Вот и подтверждение от ФАС пришло, почему SMS для банков такие дорогие:
В сообщении ФАС указывается, что сотовые операторы заключали на разных условиях договоры с частными компаниями и организациями с государственным участием. Последние в результате могли платить в несколько раз меньше, причем разница доходила до 10 раз.
«Одним из примеров, в частности, является осуществление банками информационных, сервисных и транзакционных рассылок СМС-сообщений», — говорится в сообщении. За установление монопольно высоких цен на услугу рассылки СМС-сообщений операторы также признаны виновными.
Ключевое слово — там. В этой стране при хорошо развитых банковских онлайн-сервисах сами банки не хотят развивать системы аутентификации. Раньше одноразовые коды выдавали на распечатках в банкоматах, потом на скретч-картах, только коды на них быстро заканчиваются. А когда повально все сделали подтверждение операций через коды в SMS, то про скретч-карты тихо стали забывать. А ещё «для удобства пользователей» дошли до 4-х знаковых кодов и подтверждение только входа в систему без подтверждения каждой операции.
Вот я хочу иметь OTP-генератор для безопасных банковских транзакций, какой нормальный банк в этой стране его может дать забесплатно? В некоторых баках пыжились их внедрять за немаленькие деньги, но широкого распространения они не получили.
Если Вас интересуют технические подробности, то Вам надо не сюда, а к разработчикам этой системы.
Я догадываюсь о технических подробностях, потому что изучал подобные системы и разрабатывал близкие. Ещё раз повторюсь: превращать смартфон в криптотокен — это лучше, чем коды через SMS, но не так надёжно, как настоящий железный криптотокен.
Почему Вы о банках так плохо думаете?
Потому что я изнутри знаю, как там устроены многие вещи. Они до сих пор могут хранить пароли клиентов в открытом виде и их это особо не заботит.
В боле-менее продвинутых банках PIN-конверты давно уже не используются, а PIN-код карты задаётся клиентом самостоятельно при активации карты в банкомате или через мобильное приложение. TLS гораздо надёжнее бумаги.
Есть OTP-генераторы в формате банковских карт, места практически не занимают. Деньги же вы в чём-то носите?
будет неудобно, если потеряю
Проблема восстановления доступа, особенно удалённо — это основная причина того, что их практически не внедряют после того, как все подсели на простые и относительно дешёвые для первого входа SMS.
С криптотокенами ещё проблемы есть, типа слабая их поддержка как железом, так и софтом.
Потому что на них малый спрос, который возникает из этих неудобств, получается замкнутый круг. Делали бы их в виде какой-нибудь Тройки, которая читается через NFC, стоит копейки и выдаётся банком на халяву — многие бы ими пользовались.
Нет никаких внешних врагов. Вы живёте в слаборазвитой банановой республике с хунтой, захватившей власть. И всему остальному миру до этой страны нет никакого дела, пока какой-нибудь сказочный не надавит на красную кнопку или не начнёт оттяпывать огороды у соседей.
Раскачивание лодки — это один из способов снять с большой массы людей шоры, которые постоянно натягиваются на них телевизором и прочими медиа. Ледник уже трещит, посмотрим, что будет в сентябре на выборах, сможет ли трещина поползти дальше?
И таким образом привязать смартфон и планшет. Для каждого устройства свой код привязки.
Вы описали процедуру со стороны клиента банка, но так и не ответили на мой вопрос: как осуществляется «привязка к устройству»? Какой используется протокол, какие криптосхемы, где и как хранится секрет на устройстве?
Приложение НЕ обменивается с банком по протоколу.
Да ну? Передача кода через бумажную почту в виде картинки ничем не отличается от передачи того же кода по HTTPS, только менее безопасно, т.к. может быть перехвачено в большом количестве мест.
Получить «Васе» это все сразу маловероятно.
Картинка в простом бумажном конверте, логин-пароль — через кейлоггер/перехват трафика/слив базы паролей, вероятность сильно отлична от нуля.
Спасение утопающих — дело рук самих утопающих.
