Как стать автором
Поиск
Написать публикацию
Обновить

ЦБ выпустил рекомендации для банков по верификации электронной почты клиентов, чтобы не допускать утечки их данных

Время на прочтение2 мин
Количество просмотров14K
Всего голосов 16: ↑16 и ↓0+16
Комментарии39

Комментарии 39

Интересно, а разве ещё cуществуют банки, которые не следуют этому алгоритму?
Существуют такие банки и их достаточно много.
Если обратить внимание, то ЦБ только сейчас и только в форме «рекомендаций» высылает банкам данную информацию.
Дело в том, что коммерческие банки в России работают по принципу норм и требований законодательства, а не введения инноваций в области защиты информации. Особенно это касается организаций, которые нацелены в основном на целевое кредитование, иначе называемые кредиты «на чайники». Там решение и оформление кредита должно занимать 5 минут, и то что верифицируют хотя бы телефон — уже победа. Многие ликальные партнёры банков вбивают несуществующие адреса для ускорения процесса оформления, а клиенты в такой же спешке всё это подписывают.
Ну а то что e-mail не верифицируются и используются как средства связи и разглашения информации — эта ответственность лежит на стороне клиента с точки зрения договора.Так же в случае предоставления некорректного почтового адреса или смены номера мобильного телефона без информирования банка об этом.
На верификацию будет уходить гораздо больше времени, что повлечёт дополнительные операционные затраты, ну и естественно затраты на разработку самой системы.
НЛО прилетело и опубликовало эту надпись здесь

Согласен, есть и такие случаи. Ради продаж многое могут делать недобросовестные сотрудники, но пока законодательной ответственности не будет — это есть норма.
Ко всему прочему, понимание людей о персональных данных у нас в стране пока что очень скудное. Те же e-mail если и есть у людей, то используются в основной массе для регистрации на различных сервисах. Многие забивают на чтение и чистку, и, соответственно не относятся к нему как к коммуникационному инструменту.

Тинькофф, например.
А проблемы у них из-за этого — были?
Судя по опыту общения — у них по сути две ступени авторизации при использовании каналов поддержки — первый это просто проверяется совпадение e-mail/телефона (или даже не проверяются), могут отвечать на вопросы (в том числе вида — что за бред не работает — но попросят им показать например скриншот), принять заявку и так далее а второе — если нужно через те же каналы техподдержки что-то сделать что однозначно требует не только доступа к данным аккаунта но и сообщить их клиенту или что-то поменять в аккаунте — уйдет СМС на мобильный телефон и попросят сказать код, либо позвонят на этот же телефон. При этом отличать ситуацию когда по телефону с ними говорит НЕ клиент (даже если говорящий знает все данные) — они умеют.
Постоянно приходят письма для клиентов различных банков, являющихся моими однофамильцами и, что характерно, не было ни одного письма от систем подтверждения, с другими сервисами (главным образом, игровые сервисы) ситуация прямо противоположная

Графический ключ и смс при подтверждении почты вроде бы ни разу не видел. Везде уникальная ссылка идёт.

НЛО прилетело и опубликовало эту надпись здесь
А какой тогда второй фактор используется? И в какой Европе: EU, EEA, Eurozone?
НЛО прилетело и опубликовало эту надпись здесь
www.hellenicbank.com/portalserver/hb-en-portal/en/personal-banking/ways-to-bank/i-need-a/web-banking
> On 31/12/2019 digiPIN devices will be discontinued and you will need to enable SMS OTP via web banking in order to be able to make transactions.

Как раз после осени 19-го.
Их огромное количество. Регулярно получаю на один из своих ящиков (фамилия@mail.ru, которому больше 20 лет) выписки из банков для левых людей.
Смежная тема: периодически на разных форумах в рунете появляются вопросы о возможности переадресации СМС, и только недавно до меня дошло наконец, что это можно использовать для банковских краж и угона (или временного перехвата для угона самого канала) аккаунтов в Телеграм (у владельцев раскрученных т-каналов) без привлечения других известных но недешевых средств.
Однако ответы на эти вопросы бывали с подробными обзорами, как и у кого из Б4 переадресация СМС возможна.
В таком случае почему переадресация СМС не запрещена громко и публично, как давно предупреждают о суточной блокировке СМС после любой замены СИМ?
Тоже интересно, как это работает. И так же интересно, как возможна подмена номера телефона, у сетей, получается, нет никаких проверок?

Занятно, но после смены сим карты, т.е. изменения IMSI, сбер заблочил мне все смски, пока я не обратился в техпод. Совпадение? Не думаю. Но почти наверняка есть разные ситуации и, если, например, перевыпуск сим банк "палит", то вот переадресацию может и не запалить.

