при личной встрече сами же рекомендуют так делать.
>>человек послал по телефону капитана полиции
Зачем посылать? Есть же вежливая форма "пришлите мне пожалуйста повестку".
у меня открыто 30 вкладок, на одной из них что-то зловредное и через CSRF отправили запрос на райф
вот якобы для этого разработали qubes. чтобы реверсеры малвари могли одновременно и малварь реверсить и в банке деньги перемещать. правда для этого нужно некислую такую машину иметь. Но можно ведь хотя бы несколько профилей в браузере, можно даже чето шифровать....
По отдельной виртуалке на каждый банк, где пока ещё не отключено ДБО. Просто и эффективно. Работает даже на ноутбуке с Core 2 Duo. Пока вы не Илон Маск или кто-то такого уровня такого уровня защиты хватит на 99.999995% от соседней вкладки в браузере и, даже скорее всего, от соседнего libC00lx4x0r.4.0.0.so/trojan.exe
Хм. "интересуюсь развитием нейросетей, к которым и относится технология deepfake" и мошенничество с применением deepfake. Это ведь просто совпадение?
Про дипфейк он сам "догадался". И это сработало как реклама для него. Но рассказав об этой своей версии публично, он невольно компрометирует систему биометрии. На тонкий лед вышел товарищ.
Безопасники банков это мамкины айтишники. Им бы винду соседям переустанавливать, а не ответственными делами заниматься. Как только привязали учетку к телефону - это уже значит делали систему долбоклюи. К сожалению все известные банки рф такие лажовые. Перед НГ звонил ругался с бывшим банком Тинькова, потому что при входе снизу была приписка, что продолжая вводить пин я соглашаюсь с включением биометрии. Не помню содержания диалога, но начал вопрос с чего то вроде "каким клеем или дурью они обдолбались". После звонка надпись исчезла, но честно начинает уже накалять с каким неистовым рвением эти запускатели кубернетисов просирают безопасность пользователей
Зато у нас самый современный и продвинутый банкинг, не то что эти бумажные чеки на загнившем западе...
продолжая вводить пин я соглашаюсь с включением биометрии
Банк Тинькофф просто робкая стеснительная девочка по сравнению с реально охуевшим* банком Открытие. (см. последнюю строчку).
*) читая это сообщение, каждый сотрудник банка Открытие выражает согласие, что он охуел.
Ну добавлю, что тинькофф это отобразил не всплывающим окном, а мелкой строкой под окном ввода пина. Интересно как это выглядит у тех, кто входит по отпечатку. Но в целом безопасность отвратительная у всех банков. Например после полной переустановки на андроиде банк-клиента зеленых, для входа мне не понадобился пароль от личного кабинета (а он у меня есть). Написал в поддержку, ответили что это из-за установки повторной на том же телефоне, на новом будет требовать пароль. После этого рутанул телефон с форматированием внутренней памяти (сценарий что нашли телефон на улице не зная пароль снесли всю прошивку и данные и в телефоне вставлена симка владельца). Не помню что именно понадобилось вводить, но пароль был не нужен.
некоторые банковские приложения после root просто перестают работать
:-) Ну так наличие root - первый признак что вы как пользователь полностью контролируете ваше (или не ваше) устройство... А его отсутствие - что ваш контроль над устройством не полный... :-)
первый признак что вы как пользователь полностью контролируете ваше (или не ваше) устройство
Или что c ним мог поработал злоумышленник, в том числе, встроившись в системы безопасности.
Логично... :-) Так банковскому приложению же "очень сложно" выдать диалог - "А нам кажется что ваше устройство взломали. Вы хотите продолжить работу?". И действовать в зависимости от ответа пользователя.
Гораздо проще молча просто закрываться или дать диалог "работать не буду"... :-)
Не говоря уж о том что "злоумышленник с рут" при наличии головы сделает так, что ваше клиентское приложение (без root доступа) даже "не увидит" наличия root доступа. На то он и root доступ.
В браузере или приложении десктопа наверно так же приложение/сайт должно работать при наличии администратора/root на компе? :-) В чем же тут принципиальное отличие то?
Иногда не надо полностью контролировать. Например, владелец аппаратного токена хочет иметь гарантии неизвлекаемости своих ключей шифрования из токена. Банковское же приложение пытается сделать неизвлекаемым сохранённый аутентификатор, для того, чтобы дать вам возможность аутентифицироваться по пин-коду. Если у вас root — злые люди могут извлечь аутентификатор из устройства и получить доступ к вашему счёту.
ps: про банковские приложения — это мои домыслы. Я не работал над банковскими приложениями и мне никто не рассказывал, как они устроены
Если у вас root — злые люди могут извлечь аутентификатор из устройства и получить доступ к вашему счёту.
Злые люди могут извлечь аутентификатор из устройства миллионом разных способов. Единственный надёжный способ сделать это невозможным — не иметь его, блин, на устройстве!
Вы сейчас отменили банковские приложения на телефоне, и не только их, потому что вам сложно сделать аутентификатор неизвлекаемым. Да пожалуйста. А кто-то будет решать задачу. Да она, в общем-то, решена, речь шла вообще не об этом, а о том, что нам продают под видом решения нечто другое — такое огораживание устройства, когда владелец не контролирует то, что контролировать хочет и должен.
Вы сейчас отменили банковские приложения на телефоне
Я сейчас отменил идиотские банковские приложения на телефоне. Поинтересуйтесь, например, как (не точно такая, но похожая) проблема решена, скажем, в банкоматах.
Слишком расплывчатая формулировка. Даже пытаться не буду. Я не говорил, что нынешние банковские приложения — это норм. Я говорил, что при определённом дизайне устройства неизвлекаемая информация достаточно надёжно останется неизвлекаемой, хоть у вас десять рутов будет. А про банковские приложения — это была просто гипотеза, зачем это нужно именно им.
Ну давайте, чтобы зря кругами не ходить, Вы нам гипотетически расскажете о таком дизайне. А я постараюсь рассказать Вам, как я, будучи злоумышленником (имеющим рут) буду его обходить.
А если бы я сказал, что небоскрёбы существуют, вы бы потребовали от меня разделы АР и КР в подтверждение? К чему здесь теоретизирование? Извлеките неизвлекаемый ключ из, к примеру, Рутокен MFA, и расскажите об этом на Хабре. Уверен, разрабочики рутокена с удовольствием обсудят с вами вопросы дизайна таких устройств. Я-то что, я мимо проходил
Можно усложнить задачу настолько, что решать ее станет нерентабельно. Например, тот же TOTP в принципе можно запихнуть в SIM-карту через SIM Application Toolkit (STK), телефон будет только передавать в карточку время, и доставать оттуда отзыв.
И с учетом защищенности SIM выковырять оттуда код будет весьма сложно.
Например, тот же TOTP в принципе можно запихнуть в SIM-карту через SIM Application Toolkit (STK), телефон будет только передавать в карточку время, и доставать оттуда отзыв.
А можно это сделать, не спрашивая разрешения операторов? А то ведь им SMS-ки пересылать - выгодно, а приложения в SIM-ку ставить - напрягаться надо.
Скрыть root от прилаг - не сильно большая проблемы для мошенника будет
мелкой строкой под окном ввода пина
А это вообще имеет какую-то юридическую значимость? Если дойдёт до суда, каким образом банк докажет, что "мелкая строка" была показана клиенту и что клиент действительно согласился на биометрию?
У меня давно есть теория, что люди примерно понимающие в безопасности и имеющие ответственность, понимают, какой это груз, писать сложную безопасность для банка, где за каждым твоим багом (который ты не видишь, а он есть) чьи-то уведенные сбережения, чьи-то трагедии. И поэтому не берутся за задачу, которая (по их компетентному мнению) невыполнимая.
Поэтому пишут люди с простыми взглядами на жизнь, вроде "ну если даже будет баг - максимум лишат премии" да и "в моем коде не бывает уязвимостей, это только у других".
Безопасники банков это мамкины айтишники.
Вы правда считаете, что в банках безопасники задают тон? Что это с их подачи банки рассылают одноразовые коды пачками по номерам телефонов и больше ничего знать не хотят?
Когда я работал безопасником, права голоса у нас не было ?
На самом деле я бы не спешил кидать в банк камнями, последнее время участились случаи когда мошенники пытаются получить доступ к счетам через подобного рода публикации. Как минимум после смены номера антифрод блокирует почти все операции несколько дней, этого тоже не случилось?
А всего то нужно ввести механизм доверенных лиц при смене критических данных. Также подходит механизм двойной цифровой подписи.
А вообще держать в банках более штуки баксов это плохая идея.
А вообще держать в банках более штуки баксов это плохая идея
Как ни прискорбно, но приходится с этим согласиться... (((
Деньги могут считаться моими тогда и только тогда, пока они физически находятся у меня. Точка.
Пока они "где-то там, в банке" - они не мои а "дядины", который может их выдать тому же злоумышленнику (как в данной статье), ну или по желанию левой пятки - отказать в выдаче мне же (была, к примеру, у знакомого ИП-шника история, когда банк - герой статьи затребовал подтверждающие документы на сделку (причем указал с контрагента тоже документы предоставить!!!), дабы разблокировать средства с расчетного счета, тем самым создав нехилый кассовый разрыв)
Да чё уж там, не только ипшникам, случается, целым странам отказывают ?
Когда деньги физически находятся у вас, все тоже не так однозначно. Например, они могут сгореть при пожаре, их могут украсть или даже отобрать, может "перепрятать" супруга, задумавшая развод или внезапно организоваться реформа по ограничению налички.. и так далее.
Если совсем строго, то деньги могут считаться вашими тогда и только тогда, когда вы их эмитируете. Иначе их могут обесценить или вообще ограничить хождение.
А вообще держать в банках более штуки баксов это плохая идея.
Согласен. Вот только в EU, в частности в Италии, есть закон antimafia и antiriciclaggio (анти-отмывка денег). Недавно столкнулся с этим при покупке дома. Была у меня заначка на 30К евро, жена когда-то давно свою квартиру продала, ну и лежали себе. И вот пришлось попотеть чтобы эти деньги использовать в этой транзакции. Коротко: пришлось долгое время (примерно два раза в неделю) делать мелкие вклады (до тысячи) через банкоматы, при оплате чего-либо более тысячи евро - только безналичный расчет. Можно конечно и форсировать, но если детектор антимафии банковской системы стриггерит аларм, счет может быть заблокирован на время проверки, а когда ты покупаешь, к примеру, дом, это в высшей степени не желательно. Да и вообще неприятно.
Мне несколько лет назад было интересно, как устроена работа колл-центров банков, когда человек туда звонит и хочет провести какую-то операцию, а не просто проконсультироваться. Я позвонил в один из модных известных банков, попросил сменить сначала кодовое слово, потом - номер телефона вторым звонком. И у меня спросили что-то элементарное, вроде ФИО и даты рождения. В итоге за два звонка я свой привязал аккаунт к новому номеру, успешно зашёл в него с другого устройства из другой страны. И отправил описания проблемы в программу вознаграждений за уязвимости. Сотрудник банка сначала взял время подумать, потом сказал, что они по голосу определили, что это был я, и злоумышленник не смог бы так сделать. Проблема была только в том, что это были мои первые два звонка в банк, у них либо не было образца голоса, либо они его купили в странном месте.
И вторая ситуация тогда же была великолепна, я в колл-центре попал на нового сотрудника, который по ошибке меня сразу отправил менять кодовое слово без подтверждения. Просто забыл про проверку и перевёл на другую линию.
Я в своем банке одно время настойчиво просил выдать мне токен генератор одноразовых паролей, так как не доверяю смс подтверждению, но банк такой возможности не предоставил.
Спустя некоторое время мне довелось поработать на проекте авторизации этого же банка. Я спросил у руководства подразделения: почему нельзя предоставить по запросу такой токен? Ответили: мы делаем банк не для гиков :)
в одном банке у меня был подобный «генератор». это была карточка с напечатанной таблицей, из которой надо было вводить код при авторизации.
Да, но уже никто ими не пользуется. Тут конечно тоже есть узкое место, для карточки с паролями нужно хранить пароли в базе, даже если хранить хеши то пароли должны быть очень длинными, что б в случае кражи этой базы нельзя было подобрать пароль. Аналогично для токена, нужно хранить seed как я понимаю. Лучше всего было бы подтверждение транзакции закрытым ключом клиента.
пользуются, это банк Авангард, месяц назад как раз получал новую карточку с пин-кодами
Ещё в Юникредите вроде бы остались.
У Авангарда и карта с генератором кодов есть и даже МИР
Была раньше, я пару лет наза узнавал, уже не было.
Сейчас посмотрел Карта с дисплеем (avangard.ru) на месте.
Очень, кстати, характерный пример вау-вау прогресса.
Казалось бы, чудо технология, после которой надо отправить на свалку истории всё остальное.
А оказалось что нет.
И хорошо. Это явно лишняя штука. Все избавились и от плееров, фотоаппаратов и всего такого и и от этой штуки. Оно просто лишнее при наличии телефона.
Тут уже несколько человек отписались, что в нормальных банках, которые думают о безопасности, генераторы кодов до сих пор используются.
Процент проникновения у этих генераторов какой? 0.0001? Люди проголосовали за удобство использования. Это СМС или ТОТР на крайний случай. Индустрия делает так чтобы эти удобные методы работали достаточно безопасно и надежно.
Люди проголосовали за удобство использования. Это СМС или ТОТР на крайний случай.
Уже в соседней ветке эту тему закрыли.
Люди не "проголсоовали", а механически приняли то что им навязали, и при этом эти люди не очень понимают что именно они приняли и что это значит на практике.
Не считайте людей глупыми. Удобство у текущих решений максимально возможное. Безопасность приемлемая. Вероятно стоит докрутить что-то, но не более того. Полным ходом в прошлое двигаться точно не стоит.
Они не глупые, а у них свои дела есть.
Они вас лечат, кормят, возят и т.п. Они разбираются в своей профессии.
А в том что им сказали "все переходим на СБП" они не разбираются.
Использование ими обсуждаемых решений не может является аргументом "все используют", потому что это не является осознанным выбором / информированным согласием.
Вы сперва победили их грубой силой, а потом апеллируете к тому что они используют навязанное Вами решение.
Какая грубая сила? Вы о чем? Есть и классические карточки и наличные. И даже банки с кучей отделений. Можно пользоваться. Люди сами перешли на переводы на карту Сбера и приложеньки. Им это удобно оказалось.
Вы хотите как раз силой сделать людям неудобно.
Какая грубая сила? Вы о чем?
Например о том, что часть функционала доступна только в приложении банка и недоступна в личном кабинене на веб-сайте.
Или о том, как рядовой сотрудник какой-либо организации начинает давать вам лишь тот вариант, который ему прописан в KPI, не информируя о других.
Или о том, как вам говорят "надо срочно делать вот это" и вы не знаете это реально нужно или это навязанная услуга.
Или когда вам не оказывают услугу, пока Вы не подпишете "я согласен на передачу моих персональных данных третьим лицам".
Есть много вариантов когда человека продавливают тем или иным давлением на те или иные услуги и товары.
Безопасность сайта меньше чем у приложения, определенные запреты там разумны. Вся функциональность доступна в отделении банка. Все хорошо.
Тиньком пользоваться никто не заставляет. Пользуйтесь классическими банками с отделениями.
Продавец говорящий что у него в скрипте это обыденность уже много лет. Вы еще не привыкли? Остальное аналогично. Просто слова человека у которого нет власти над вами. Слова вообще необязательные к выполнению. Вы так дойдете до того что реклама это принуждение силой.
Безопасность сайта меньше чем у приложения, определенные запреты там разумны.
Это так мило, наблюдать за тем как Вы так категорично говорите о том, о чём понятия не имеете.
Скажите, если не секрет, Вы понимаете что несёте чушь или же искренне верите в то, что Вы Рыцарь Прогресса защищающий этот мир от мракобесов тормозящих прогресс?
Люди сами перешли на переводы на карту Сбера и приложеньки. Им это удобно оказалось.
Нет, люди перешли на переводы на карту сбера потому, что торговая точка не хочет ставить карточный терминал из-за того что там списывают проценты с оборота.
А это ближайший к ним развал с арбузами, а все деньги у них уже на карточке. Поэтому они один раз оставят ребёнка без арбуза, потом второй, а потом на третий поставят себе приложение для перевода по номеру телефона.
Но не потому что они так решили и им это удобно, а потому что их загнали в ситуацию, когда это единственный вариант.
Вы хотите как раз силой сделать людям неудобно.
Нет, я не против того что другие люди будут платить онлайн сверкая лицом в камеру, а мне оставьте возможность сходить в магазин пешком и постоять в очереди.
Есть аппартные токены, то есть генераторы кодов. По сути то же самое что totp, только без привязки к телефону и сторонним сервисам.
Symantec'овский VIP Access с привязкой к телефону.
Так на телефонах тоже без привязки. Генерация это же otp-secret и алгоритм описанный в rfc. Этих генераторов множество, можно использовать keepass, при особой секурности использовать ключевой файл для расшифровки базы. О чем и речь, всё уже придумано давно. Давно на хабре читал, что в какой-то стране выдают такой вместе с внж, для подтверждения личности в местных госуслугах. Не помню где только.
Пользовался в свое время вот таким - https://www.bloomberg.com/professional/product/bunit/
Достаточно удобная штука, в принципе легко сопрягается хоть с телефоном, хоть со стационарным ПК - лишь бы был экран, способный поморгать ;) Еще и дополнительный фактор - сама эта штука разблокируется отпечатком пальца.
Было такое в одном банке в СанМарино. Довольно долгое время пользовался этой напечатанной табличкой, потом сменили на электронный генератор токенов, в итальянских банках эти токены тоже были широко в ходу, примерно до 2018-19, потом все вдруг примерно разом перешли на приложения-аутентикаторы.
