Комментарии 17
В ответ банк получит подтверждение соответствия номера, ФИО абонента и номера документа, который осуществляет его личность.На самом деле ужасная идея. Раньше можно было прицепить к банку телефон, допустим, заграничный. И спать после этого спокойно, зная что какой-нибудь долбоящер не пойдет и не переполучит твой номер по левым документам, тем самым получив доступ к банковскому счету — случаев в интернете навалом описано. Сейчас же получается обязательно цеплять русский номер, да еще заведомо оформленный на личные банковские данные (не на родственника оформленный), т.е. убирают дополнительный слой возможной защиты. Зачем? Непонятно от слова вообще.
Что это даст банкам? Да ничего. Если речь о выявлении дропов, то дроп прошедший проверку в банке по паспорту уж тем более легко пройдет ее у сотового оператора.
Вы всё поняли наоборот. Слои защиты как раз не убрали, а добавили. Теперь этому «долбоящеру» для совершения операции придётся идентифицироваться не по одному подменённому вашему «иностранному» номеру телефона на свой, а ещё и подменять всё остальное, что он вряд ли уже сподобится делать.
Скорее Вы вообще не понимаете о чем речь.
Увод телефонного номера практически условно равнозначен уводу доступа к ИБ (у многих банков). На банки.ру куча историй как по рисованному скану паспорта перевыпустили симку (а безопасность у опсосов ниже чем в банке) и обчистили счет под ноль. Ничего больше подменять не надо, достаточно завладеть симкой.
Раньше от этого можно было обезопаситься оформив телефон не на себя (т.е. мошенник с банковскими данными попытавшись по ним же сменить телефон — обламывается) или заграничный номер (до куда мошеннику тяжело дотянуться, а и проверки там сильнее). Сейчас нельзя.
Что тут добавлено? Как раз убирание слоя защиты.
По сути раньше был некий аналог двухфакторной верификации или двух разных паролей — телефон на одного человека, банк на другого — сейчас же заставляют в обоих системах использовать один пароль.
Увод телефонного номера практически условно равнозначен уводу доступа к ИБ (у многих банков). На банки.ру куча историй как по рисованному скану паспорта перевыпустили симку (а безопасность у опсосов ниже чем в банке) и обчистили счет под ноль. Ничего больше подменять не надо, достаточно завладеть симкой.
Раньше от этого можно было обезопаситься оформив телефон не на себя (т.е. мошенник с банковскими данными попытавшись по ним же сменить телефон — обламывается) или заграничный номер (до куда мошеннику тяжело дотянуться, а и проверки там сильнее). Сейчас нельзя.
Что тут добавлено? Как раз убирание слоя защиты.
По сути раньше был некий аналог двухфакторной верификации или двух разных паролей — телефон на одного человека, банк на другого — сейчас же заставляют в обоих системах использовать один пароль.
А разве есть клиент банки, где для доступа к счету достаточно только номер телефона?1c80 Есть достаточное количество банков, где имея телефон можно восстановить на него доступ в ИБ. Т.е. так-то входишь по логину и паролю, но при этом пароль восстанавливается смс-кой на телефон и всё на этом. На банки.ру много историй на эту тему.
Вы сами же ответили на вопрос, как решить обозначенную вами проблему — обязательно многофакторная (!) верификация (не исключительно в БД, а система-пользователь). Иначе, объединяй/не объединяй персональную информацию — смысла нет. Для однофакторной верификации, число факторов, да — только увеличит число возможных точек входа, из которых останется только выбрать, какую легче подменить. При грамотной многофакторной же проверке, а тем более не только по статичной персональной информации (например, локация: "ну ее мог человек за 5 мин. переместиться из Москвы в Казань") КПД защиты возрастает аж в факториальной пропорции.
Вы сами же ответили на вопрос, как решить обозначенную вами проблемуЧто бы ее не решать — достаточно было ее не создавать.
Не соглашусь с вами. Тогда степень защиты была бы в целом на неприемлемо низком уровне.
Банки и раньше не всегда принимали иностранные номера (внезапно). Однако, не иметь возможности проверить номер телефона банком не обозначает автоматического отказа в обслуживании.
В таких случаях можно было указать советский номер, но не свой.
Однако, не иметь возможности проверить номер телефона банком не обозначает автоматического отказа в обслуживании.Но дает повод. Уж если 115 фз применяют для блокировки полученных 10р от брата, то что уж тут говорить о том если телефон проверку не пройдет?