Уже лет десять, если не больше, при перевыпуске симки сотовый оператор извещает банк.

Если у банка есть договор с этим сотовым оператором. Последний раз, когда я поменял симку, пчелайн просто сообщил мне, что в течение суток я не буду получать вообще никаких смс от банков.

Никто никого не извещает. Узнать номер IMSI и прочие данные может вообще любой, достаточно знать номер телефона. Сделать это можно например здесь и заблокировать эту возможность нельзя, она заложена в сам GSM протокол.

Работает это так:
SMS-центр делает вид, что собирается послать вам SMS. По номеру вашего телефона можно смаршрутизировать запрос в вашу сеть: «Куда сейчас направлять SMS для этого адресата?» В ответе вашей сети, содержащем сведения о вашей SIM-карте, сообщаются все вышеназванные сведения. SMS-центр сохраняет эти данные, а саму посылку SMS не производит.
проверил на своем телефоне -выдает неверный имси
похоже оператор подставляет какой-то свой служебный для приема смс

В договоре с банком явно прописан пункт о передаче моих данным операторам, чтобы те их извещали о смене сим

Совпадение. Два месяца назад менял симки ни один банк (не только Сбер) не почесался.
НЛО прилетело и опубликовало эту надпись здесь
C банковскими СМС это так просто не работает. Даже когда клиент именно этого и хочет, и насколько помню в описании соответствущих услуг Б4 — об этом прямо говорится (правда не говорится по какому критерию СМС — банковская).
перед первой отправкой сообщений по электронной почте банк должен проверять, действительно ли хранящийся в его базе данных адрес электронной почты принадлежит клиенту…
… клиент уведомляется об этом событии по телефону или лично

Эээ ну т.е. их не смущает, что этим они рассказывают непойми кому, что «у нас в банке есть клиент с таким-то email-адресом»?
Там же сначала приходит смс, затем ссылка (не обязательно с именем), и пройдя по ссылке надо будет ввести смс с телефона. Таким образом делается связка Клиент-Email-Телефон.
Читаем внимательнее.
Нет, это только на третьем шаге. А уведомление отправляется уже на первом.
Ситуация: оформляешься в банке, а тебе говорят, что твой номер телефона уже в базе, но не принадлежит тебе. Значит тебе надо подтверждение, что номер теперь твой. Идёшь к оператору, а оператор не имеет формы для выдачи по месту требования. Значит нужно найти свой договор (некоторые его уже выкинули), пойти к нотариусу, заверить документ и принести в банк, чтоб твой номер отвязали от другого клиента.

Выводы: зачем нужен банк? Храните ваши денежки наличкой под матрасом. Целее будут.
что твой номер телефона уже в базе
Просто говоришь «он всё-таки мой», вводишь код из СМС, и всё. Система подтвердилась, что номером действительно владеешь. Не вижу проблем и противоречий.
Если «номер теперь твой», то не вижу проблемы предоставить свою копию договора об оказании услуг связи, который выдается при подключении. Не выдали или купил симку в переходе? Это уже не проблемы банка.

С момента подключения могло пройти лет 10. Я сейчас даже не припомню, где мой договор на телефон хранится дома...

НЛО прилетело и опубликовало эту надпись здесь

Договору 19 лет, чернила подвыцвели, но вполне читаемо. Лежит с кучей других бумаг в известном месте.

У меня тоже лежало несколько договоров от которых симок (и номеров соответственно) нет уже более 10 лет. Я бы не поверил что ваш договор всё ещё действителен.
Я номер заводил лет 15-20 назад. Уже даже и не помню когда.
Ви таки думаете, что у меня сохранился договор? Тем более, что он был с оператором Ermak, который в дальнейшем влился в РТ, а затем мобильное подразделение РТ стало называться Теле2.
И будь у меня копия договора с Ermak — как банк проверит его подлинность?
В приведенном варианте как раз легче и украсть номер, предъявив договор с уже несуществующим оператором, как якобы реальным.

А почему нельзя подписывать почту с помощью сертификатов, полученных на аккредитованных Минкомсвязью Удостоверящих Центрах (УЦ)?

Думают о том, как клиент будет это проверять?
Если для «обычной» подписи электронной почты есть S/MIME, и какая-никакая поддержка на уровне клиентского ПО(и extensions для всяких gmail'ов) то ГОСТовские подписи проверить проверить не так уж просто.

Было бы желание. На самом деле все есть.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Другие новости