В Нидерландах все крупные банки имеют "калькулятор", который помимо того, что ТОТР, так еще и требует дополнительную аутентификацию через физическую карту и пин этой карты. Так же замечательно работает как девайс для аутентификации в веб-интерфейс банка, и что самое удобное - не привязан к владельцу.
Да уж странный ответ "не для гиков". Юридическим лицам значит можно выдавать физический OTP token generator, а физлицам он не нужен. Добавили бы в тарифы с возможностью выбора или SMS или OTP. Я бы даже готов был приобрести этот генератор за умеренную цену если это было бы указано в тарифах.
для этого же и софт для физиков надо настраивать под такой вариант доступа, а банкам же проще СМС-ками отпинаться
Я бы даже готов был приобрести
А я, в своё время, даже приобрёл (у ВТБ24), и даже некоторое время успел попользоваться. А потом банк просто сказал засуньте этот генератор себе в ... генератор больше не используется.
Сегодня звонил в Сбер чтоб сообщить что к моему номеру привязан чей-то левый счёт с доступом ко всем кошелькам через голосового помощника, хотя я клиентом Сбера вообще не являюсь (года с 2010 точно). Чисто случайно обнаружил. Вот сижу и думаю, как это вообще так. Кто-то с номером косякнул когда-то или это намеренно какой-то серый кошелёк с мутными схемами оформления?
Было нечто очень похожее - пришла СМС, что к моему номеру телефона только что привязана карточка МИР (а у меня на тот момент одни визы были) на имя, условно, Иванова Петра Сидоровича. Я офигеваю, срочно блокирую все карты, начинаю разборки с банком.
Всё просто оказалось - это был реальный новый клиент с очень похожим номером. Девочка, вбивавшая его реквизиты, промахнулась цифрой на клавиатуре.
Если вы когда либо являлись клиентом сбера, то карточка клиента остаётся навсегда, даже после запроса об удалении данных.
Просто с пометкой об удалении данных вам обычные сотрудники с честными глазами будут рассказывать что ничего о вас не знают.
Давно на vc была статья, где Тинькофф подтвердил личность по видео, на котором был человек непохожий на паспорт. Так что и дипфейк не нужен.
Не понятно что мешает банку при любых сомнительных операциях замораживать их на 48 часов. В противном случае предлагать топать в банк. Это 90% мошенничеств срежет.
До кучи банк же знает еще геолокацию клиента. Ее неожиданная смена тоже может 90% мошенничеств предотвратить.
нут тут просто у некоторых банков нет офисов
У Вы не сможете пользоваться карточкой, покупать продукты, билеты и т.п. штуки, которые надо купить не через 48 часов, а прямо сейчас.
Или взять кредит на несколько сот тысяч рублей, которые вот прямо срочно понадобились, как только вы сменили реквизиты доступа.
Абсолютно нормальная ситуация.
Не очень. Стандартные сутки паузы как при смене симки выглядят оптимально.
Чтобы можно было жить оставить настраиваемый заранее лимит трат на эти сутки. Дефолт тысяч десять. И ненастраиваемый запрет любых кредитов.
Ну вот живёте Вы и просто пользуетесь карточкой.
А потом Вам понадобился кредит, который можно запросить в личном кабинете на сайте.
А вы понятия не имеете что там, потому что никогда там не были. А за время пользования карточкой Вы сменили и электронную почту и номер телефона.
Может ли такое быть?
Я думаю что да.
Ну вот вы звоните суппортам, меняете что надо, получаете доступ и берёте кредит.
А вы понятия не имеете что там, потому что никогда там не были. А за время пользования карточкой Вы сменили и электронную почту и номер телефона.
Выглядит спорно, просто потому, что оповещения через sms требуются при любой покупке в сети - 3DS. И оставлять привязанным к банку номер телефона, которым вы уже не владеете - чревато последствиями.
И оставлять привязанным к банку номер телефона, которым вы уже не владеете - чревато последствиями.
А зачем, по Вашему, нужна процедура изменения номера телефона?
Правильно - затем, что люди меняют номера телефонов к которым у них привязаны банки, соцсети и пр.
Так бывает - https://habr.com/ru/articles/458932/ .
Может ли такое быть? Я думаю что да.
Либо деньги фродят мошенники. Может быть такое?
Ситуация такова, что банк финансово заинтересован в выдаче кредитов, и ни чем не рискует в случае фрода - все риски на клиенте.
Суммы годового ущерба, которые публикуются в СМИ, говорят о том, что банки такая ситуация как минимум вполне устраивает. Ведь фактически это их прибыль.
Вы менее суток назад сменили все свои контакты и внезапно полезли на сайт за срочным кредитом? Такое себе. Если не меняли, то проблем нет. Все работает как обычно. То что вы на сайт никогда не ходили не означает что вас нельзя верифицировать через то же приложение которое уже давно на телефоне.
Вы менее суток назад сменили все свои контакты и внезапно полезли на сайт за срочным кредитом?
Вы их сменили именно для того чтобы взять кредит, потому что всё остальное время Вам этот личный кабинет ни во что не упирался и Вы не помните как туда попадать.
Вы супер уникальный и будете страдать. Что поделать.
Минимум шесть девяток людей пользуются обычными мобильными приложениями или сайтами банков. Время от времени. И их можно идентифицировать по телефону или хотя бы браузеру. Если все сменилось и человек просит кредит тут же, то что-то тут не чисто.
Вы супер уникальный и будете страдать. Что поделать.
Да, я уникальный именно потому что пользуюсь, но я не питаю иллюзий что все остальные люди тоже пользуются.
Сейчас в любом сельпо или автолавке прилеплена бумажка с номером для оплаты переводом. Наличные реально уходят. Естественным путем уходят. А приложенька банка есть уже у каждого.
Можно смело планировать сценарии исходя из того что оно у всех есть. Остальное как фоллбек сценарии. Они точно должны быть, но они могут быть неоптимальными. Ради удобства и защиты основного сценария когда у человек пользуется приложенькой банка.
Можно смело планировать сценарии исходя из того что оно у всех есть. Остальное как фоллбек сценарии. Они точно должны быть, но они могут быть неоптимальными. Ради удобства и защиты основного сценария когда у человек пользуется приложенькой банка.
Любимая гиковская тема "я этим пользуюсь, поэтому всё должно быть удобно для меня, а все остальные пусть подстраиваются под мои привычки".
А приложенька банка есть уже у каждого.
У меня нет. Тыкать в мелкий экран телефона неудобно, я предпочитаю интернет-банк за компьютером с нормальным монитором. Я понимаю, что большинство имеет только телефон и не может/не хочет себе позволить компьютер, но это для меня не аргумент.
Сейчас в любом сельпо или автолавке прилеплена бумажка с номером для оплаты переводом. Наличные реально уходят
Еще 2 года назад в любом сельпо был POS терминал и я платил картой. Никакими переводами я никому не платил, не плачу и не буду платить.
Можно смело планировать сценарии исходя из того что оно у всех есть.
Именно так всё и завязали на смс, ага.
Ради удобства и защиты основного сценария
Основной сценарий банка для меня - хранение моих денег в безопасности, а не удобство их потратить.
Навязанным путем. Многие просят наличку, чтобы мимо кассы, это способ выжить при малых доходах.
Минимум шесть девяток людей пользуются обычными мобильными приложениями или сайтами банков. Время от времени.
Если я попрошу ссылку на источник этой информации с подробностями, то Вы ведь скажите что-то типа "я не обязан доказывать то что сказал", да?
Вот MAU Сбера
(MAU) СберБанк Онлайн (app+web) составило 79.2 млн человек
https://www.sberbank.com/ru/investor-relations/groupresults/march_2023
А вот трудоспособное население
76681,5
https://rosstat.gov.ru/free_doc/new_site/population/demo/progn3.htm
Процент проникновения выглядит хорошо. Учтем что есть и другие банки и закроем тему про людей не пользующихся банковскими приложениями.
Из не пользующихся виден ровно один сегмент. Очень старые люди, которые уже не могут по объективным причинам. Их как раз выгодно защитить от срочного кредита.
А вот трудоспособное население
Вы ведь когда это писали, видели очень крупную надпись "106.2 млн1 Активные клиенты - физические лица", но захотели сжульничать :) То есть, уже лишь 75% куда-то там зашло
А дальше ещё интересный момент.
Вы когда копировали "(MAU) СберБанк Онлайн (app+web) составило 79.2 млн человек" сделали вид что не заметили "Количество ежедневных пользователей (DAU) – 40.9 млн человек, а DAU/MAU превысило 51%."
То есть, из этих 79,2 какое-то количество зашло 1 раз в месяц.
Получается, что хоть как-то реально пользующихся где-то от 40% до 75%
А дальше ещё вопрос вот об этом моменте "Показатели в настоящем пресс-релизе рассчитаны по внутренней методике ПАО Сбербанк".
То есть, они сразу оговариваются что считают не людей по головам, а что-то там по собственной внутренней методике.
Интересно, если человек зайдёт в личный кабинет, то они это посчитают как 2 пользователя или как 1?
А если человек просто зайдёт на страницу личного кабинета, но не залогинится, то есть учтут или нет?
То есть, получается что не просто " Минимум шесть девяток людей " и рядом нет, а вот прямо встаёт вопрос о том, наберётся ли реально хотя бы половина или нет.
А дальше ещё один вопрос встаёт, а вот те люди которые это приложение поставили, они им пользуються или просто поставили, а визиты им засчитывают при обновлениях, а?
А ведь есть ещё одна интересная новость, от 2022-08-01, под заголовком "Более 1,5 миллионов пользователей СберБанк Онлайн установили его новую версию", где говорится о том что версия была выложена 12 июля.
То есть, за 2/3 месяца в июле 2022 эту апликуху обновило 1.5 миллиона человек.
Чё-то не очень тянет на массовое активное использование, не находите?
Я даже не знаю с чего начать....
Начну пожалуй с уников. МАУ это уники. ДАУ и клиенты тоже. В случае с банком это точно те кто залогинился или имеет счет(клиенты). За любые другие цифры Сберу аудит по голове настучит.
Смотреть на ДАУ нет смысла. Нам сейчас не интересны активные ежедневные пользователи. Нам интересно число людей имеющих или имевших на активном сейчас телефоне приложеньку. Оно будет даже побольше МАУ (процентов на 20 как мне опыт говорит, доказать не могу).
Что такое активные клиенты непонятно. Вообще весьма похоже на уников у которых было любое движение средств на счетах за год или за несколько лет. В этом сегменте будет довольно много иностранцев и совсем старых людей. Можно попробовать их оценить. Возраст 80+ плюс вся трудовая иммиграция которая тут недолго прожила. Долго прожившие явно с приложением уже будут.
Есть статистика. 6 миллионов примерно.
Иммиграция. 2022 год, но не суть. Стастистика. 3.5 миллиона в год. Это за год. Чтобы учесть прошлые периоды (те кто пробыл недолго и уехал) умножим на два.
Итого 13 миллионов нашлось. Добавляем тех уников которые в МАУ не попали, но когда-либо пользовались приложенькой. Я такой, например. 80 * 1.2 = 96. 96+13=109. Примерно сходится.
Если что про запас есть армия и заключенные. У них есть счета, но в МАУ они не попадут. Там тоже немало.
Что такое активные клиенты непонятно.
Это данные внутри одного и того же отчёта.
Поэтому, очень забавно наблюдать за тем, как Вы берёте неудобные Вам данные, объявляете их "непонятными" и взамен придумываете те которые Вас устраивают.
Ну вот очень уж Вам хочется объявить, что таких любителей модных технологий, как и Вы сам, аж " Минимум шесть девяток людей " , а значит надо продолжать делать так как нравится конкретно Вам.
Я много чем пользовался и пользуюсь, но, в отличии от Вас, я отдаю себе отчёт в том, что я нерепрезентативен и далеко не все люди пользуются тем же чем пользуюсь я.
Я про себя просто для красоты написал. Себя в пример ставить нельзя и я так никогда не делаю. Не для статистики, но мои наблюдения: в Сибири у бабушки торгующей черемшой на трассе в ноунейм деревне посреди нигде написан номер телефона для переводов. Это о многом говорит.
Если можете показать методику рассчета этой цифры пишите. Можно пересчитать с учетом вашего уточнения. Я просто не нашел как эта цифра считается и сделал наиболее разумное предположение.
Я просто не нашел как эта цифра считается и сделал наиболее разумное предположение.
В этом то и суть этой беседы - Вам очень хочется считать, что "Минимум шесть девяток людей пользуются обычными мобильными приложениями или сайтами банков. Время от времени." и " Все переводят на Сбер по номеру. "
Это позволяет Вам дискриминировать людей, которые имеют другую модель поведения.
Остальное как фоллбек сценарии. Они точно должны быть, но они могут быть неоптимальными. Ради удобства и защиты основного сценария когда у человек пользуется приложенькой банка.
Но, как мы видим из тех данных, которые Вы же и предоставили, далеко не факт какой сценарий является основным, а каким надо пренебречь для защиты тех кто пользуется основным.
И я вот не уверен в том, что люди, включившие биометрию для прохода в московское метро, отдают себе отчёт в том, какой силы функционал они активировали.
Если им объяснить, что теперь видеопоток с их лицом имеет юридическую силу и может служить для похищения у них сотен тысяч рублей, то согласились бы они на этот сценарий или нет?
Так сколько же у нас реально людей, который осознанно приняли Ваш сценарий поведения, отдавая себе отчёт в рисках и соглашаясь на них?
Что-то мне кажется, что нужную инфу нужно искать в районе статистики национальной платежной системы.
Напрямую людей там, скорее всего, не считают, но для каких-нибудь прикидок информации наверняка куча найдется.
Да, интересная статистика.
Спасибо.
Но вот вопрос, если перед платежом по QR-коду людям говорить " Если отправитель по ошибке перевел неверную сумму или указал неправильный номер, то он сможет вернуть деньги только с согласия получателя и его банка. В этом случае придется обратиться в свой банк и уточнить порядок действий в подобных ситуациях.", то что они выберут QR-код или "банковскую карту" ?
Клево, но не то. Там данные в разрезе счетов и денег. А нужны данные в разрезе пользователей физлиц. Ну или я не нашел. Их интерфейс меня победил.
Эксель как основа всей финансовой системы всего мира это вообще не шутка.
Физлиц там нет, да. Но там есть разбивка по методам. И если окажется, что через банкоматы и отделения идут какие-нибудь 0.01% платежей - то это тоже аргумент.
Или вон, в табличке 1 - за 9 месяцев 2023 года 4778.8 млн платежей через СБП - это все ведь, в общем и есть платежи через банковские приложения. Можно с чем-нибудь там же сравнить.
Я Вам актуалочку привёз.
Меня сегодня минут 5, пока готовили кофе, уговаривали поставить их приложение.
Финалом беседы было "вам это ничего не будет стоить" и мой ответ, что мне это будет стоить места на смартфоне, ресурсов процессора смартфона, трафика и куче всего другого.
Но если бы я согласился и потом на эту апликуху ЗАКОНОМЕРНО забил, то меня бы ещё долго вписывали в статистику использования, а на форумах рассказывали бы, что сейчас прям все-все-все для того чтобы попить кофе пользуются аппликухами.
То что вы на сайт никогда не ходили не означает что вас нельзя верифицировать через то же приложение которое уже давно на телефоне.
Это очень характерная гиковская иллюзия, о том что раз сам гик постоянно ходит на какой-то сайт и понаставил себе кучу приложений, значит и все остальные люди такие же.
Что-то сродни разработчикам веб-сайтов, которым выдали здоровенные мониторы и мощные компы, поэтому у них всё это нагромождения яваскриптов прекрасно работает.
А люди, в массе своей, за всем этим не следят ибо у них другие занятия есть. Они забывают зарядить телефон, забывают оплатить телефонный номер, забывают передать показания счётчиков, забывают купить хлеб и т.д.
Гиковские подходы построенные на постоянном надрачивании на модные технологии неприменимы в остальным людям.
Сменить номер телефона? Почту? Вы серьёзно?
У меня есть подозрение, что у среднестатистического пользователя хабра на телефон завязаны почты (все), телеграм, госуслуги, банки, всякие парковки городские, хостинг, вконтактики и фейсбучики, все друзья... Да блин дисконтные карточки любимых магазинов. Имхо, смена номера - это потеря вообще всех доступов ко всему.
У меня есть подозрение, что у среднестатистического пользователя хабра
У меня есть подозрение, что среднестатистический пользователь хабра переоценивает свою репрезентативность в масштабах всей страны.
То что у кого-то все знакомые пьют тыквенный латте, не значит что вся страна делает то же самое.
Ненавижу тыкву в любых её проявлениях.
А разве хабр - не пристанище всех гиков и/или айтишников?
Ну, в масштабах всей страны, конечно, всё попроще... Но там тоже будут торренты, вконтактик, почта, вацап, озон. В общем, телефон нужен.
Я понимаю, что условная бабушка не ходит на торренты, но подружкам звонит всё равно с мобилки, а не с городского ;)
А разве хабр - не пристанище всех гиков и/или айтишников?
Ага, тех самых, которые упорно путают свою модель поведения с массовой.
Я понимаю, что условная бабушка не ходит на торренты, но подружкам звонит всё равно с мобилки, а не с городского ;)
Ага, а от городского она отказалась.
И вот вопрос, в каких именно договорах, которые бабущка понаподписывала за свою долгую жизнь, прописан номер её городского телефона?
Так что, это именно пример о смене номера телефона :)
Извините, телефон для торрентов? Зачем? Я видимо что-то пропустил...
Хах. Да, точно. Что-то ассоциативное мышление свернуло не туда.
С другой стороны, мне казалось, что для выхода в интернет в России всегда нужен паспорт. Ибо домашний интернет предоставляется по договору с абонентом, и у него переписывают паспортные данные. То же самое и с мобильным. А если есть договор, то по нему легко найти и абонента (и IP, и адрес, и список пакетиков, которые бегают к нему на комп). Так что и торренты, в каком-то смысле, по паспорту :(
Отдельно вынесу
Имхо, смена номера - это потеря вообще всех доступов ко всему.