Вот поэтому банкам сильно наплевать на безопасность клиентов, которые всегда сами виноваты. Главное — минимизировать операционные затраты на обслуживание клиентов.
Холодная война СССР с США закончилась в декабре 1991-го, когда СССР окончательно умер. Гражданские войны на его бывшей территории не утихают с 1989-го и до сих пор продолжается его распад благодаря сказочным персонажам.
Чтобы никто ничего не высмотрел через ваш смартфон — не включайте его. Потому что любые данные могут быть использованы против вас и вы даже не догадываетесь как и какие именно. Сегодня вам хорошо, а завтра — 282 статья за лайк или репост. Это не паранойя, это суровая реальность, в которой местное государство гораздо хуже заокеанских корпораций добра.
Было примерно то же самое, клиентка Сбера перепутала цифры в номере и SMS начали приходить на мой номер. Ничего не делал, через пару месяцев они пропали.
Это к вопросу правильной валидации номера, который предоставляет клиент. Один из правильных вариантов — активация новой карты через звонок IVR-боту со своего номера.
Расскажите, пожалуйста, как конкретно осуществляется «привязка устройства»? Я вот сколько по этой теме не разбирался, не нашёл ни одного 100% безопасного способа доказательства, что это именно то устройство, с которого осуществлялась «привязка».
Предположим, приложение с сервером банка по какому-то протоколу обмениваются какими-то данными, подтверждающими, что приложение знает какой-то секретный код или ключ. Что мешает хакеру Васе узнать этот код? В iOS хотя бы давно была сделана аппаратная поддержка криптохранилищ, в Android, помниться, что-то вменяемое появилось с 6 версии, но не на всех устройствах оно есть физически. А где вы будете хранить секретики в Windows, если вы все приложения запускаете под одними правами доступа?
И самый коварный вопрос: как доказать, что первый раз привязку устройства делает валидный клиент, а не хакер Вася? Вот пришёл новый клиент в банк, ему выдали карту, какие-то бумажки, дома он начинает регистрацию и обнаруживает, что она уже была осуществлена, а вся его зарплата пропала, как от этого защищаться? Отсюда же идёт следствие проблемы — как доказать, что новое устройство принадлежит валидному клиенту, который утопил свой iPhone на Сейшелах и не может прям сейчас прийти в отделение банка, потому что ему до самолёта ещё две недели, денег на карте не осталось, а с резервного счёта перевести не может, потому что iPhone подруги не был зарегистрирован в банке.
По совокупности безопасности и удобству использования. Трудно взламываемые железки с простым интерфейсом. Если вам лень вводить несколько цифр с экрана OTP-генератора, или периодически заряжать BlueTooth криптотокен, но не страшно за свои деньги, то можно оставаться жить с SMS.
Банки сейчас прикрываются стратегией Неуловимого Джо, просто ещё не было известных случаев крупномасштабных ограблений банков, в основном злоумышленники работают по-малому, потому что обналичка или отмыв больших сумм денег — довольно трудоёмкий и опасный процесс. Если в каком-то банке до сих пор пароли хранятся в открытом виде в одной базе, то при утечке этой базы и наличии подельников в одном из операторов большой четвёрки можно увести почти весь банк через API онлайн-банка или мобильного приложения. Там реально миллиарды рублей сотен тысяч клиентов. Конечно, может сработать антифрод-защита и подозрительные операции заблокируются, но приятного для банка и клиентов будет мало.
Это ещё одна попытка сделать из смартфона криптотокен для работы с онлайн-сервисами банка. Точно так же можно сканировать QR-коды, вводить в приложении цифры с экрана, получать пуши. Но невозможно на 100% доказать, что это то самое устройство, которое регистрировалось в системе, а не приложение, запущенное в эмуляторе. Вся стойкость этих приложений сводится к трудности получения данных, которые они хранят на устройстве.
Вы между Gmail, ProtonMail и mail.ru какой сервис выбираете?
Вы реально верите в то, что в этой стране можно что-то добиться по закону? Здесь даже конституция не работает.
