{"id":3056,"title":"\u0414\u0430 \u2014\u00a0\u0430\u043c\u0431\u0438\u0446\u0438\u044f\u043c, \u043d\u0435\u0442 \u2014\u00a0\u0438\u0435\u0440\u0430\u0440\u0445\u0438\u0438: \u00ab\u0420\u043e\u0441\u0431\u0430\u043d\u043a\u00bb \u0438\u0449\u0435\u0442 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u043e\u0432","url":"\/redirect?component=advertising&id=3056&url=https:\/\/vc.ru\/special\/rosbank&hash=48d484f797e172533ef95dbe2624084158bc983bdeb2b3d0714e66ba982ec284","isPaidAndBannersEnabled":false}
Финансы
Andrey Fedorov

8 способов защитить свои деньги в банке

В последнее время на vc.ru участились описания случаев мошенничества, когда у клиентов банков уводят деньги, и почти всегда это связано с дистанционным обслуживанием. Еще 5 лет назад мы сделали сервис, который мог быть решить эту проблему хотя бы частично, поэтому пришлось вникнуть в тему и получилось извлечь определенные уроки. Расскажу эту историю и напишу рекомендации, как снизить риск потери своих денег.

Если не хотите читать длинную историю, можете сразу перейти к 8 способам из заголовка.

В 2017 году меня пригласили поучаствовать в проекте, который был нацелен на снижение банковского мошенничества, в роли сооснователя и руководителя маркетинга. Тогда, да и сейчас, банки полагались на мобильный номер клиента как идентификатор. Проблема в том, что мошенники могут делать с банковским счетом (почти) что угодно, если получат доступ к мобильному номеру и/или устройству клиента.

У нас была гипотеза, что можно снизить объемы мошенничества, если отслеживать различного рода «странности» («аномалии» по-дата-сайентистки), происходящие с SIM-картой и устройством пользователя.

Чуть ниже покажу, что это за странности, но сначала о том, как воруют деньги со счетов.

Как воруют деньги со счетов

Общее место большого количества случаев — подмена личности, то есть когда мошенники выдают себя за клиента банка, от имени клиента совершают переводы, подтверждают операции и т.д.

Еще есть масса случаев, когда клиенты сами переводят деньги мошенникам, но это отдельная история — не буду ее сейчас касаться.

Подменить личность можно разными способами, но сейчас мы говорим о дистанционном обслуживании, и такая подмена становится возможной, когда:

  • Идентификатором клиента выступает номер телефона.
  • Номер телефона или мобильное устройство используются для подтверждения операций.

Простыми словами, банк видит не вас — он видит ваш номер телефона (определяемый SIM-картой) и ваше устройство (телефон). По ним банк определяет, вы это или не вы; коммуникация с вами ведется по этим каналам, операции подтверждаются по ним же.

Если вы потеряли доступ к своей SIM-карте, номеру телефона, устройству, кто-то перехватывает ваши SMS с помощью троянов, переадресации или уязвимостей сотовых сетей — дело плохо.

Таким образом, задача банка (в теории) — понять, действительно ли вы совершаете банковскую операцию или это делает мошенник, получивший доступ к вашим средствам идентификации, аутентификации и авторизации, которыми выступают логин/пароль, номер телефона, одноразовые коды из SMS и так далее.

Как банки могли бы не допускать воровство (или хотя бы снизить количество случаев)

Важная ремарка. Все мы знаем о случаях, которые стали известны общественности, но ничего не знаем о том, когда мошенничество было предотвращено. Так что не стоит думать, что в банках работают лентяи или те, кто не думает о защите ваших денег — еще как думают. По нашему опыту общения с ними, это идейные, крутые и умные ребята, которым приходится искать баланс между степенью защиты, удобством для клиентов и требованиями регулятора.

Но вернемся к фроду. Ниже привожу ситуации, связанные с финансовым мошенничеством и которые можно отлавливать. Если есть такое желание, конечно.

  • Перевыпуск SIM.
  • SIM переставлена в другой телефон.
  • Перехват SMS с помощью трояна на телефоне жертвы.
  • Перехват SMS через уязвимости сотовой сети.
  • Привязка (подозрительного) номера к счету.
  • Перевод на (подозрительный) номер.
  • Нетипичное поведение клиента: геолокация, сотовая сеть, время совершения операций и т.д.
  • Резкая смена определенных параметров, например, быстрое перемещение клиента в роуминг (и десятки других).
  • Получение доступа к SMS-кодам методами социальной инженерии и фишинга.

Все эти случаи мы и научились ловить с помощью сделанного нами сервиса. И не только их — всего анализируемых параметров более 100. Но лучше один раз увидеть, чем сто раз услышать, поэтому покажу видео, которое мы использовали в далеком 2017 для демонстрации работы сервиса потенциальным клиентам. Ролик наглядно показывает, какие ситуации представляют риск для клиентов банков и как их можно определить, чтобы уменьшить объемы мошенничества.