Ответьте на вопрос: ЗАЧЕМ СУЩЕСТВУЮТ ПРОЦЕДУРЫ ИЗМЕНЕНИЯ ПРИВЯЗАННЫХ К ЭККАУНТУ НОМЕРОВ ТЕЛЕФОНОВ?
Может их всё таки меняют?
Процедуры то существуют.... Но личный опыт подсказывает, что всё несколько сложнее. Я как-то продолбал один свой номер, и так и не смог восстановить доступ (честно, уже не помню, куда именно). Кажется, иногда вылезают разные каверзные вопросы - "нет номера? окей, вспомни свой первый пароль на этом почтовом ящике!" Ыыых. Нет, не помню.
У меня на номер телефона завязано... ну почти ничего. И основная причина как раз в том, что номер телефона не принадлежит человеку и, в отличие от email, нет какого-то очевидного способа изменить ситуацию, даже приложив усилия.
На почту, кстати, завязано примерно на порядок больше.
Почта на своем домене?
А доступ в админку домена у регистратора как защищен, если вы забыли пароль? Нет ли там где-нибудь телефона для сброса кода восстановления пароля? ;)
Почта на GMail, но телефон там не используется, TOTP и коды восстановления. Планирую переехать на свой домен для почты, но с учётом почти 20 лет использования GMail это непростой процесс :)
У регистратора доменов (Moniker) привязка только к email в качестве 2FA. Восстановление доступа - через секретные вопросы, только что проверил. Они, естественно, в KeePass.
У меня в прошлом году GMail удалил мой почтовый адрес. Пришлось воевать с ними пару месяцев, чтобы восстановили. Так что так себе вариант.
О, так это тоже не ваша почта, а гугля.. И привязываться к ней как бы не рискованнее, чем к телефону. ;)
Полностью с вами согласен, поэтому и написал выше что переезд на свой домен в планах, но пока не до конца реализован
Свой домен тоже не "свой", а регистратора. И он может его у вас забрать.
Разумеется. Но двигаясь по этому пути мы, очевидным образом придём к пониманию буддистской истины о том, что нет вообще ничего что является по-настоящему своим.
Как "ничего"? А мозг?
Мозг, как и всё тело, очевидным образом перестаёт быть "вашим" в момент смерти.
Но не думаю что дальнейшее углубление в этот вопрос стоит продолжать в рамках этого сайта. Если интересно - лучше погрузиться в изучение значения трёх характеристик бытия в буддизме.
1) Резервная котлетка наличных в кармане.
2) Карточка другого банка.
3) Звонок другу.
Вот мне в поездке это нафиг не надо. Если в другой стране бзалокируют операцию и предложат прийти в офис это вызовет обоснованный гнев
Не проблема расплатиться картой другого банка.
Не проблема уведомить банк о неожиданной смене локации.
Не хотите ни того ни другого делать - наслаждайтесь подобными статьями на хабре.
это если они есть. и каков механизм уведомления, он реально существует уже?
Раньше при поездках в другие страны я им в чат писал с какого по какое буду в другой стране чтобы проблем не было.
ок, а какие гарантии что это осталось в чате? оператор чата нажал на нужные кнопочки или этих кнопочек просто и нету? Для разборов полетов конечно пригодится, если уж что, но в целом это както неофициально звучит
Хабр не всегда кладезь полезных советов. Периодически программисты описывают видение решения только со своей стороны, считая что их программа единственная популярная в мире, не учитывая что конечный пользователь занят ещё другими проблемами кроме как уведомлять о перемещениях банки, спотифаи, телеграммы и т.д. и разблокируя каждый день учетку по 48 часов
Не проблема уведомить банк о неожиданной смене локации.
Не хотите ни того ни другого делать - наслаждайтесь подобными статьями на хабре.
А разве тут речь про неожиданную смену локации?
Ситуация дошла до смешного. Мошенник взломал мой личный кабинет на 3-й раз. Он уже балуется, все карты итак опустошены, брать ничего. Я устал возвращать себе личность, прошу службу безопасности @tinkoff_bankвзять ситуацию на личный контроль! И по слухам я уже не один такой.
Вишенка на торте: я не могу теперь отслеживать статусы по своим заявкам! Через несколько дней начнут начисляться пени по кредитке и это может стать первый случай в моей истории, когда я формально просрочил кредит!
По понятным причинам не самое лучшее время присылать смс с просьбой погасить платёж. Деньги сразу пойдут в карман мошенника. Прошу банк связываться со мной лично по всем статусам заявок, мой настоящий номер вам известен.
Сходите заявление в полицию напишите. С этим проблем нет никаких. Сам недавно так делал. Причина была немного другая, но СБ тинькофф работает
Неизвестно, кто из них настоящий клиент - автор статьи или тот, на кого автор жалуется. Статья создана недавно, пользователь тоже.
ну вообще то 2019 году зарегистрирован. и какой то очень хитроумный способ крутить делишки, какой ему профит тогда светиться в мировой прессе?
Многомесячная переписка мошенника с банком тоже странна. Обычно им нужно быстро получить и смыться, не думаю, что кто-то будет делать такие дела в течение продолжительного времени, им проще на другого клиента переключиться.
Надеюсь, банк и правоохранительные органы разберутся.
этот аккаунт создан в 2019, да, но активности в истории старой не видно. только пара комментов по своей же публикации новой
Я не пишу статьи, пост пришлось оформить только ради своей защиты.
Я не боюсь никого, так как правда на моей стороне)
По кредитке страховую сумму вернут, мне в тинькофе вернули без проблем 100к, потом после расследования вернули и остальное
Вы сейчас напоминаете ту даму из анекдота.
— Представляешь, шла вчера вечером по парку — изнасиловали! Сегодня иду — опять изнасиловали! Завтра снова пойду.
Банк предназначен для обслуживания Вас (то есть обеспечения Ваших нужд), а не Вы — для обслуживания банка. Если банк не способен обеспечить Вашы нужды (среди которых — безопасность) — закрывайте нафиг все карточки и прочие счета и идите в другой банк.
Выяснилось, что в 3-й раз служба безопасности сбрасывала пароли и номер. Приложение заглючило, хотя поведение было похожее. Только когда я вышел из личного кабинета и снова зашел по номеру, все карты вернулись.
Защититься от дипфейков на самом деле очень легко: при личном визите в банк, он должен выдать вам на руки секретные коды (цифро-буквенные пароли длиной ну скажем 15-20 символов), достататочно будет всего штук 20 в виде карты пин-кодов как у Авангарда (там коды замазаны защитным слоем и надо стирать монеткой прям как в лотерее). А дальше любые операции вроде: 1) привязать другой номер телефона, 2) сменить пароль в ЛК 3) изменение паспортных данных. в _обязательном_ порядке подтверждать ещё паролем с такой физической карты. Клиенту достаточно хранить телефон и эту карту отдельно (карту можно просто держать дома в прочих документах) и такой проблемы больше не возникнет. Если всё же потеряли карту, то это ваша проблема, идите в банк с паспортом получать новую.
Лично я, видя как быстро развиваются технологии дипфейков видео и голоса, полгода назад распечатал себе и своей маме список пронумерованых цифровых кодов на бумаге А4, сказал его свернуть и положить к себе в документы, и если вдруг Я или ОНА в какой-то момент позвонит с какой-то бедой или проблемой на которую нужны деньги, то Я или ОНА должны правильно назвать код, иначе просто вешаем трубку и пробуем связаться через соседей или других третьих лиц (кто может приехать лично и убедиться в правдивости истории). Если вы живете в одном городе или хотя бы в одной области с родителями, то такие сложности ни к чему, всегда можно приехать лично, но я по многу месяцев провожу за границей, поэтому такая защита точно не будет лишней. Думаю уже через пару лет вы все офигеете от кол-ва мошенничеств с дипфейками голоса и видео. Эти технологии становятся доступнее буквально с каждым месяцем.
А вдруг действительно возникнет экстренная ситуация, а заветный пергамент А4 окажется не под рукой?
Поэтому он должен лежать дома с документами, чтобы не потерять, ну и в крайнем случае есть соседи или друзья-одноклассники, которым я могу позвонить и попросить приехать проверить всё на месте. В любом случае переводить крупные суммы по первому звонку я не рискну, т.к. знаю как легко сейчас подделать голос и видео, а через 2 года это станет доступно любому школьнику со "средней" видеокартой.
Стоит просто проявить разумность и при таком звонке спросить у звонящего то, что знает только он (как звали твоего приятеля по фамилии Ратников в детстве, например, или в какой школе вы вместе с Тимофеем учились). Мошенники не настолько глубоко прорабатывают вопрос, и с высокой вероятностью просто отвалятся искать более доверчивую жертву.
Плюс сама жертва при этом переключит мозг из режима рептилии хотя бы в обезьяний, а на этом уровне уже проще понять, что тебя разводят.
Хотя карточка с кодами тоже прикольно, но очень уж по гиковски.
Хотя карточка с кодами тоже прикольно, но очень уж по гиковски.
Н-ное количество лет назад здоровенный такой кусок продаж IP телефонии и интернета через такие работали. Массово. Так что простой, надежный и понятный способ. Да и сейчас эти карточки не вымерли.
В случае с банками, мне кажется, если они хотят сохранить безопасную коммуникацию с клиентом через интернет, то большинство придут к такому решению уже в ближайший год-два, поскольку лавина дипфейков изменит наш мир окончательно. Что может быть проще карточки с 20ти значными паролями, а на стороне банка их солёные хэши. Кажется, невозможно придумать ничего проще и надежнее.
В ближайшие год-два(ну ладно, чуть больше) ни смартфонов ни банковских карт без NFC не останется. Очевидное решение - использовать этот самый чип, который есть в карте для тех целей, что он придуман.
"Приложите карту к телефону и наберите написанный на договоре PIN, чтобы привязать приложение к учетной записи". Все.
Владельцы iPhone смотрят на вас с грустью ;)
На IPhone, как я понимаю, злобно залочено использование NFC в качестве эмуляции платежной карты. А просто общаться через него с окружающими чипами - можно. Я не прав?
Слишком много зависимостей получается. Предлагаю уже перейти от допотопной публикации приложений к продаже терминала доступа. Каждый банк продает вам устройство с дисплеем по его выбору с приложением банк-клиента. Или бонусной программы для магазина. Открывать всё из браузера - прошлый век. Просто переделать холдеры для карточек в холдеры для терминалов.
Не получится. Потому что с точки зрения банка - клиенты уйдут к тому банку, где терминала покупать не надо. А если не покупать, а выдавать бесплатно - то банки не согласится, ибо жадные и даже от, собственно, банковских карт пытаются местами избавится из экономии.
Можно сделать варианты - "хочу чтобы все операции только по коду из генератора" / "чтобы некоторые операции по генератору, остальное по смс" / "все по смс". И если выставлено 1 или 2 - то снять можно только с кодом от генератора, и никак иначе (даже через ТП).
Т.е. терминал покупают те, кто уверен что им это нужно.
Можно даже не терминал, а дешевые кардридеры. В них вставляется карта банка и работает собственно криптопроцессор в карте. У ВТБ так было, потом убрали, ибо слооожнааа.
Это я про применение в семейных отношениях... ;)
Лично я, видя как быстро развиваются технологии дипфейков видео и голоса, полгода назад распечатал себе и своей маме список пронумерованых цифровых кодов на бумаге А4, сказал его свернуть и положить к себе в документы, и если вдруг Я или ОНА в какой-то момент позвонит с какой-то бедой или проблемой на которую нужны деньги, то Я или ОНА должны правильно назвать код, иначе просто вешаем трубку
В случае с родителями пенсионерами я бы не стал полагаться только лишь на память, да и своей памяти не полностью доверяю, порой одни и те же события мы можем вспомнить по разному, если ранее не обсуждали их вместе ( - а помнишь ты купил мне подарок на выпускной в 9ом классе? эмм, нет не помню)). Куда проще сказать: мама достань из документов лист на котром написано "коды от сына" и прочитай что за цифры под номером 45.
Даже если мама впопыхах не найдет тот заранее подготовленный лист, всегда можно найти выход:
Мама, сгенерируй большое случайное число;
Установи открытые параметры p и g, где
- p является случайным простым числом
- g является первообразным корнем по модулю p...
Hidden text
Я не знаю ни одного сценария при котором маме потребуется перевод крупной суммы на карту так быстро, что она не успеет найти подготовленный лист в небольшой коробоче с её основными документами. Впопыхах действуют только мошенники: "быстрей срочно нужно 500тр на карту прямо сейчас, гипс снимают, клиент уезжает, за вами выехало ФСБ, если денег не будет прямо сейчас, вас обвинят в сотрудничестве с СБУ и измене Родины и тп"
На всякий случай всё же распечатайте по 2 экземпляра (я так и сделал), один кладу в чемодан который в багаж, а второй в рюкзаке. Так я точно не потеряю оба в перелёте.Ну и родители могут второй экземпляр спрятать, к примеру, на даче в герметичном пищевом контейнере чтобы бумага не сгнила. Так или иначе всем придется прийти к тем или иным способам дистанционной идентификации, иначе вместо вас, с вашей мамой целый день будет общаться какая-нибудь опенсорсрная языковая модель затьюненая на мошенничество, и последствия потом разгребать придется вам.
Ну почему по гиковски? Это для тех, кто в офис ногами не хочет ходить.
Я так и не понял, как настоящие биометрические данные потерпевшего оказались в банке? Он дал согласие, сдал их или еще как?
Они фотографируют человека при выдаче карточки курьером.
(Наблюдение) Тогда они оказались и у курьера тоже.
В прошлом году были жалобы клиентов на то, что банк всячески принуждает дать свое согласие на использование фотографий, переданных ранее по разным договорам, в качестве биометрии.
Всю биометрию они были обязаны отдать в ЕБС ещё осенью, чтобы получить соответствующую аккредитацию и продолжать её использовать при оказании услуг.
Я узнал об этом, обнаружив уведомление о факте такой передачи на сайте госуслуг. Там же есть возможность эти данные удалить. Могу ошибаться, но это должно закрыть возможность такой аутентификации.
*Прочитав данный комментарий вы соглашаетесь на сбор вашей биометрической информации книжным персонажем с любой дальнейшей целью.
Тут хотел бы обратиться к нашему Правительству с просьбой призвать к ответственности спамеров и запретить им засорять канал СМС-оповещений. Либо сделать так, чтобы важная информация приходила через другие каналы или чаты, где нет ничего лишнего.
Вы таки не поверите, но это уже запрещено. Мне одно время повадились названивать разные такого рода личности. Все в итоге огребли от УФАС. А некоторые особо одарённые ещё и от Роскомнадзора. Больше не звонят :)
О, круть! Расскажешь, как этого добиться?
Вообще я планировал по этому поводу цикл статей на Хабре писать, но это будет не скоро потому что надо дождаться завершения всех историй. И ещё найти в себе силы не забить и оформить это всё в удобочитаемую статью.
Если вкратце, то в УФАС по вашему месту жительства нужно написать "Заявление о нарушении законодательства" примерно по такой форме
Hidden text
В такое-то УФАС России
От Иванова Ивана Ивановича
Адрес регистрации: ...
Телефон (не обязательно)
Email (тоже не обязательно)
Заявление о нарушении законодательства
32 мартобря 3030 года в 00:00 на мой номер телефона +7 ...
вариант 1
поступил вызов с телефона +7 ..., после поднятия трубки оператором (вариант: голосовым роботом) была сообщена рекламная информация направленная на привлечение моего внимания к ... (вариант: проигрывалась предварительно записанная запись с рекламой...)
вариант 2
поступило SMS сообщение с рекламой ... следующего содержания: "..."
В соответствии с п. 1 ст. 3 Федерального закона от 13.03.2006 N 38-ФЗ "О рекламе" реклама - информация, распространенная любым способом, в любой форме и с использованием любых средств, адресованная неопределенному кругу лиц и направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке
В соответствии с ч. 1 ст. 18 упомянутого Федерального Закона распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено.
Абзац для роботов и предварительно записанных записей (хотя вот Смоленское УФАС не захотело часть 2 никому рисовать)
Кроме того, в силу ч. 2 той же статьи не допускается использование сетей электросвязи для распространения рекламы с применением средств выбора и (или) набора абонентского номера без участия человека (автоматического дозванивания, автоматической рассылки).
Блок для рекламы в СМС (не обязательно)
В силу п. 22.1 ст. 2 Федерального закона от 07.07.2003 N 126-ФЗ "О связи" рассылка по сети подвижной радиотелефонной связи - автоматическая передача абонентам коротких текстовых сообщений (сообщений, состоящих из букв и (или) символов, набранных в определенной последовательности) по сети подвижной радиотелефонной связи или передача абонентам коротких текстовых сообщений с использованием нумерации, не соответствующей российской системе и плану нумерации, а также сообщений, передача которых не предусмотрена договором о межсетевом взаимодействии с иностранными операторами связи;
В силу ст. 44.1 упомянутого Федерального закона рассылка по сети подвижной радиотелефонной связи (далее также - рассылка) должна осуществляться при условии получения предварительного согласия абонента, выраженного посредством совершения им действий, однозначно идентифицирующих этого абонента и позволяющих достоверно установить его волеизъявление на получение рассылки. Рассылка признается осуществленной без предварительного согласия абонента, если заказчик рассылки в случае осуществления рассылки по его инициативе или оператор подвижной радиотелефонной связи в случае осуществления рассылки по инициативе оператора подвижной радиотелефонной связи не докажет, что такое согласие было получено.
