Считаю, что нужно запретить смену номера по дистанционным каналам в «Тинькофф» и других банках
Обращение прежде всего к представителям «Тинькофф», т.к. считаю его одним из лучших по отзывчивости и нововведениям. Хотя другим банкам, которые заботятся о своей репутации и деньгах клиентов, тоже неплохо было бы поучаствовать в дискуссии и повысить таким же образом свою безопасность.
Уж сколько тут тем было про увод денег при смене номера из того же @Тинькофф, где ответ представителей был в духе "Клиент по телефону ответил на все наши вопросы и подтвердил свою личность". Да я согласен, что вы лучшие в дистанционном обслуживании и это ваше детище, которое пытались скопировать другие банки, но "не шмогли") но мир не стоит на месте. и мошенники с каждым годом становятся все умнее и лучше. У меня давно создается впечатление, что сотовые операторы не хотят и не будут менять свои практики работы и блокировать то, что несет угрозу. для них любой клиент — это капля в море.
Хотелось бы поговорить про подтверждение личности при смене номера и других критических моментах, когда есть подозрение на взлом. Ни для кого не секрет, что подтверждение личности по телефону почти у всех банков — это 70% -100% вопросов про паспортные данные. Дык вот со всей ответственностью хочу заявить: сегодня паспортные данные не могут являться основным фактором аутентификации. Сегодня законопослушному гражданину и шагу нельзя ступить, чтобы где-то не попросили их предоставить и не переписали. И на работе с десяток личностей их просят для разных операций. и контрагенты. и службы доставки, и кто их только не просит. Несмотря на законы, паспортные данные человека уже давно не секрет и достаются легким движением руки даже диванными «хакерами» у тех контор, где нет какого-либо подобия СБ или ИТ/не соблюдаются элементарные правила безопасности. И кто знает, откуда в очередной раз они "утекут" к мошенникам...
Да у вас есть около 20-30% вопросов, которые вроде как не должен знать злоумышленник. но как раз социальная инженерия, как показывает практика, успешно отрабатывает с людьми эти 20% вопросов. и после этого случается несчастье.
Дык вот мое предложение к @Тинькофф сделать для людей-параноиков типа меня как минимум 2 дополнительных фактора аутентификации в дополнение к вашей идентификации по телефону при смене номера и других подозрениях на мошенничество. пусть они не будут действовать на всех клиентов по умолчанию и включаться отдельной опцией в личном кабинете. но я думаю, что меня поддержат многие: они должны быть. какие — это вам разрабатывать, на основе практик и технических возможностей. но вот, что я вижу сам
1. фактор смены через банкомат с картой (номер операции, уникальный код или другое)
2. google authenticator или аналог
3. личная эцп
4. персональная встреча с курьером (пусть даже за деньги)
также я не отказался бы от опции в личном кабинете, что после смены номера все операции более определенной суммы будут заморожены на сутки (ну пусть 5-10 тыс). Это сделает любые мошеннические операции НАМНОГО труднее
И да, я готов терять в удобстве ради безопасности. для большинства клиентов это не подходит, но опционально реализовать меры повышенной безопасности было бы отличным решением.
Надеюсь на понимание и возможно сообщество накидает еще пару тройку опций, которые бы позволило повысить безопасность. т.к. текущая аутентификация только по телефонным вопросам уже не достаточно безопасна для современного мира.
Описание от человека применяющего фразы "дык вот".
Финорганизации работают на основе тысяч различных регламентов. Ни в одном из них никто никогда не разрешит подтверждение пользователя по паспорту. Это просто не возможно, так как в 90% случаев оператор даже не сможет открыть модуль для смены номера, например без такой важной вещи, как кодовое слово. Нет кодового слова - прощай доступ к той части базы данных, где содержатся ключевые сведенья о движениях по счету и тем более управление настройками счета. Более того, в банках настолько уже продвинута система дополнительной пассивной информационной безопасности, что часто потенциального жулика также определяют через: распознание голоса (не соответствующий реальному пользователю может пойти на Х даже зная кодовое слово), поведенческие факторы (звонок с IP Зимбабве, а реальный юзер со своим смартфоном из Москвы не уезжал). Не буду освещать все методики, но поверьте, что в ТОП10 банков, да и в ТОП100 Вы не найдете ни одного, кто бы менял настройки счета по паспортным данным.
Пост бредовый из разряда - давайте ради лохов запретим прогресс.
"Ни в одном из них никто никогда не разрешит подтверждение пользователя по паспорту. Это просто не возможно, так как в 90% случаев оператор даже не сможет открыть модуль для смены номера, например без такой важной вещи, как кодовое слово"
рассмешили. 2 недели назад увеличивал лимит с зеленом банке. а они это звонком подтверждают. дык вот на просьбу назвать кодовое я просто сказал "не помню, давайте по паспорту" - просто не хотелось лезть в keepass при разговоре без гарнитуры, неудобно. через 30 сек операция была подтверждена.
очень много людей кодовое слово забывают при выходе из банка. и работать с ними в этом случае все равно приходится.
Вот именно
Кодовые слова к своим банкам знают 0,5% гигов с кипас, моя Мама, например к ним не относиться.