Comments 146
Push не придут, когда нет Интернета (в роуминге, в подвале). Не узнаешь, например, о списании со своего счета. SMS в этом плане надежнее.
До сих пор есть подвалы в центре Москвы (!!!), где вообще мобильник превращается в кирпич, но это к слову.
Правилом хорошего тона должно быть в наших реалиях — после любого чиха (замена симки, переход на новый тариф...) тщательно просматривать подключенные сервисы в личном кабинете. Чудеса встречаются.
Был случай, когда ребёнку (ещё несовершеннолетнему) купил телефон и оформил тариф «Детский» у Билайна, естественно, на своё имя. Всё было прекрасно и вдруг приходит СМС-ка от оператора с предложением какой-то платной подниски. Уже не помню какой — дело давнее.
Пообщался со службой поддержки, мне попытались лапши навешать, мол в договоре есть пунктик тра-ля-ля. На что я ответил вопросм, есть ли у них копия договора подписанная, насколько мне известно, все копии у меня. Последовала неловкая пауза, аж через трубку передалось ощущение :)
Не стал девушку ставить в неловкую позицию и спросил, как это можно слать подобное, если даже по названию тарифа видно, что он предназначен несовершеннолетнему и платные предложения, мягко говоря, противоречат действующим правилам (про законодательство даже не помянул).
В итоге был приятно удивлён принесёнными извинениями и отсутствием дацзыбао по сей день, а прошло без малого 30 лет.
Оказывается и так бывает.
а прошло без малого 30 лет.Вы со сроками не напутали? В начале 90-х сотовая связь только начала появляться в России, стоила малоподъемных денег и никаких платных подписок не существовало. Да и большинство операторов того времени прекратили свое существование. Массовое вхождение сотовых телефонов «в народ» началось на рубеже тысячелетия.
Если покопаться в архивах Билайна или погуглить, то можно более точно установить до месяца. Подкючал тариф через месяц после его анонсирования. Хотя суть не в дате, а в отношении к клиенту.
Сейчас же на МТС сижу. Тоже не напрягают, а тот телефон сделал домашним.
На сколько я знаю, сейчас Google начал блокировать доступ к СМС для приложений у которых работа с СМС не самоцель — так что сейчас далеко не все приложения смогут получить доступ к СМС.
Да я и не хочу давать доступ приложению одного банка к чтению всех моих СМС.
Ну и необходимость устанавливать приложение это уже не самый распространённый кейс.
Пуши и мессенджеры конечно замечательно. А прилетит ли пуш уведомление о движении по счету если телефон в данной точке даже 2g поймать не может?
Имея на устройстве клиента свое приложение для уведомлений, каждый стремится заставить клиента поставить приложение, сколько новой инфы о клиенте соберет приложение?
Я бы перешёл на пуш, но сбер за него просит те же деньги что и за смс, насколько я понял.
И плюс он менее удобен.
P.S. В приложении сбера ещё и позвонить в банк по wi-fi теперь можно.
Смс для банков и фирм настолько дороги?
Когда-то SMS стоило 50 копеек, было терпимо, потом стало 1.5 р. и больше, уже напряжно. Не в курсе текущих цен, зависит от оператора и агрегатора SMS, но наверняка ещё подняли, поэтому банкам очень хочется от них избавиться и насильно посадить всех на пуши во всех возможных случаях. Плюс ещё проверка изменения IMSI у клиента стоит денег, а её необходимо делать перед каждой отправкой SMS.
Но стоит понимать, что пуш-уведомления об операциях и изменении баланса безопаснее SMS, при грамотной реализации в пуше идёт только идентификатор извещения, а сам текст запрашивается с сервера банка по шифрованному каналу. А вот передача кодов подтверждения через пуши убивает всю двухфакторную аутентификацию, т.к. SMS хотя бы привязаны к конкретной железке — SIM-карте, а пуши идут в приложение, которое может быть установлено на любом устройстве. При утечке базы паролей клиентов вполне возможно украсть весь банк.
Когда-то SMS стоило 50 копеек, было терпимо, потом стало 1.5 р. и больше, уже напряжно.
тут думается исключительно жадность оператора. Если раньше цена укладывалась в 50 коп, то что изменилось? Оборудование и инфраструктура развились и способны выполнять больше операций/запросов чем раньше. Логично предположить что затраты наоборот, должны снизится. Все давно настроено, налажено, оптимизировано. Почему вдруг стоит дороже?
Все давно настроено, налажено, оптимизировано.
А потом приходит очередной 4,5,6G и всё меняется и перестраивается.
Почему вдруг стоит дороже?