Я не давал (вписать название спамера если есть, если нет, то фразу "владельцу абонентского номера +7...") согласия на получения рекламы (важно! проверьте, что реально не давали согласия, если это возможно)
На основании вышеизложенного, руководствуясь Правилами рассмотрения антимонопольным органом дел, возбужденных по признакам нарушения законодательства Российской Федерации о рекламе (утв. Постановлением Правительства РФ от 24.11.2020 N 1922)
прошу:
Возбудить дело по признакам нарушения законодательства о рекламе и привлечь виновных лиц к установленной законом ответственности
Приложение:
1. Запись телефонного разговора (или скриншоты смс)
2. Детализация вызовов (качается из ЛК оператора связи)
3. Согласие на раскрытие тайны связи
Число, подпись
Крайне желательно прикладывать записи телефонных разговоров со спамом потому что со слов работников УФАСа они их истребовать-то могут, но вот далеко не всегда их присылают.
Согласие на раскрытие тайны связи смело берите из брошюры Борьба со спамерами правовыми средствами. Руководство по дезинсекции (стр. 13, по pdf 14). Образцы заявлений не советую, только если на посмотреть. Они там слишком древние и ещё про КоАП.
Ещё некоторые УФАС (обычно подобным занимается Московское) могут не рассматривать заявления без копии договора на оказание услуг связи, так что если он есть, прикладывайте к жалобе. Если нет - просите истребовать.
Порядок наказания спамеров регламентируется Правилами рассмотрения антимонопольным органом дел, возбужденных по признакам нарушения законодательства Российской Федерации о рекламе.
Требования к заявлению в п. 14 этих же правил.
Комплект документов советую упаковать в архив.
Жалобу отправлять вот здесь
Почитать по теме на Хабре можно вот тут
С недавних пор возможность писать жалобы в ФАС отменили, вместо этого сделали форму жалобы сотовому оператору. Есть большие сомнения, что этот механизм работает как прежний.
Это не так. Ничего не отменяли. Механизм жалоб оператору есть уже давно. Честно, не пользовался им как раз по причине сомнений в его эффективности.
Да, механизм остался, но теперь, согласно сайту ФАС, надо прикладывать копию обращения к оператору и скриншоты, что спам продолжает приходить после этого обращения, иначе обращение не будет рассмотрено. Это делает механизм неработающим, поскольку спам, в основном, "одноразовый" (т.е. два раза от одной конторы не приходит). Правда, приходить спам стал реже, но всё равно наказать спамеров нынче уже не получится как раньше.
надо прикладывать копию обращения к оператору и скриншоты, что спам продолжает приходить после этого обращения
Ничего не прикладывал. И в Правилах такой ереси нет
14. Заявление о нарушении законодательства подается в антимонопольный орган в письменной форме с приложением документов и материалов, свидетельствующих о признаках нарушения законодательства Российской Федерации о рекламе. Документы на иностранных языках представляются с приложением нотариально заверенного их перевода на русский язык. Заявление о нарушении законодательства может быть направлено с использованием средств факсимильной связи, электронной почты или иных средств связи, позволяющих зафиксировать факт их получения антимонопольным органом. В заявлении о нарушении законодательства содержатся:
наименование и место нахождения заявителя - юридического лица (фамилия, имя, отчество (при наличии) и место жительства заявителя - физического лица);
наименование рекламодателя, рекламопроизводителя, рекламораспространителя, действия которых содержат признаки нарушения законодательства Российской Федерации о рекламе, или наименование федерального органа исполнительной власти, органа исполнительной власти субъекта Российской Федерации и (или) органа местного самоуправления, принявшего акт, противоречащий полностью или в части законодательству Российской Федерации о рекламе;
описание фактов, свидетельствующих о наличии признаков нарушения законодательства Российской Федерации о рекламе, с указанием способа, места и времени распространения рекламы или указание акта федерального органа исполнительной власти, акта органа исполнительной власти субъекта Российской Федерации и (или) акта органа местного самоуправления, противоречащих полностью или в части законодательству Российской Федерации о рекламе, с приложением имеющихся доказательств;
требования заявителя.
В случае невозможности предоставления доказательств, свидетельствующих о признаках нарушения законодательства Российской Федерации о рекламе, заявитель вправе указать лицо или орган, от которых могут быть получены такие доказательства.
Значит сайт ФАС вводит в заблуждение:
Как направить обращение в антимонопольный орган?
копия Вашего обращения к оператору мобильной связи с приложением доказательств его получения оператором (должна быть отметка о его принятии или почтовое уведомление о его доставке);
фотографии рекламных сообщений с экрана мобильного телефона или запись телефонных звонков рекламного содержания, поступивших после обращения к оператору с требованием прекратить распространение рекламы;
Убедитесь, что Вы приложили все необходимые для разбирательства документы. В противном случае заявление не будет рассмотрено.
Кажется это вся ситуация могла не случится если это происходило в мобильном приложении, которое могло бы определять рут устройства и ТД.
Но-но, не надо мне тут! Я ни разу не хакер, однако у меня телефон вполне себе зарутован. Ибо это мой телефон, я его честно купил, и не всяким там производителям указывать мне, что на нём делать.
Тут есть одна проблема - если с рутом пользоваться нельзя а некоторые пользователи считают запрет некорректным - будут решать проблему совместными усилиями. Проблему запуска под рутом. Если мешать более агрессивно - ктонимудь напишет модуль для magisk под конкретное приложение (собственно для альфа-банка мне такие модули (с закрытым кодом(!) встречались - правда для убирания из приложения мусора - под рутом оно и так запускается, а вот мирпей часто ).
Если решить НЕ получится - будут проблемы у техподдержки (причем если с рутом посылать - примерно от тех же пользователей будут проблемы вида - а нет у меня рута, а про вчера выпущенную бету-версию Android загруженную через GSI телефон - разговора не было ну или как вариант - новый телефон, банковского приложения нет в AppGallery, ставится через какой нибудь GBox(а через что еще то?) а как этот GBox детектируется - вопрос отдельный - ну да - банк может сказать что поддерживаются только телефоны с официально установленным Google Play. Сейчас в России ага.)
Сбербанк вот вроде сдался уже давно.
Уважаемые, а может кто-нибудь разъяснить, где в этой связке теряется пароль от аккаунта?
Ну т.е. есть 2FA связка логин-пароль-смс. Предположим, мошенник знает
логин (это может быть и номер телефона), заказывает у банка смену номера телефона (ну может такое быть и у реального абонента), а вот пароль он откуда берет? Ведь чтобы сделать новый пароль, нужно
ввести старый (или уже не нужно)?
И что мешает банку проверить действующий ли телефон, который пытаются поменять, позвонив (отправив смс)?
Если там и правда 2FA, то мошеннику и правда нужно ещё и пароль угадать. А вот если там так называемый "2FA"...
Уважаемые, а может кто-нибудь разъяснить, где в этой связке теряется пароль от аккаунта?
Где-то здесь - https://www.youtube.com/watch?v=yz3PM1go6DM
Пароль вообще не нужен, нужен номер карты. Который можно подсмотреть, например.
К банку конечно масса претензий. Как я понял автор отключил оповещения о смс и не просматривал их. Насколько я помню при смене номера приходит несколько сообщений которые прямо об этом информируют . Плюс блокируются на некотрое время возможность переводов через личный кабинет . Желательно конечно обращать внимание на СМС от банка
Автор отключил смс уведомления от банка, а дальше его развели мошенники ну все сходится как бы
Попросите собеседника сильно помотать головой
Не надо ничем мотать. Надо сделать нормальную безопасность, вместо того ужаса, который сегодня понаделали эффективные мудаки.
Убрать из закона положения про то, что код из смс является какой-то там "подписью".
Возможность заключения договора с банком должна быть в 2 случаях: личная явка в отделение банка с паспортом, либо подпись договора дистанционно с помощью ЭЦП. Нормальной ЭЦП, не кода из СМС.
Полный запрет на использование телефонного номера и смс в качаестве средства обеспечения безопасности. Это должен быть исключительно канал информирования. Номер телефона не принадлежит человеку, опсос может его отобрать в любой момент. Полный запрет на использование номера телефона в качестве идентификатора.
Обязательно 2FA, пароль + TOTP или аппаратный ключ, никаких смс. Если пользователь забыл пароль или пролюбил ключ/секрет, смотри пункт 1 - личная явка в банк или запрос, подписанный ЭЦП и никак иначе.
Запрет на использования биометрии, как средства идентификации.
Zero lioability. Если банк решил забить на безопасность, все убытки автоматически несет он по первому заявлению клиента. Если он считает, что клиент его обманул, он может обратиться в суд, но сначала обязан вернуть клиенту все деньги. В течение 24 часов с момента обращения.
Кстати, Тинькоф, это банк-партнер госуслуг, мошенники могли получить доступ к аккаунту там, проверьте.
Тут хотел бы обратиться к нашему Правительству с просьбой призвать к ответственности спамеров и запретить им засорять канал СМС-оповещений. Либо сделать так, чтобы важная информация приходила через другие каналы или чаты, где нет ничего лишнего.
Можно еще в Спортлото обратиться.
Я бы и ЭЦП отменил для обычных физиков, ее ведь тоже можно угнать удаленно, и таких дел наворотить... Массовая выдача ЭЦП - ну такое.
Я бы и ЭЦП отменил для обычных физиков, ее ведь тоже можно угнать удаленно
Не, не. Не надо. Надо просто ее в обязательном порядке в хардварном токене держать. А токен - оформить в виде штампа личной мокрой печати. Который использовать и в оффлайне на документах в дополнении к рукописной подписи.
Плохо сказал. Я имел в виду не отменить, а не делать массовой выдачу. Лучше аппаратный ключ выдавать, у него не такое широкое применение хотя бы будет.
Наоборот. Большая часть из сегодняшних проблем - из за того, что ее не выдавали в массовом порядке в формате аппаратного ключа.
Чисто софтовые решения вроде Госключа - это от какого-то странного желания очень сильно сэкономить.
Так и Госключ не всем нужен. Пусть выдают, не вопрос, но только тем кому он реально нужен. Для банков мне кажется вполне достаточно генератора кодов
Учитывая, что учетку Госуслуг добровольно принудительно выдали всем, то и токены для входа/восстановления учетки туда -- хорошо бы тоже всем иметь.
Для банков мне кажется вполне достаточно генератора кодов
Речь о ситуации, когда пользователь пролюбил генератор или забыл пароль. Для обычной, каждодневной аутентификации достаточно пароля + TOTP кода, да. Но должна быть по умолчанию возможность использования аппаратного ключа, если пользователь хочет.
Для этого надо в банк ходить. Ноги конечно атавизм, но не до такой же степени) Для Крайнего Севера, вахтовиков подойдет, но там и интернета то и нет, наверное)
Для этого надо в банк ходить.
Ну сходите с Магадана в московский офис Тинькова, других офисов у него нет :)
Я Тинькова банком вообще не считаю. В том числе по этой причине.
Но пост про Тиньков )
Я за три фактора, когда имея 2 любых можно поменять третий. Когда забытый пароль можно сбросить аппаратным ключом и TOTP кодом, а зная пароль и имея TOTP код можно привязать новый аппаратный ключ. И никаких кодов из смс. Но изначально первые 2 или все 3 фактора должны создаваться/привязываться в отделении, тут согласен с вами полностью. И если 2 из 3 факторов у пользователя нет, то топай в отделение, да.
Ну для Тинькова норм затея, согласен. Но это никогда не будет сделано. Как только вы предложите какой-нибудь дополнительный фактор, к вам прибегут маркетологи и скажут: мы тут провели a/b тестирование на фокус-группе и выяснили, что с новым фактором конверсия падает на 3%. Как тут выше сказали - банк не для гиков) Так что такие идеи возможны только если для всех банков будут одинаковые правила. Но это касается не конкретно ЭЦП, а вообще всех нормальных факторов, к которым sms не относится.
Ну так я выше писал, надо это законодательно зарегулировать. Если банк хочет конверсию, все убытки от мошенников должен нести он, от клиента должно быть достаточно заявления в поддержку, что деньги переводил/кредит брал не он, после чего банк будет обязан моментально кредит закрыть, деньги вернуть. А потом пускай сам идёт в полицию и ищет мошенников. Всё же просто, на самом деле. Кто положил болт на безопасность, тот и должен отвечать.
А если клиент врет, он должен присесть на пару-тройку лет? Потребительский экстремизм изобретен давно и любое решение должно его учитывать.
Сейчас я вижу экстремизм только со стороны банков, которым абсолютно наплевать на безопасность. И выражается это в том, что никакой нормальной защиты нет даже в виде доп. функционала за доп. плату. И это при том, что о такой банальщине как сим-своппинг было известно еще лет 15 назад.
А если клиент врет, он должен присесть на пару-тройку лет?
Да, если банк докажет, что клиент врёт, клиент должен понести ответственность за это.
Не банк. Обычное уголовное дело. Клиент свидетель, банк пострадавший. Заводится автоматом. И уже в его рамках полиция разбирается.
Ну, пускай заводится, пускай ловят негодяя, укравшего деньги, я не против. Только я не уверен, что самому банку оно надо автоматом уголовные дела заводить.
А если банку все эти приседания не нужны, достаточно выполнить все требования к безопасности (никаких кодов из смс, 2-3 фактора и далее по списку).
Отлично. Это честно. И защита от самых хитрых которые будут регулярно "терять" неплохая в общем.
Приседания это как раз ваши требования. Они просто не нужны. Все уже годы успешно работает без них. И никто откатываться в дремучий век с непонятными устройствами не будет. Симка привязанная к человеку, телефон привязанный к человеку и текст их СМС. Это хорошая безопасность.
Будут уголовные дела. Банк возместит. Кого наказывать полиция разберется, это ее прямая обязанность. Не проблема на самом деле. Это допустимые затраты и риски для банков.
Вы комментарии почитайте, несколько человек уже отписались, что в других странах позапрещали смс и перешли на аутентификаторы. Это будущее, прогресс не остановить, ваши смс - технология популярная 20 лет назад, это дремучее прошлое рано иои поздно отомрёт. Достаточно просто оглядеться, что в мире делается и посмотреть что именно усиленно внедряют крупные информационные ресурсы и подумать, зачем они все, внезапно, озаботились поддержкой TOTP и аппаратных ключей, деньги на это тратят..
Симка привязанная к человеку
Не привязана, номер опсос отобрать может в любой момент, симку Маринка перевыпустит. А ещё в свете последних событий в некоторых странах, внезапно, российские симки больше не работают. Удачи вам в один прекрасный момент остаться без банкинга или лишиться номера потому что вы находитесь в такой стране более 90 дней. Это не безопасность, это решето и одни сплошные неудобства. И иллюзия безопасности.
В банковской сфере пусть другие страны на нас смотрят. Они отсталые, им стоит посмотреть как надо и поучиться.
Симка отлично привязана к человеку. Банк знает когда номер у человека отняли и отдали другому и даже когда симку перевыпустили знает. Никто не запрещает блокировать все что требует СМС до личной явки в отделение или встречи с представителем банка в таких случаях. То есть приложенька продолжит работать на том же устройстве, но новое устройство подключить нельзя. Сайт тоже нельзя. Оплата карточкой по коду из пуша в приложеньку ок. Оплата физической карточкой тоже ок.
Чтобы мамкины хакеры не абузили можно установить какие-то лимиты или какие-то дедлайны до явки в отделение банка.
В банковской сфере пусть другие страны на нас смотрят. Они отсталые, им стоит посмотреть как надо и поучиться.
Оно так было десять лет назад. Ну может быть пять. А сейчас похоже уже Россия отставать начинает. То есть я лично на данный момент очень сомневаюсь что проблемы с банковским мошенничеством существуют в других развитых странах в таких же объёмах.
Да и в целом я не вижу что такого инновативного предлагают российские банки и чего не предлагают банки других стран. Но возможно я ошибаюсь. Вы можете привести примеры таких вещей?
Симка отлично привязана к человеку.
Про тот же sim cloning например не слышали? В куче стран отказались от симки в качестве фактора аутентификации именно потому что это часто приводило к проблемам.
Банк знает когда номер у человека отняли и отдали другому и даже когда симку перевыпустили знает.
Откуда он это знает? Операторы связи сообщают такую информацию банкам в режиме реального времени?
То есть приложенька продолжит работать на том же устройстве, но новое устройство подключить нельзя.
Что в данном случае понимается под "устройством"?
В последнее время множество людей из России пообщалось с множеством разных банковских систем. Они все ужасны.
Вот мой личный топ с чем лично сталкивался. В разных странах:
Операции по физической карте в приложеньке видны завтра или послезавтра или дня через три.
Карточку нельзя по клику перепривязать к другому счету.
Нельзя парой кликов выпустить виртуальную карту. Я уже клиент с физическими картами, юридически все ок.
Приложенька выглядит как в нулевых. Работает так же. Неработа приложеньки пару часов это просто норма.
Карточки делаются 2 недели. Количество физической бумаги потраченной в процессе оформления меня поразило.Для сравнения мне Райф в России карточку выдал минут за 10.
Про кешбеки, интеграции со всем подряд и прочие мелочи можно и не вспоминать.
Про тот же sim cloning например не слышали? В куче стран отказались от симки в качестве фактора аутентификации именно потому что это часто приводило к проблемам.
Вы точно готовы склонировать мою есим? BTW I Use IPhone. Да и план с вытаскиванием симки из телефона вообще так себе.
Другие страны не смогли. Допускаю. Ну пусть приходят к нам и учатся как делать надо.
Откуда он это знает? Операторы связи сообщают такую информацию банкам в режиме реального времени?
Конечно. У них давно сделаны интеграции с подписью на все изменения в симках или номерах их клиентов.
Что в данном случае понимается под "устройством"?
Телефон. Физический аппарат. Не слишком экзотический. Андроид или Айос.
Вот мой личный топ с чем лично сталкивался.
А про российский "топ" можно например почитать на хабре. Не сказал бы что сильно лучше получается.
