По копипаст все понятно, она полагаю не вносит сильный вклад в итоговую оценку и наоборот, если нормальный пользователь вставляет через копипаст, а злоумышленник нет, то это тоже отклонение, просто обратное. Общая база между банками это ещё и объединение баз данных ПДн предположительно в обработки ПДн в целях несовместимых между собой.
Если бы все было так хорошо то простые компании никогда бы не смогли получать уведомления и т.п. от банков к примеру, потому шлют их на самом деле с других доменов, с доменов сервиса который услугу рассылки банк предоставляет
Как вы обходите запрет на передачу кому либо банковской тайны (передачу вам в смысле) особенно по тому примеру что указан в последнем разделе, особенно какие заявления или согласия подписывает клиент? Было бы интересно для наших приложений внедрить.
Что мешает злоумышленникам обучиться и поделать ваши запросы от ваших js модулей в ваш антифрод с проставлением нужных параметров и обхода тем самым анализа?
Из приведенных схем хищения совершенно не понятно о чем речь, в чем суть схемы «перевод с карты на карту», мне кажется это не схема, а этап целой схемы, где социальная инженерия которая на первом месте, это как раз первый этап схемы.
Для составления идентификатора планируется собирать сотни параметров, включая информацию о самом устройстве, его характеристиках, окружениях среды, паттерны поведения пользователя и многое другое.
Во первых это рекомендация, никто ничего не обязан, так же ОС Андроид и iOS не дают никакой уникальной информации по устройству, разные устройства выплат как пустую так и одинаковую информацию по некоторым системным параметрам для разных моделей устройств, либо информация меняется постоянно. Если кто знает что считать уникальным идентификатором для каждой из этих операционных систем прошу помочь.
Далее браузер, опять же ничто не говорит от 100% идентификации, а значит на больших выборках будет много схожих устройств, не везде применимы evercookie, так же половина тех способов что этот же evercookie предлагает уязвимые, тот же flash.
Любое более сильное вмешательство, например, сбор IMEI может выдать как пустые данные, а у пользователя будет подгорать по этому поводу.
Остаётся выкачивать телефонную книгу, фотки и смотреть сходство этих данных для разных ЮЛ и ФЛ)
Аналогично и с разработкой всяких плагинов к браузерам цель которых будет запросить чтение данных операционной системы для сбора CPU ID, HDD IP, реестра и системных переменных, записи каких-то своих переменных.
Полагаю не будет каких операций по звонку, не у все компаний АОН даже есть. Это будет мобильное приложение, в котором ты через ЕСИА аутентифицируешься, там тебя просят ввести сотовый и включить камеру на всякий случай для аутентификации — вот ты и взял микрокредит.
Т.е. уже выполнено или никогда и не было плохим
По копипаст все понятно, она полагаю не вносит сильный вклад в итоговую оценку и наоборот, если нормальный пользователь вставляет через копипаст, а злоумышленник нет, то это тоже отклонение, просто обратное. Общая база между банками это ещё и объединение баз данных ПДн предположительно в обработки ПДн в целях несовместимых между собой.
Параметры платеже вам не передаются?
Алгоритм динамической обфускации все равно же прописан в этом же js
У вас там есть поля для указания причины не устранения уязвимости ?
Во первых это рекомендация, никто ничего не обязан, так же ОС Андроид и iOS не дают никакой уникальной информации по устройству, разные устройства выплат как пустую так и одинаковую информацию по некоторым системным параметрам для разных моделей устройств, либо информация меняется постоянно. Если кто знает что считать уникальным идентификатором для каждой из этих операционных систем прошу помочь.
Далее браузер, опять же ничто не говорит от 100% идентификации, а значит на больших выборках будет много схожих устройств, не везде применимы evercookie, так же половина тех способов что этот же evercookie предлагает уязвимые, тот же flash.
Любое более сильное вмешательство, например, сбор IMEI может выдать как пустые данные, а у пользователя будет подгорать по этому поводу.
Остаётся выкачивать телефонную книгу, фотки и смотреть сходство этих данных для разных ЮЛ и ФЛ)
Аналогично и с разработкой всяких плагинов к браузерам цель которых будет запросить чтение данных операционной системы для сбора CPU ID, HDD IP, реестра и системных переменных, записи каких-то своих переменных.