По той же причине, почему у нас никогда не дешевеет бензин — монополии. Плюс бешеный принтер выпускает очередные законы, по которым отменяют мобильное рабство, роуминги и включают Яровую, операторы не будут экономить на себе, чтобы их выполнять, они просто поднимут тарифы. Да и рубль за последние пять лет подешевел в два раза, а практически всё телекоммуникационное железо стоит доллары или евро.
А банкам в этом случае деваться просто некуда — на них давит Центробанк со своими правилами оповещения клиентов. Прикиньте, сколько в среднем в месяц вам приходит оповещений, умножьте это число на количество клиентов среднего банка, и получите, сколько ИТ-отдел может сэкономить миллионов рублей в месяц при переходе на бесплатные пуши.
А потом приходит очередной 4,5,6G и всё меняется и перестраивается
не меняется а дополняется. Старый давно работающий способ отправки смс никуда не исчезает, добавляется способ по каналам 4,5,6G. Работа по настройке и интеграции этого нового оборудования должна входить в затраты которые будут возмещены пользователями этих самых 4,5,6G через тарифы на услугу.
Так пришлось отцу положить на полку отлично работающий кнопочный телефон потому что ответ на USSD запрос баланса приходил в не читаемом виде. Надо было искать цифры среди странных символов. На латиницу ответ не переключался.
а практически всё телекоммуникационное железо стоит доллары или евро.
а оставшееся в юанях ;)
Второй — смсок отправляют мало, и можно или предложить пакет в комплект к дорогому тарифу, или жить по принципу: 10 старушек рубль. Это основное.
Третий: спам. Покупается симка, через неё отправляется куча дешёвых смсок. Вроде почти побороли, но ещё встречается.
А прилетит ли пуш уведомление о движении по счету если телефон в данной точке даже 2g поймать не может?Для гарантированной доставки пушей колхозим свой
Из минусов — придётся оплачивать эту дополнительную proxy-SIM-ку.
В обоих случаях действия абсолютно одинаковые: запускаем приложение, тыкаем в нём в нужное место и смотрим. Мне вот тоже непонятно, почему бы на такой случай в КБ не сделать какой-то кэш последних операций, чтобы «быстренько глянуть».
Почему бы с разрешения пользователя не кэшировать некоторую справочную информацию (последние транзакции, балансы выбранных карт), которая у большинства смертных и так лежит в смс вообще в открытом виде и показывать после ввода пина, пока проходит (или пытается, но не проходит) авторизация на сервере?
Подозреваю, что здесь забота не столько о пользователе, сколько нежелание столкнуться с претензией о предоставлении недостоверной информации — мол, я клиент ваш открыл, на счету показало сто тыщ, а на деле уже оставалось пятьдесят, обман!
Аутентификация по пин и так обычно есть.
Аутентификация без сервера — это не аутентификация, а её имитация.
претензией о предоставлении недостоверной информации
Именно так. Клиент на кассе расплатился, SMS не пришло, смотрит в приложение — а там старая сумма на счету, ему от этого плохо, банк его обманул.
В сообщении ФАС указывается, что сотовые операторы заключали на разных условиях договоры с частными компаниями и организациями с государственным участием. Последние в результате могли платить в несколько раз меньше, причем разница доходила до 10 раз.
«Одним из примеров, в частности, является осуществление банками информационных, сервисных и транзакционных рассылок СМС-сообщений», — говорится в сообщении. За установление монопольно высоких цен на услугу рассылки СМС-сообщений операторы также признаны виновными.
Подробнее на РБК
не забываем, что записи по «пакету Яровой» хранятся у оператора полгода, а там, среди прочего, есть и ваши ответы на «секретные вопросы»Прочитать только их нельзя, потому что трафик зашифрован стандартым SSL. Единственный способ — внедриться в канал заранее и при установке соединения в момент обмена ключами вместо рандомных ключей отправить свои ключи в обе стороны, при этом нужен сертификат сайта банка. Яровая пока только обеспечивает пассивное прослушивание, а значит, не получает доступ внутрь шифрованного канала.
Переходим на использование Push-уведомлений вместо SMS.
Но я не хочу ставить себе тяжеленное приложение условного сбербанка, которое еще и с антивирусом в комплекте. Я в принципе не хочу без необходимости что-то ставить или заводить аккаунты где попало. Но почему-то куда ни зайди, особенно через браузер в телефоне, так сразу начинается требование поставить из гуглоплея (которого у меня нет) приложение и завести там аккаунт по номеру телефона. Зачем? Я две ссылки зашел посмотреть!
