Comments 32
Мне интересно к какой категории автор относит людей предлагающих подписать договоры, где ряд пунктов изложен очень мелким шрифтом, а так же людей совершающих веерные обзвоны с настойчивым предложением заключить договор с банком, безотносительно того насколько сей договор выгоден тому, до кого он дозвонился.
Мы на стороне людей. Поэтому заголовок правильный :) Спасибо за комментарий!
Более того, за 5 минут оформляют кредит пенсионерке на 5 миллионов рублей только в том случае, если в банк предварительно позвонил Ашот Вазгенович и дал указание "Сэйчас прэдэт бабка, дон. Дайтэ ей крэдит, дон." Иначе не оформляют.
Вам очевидно? Мне вот совсем не очевидно. А как оно, по-вашему, тогда работает? Если я пойду в банк брать кредит на 5 миллионов рублей, то мне откажут. Но если мне предварительно позвонит, ну, пусть не Ашот Вазгенович, а Наджибулла Ахмедович и я соглашусь "спасти свои деньги посредством кредита на 10 миллионов", то в том же банке в том же окошке мне его без проблем в течении получаса выдадут. Как вот оно так работает?
И нет, это не "навешивание ярлыков", а отражение действительности. Тем более, я же с уважением. Люди умеют работать, крутиться в нашем государстве. Выбрали самую эффективную стратегию по обогащению. Можно только в пример их ставить.
Мы на стороне людей.
Вполне понимаю, на стороне каких именно людей автор, если не мытьем, так катанием он все оживляет мягко говоря несколько несвеже-костыльную тему с мобильником.
Касаемо F2A, там где это нужно - Госуслуги, например, ввели F2A посредством TOTP (открытого алгоритма RFC 6238). Одноразовый код авторизации генерируется на стороне клиента, например полностью автономным брелком с батарейкой.
Наличие TOTP на Госуслугах не останавливает разработчиков Госуслуг от выманивания номера телефона под любым предлогом, для предоставления какой нибудь услуги. А после получения номера телефона, он намертво привязывается к аккаунту, без возможности его удаления, предоставляется возможность только его изменения.
После этого активируются мошенники с социальной инженерией для доступа к заветным четырём цифрам. А Госуслуги при этом игнорируют любые иные F2A (тот же активированный TOTP) в процессе восстановления доступа, превращая СМС в единственный достаточный фактор авторизации, не считая публично доступные (утекшие) данные о человеке.
Но здравый смысл всё таки может восторжествовать, если активировать на Госуслугах ещё и контрольный вопрос, ответом на который ни в коем случае не должны быть какие либо публично доступные данные, лучше всего работать с ним как с ещё одним паролем. И тогда появляется слабая надежда на безопасность аккаунта на Госуслугах.
Соглашусь лишь от части(замечу при этом, что я далек от некритичного отношения к Госуслугам).
Номер телефона на Госуслугах, да пытаются выморщить любым способом.
Если Вы выбрали вторым фактором автоизации в ЕСИА одноразовый код генерируемый посредством алгоритма TOTP, то заветных циферок входа в учетку ГУ шесть и даже привязанный к учетке ГУ мобильник тут не помошник.
Смысл исходного коммента в том, что проблема в том, что банки не мытьем так катанием хотят продлить жизнь несвеже-костыльной идее с мобильником в качестве суррогатного токена F2A(вместо того чтобы применить куда более безопасный TOTP, иначально целевым образом предназначенный для автономной генерации одноразовых кодов, и более, как и положено безопасному инструменту, ни для чего), что и ведет к избыточному сбору персональных данных, который и является питательной средой для мошенников, активно юзающих этот, навязываемый банками, франкенштейн из средства связи и токена-суррогата.
Болезненная тяга некоторых коммерсантов, включая некоторых банкиров, к избыточному сбору персональных данных изначально и предназначена, как мне представляется, для обзвонщиков цель которых, как мне представляется, получить с вас деньги, в том числе путем обмана или злоупотребления доверием(то бишь мошенничества по определению из УК РФ), например склонив доверчивую пенсионерку заключить невыгодный ей договор, который ей впарили как сказочно для нее выгодный. Причем по версии банков "свои" обзвощики это "маркетологи и консультаты, которые ничем не злоупотребляют", а не свои обзвонщики это "плохие мошенники, которые нагло вам врут и вводят вас в заблуждение.".
Полностью Вас поддерживают, у меня реальная история где в одной конторе полирующейся банком стоит лимит на оплату на скажет 30к, всё что больше идёт и подтверждение по звонку. Ну а дальше всё и так ясно в одним не прекрасный день в пятницу вечером делается перевод денег на несколько миллионов без подтверждения. И та дам! В суде против банка, банк заявляет мы что мы не причём, мы звонили но не дозвонились! :)
Из хороших новостей. Мы научились эффективно бороться с подобными схемами и ежемесячно спасаем сотни тысяч рублей нашим клиентам только в рамках защиты от фишинговых схем.
Вот тут мне стало интересно, как со стороны банка с этим борятся?
Отвечает эксперт :)
Использование ML-инструментов в совокупности с расширенными возможностями протокола MirAccept 2.0 позволяют достаточно эффективно выявлять мошеннические транзакции.