А разве есть клиент банки, где для доступа к счету достаточно только номер телефона?
там же код или пароль надо вводить, на новом устройстве, что бы авторизоваться, тут недостаточно, просто подрезать номер, не говоря уже о том, что оригинальная симка отключится.
там же код или пароль надо вводить, на новом устройстве, что бы авторизоваться, тут недостаточно, просто подрезать номер, не говоря уже о том, что оригинальная симка отключится.
подавляющее большинство банк-клиентов на смартфонах привязываются через sms
Ясно, спасибо, просто мне пока такие не попадались, значит.
Мы наверное говорим о разных вещах или вы просто меня не понимаете.
Пароль на смартфоне в приложении банка — это локальная мера, ограничивающая доступ, если украдут ваше устройство. Но для того чтобы первично привязать вас банковский счет к вашему устройству (их может быть у вас много) — достаточно sms, пароль вы задаете уже после, сами.
Злоумышленнику достаточно получить доступ к вашим sms (или выудить у вас социальной инженерией код, поверьте мошенники изворотливы), например через мошенника-оператора в у опсосов или установив у вас приложение-троян и ваш счет станет уязвимым.
Пароль на смартфоне в приложении банка — это локальная мера, ограничивающая доступ, если украдут ваше устройство. Но для того чтобы первично привязать вас банковский счет к вашему устройству (их может быть у вас много) — достаточно sms, пароль вы задаете уже после, сами.
Злоумышленнику достаточно получить доступ к вашим sms (или выудить у вас социальной инженерией код, поверьте мошенники изворотливы), например через мошенника-оператора в у опсосов или установив у вас приложение-троян и ваш счет станет уязвимым.
Ну имел ввиду, что мне такие клиент банки не попадались, когда я их подключал, то в офисе сразу вписывали номер телефона в договор и давали ключ-пароль который надо вводить при установке ну или надо было звонить в офис и авторизовываться по кодовому слову и паспорту, что бы клиент банк заработал.
а что бы ввел просто ввести номер, на него же получить смс было достаточно, не попадалось такого клиент банка ещё.
то есть злоумышленнику только номера недостаточно, приложение не авторизуется на новом устройстве, думал во всех банках так.
а что бы ввел просто ввести номер, на него же получить смс было достаточно, не попадалось такого клиент банка ещё.
то есть злоумышленнику только номера недостаточно, приложение не авторизуется на новом устройстве, думал во всех банках так.
Есть еще вариант проблемы.
Смарт где установлен банк-клиент — это смарт, как правило он бакапит все в облако — приложения, настройки, пароли доступа.
А облако привязано к гмыльному аккаунту, к которому в свою очередь доступ восстанавливается по смс.
Т.е. Вашу сим-карту перевыпускают, восстанавливают гугл аккаунт, с этим аккаунтом восстанавливают бакап на новый смарт и оппа — там уже стоит Ваше приложение для ИБ со всеми настройками ака введенными ключами, достаточно в него зайти и подтвердить операцию перевода денег по СМС.
На это все накладывается та фишка, что у некоторых банков сейчас и карта не нужна для снятия наличных — достаточно смарта с их приложением и банкомата, т.е. деньги иногда могут просто снять тупо налом даже.
Смарт где установлен банк-клиент — это смарт, как правило он бакапит все в облако — приложения, настройки, пароли доступа.
А облако привязано к гмыльному аккаунту, к которому в свою очередь доступ восстанавливается по смс.
Т.е. Вашу сим-карту перевыпускают, восстанавливают гугл аккаунт, с этим аккаунтом восстанавливают бакап на новый смарт и оппа — там уже стоит Ваше приложение для ИБ со всеми настройками ака введенными ключами, достаточно в него зайти и подтвердить операцию перевода денег по СМС.
На это все накладывается та фишка, что у некоторых банков сейчас и карта не нужна для снятия наличных — достаточно смарта с их приложением и банкомата, т.е. деньги иногда могут просто снять тупо налом даже.
И вообще, я когда клиент банк подключаю, то у меня берут паспорт и ставят тот номер,
который я для этого выбрал, если я захочу поменять номер, то мне опять же надо идти с паспортом в офис банка, то есть по определению там уже проверять нечего, все в банке проверили.
который я для этого выбрал, если я захочу поменять номер, то мне опять же надо идти с паспортом в офис банка, то есть по определению там уже проверять нечего, все в банке проверили.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Финтех-дайджест: робот ЦБ против финансовых пирамид, банки проверяют данные абонентов сотовых операторов