Comments 39
Интересно, а разве ещё cуществуют банки, которые не следуют этому алгоритму?
Существуют такие банки и их достаточно много.
Если обратить внимание, то ЦБ только сейчас и только в форме «рекомендаций» высылает банкам данную информацию.
Дело в том, что коммерческие банки в России работают по принципу норм и требований законодательства, а не введения инноваций в области защиты информации. Особенно это касается организаций, которые нацелены в основном на целевое кредитование, иначе называемые кредиты «на чайники». Там решение и оформление кредита должно занимать 5 минут, и то что верифицируют хотя бы телефон — уже победа. Многие ликальные партнёры банков вбивают несуществующие адреса для ускорения процесса оформления, а клиенты в такой же спешке всё это подписывают.
Ну а то что e-mail не верифицируются и используются как средства связи и разглашения информации — эта ответственность лежит на стороне клиента с точки зрения договора.Так же в случае предоставления некорректного почтового адреса или смены номера мобильного телефона без информирования банка об этом.
На верификацию будет уходить гораздо больше времени, что повлечёт дополнительные операционные затраты, ну и естественно затраты на разработку самой системы.
Если обратить внимание, то ЦБ только сейчас и только в форме «рекомендаций» высылает банкам данную информацию.
Дело в том, что коммерческие банки в России работают по принципу норм и требований законодательства, а не введения инноваций в области защиты информации. Особенно это касается организаций, которые нацелены в основном на целевое кредитование, иначе называемые кредиты «на чайники». Там решение и оформление кредита должно занимать 5 минут, и то что верифицируют хотя бы телефон — уже победа. Многие ликальные партнёры банков вбивают несуществующие адреса для ускорения процесса оформления, а клиенты в такой же спешке всё это подписывают.
Ну а то что e-mail не верифицируются и используются как средства связи и разглашения информации — эта ответственность лежит на стороне клиента с точки зрения договора.Так же в случае предоставления некорректного почтового адреса или смены номера мобильного телефона без информирования банка об этом.
На верификацию будет уходить гораздо больше времени, что повлечёт дополнительные операционные затраты, ну и естественно затраты на разработку самой системы.
Согласен, есть и такие случаи. Ради продаж многое могут делать недобросовестные сотрудники, но пока законодательной ответственности не будет — это есть норма.
Ко всему прочему, понимание людей о персональных данных у нас в стране пока что очень скудное. Те же e-mail если и есть у людей, то используются в основной массе для регистрации на различных сервисах. Многие забивают на чтение и чистку, и, соответственно не относятся к нему как к коммуникационному инструменту.
Тинькофф, например.
А проблемы у них из-за этого — были?
Судя по опыту общения — у них по сути две ступени авторизации при использовании каналов поддержки — первый это просто проверяется совпадение e-mail/телефона (или даже не проверяются), могут отвечать на вопросы (в том числе вида — что за бред не работает — но попросят им показать например скриншот), принять заявку и так далее а второе — если нужно через те же каналы техподдержки что-то сделать что однозначно требует не только доступа к данным аккаунта но и сообщить их клиенту или что-то поменять в аккаунте — уйдет СМС на мобильный телефон и попросят сказать код, либо позвонят на этот же телефон. При этом отличать ситуацию когда по телефону с ними говорит НЕ клиент (даже если говорящий знает все данные) — они умеют.
Судя по опыту общения — у них по сути две ступени авторизации при использовании каналов поддержки — первый это просто проверяется совпадение e-mail/телефона (или даже не проверяются), могут отвечать на вопросы (в том числе вида — что за бред не работает — но попросят им показать например скриншот), принять заявку и так далее а второе — если нужно через те же каналы техподдержки что-то сделать что однозначно требует не только доступа к данным аккаунта но и сообщить их клиенту или что-то поменять в аккаунте — уйдет СМС на мобильный телефон и попросят сказать код, либо позвонят на этот же телефон. При этом отличать ситуацию когда по телефону с ними говорит НЕ клиент (даже если говорящий знает все данные) — они умеют.
Постоянно приходят письма для клиентов различных банков, являющихся моими однофамильцами и, что характерно, не было ни одного письма от систем подтверждения, с другими сервисами (главным образом, игровые сервисы) ситуация прямо противоположная
Графический ключ и смс при подтверждении почты вроде бы ни разу не видел. Везде уникальная ссылка идёт.
А какой тогда второй фактор используется? И в какой Европе: EU, EEA, Eurozone?
www.hellenicbank.com/portalserver/hb-en-portal/en/personal-banking/ways-to-bank/i-need-a/web-banking
> On 31/12/2019 digiPIN devices will be discontinued and you will need to enable SMS OTP via web banking in order to be able to make transactions.
Как раз после осени 19-го.
> On 31/12/2019 digiPIN devices will be discontinued and you will need to enable SMS OTP via web banking in order to be able to make transactions.
Как раз после осени 19-го.
Их огромное количество. Регулярно получаю на один из своих ящиков (фамилия@mail.ru, которому больше 20 лет) выписки из банков для левых людей.