И какие у вас будут доказательства того, что злоумышленники с помощью сотрудников оператора связи перехватили SMS с кодами подтверждения и слили все деньги с ваших счетов? По логам банка будет что это вы сами всё перевели кому надо и подтвердили кодом из SMS, который по логам опсоса был отправлен на ваш телефон. И такие случаи были в реальной жизни.
Деньги вернули
а это ключевое, я об этом и говорю.
Деньги вернули только после переписки с техподдержкой, где я изложил своё видение того, как они были украдены. Им гораздо проще сразу вернуть нескольким упёртым, оставив себе миллиарды рублей тех, кто ничего не заметил или не стал бодаться. Ещё раз повторюсь, схема была такая, что с моей стороны никаких доказательств невозможно было бы представить, атака была изнутри МТС и никаких бы логов они не показали, даже если бы началось реальное разбирательство.
Очень странно, что Вы испытываете такое безграничное доверие к Дурову и к его сотрудникам.
Где вы такое увидели? Все сколь-нибудь значимые переговоры с партнёрами и коллегами я веду только живьём. В телеграмме — приватная информация, в gmail — то, что можно показать другим, по телефону деловые переговоры по минимуму.
Телеграмм является хорошим примером, в котором никакие его сотрудники не имеют доступа к секретной переписке исходя из принципов его протокола, реализацию которого можно посмотреть в документации и исходниках, и даже при желании можно сделать свою. Дуров не может предоставить товарищам майорам ключи шифрования сообщений просто потому что у него их нет.
В конце концов уж если совсем прижмёт, то ещё есть Signal, Tox и ему подобные. Да и S-MIME и PGP никто ещё не отменял.
Если говорить про двухфакторную аутентификацию в через SMS, то она уже давно depricated, потому что ненадёжная. Пока же лучше аппаратных криптотокенов или OTP-генераторов ещё ничего доступного нет, но банкам это очень не выгодно. Для юридических лиц они ещё могут предоставить токены для банк-клиентов, а раздать/продать их всем розничным клиентам — реально непосильная задача, потому что клиенты в основном не понимают необходимости дополнительной защиты своих счетов, их убедили, что SMS и пушей достаточно, и если что, банк деньги вернёт. Но это только кажется.
Меня лично сотрудники МТС (или их близкие друзья) обокрали на несколько сот рублей, причём всё было сделано так, что никакой доказательной базы против них невозможно было бы собрать. Деньги вернули, но с тех пор номер МТС я использую только для входящих звонков за пару копеек в месяц.
После того, как обчистят все ваши банковские счета через поддельную симку вы будете продолжать верить, что в этой стране суды что-то решают? И после громких случаев со взломами мессенджеров оппозиционеров операторам стало как-то стыдно и они что-то кому-то компенсировали? Им глубоко на вас наплевать, у них миллионы абонентов, тысячей больше — тысячей меньше, они и не заметят. Репутационные риски их вообще не заботят.
Вполне реальный Дуров содержит за свои деньги сервис, которым не так страшно пользоваться, как российскими опсосами, которые все сидят под колпаками товарищей из трёхбуквенной конторы. В нём хотя бы есть кнопка «создать секретный чат» и имеется представление, как он работает. А в каких базах у МТС храняться мои SMS с балансом банковской карты? И сколько тысяч сотрудников имеет к ним прямой доступ? И сколько из них смогут перехватить SMS с кодом подтверждения операции, пока я сплю? Если на кону суммы с 6-7 нулями, то все эти бумажки о неразглашении — просто бумажки.
Уже было достаточное количество известных случаев, когда сотрудники операторов помогали красть деньги, взламывать мессенджеры, а сами операторы постоянно находят новые способы честного отъёма денег у населения. Плюс Яровая обеспечила неограниченный доступ товарищам майорам к вашей информации, которая через них передаётся. Какое может быть к ним доверие?
У хороших мессенджеров есть открытый исходный код и описание протоколов, которые изучались широкой общественностью, к тому же никто не мешает вам сделать свой собственный мессенджер на их основе.
