Подделать паспорт конечно можно, и это происходит, к сожалению. Но есть одно очень важное отличие. Есть ненулевая вероятность, что от такого мошенника останется хотя бы фотография. А дальше уже дело техники, было бы желание. Также важно, что визит левого персонажа будет зафиксирован по месту и времени, то есть доказать что ты не верблюд будет гораздо легче.
Возможно вы сильно удивитесь, но даже номер карты в такой перечень не входит. Платежными системами не запрещено например выдавать карты клиенту без конверта, то есть в открытом виде. К тому же, ранее было обычным дело передавать карту в руки продавцу, официанту например... Никому ведь не могло прийти в голову когда придумывались эти правила, что банки додумаются использовать номер карты в качестве доступа ко всем счетам клиента...
Никогда, еще раз - НИКОГДА нельзя использовать кодовое слово для подтверждения чего-либо. Только для блокировки карт... Кодовое слово хранится открытым текстом, доступно сотрудникам и прекрасно сливается со всеми остальными данными...
Банк без отделений, это так современно, говорили они... Вот интересно, а сколько лет известно например про сим-своппинг? 10, 15 или больше?... Долго наверное ломал свой электронный мозг хваленый ИИ в антифрод системе, как же решить эту сложнейшую проблему, и наконец придумал. А зачем нам усложнять то жизнь мошенникам? Ведь для угона номера им, бедолагам, приходится ходить в офис опсосов... Давайте просто менять номер по видео связи! И никому вообще никуда не придется ходить...
Честно скажу, не силен в этих вопросах, хотя следовало бы. Если я правильно понял, то без установки левого CA приложения со стандартными настройками отвалятся (в том числе без ssl pinning). Если проверка отключена совсем (что я вероятно и встречал на практике неоднократно), продолжат работать. Зачем отключают проверку - чтобы не возиться с установкой недостающих в системе CA.
Это нормальная практика вообще? Знаю, что разработчики иногда отключают проверку сертификата, чтобы упростить себе работу. В таком случае ssl как бы есть, но источник сертификата не проверяется.
Как это будет работать? Хром будет ругаться и не пускать на сайты с подменным сертификатом. Ок, можно насильно впаривать всем какой-нибудь Яндекс браузер. Но как быть с приложениями? Вообще все приложения, которые ходят куда-то за границу, отвалятся.
Путаете теплое с мягким. Если есть физический доступ к харду, то разграничение прав ни о чем. Подразумевается, что доступа к спец. режимам нет (к биосу, батарейке, безопасному режиму). Это защита от выхода за рамки своего окружения при запущенной ОС. Например, если юзер запустит зловред, он должен остаться только в его окружении.
Зато у нас самый современный и продвинутый банкинг, не то что эти бумажные чеки на загнившем западе...
Эх, ничего не меняется со времен Митника...
Есть аппартные токены, то есть генераторы кодов. По сути то же самое что totp, только без привязки к телефону и сторонним сервисам.
Не знаю что такое секретный код. Всю жизнь для этого использовался пароль. А кодовое слово подходит только для блокировки карты и более не для чего.
Подделать паспорт конечно можно, и это происходит, к сожалению. Но есть одно очень важное отличие. Есть ненулевая вероятность, что от такого мошенника останется хотя бы фотография. А дальше уже дело техники, было бы желание. Также важно, что визит левого персонажа будет зафиксирован по месту и времени, то есть доказать что ты не верблюд будет гораздо легче.
Туфта это все, точно также обходится через смену сим карты например и легенду про потерянный телефон.
Да, только банков с такой двухфакторкой - единицы.
Возможно вы сильно удивитесь, но даже номер карты в такой перечень не входит. Платежными системами не запрещено например выдавать карты клиенту без конверта, то есть в открытом виде. К тому же, ранее было обычным дело передавать карту в руки продавцу, официанту например... Никому ведь не могло прийти в голову когда придумывались эти правила, что банки додумаются использовать номер карты в качестве доступа ко всем счетам клиента...
Никогда, еще раз - НИКОГДА нельзя использовать кодовое слово для подтверждения чего-либо. Только для блокировки карт... Кодовое слово хранится открытым текстом, доступно сотрудникам и прекрасно сливается со всеми остальными данными...
Ну ок, лучше чем ничего, конечно
А каким образом по вашему должен банк подтверждать личность, у которого нет отделений?
Банк без отделений, это так современно, говорили они... Вот интересно, а сколько лет известно например про сим-своппинг? 10, 15 или больше?... Долго наверное ломал свой электронный мозг хваленый ИИ в антифрод системе, как же решить эту сложнейшую проблему, и наконец придумал. А зачем нам усложнять то жизнь мошенникам? Ведь для угона номера им, бедолагам, приходится ходить в офис опсосов... Давайте просто менять номер по видео связи! И никому вообще никуда не придется ходить...
Честно скажу, не силен в этих вопросах, хотя следовало бы. Если я правильно понял, то без установки левого CA приложения со стандартными настройками отвалятся (в том числе без ssl pinning). Если проверка отключена совсем (что я вероятно и встречал на практике неоднократно), продолжат работать. Зачем отключают проверку - чтобы не возиться с установкой недостающих в системе CA.
Это нормальная практика вообще? Знаю, что разработчики иногда отключают проверку сертификата, чтобы упростить себе работу. В таком случае ssl как бы есть, но источник сертификата не проверяется.
Не будут ничего делать. Сейчас везде такое отношение к безопасности, установившаяся практика.
Как это будет работать? Хром будет ругаться и не пускать на сайты с подменным сертификатом. Ок, можно насильно впаривать всем какой-нибудь Яндекс браузер. Но как быть с приложениями? Вообще все приложения, которые ходят куда-то за границу, отвалятся.
В Китае как всегда поступили мудрее. Они просто контролируют разрешенные VPN
Путаете теплое с мягким. Если есть физический доступ к харду, то разграничение прав ни о чем. Подразумевается, что доступа к спец. режимам нет (к биосу, батарейке, безопасному режиму). Это защита от выхода за рамки своего окружения при запущенной ОС. Например, если юзер запустит зловред, он должен остаться только в его окружении.
Да, в дефолтного. Но доступ есть ко всем юзерам, потому что fat
Я имел в виду вот это окошко: https://habrastorage.org/r/w1560/getpro/geektimes/post_images/271/1c5/391/2711c53911fbc2742225aa30e488a971.png