Смежная тема: периодически на разных форумах в рунете появляются вопросы о возможности переадресации СМС, и только недавно до меня дошло наконец, что это можно использовать для банковских краж и угона (или временного перехвата для угона самого канала) аккаунтов в Телеграм (у владельцев раскрученных т-каналов) без привлечения других известных но недешевых средств.
Однако ответы на эти вопросы бывали с подробными обзорами, как и у кого из Б4 переадресация СМС возможна.
В таком случае почему переадресация СМС не запрещена громко и публично, как давно предупреждают о суточной блокировке СМС после любой замены СИМ?
Однако ответы на эти вопросы бывали с подробными обзорами, как и у кого из Б4 переадресация СМС возможна.
В таком случае почему переадресация СМС не запрещена громко и публично, как давно предупреждают о суточной блокировке СМС после любой замены СИМ?
Тоже интересно, как это работает. И так же интересно, как возможна подмена номера телефона, у сетей, получается, нет никаких проверок?
Занятно, но после смены сим карты, т.е. изменения IMSI, сбер заблочил мне все смски, пока я не обратился в техпод. Совпадение? Не думаю. Но почти наверняка есть разные ситуации и, если, например, перевыпуск сим банк "палит", то вот переадресацию может и не запалить.
Уже лет десять, если не больше, при перевыпуске симки сотовый оператор извещает банк.
Если у банка есть договор с этим сотовым оператором. Последний раз, когда я поменял симку, пчелайн просто сообщил мне, что в течение суток я не буду получать вообще никаких смс от банков.
Никто никого не извещает. Узнать номер IMSI и прочие данные может вообще любой, достаточно знать номер телефона. Сделать это можно например здесь и заблокировать эту возможность нельзя, она заложена в сам GSM протокол.
Работает это так:
Работает это так:
SMS-центр делает вид, что собирается послать вам SMS. По номеру вашего телефона можно смаршрутизировать запрос в вашу сеть: «Куда сейчас направлять SMS для этого адресата?» В ответе вашей сети, содержащем сведения о вашей SIM-карте, сообщаются все вышеназванные сведения. SMS-центр сохраняет эти данные, а саму посылку SMS не производит.
Совпадение. Два месяца назад менял симки ни один банк (не только Сбер) не почесался.
C банковскими СМС это так просто не работает. Даже когда клиент именно этого и хочет, и насколько помню в описании соответствущих услуг Б4 — об этом прямо говорится (правда не говорится по какому критерию СМС — банковская).
перед первой отправкой сообщений по электронной почте банк должен проверять, действительно ли хранящийся в его базе данных адрес электронной почты принадлежит клиенту…
… клиент уведомляется об этом событии по телефону или лично
Эээ ну т.е. их не смущает, что этим они рассказывают непойми кому, что «у нас в банке есть клиент с таким-то email-адресом»?
Ситуация: оформляешься в банке, а тебе говорят, что твой номер телефона уже в базе, но не принадлежит тебе. Значит тебе надо подтверждение, что номер теперь твой. Идёшь к оператору, а оператор не имеет формы для выдачи по месту требования. Значит нужно найти свой договор (некоторые его уже выкинули), пойти к нотариусу, заверить документ и принести в банк, чтоб твой номер отвязали от другого клиента.
Выводы: зачем нужен банк? Храните ваши денежки наличкой под матрасом. Целее будут.
Выводы: зачем нужен банк? Храните ваши денежки наличкой под матрасом. Целее будут.
что твой номер телефона уже в базеПросто говоришь «он всё-таки мой», вводишь код из СМС, и всё. Система подтвердилась, что номером действительно владеешь. Не вижу проблем и противоречий.
Если «номер теперь твой», то не вижу проблемы предоставить свою копию договора об оказании услуг связи, который выдается при подключении. Не выдали или купил симку в переходе? Это уже не проблемы банка.
С момента подключения могло пройти лет 10. Я сейчас даже не припомню, где мой договор на телефон хранится дома...
Я номер заводил лет 15-20 назад. Уже даже и не помню когда.
Ви таки думаете, что у меня сохранился договор? Тем более, что он был с оператором Ermak, который в дальнейшем влился в РТ, а затем мобильное подразделение РТ стало называться Теле2.
И будь у меня копия договора с Ermak — как банк проверит его подлинность?
В приведенном варианте как раз легче и украсть номер, предъявив договор с уже несуществующим оператором, как якобы реальным.
Ви таки думаете, что у меня сохранился договор? Тем более, что он был с оператором Ermak, который в дальнейшем влился в РТ, а затем мобильное подразделение РТ стало называться Теле2.
И будь у меня копия договора с Ermak — как банк проверит его подлинность?
В приведенном варианте как раз легче и украсть номер, предъявив договор с уже несуществующим оператором, как якобы реальным.
А почему нельзя подписывать почту с помощью сертификатов, полученных на аккредитованных Минкомсвязью Удостоверящих Центрах (УЦ)?
Было бы желание. На самом деле все есть.
Sign up to leave a comment.
ЦБ выпустил рекомендации для банков по верификации электронной почты клиентов, чтобы не допускать утечки их данных