И ещё за кадром остались те, кто не пользуется смартфонами.
Ещё забыли тех, кто пользуется онлайн-сервисами через браузеры на компах. ;)
А потом приходит очередной 4,5,6G и всё меняется и перестраивается.
Почему вдруг стоит дороже?
По той же причине, почему у нас никогда не дешевеет бензин — монополии. Плюс бешеный принтер выпускает очередные законы, по которым отменяют мобильное рабство, роуминги и включают Яровую, операторы не будут экономить на себе, чтобы их выполнять, они просто поднимут тарифы. Да и рубль за последние пять лет подешевел в два раза, а практически всё телекоммуникационное железо стоит доллары или евро.
А банкам в этом случае деваться просто некуда — на них давит Центробанк со своими правилами оповещения клиентов. Прикиньте, сколько в среднем в месяц вам приходит оповещений, умножьте это число на количество клиентов среднего банка, и получите, сколько ИТ-отдел может сэкономить миллионов рублей в месяц при переходе на бесплатные пуши.
Когда-то SMS стоило 50 копеек, было терпимо, потом стало 1.5 р. и больше, уже напряжно. Не в курсе текущих цен, зависит от оператора и агрегатора SMS, но наверняка ещё подняли, поэтому банкам очень хочется от них избавиться и насильно посадить всех на пуши во всех возможных случаях. Плюс ещё проверка изменения IMSI у клиента стоит денег, а её необходимо делать перед каждой отправкой SMS.
Но стоит понимать, что пуш-уведомления об операциях и изменении баланса безопаснее SMS, при грамотной реализации в пуше идёт только идентификатор извещения, а сам текст запрашивается с сервера банка по шифрованному каналу. А вот передача кодов подтверждения через пуши убивает всю двухфакторную аутентификацию, т.к. SMS хотя бы привязаны к конкретной железке — SIM-карте, а пуши идут в приложение, которое может быть установлено на любом устройстве. При утечке базы паролей клиентов вполне возможно украсть весь банк.
Подробнее на РБК
Ключевое слово — там. В этой стране при хорошо развитых банковских онлайн-сервисах сами банки не хотят развивать системы аутентификации. Раньше одноразовые коды выдавали на распечатках в банкоматах, потом на скретч-картах, только коды на них быстро заканчиваются. А когда повально все сделали подтверждение операций через коды в SMS, то про скретч-карты тихо стали забывать. А ещё «для удобства пользователей» дошли до 4-х знаковых кодов и подтверждение только входа в систему без подтверждения каждой операции.
Вот я хочу иметь OTP-генератор для безопасных банковских транзакций, какой нормальный банк в этой стране его может дать забесплатно? В некоторых баках пыжились их внедрять за немаленькие деньги, но широкого распространения они не получили.
Я догадываюсь о технических подробностях, потому что изучал подобные системы и разрабатывал близкие. Ещё раз повторюсь: превращать смартфон в криптотокен — это лучше, чем коды через SMS, но не так надёжно, как настоящий железный криптотокен.
Потому что я изнутри знаю, как там устроены многие вещи. Они до сих пор могут хранить пароли клиентов в открытом виде и их это особо не заботит.
В боле-менее продвинутых банках PIN-конверты давно уже не используются, а PIN-код карты задаётся клиентом самостоятельно при активации карты в банкомате или через мобильное приложение. TLS гораздо надёжнее бумаги.
Проблема восстановления доступа, особенно удалённо — это основная причина того, что их практически не внедряют после того, как все подсели на простые и относительно дешёвые для первого входа SMS.
Потому что на них малый спрос, который возникает из этих неудобств, получается замкнутый круг. Делали бы их в виде какой-нибудь Тройки, которая читается через NFC, стоит копейки и выдаётся банком на халяву — многие бы ими пользовались.
Раскачивание лодки — это один из способов снять с большой массы людей шоры, которые постоянно натягиваются на них телевизором и прочими медиа. Ледник уже трещит, посмотрим, что будет в сентябре на выборах, сможет ли трещина поползти дальше?
