Банки не хотят внедрять многофакторную авторизацию и покончить с мошенничеством

Количество случаев мошенничества просто зашкаливает. Статьи о фактах мошенничества появляются чуть ли не каждый день. Происходит это при полном попустительстве государства и полиции, которая занята оппозицией. А вполне вероятно, что мафии это выгодно, погружать народ в кредиты.

134134

Знаете, вы написали утопическую фигню - вот с всеми этими "секретными телефонными номерами", VDS, fail2ban, и прочим. 99,9% процентов пользователей не гики, задрачивающиеся отслеживанием появлением всех "антишпионских" приспособ, а люди, которые заняты своей работой, своей жизнью и жизнью родственников, и на изучение вот этого барахла у них нет ни времени, ни возможности ввиду отсутствия компьютерной подготовленности. К примеру, скажите, как пенсионерке установить и пользоваться VDS, а заодно утилитой fail2ban?

Тем временем, банковская система аутентификации пользователя в своём состоянии "как есть", довольно продуманна. Неэффективной её делают сами пользователи своей безалаберностью, вводя и рассказывая данные не в тех местах и не тем людям.

Теперь про "не тех людей", к примеру, звонящих "сотрудниках банков" и их поимке. Реализовать искоренение звонящих "сотрудников" банков имеющимися средствами очень проблематично. И часто они являются не распиаренными тюремными колл-центрами, а одиночками, которые могут быть вашими соседями. Такой мошенник приобретает базу данных, телефон с сответствующей прошивкой (с генерацией imei и id железа и приложений) , ноунэйм сим-карту и модем с кастомной прошивкой, переподключающийся через заданный промежуток времени с получением нового ip при очередном подключении. Посредством IP-телефонии такой мошенник подменяет номер при звонке жертве. А по окончанию "трудового дня" выбрасывает симку и генерирует новые id в телефоне. Противодействующие органы в этом случае могут противопоставить только пеленгацию, а развёртыване всей операции будет напоминать шпионский вымышленный фильм, где все действуют очень оперативно (жертва заявляет что ей звонил мошенник), банковская СБ передаёт данные IT отделу, IT вычисляет недавнюю соту (связавшись с ОПСОС без всяких обиняков), передаёт инфу опергруппе, а та выезжает со своими  устройствами пеленгации и группой задержания. Потом они конечно выбивают дверь, а мошенник конечно не избавился от симки и телефона. Производят поимку. Профит! И это всё только для одного эпизода мошенничества. 

Большую проблему уязвимости делают сами пользователи, вводя данные на фишинговых сайтах и закачивая нелицензионный софт, со вшитыми малварями похищающие куки с браузерными данными, и которые не определяются пресловутыми антивирусами ввиду того, что малвари пишутся под заказ. Мошенник, имея базу данных с ФИО и кое-какой инфой о счетах, данными на вход в онлайн-банк, из парсенной инфы левого софта и куки, подделывает компьютер совершенно неотличимый от компьютера жертвы, который уже знаком банковскому сайту, и заходит в кабинет жертвы, как свой. Ну а дальше вывод средств через дропов.

Системы двухфакторной аутентификации в частности, 2FA тоже снимают. Не знаю как, но на профильных сайтах объявления о снятии 2FA в течение 2-3 дней за процент от имеющейся суммы. 

Остаются работники банков и точек продаж сим-карт, продающие базы данных тем же, с "профильных" сайтов. Вот тут наверное можно было бы повлиять на предотвращение утечек весомой уголовной ответственностью.

Про антимошенническую грамотность обывателя говорить не приходится. Современный человек сильно загружен выживаемостью, и вероятности, что он может стать следующей жертвой им не учитываются.

Поэтому,  кардинальное решение банковских и компьютерных махинаций, вопрос открытый и в ближайшем времени решён не будет. Возможно в будущем, когда работа всех  компаний, служб и департаментов будет координироваться нейросетью мгновенно, подобные схемы уйдут в небытие. Но пока имеем реалии жизни в киберпанке, а он не такой романтичный, как показано в фильмах.

142

Тот самый случай, когда комментарий лучше статьи.

46

В статье не раз сказано про опциональность мер. Никто их принудительно не призывает всем навязать. Вам не надо - ну и работайте как раньше. Но позвольте другим выбрать себе аппаратный или программный токен.

26

Комментарий недоступен

25

А что так глобально? Можно с малого, например запрет выдачи кредитов без личного присутствия, все! Какие тут оправдания будут ? 