> 13%
Эти люди не пользуются ни мобильными банками, ни телеграмами, ни воцапами, ни вконтактами, ни гмэйлами? Серьёзно? Почему я не верю.
Уведомления от банка идут независимо от использования мобильного банка, да и сами смс как-то надёжнее, когда даже они доходят только если попрыгать некоторое время с телефоном в вытянутой руке. Такие места можно найти даже в москве, а уж в подмосковье их полно.
Кстати вру, гмыл аккаунт пока живой, и вполне пашет без телефона. Но не пользуюсь т.к. гмыл задолбал его блокировать после каждого входа с нового компа. Прикол ситуации в том, что компов всего два, но захожу я с них по-очереди с большими промежутками времени.
> опрос в нашем телеграм-канале
> телеграм
В телеге уже можно без смс? О_о
Пока есть хоть одна живая сессия — код будет приходить туда, в другой инстанс мессенджера.
Что действительно защитит — e-mail уведомления с ящиком на доверенном сервере, в идеале — своем.
В эпоху когда е-мейл это облачный сервис от Гугл, Майкрософт, Яндекс, Мейл.ру…
Да и вообще, использование в личных целях е-мейл давно идёт на спад.
Что действительно защитит — e-mail уведомления с ящиком на доверенном сервере, в идеале — своем.См. код для Альфа-Банка и Кукурузы
gist.github.com/ValdikSS/d39de7882a439a757c13dde9e8d8747e
Заходит в учётку, сверяет баланс, выдает сообщение, если баланс изменился. Можно ставить в крон, а крон настраивать на отправку уведомлений по почте.
И ещё за кадром остались те, кто не пользуется смартфонами.
У хороших мессенджеров есть открытый исходный код и описание протоколов, которые изучались широкой общественностью, к тому же никто не мешает вам сделать свой собственный мессенджер на их основе.
И ещё за кадром остались те, кто не пользуется смартфонами.
Ещё забыли тех, кто пользуется онлайн-сервисами через браузеры на компах. ;)
После того, как обчистят все ваши банковские счета через поддельную симку вы будете продолжать верить, что в этой стране суды что-то решают? И после громких случаев со взломами мессенджеров оппозиционеров операторам стало как-то стыдно и они что-то кому-то компенсировали? Им глубоко на вас наплевать, у них миллионы абонентов, тысячей больше — тысячей меньше, они и не заметят. Репутационные риски их вообще не заботят.
Вполне реальный Дуров содержит за свои деньги сервис, которым не так страшно пользоваться, как российскими опсосами, которые все сидят под колпаками товарищей из трёхбуквенной конторы. В нём хотя бы есть кнопка «создать секретный чат» и имеется представление, как он работает. А в каких базах у МТС храняться мои SMS с балансом банковской карты? И сколько тысяч сотрудников имеет к ним прямой доступ? И сколько из них смогут перехватить SMS с кодом подтверждения операции, пока я сплю? Если на кону суммы с 6-7 нулями, то все эти бумажки о неразглашении — просто бумажки.
Деньги вернулиа это ключевое, я об этом и говорю.
Знаете, с последнего абзаца Вашего комментария я глубоко недоумеваю. Он совершенно логике не поддаётся. Очень странно, что Вы испытываете такое безграничное доверие к Дурову и к его сотрудникам.
Деньги вернули
а это ключевое, я об этом и говорю.
Деньги вернули только после переписки с техподдержкой, где я изложил своё видение того, как они были украдены. Им гораздо проще сразу вернуть нескольким упёртым, оставив себе миллиарды рублей тех, кто ничего не заметил или не стал бодаться. Ещё раз повторюсь, схема была такая, что с моей стороны никаких доказательств невозможно было бы представить, атака была изнутри МТС и никаких бы логов они не показали, даже если бы началось реальное разбирательство.
Очень странно, что Вы испытываете такое безграничное доверие к Дурову и к его сотрудникам.
Где вы такое увидели? Все сколь-нибудь значимые переговоры с партнёрами и коллегами я веду только живьём. В телеграмме — приватная информация, в gmail — то, что можно показать другим, по телефону деловые переговоры по минимуму.
Телеграмм является хорошим примером, в котором никакие его сотрудники не имеют доступа к секретной переписке исходя из принципов его протокола, реализацию которого можно посмотреть в документации и исходниках, и даже при желании можно сделать свою. Дуров не может предоставить товарищам майорам ключи шифрования сообщений просто потому что у него их нет.
В конце концов уж если совсем прижмёт, то ещё есть Signal, Tox и ему подобные. Да и S-MIME и PGP никто ещё не отменял.