Нельзя сказать, что оценка указанных в ролике параметров нечто невообразимое — все они доступны банкам из собственных систем, от сотовых операторов и других поставщиков данных.

Особенность разработанного нами сервиса была в том, что в нем данные анализируются в совокупности, то есть на оценку риска мошенничества влияет не один параметр или их группа, а комбинация. Кроме того, модуль машинного обучения на основе обучающих выборок самостоятельно увеличивал точность работы модели.

Простыми словами, на старте участвует человек, который задает условия срабатывания «красных флагов», но по мере накопления данных сервис корректирует правила сам, постоянно повышая точность оценки риска мошенничества.

У нас не получилось сотрудничества с банками и поэтому мне сложно сказать, как именно они сейчас защищают клиентов от мошенничества при дистанционном обслуживании, но, судя по периодическим статьям даже здесь, на vc.ru, не все гладко.

Понятно, что используют антифрод системы, отслеживающие аномалии, но почему-то мы все равно часто слышим о случаях мошенничества, которые можно было предотвратить техническими средствами, позволяющими удостовериться:

  • Клиент — действительно тот человек, за которого себя выдает.
  • Его контактные данные корректны и реальны.

Кроме банков, это можно использовать и в других отраслях, в частности, в электронной коммерции во всех ее проявлениях и в различного рода веб-сервисах, чтобы:

  • Поддерживать клиентскую базу в чистоте и порядке, например, удалять/объединять дубли профилей.
  • Не допускать захвата аккаунта, что особенно актуально, когда есть возможность привязать к нему банковскую карту.
  • Контролировать фейковые заказы и отзывы.
  • Предотвращать регистрацию ботов.
  • Иметь реальные контакты пользователя.
  • Снизить расходы на SMS-подтверждения. К примеру, Telegram планирует потратить 25% от привлекаемого миллиарда долларов на такие подтверждения.

Я считаю, что мобильный номер — удобный идентификатор, но ужасно небезопасный. Если его продолжают использовать для идентификации и подтверждения операций, внимание к защите стоит повысить, причем как бизнесам, так и людям.

А вот и 8 способов защитить свои деньги

Спасение утопающих — дело рук самих утопающих. Если банки не всегда могут нас защитить, придется это делать самим.

Помним, что наша основная задача — защитить средства удаленного доступа к банковскому аккаунту. Это логины/пароли и все, что связано с номером телефона и самим телефоном. Про логины/пароли сказано уже миллион раз, и про это не буду повторяться, поговорим о телефоне.

  • Обязательно установите PIN на SIM. Почему-то сейчас сотовые операторы его по умолчанию отключают или ставят дефолтный 0000. Не знаете, как установить — зайдите в салон оператора или задайте вопрос в поддержке. Вот прямо сейчас сделайте, не откладывайте — у меня перед глазами два случая, когда люди отложили вопрос, а потом сильно пожалели. Поставили код 1111 или 9999 или типа того? До свидания, денежки.
  • Обязательно установите PIN для блокировки телефона. Еще раз, вдруг вы не знаете разницы: есть код на доступ к телефону — он блокирует телефон. А в предыдущем пункте описан пин-код SIM-карты — он блокирует SIM. Это разные вещи, работающие независимо друг от друга. Установите оба. Поставили код 0000, 1111 или 9999 или типа того? До свидания, денежки.
  • Если у вашего телефона есть распознавание отпечатка пальца или лица, используйте и их. Преимущества перед PIN: ни палец, ни лицо нельзя подобрать или подсмотреть, заглянув через плечо.
  • Отключите показ содержания SMS и пушей на заблокированном экране. Думаю, тут все понятно: нет никакого смысла защищать телефон, если все и так видно даже на заблокированном устройстве.
  • Защитите приложения банков и сотовых операторов PIN-кодом, а еще лучше отпечатком пальца или лицом. Обратите внимание: не только банков, но и сотовых операторов. Если мошенник зайдет в приложение оператора и получит через него PUK-код (я проверял у одного оператора — получилось), то сможет сменить PIN на сим-карте и переставить ее в другой телефон.
  • По возможности не используйте двухфакторную аутентификацию через SMS. Лучше использовать Google Authenticator или аналог. Сохраните в надежном месте бэкап-коды от них, иначе при утере устройства вы сами не сможете получить доступ к аккаунтам.
  • Сходите в салон своего оператора и напишите заявление на запрет замены SIM по доверенности.
  • Деньги храните в банке, к которому не привязан номер телефона.

От всех возможных ситуаций защититься не получится, но, сделав указанное выше, вы серьезно снизите риски потерять деньги. Если рекомендации вам кажутся очевидными, отлично, но проверьте родителей — сделано ли у них.

