Pull to refresh

Comments 38

Жаль что люди теряют деньги, но определенный плюс в том что опсосы становятся банками определенно есть: наконец-то эти шараги со скамом взгреет более серьезная организация, например ЦБ, который научит их настоящему инфобезу, а не то что у них там сейчас.
Правда для этого жалобы в ЦБ надо писать, а не на форумы в интернете.

А в ЦБ какой-то не типичный для нашего банковского сектора инфобез?

Никакой магии в инфобезе ЦБ нет, кроме того что они его контролируют и за его отсутствие карают. Кто контролирует операторов связи? — какие-то смешные структуры, с которыми можно «порешать» (отчего у операторов творится всякая полузаконная дичь с непонятными списаниями и вмешательством в трафик, запрещенным законом «о связи»), но попробуйте «порешать» с ЦБ…

Как-то общался с безопасниками одного банка-оператора, принёс им информацию о том, как можно вытаскивать данные и деньги клиентов. Прошло более полугода, проблемы остались: у них то Новый Год, много дел, то Ковид, ещё больше дел.

Да нет в этом ничего хорошего.
Во-первых каждый должен заниматься своим делом. Банкиры — банком, ОпСоСы — связью. Иначе и то и другое будет через жопу. Что мы собственно и имеем.
Во-вторых МТС-Оператор и МТС-Банк это наверняка разные юрлица имеющие из общего только часть названия и, возможно, учредителей. Поэтому даже если ЦБ за что-то там возьмётся, то это будет касаться банка, а оператора это коснётся скорее всего чуть более чем никак.
Если они пересекаются (а они наверняка сильно пересекаются и часть людей из оператора имеют должности и в банке) то все эти рабочие места и люди попадают под регуляцию ЦБ.
Фактически скорее всего да — пересекаются, тут Вы правы. Но формально — нет. Поэтому какой результат будет «на выходе» предсказать трудно. Будем надеяться на лучшее, но готовиться к худшему.
Но в любом случае в каком-нибудь МТС-Банке, Билайн-Банке, Мегафон-Банке и т.д. лично я бы свои сбережения держать не стал. Такие банки могут быть удобны и иметь интересные плюшки для повседневной деятельности. И там можно держать немного денег постоянно докидывая. Но основные сбережения лучше держать в каких-то менее [ругательным тоном] инновационных банках, где операции подтверждаются не через SMS, а карточкой с одноразовыми паролями например. Лично моё мнение.
такие ещё остались, где не по смс?
Да, я таким пользуюсь. SMS там тоже есть, но при желании можно и без них. Плохо когда безальтернативно. Скажем в том же Сбере раньше были и одноразовые пароли (реализовано конечно было через задницу, но не суть), и SMS. Потом возможность работать по одноразовым паролям просто убрали.
Правда это всё не поможет если система устроена так, что идиот в коллцентре по телефонному звонку может поменять привязанный номер, а так же подключить подтверждение по SMS если оно даже выключено. Но это просто уже клиника.
ПСБ. Но я думаю и в других должно быть. Не один же он остался такой.
В прошлом году у знакомой так же «по собственной воле» подключили услугу «Везде как дома» когда улетела в Турцию, и все 3 недели списывали по 100 с чем то рублей в сутки. Вот только связь МТС пропала сразу после вылета, и попытки реанимировать ее ни к чему не привели, благо работала связь от другого оператора. По прилету, о чудо, связь сама включилась. Все попытки разобраться в ситуации не увенчались успехом. С тех пор на счету МТС не более нескольких десятков рублей. А уж в их банк нести — боже упаси.
Вот только связь МТС пропала сразу после вылета

+1, все тоже самое когда я ездил в Польшу, связь пропала прямо на границе… вообще «нет сети»

Когда вернулся в поддержке ничего внятного ответить не смогли (не в смысле — у вас там чтото не хватало, да вы не туда галочку не поставили… а буквально дословно «да, и действительно связи у вас не было, не знаю почему, давайте оставим звявку»), ушел от них к другим

А у вас роуминг был включён? Ручная регистрация в чужой сети работала?