Тут действует принцип "своя рубашка ближе к телу", но наоборот. Чем дальше ты от провайдера, чем меньшую долю его клиентов ты представляешь, тем меньше вероятность, что лично твой аккаунт станет объектом посягательств.
Вы реально верите в то, что в этой стране можно что-то добиться по закону? Здесь даже конституция не работает.
И какие у вас будут доказательства того, что злоумышленники с помощью сотрудников оператора связи перехватили SMS с кодами подтверждения и слили все деньги с ваших счетов? По логам банка будет что это вы сами всё перевели кому надо и подтвердили кодом из SMS, который по логам опсоса был отправлен на ваш телефон. И такие случаи были в реальной жизни.
Ну вот смотрите, есть такой малоизвестный местный политик Максим Кац, он, как вы советуете, заключил договор и доверил свои данные сотовому оператору. Оператор его переписку слил в СМИ, обращения во все инстанции ничего не дали.
Ну или другой случай: оператор МТС помог взломать Телеграм оппозиционеров. Ну-ка, попробуйте, привлеките их к ответственности.
Говоря об ответственности, возможно, вы можете показать примеры, где оператора бы удалось, например, заставить компенсировать украденные со счета деньги из-за соучастия в мошенничестве сотрудника? Или за незаконное предоставление информации правоохранительным органам без должных проверок и соблюдения юридических процедур? Я про такое не слышал.
Даже в статье есть пример про Ложкина, и он ни дня ни провел за решеткой в итоге. А кстати, на Западе, которому вы не доверяете, подали в суд на сотрудников, подделывавших сим-карты. Один пошел на сделку со следствием и получил 10 лет, другим при неудачном стечении обстоятельств может грозить до 20 лет (хотя имхо, 20 лет за ненасильственное преступление — это перебор, дайте им год-два, а на 20 лет сажайте тех, кто применяет насилие, но это же Америка, а там покушение на чужой доллар — серьезное преступление). А еще, в США засудили мотель, который незаконно сливал миграционной службе данные про гостей с латиноязычными фамилиями, из-за чего некоторые из них были пойманы и депортированы за незаконное нахождение на территории США. Были разбиты семьи, которые потеряли основного кормильца. Возмущенная общественность и избранный гражданами прокурор штата Вашингтон не смогли стерпеть такого обращения с людьми, возбудили дело, довели до суда. Суд обязал сеть мотелей выплатить компенсации всем, чьи данные были слиты, в итоге вышла внушительная сумма. Обратите внимание, что несчастные были депортированы законно, но информация о них — получена незаконно. Трудно представить такой процесс у нас.
Для сравнения, случаев, чтобы Телеграм или Гугл что-то слил в СМИ, пока не было. Конечно, утверждать, что они не передают данные спецслужбам, мы не можем, но пока ни одного дела на основе слитых данных не было.
Попробуйте вместо слепой веры поразмышлять логически, а также проанализировать происходившие ранее ситуации, и вы поймете, что "находится в юрисдикции РФ" — это не плюс, а минус. Это значит, что такие сервисы работают не по "закону", а по окрику местного феодала, а на ваши права им плевать с высокой колокольни вместе с российской судебной системой и центризбиркомом. На Западе с судами чуть получше, чем у нас, плюс, даже если условный Гугл что-то сольет в условный ФБР, то ФБР не сможет прийти к вам с утра выпиливать дверь.
Ну вот сеть мотелей "хорошо попросили" и теперь они по суду платят более 2 млн долларов, которые им, скорее всего, миграционная служба не компенсирует. Потому на Гугл рассуждения о Китае без ордера от суда США, скорее всего, впечатления не произведут. Если вы намекаете, что Гугл попросят российские органы — то тут точно нет. Посмотрите, какой шум в США поднялся после того, как российская фабрика троллей закупила рекламу в фейсбуке. Вплоть до расследования конгресса. Там четко проведена черта: сотрудничество с российской властью вам дорого обойдется.
Так в том-то и дело, что, с одной стороны, "другая" организация заинтересуется мною с гораздо меньшей вероятностью, чем "эта". А последствия у "этой" могут быть гораздо заметней. Простое управление рисками — предпочитаем варианты с меньшими последствиями и меньшей вероятностью. Тут даже выбирать особо не из чего, на компромиссы идти не надо между, например, вероятностью и последствиями.
Зато могу назвать пару веских причин опасаться иностранных. Одна причина — войска и ракеты НАТО, вон там, под боком. Другая — информационная волна на тему того, как ужасно у нас притесняют и не защищают права. Ну и кому же выгоден раскол между Риками и Морти?
