На днях написал, что скоро будут на гугл молиться, так заминусовали :)))
А вот тут и доказательства божественной природы гугла не заставили себя долго ждать.
Куда мир катится :))))
В то время, когда доминировал Netscape, Microsoft упорно хотела занять эту нишу и кинула все силы на свой броузер. И именно микрософтовский броузер тогда хоть как-то соответствовал современным (на тот момент) стандартам. Вряд ли они что-то "покупали". Делать совместимые с Нетшкафом сайты было сущим кошмаром и огромное кол-во компаний просто отказывалось от этой совместимости. Поэтому, за ИЕ 4.0 тогда проголосовали, в первую очередь, разработчики.
Посмотрим, как будет сейчас. Ситуация где-то как-то напоминает события 10 летней давности, хотя сейчас микрософт будет стартовать не с нуля.
раз уж заговорили про ssh, то наверное можно настроить "внешний" ssh-туннель и работать через него.
берем сервер (совсем необязательно выделенный) в США или Европе с доступом через ssh и с помощью Putty легко настраиваем туннель. дальше все свои соединения пускаем через него. и никто ничего не видит, не слышит. очень удобно
скоро еще молиться начнут на гугл, как на "отца родного"
гугл сделал то, гугл сделал это, с русским ошибку исправил, дырку в авторизации залатал, картинку новую нарисовал, встал, сел, пукнул, тьфу, капец :-(
15-20 лет назад на VisualBasic ?!
15 лет с большой натяжкой еще можно допустить.
но никак не 20 :-)
20 лет назад был Turbo C++, Turbo Assembler, Turbo Pascal - это были топовые системы разработки под DOS. Еще был Watcom C++ - лучший компилятор на тот момент (но не среда разработки). А микрософт только брался за свой Basic и С++.
Баннерная реклама: 780 тыс. в месяц, за год 9.36 млн.
Реклама на рынке: 700 тыс. в месяц, за год 8.40 млн.
Спонсорские группы: 23 млн. в месяц, за год 276 млн.
Виртуальные подарки: 2 млн. в месяц, за год 24 млн.
итого за год: 317 млн. долларов.
расходы за 2007г.: 30 млн.
планируемый доход за 2007г.: 150 млн. и все? где меня глючит? :-)
понятно, что доходы в начале года были в разы меньше чем в конце.
но тогда становится понятна цена 240 млн. за 1.6% и общая капитализация (можно ли в данном случае употреблять именно это слово?) в 15 млрд.
динамика роста - вот за это и 240 млн. :)
а вообще, компания не публичная, квартальные и годовые отчеты публиковать не обязана. поэтому о доходах/расходах можно судить только по прогнозам уважаемых журналов.
троян, который я примерно описал чуть выше, продавали одно время за ... ну совершенно безумные деньги. а главное, что его покупали. значит он себя оправдывал в десятки раз. и возиться с ним не нужно было - в "комплекте" шли инъекции для распространенных европейских банков. так что...
скимер (кард-ридер) + видеокарту (лучше фальш-клавиатуру) поставить, может быть и проще, но сесть за это тоже на три порядка проще. улавливаете? сейчас с банками в такие игрушки лучше не играть. а на просторах интренета, пока, к сожалению, практически каждый недоносок может чувствовать себя на 100% безопастно.
К сожалению, система защиты WebMoney очень часто приводится в пример, как достаточно образцовая. Но и здесь все не так гладко, как хотелось бы.
Во-первых, речь идет о кипере-классике, который является локальным приложением на компьютере пользователя и нагло попирает все возможные privacy, передавая в "центр" всю инфу о вашей системе. Об этом уже столько раз писалось, что жутко просто. По сути дела, это такой себе троян.
Во-вторых, опять таки дело в массовости. Сколько у них активных клиентов? Думаю, что намного меньше чем 4.6 миллиона, о которых упоминается на сайте. Кроме того, половина использует кипер-лайт, дабы не ставить себе эту "заразу" на компьютер и не быть привязанным в виндоуз и одному компьютеру.