Это даже если забыть что даже к "отсталой" Германии применимы в лучшем случае пара пунктов из озвученныз вами. Если вообще. Ну если конечно банк из "молодых" брать, а не условную Шпаркассу :)
С другой стороны в куче стран есть возможность использовать сторонние банковские клиенты. И например использовать один клиент для всех банковских счетов из разных банков. И меня очень удивляет что в России этого до сих пор не сделали.
Вы точно готовы склонировать мою есим?
Вы точно уверены что все пользуются esim? Или что косяки у оператора не приведут к каким-то проблемам и в её случае? Или даже не косяки, а намеренные действия отдельных сотрудников?
Другие страны не смогли. Допускаю. Ну пусть приходят к нам и учатся как делать надо.
Так чему учиться то? Как сделать так чтобы левые люди могли заключать кредиты на кого угодно и потом безнаказанно сваливать с деньгами? Или как сделать так чтобы у пользователей были проблемы как в статье?
У них давно сделаны интеграции с подписью на все изменения в симках или номерах их клиентов.
Насколько я знаю эти подписи дают им право делать запросы. То, что операторы будут им в реальном времени сообщать о всех изменениях, они не гарантируют.
Телефон. Физический аппарат. Не слишком экзотический. Андроид или Айос.
То есть кроме привязки к симке всё таки будет ещё как минимум второй фактор? То есть привязка к конкретному физическому устройству?
А про российский "топ" можно например почитать на хабре. Не сказал бы что сильно лучше получается.
На Хабре очень любят отдельные случаи.То что не сработало или сработало не так у конкретного человека в одном конкретном случае. А я привел то что у всех не работает или работает криво. Отдельные случаи когда лично у меня что-то не работало я не трогаю. Не показательны они.
В России за мошенников активно взялись. Количество звонков от службы безопасности сбербанка заметно уменьшилось. Могу предположить что через год-другой забывать про них станем.
Это даже если забыть что даже к "отсталой" Германии применимы в лучшем случае пара пунктов из озвученныз вами. Если вообще. Ну если конечно банк из "молодых" брать, а не условную Шпаркассу :)
Пара это уже много. Это же базовые фичи которые в России сделали все много лет назад.
Как поправят я новый список сделаю. Запоминается то что раздражает сильнее всего, а не вообще все.
Вы точно уверены что все пользуются esim? Или что косяки у оператора не приведут к каким-то проблемам и в её случае? Или даже не косяки, а намеренные действия отдельных сотрудников?
Есим активно появляется даже в недорогих телефонах. Скоро будет. Нет смысла беспокоиться про уходящую технологию.
Когда я менял симку мне Рафй просто заблокировал приложеньку до явки в офис. Тинек не заблокировал, я на них переходил как раз. Если любой сотрудник оператора сделает тоже самое заблокируют аналогично.
Проблемы просто нет. Нормально делай - нормально будет.
Так чему учиться то? Как сделать так чтобы левые люди могли заключать кредиты на кого угодно и потом безнаказанно сваливать с деньгами? Или как сделать так чтобы у пользователей были проблемы как в статье?
Как сделать лучшую b2c банковскую систему в мире.
Какие-то единичные косяки у всех есть. Системно тут проблемы нет.
Насколько я знаю эти подписи дают им право делать запросы. То, что операторы будут им в реальном времени сообщать о всех изменениях, они не гарантируют.
Я не знаю деталей. Прилетает именно моментальный блок от банка на СМС при любой смене симки или владельца номера. Не думаю что там инженеры совсем идиоты и написали поллинг от банка к оператору. АПИшка банка в которую оператор передает инфу что вот тут мы что-то поменяли в номере или симке вашего клиента выглядит гораздо разумнее. Можно даже без деталей, чтобы не разглашать лишнего. Конечно не по всем номерам. А только по номерам клиентов банка.
То есть кроме привязки к симке всё таки будет ещё как минимум второй фактор? То есть привязка к конкретному физическому устройству?
Да, такая привязка выглядит разумно и необременительно для пользователя.
Одновременная смена симки и аппарата это повод заблокировать все до похода в отделение. Бывает достаточно редко чтобы не вызывать раздражения.
Физической картой можно продолжать пользоваться. Оффлайн транзакции с пинкодом, 3ds мимо.
На Хабре очень любят отдельные случа
Но и не только их. Например то, что у вас банки с биометрией творят, отдельным случаем уже не назовёшь.
А я привел то что у всех не работает или работает криво.
У кого "у всех"? То есть вы утверждаете что перечисленные вами проблемы есть у каждого клиента каждого западного банка? Или как это надо понимать?
В России за мошенников активно взялись.
Что-то не заметно.
Пара это уже много.
Могу предположить что через год-другой забывать про них станем.
Это же базовые фичи которые в России сделали все много лет назад.
Да вообще-то нет. Я например сомневаюсь что вам в России в абсолютно любом банке карточку сделают за 10 минут. И по ряду других пунктов тоже есть сомнения что они вот прямо везде в России так работают как вы описываете.
Кроме того лично для меня возможность пользоваться одним приложением для всех банков тоже вполне себе относится к базовым фичам.
Есим активно появляется даже в недорогих телефонах. Скоро будет. Нет смысла беспокоиться про уходящую технологию.
Вот когда, или точнее если, она будет использоваться повсеместно, то тогда и поговорим. И посмотрим какой к тому времени будет "список проблем".
Проблемы просто нет. Нормально делай - нормально будет.
Но при этом в вашей "лучшей банковской системе в мире" нормально почему-то не делают. А крайним оказывается пользователь.
Как сделать лучшую b2c банковскую систему в мире.
Очень громкие слова. С которыми куча народа не согласится.
Какие-то единичные косяки у всех есть. Системно тут проблемы нет.
Ага, конечно. Где-то тут озвучивали объем этих "единичных косяков". Сколько там миллионов в год было? Или даже миллиардов?
Я не знаю деталей.
Ну когда узнаете, то расскажите. А пока скорее смахивает на очередную ошибку выжившего.
Да, такая привязка выглядит разумно и необременительно для пользователя.
Тогда зачем привязка к симке нужна? В каком сценарии это даёт принципиальную дополнительную защиту?
Одновременная смена симки и аппарата это повод заблокировать все до похода в отделение.
Зато например одновременная потеря симки вместе с аппаратом это обычный случай.
Кроме того на мой взгляд даже просто смена аппарата уже требует чего-то большего чем просто "подтверждение по смс".
А вот нужно ли для этого обязательно в отделение идти это уже другой вопрос. На мой взгляд это лишнее и без этого вполне можно обойтись. Ну то есть я например сомневаюсь что даже в России все банки имеют филиалы вот прямо по всей стране. И уж тем более за рубежом. И наверняка и в России есть чисто онлайн-банки. Или нет?
Про тот же sim cloning например не слышали? В куче стран отказались от симки в качестве фактора аутентификации именно потому что это часто приводило к проблемам.
Если под этим понимается самостоятельное изготовление копии симки, то это устарело уже много лет назад, а с выходом симок с учетом 4G - совсем ушло в небытие. Замена же симки оператором (в результате мошенничества) - это вопрос не технический, а организационный. Симки сейчас - достаточно защищенная штука для любых бытовых применений. Еще бы нельзя было через убалтывание поддержки PUK и PIN восстановить - вообще было бы прекрасно.
Откуда он это знает? Операторы связи сообщают такую информацию банкам в режиме реального времени?
Не уверен, что в реальном, но знаю, что по крайней мере Сбер откуда-то узнал про перевыпуск мною симки и отрубил сервисы до звонка поддержки. Поддержка поспрашивала дурацкие вопросы (были ли вы в Ярославле...) и разблокировала.
Плюс сами операторы при перевыпуске симки шлют уведомление на старую симку, и на сутки отрубают СМС с коротких номеров. При активном использовании - вполне достаточные меры, чтобы отреагировать.
В 23м году сумма украденных средств оценивается в 150 000 000 000 рублей. Конечно, другим странам стоит посмотреть на этот успешный успех. Но рано или поздно вся эта дичь, творящаяся сейчас, закончится. Я вот вынужденно познакомился с банковскими системами других стран и теперь мне такое слушать смешно. А раньше тоже верил в эту чушь. Российской банковской системе следует очень многому поучиться у иностранцев.
Никто не запрещает блокировать все что требует СМС до личной явки
Вот как разок с другого континента явитесь, так поговорим.
Вы откуда эту сумму взяли? Есть прессрелиз ЦБ с цифрой в 10 раз меньше. Это все равно много и наконец-то начали бороться. Эффект борьбы уже виден. Зная эффективность нашего ЦБ можно с уверенность рассчитывать на успех. Это не означает что мошенники исчезнут. Просто сумма украденного должна стать на порядок меньше.
Познакомились не только вы. Российским банкам надо захватывать рынки. Реально у всех вокруг все жутко отсталое. Знаю что там куча проблем с регуляторами, но работать в этом направлении стоит. И даже вроде начали. Можно только пожелать им всяческих успехов.
Вот как разок с другого континента явитесь, так поговорим.
Пользоваться банками в стране куда вы не собираетесь приезжать какое-то длительное время это очень странно. Логично просто приехать и порешать вопросики. Это быстро, просто и безопасно для ваших денег.
В 23м году сумма
украденныхсредств, которые банки отдали не тому человеку...
There, FTFY.
Да я забыл уже с чего ветка началась) Полностью согласен. В таком случае можно законом не вводить никакие факторы. Если ответственность на банке - сами как миленькие эти факторы сделают)
Номер телефона не принадлежит человеку, опсос может его отобрать в любой момент.
У каждого должен быть один бесплатный неотъемлемый номер для "официальной" связи с гос.службами, банками, поликлиниками и т.п. Каждому предоставляется бесплатный "минимальный" тариф. Звонки из банков - только с единого банковского телефона (например, 900). Каждому выдаётся бесплатное устройство (что-то вроде Rutoken Pinpad) для чтения и подписи документов. Смена паролей - только о отделении банка (либо в отделении госуслуг).
И на базе всех школ страны - курсы для продавщиц из продуктового, как этим пользоваться: TOTP, аппаратный ключ, ЭЦП.
Интересно, тема в трекере задублировалась, первый раз такое...
Пора уже Тиньку открывать реальные отделения банка...
Немного в тему, просто посмеяться: Trans woman's bank account frozen in 'sounded like man' row
Оставил обращение в банк с требованием отключить возможность видео-верификации для моей учетной записи в пользу личной встречи с сотрудником банка. Возможность отключил до того момента, когда сам решу, что ее можно включить обратно. Риски связанные со срочностью каких-либо процедур требующих верификацию взял на себя.
На очереди звонки еще в четыре банка, которыми пользуются близкие родственники.
Интересно, а что берёт система безопасности за эталон, анализируя голос? Записи прошлых разговоров с тех поддержкой?
Так что значит, ничего не было и мы зря вылили бочку говна на хороший банк?
Расходимся, да?
Добрый вечер, Александр!
Ни о чем не беспокойтесь, наша супер система безопасной безопасности вас защищает. Но если она всё же облажается, помните, что мы ни за что не отвечаем, все риски несёте вы. Здорово, правда?
Здравствуйте.
Мы детально проверили вашу ситуацию — она не имеет никакого отношения к дипфейкам, они здесь не применялись. В Тинькофф есть технология liveness, которая исключает возможность прохождения проверок с помощью дипфейков. В вашем случае сотрудник допустил техническую ошибку, и мошенник смог получить доступ в личный кабинет. Мошенник при этом не проходил видеоидентификацию и не пользовался дипфейками. Сейчас ошибка исправлена, с сотрудником проведена дополнительная работа, к нему применены дисциплинарные меры, он отправлен на переподготовку. Все средства будут возмещены в полном объеме, приносим наши глубочайшие извинения.
Благодарю! Но история вышла забавная. И нервы хорошенько потрепала...
Повторять не хотелось...
"Неужели дипфейк оказался настолько удачным, что у них даже не закралось подозрений? (После расследования выяснилось, что видео-звонка не было и подобным случаем банк не обманывали. Подробности ниже..."
Я правильно понимаю, что все "подробности ниже" - это "сотрудник допустил техническую ошибку"?
Но история вышла забавная. И нервы хорошенько потрепала...
Далеко не каждый пострадавший от "технической ошибки сотрудника банка", сможет написать на Хабр такую животрепещущую статью! Чтобы банк таки начал внутреннее расследование…
Мошенник найден? Он понесёт наказание?
Для меня это был бы идеальный ответ со стороны банка если бы они сразу написали что вернули деньги, без будущего времени.
Напишите, пожалуйста, дошли ли они? с:
Прошу понять и простить. Компенсация конечно никакая не предполагается?
Осталось дождаться новой публикации, где банк Тинькоф под запись поимели на дипфейках.
Опишите, пожалуйста, детально в чем состояла ошибка сотрудника, поверил на слово что поменялся телефон? Разве нет прописанных правил и механизмов для такого запроса? И обязательного подтверждения неким супервайзеров в случае смены телефона?
Три раза мошенник попадал на одного и того же безответственного сотрудника?
Будучи вашим клиентом, я требую публичного разбора по шагам с подробностями.
Два раза один и тот же сотрудник? Как-то странно. В статье пишется про потерю аккаунта не один раз.
То есть биометрию можно не отключать, всё абсолютно безопасно?
Простите, что влезаю в ваш замечательный официальный ответ, но я вижу несколько расхождений между тем, что было описано в статье, и тем, что ответили вы.
Судя по всему мошеннику удалось обмануть нескольких сотрудников, вы же пишете про одного;
Я так и не понял, каким образом мошенник смог получить доступ в личный кабинет (вы же сами пишете, что он не пользовался видеоидентификацией... как же он этого добился? ему что, просто поверили на слово?);
У меня тоже есть счёт в вашем банке... кредитки, правда, нет, но судя по статье мошенник легко может открыть обычный кредит от моего имени и снять деньги. Я пришёл с этим вопросом в вашу тех поддержку, и знаете, что они мне сказали? Что я могу запретить дистанционное оформление кредитов, но есть один нюанс: и запретить и разрешить дистанционные кредиты можно просто написав в чат поддержки и отправив им немного данных, которые достаточно несложно добыть. На мой резонный вопрос, а не офигели ли они, и почему не используется безопасный способ вида "хочешь разрешить обратно дистанционные кредиты - доедь ногами до офиса и покажи паспорт" - мне так никто внятно ответить и не смог. Ну, может быть вы сможете? Пока же вся ваша безопасность выглядит как профанация.
Фактически, я вижу простейший кейс - вытащить у человека телефон, открыть приложение Тинькофф банка, оформить кредит, получить его в ближайшем банкомате. На этом пути у потенциального карманника будет только одна проблема - четырёхзначный код в вашем приложении (который само приложение так настойчиво предлагает использовать).
И всё же, я могу запретить использовать видеоидентификацию совсем?
я могу запретить использовать видеоидентификацию совсем?
На мое требование "запретить верификацию моей личности путем видео-звонка в пользу личной встречи с представителем" первично ответили отказом с аргументацией: "дипфейки ни причем".
Пришлось зайти с "коня"
Да, понимаю. Вот только одно с другим не связано.
Дипфейки отдельно, а галки в приложении на разрешение конкретной фичи - отдельно.
Хотя я и могу понять желание банка не делать галку под соусом "она вам не нужна, у нас всё безопасно". Видимо не всё безопасно. Иначе бы этой статьи вообще не было.
Я сделал подобрый запрос в поддержку и мне заявили что смена номера телефона для моего аккаутна в удаленном формате более не будет возможна
И всё же, я могу запретить использовать видеоидентификацию совсем?
Сейчас можно рассказать и написать небольшую кучку рекламы о том, что отсутствие той самой видеоидентификации и позволило сделать пункт (2). Была бы обязательной - у него бы не получилось. Наверное.
"И всё же, я могу запретить использовать видеоидентификацию совсем?"
Да, отозвать согласие на обработку биометрии. Оно у них вшито в текст условий обслуживания п. 2.24. Что, конечно, же незаконно - ч. 4 ст. 9, ч. 1, 3 ст. 11 ФЗ-152, но это другой вопрос. Согласие можно отозвать всегда. И не забывайте, что Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных частью 2 настоящей статьи. Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным. - ч 3 ст. 11 фз-152
Здравствуйте.
Меня, как вашего клиента, интересует следующее:
детальное описание произошедшей ситуации
разбор или опровержение(!) изложенного в текущей статье
описание того, как клиенту в следующий раз не попасть на очередную техническую ошибку сотрудника
С уважением.
Звучит как "... в Тинькофф есть технология liveness, которая исключает возможность прохождения проверок с помощью дипфейков, да мы и без всяких дипфейков на простом честном слове ваш аккаунт сольем мошеннику".
Так а дальше то что, кретины? История поуляжется, юзера поцелуют в лобик и вернут кое-как деньги и на этом все? Будем ждать следующий такой случай?
Ошибки у них сотрудник совершил, говноеды
Пока что самый лучший вариант, временный, но все же, это ввести в инструкцию при авторизации задания не только моргать, поднимать и опускать взгляд и т.п. , но и проводить рукой перед лицом, тогда дипфейк тут же ломается. И лицо начинает дергаться или вовсе пропадать, далее настроить уже свое ПО на распознавание таких помех. Это даст немного времени, придумать вариант защиты по лучше, пока дипфейки не вышли на более высокий уровень, когда они перестанут ломаться, даже если перед лицом помеха. Но пока пропавшие деньги клиента, это проблема клиента, чего им париться то?
напомнило Identity theft vs Bank robbery https://youtu.be/oOQBpHN_kS0
Достаточно подобные случаи в законе рассматривать как потерю денег банком, а не потерю личности и безопасность резко повысится
Вот это их "У нас о вас разные записи, надо их объединить" меня недавно тоже покоробило, когда на горячей линии решал проблему с неприходящей справкой и менял номер телефона. Просили видеоконференцию с ними устроить. Жаль, не догадался сразу спросить, что это за записи и откуда они взялись, если у меня счет всего один, и почему эти записи всплыли только сейчас, а не когда я новую карту делал и старую блокировал. (На одном счете)
Самое интересное, что это далеко не первая жалоба на тинькоф и слияние профилей. Вот например есть https://www.banki.ru/services/responses/bank/response/10481877/ или вот https://www.banki.ru/services/responses/bank/response/10511303/
Похоже проблема настолько сложная, что много лет побороть не могут.