Включен был, ручная регистрация не работала

и куда уж роуминг, я же через Беларусь ехал, там всё работало отлично, до Польской границы
Ну «добровольное» подключение каких либо услуг, сотовым оператором это у нас в порядке вещей.
Это хорошо демонстрирует, насколько отсталая и беззубая эта система банковских карт. Она никого ни от чего не защищает.
1) Во-первых, банк сам решает, кому доверять списание ваших денег без любых подтверждений: где-то это может быть ограничено 1,5к, но у меня бывало, что и 3к уходили без единого подтверждения по смс. Т.е. вдумайтесь — банк решает, кому доверять списание ваших денег без подтверждения, не вы!
2) Во-вторых, в случае кражи денег банк их должен возместить из своих денег и поэтому банк начинает подыгрывать на стороне мошенников, а не своего клиента. Мол «у вас есть справка, что вы не верблюд? нет? ну тогда деньги не вернем».
3) Слияние банка и оператора — это вообще адская смесь, т.к. обнуляет любой смысл двухфакторной авторизации. Ведь любой сотрудник такой компании может одновременно и иницировать платеж, и перехватывать любые подтверждающие смс (причем даже не доставляя их клиенту).

Думаю, мир должен прийти к обязательной подписи транзакции ключом клиента. Когда деньги не могут никуда сдвинуться без этой подписи, а любое движение без нее — автоматически признается мошенничеством с участием банка. Ключи, что вполне логично, должна выдавать другая независимая организация.
Все уже давно придумано — это чековая книжка.
Насколько я знаю, физически деньги на счету банка могут лежать до 30-ти дней. То есть, совершая перевод банк-отправитель сообщает банку-получателю «Деньги на счету имеются, их заблокировали для вас». А тот пополняет карту клиента, т.к. имеет подтверждение. Как раз на случай мошенничества.

Поправьте, если не прав.
это не на случай мошенничества, а потому что реальная банковская транзакция проходит примерно 3 дня плюс в некоторых случаях деньги резервируются как депозит и списываются по мере их подтверждения (например на заправке, зарезервировали 5000тыс, на все не влезло, списали 3 тыс, остальное разблокировали… но тут быстро — но если подумать можно найти сферы где дольше, например аренда авто), для всех этих операций выделен отрезок времени в 30 дней
По факту деньги могут списать (физически) прямо сразу, если вы оплатите до окончания банковского дня и между этими банками отдельный договор по ускоренным взаиморасчетам.
Спасибо за разъяснение. Сперва, хотелось бы задать вопрос, почему не делают 30 дней для переводов между физиками?
Но сам же и понимаю ответ. В этом случае, вся ответственность за взыскание средств ложится на банк получатель (который, не причем, т.к. пришел приход, который он обязан положить на счет), а не отправителя (допустившего эту лажу).
потому что тот кому перевели будет ждать 30 дней, ведь ему их не выдадут пока деньги окончательно не придут.
Не так, тут банк получатель выдает деньги клиенту, не дожидаясь того, что банк отправитель фактически переведет ему деньги, а лишь опираясь на его обязательства перевести деньги в течении скольких-то дней, если не будет проблем. Типа гарантийного письма среди юрлиц.
UFO just landed and posted this here
вполне прогресивная и защищенная система.

она только в США так работает, в РФ банк по умолчанию не доверяет держателю карты и вымотает вас до последнего, учитывая срок рассмотрения претензии 3-6 месяцев
Ну вообще то в нормальном банке такая ситуация в принципе не возможна.
Во первых при смене номера блокируются операции со счётом на сутки, банковские смс и т.д.
Во вторых нельзя удалённо привязать новый номер взамен заблокированного, только ножками в офис и с паспортом.
А именно это и было возможно(судя по публикации) в этом банке.
Отправка новых паролей клиентам ещё и в открытом виде, это вообще лютая дичь.
P.S. Судя по ветке на banki.ru ситуация напоминает пожар в борделе во время наводнения.
Согласен. Попытка разделить банки на нормальные и нет приводит нас к необходимости периодического независимого аудита банковской безопасности с открытыми для всех результатами. Тогда хоть станет понятно, чему конкретно мы доверяем свои деньги.
наличие бумажки о пройденном аудите, на самом деле вам не поможет. Я учавствовал в таких аудитах (как сотрудник организации — которую проверяли)… и могу сказать что это лишь фактор что «ну мы чёт попытались улучшить, чтобы стать compliance» по факту это подбивание систем под чеклист, и если сотрудникам плевать то это и будет лишь подбиванием чеклиста
Не вижу пока, чем плохо подбивание систем под чеклист? Другое дело, что чеклист должен быть грамотный. А из вашего описания, мне кажется, что аудитор это делает для «вида». Условно это является сговором компании и аудитора. В нормальном рынке такой аудитор расплатится своей репутацией и довольно быстро перестанет восприниматься как знак качества.
Что мешает на период проверки привести всё под чеклист, а после неё обратно? Для проверяемого главное остаться с лицензией.
Если говорить о технических средствах — то ничего, если об организационных процессах — то это довольно сложно. Это прям сотрудникам нужно отдельные инструкции и должностные полномочия раздавать на время аудита. А им быстро перестроиться с обычного процесса.