В-третьих, блокировка по IP-адресу это сущий кошмар для обычного пользователя, хотя и достаточно эффективна.
В-четвертых, нотификация на емейлы последние годы дает очень серьезные сбои. У людей много почтовых ящиков и они не все их проверяют регулярно, они часто указывают рабочие емейлы, а потом меняют работу, но не меняют емейлы в таких системах как вебмани и т.д. Таким образом пострадало немало людей, когда еГолд и Вебмани ввели дополнительные блокировки с нотификацией на емейл. Лично у меня таким образо лет 8 назад увели 6 значную аську - был указан рабочий емейл, который уже был несуществующим. Прослезился тогда :-)
Массовость и человеческий фактор - вот тормоза прогресса в данной области. И банкам приходится с этим считаться, к сожалению.
Лимиты (и лимиты жесткие) банки ставят, как правило, на дебетные карты, которые привязаны к вашему банковскому счету. Здесь речь идет о ваших конкретных деньгах и банк вам ничего не вернет, скорее всего, если деньги будут похищены по такой карте. Но это ваши личные деньги, а не банка.
Использовать дебетные карты в онлайне - это совершенно неразумно.
А вот кредитные карты чаще всего страхуются и у держателя карты часто нулевая ответственность, т.к. все страховка компенсирует. Но здесь деньги банка и банк заботится о своих деньгах, поэтому и страхует. Хотя, лимиты все равно вводят - снятие кэша в АТМ, онлайн-транзакции и т.п.
В онлайне ПИН-код для совершения транзакции по вашей карте не нужен в принципе.
Пин код нужен для снятия кэша в АТМ и все чаще для покупок (от какой-то суммы). А в онлайне максимум cvv2-код. Мошенничество с кредитными картами в реальном, а не виртуальном, мире выходит за рамки данной дискуссии и вообще отдельная "песня".
Во-первых, абсолютно не хотел ни кого обидеть :-)
Во-вторых, все-таки PhD по безопасности e-com приложений это не реальный опыт работы в отделе безопастности крупного мирового банка. Согласитесь. И тут хорошо было бы послушать "начальника транспортного цеха" из банка, но таковых нет.
А далее по пунктам:
1. Еще раз повторюсь - нельзя сравнивать такие банки. ВА-СА "загнется", если кол-во клиентов у него будет приближаться к Барклайс.
Кроме того, Хсбц и Барклайс - международные банки, работающие в разных странах. А это тоже своя специфика и очень существенная.
2. Стандартные html-формы в данном случае это вообще маразм, а тем более с автосохранением. В одном банке в ОАЭ видел прекрасную реализацию - никаких форм и ввода с клавиатуры. Жалко, не запомнил банк. В Австралии тоже попадались такие.
3. На счет антивирусов я и сам, в общем-то, посмеялся. Я их тоже не люблю. Но по опыту, сейчас трояны больше 1-1.5 месяца живут очень и очень редко: либо их удаляют на компьютере пользователя, либо "удаляют" сервер, на который они все сливают.
Кроме того, для кардеров интерес представляют онлайн-счета, на которые пользователь заходит редко - выше вероятность "слить" все спокойно.
4. :-)
5. SMS - это не выход, как бы нам продвинутым пользователям этого не хотелось. Для одного небольшого банка в небольшой европейской стране - да, возможно. А вот в масштабах таких огромных банков как БанкОфАмерика или Хсбц - вряд ли :-(
Не подумайте только, что я защищаю эти банки. Они действительно наглые, ужасные и думают только о своих прибылях :-)
В любом случае, "свой" маленький банк будет предпочтительнее.
Peace.
Европа была логическим продолжением: достаточно богатые страны и уже широкое распространение онлайн-банкинга.