Вторая ссылка - жесть. Т.е. у них там упоротый сотрудник техподдержки (которые как правило в голове умещают контекст не более двух последних сообщений в чате) слил два профиля воедино из которых один профиль содержал женские ФИО, а другой - мужские, и их система безопасности даже глазом не моргнула и дала такое осуществить.
Надо посмотреть на ситуацию под другим углом. Это явно атака на конкретного человека. То есть надо как минимум подготовить легенду, знать детали. Довольно много усилий. При этом вывод составил около 200 т.р. плюс попытка открыть ИП.
Тинькофф стал странный. Вчера получаю от них мыло, что кредит наличными не одобрен, никакой заявки на кредит я не оставлял. Напрягаюсь, вспоминая эту статью, пишу в саппорт... Они говорят, что это они обработали заявку на кредит от января 2022 сейчас) Уж и не помню, было ли такое два года назад. Забил в результате на дальнейшее разбирательство.
В европе и много где по миру действует правило Strong Customer Authentification (SCA).
Вначале конечно все стонут и плюются, но потом. после прочтения таких статей понимаешь, что это благо.
обязательным для получения доступ а к счету являются минимум два из трех независимых друг от друга факторов:
-фактор владения (то чем клиент владеет). К этому фактору входят и опосредованное владение, например ОТП на телефон это фактор владения, т.к. завязан на сим-карту;
-фактор знания. Это например пароль. (Прим.: Номер картыи вооще все, что написано на карте (CVV2) не относится к фактору знания, а относится к фактору владения);
-биометрия.
В Европе тоже косяков хватает, где мошенники опустошают счета. И банк потом идёт в отказную.
А вот ещё случай: Девушка на сайте знакомств познакомилась с "молодым успешным предпринимателем" (девки верят в сказку про принца). Он ей рассказал, что его фирма разрабатывает новую системы для одного знаменитого немецкого портала и предложил ей быть тестером. Она дала ему свои данные (хотя сейчас базы по интернету гуляют и мошенники их оттуда могут взять) и попросил её по видеозвонку показать свою ID-карту (вот тут был её косяк). Короче, он открыл на её имя счёт в банке и оформил кредит на 30.000 Евро. Из них 7.200 Евро он успел перевести. Остальную сумму банк заблокировал. Прокуратура возбудила дело против девки за отмыв денег. Потом закрыла из-за осутствия состав преступления. Но банк на все её возражения, что вся коммуникация прошла мимо неё (email, телефон итд были мошенника) и она не знала, что на её имя открыли счёт и оформили кредит, шлёт её куда подальше и требует вернуть деньги. Только после подключения телевидения банк согласился попытаться найти с ней решение.
Репортаж на немецком ТВ про это: https://youtu.be/2SP3SLyQrSo
да, прикольная история, но тут хакнули процедеру удаленного онборрдинга. Вообще удаленный онбординг зло и если честно хотелось бы иметь возможность установить ограничение на открытие счета на себя в онлайне (по аналогии с проблемой закрытия возможность использования биометрии для идентификации в приложениях и т.п.)
Проблема деградации средств банковской безопасности лежит в сфере слабой работы регулятора рынка, наличием эффективных менеджеров с KPI и общей бестолковостью потребителей в сфере личной безопасности.
К сожалению конкурентные условия сложились так, что банки, которые дают доступ к счету в один клик в итоге выигрывают конкурентную борьбу у тех, кто использует более нормальную, но менее удобную безопасность, это просто факт. Ушли в небытие TOTP-решения, ЭЦП тоже не популярен в массе и т.п. Все хотят "заонбордидь" клиента в один клик без идентификации, финмониторинга и СМС.
Я как работник ИБ противился этой схеме, но каток повышающих продажи ради личных премий неумолим - закатают в асфальт.
>Официально не зарегистрировано случаев мошенничества через deepfake.
Сегодняшняя статья: Компания потеряла $25,6 млн из-за обмана сотрудника по видеосвязи ))
Ого, неужели "самый удобный банк" опять оподливился?
Занятно, что пользователи этой помойки всё равно будут всем рассказывать на каждом углу, какой же у них хороший сервис и вообще какой замечательный этот чудесный банк. Даже если им ткнуть в этот случай (и в десятки других), у них всё равно всегда будут отмазки в духе "да это единичный случай" и т.п.
Кажется, у таких людей есть что-то общее с пользователями огрызков.
Косяки могут быть у всех. В данном случае Банк разобрался, худо-бедно объяснил произошедшее и обещал компенсировать все потери. Что ещё нужно?
Что он объяснил то? Что виноват сотрудник? Ну ок, дальше то что? У него же еще тысячи сотрудников на которых можно подобные случаи оправдать. Хочется услышать про механизмы защиты от такого и орг. выводы.
Механизмы защиты целиком в ведении Банка. Оргвыводы я бы тоже с удовольствием послушал, но здесь Тинькофф ничем не выделяется среди остальных бизнисов ? Кстати, проблемы при слиянии ЛК у них не единичные.
Механизмы защиты целиком в ведении Банка
И получаем рынок лимонов. Поэтому не надо бы так. Плохо будет.
Признать, что не только сотрудник ошибся, но и что процессы недоделаны. Мне вот почему-то кажется, что операции по 'слиянию учеток' должны подтверждаться не одним сотрудником, а несколькими. И пока все 'добро' не скажут - никакого слияния происходить не должно.
Да согласен, вот и хочется более развернутого объяснения, насчёт регламента таких рискованных операций , как за это может отвечать один сотрудник?
А мне вот вообще интересно что это за слияние учеток вообще? Я зарегал в банке одну учетку, ей и пользуюсь. Если вдруг там находится вторая (с таким же ФИО и паспортом/номером? а ИНН там где (он, к слову, тоже в профиле обязательно есть)? как так вообще??) то сносите её нахрен.
то сносите её нахрен.
Как же. К ней же всякие обязательства, карты, счета с деньгами привязаны. И так далее. Все это нужно же куда-то девать. Вот процедура "куда-то девать", я подозреваю и называется "слияние учеток".
Если на обоих профайлах что-то есть - значит ими обоими кто-то пользуется. Тут надо разбираться и поднимать логи, а не сливать. Если у учетки одинаковые паспорт/ИНН - то почему разные ФИО? Как вообще у двух учеток может быть одинаковый ИНН (который вообще берется из налоговой по паспортным данным, насколько я помню) в принципе? Он же уникальный.
Я подозреваю, тут целая пачка разных учеток.
Одна - учетка в веб-интерфейсе и приложении. Другая - карточка человека, с, собственно, точки зрения счетов и карт. Еще одна - карточка договора, что не обязательно то же самое, что первые две.
И они могут существовать и создаваться несколько независимо и только потом где-то связываться. Причем это, судя по всему, можно ухитриться сделать криво.
У нас с вами, видимо, разные представления о том как банк должен работать. Если для вас приемлемо бороться с собственным банком за судьбу ваших собственных деняк больше недели, тогда как они упрямо вешают на вас кредит, кто ж запретит? Пользуйтесь на здоровье.
Для меня лично после такой истории этот банк не существует как банк (на самом деле это уже давно мусор а не банк, так как подобных историй десятки, даже тут уже была и не одна). Если что-то похожее произойдёт с любым из банков которыми я пользуюсь, он для меня точно так же мгновенно перестанет существовать.
Вам свой взгляд на финансы я не навязываю, можете хоть бесплатно им время своё дарить.
Начитавшись ужасов в статье решил поговорить с официальной техподдержкой Тинькофф.
И вот что удивительно. Раз в пять минут в чате образовывался новый сотрудник, читал примерно полтора предыдущих сообщения, и пытался на них ответить. Как результат, ответа так никто и не дал, а те ответы, что всё таки образовались, попросту противоречат друг другу. Половину моих вопросов они вообще проигнорировали.
Омг, зачем я пришёл в этот банк??!!!!!
Общие выводы по сути:
Большой банк == большой риск. Причина в том, что вероятность успешно эксплуатировать "уязвимости" кратно выше, так как больше клиентов. Банально математика.
"Инновационный" банк == большой риск. Причина в том, что часто в погоне за "сделаем лучше", "сделаем не как у всех" жертвуется безопасность. Не вся конечно, но есть такое. И дело не в банке, а в инновационности. Так ли она нужна?
Конкретно в этом примере банк облажался эпично. Вопрос не в том, что есть "дыра". Вопрос в том, что в таком случае включается механизм "анти-фрода" с блокировкой счетов и транзакций. И дальнейшее "открытие" только если очень-очень уверены. Тут, по ходу, отсутствовала эта система в принципе, так как резкое желание автора статьи облагодетельствовать других людей в целом не свойственно человеку и должно вызвать у такой системы вопросы
Защита "денег", за которой стоит "один" человек, который сидит на копеечной зп - это эпично и должно быть изменено. Как минимум принцип 4х глаз / двух рук. Либо та же система "анти-фрода
Из плюсов:
Вернули деньги - это хорошо и правильно
Наверное все, больше придумать не могу
В целом, наверное нет идеального банка, и с каждым может случиться. Но лично я предпочту классический банк с базовым интернет банкингом, хорошей безопасностью и премиум обслуживанием
Тут хотел бы обратиться к нашему Правительству с просьбой призвать к ответственности спамеров и запретить им засорять канал СМС-оповещений. Либо сделать так, чтобы важная информация приходила через другие каналы или чаты, где нет ничего лишнего.
Да тут и сам Тинькофф без всяких спамеров засирает свой же чат настолько, что в нем непрочитанных больше, чем в телеграме. Они умудряются присылать рекламное г-но даже в чате "Поддержка".
Нечто похожее сейчас происходит у моей женой. Позвонили с отдела взыскания Тинькофф, что якобы она взяла Кубышку и должна уже отдать, при этом она не клиент банка и никогда им не была (проверили активные и закрытые счета через личный кабинет Налогоплательщика), а чтобы взять эту "Кубышку" надо иметь карту в Тинькофф. Также проверили кредитную историю и ничего нет, нет никаких кредитов. Но они настойчиво в грубой форме требуют отдать и при этом не присылают копию договора, а он нам нужен чтобы пойти в полицию. Это точно Тинькофф, так как мы сами перезванивали им на горячую линию.
Все просто: как авторизовывать - это проблема банка.
Нужен закон, который:
обязывает банк все вернуть в таких случаях в течении трех дней
банк платит штраф за каждый такой случай, если пришлось обращаться в полицию, так как своей некомпетентностью напрягает и государство
У каждого таксиста, который знает, как управлять государством, тоже всё просто ?
Все решения всегда должны быть простыми. Только такие работают эффективно.
Эти два простых пункта делают банк "безопасным" для пользователя (деньги по вине банка, когда авторизация недостаточноная или ошибка сотрудника, как в этом случае, остаются целыми), и наличие существенных штрафов заставит банк решать все быстро и за свой счет.
Банки ныне достаточно эффективно работают. Метрикой является финансовый результат.
Именно - метрика финансовый результат.
Если результат будет хуже, так как не вкладываются в безопасность, то банк будет меняться.
Сейчас государство пытается максимум своих функций переложить на компании (так банки чем только не занимаются, и счета сами блокируют и ... ) в ответ те же банки по максимум перекладывают свои функции на государство (если нет заявления в полицию, то значит и деньги особо не нужны, можно ничего не делать, например)
Я уже запутался, за что вы топите: за клиентов, банки или государство? ?
За простые, понятные и эффективные правила. Для всех участников рынка.
И каждый должен заниматься своим делом.
А согласно вашему первому предложению ответственность за все операции предлагается возложить на банки законодательно...
За все? Где вы такое увидели? )))
Что происходит сейчас:
клиент жалуется что не совершал этой операции
банк его посылает (у нас все отлично и такого не может быть) далеко ... в полицию
клиент идет в полицию
банк начинает шевелиться ...
клиент пишет статью/дает широкую оглазку ... или идет в суд (и там выигрывает)
банк со скрипом возвращает и деньги и копейки потерь сверху
Если банк будет понимать, что в последнем пункте будут не копейки потерь, а существенный штраф, то шевелиться начнет сразу после сообщения пользователя. В результате и банк будет выглядеть более престижно и пользователь потеряет дня три и в целом останется доволен ...
Я утрировал ? Ok, за все, от которых клиент отказывается, ничего не упустил?
?
За всё, где клиент не виноват и действительно не делал этого (включая "презумпцию невиновности": за всё, где клиент говорит что не делал, а банк не может доказать обратное, именно доказать)
Т.е. нужно возложить на банки обязанности полиции и судов? Презумпции невиновности нет даже в судах по гражданским делам. Мало ли что там клиенты говорят, я слышал немало удивительных историй...
Это вы откуда взяли?
Мошенников никто не отменял. Да и спорные ситуации бывают (банк не может знать все и не обязан быть телепатом).
Суды не относятся к этой теме, но ознакомьтесь со статей 14 УПК РФ. Если банк в суде заявляет что "кто-то очень похожий к нам обратился и мы", то даже первая инстанция не встанет на сторону банка. И вообще откуда такое голословное утверждение, что суды в России не соблюдают Закон?
Т.е. нужно возложить на банки обязанности полиции и судов?
Нет, не нужно. Но в куче стран банк должен доказать что клиент допустил грубую халатность или даже имел место умысел со стороны клиента.
То есть если он не может этого доказать, то весь ущерб оплачивает он.
Также и у нас: суд рассматривает все предоставленные доказательства с обеих сторон.
Вот смотрите. Существует три варианта развития событий:
Можно доказать что виноват банк.
Можно доказать что виноват клиент.
Невозможно однозначно доказать чью-то вину.
При этом вариант номер 3 это можно сказать "стандартный" вариант. То есть обычно нет однозначных доказательств чьей-то вины. Например потому что просто нет доказательств. Или потому что обе стороны допустили какие-то ошибки.
Теперь вопрос: что происходит в России в такой ситуации?
Кроме того допустим у нас изначально непонятная ситуация. Может банк отказаться выплачивать ущерб и это уже клиенту нужно будет идти в суд и пытаться выбить деньги с банка?
А в тех странах про которые я написал выше по умолчанию платит банк. И это он уже при желании может обратиться в суд и пытаться там доказать что виноват клиент. И любые сомнения трактуются в пользу клиента.
Более того в ряде стран даже если обе стороны допустили какие-то ошибки, то всё равно весь ущерб оплачивает банк в одиночку.
И на мой взгляд это вполне себе логичный подход. Потому что клиент например не может выбрать безопасный способ авторизации и сказать банку чтобы тот его использовал. А вот банк вполне себе может решить использовать безопасные способы. То есть в этом контексте все козыри у банка.
Иммигрируйте в прекрасные зарубежные страны тогда, а у РФ свой путь. Клиенты 99.99% идиоты и сами во всём виноваты.
Вы видели этих клиентов, которые оспаривают совершённые ими операции? Сплошь наивные дурачки, разведённые мошенниками, им ничего не докажешь. Сабжевая ситуация с ошибкой со стороны банка – одна на миллион. Банк без суда разобрался, публично признал ошибку и обещал всё компенсировать. Всё в лучшем виде.
Что мошенничество процветает, а банки шлют одноразовые коды пачками и больше ничего знать не хотят – это другое. Банки не обманывают клиентов, их обманывают мошенники. Банки – коммерческие организации, работают на профит. Они просчитали все риски, их всё устраивает, они довольно эффективно зарабатывают. Любое усиление 'безопасности' будет снижать их финансовый результат: клиенты хотят пользоваться финансовыми продуктами без 'геморроя' в режиме 24/7/365.А на немногих оставшихся 'таксистах' не заработаешь, если даже они вдруг чудесным образом соберутся в один банк.
Хотя бы банальное TOTP нужно отдельным клиентам, а не банкам: у них и так всё хорошо. Но никто почему-то проспонсировать разработку и поддержку у последних не предлагает…
3 нереально. Кто-то перевел куда-то деньги. Или кто-то дал кому-то доступ к счету. Это не вариант по умолчанию, а глупость какая-то. Просто так деньги не переходят на другой счет и не снимаются в банкомате.
3 нереально. Кто-то перевел куда-то деньги. Или кто-то дал кому-то доступ к счету.
Если вы можете доказать что кто-то перевел куда-то деньги или дал кому-то доступ к счёту, то это вариант 2. Если не можете, то это вариант 3.
Просто так деньги не переходят на другой счет и не снимаются в банкомате.
Это может сделать клиент. Это может сделать банк(из-за какого-то внутреннего бага). Это могут сделать преступники.
При этом преступники могут получить доступ к счёту из-за косяков банка, из-за косяков клиента, или из-за косяков обоих.
С другой стороны например банк вполне себе может использовать способы авторизации, которые минимируют возможность косяков со стороны клиента. Или как минимум чётко протоколировать все действия клиента.
А вот клиент в свою очередь практически не может повлиять на косяки банка или протоколировать что тот делает. Максимум поменять банк если узнает что косяки есть. Причём узнает до того как эти косяки создадут проблемы.
Вы видели этих клиентов, которые оспаривают совершённые ими операции? Сплошь наивные дурачки, разведённые мошенниками, им ничего не докажешь.
Зато можно сделать так чтобы мошенникам было сложно разводить клиентов. Как минимум в контексте авторизации банковских операций. И можно сделать так что будет абсолютно доказуемо что клиент перевёл деньги сам и что нормальному человеку было бы ясно что он делает. То есть можно было бы просто доказать ту самую грубую халатность.
