Считаю, что нужно запретить смену номера по дистанционным каналам в «Тинькофф» и других банках
Обращение прежде всего к представителям «Тинькофф», т.к. считаю его одним из лучших по отзывчивости и нововведениям. Хотя другим банкам, которые заботятся о своей репутации и деньгах клиентов, тоже неплохо было бы поучаствовать в дискуссии и повысить таким же образом свою безопасность.
Уж сколько тут тем было про увод денег при смене номера из того же @Тинькофф, где ответ представителей был в духе "Клиент по телефону ответил на все наши вопросы и подтвердил свою личность". Да я согласен, что вы лучшие в дистанционном обслуживании и это ваше детище, которое пытались скопировать другие банки, но "не шмогли") но мир не стоит на месте. и мошенники с каждым годом становятся все умнее и лучше. У меня давно создается впечатление, что сотовые операторы не хотят и не будут менять свои практики работы и блокировать то, что несет угрозу. для них любой клиент — это капля в море.
Хотелось бы поговорить про подтверждение личности при смене номера и других критических моментах, когда есть подозрение на взлом. Ни для кого не секрет, что подтверждение личности по телефону почти у всех банков — это 70% -100% вопросов про паспортные данные. Дык вот со всей ответственностью хочу заявить: сегодня паспортные данные не могут являться основным фактором аутентификации. Сегодня законопослушному гражданину и шагу нельзя ступить, чтобы где-то не попросили их предоставить и не переписали. И на работе с десяток личностей их просят для разных операций. и контрагенты. и службы доставки, и кто их только не просит. Несмотря на законы, паспортные данные человека уже давно не секрет и достаются легким движением руки даже диванными «хакерами» у тех контор, где нет какого-либо подобия СБ или ИТ/не соблюдаются элементарные правила безопасности. И кто знает, откуда в очередной раз они "утекут" к мошенникам...
Да у вас есть около 20-30% вопросов, которые вроде как не должен знать злоумышленник. но как раз социальная инженерия, как показывает практика, успешно отрабатывает с людьми эти 20% вопросов. и после этого случается несчастье.
Дык вот мое предложение к @Тинькофф сделать для людей-параноиков типа меня как минимум 2 дополнительных фактора аутентификации в дополнение к вашей идентификации по телефону при смене номера и других подозрениях на мошенничество. пусть они не будут действовать на всех клиентов по умолчанию и включаться отдельной опцией в личном кабинете. но я думаю, что меня поддержат многие: они должны быть. какие — это вам разрабатывать, на основе практик и технических возможностей. но вот, что я вижу сам
1. фактор смены через банкомат с картой (номер операции, уникальный код или другое)
2. google authenticator или аналог
3. личная эцп
4. персональная встреча с курьером (пусть даже за деньги)
также я не отказался бы от опции в личном кабинете, что после смены номера все операции более определенной суммы будут заморожены на сутки (ну пусть 5-10 тыс). Это сделает любые мошеннические операции НАМНОГО труднее
И да, я готов терять в удобстве ради безопасности. для большинства клиентов это не подходит, но опционально реализовать меры повышенной безопасности было бы отличным решением.
Надеюсь на понимание и возможно сообщество накидает еще пару тройку опций, которые бы позволило повысить безопасность. т.к. текущая аутентификация только по телефонным вопросам уже не достаточно безопасна для современного мира.
А у желтого банка и отделений то нет, кроме Москвы.
Потенциально, отделения могут заменить нотариусы. Тем более, в регионах они не дерут три шкуры, как в Москве
Комментарий недоступен
К сожалению эцп подтверждает только то, что у подписавшего человека есть доступ к данной эцп. Но не его личность.
Комментарий недоступен
Да, нотариус проверяет подлинность паспорта и сверяет его с реальным человеком.
Насчёт юрлиц с вами согласен, там бывает перебор. Хотя не так уж страшно, сейчас нотариусов полно и можно решить большинство вопросов за 10-15 минут времени руководителя. Шире использовать эцп это плюс, но в любом случае тотально искоренять нотариат пока рано.
никакую подлинность он не проверяет, т.к. не является экспертом, и не несет за это ответственности
Статья 42 закона "о нотариате" с вами не согласна. Установление личности является одной из функций нотариуса, и он несёт за это ответственность. Есть соответствующая судебная практика, в т.ч. на уровне ВС.
Ответственность нотариуса кстати страхуется
статьи статьями, а вот судебная практика по доверенностям, когда ее оформляют у нотариуса, а потом в банке по ней снимают деньги, показывает, что никакой ответственности нотариуса при этом нет
https://www.banki.ru/forum/?PAGE_NAME=message&FID=61&TID=379778
Комментарий недоступен
Р13001 сто лет как можно с ЭЦП сдать.
Орлицо же доверенности своей печатью заверяло. Что-то поменялось?
доступ к ЭЦП при нормальном хранении также подтверждается паролем. и у некоторых вообще хранится на отдельном аппаратном устройстве. шанс у злоумышленников добыть связку логин/пароль(троян в пк/почте) + личные данные (соц инженерия) + ЭЦП (тут уже только паяльник :))) стремиться к нулю
ЭЦП не храниться, а использоваться на отдельном устройстве должна. Иначе троян все что ненадо подпишет после того как вы устройство в комп засунете и пароль наберёте. В текущем виде использование ЭЦП крайне небезопасная штука, но всем пофиг.
Так шифрование внутри отдельного брелка о происходит, оттуда ничего не вытащить.
o_O