И поначалу все шло очень и очень неплохо. Деньги воровались в таких кол-вах, что банки взялись за голову. В-первую очередь, пострадала Германия. Здесь долгое время можно было легко и без особых ограничений переводить требуемые суммы на другие счета. Немецкие банки стали вводить дополнительные меры, например, ТАНы, а потом иТАНы. Это те самые одноразовые коды для транзакций, которые банк присылает вам по почте, и которые вы сканируете и храните у себя на компьютере :
И немецкие банки практически победили эту "заразу". На очереди были Испания, Англия, Франция и Италия. Потом добрались даже до Турции. Оказалось, что и там есть "рыба".
Почему в Прибалтике (особенно в Эстонии) в подавляющем кол-ве случаев счета сразу защищены брелками или ключами? Во-первых, небольшое кол-во клиентов. Во-вторых, прибалтийские банки с самого начала позиционировались как транзитные банки для клиентов из других стран (СНГ) и такие операции, как международный перевод были нормой. И они просто-напросто поняли, что иначе не защитишься - от троянов ничего не спасет, а ТАНы по всей Европе рассылать не будешь.
Австралия и Новая Зеландия пострадали тоже очень серьезно. Они пошли по пути, который сильно напоминает европейский. Но были и свои отличия, например, частое использование виртуальных клавиатур без каких-либо полей ввода, многоуровневая аутентификация и т.п.
Какой напрашивается вывод? Не все то золото, что блестит, и наоборот. Не нужно думать, что имея логин-пароль к счету с миллионом долларов/евро, мошенник сможет украсть хотя бы сто долларов. "За кадром" остается на самом деле большая работа банков по обработке и анализу транзакций и антифроду. Безусловно, большинство крупнейших банков мира далеко не идеальны, и не идеальны их веб-сайты. Идеально вообще ничего нет, к сожалению.
В любом случае, это ваш выбор хранить деньги в том или ином банке. И, к сожалению, чаще всего это именно ваша забота следить за сохранностью ваших денег, кредитных карт и т.п. Человеческий фактор - вот самое слабое звено, как ни крути.
Удачи вам господа.
Кстати, на самом-то деле, к счетам которые защищены железками или одноразовыми кодами у банков доверия больше на порядок, и в случае утери/кражи/подделки и т.п. у вас уведут с таких счетов все и не задумываясь, а банк ничего не заподозрит.
Ну а теперь попробуем взглянуть на проблему с другой стороны и разобраться, почему дело обстоит именно так, а не иначе.
Важное замечание. Нужно четко отделить онлайн-банкинг от кредитных карт. И там, и там возможен онлайн-доступ, но это разные вещи. Как уже правильно было сказано выше, для кредитных карт, чаще всего, устанавливается нулевая ответственность держателя карты (владелец карты всегда банк). В данном случае, все действительно страхуется и банку практически до лампочки. Хотя и здесь есть масса нюансов. А вот с банковскими счетами ситуация совсем, совсем другая. И вам, скорее всего, ничего не вернут в случае мошенничества/кражи.
И еще, не нужно думать, что все операции, которые проходят в онлайне, не контролируются сотрудниками банков и не проходят через их "руки" :
Онлайн-банкинг очень различается в разных странах. Стоит выделить отдельно США и Евросоюз с Австралией. Остальные регионы, как более мелкие или очень специфические (например, Япония) рассматривать не будем.
Итак, в США онлайн-банкинг начал развиваться очень давно. Банки быстро поняли удобство и выгоду от этого дела. Но также быстро они и поплатились за это - как только услуга стала массовой, потери стали тоже очень и очень приличные. По какому пути пошли американские банки? Правильно, они не стали усложнять процедуру аутентификации в онлайне, т.к. среднестатистический американец не потянет всех этих наворотов и кастомер-сервис банка загнется просто от звонков клиентов. Они ввели суровые ограничения на транзакции и контроль над ними.