И самое смешное в том что если банк это делает, то "наивных дурачков" внезапно становится на порядок меньше. А то и на несколько порядков.
Банки – коммерческие организации, работают на профит. Они просчитали все риски, их всё устраивает, они довольно эффективно зарабатывают.
Зато это совсем не обязательно должно устраивать клиентов или даже общество в целом. Поэтому и меняют законы. И вы наверное удивитесь, но банки в других странах тоже зарабатывают и зарабатывают неплохо.
Если вы можете доказать что кто-то перевел куда-то деньги или дал кому-то доступ к счёту, то это вариант 2. Если не можете, то это вариант 3.
Зачем вы перекладываете обязанности полиции на банки?
Банки теряют деньги редко, на самом деле редко. И такого чтобы они не возмещали после этого я даже не припомню. Много девяток случаев это именно сам клиент перевел куда-то деньги или дал доступ к своему счету кому-то.
Именно взломов банков не бывает от слова вообще. Взломов телефонов клиентов исчезающе мало. Взломов системы авторизации тоже нет, представляете? Можно ничего не делать. Этого просто нет.
Человеческие ошибки есть. Тут все просто. Ошибку совершает сотрудник банка - банк возмещает. Ошибку совершает клиент - клиент виноват. Клиенту стоит обратится в полицию. Может быть там признают что это не его ошибка, а мошенничество и найдут деньги.
Много девяток случаев это именно сам клиент перевел куда-то деньги или дал доступ к своему счету кому-то.
Основным инструментом злоумышленников для хищения средств осталось использование приемов и методов социальной инженерии, когда человек под психологическим воздействием добровольно переводит денежные средства или раскрывает банковские сведения, позволяющие злоумышленникам совершить хищение. Доля таких операций составила 50,4% против 49,4% годом ранее.
Не так уж и много девяток. Только около половины случаев.
Но вот самих случаев достаточно мало(если под этим углом смотреть), это да:
В 2022 году доля объема операций без согласия клиентов в общем объеме операций по переводу денежных средств составила 0,00097% (в 2021 году — 0,00130%).
Но это же означает, что позиция "возвращаем деньги сразу, а потом пускай банк разбирается" - для банков не так уж и обременительна.
Но это же означает, что позиция "возвращаем деньги сразу, а потом пускай банк разбирается" - для банков не так уж и обременительна.
Пойдет волна людей которые "ой, вчера были деньги а сегодня пропали. Верните немедленно." Хотя сами потратили. Что с ними делать непонятно. Суды и сажать? Обременительно. Не нужно это.
Не так уж и много девяток. Только около половины случаев.
А вторая половина это что?
Пойдет волна людей которые "ой, вчера были деньги а сегодня пропали. Верните немедленно.
Вот не уверен. Международные карточные системы приблизительно по таким правилам и работают, когда организация косячит (т.е. не использует предоставленных возможностей по 'силный' авторизации), но больших толп, отказывающихся от платежей, вроде бы, не наблюдается.
А вторая половина это что?
А кто бы знал. Ссылку на отчет я дал, но он не такой подробный.
Вот не уверен. Международные карточные системы приблизительно по таким правилам и работают, когда организация косячит (т.е. не использует предоставленных возможностей по 'силный' авторизации), но больших толп, отказывающихся от платежей, вроде бы, не наблюдается.
Вы пробовали там что-то опротестовать? Приключение то еще. И отказы идут легко. 3ds есть, значит сам потратил. 3ds нет - обычно сам мерчант и вернет.
Не надо радикально лечить проблему которой нет. Процент ошибок банков мизерный. Нет смысла что-то радикальное делать, все и так хорошо работает. Если хочется большей клиентоориентированности можно сделать одно окно приема жалоб в районе Госуслуг. Пусть потом ЦБ разбирается.
3ds есть, значит сам потратил. 3ds нет - обычно сам мерчант и вернет.
Именно, в убытке оказывается тот, кто мог безопаснее сделать, но не сделал.
Ну вот теперь у меня в карте есть чип. Банк может использовать его для авторизаций операций в личном кабинете. Но не делает. Следовательно, из той же логики нужно на него все убытки от потенциального фрода вешать. Но вот почему-то этого нет. А чего это так?
Вы опять хотите заняться мошенничеством. Зачем? Нет проблем с текущей авторизацией. Ее не угоняют, не воруют, не ломают. Она работает. Все просто хорошо.
Если вам хочется чтобы не было удаленных операций вам никто не мешает выбрать банк без без приложений и всего такого. Пользуйтесь картой и ходите в отделение. Все в ваших руках. Никто же не заставляет.
Зачем вы перекладываете обязанности полиции на банки?
Это не перекладывание обязанностей полиции на банки. Ну или иначе мы будем иметь перекладывание обязанностей полиции на клиентов.
При этом у банков гораздо больше возможностей в плане протоколировния действий клиентов. И ограничения возможных действий.
Ну или давайте дадим клиентам полный доступ к информации о том что и как делает банк с их деньгами и их доступом.
Банки теряют деньги редко, на самом деле редко. И такого чтобы они не возмещали после этого я даже не припомню.
Не смешите меня. Кроме того как вам уже написали: если это действительно происходит так редко, то нет никаких проблем в том что банк должен платить если не может доказать халатность.
Много девяток случаев это именно сам клиент перевел куда-то деньги или дал доступ к своему счету кому-то.
Например потому что не понимал что он на самом деле делает? А не понимал он потому что процедуры у банка кривые и непонятные? И удобные для различных мошенников?
Ну или почему в России это "много днвяток случаев", а в той же Германии редкое исключение? Неужели немцы настолько умнее?
Человеческие ошибки есть. Тут все просто. Ошибку совершает сотрудник банка - банк возмещает. Ошибку совершает клиент - клиент виноват.
Допустим ошибку совершает сотрудник банка или ошибка происходит из-за кривого софта банка, а банк утверждает что её совершил клиент. И как в такой ситуации клиент может что-то доказать?
Банк и пишет логи. С чего вы взяли что это не так?
Например потому что не понимал что он на самом деле делает? А не понимал он потому что процедуры у банка кривые и непонятные? И удобные для различных мошенников?
Я ровно про это же. Пойдет массовое мошенничество от всех подряд. Мол я не понимаю что кнопка перевести деньги на самом деле переведет деньги и я их лишусь. Требую вернуть. А потом в суде: Ой у меня дети не сажайте пожалуйста. Зачем весь этот треш нужен?
Ну или почему в России это "много днвяток случаев", а в той же Германии редкое исключение? Неужели немцы настолько умнее?
В Германии очень отсталая банковская система и у людей нет возможности легко и просто переводить деньги мошенникам. Мошенники работают по старинке в итоге.
Ничего. Лет через 20-30 Россию может быть догоните и у вас будут ровно такие же проблемы с такими же мошенниками. Приходите тогда. Научим как с ними бороться.
Банк и пишет логи. С чего вы взяли что это не так?
Тогда банку нет никаких проблем доказать что деньги перевёл клиент. И что из информации, которую он получил от банка, было понятно что он переводит деньги, какую сумму он переводит и кому он их переводит.
Банк предоставляет эту информацию суду и если в достоверности логов нет никаких сомнений, то тема для банка закрыта.
Я ровно про это же. Пойдет массовое мошенничество от всех подряд.
Почему оно не пошло в Германии где система работает именно так?
Зачем весь этот треш нужен?
Потому что альтернатива это когда деньги со счета пропали, банк не даёт клиенту доступ к своим внутренним процессам и логам для проверки и клиент должен как-то доказывать что он не верблюд.
В Германии очень отсталая банковская система и у людей нет возможности легко и просто переводить деньги мошенникам.
Перестаньте пытаться везде пропихнуть эту вашу байку. В Германии у людей вполне себе есть возможность легко и просто переводить деньги кому угодно. Я бы даже сказал что возможно даже проще чем России. Ну или расскажите мне конкретно в чём по вашему заключается сложность переводов в Германии.
Но при этом человек точно понимает что он переводит деньги, кому он их переводит и какую сумму.
Лет через 20-30 Россию догоните может быть и у вас будут ровно такие же проблемы с такими же мошенниками.
Не смешите меня. То, что сейчас творится в России в данном контексте, Германия прошла где-то десять лет назад. Потому что немцы в принципе гораздо дольше пользуются банками, переводами и карточками как таковыми. То есть они ими массово пользовались ещё до появления онлайн-банкинга.
И после того как "нерегулируемый" онлайн-банкинг начал создавать проблемы с мошенниками, то поменяли законы и банкам пришлось перестроиться. И проблема была решена.
И самое смешное это то, что в результате оказалось что новые процессы для банков даже дешевле чем были старые. То есть они ещё и прибыль свою увеличили.
Потому что вслед за доказыванием должно следовать уголовное дело о мошенничестве, слезы в суде и все такое. Это плохое развитие со всех сторон. Такого никому не надо. С существующими мошенниками надо бороться по другому, а других массовых проблем и нет. Разовые исключения в большой стране будут всегда. С ними успешно разбираются отдельно, это именно исключения.
Я не знаю зачем вы защищаете сильно отсталый сервис. Может быть вы уже забыли что такое хорошо, может никогда не знали, может у вас еще какие-то соображения. Не знаю. Печально тут то что если такое мнение в Германии массово, то хорошего сервиса у вас там и через 20-30 лет не будет. Будете по прежнему жить по дикому. Ваше право в целом, но считать что у всех так же плохо глупо. Приезжайте в Москву на годик пожить/поработать посмотрите что такое по настоящему хороший сервис.
Признание проблемы - первый шаг к ее исправлению. Вы пока и его не сделали.
Потому что вслед за доказыванием должно следовать уголовное дело о мошенничестве
Не должно, но может. И почему бы и нет? Если человек действительно мошенничал и это смогут доказать.
Я не знаю зачем вы защищаете сильно отсталый сервис.
Потому что в случае с онлайн-банкингом и переводами он совсем не отсталый. Ну или ответьте на мой вопрос и расскажите мне конкретно в чём по вашему заключается сложность переводов в Германии. И посмотрим отсталый он или нет.
Ваше право в целом, но считать что у всех так же плохо глупо.
Ну так расскажите мне в чём конкретно разница в проведении онлайн переводов между Германией и Россией. Вы можете это сделать?
Признание проблемы - первый шаг к ее исправлению. Вы пока и его не сделали.
Чья бы корова мычала....
Не должно, но может. И почему бы и нет? Если человек действительно мошенничал и это смогут доказать.
Потому. Такие показательные дела это единственный работающий вариант защиты от потребительского терроризма.
Надо приучить. Соврешь? Сядешь на двушечку.
В целом позиция что лучше не начинать все еще оптимальна. Проблем требующих таких радикальных решений реально нет. Я вам как местный пользующийся всем этим это говорю.
Ну так расскажите мне в чём конкретно разница в проведении онлайн переводов между Германией и Россией. Вы можете это сделать?
У вас как там меньше 10 евро уже можно картой оплатить в небольшом магазинчике? А перекинуть один евро по номеру телефона за совсем мелкую покупку на рынке или в деревенском микро магазине? А карточку получить за 15 минут? Не ходить в отделение банка никогда можно? Пользоваться любым банкоматом раз в год когда немного наличных надо (без комиссий, вообще не думая чей он) можно? А хотя бы приложеньки работают без сбоев всегда отображая все транзакции в реальном времени? Ну и наконец такая мелочь как оплата проезда банковской карточкой в городском автобусе работает? Часами-то точно уже наверно платить везде можно?
Потому. Такие показательные дела это единственный работающий вариант защиты от потребительского терроризма. Надо приучить. Соврешь? Сядешь на двушечку. В целом позиция что лучше не начинать все еще оптимальна
Вы знаете мне очень интересно читать ваши фантазии. Но это именно что фантазии и не больше. Потому что существует реальность в которой всё иначе.
Я вам как местный пользующийся всем этим это говорю.
Вот только другие "местные" говорят другое.
У вас как там меньше 10 евро уже можно картой оплатить в небольшом магазинчике? А перекинуть один евро по номеру за совсем мелкую покупку на рынке или в деревенском микро магазине?
Во первых можно. А во вторых какое это имеет отношение конкретно к онлайн-переводам. Или вообще к банкам? Вы же утверждали что именно онлайн-переводы в Германии сложно делать. Про них что-то напишите?
А хотя бы приложеньки работают без сбоев всегда отображая все транзакции в реальном времени? А карточку получить за 15 минут?
У отдельных банков это работает. А в России это у всез банков так? И опять же: какое это имеет отношение конкретно к онлайн-переводам?
Ну и наконец такая мелочь как оплата проезда банковской карточкой в городском автобусе работает?
В отдельных городах да. А это в России во всех городах так работает? И в любом автобусе? И опять же: какое это имеет отношение конкретно к банкам и онлайн-переводам?
Местные тут говорят в целом тоже самое. Криптопанков которые хотят нафиг зашифроваться не так много даже на Хабре.
Отношение самое прямое. Это сервисы банков. Люди привыкают. Все делается карточкой или банковской приложенькой. Этой привычкой потом пользуются мошенники. Бабушка держащая деньги на сберкнижке и имеющая кнопочный телефон от них защищена на 100%. Прям как средний немец. Вот только таких бабушек все меньше. У текущих бабушек уже есть приложенька Сбера и все деньги там. И все оплаты во все стороны там. Привычка.
Переводы, не переводы. Среднему человеку не важно это все. Ему надо чтоб работало. Максимально просто и понятно работало. Во всех случаях когда надо передать деньги, без исключений.
Местные тут говорят в целом тоже самое.
Ну вот мне они говорят другое.
Отношение самое прямое. Это сервисы банков.
Во первых нет. Это сервисы "магазинчикоа". Кроме того не расскажете мне как это всё работает в России "в деревенском микро магазине" за МКАДом? Ну чтобы сравнение было адекватное?
Во вторых вся ваша аргументация строится на том что в Германии, цитирую, "у людей нет возможности легко и просто переводить деньги мошенникам". Вот пожалуйста и объясните мне в чём конкретно заключается сложность онлайн переводов а Германии.
От них бабушка держащая деньги на сберкнижке и имеющая кнопочный телефон 100% защищена. Вот только таких бабушек все меньше.
И ещё раз: средняя немецкая бабушка пользуется переводами всю свою жизнь. Онлайн переводы появились в Германии в 90-х. Где-то с начала-середины 2000-х банки начали массово переводить людей на онлайн-банкинг и закрывать филиалы. Где-то в конце 2000-х - начале 2010-х подавляющее большинство немцев использовали онлайн-банкинг.
Вы себе что-то там напридумывали и игнорируете реальность...
банк не даёт клиенту доступ к своим внутренним процессам и логам для проверки
Вы там совсем ополоумели? Даёшь всем клиентам, отправившим свои деньги мошенникам, право доступа к процессам и логам банка!!
Ну так я и пишу что это в общем-то не вариант. Поэтому у банка есть вся эта информация, а клиент доступ к ней получить в общем-то не может.
И не должен. Логи без проблем предоставляется банком в суде. А процессы – это внутренняя информация коммерческой компании, которая не подлежит разглашению.
Во первых нет. Это сервисы "магазинчикоа". Кроме того не расскажете мне как это всё работает в России "в деревенском микро магазине" за МКАДом? Ну чтобы сравнение было адекватное?
Именно банков. Они дошли до всех и внедрили это.
Да, это работает везде. Будет или терминал стоять (модный, часами платить можно) или в совсем далеком и совсем микро написан номер телефона на прилавке и оплата переводом по номеру.
Вот пожалуйста и объясните мне в чём конкретно заключается сложность онлайн переводов а Германии.
В привычках людей. Вы подтвердили что банки плохие и отсталые, привычек нет. Значит и мошенники не могут ими пользоваться.
Ваша зацикленность на переводах игнорируя все остальное это подтверждает.
Да, это работает везде. Будет или терминал стоять (модный, часами платить можно) или в совсем далеком и совсем микро написан номер телефона на прилавке и оплата переводом по номеру
И вот теперь я понимаю что вы просто врёте. Потому что даже во Всеволожске это есть совсем не в каждом магазине.
В привычках людей. Вы подтвердили что банки плохие и отсталые, привычек нет.
И я вам ещё раз повторю что в Германии большинство людей пользуется онлайн-банкингом. Причём уже давно. Я бы даже сказал что больше чем в России.
То есть больше людей пользуется. Больше количество трансакций. Больше суммы переводов. То есть Германия однозначно более лакомая цель в этом плане.
Ваша зацикленность на переводах игнорируя все остальное это подтверждает.
Вы пишите чушь про вещи о которых ничего не знаете. Более того как оказалось вы ещё и врёте. Так что извините конечно, но вес ваших заявлений где-то околонулевой.
И вот теперь я понимаю что вы просто врёте. Потому что даже во Всеволожске это есть совсем не в каждом магазине.
Это в каком году было не в каждом? Я довольно много лет не видел вообще ничего или никого не принимающего оплату переводом по номеру.
Так что извините конечно, но вес ваших заявлений где-то околонулевой.
Могу вам только посоветовать посмотреть что вокруг. Банки это не переводы. Я именно про хорошие современные банки, а не про устаревшие. Это сервисы которые берут все операции с деньгами всех людей на себя. И делают это удобно.
Ничего, дойдет когда-нибудь. Вечно быть отсталыми и говорить что у нас все нормально не выйдет. И Германия догонит нормальные страны после этого.
оплату переводом по номеру
У меня давно есть вопрос, что налоговая думает про магазин (а не просто слега торгующую бабушку), принимающий оплату переводом по номеру, а не через кассовую машинку. Почему-то мне кажется, что она должна начать задавать неудобные вопросы.
Так что тут где-то у собеседников реальности между собой расходятся.
Это в каком году было не в каждом?
В позапрошлом. И в прошлом. И я уверен что и в этом тоже.
Банки это не переводы
Но мы обсуждаем конкретно мошенничество в контексте онлайн-банкинга. И это в Германии вполне себе удобно. Скорее всего даже удобнее чем в России.