19

"Банковская система аутентификации" не продумана от слова совсем, можно сказать ее вообще нет. Статья немного мутная, но суть верная и вы ее абсолютно не уловили. Сейчас у многих банков вход только по смс (не считая номера карты, который НЕ является конфиденциальными данными) – это полная дичь, которая не имеет ничего общего с безопасностью.

12

Комментарий недоступен

12

А почему вы сделали акцент на VDS и прочем?
Что мешает сделать 2FA через Google Authenticator?
Это есть даже на простых сайтах, но нет у банков.
Что мешает это сделать опционально?!

5

Комментарий недоступен

3

 Большую проблему уязвимости делают сами пользователи, вводя данные на фишинговых сайтах и закачивая нелицензионный софт, со вшитыми малварями похищающие куки с браузерными данными, и которые не определяются пресловутыми антивирусами ввиду того, что малвари пишутся под заказ.

Из всего последнего что произошло вокруг меня: люди отдавали свои явки-пароли по телефону, сливали их в формах "получения денег за товар, проданный на авито" и даже устанавливали teamviewer под диктовку "оператора банка" и отдавали ему пароль для входа. Т.е. огромная глупость и никакого нелицензионного софта с малварями.
При этом, почему-то это работает в России, но, к примеру, в США какая-нибудь фирма может по телефону запросить у тебя данные твоей карты вместе с CVC, списать за оказанную услугу. И там это норма. Т.е. там тебе не надо переживать за то что как только сотрудник фирмы получит эти данные, он сразу же сольет их в даркнет или мошенникам. Ибо владелец карты позвонит в банк и скажет "я не делал этого перевода" и банк вернет деньги. Как это работает? Два противоположных мира!

Ну и "чокасаемо" банков. Они тоже иногда вместо того чтобы обезопасить клиента, занимаются обратным.
Примеры.
Сбербанк навяливает авторизацию по голосу. Понятно к чему это может привести.
Альфабанк навяливает авторизацию по морде лица. Понятно к чему может привести. Более того, Альфа уже давно предлагает тебе услугу "дополнительного страхования карты от мошенников", типа что бы не произошло, все деньги вернутся. Зачем вы продаете мне эту услугу, в то время как отняли у меня возможность включить обязательную авторизацию по пин-коду в физических магазинах и обязательную авторизацию по 3ds в интернет-магазинах? Я бы включил их и был всегда спокоен, но нет. Меня этого лишили, а теперь предлагают страховку за деньги.
Газпромбанк! Эти пошли еще дальше! Они требуют максимально сложный пароль. Пусть будет у меня был немного глупый, но все же пароль ${MyDogName}${MyBirthday}${WifeCarName}.
Газпром мне говорит "пароль фигня, добавь спецсимвол, добавь длину". Я задаю пароль, который естественно не могу запомнить. Я иду и пишу его в файл на жесткий диск "пароль_газпромбанк.txt". Ура!

Итого, я (отчасти согласен с автором) и считаю что банки и госструктуры весьма слабо защищают клиентов. И больше заинтересованы в доходах от этих самых краж.

3

Всегда прикалывается такие люди как Алекс. Человек старался писал статью А вы ему пишите что он написал бред. С такими как alex в разведку не сходишь

1

И ещё остаётся проблема родственничков, которым не составляет труда залезть в карман и потратить честно заработанные деньги, не прибегая к вышеописанным методам.

1

Комментарий недоступен

Комментарий недоступен

есть способ проще: в течение 7 дней с момента совершения любого перевода, клиент может его отменить. все. в америке этот срок раньше был до 30 дней. тогда банки будут очень заинтересованы в расследовании мошеннических действий, тогда пенсионеры не будут терять деньги. 

насчет симок- у симок есть следы, есть ИД башен, по которым легко эти симки пеленговать. а блокировкой спам-звонков должны заниматься операторы и бесплатно, без доп услуг. иначе зачем они нужны? 

А можно пользователь сам в банке решит, хочет он чтобы по звонку что-то с его баблом делали, или как настоящий старпер  зайдет ножками в банк и подпишет платёжку. И заодно если захочет обслуживаться дистанционно выберет какие способы защиты ему нужны. Сам.
Или лучше вы и банки решите за него ? (Как сейчас). 

Да это лално у меня увели госуслуги благодаря банку, я естественно жалобу росскомнадзор, они меня тихо послали сославшись что дескать не ведут расследование, вывод государство комит мошенников в лицк росскомнадзора