Таким образом, на данный момент в подавляющем большинстве американских банков деньги нельзя не то что в оффшор вывести, а даже в другой американский банк перевести. И то, предварительно нужно будет включить эту функцию (позвонив в банк) и провести верификацию этого "внешнего" банковского счета. О том, чтобы иметь доступным wire transfer или international wire transfer можно просто забыть. Для того, чтобы эти функции были доступны, нужно позвонить в банк и ответить на ряд очень заковыристых вопросов, ответы на которые может знать только владелец банковского счета. Злоумышленнику для этого понадобятся ваши подробные кредит- и бэкграйнд-репорты, и то не факт, что получится, ибо банки тоже не сидят сложа руки.
Максимум, что доступно в онлайн-банкинге для рядового американца, это просмотр стейтментов (выписок), чеков, Bill Pay (оплата услуг, например, за телефон и газ), перевод средств на свои счета в этом же банке и перевод денег на другой счет в этом же банке с лимитами долларов в $500-$1000(внутренний перевод).
Все остальные удобства придется активировать. И не факт, что вам дадут это сделать.
Исторически сложилось так, что у американских финансовых учреждений антифрод строится на сильном data mining, т.е. анализируется совокупность факторов - ай-пи адрес, время операции, cookies, надежность клиента, характерность данной операции для данного клиента и т.д. и т.п. На основе этого выносится решение - отклонить операцию, провести или потребовать дополнительной проверки (звонок владельцу). И не нужно думать, что так легко можно подставить свой телефон : Изменение личных данных в онлайне тоже отслеживается и анализируется.
Для бизнес-клиентов во всех крупных банках США уже давно брелки или другие железки являются обязательными. В данном случае, от их введения как раз отстают мелкие банки.
Кроме того, с 2007 года вступил в силу закон, которые обязал все финансовые учреждения ввести двухуровневую систему аутентификации. Т.е. помимо логина/пароля еще нужно знать ответы на секретные вопросы (задаются самим пользователем). Конечно, это не сильно усложнило жизнь мошенникам, особенно с учетом индивидуальных особенностей реализации этой двухуровневой системы в разных банках.
Таким образом, американские банки, на самом деле, достаточно быстро и на долго перекрыли легкие пути для мошенников и украсть хотя бы сотню долларов стало большой проблемой. Поэтому они (мошенники) переключились на другие страны.
Статья до того меня задела, что не поленился зарегистрироваться, дабы написать пару слов.
Уважаемый автор!
Для того, чтобы проводить подобный анализ, нужно хоть немного разбираться в предмете с разных сторон, абстрагироваться от своего опыта веб-разработки (он здесь вообще не причем), собрать элементарную статистику и капнуть чуть глубже, чем удобство ввода логина, отсутствие автозаполнения (кстати, вы действительно считаете, что автозаполнение/запоминание в данном случае уместно?) и кол-ва сотрудников в ИТ-департаменте.
Что сразу же бросилось в глаза:
1. Нельзя сравнивать такие огромные банки как Барклайс, Хсбц и никому неизвестный ВА-СА.
В идеале, нужно иметь конкретную статистику по убыткам банков от онлайн мошенничества (кардеров) и сравнить с кол-вом клиентов банка и оборотом банка за тот же период. Но ни один банк не даст такую информацию.
2. Автозаполнение неуместно в данном случае ни при каких условиях. Кроме того, часто формы для ввода делаются с использованием Ява-скрипта или с виртуальной клавиатурой, дабы избежать влияния кей-логгеров.
3. Кей-логгеры (трояны)не работают уже давно месяцами :) Сейчас их быстро вылавливают – антивирусы не стоят на месте и зарабатывают большие деньги, не так ли?
4. На оффшор деньги нельзя слить ни быстренько, ни медлененько уже лет 7-8, а то и больше!!! Это бред. Чтобы это сделать, нужно сделать international wire transfer, а для этого вам либо надо лично прискакать в банк с документами и платежкой, либо ваш онлайн-банкинг защищен «железом» (брелком) и у вас доступна эта функция (в этом случае онлайн мошенничество невозможно).