И люди этим пользуются и пользуются даже чаще чем в России. Но при в Германии проблем с мошенниками практически нет примерно с 2015-2016 года. То есть с того времени как ввели новые законы.
Вечно быть отсталыми и говорить что у нас все нормально не выйдет.
Ну у вас то получается.
Вы так ничего и не поняли. Видимо это бесполезно. Пусть для вас банк останется переводами. Когда-нибудь увидите и восхититесь что так можно было и что такое на самом деле современный банк.
Если вы в России бываете регулярно, то это вдвойне странно. Вы должны были видеть тот же Сбер своими глазами. Насколько он лучше всего немецкого банкинга. Про Тинек я даже не говорю, он с появления обогнал всех на годы. Казалось бы именно вам пиарить в Германии насколько хороши эти русские и что надо срочно догонять. Но нет, вы выступаете максимально ретроградски. Видимо скрепы, ладно.
Пусть для вас банк останется переводами.
Банк это не только переводы. Мошенничество с онлайн банкингом это в основном переводы. Которых в Германии больше чем в России. И суммы о которых идёт речь больше чем в России.
Так почему тогда случаев мошенничества меньше чем в России? Вы на этот простой вопрос можете ответить? Без демагогия и ваших фантазий?
Если вы в России бываете регулярно, то это вдвойне странно. Вы должны были видеть тот же Сбер своими глазами. Насколько он лучше всего немецкого банкинга.
Ну так в том то и дело что я вижу это своими глазами. В начале 2010-х разница была небо и земля. Немецкий онлайн банкинг в целом это был адский ад. Где-то в середине 2010-х ситуация начала улучшаться. Особенно в контексте онлайн-банкинга. Во время короны "потянулись" и другие способы оплаты и сервисы. А сейчас на мой взгляд немецкие банки(не все но как минимум часть) уже вполне себе догнали российские в плане удобства. А в отдельных аспектах наверное уже и обогнали. Особенно учитывая что например отдельные российские банки творят в контексте биометрии и/или "получения согласия" от пользователей.
И да, некоторые вещи в России и Германии изначально были сделаны по разному. Но это как раз не "неудобно", а просто "непривычно". То есть если привык к немецкому варианту, то неудобен будет российский. И наоборот.
А вот вы насколько я знаю немецкими банками никогда не пользовались и вся ваша информация это "Рабинович напел". Причём местами ещё и устаревшая лет на десять. Да и про Россию вы похоже пишите в основном опираясь на московский опыт.
Немецкая официальная статистика говорит что вы заблуждаетесь. Ну или сознательно врете. Тут не знаю.
Cash continues to be the most frequently used means of payment in Germany, although cashless payments are increasing their share. These are the findings of the Bundesbank’s sixth study on payment behaviour in Germany for 2021. Respondents used banknotes and coins to make a total of 58% of their payments for purchases of goods and services, compared with 74% in the Bundesbank’s last major study from 2017.
Прогресс какой-то виден. Но все равно отставание от России на десятилетие минимум.
К концу 2023 г. объем безналичных платежей в розничном обороте составит 84%. Об этом в преддверии 14-го Инвестиционного форума ВТБ «Россия зовет!» рассказал руководитель департамента транзакционного розничного бизнеса банка Ростислав Яныкин.
https://www.forbes.ru/finansy/453431-dola-beznalicnyh-platezej-v-rossii-vyrosla-do-rekorda
Мой опыт далеко не только Москва. Я в достаточном количестве далеких мест бывал. Немецкие банки мне как-то без необходимости. Российские лучше во всем. Сервис "получить мастеркард для оплаты за рубежом не вставая с дивана" тоже уже развит и стоит немного.
Немецкая официальная статистика говорит что вы заблуждаетесь. Ну или сознательно врете. Тут не знаю.
Я говорил про переводы.
Прогресс какой-то виден. Но все равно отставание от России на десятилетие минимум.
Вот только это говорит не о уровне сервиса банков, а о консервативности немцев. Банки этот сервис вполне себе предлагают.
Кроме того давайте всё-таки сравним объем переводов и в том числе и онлайн-переводов. То есть именно то о чем изначально шла речь.
Между консервативностью и отсталостью есть что-то неуловимо общее..
Ваше упорство в переводах только подтверждает отсталость немецкой банковской системы. Она не про переводы, а про использование безнала везде. Разными способами.
Когда Германия образумится и перестанет от меня требовать отдать трусы при пересечении границы я вероятно еще скатаюсь. И я почему-то уверен что увижу там тоже самое что и раньше. Меньше 10 или 20 евро картой нельзя. В мелких магазинах картой вообще нельзя. Часами нельзя почти нигде. Оплата переводом по номеру в приложеньке это что-то нереально хайтечное о чем местные вообще не в курсе. Без наличных можно не выходить, точно страдать будешь. Прям как у нас в нулевых в общем.
Между консервативностью и отсталостью есть что-то неуловимо общее..
Да это сколько угодно. Но это отсталость отдельных людей, а не банковских сервисов.
Ваше упорство в переводах только подтверждает отсталость немецкой банковской системы.
Моё "упорство в переводах" обосновано тем что мы обсуждаем мошенничество при переводах и/или онлайн банкинге как таковом. И я самого начала говорил что именно онлайн переводы в Германии сделаны лучше и именно в этом плане России надо брать с неё пример.
Я понимаю что вам постоянно хочется перевести тему на что-то другое. Но речь идёт именно об этом.
Когда Германия образумится и перестанет от меня требовать отдать трусы при пересечении границы я вероятно еще скатаюсь
Ваши трусы никому не нужны. И не только они. Но да, вот когда скатаетесь тогда и напишите про свой опыт. И тогда хотя бы будет что с вами обсуждать.
И я почему-то уверен что увижу там тоже самое что и раньше.
А я уверен что нет. Потому что уже сейчас наблюдаю другое. Причём не только в столице и миллиониках, но и в моём городке с 10000 населения.
И про какое "раньше" вы говорите? Когда вы последний раз были в Германии?
Мошенничество это не про переводы, а про психологию. Психологию людей делают тоже не переводы, а вся банковская система в целом.
Ваши трусы никому не нужны. И не только они
Официальные лица говорят что нужны. С тех пор новых выступлений что больше не нужны не было. Я предпочитаю верить им, а не анонимусам в интернете.
И про какое "раньше" вы говорите? Когда вы последний раз были в Германии?
В 2020 году я там был. На волне ковида улетал. Чуть ли не последним рейсом до того как все закрыли.
Мошенничество это не про переводы, а про психологию. Психологию людей делают тоже не переводы, а вся банковская система в целом.
Извините, но это полная ерунда. Банально если человек точно понимает что он переводит деньги, кому он их переводит и сколько он переводит, то мошенникам становится очень сложно обмануть людей. Если в случае подозрительных реквизитов человеку показывают что эти самые реквизиты для перевода выглядят подозрительно, то это тоже усложняет жизнь мошенникам. И если ему показывают что с реквизитами всё в порядке потому что они в "белом листе".
Если человеку наоборот сложно понять кому и сколько денег он переводит, то это облегчает жизнь мошенникам. Если он вообще не всегда легко может понять что совершает перевод, то это ещё больше помогает мошенникам. Если банк разрешает клиентам использовать не особо безопасные методы авторизации, то это тоже помогает мошенникам. Если процессы в банкк настолько запутанны что в них путаются даже сотрудники, то и это делает жизнь мошенников легче.
И это вне зависимости от того есть там какие-то другие банковские сервисы или нет. И это вещи, которые можно изменить без особых расходов со стороны банка. Более того это может даже наоборот снизить расходы.
Официальные лица говорят что нужны.
И какие официальные лица Германии что-то говорили про ваши трусы?
В 2020 году я там был.
И услугами какого немецкого банка вы пользовались?
Кроме того, как я уже писал выше, именно корона очень многое изменила в контексте безналичной и особенно безконтактной оплаты.
Боже, дай мне способность ставить дизлайки ?
Человеки они разные. И умеют использовать всякое к собственной выгоде. Дай им возможность сказать что я не понял куда перевожу верните мои деньги они начнут ей пользоваться. Причем я верю что часть действительно не понимает. Тут всякие госкурсы повышения финансовой и компьютерной грамотности разве что помогут.
И какие официальные лица Германии что-то говорили про ваши трусы?
Что ж вы за выступлениями своего начальства не следите. Вот этот безликий нонейм чиновник ваше начальство. И вся Германия ему беспрекословно подчиняется. Он дословно сказал что мои трусы отнимут.
https://ria.ru/20230911/es-1895564305.html
Разрешили не конфисковывать меня естественно не устраивает. Это означает что по умолчанию мои трусы отнимут, но может быть вернут. Изменений с тех пор я не помню. Такой же безликий чиновник не выходил и не говорил что ерунду придумали, больше трусы не конфискуем.
И услугами какого немецкого банка вы пользовались?
Тинек же. Я видел как все плохо работает. Значит вся банковская система отсталая. Нет смысла копаться в сортах.
Человеки они разные. И умеют использовать всякое к собственной выгоде. Дай им возможность сказать что я не понял куда перевожу верните мои деньги они начнут ей пользоваться.
Почему в Германии то не начали? Может быть потому что банки обязали делать процессы таким образом что так уже и не скажешь?
Причем я верю что часть действительно не понимает. Тут всякие госкурсы повышения финансовой и компьютерной грамотности разве что помогут.
Или процесс онлайн перевода в котором это ясно даже идиоту.
Вот этот безликий нонейм чиновник ваше начальство.
Какой именно? Имя можно? То есть что это за "безликий нонейм чиновник", который одновременно является ещё и "официальным лицом Германии"?
Они дословно сказал что мои трусы отнимут. https://ria.ru/20230911/es-1895564305.html
Я не вижу там ничего про ваши трусы. Конкретную цитату можно?
Тинек же.
Я не знаю такого немецкого банка. Можно ссылку на их страницу или хотя бы полное название?
Почему в Германии то не начали? Может быть потому что банки обязали делать процессы таким образом что так уже и не скажешь?
Или потому что банковская система настолько отсталая что никто не в курсе. Это более вероятно. Или закон сформулирован как-то по другому.
Или процесс онлайн перевода в котором это ясно даже идиоту.
В российских банках он уже давно такой. И это не работает.
Какой именно? Имя можно? То есть что это за "безликий нонейм чиновник", который одновременно является ещё и "официальным лицом Германии"?
Я же ссылку дал. Жаль оригинал выступления у меня затерялся где-то. Он эпичен. Даниэл Шеридан Ферри. Да, это ваше начальство. Германия ему все еще беспрекословно подчиняется.
Я не вижу там ничего про ваши трусы. Конкретную цитату можно?
"Если вы пересекаете границу с личными вещами, одеждой, которые находятся в списке запрещенных, то это не означает обход санкций. Следует это принимать во внимание"
Мои трусы находятся в списке запрещенного, я проверил.
Или потому что банковская система настолько отсталая что никто не в курсе.
Не в курсе чего?
В российских банках он уже давно такой. И это не работает.
Ну тогда остаётся только признать что в России идиоты более тупые чем в Германии. И сотрудники банков судя по данной статье тоже...
Я же ссылку дал. Жаль оригинал выступления у меня затерялся где-то. Он эпичен. Даниэл Шеридан Ферри.
Даниэл Шеридан Ферри не является официальным лицом Германии. Кроме того по вашей же ссылке написано: "Однако вопросы применения санкций и их интерпретации входят в ведение правительств отдельных государств союза." То есть конкретно Даниэл Шеридан Ферри даже близко не может решать как будет себя вести Германии в этом вопросе. Вы что, не читали свою же собственную ссылку?
Мои трусы находятся в списке запрещенного, я проверил.
У вас трусы из ценного меха? Или можно тогда ссылку на список запрещённого в котором что-то стоит про ваши трусы?
Ну тогда остаётся только признать что в России идиоты более тупые чем в Германии. И сотрудники банков судя по данной статье тоже...
Просто подождите пока банковская система разовьется и все будет. Ровно те же проблемы появятся, но будет проще. Можно будет сходить в Россию к специалистам и спросить А что делать-то? И мы расскажем.
Даниэл Шеридан Ферри не является официальным лицом Германии
Конечно. Он тот кому подчиняются все лица Германии.
Неподчинения я не заметил. Никто из официальных гослиц не сказал "увольняю этого идиота по утрате доверия (или как там принято)", все просто подчинились и выполнили его приказ. Выводы однозначные. Он самый большой начальник над всей Германией.
У вас трусы из ценного меха? Или можно тогда ссылку на список запрещённого в котором что-то стоит про ваши трусы?
Дорогие предметы одежды. Без критериев что это такое. Вы же не думаете что я дешевые трусы носить буду?
Просто подождите пока банковская система разовьется и все будет.
У вас шарманку заело. Ещё раз: в Германии больше банковских переводов и больше суммы. Конкретно в этом плане развиваться точно уже не надо. Более того, ту фазу, которую сейчас проходит Россия с онлайн-переводами, Германия уже проходила. Всё то же самое было. Один к одному.
И в плане всего остального именно сама банковская система развита не хуже чем в России. То есть считай всё, что в качестве сервисов предлагают банки России, предлагают и банки Германии. Другое дело что конкретно в плане безналичной оплаты в рознице, немцы достаточно консервативны. И куче немцев это просто не нужно.
И если даже немцы начнут чаще платить безналом в рознице, то количество онлайн-переводов от этого не увеличится.
Он тот кому подчиняются все лица Германии.
Даже близко нет. Я смотрю в том как устроено ЕС вы тоже вообще не разбираетесь...
все просто подчинились и выполнили его приказ.
Какой конкретно его приказ? И кто "все" его выполнили?
Дорогие предметы одежды. Без критериев что это такое.
Это очередное "учёный изнасиловал журналиста". Или точнее журнализд схалявил при переводе/оформлении статьи. Насколько я знаю в оригинальном списке запрещённых вещей нет ничего про "дорогие предметы одежды". Там идёт речь о одежде/предметах из ценного меха и кожи и о "предметах люксуса" ценой выше 300€. Ваши трусы попадают под эти категории?
Но возможно конечно я что-то пропустил. Дадите ссылочку на тот список запрещённых вещей о котором говорите вы? Только именно официальный список.
И если даже немцы начнут чаще платить безналом в рознице, то количество онлайн-переводов от этого не увеличится.
И безнал везде важен тоже не сам по себе. Это все производные от банковской системы. С людьми и с магазинами она тоже должна работать. Делать так что всем было удобно и выгодно и объяснять им это.
Даже близко нет. Я смотрю в том как устроено ЕС вы тоже вообще не разбираетесь...
Я вижу кто командует, а кто подчиняется. Этого достаточно. Что там формально не важно. Реальность вот такая.
Это очередное "учёный изнасиловал журналиста". Или точнее журнализд схалявил при переводе/оформлении статьи.
Не, все четко. Именно мои трусы отнимут.
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02014R0833-20230624
(8) Coats, or other garments, clothing accessories and shoes (regardless of their material)
И безнал везде важен тоже не сам по себе. Это все производные от банковской системы.
Если честно мне слегка надоело читать ваши аысосанные из пальца заявления, которые не имеют никакого отношения к реальности. Есть хоть где-то хоть какое-то подтверждение или обоснование вашим словам?
Я вижу кто командует, а кто подчиняется
В том то и дело что не видите. Конкретно в данном вопросе каждая страна творит что хочет. И очень по разному интерпретирует санкции.
Не, все четко.
Конечно всё чётко. Как и то что эти самые "luxury goods" ограничены ценой в 300€
У вас трусы дороже 300€? :)
Регулярно бываю во Всеволожске, ну не верю, что там есть стационарная торговая точка (не лоточник на улице с носками 3 пары за 100 рублей), где не принимаются безналичные платежи. Вот без обид, но не верю. Скажите, где - не поленюсь, дойду до туда, и уточню.. ;)
На днях вот тоже столкнулся с тем, что биометрия оформляется сама собой, я для этого даже ничего не сделал, хотя уже два раза нажимал на то, чтобы ее удалить. Пока не сильно доверяю этой системе, ведь создана же для того, чтобы обходить все пароли и доступы. Никто с подобным не сталкивался?
ТКС банк сомнительная яма. Существенных плюшек для клиента, кредиток с большим Грэйс периодом, отсутствием комиссий на снятие наличных с кредитных карт, снятые наличных входящие в льготный период, обналичивание без комиссии через банкомат любого банка-нет этого всего. Дебетовые карты тоже без ключевых преимуществ, аналогичные условия у многих банков. Да и сам банк давно уже часть бизнес империи Потанина, точно такая же конторка, как Ренессанс кредит или Росбанк. Пользоваться услугами только ради имиджа принадлежности к чему то оригинальному и технологичному, даже не смешно. Поражает другое, клиента обокрали, и похищенные деньги уже не вернут, злоумышленника не найдут, а если и случится чудо, и все же найдут фигуранта, окажется что он беден, как мышь в пустом амбаре, и взыскивать с него нечего. И тем не менее клиент продолжает пользоваться услугами этого банка! Вот где трэш! Плачет и жрёт кактус? (с)
Пока законодательно не обяжут Банки выплачивать за снятие денег мошейниками, ни чего не изменится. У меня в этом же "прекрасном" банке с кредитки сняли 140К. в 2021г. банк сказал - сам дурак. Служба безопасности даже не чесалась, деньги списывали на какие-то игры в инете несколькими платежами(за 15 лет ни одного такого перевода не было). В общем, что банк, что менты все не пределах. Вот и считаю пока эти ростовщики не будут лично возмещать деньги сворованные у клиентов банка ни какая служба безопасности, и сам банк шевелится не будут.
Банки – не социальная служба оказания материальной помощи пострадавшим от мошенников клиентам.
Как мошенники научились подтверждать личность в банке. Всё оказалось проще…