Аутентификация без сервера — это не аутентификация, а её имитация.
Именно так. Клиент на кассе расплатился, SMS не пришло, смотрит в приложение — а там старая сумма на счету, ему от этого плохо, банк его обманул.
Вы описали процедуру со стороны клиента банка, но так и не ответили на мой вопрос: как осуществляется «привязка к устройству»? Какой используется протокол, какие криптосхемы, где и как хранится секрет на устройстве?
Да ну? Передача кода через бумажную почту в виде картинки ничем не отличается от передачи того же кода по HTTPS, только менее безопасно, т.к. может быть перехвачено в большом количестве мест.
Картинка в простом бумажном конверте, логин-пароль — через кейлоггер/перехват трафика/слив базы паролей, вероятность сильно отлична от нуля.
Вот поэтому банкам сильно наплевать на безопасность клиентов, которые всегда сами виноваты. Главное — минимизировать операционные затраты на обслуживание клиентов.
Чтобы никто ничего не высмотрел через ваш смартфон — не включайте его. Потому что любые данные могут быть использованы против вас и вы даже не догадываетесь как и какие именно. Сегодня вам хорошо, а завтра — 282 статья за лайк или репост. Это не паранойя, это суровая реальность, в которой местное государство гораздо хуже заокеанских корпораций добра.
Это к вопросу правильной валидации номера, который предоставляет клиент. Один из правильных вариантов — активация новой карты через звонок IVR-боту со своего номера.
Предположим, приложение с сервером банка по какому-то протоколу обмениваются какими-то данными, подтверждающими, что приложение знает какой-то секретный код или ключ. Что мешает хакеру Васе узнать этот код? В iOS хотя бы давно была сделана аппаратная поддержка криптохранилищ, в Android, помниться, что-то вменяемое появилось с 6 версии, но не на всех устройствах оно есть физически. А где вы будете хранить секретики в Windows, если вы все приложения запускаете под одними правами доступа?
И самый коварный вопрос: как доказать, что первый раз привязку устройства делает валидный клиент, а не хакер Вася? Вот пришёл новый клиент в банк, ему выдали карту, какие-то бумажки, дома он начинает регистрацию и обнаруживает, что она уже была осуществлена, а вся его зарплата пропала, как от этого защищаться? Отсюда же идёт следствие проблемы — как доказать, что новое устройство принадлежит валидному клиенту, который утопил свой iPhone на Сейшелах и не может прям сейчас прийти в отделение банка, потому что ему до самолёта ещё две недели, денег на карте не осталось, а с резервного счёта перевести не может, потому что iPhone подруги не был зарегистрирован в банке.
Банки сейчас прикрываются стратегией Неуловимого Джо, просто ещё не было известных случаев крупномасштабных ограблений банков, в основном злоумышленники работают по-малому, потому что обналичка или отмыв больших сумм денег — довольно трудоёмкий и опасный процесс. Если в каком-то банке до сих пор пароли хранятся в открытом виде в одной базе, то при утечке этой базы и наличии подельников в одном из операторов большой четвёрки можно увести почти весь банк через API онлайн-банка или мобильного приложения. Там реально миллиарды рублей сотен тысяч клиентов. Конечно, может сработать антифрод-защита и подозрительные операции заблокируются, но приятного для банка и клиентов будет мало.
Вы реально верите в то, что в этой стране можно что-то добиться по закону? Здесь даже конституция не работает.
И какие у вас будут доказательства того, что злоумышленники с помощью сотрудников оператора связи перехватили SMS с кодами подтверждения и слили все деньги с ваших счетов? По логам банка будет что это вы сами всё перевели кому надо и подтвердили кодом из SMS, который по логам опсоса был отправлен на ваш телефон. И такие случаи были в реальной жизни.