5. Трояны, а не кей-логгеры, уже давно не только сливают скрин-шоты веб-страниц, но и очень умело делают инъекции этих страниц, подменяя определенные данные. Т.е. хозяин банковского счета думает, что переводит деньги Васе Пупкину и вводит свой одноразовый пин-код, а на самом деле деньги (совсем другая сумма) уходят Пете Васину и все счастливы. В данном случае, никакие ТАНы не помогут. Кроме того, эти же Трояны успешно уводят файлы ключей к чему угодно, а также сливают отсканированные иТаны (да-да, очень многие пользователи сканируют эти бумажки и хранят их в My Documents, чтобы не доставать при каждой транзакции). И вообще, делают на вашем компьютере все что угодно. Весело?
А вот тут и доказательства божественной природы гугла не заставили себя долго ждать.
Куда мир катится :))))
Посмотрим, как будет сейчас. Ситуация где-то как-то напоминает события 10 летней давности, хотя сейчас микрософт будет стартовать не с нуля.
берем сервер (совсем необязательно выделенный) в США или Европе с доступом через ssh и с помощью Putty легко настраиваем туннель. дальше все свои соединения пускаем через него. и никто ничего не видит, не слышит. очень удобно
гугл сделал то, гугл сделал это, с русским ошибку исправил, дырку в авторизации залатал, картинку новую нарисовал, встал, сел, пукнул, тьфу, капец :-(
15 лет с большой натяжкой еще можно допустить.
но никак не 20 :-)
20 лет назад был Turbo C++, Turbo Assembler, Turbo Pascal - это были топовые системы разработки под DOS. Еще был Watcom C++ - лучший компилятор на тот момент (но не среда разработки). А микрософт только брался за свой Basic и С++.
Реклама на рынке: 700 тыс. в месяц, за год 8.40 млн.
Спонсорские группы: 23 млн. в месяц, за год 276 млн.
Виртуальные подарки: 2 млн. в месяц, за год 24 млн.
итого за год: 317 млн. долларов.
расходы за 2007г.: 30 млн.
планируемый доход за 2007г.: 150 млн. и все? где меня глючит? :-)
понятно, что доходы в начале года были в разы меньше чем в конце.
но тогда становится понятна цена 240 млн. за 1.6% и общая капитализация (можно ли в данном случае употреблять именно это слово?) в 15 млрд.
динамика роста - вот за это и 240 млн. :)
а вообще, компания не публичная, квартальные и годовые отчеты публиковать не обязана. поэтому о доходах/расходах можно судить только по прогнозам уважаемых журналов.
троян, который я примерно описал чуть выше, продавали одно время за ... ну совершенно безумные деньги. а главное, что его покупали. значит он себя оправдывал в десятки раз. и возиться с ним не нужно было - в "комплекте" шли инъекции для распространенных европейских банков. так что...
скимер (кард-ридер) + видеокарту (лучше фальш-клавиатуру) поставить, может быть и проще, но сесть за это тоже на три порядка проще. улавливаете? сейчас с банками в такие игрушки лучше не играть. а на просторах интренета, пока, к сожалению, практически каждый недоносок может чувствовать себя на 100% безопастно.
Во-первых, речь идет о кипере-классике, который является локальным приложением на компьютере пользователя и нагло попирает все возможные privacy, передавая в "центр" всю инфу о вашей системе. Об этом уже столько раз писалось, что жутко просто. По сути дела, это такой себе троян.
Во-вторых, опять таки дело в массовости. Сколько у них активных клиентов? Думаю, что намного меньше чем 4.6 миллиона, о которых упоминается на сайте. Кроме того, половина использует кипер-лайт, дабы не ставить себе эту "заразу" на компьютер и не быть привязанным в виндоуз и одному компьютеру.