скажите еще, что это злые враги сплошь обо всем этом клевещут, а на самом деле у нас все прекрасно-распрекрасно.Нет, у нас не всё прекрасно. Давайте преувеличим все косяки до предела и будем вопить об этом как можно громче на всех углах, чтобы гуманнейшие наши западные друзья воспользовались этим как поводом устроить нам полнейшую, блин, демократию. Лучше будет, да?
и что?Вот тогда и поймёте, что. Но будет поздно.
весьма глупо искать причины всего вышеперечисленного в действиях «иностранных агентов», но при этом не видеть то что происходит прямо под носом.
Я вижу и внутренние проблемы, и внешних врагов. И в таких условиях «раскачивать лодку» мне кажется неразумным.
Раскачивание лодки — это один из способов снять с большой массы людей шоры, которые постоянно натягиваются на них телевизором и прочими медиа. Ледник уже трещит, посмотрим, что будет в сентябре на выборах, сможет ли трещина поползти дальше?
Чтобы никто ничего не высмотрел через ваш смартфон — не включайте его. Потому что любые данные могут быть использованы против вас и вы даже не догадываетесь как и какие именно. Сегодня вам хорошо, а завтра — 282 статья за лайк или репост. Это не паранойя, это суровая реальность, в которой местное государство гораздо хуже заокеанских корпораций добра.
Лучше всего использовать мессенджеры с сквозным шифрованием, вроде Tox или XMPP, но если это не вариант, то конечно, лучше использовать западный продукт. Что касается НАТО — непонятно, какая мне от них угроза. В то время как российские спецслужбы могут прийти ко мне в любой момент и подвергнуть пыткам (ФСБ пытало задержанных с помощью электрошокера, также, были новости про пытки шуруповертом). Может, вам ракеты НАТО кажутся страшнее, но это только пока вы не увидите электрошокер.
Что касается якобы "информационной войны".
Раскол у нас действительно есть — между феодалами у власти и не желающими жить по их "понятиям" гражданам, а желающими соблюдения закона и сменяемости власти. Чему феодалы пытаются помешать:
- партии, оппозиционные власти, регистрировать не дают
- митинги против власти не согласовывают, а даже если согласуют, то срывают и разгоняют росгвардией. Задержанных сажают с нарушением закона, протоколы часто написаны под копирку, судьи отказываются просматривать видеозаписи, так как "нет оснований не верить сотруднику полиции".
- тех, кто попался 3 раза за участие в несогласованных митингах, могут осудить по уголовной "статье Дадина". Да, просто за то, что человек стоял с плакатом, закон позволяет отправить его в колонию.
- к выборам не допускают, а если и допустят, то снимают под надуманными предлогами вроде несоответствия данных в ошибочно составленной "справке ФМС"
- результаты выборов фальсифицируют (последний раз: в Приморье)
- готовят непроверяемое электронное "голосование" в Москве
- вводят цензуру в Интернете, блокируют сайты по политическим мотивам
- вводят законы об оскорблении власти и преследуют людей за фото с надписью на здании "Путин — #####" или пост в соцсети "Путин — сказочный #######". Забыв про принцип свободы слова.
- вводят цензуру в соцсети Вконтакте, публикуя рекламу за власть и отказываясь публиковать оппозиционную рекламу
- готовят возможность отключения заграничных сайтов
Вы тут делаете вид, как будто у нас проблемы из серии "дырка в асфальте на дороге не заделана", а по факту у нас проблема вида "обнаглевшие жулики хотят удержать власть любой ценой, давно забыв про законы". А нарушить тайну переписки или по ошибке заблокировать нужный вам сайт — это вообще ерунда для них. Ну и естественно, всеми нововведениями вроде закона Яровой рано или поздно будут пользоваться и мошенники, которые с удовольствием покопаются в архиве СМС и звонков.
А я точно знаю: неизвестный из океана для меня предпочтительный контрагент.
Я пользуюсь западными мессенджерами, почтами и т. п. для удовлетворения своих потребностей, в принципе я и платить за это готов, но они предоставляют бесплатно свои услуги. Угрозу для себя лично (госбезопасность — отдельный разговор) своим свободам, собственности, жизни и здоровью от них или от западных же спецслужб в результате этого использования я оцениваю как стремящуюся к нулю. А вот от родных — явно выше нулевой и с каждым годом, с каждым новым законом или указом каким она растёт даже в сфере "законных действий".
Меня вполне устраивает ситуация, когда смс — это фоллбэк для Viber для кодов подтверждения и т.п. Пару раз точно спасло. В целом же проблема нерешаема, по-моему. Конфликт вечный между безопасностью и удобством.