Деньги вернули только после переписки с техподдержкой, где я изложил своё видение того, как они были украдены. Им гораздо проще сразу вернуть нескольким упёртым, оставив себе миллиарды рублей тех, кто ничего не заметил или не стал бодаться. Ещё раз повторюсь, схема была такая, что с моей стороны никаких доказательств невозможно было бы представить, атака была изнутри МТС и никаких бы логов они не показали, даже если бы началось реальное разбирательство.
Где вы такое увидели? Все сколь-нибудь значимые переговоры с партнёрами и коллегами я веду только живьём. В телеграмме — приватная информация, в gmail — то, что можно показать другим, по телефону деловые переговоры по минимуму.
Телеграмм является хорошим примером, в котором никакие его сотрудники не имеют доступа к секретной переписке исходя из принципов его протокола, реализацию которого можно посмотреть в документации и исходниках, и даже при желании можно сделать свою. Дуров не может предоставить товарищам майорам ключи шифрования сообщений просто потому что у него их нет.
В конце концов уж если совсем прижмёт, то ещё есть Signal, Tox и ему подобные. Да и S-MIME и PGP никто ещё не отменял.
После того, как обчистят все ваши банковские счета через поддельную симку вы будете продолжать верить, что в этой стране суды что-то решают? И после громких случаев со взломами мессенджеров оппозиционеров операторам стало как-то стыдно и они что-то кому-то компенсировали? Им глубоко на вас наплевать, у них миллионы абонентов, тысячей больше — тысячей меньше, они и не заметят. Репутационные риски их вообще не заботят.
Вполне реальный Дуров содержит за свои деньги сервис, которым не так страшно пользоваться, как российскими опсосами, которые все сидят под колпаками товарищей из трёхбуквенной конторы. В нём хотя бы есть кнопка «создать секретный чат» и имеется представление, как он работает. А в каких базах у МТС храняться мои SMS с балансом банковской карты? И сколько тысяч сотрудников имеет к ним прямой доступ? И сколько из них смогут перехватить SMS с кодом подтверждения операции, пока я сплю? Если на кону суммы с 6-7 нулями, то все эти бумажки о неразглашении — просто бумажки.
У хороших мессенджеров есть открытый исходный код и описание протоколов, которые изучались широкой общественностью, к тому же никто не мешает вам сделать свой собственный мессенджер на их основе.
Ещё забыли тех, кто пользуется онлайн-сервисами через браузеры на компах. ;)
А потом приходит очередной 4,5,6G и всё меняется и перестраивается.
По той же причине, почему у нас никогда не дешевеет бензин — монополии. Плюс бешеный принтер выпускает очередные законы, по которым отменяют мобильное рабство, роуминги и включают Яровую, операторы не будут экономить на себе, чтобы их выполнять, они просто поднимут тарифы. Да и рубль за последние пять лет подешевел в два раза, а практически всё телекоммуникационное железо стоит доллары или евро.
А банкам в этом случае деваться просто некуда — на них давит Центробанк со своими правилами оповещения клиентов. Прикиньте, сколько в среднем в месяц вам приходит оповещений, умножьте это число на количество клиентов среднего банка, и получите, сколько ИТ-отдел может сэкономить миллионов рублей в месяц при переходе на бесплатные пуши.
Когда-то SMS стоило 50 копеек, было терпимо, потом стало 1.5 р. и больше, уже напряжно. Не в курсе текущих цен, зависит от оператора и агрегатора SMS, но наверняка ещё подняли, поэтому банкам очень хочется от них избавиться и насильно посадить всех на пуши во всех возможных случаях. Плюс ещё проверка изменения IMSI у клиента стоит денег, а её необходимо делать перед каждой отправкой SMS.
Но стоит понимать, что пуш-уведомления об операциях и изменении баланса безопаснее SMS, при грамотной реализации в пуше идёт только идентификатор извещения, а сам текст запрашивается с сервера банка по шифрованному каналу. А вот передача кодов подтверждения через пуши убивает всю двухфакторную аутентификацию, т.к. SMS хотя бы привязаны к конкретной железке — SIM-карте, а пуши идут в приложение, которое может быть установлено на любом устройстве. При утечке базы паролей клиентов вполне возможно украсть весь банк.