В-третьих, блокировка по IP-адресу это сущий кошмар для обычного пользователя, хотя и достаточно эффективна.
В-четвертых, нотификация на емейлы последние годы дает очень серьезные сбои. У людей много почтовых ящиков и они не все их проверяют регулярно, они часто указывают рабочие емейлы, а потом меняют работу, но не меняют емейлы в таких системах как вебмани и т.д. Таким образом пострадало немало людей, когда еГолд и Вебмани ввели дополнительные блокировки с нотификацией на емейл. Лично у меня таким образо лет 8 назад увели 6 значную аську - был указан рабочий емейл, который уже был несуществующим. Прослезился тогда :-)
Массовость и человеческий фактор - вот тормоза прогресса в данной области. И банкам приходится с этим считаться, к сожалению.
Использовать дебетные карты в онлайне - это совершенно неразумно.
А вот кредитные карты чаще всего страхуются и у держателя карты часто нулевая ответственность, т.к. все страховка компенсирует. Но здесь деньги банка и банк заботится о своих деньгах, поэтому и страхует. Хотя, лимиты все равно вводят - снятие кэша в АТМ, онлайн-транзакции и т.п.
Пин код нужен для снятия кэша в АТМ и все чаще для покупок (от какой-то суммы). А в онлайне максимум cvv2-код. Мошенничество с кредитными картами в реальном, а не виртуальном, мире выходит за рамки данной дискуссии и вообще отдельная "песня".
Во-вторых, все-таки PhD по безопасности e-com приложений это не реальный опыт работы в отделе безопастности крупного мирового банка. Согласитесь. И тут хорошо было бы послушать "начальника транспортного цеха" из банка, но таковых нет.
А далее по пунктам:
1. Еще раз повторюсь - нельзя сравнивать такие банки. ВА-СА "загнется", если кол-во клиентов у него будет приближаться к Барклайс.
Кроме того, Хсбц и Барклайс - международные банки, работающие в разных странах. А это тоже своя специфика и очень существенная.
2. Стандартные html-формы в данном случае это вообще маразм, а тем более с автосохранением. В одном банке в ОАЭ видел прекрасную реализацию - никаких форм и ввода с клавиатуры. Жалко, не запомнил банк. В Австралии тоже попадались такие.
3. На счет антивирусов я и сам, в общем-то, посмеялся. Я их тоже не люблю. Но по опыту, сейчас трояны больше 1-1.5 месяца живут очень и очень редко: либо их удаляют на компьютере пользователя, либо "удаляют" сервер, на который они все сливают.
Кроме того, для кардеров интерес представляют онлайн-счета, на которые пользователь заходит редко - выше вероятность "слить" все спокойно.
4. :-)
5. SMS - это не выход, как бы нам продвинутым пользователям этого не хотелось. Для одного небольшого банка в небольшой европейской стране - да, возможно. А вот в масштабах таких огромных банков как БанкОфАмерика или Хсбц - вряд ли :-(
Не подумайте только, что я защищаю эти банки. Они действительно наглые, ужасные и думают только о своих прибылях :-)
В любом случае, "свой" маленький банк будет предпочтительнее.
Peace.
И поначалу все шло очень и очень неплохо. Деньги воровались в таких кол-вах, что банки взялись за голову. В-первую очередь, пострадала Германия. Здесь долгое время можно было легко и без особых ограничений переводить требуемые суммы на другие счета. Немецкие банки стали вводить дополнительные меры, например, ТАНы, а потом иТАНы. Это те самые одноразовые коды для транзакций, которые банк присылает вам по почте, и которые вы сканируете и храните у себя на компьютере :
И немецкие банки практически победили эту "заразу". На очереди были Испания, Англия, Франция и Италия. Потом добрались даже до Турции. Оказалось, что и там есть "рыба".