Почему именно push, а не СМС? Все очень просто – мошенники могут подделать отправителя СМС, а вот с push-уведомлением такой фокус не пройдет. Естественно, приложение банка должно быть установлено, и вы должны быть авторизованными в нем.
Чтобы, значит, сразу под рукой было средство взять тот самый кредит, перевести деньги итд итп. Сравним с ситуацией, когда приложения нет: пока в компьютере до управления счетом доберешься - есть время одуматься. Когда уже банки научатся разделять/давать абоненту выбор по поводу уровня доступа, что доступно с устройства? Хотя бы платежное приложение отдельно, а управлением всем остальным - отдельно, делали.
Для дополнительной безопасности у нас реализован механизм отправки push-уведомления о предстоящем звонке. Это позволяет быть уверенным в том, что звонок идет от сотрудников банка, а не от мошенников. Собственно, и во время разговора вы можете попросить подтвердить, что звонок из банка, и оператор отправит вам push-сообщение с таким подтверждением.
Для этого не надо push. Можно сразу показывать "мы сейчас звоним, код проверки оператора XYZ. Но, вообще говоря, ни приложения банка, ни связи по интернету - тоже не нужно, т.к. разные OTP работают в обе стороны. Пример (смотрим, как оператор подтверждает, что она из банка. И на дату ролика - тоже смотрим.)
Самый верный способ — перезвонить в банк самостоятельно.
...
Для дополнительной безопасности у нас реализован механизм отправки push-уведомления о предстоящем звонке.
...
Но лучшая защита — это не разговаривать с мошенниками.
Вы уж как-нибудь определитесь. Банк либо звонит(иначе зачем механизм с PUSH?), либо нет. Если нормальное поведение, вдолбленное социальной рекламой и материалами на выдачу: "Банк не звонит никогда, и любой представляющийся сотрудником банка - мошенник" - то проблем со звонками мошенников не будет.
Лучшая защита не давать банкам номер телефона.
Касаемо F2A, там где это нужно - Госуслуги, например, ввели F2A посредством TOTP (Time-based One-Time Password Algorithm). Пользователю предоставляется индивидуальный ключ(цифробуквенный код), для открытого алгоритма RFC 6238, а далее он сам решает на каком вычислительном устройстве он будет генерить одноразовый код авторизации(при желании хоть на покупном брелке, хоть на Ардуине).
А вы в посте все оживляете мягко говоря несколько несвеже-костыльную тему с мобильником.
Если нормальное поведение, вдолбленное социальной рекламой и материалами на выдачу: "Банк не звонит никогда, и любой представляющийся сотрудником банка - мошенник" - то проблем со звонками мошенников не будет.
В своё время уехал в ближнее зарубежье. Попытался снять деньги в местном банкомате в местной валюте. Операция была отклонена, а мне позвонил банк, и поинтересовался, нахожусь ли я в такой-то стране и пытался ли я снять деньги в банкомате. После подтверждения я стал пользоваться банкоматами беспрепятственно. Так что не все звонки от банков — мошеннические. Иногда и польза есть.
Почему именно push, а не СМС? Все очень просто – мошенники могут подделать отправителя СМС, а вот с push-уведомлением такой фокус не пройдет. Естественно, приложение банка должно быть установлено, и вы должны быть авторизованными в нем.
Потому, что отправка SMS денег стоит. А отправка push — нет. А цена услуги «оповещение абонента» при этом не меняется.
Ну, есть и другие моменты, к примеру чтение СМС и пуш приложением
Или редкий кейс, когда ты в роуминге без денег, но есть wi-fi
Но вы правы в том, что СМС дороже. Я вот только не помню, просят ли сейчас денег за пуш, начиная с какого-то объема. Уже давно не было проектов с мобильным приложением,и соответственно не смотрел в эту сторону
А есть ли мировой положительный опыт по данному вопросу? Как дела и какой опыт есть в мире? Или это чисто наша проблема, как смотанный пробег на авто и недострой?
З.Ы. Порой складывается впечатление, что в схеме задействованы сотрудники этих самых организаций, борущихся с мошенничеством?!
Мировой опыт: мошенники обкатывают схемы на нас, а после с ними уходят в другие страны и начинают "работать" с клиентами зарубежных банков. Есть и примеры фрода в зарубежных банках с использованием deepfake.
Проблема касается всех, инструменты противодействия везде одинаковые, разница, скорее, на уровне выстраивания процесса противодействия внутри отдельных банков, а не стран.
Мошенники начинают и выигрывают! А Банк как казино, он всегда в выигрыше.
Казино не должно проигрывать:
Ассоциация банков России (АБР) в начале марта обратилась в Минцифры с предложением отказаться от введения оборотных штрафов за утечку информации при повторном нарушении.
https://vc.ru/legal/1093484-banki-snova-poprosili-ne-vvodit-oborotnye-shtrafy-za-utechki
АБР тут понять можно: они же, фактически, лоббисты.
И да, хоть в АБР в руководстве и выходив из ЦБ (в первую очередь недавно ушедший из жизни Георгий Иванович), но они сейчас льют воду на мельницу именно бизнеса, выступая демпфером между ЦБ и рынком в меру своих сил
Банк vs мошенники. Кто сильнее?