Comments 103
Какая там себестоимость у SMS?
Про то что забанить спам по смс это целый квест, можно и не рассказывать.
- Многие Nokia умеют пуши, поскольку на ведроиде.
- Людей, которые ходят с простыми кнопочными телефонами, очень много. А поскольку все больше контор (в том числе частных) запрещают смартфоны и даже просто телефоны с фотоаппаратами на рабочем месте, таких людей становится все больше.
Сейчас нокия это одна из немногих альтернатив Пикселю, т.к. вся линейка идет по программе Android One, и, например, апдейт до пирога нокия получила первой, после пикселя.
Для Samsung есть системное приложение NotiStar, которое логирует пуши от выбранных приложений.
Компании вон пытаются от google play и т.п. отказаться (чтобы не платить): habr.com/ru/news/t/460781
А канал доставки пуш-уведомлений обеспечить — в наше время не проблема. А если не получилось, тогда уже можно через SMS отправить. В любом случае, если и не отказаться полностью от SMS-канала, то как минимум сильно снизить расходы на него получится.
Еще раз. В результате сбоя илииумышленныз действий в банке у вас со счет пропали деньги. Уведомления не было. Вы обранружили это через неделю. По закону у вас есть сутки на обжалование транзакции. Банк с покерфейсом говорит: мы вам направили пуш. Как вы будете доказывать что банк его не напрвлял. С смс всё просто, в выписке есть факты смс в нужные даты.
Мошенничество и в банке и в сотовом операторе многократно сложнее, чем в одном из них. Если подменят симку и в банке потыря, то да,, ничего не защитит. В случае смс я более защищён.
Подменят симку — не относится к мошенничеству в сотовом операторе. Эта услуга доступна любому желающему, и информации об этом хватает даже на хабре. Т.е. в случае мошеннических действий со стороны сотрудника банка, лог, что с симкой, что с пушами будет только у банка. Разница только в необходимости найти и приобрести на черном рынке услугу по перерегу симки. Опять же, речь исключительно про наличие лога. Подтверждение операции мы пока не трогаем, так как там слишком много нюансов (у меня например альфа — после смены симки, что бы проводить операции в мобильном банке не по шаблону нужно подтвердить смену симки личным визитом в банк)
Мне кажется, что у вас неверная модель угроз. Вы считаете злоумышленником банк. Но если вы не доверяете банку — зачем держать в нем деньги.
Верная модель угроз — вы вместе с банком против злоумышленника. Ибо злоумышленник ворует деньги не только у вас, но и у банка. Тогда банку выгодно иметь подтверждения не только о доставке уведомлений, но и о прочтении, чего в СМС нету.
Уведомления не было.Вот это реально несколько процентов для СМС и 0% для push (если вы в сети). Плюс логгирование трех событий: отправки, доставки и прочтения. А ещё часть СМС не пропадает, но доставляется через сутки. А ещё бывает так, что до перезагрузки телефон перестает принимать СМС. А в худшем случае — кроме перезагрузки ещё нужен ручной сброс флага у оператора. Плюс СМС могут не приходить при отрицательном балансе.
В итоге — роуминг + плохая связь + денег на счету не в избытке — забудьте про СМС. По опыту — может и больше половины пропасть. Я как-то больше суток убил в роуминге, чтобы СМС вообще начали приходить. Спасибо сотруднику call-центра, который в итоге мне звонил с личного номера.
Было бы интересно почитать технические подробности такой атаки.
Новое поколение скиммеров, которые могут что-то сделать по этому вектору появилось?
Я про сам банкомат — на него могут что-то нацепить, так, чтоб было незаметно? Это стандатной антенне банкомата не будет мешать?
Ну а если в заднем кармане просто так лежит карта с пейпассом — то простите ССЗБ.
iz.ru/news/602196
Было дикое желание попробовать снять данные и посмотреть что будет.
Или я не прав и такая схема безопасна?
Нафига? Одна NFC метка в формате карточки в паре с самой картой в одном кармашке кошелька, и ничего уже не считывается.
1. Банк навязал зарплатному клиенту дополнительную карту к существующему счёту, типа вы тут у нас весь вип, клиент прямо там говорил что ему это не надо, но карту взял.
2. Клиент не распаковав карту, договор и конверт с пином кинул дома к коробку с документами.
3. Произошла квартирная кража когда клиент был в отпуске.
4. Злоумышленник получил карту и пин, снял в банкомате деньги.
Пришли смс о списании, клиент тут же звонит блочить карты, карты блочат. Говорят что деньги сняли вы, подтверждено пином. На то что клиент в отпуске всем пофиг, говорят заявление даже писать смысла нет. Убеждаю клиента (близкий мне человек) что нужно пойти и подать заявление и в банк и в полицию. В итоге когда он приехал в банк его там опять отговорили писать заявление, он вышел и позвонил мне. Со второго захода заявление о неправомерных списаниях приняли. Ни о каких телодвижениях о камерах с банкомата или ещё чём-то подобном речи не шло, всем пофиг. В итоге по своим каналам нашли вора, он деньги вернул, ни банк ни полиция так ни одного телодвижения и не сделали. Вор-малолетний дебил, снимал в банкомате возле дома, и более того на второй день пришёл ещё доснять, но карта была заблокирована, банкомат её сожрал. Естественно никакого наряда или службы быстрого реагирования не было.