Почему в Прибалтике (особенно в Эстонии) в подавляющем кол-ве случаев счета сразу защищены брелками или ключами? Во-первых, небольшое кол-во клиентов. Во-вторых, прибалтийские банки с самого начала позиционировались как транзитные банки для клиентов из других стран (СНГ) и такие операции, как международный перевод были нормой. И они просто-напросто поняли, что иначе не защитишься - от троянов ничего не спасет, а ТАНы по всей Европе рассылать не будешь.
Австралия и Новая Зеландия пострадали тоже очень серьезно. Они пошли по пути, который сильно напоминает европейский. Но были и свои отличия, например, частое использование виртуальных клавиатур без каких-либо полей ввода, многоуровневая аутентификация и т.п.
Какой напрашивается вывод? Не все то золото, что блестит, и наоборот. Не нужно думать, что имея логин-пароль к счету с миллионом долларов/евро, мошенник сможет украсть хотя бы сто долларов. "За кадром" остается на самом деле большая работа банков по обработке и анализу транзакций и антифроду. Безусловно, большинство крупнейших банков мира далеко не идеальны, и не идеальны их веб-сайты. Идеально вообще ничего нет, к сожалению.
В любом случае, это ваш выбор хранить деньги в том или ином банке. И, к сожалению, чаще всего это именно ваша забота следить за сохранностью ваших денег, кредитных карт и т.п. Человеческий фактор - вот самое слабое звено, как ни крути.
Удачи вам господа.
Кстати, на самом-то деле, к счетам которые защищены железками или одноразовыми кодами у банков доверия больше на порядок, и в случае утери/кражи/подделки и т.п. у вас уведут с таких счетов все и не задумываясь, а банк ничего не заподозрит.
Еще раз удачи.
Важное замечание. Нужно четко отделить онлайн-банкинг от кредитных карт. И там, и там возможен онлайн-доступ, но это разные вещи. Как уже правильно было сказано выше, для кредитных карт, чаще всего, устанавливается нулевая ответственность держателя карты (владелец карты всегда банк). В данном случае, все действительно страхуется и банку практически до лампочки. Хотя и здесь есть масса нюансов. А вот с банковскими счетами ситуация совсем, совсем другая. И вам, скорее всего, ничего не вернут в случае мошенничества/кражи.
И еще, не нужно думать, что все операции, которые проходят в онлайне, не контролируются сотрудниками банков и не проходят через их "руки" :
Онлайн-банкинг очень различается в разных странах. Стоит выделить отдельно США и Евросоюз с Австралией. Остальные регионы, как более мелкие или очень специфические (например, Япония) рассматривать не будем.
Итак, в США онлайн-банкинг начал развиваться очень давно. Банки быстро поняли удобство и выгоду от этого дела. Но также быстро они и поплатились за это - как только услуга стала массовой, потери стали тоже очень и очень приличные. По какому пути пошли американские банки? Правильно, они не стали усложнять процедуру аутентификации в онлайне, т.к. среднестатистический американец не потянет всех этих наворотов и кастомер-сервис банка загнется просто от звонков клиентов. Они ввели суровые ограничения на транзакции и контроль над ними.
Таким образом, на данный момент в подавляющем большинстве американских банков деньги нельзя не то что в оффшор вывести, а даже в другой американский банк перевести. И то, предварительно нужно будет включить эту функцию (позвонив в банк) и провести верификацию этого "внешнего" банковского счета. О том, чтобы иметь доступным wire transfer или international wire transfer можно просто забыть. Для того, чтобы эти функции были доступны, нужно позвонить в банк и ответить на ряд очень заковыристых вопросов, ответы на которые может знать только владелец банковского счета. Злоумышленнику для этого понадобятся ваши подробные кредит- и бэкграйнд-репорты, и то не факт, что получится, ибо банки тоже не сидят сложа руки.
Максимум, что доступно в онлайн-банкинге для рядового американца, это просмотр стейтментов (выписок), чеков, Bill Pay (оплата услуг, например, за телефон и газ), перевод средств на свои счета в этом же банке и перевод денег на другой счет в этом же банке с лимитами долларов в $500-$1000(внутренний перевод).