Пока же лучше аппаратных криптотокенов или OTP-генераторов ещё ничего доступного нет
Лучше по какому критерию? Безопасность для меня не решающий фактор, я ищу компромисс между удобством и безопасностью.
Банки сейчас прикрываются стратегией Неуловимого Джо, просто ещё не было известных случаев крупномасштабных ограблений банков, в основном злоумышленники работают по-малому, потому что обналичка или отмыв больших сумм денег — довольно трудоёмкий и опасный процесс. Если в каком-то банке до сих пор пароли хранятся в открытом виде в одной базе, то при утечке этой базы и наличии подельников в одном из операторов большой четвёрки можно увести почти весь банк через API онлайн-банка или мобильного приложения. Там реально миллиарды рублей сотен тысяч клиентов. Конечно, может сработать антифрод-защита и подозрительные операции заблокируются, но приятного для банка и клиентов будет мало.
Мне не вводить лень, мне очень неудобно их таскать с собой, с одной стороны, а, главное, очень будет неудобно, если потеряю или каким-то образом сотру или заблокирую (был неприятный опыт с ОТП Google Authenticator, когда безобидное вроде сканирование QR-кода привело у удалению предідущей привязки). С криптотокенами ещё проблемы есть, типа слабая их поддержка как железом, так и софтом.
будет неудобно, если потеряю
Проблема восстановления доступа, особенно удалённо — это основная причина того, что их практически не внедряют после того, как все подсели на простые и относительно дешёвые для первого входа SMS.
С криптотокенами ещё проблемы есть, типа слабая их поддержка как железом, так и софтом.
Потому что на них малый спрос, который возникает из этих неудобств, получается замкнутый круг. Делали бы их в виде какой-нибудь Тройки, которая читается через NFC, стоит копейки и выдаётся банком на халяву — многие бы ими пользовались.
Всем же известна история со взломом по смс мессенджера того, чью фамилию боится называть Пж.
Распечатка с ограниченным набором одноразовых паролей была хорошей идей в 90-х.
Сейчас, когда я за день (например, при оплате комуналки) могу получить больше десяка OTP-кодов, скретч-карты с распечатками будут смотреть очень странно.
Для получения новых OTP-кодов, в данном случае, нужно идти в отделение и стоять в очереди, да даже в самом лучшем случае — в банкомат.
Но сейчас это явно не самый удобный подход.
Зачем калькулятор в приложении (в которое ещё войти нужно) если есть standalone приложения с этим функционалом. Проверенные временем.
Смотрите внимательно видео, там привязка устройства показана.
Предположим, приложение с сервером банка по какому-то протоколу обмениваются какими-то данными, подтверждающими, что приложение знает какой-то секретный код или ключ. Что мешает хакеру Васе узнать этот код? В iOS хотя бы давно была сделана аппаратная поддержка криптохранилищ, в Android, помниться, что-то вменяемое появилось с 6 версии, но не на всех устройствах оно есть физически. А где вы будете хранить секретики в Windows, если вы все приложения запускаете под одними правами доступа?
И самый коварный вопрос: как доказать, что первый раз привязку устройства делает валидный клиент, а не хакер Вася? Вот пришёл новый клиент в банк, ему выдали карту, какие-то бумажки, дома он начинает регистрацию и обнаруживает, что она уже была осуществлена, а вся его зарплата пропала, как от этого защищаться? Отсюда же идёт следствие проблемы — как доказать, что новое устройство принадлежит валидному клиенту, который утопил свой iPhone на Сейшелах и не может прям сейчас прийти в отделение банка, потому что ему до самолёта ещё две недели, денег на карте не осталось, а с резервного счёта перевести не может, потому что iPhone подруги не был зарегистрирован в банке.
Расскажите, пожалуйста, как конкретно осуществляется «привязка устройства»?
1) Скачивается и устанавливается приложение на смартфон или планшет. Обращаю внимание, что это не приложение банка, а приложение ТОЛЬКО для генерации кодов.
2) На компьютере в Online-Banking нужно в разделе безопасности активировать этот способ.
3) Банк присылает на домашний адрес письмо с картинкой.
4) Зайти на компьютере в Online-Banking и стартовать процесс активации устройства. С помощью приложения на смартфоне считать код с картинки в письме и ввести его в Online-Banking. Назвать устройство произвольно, но чтобы самому понятно было что это.
И таким образом привязать смартфон и планшет. Для каждого устройства свой код привязки.
Предположим, приложение с сервером банка по какому-то протоколу обмениваются какими-то данными, подтверждающими, что приложение знает какой-то секретный код или ключ. Что мешает хакеру Васе узнать этот код?