Также у меня есть опыт с другим банком когда по правомерной операции где не пришло уведомление и банк утверждал что он выслал и доставил мне пуш, когда приложение банка было удалено больше года назад как раз потому что самовольно переключало смс на пуши. Я ругался с банком неоднократно из-за этого, и в итоге удалил приложение. Всё ходило только по смс, но в какой-то момент не пришло. Сотрудники банка с покерфейсом продолжали утверждать про пуши. Хотя в договоре ничего про пуши не сказано, там только смс, т.к. договор старый. Ещё я сейчас участвую в административных делах по нарушению ФЗ о рекламе и вижу как это работает. Что есть на бумаге и что подтверждается оператором, то работает, чего нет — того нет.
Ну очень сложно тут отличить кражу от ситуации, когда клиент сам дал карту. Какое-то количество клиентов мошенничает, это тоже понятно.
Нет не родственничек. Но дружок скажем так. Если бы банк достал фотки снимавшего, его бы опознали и взяли в первый день.
И да, отличить сложно, а кинуть клиента с проблемой легче. Что они и сделали.
И это типа вип клиент вчера был, а как проблема так извините заяву писать не надо.
Если бы вы сами сняли деньги с карты и их бы у вас украли, это же была бы ваша проблема, а не банка? Вот и тут, когда украли карту — это ваша проблема.
А проблема банка — это когда сняли с карты на его стороне, то есть вы никак этому противодействовать не могли.
Так что всё довольно логично.
Боюсь, что закон не регламентирует настолько меры безопасности. Достаточно отправки ценным мелким пакетом с проверкой паспорта на почте. И два разных конверта — с картой и с пином.
Хотя самые первые карты действительно работали сразу и можно было идти в банкомате снимать деньги. Но это было так давно…
Я года так два-три назад обновлял протухшую карточку — все по феншую было уже. До этого (предыдущее обновление) — запечатанный конвертик, да.
Вообще, кмк, на пинкод на открытой бумажке можно и руководству написать свое фи. Насколько помню, по правилам, пин код не должен так светиться.
Физически вскрыть чипы, электронным микроскопом считать память. Или вирус, принимающий запросы к виртуальной карте и отдающий её ответы.
Если не получится — рассказывайте, почему. Но обычно вся безопасность основана на том, что затраты — намного больше выигрыша.
Пока что выглядит неубедительно. Я не очень понимаю, что мешает написать вирус, который делает «удлинитель NFC». То есть один мобильник подносим к терминалу, далее обмен передается по IP в тот мобильник, в котором Apple Pay. С отпечатками пальца и уведомлениями — аналогично.
Всякие холд — непонятно, чем помогут, если владелец не контролирует счет ежедневно.
Единственный аргумент — цена написания такого вируса (точнее руткита) намного дороже того, что можно с его помощью снять.
При копиях сим карты и т.д. можно предъявить и оператору. А что предьявить банку, если он скажет «Мы все отправили, вот в логе у нас, вы даже прочитали».
Схема с пушем будет безопасна, только если оператором пушей станут госуслуги. Ну или на крайняк важные уведомления и т.д. будут идти через «госпочту», которая там вроде как даже работает. Но тут нужно законодательно обязать, дублировать все туда (точнее туда обязательно, а потом хоть голубями).
Шанс злоумышленника найти пособника и в банке и в госуслугах нереально мал.А если найдет, не спасут ни пуши, ни смс.
А нету отличий. С СМС ровно тоже самое - они скажут, что все отправили. Ну и google или apple в качестве оператора пушей - явно надежнее, чем госуслуги. В госуслугах у злоумышленника есть шанс найти пособника, в google - даже шанса нету. Точнее нету за те деньги, что можно украсть с российской карты.
Что пуш что смс ненадёжны. За один отвечает гугл в америке смкоторым у меня никаких бумаг, за другой юрлицо в рф с которым у меня бумажный договор
К тому же, мой телефон позволяет сохранять пуши (правда, ни разу не делал, не уверен, куда будет сохранён)
Здесь скорее всего беспокойство вызывает если произойдут левые транзакции, но для этого надо как минимум передать злоумышленнику карту! А также надо помнить, что во всех банках есть лимиты по карте без пинкода (до 1 000₽ — 5 000₽ ).
Ну и как обычно скорее всего это касается пенсионеров, которым и обычная карта и обычная смс это уже сложно.
За каждую.
Банк может просто дублировать отправленное сообщение, скажем, на электронную почту — это выйдет намного дешевле.
2) Я что-то не очень представляю, каким образом я могу доказать (как абонент) факт неприхода СМС/пуша. И не очень представляю, зачем мне доказывать их приход.
У меня ВТБ шлёт. Параллельно с пушами.
В суде как клиенту мне может потребоваться доказать, что я не получал СМС (но я слабо представляю методологию доказательства отсутствия факта).
А доказывать в такой ситуации, что уведомление было — несколько странно, не находите?
1. продержаться на повышенных тарифах до тех пор пока банки еще используют смс
2. позволить банкам максимально перейти на пуши, по скольку этим действием банки сами создают подтверждение что они выбрали дорогие СМС-ки от лени, а не от безысходности.
«Мегафон» выиграл иск против ФАС: цена SMS-рассылок для банков не изменится