Все остальные удобства придется активировать. И не факт, что вам дадут это сделать.
Исторически сложилось так, что у американских финансовых учреждений антифрод строится на сильном data mining, т.е. анализируется совокупность факторов - ай-пи адрес, время операции, cookies, надежность клиента, характерность данной операции для данного клиента и т.д. и т.п. На основе этого выносится решение - отклонить операцию, провести или потребовать дополнительной проверки (звонок владельцу). И не нужно думать, что так легко можно подставить свой телефон : Изменение личных данных в онлайне тоже отслеживается и анализируется.
Для бизнес-клиентов во всех крупных банках США уже давно брелки или другие железки являются обязательными. В данном случае, от их введения как раз отстают мелкие банки.
Кроме того, с 2007 года вступил в силу закон, которые обязал все финансовые учреждения ввести двухуровневую систему аутентификации. Т.е. помимо логина/пароля еще нужно знать ответы на секретные вопросы (задаются самим пользователем). Конечно, это не сильно усложнило жизнь мошенникам, особенно с учетом индивидуальных особенностей реализации этой двухуровневой системы в разных банках.
Таким образом, американские банки, на самом деле, достаточно быстро и на долго перекрыли легкие пути для мошенников и украсть хотя бы сотню долларов стало большой проблемой. Поэтому они (мошенники) переключились на другие страны.
продолжение следует...
Уважаемый автор!
Для того, чтобы проводить подобный анализ, нужно хоть немного разбираться в предмете с разных сторон, абстрагироваться от своего опыта веб-разработки (он здесь вообще не причем), собрать элементарную статистику и капнуть чуть глубже, чем удобство ввода логина, отсутствие автозаполнения (кстати, вы действительно считаете, что автозаполнение/запоминание в данном случае уместно?) и кол-ва сотрудников в ИТ-департаменте.
Что сразу же бросилось в глаза:
1. Нельзя сравнивать такие огромные банки как Барклайс, Хсбц и никому неизвестный ВА-СА.
В идеале, нужно иметь конкретную статистику по убыткам банков от онлайн мошенничества (кардеров) и сравнить с кол-вом клиентов банка и оборотом банка за тот же период. Но ни один банк не даст такую информацию.
2. Автозаполнение неуместно в данном случае ни при каких условиях. Кроме того, часто формы для ввода делаются с использованием Ява-скрипта или с виртуальной клавиатурой, дабы избежать влияния кей-логгеров.
3. Кей-логгеры (трояны)не работают уже давно месяцами :) Сейчас их быстро вылавливают – антивирусы не стоят на месте и зарабатывают большие деньги, не так ли?
4. На оффшор деньги нельзя слить ни быстренько, ни медлененько уже лет 7-8, а то и больше!!! Это бред. Чтобы это сделать, нужно сделать international wire transfer, а для этого вам либо надо лично прискакать в банк с документами и платежкой, либо ваш онлайн-банкинг защищен «железом» (брелком) и у вас доступна эта функция (в этом случае онлайн мошенничество невозможно).
5. Трояны, а не кей-логгеры, уже давно не только сливают скрин-шоты веб-страниц, но и очень умело делают инъекции этих страниц, подменяя определенные данные. Т.е. хозяин банковского счета думает, что переводит деньги Васе Пупкину и вводит свой одноразовый пин-код, а на самом деле деньги (совсем другая сумма) уходят Пете Васину и все счастливы. В данном случае, никакие ТАНы не помогут. Кроме того, эти же Трояны успешно уводят файлы ключей к чему угодно, а также сливают отсканированные иТаны (да-да, очень многие пользователи сканируют эти бумажки и хранят их в My Documents, чтобы не доставать при каждой транзакции). И вообще, делают на вашем компьютере все что угодно. Весело?