Риск назывался так: «Обход 2fa». При оплате заказа в интернет-магазине для выполнения нужно было пополнить себе счет как раз через компрометацию фронтового веб-приложения (контейнер в k8s - в описании как раз это и указано). Далее по риску был произведен реверс-инжиниринг Android-приложения и анализ документации paycontrol для использования API и реализации риска. В статье подсветили общую информацию об интересных моментах при реализации риска.
1) Сейчас нет, но рассматриваем такую возможность. По звонку/фотографии и сброс нельзя осуществить сейчас, как и через госуслуги. 2) По номеру карты сброс возможен, но будет требоваться доп. фактор в виде кода из СМС в любом случае. Номер карты нельзя сообщать третьим лицам. 3) Отдельно запретить МП нельзя, но можно в целом запретить использование ДБО, при этом карты и обслуживание в офисах продолжат работать.
Мировой опыт: мошенники обкатывают схемы на нас, а после с ними уходят в другие страны и начинают "работать" с клиентами зарубежных банков. Есть и примеры фрода в зарубежных банках с использованием deepfake.
Проблема касается всех, инструменты противодействия везде одинаковые, разница, скорее, на уровне выстраивания процесса противодействия внутри отдельных банков, а не стран.
Использование ML-инструментов в совокупности с расширенными возможностями протокола MirAccept 2.0 позволяют достаточно эффективно выявлять мошеннические транзакции.
Мы взаимодействовали с ребятами из Омана - это был обмен опытом, киберучения. Про кибербитву можно прочитать здесь - https://habr.com/ru/companies/sovcombank_technologies/news/823140/
Риск назывался так: «Обход 2fa». При оплате заказа в интернет-магазине для выполнения нужно было пополнить себе счет как раз через компрометацию фронтового веб-приложения (контейнер в k8s - в описании как раз это и указано).
Далее по риску был произведен реверс-инжиниринг Android-приложения и анализ документации paycontrol для использования API и реализации риска. В статье подсветили общую информацию об интересных моментах при реализации риска.
1) Перевыпуск сим-карты контролируется, и коды не отправляются на перевыпущенные симки.
2) Если вам недостаточно этих двух факторов, то, боюсь, ничто вас не сможет удовлетворить, так как не существует абсолютно безопасных систем!
3) Важно сохранять баланс между безопасностью и удобством - чем серьёзнее закручиваются гайки, тем менее удобным становится процесс использования.
4) Хотите более серьезных мер - добро пожаловать в наше ДБО для юр. лиц и использование аппаратных токенов для авторизации и проведения платежей :)
Спасибо за вопрос.
1) Сейчас нет, но рассматриваем такую возможность. По звонку/фотографии и сброс нельзя осуществить сейчас, как и через госуслуги.
2) По номеру карты сброс возможен, но будет требоваться доп. фактор в виде кода из СМС в любом случае. Номер карты нельзя сообщать третьим лицам.
3) Отдельно запретить МП нельзя, но можно в целом запретить использование ДБО, при этом карты и обслуживание в офисах продолжат работать.
Мировой опыт: мошенники обкатывают схемы на нас, а после с ними уходят в другие страны и начинают "работать" с клиентами зарубежных банков. Есть и примеры фрода в зарубежных банках с использованием deepfake.
Проблема касается всех, инструменты противодействия везде одинаковые, разница, скорее, на уровне выстраивания процесса противодействия внутри отдельных банков, а не стран.
Ретроградство тоже не одобряем! Мы за энергию созидания :)
Отвечает эксперт :)
Использование ML-инструментов в совокупности с расширенными возможностями протокола MirAccept 2.0 позволяют достаточно эффективно выявлять мошеннические транзакции.
Мы на стороне людей. Поэтому заголовок правильный :) Спасибо за комментарий!
Современный коммерческий банк :)