Приложение НЕ обменивается с банком по протоколу. При проведении транзакции в Online-Banking банк генерирует картинку, с помощью смартфона эта картинка сканируется с монитора и приложение на смартфоне выдает цифровой код. Код вводится на компьютере в поле для подтверждения транзакции.
И самый коварный вопрос: как доказать, что первый раз привязку устройства делает валидный клиент, а не хакер Вася?
Только у Вас данные для доступа в Online-Bank (логин и пароль), письмо содержит только картинку и ничего больше. Чтобы зарегистрировать устройство, нужно иметь в руках и то, и другое. Получить «Васе» это все сразу маловероятно.
как доказать, что новое устройство принадлежит валидному клиенту, который утопил свой iPhone на Сейшелах и не может прям сейчас прийти в отделение банка, потому что ему до самолёта ещё две недели, денег на карте не осталось, а с резервного счёта перевести не может, потому что iPhone подруги не был зарегистрирован в банке.
Спасение утопающих — дело рук самих утопающих. Банк выдает инструкцию по безопасности. Если клиент не хочет заботиться о собственной безопасности и делать что ему рекомендуют, то это уже проблемы клиента.
Таким же образом у клиента могут украсть сумку со всеми кредитными картами, айфонами-смартфонами и паспорт вместе с водительским удостоверением. Банк не может ничем помочь в таких случаях, кроме как заблокировать карты и счета по звонку — и для таких случаев банк выдает ламинированную визитку с телефонами и рекомендует держать ее отдельно от документов и кошельков.
И таким образом привязать смартфон и планшет. Для каждого устройства свой код привязки.
Вы описали процедуру со стороны клиента банка, но так и не ответили на мой вопрос: как осуществляется «привязка к устройству»? Какой используется протокол, какие криптосхемы, где и как хранится секрет на устройстве?
Приложение НЕ обменивается с банком по протоколу.
Да ну? Передача кода через бумажную почту в виде картинки ничем не отличается от передачи того же кода по HTTPS, только менее безопасно, т.к. может быть перехвачено в большом количестве мест.
Получить «Васе» это все сразу маловероятно.
Картинка в простом бумажном конверте, логин-пароль — через кейлоггер/перехват трафика/слив базы паролей, вероятность сильно отлична от нуля.
Спасение утопающих — дело рук самих утопающих.
Вот поэтому банкам сильно наплевать на безопасность клиентов, которые всегда сами виноваты. Главное — минимизировать операционные затраты на обслуживание клиентов.
Расскажите, пожалуйста, как конкретно осуществляется «привязка устройства»?
Я Вам и рассказал со стороны клиента. Если Вас интересуют технические подробности, то Вам надо не сюда, а к разработчикам этой системы. И в любом случае они Вам эту информацию не выдадут. Понятно почему.
Картинка в простом бумажном конверте
Почему Вы о банках так плохо думаете? Вы что, никогда PIN код для кредитной карты в бумажном конверте не получали?
И таки да, банки не могут сделать 100% защиту «от дурака» и предвидеть все ситуации. Все рассчитано на обычных людей. И по закону нормального распределения, количество «особо одаренных», способных потерять все всегда и везде порядка 2%. Да поможет им Бог.
Если Вас интересуют технические подробности, то Вам надо не сюда, а к разработчикам этой системы.
Я догадываюсь о технических подробностях, потому что изучал подобные системы и разрабатывал близкие. Ещё раз повторюсь: превращать смартфон в криптотокен — это лучше, чем коды через SMS, но не так надёжно, как настоящий железный криптотокен.
Почему Вы о банках так плохо думаете?
Потому что я изнутри знаю, как там устроены многие вещи. Они до сих пор могут хранить пароли клиентов в открытом виде и их это особо не заботит.
В боле-менее продвинутых банках PIN-конверты давно уже не используются, а PIN-код карты задаётся клиентом самостоятельно при активации карты в банкомате или через мобильное приложение. TLS гораздо надёжнее бумаги.
Ещё раз повторюсь: превращать смартфон в криптотокен — это лучше, чем коды через SMS, но не так надёжно, как настоящий железный криптотокен.
Там много способов на выбор. В том же видео, ссылку на которое я дал в первом посте, показан настоящий железный криптотокен, специально для банка сделанный, и любой клиент может его заказать при желании и пользоваться им, а не смартфоном. Также есть вариант получить таблицу кодов, тогда при проведении транзакции будет запрашивать типа «введите код № ххх».
Там много способов на выбор.