Но в любом случае, хоть такая проверка лучше, чем сейчас — сейчас мы понятия не имеем, насколько все там плохо.
Не вижу пока, чем плохо подбивание систем под чеклист?

одно дело когда система подбита под чеклист и совершенно другое когда она работает так чтобы ему соответствовать
А из вашего описания, мне кажется, что аудитор это делает для «вида»

аудитор делает по регламенту и чеклисту. а вот «для вида» — делают уже те кому этот аудит проводят.

В нормальном рынке такой аудитор расплатится своей репутацией

почемуже, он проводит аудит на соответствие, скоуп софта-железа-отделов аудитору предоставлены, он проверил что чеклисту все соответствует — выдал разрешение на лицензию… если чтото произойдет то аудитор то причем? он проверял соответствие того что ему показали и оно реально на момент показа соответствовало

А вот те кто этот скоуп составляет… и любыми правдами и неправдами выкидывает оттуда неудобные машины, софтины, бизнеспроцессы, помечая их как «не важные» и «не входящие» несмотря на то что по факту они учавствуют (например их могут на недельку отключить пока аудит проходит)

Мы в одной из контор (вообще я примерно 5 таких аудитов переживал… и pcidss и sox и еще отдельный чисто по it-безопасности в разных фирмах)… решили упороться и по максималкам впилить безопасность, это очень нетривиально, сложно и больно для бизнеспроцессов и сотрудников… и даже по прошествии нескольких лет, при каждой итерации с аудиторами, приходилось постоянно подбивать бумажки и процессы чтобы нас не запалили.

тем не менее по сравнению с обычными бизнесами, те конторы которые такой аудит проводят и их сотрудники, хотябы знают про ИБ… уже плюс, потому что даже тут на хабре полно народа, адептов админских прав на рабочем компьютере и свидетелей отключения апдейтов… про какую безопасность тут вообще речь. нам на одном аудите очень наглядно продемонстрировали как ломануть всю сеть если на одном компе уборщика не стоит апдейт вышедший неделю назад
Я системный администратор, более-менее нормальный. В 2016-2018 году подрабатывал на полставки в детском приюте (ЯНАО). Но как гром пришло сверху указание, что ВСЕ наши данные являются не персональными данными, а гостайной. Вот я тогда офигел.
А кто эти люди «составляющие скоуп»? Если это сотрудники внутри компании — то их там быть, конечно, не должно. Это прям пространство для мошенничества с проверкой. Сотрудники аудитора — вроде да, должны, но этот скоуп и должен быть грамотным, в этом и смысл репутации аудитора.
конечно это сотрудники внутри компании, зачастую это сотрудники ИБ вместе с начальниками ИТ отделов. Потому что все компании разные внутри, все ИТ системы разные. Я вот слабо себе представляю как сторонний человек сможет быстро проанализировать ИТ подсистему компании на 1000+пользователей и десятки тысяч серверов и грамотно определить какие сервисы входят в зону проверки, а какие нет… при этом не нарушая собственные правила которые они и проверяют.
Это вообще очень сложная и комплексная задача, к которой у меня очень много вопросов… чувствую я могу затроллить любого ИБшника и аудитора… на мой взгляд и ощущения, я ещё ни разу не видел среди них людей действительно профессиональных.
Так, стоп! Что значит «Далее злоумышленники меняли в банке номер телефона на свой, получали доступ к счету и онлайн-банкингу»? Во всех банках которыми я пользуюсь нужно сначала войти по логину/паролю, а уж потом только в дело вступают SMS. Ну допустим у некоторых логином может являться (или приравниваться) номер телефона. Но пароль-то откуда мошенники брали? Или в МТС настолько всё плохо, что в банкинг можно попасть чисто по SMS, без знания пароля?!
Ну и вообще конечно лучше не держать много денег в банке где в качестве подтверждения транзакций нельзя использовать что-то более надёжное чем SMS'ки (карточку с одноразовыми паролями например).
Судя по комментариям и публикации, мтс сам придумывает и рассылает пароли в открытом виде клиентам. В общем всё настолько плохо, что снизу уже не постучат.
Ну что ж… Зато «удобно и без лишнего геморроя». Так же юзеры всегда говорят.
Sign up to leave a comment.

Other news