Ключевое слово — там. В этой стране при хорошо развитых банковских онлайн-сервисах сами банки не хотят развивать системы аутентификации. Раньше одноразовые коды выдавали на распечатках в банкоматах, потом на скретч-картах, только коды на них быстро заканчиваются. А когда повально все сделали подтверждение операций через коды в SMS, то про скретч-карты тихо стали забывать. А ещё «для удобства пользователей» дошли до 4-х знаковых кодов и подтверждение только входа в систему без подтверждения каждой операции.
Вот я хочу иметь OTP-генератор для безопасных банковских транзакций, какой нормальный банк в этой стране его может дать забесплатно? В некоторых баках пыжились их внедрять за немаленькие деньги, но широкого распространения они не получили.
Во всех банках службы безопасности определяют самые вероятные вектора атаки и предпринимают действия по их устранению.
Не стоит заявлять так категорично. В основном службы безопасности в банках занимаются бумажной безопасностью, защищая банк от нападок регулятора, надзирателей и прочих PCI DSS-требователей. Безопасники могут даже не догадываться что на самом деле начудили программисты и какие реально алгоритмы-протоколы они используют для защиты своих систем и что они до сих пор хранят пароли клиентов в открытом виде в общедоступной базе данных.
И банки пытаются сделать самые простые и понятные механизмы защиты для пользователей
Банки делают самые дешёвые механизмы защиты, чтобы проходить по требованиям регулятора и PCI DSS. Если новая защита будет стоить дороже издержек на юристов и урегулирование конфликтов с клиентами, то её просто не будут делать и внедрять, что и происходит в действительности. Это обычная бизнес-практика — не тратить слишком много денег там, где их можно не тратить. Промыть мозги клиентам в стиле «у нас самый защищённый онлайн-сервис» гораздо дешевле, чем закупать дополнительное оборудование и нанимать хороших спецов на большую зарплату.
Потому что злоумышленники могут получить деньги гораздо более простым способом, чем возиться с вашей защитой.
Моя защита волнует конечно же меня самого. Я защищаюсь другим способом: зная, как устроена система внутри, я не понесу в один банк много денег, в некоторые банки вообще никогда ничего не понесу. Просто ещё не было известных прецедентов (скорее всего мы о них просто не знаем), когда грабили банк по-крупному сразу на миллиарды. И введение более надёжных систем аутентификации, выключение из её цепочки сотовых операторов, поможет избежать таких случаев.
Вы правильно говорите про людей, только они с другой стороны. Сможет ли админ сотового оператора отказаться от нескольких десятоков-сотен миллионов гонорара за запуск небольшого скрипта на сервере для перехвата SMS или создания бэкдора? Так почему банки до сих пор доверяют сторонним админам? Ответ во втором абзаце — потому что это дёшево.
Сможете ли вы полностью отказаться от SMS?
Можно начать с отказа от мессенджеров, привязанных к SMS
По поводу запрета действий по доверенности… Мегафон — такой возможности вообще нет
*105*508# вам в помощь
Гугл находит только какие-то старые стати на сайтах разной степени сомнительности.
Так что не факт что это работает.
Так что не факт что это работает.
ну чтобы узнать, надо проверить…
Хотя поддержка мегафона, похоже, сама не в теме.
спросил, а работает ли этот код
На USSD запрос реагирует и спрашивает именно то, что нужно
и если попытаться установить второй раз, то
Вечером, после работы, зайду в салон и проверю
Поддержка тоже не в курсе, что у них такое есть, но это нормально. Попробую сходить в офис, подозреваю, что, как и у остальных операторов, они могут добавить комментарий к клиенту, на который потом могут и внимания не обратить.
Доступно было получение баланса. И думаю еще какие то смс команды, например пополнение мобильного счета то же бы прошло. Позвонил в сбер, с просьбой отвязать. Ответ меня убил: «пошлите смс команду по отвязке» т.е. это я должен сделать.
Такие дела.
Это к вопросу правильной валидации номера, который предоставляет клиент. Один из правильных вариантов — активация новой карты через звонок IVR-боту со своего номера.
В идеале бы ещё уведомления шифровать моим открытым ключом, закрытого парного чтобы не было ни у банка, ни у мобильного оператора, ни у SMS-шлюзов, ни у силовиков, ни у кого, кроме меня.
В общем, как только — так сразу.
но банк в такое не умеетЯ тут наловчился:
gist.github.com/ValdikSS/d39de7882a439a757c13dde9e8d8747e
Используйте, дополняйте.
В идеале бы ещё уведомления шифровать моим открытым ключомНам данный момент это умеет одна социальная сеть. Будем надеяться, что и банки когда-нибудь подтянутся.
Скрытые угрозы SMS: сотовый оператор знает слишком много