Ирония в том, что у меня у самого увели 150 000 рублей, перевыпустив сим-карту «по доверенности». Банк имел все возможности предотвратить тот случай, хотя бы обратив внимание на то, что я чудесным образом за секунды переместился из Санкт-Петербурга в Москву, при том, что одновременно сменились сим-карта и телефон. Банку это подозрительным не показалось, а деньги вернуть я не смог, ведь операция была подтверждена через код из SMS. Теперь защищаюсь сам.

Пожалуйста, дополняйте рекомендации в комментариях.

Ну и пара ссылок:

Signals — текущая версия описанного сервиса.

Канал в Телеграме (куда без него) — о практическом маркетинге и собственном предпринимательском опыте без новостей и рекламы.

{ "author_name": "Andrey Fedorov", "author_type": "self", "tags": [], "comments": 58, "likes": 12, "favorites": 48, "is_advertisement": false, "subsite_label": "finance", "id": 219587, "is_wide": false, "is_ugc": true, "date": "Fri, 12 Mar 2021 12:36:05 +0300", "is_special": false }
0
58 комментариев
Популярные
По порядку
Написать комментарий...
4

Ирония в том, что у меня у самого увели 150 000 рублей, перевыпустив сим-карту «по доверенности».

Мне только одно непонятно. Почему за это не несет ответственности тот, кто обязан был проверять документы? Ну раз у нас по факту симкарта является токеном аутентификации, то почему сотовый оператор, который выпустил дубликат токена без документов, не оплатил потери?

Ответить
1

Я не могу сказать. Вот ответ из МВД на мое заявление: "В результате проведенной проверки, признаков правонарушений в
действиях третьих лиц не установлено, сложившиеся ситуация должна
рассматриваться в гражданско­правовом порядке в судебных органах. Факты
изложенные в обращении не подтвердились, Ваши доводы признаны не
обоснованными, обращение не поддержанным."

Ответить
0

То есть, салон правомерно выдал дубликат? Значит косяк уже на стороне нотариуса, который доверенность выдал. 

Ответить
0

1. Вопрос, была ли нотариальная доверенность.
2. Почему вы думаете, что нотариус вообще был? Не проще нарисовать?

Ответить
1

Хм... Если выдали без нотариальной доверенности, то (на мой взгляд) это косяк салона. Если доверенность отсутствует в реестре нотариальных документов, то (на мой взгляд) это косяк салона. В ответе МВД указано, что нарушений со стороны салона не было, значит (на мой взгляд) была доверка... 

Ответить
–1

Третьи лица - это работники оператора сотовой связи?

Ответить
0

 Третьи лица - это работники оператора сотовой связи?

Видимо, да

Ответить
0

"Видимо" - как-то неконкретно))
Вы на кого заявление подавали? На действия сотрудников ОПСОС-а, или на воров?
Если на ОПСОС-а, то да, их действия сложно квалифицировать как мошеннические: вот доверенность, вот человек, на кого оформлена доверенность, с паспортом. Ну не отличил менеджер подделку, он не эксперт.
Доверенность такого рода оформляется у нотариуса и надо установить факт что не вы оформляли эту доверенность. А дальше - уголовное дело, 2 статеечки: подделка документов и кража.

Ответить
0

 Вы на кого заявление подавали?

Я не помню формулировок. Написал заявление через сайт МВД, мне позвонил следователь угро, пригласил к себе, записал с моих слов.

 А дальше - уголовное дело

Ну, как видите, нет его. Ответ на повторное обращение с запросом информации по ходу дела я выше привел.

Ответить
–1

Следователь не заинтересован в возбуждении уголовного дела, ему же это лишняя работа. Формулировки заявления я не знаю, возможно, именно так, как вы сформулировали, позволило следователю отказать вам.
Вы можете обжаловать это решение, кстати, если вам все еще нужны ваши 150К

Ответить
0

Они там еще включили стрелки друг на друга, а кто же должен разбираться - питерское или московское угро. Знаю, потому что поставили меня в копию, когда дело (или заявление - не знаю, что это было) пересылали друг другу.

если вам все еще нужны ваши 150К

150К не лишние, конечно, но я чую, что трудозатратное это дело, и больше заработаю, если потрачу это время на что-то более ценное. Не очень правильная гражданская позиция, согласен, но рациональная.

Ответить
0

Не совсем понятно, а реально что там было?
Отрицают факт выпуска новой сим-карты по доверенности?
Отрицают признаки подделки доверенности?

Ответить
0

У меня нет этой информации. Сначала оператор колл-центра, а потом и представитель в ФБ подтвердили, что сим перевыпущена по доверенности и даже назвали салон. А потом начали все отрицать в стиле "ничего не знаем, обращайтесь в полицию".

Ответить
0

Но ведь ответ пришел от МВД?

То есть, по итогу они вообще отрицают факт выпуска дубликата сим-карты?
То есть, они полагают, что все прошло через телефон и сим-карту жертвы.

Ответить
0

 Но ведь ответ пришел от МВД?

Да

 То есть, по итогу они вообще отрицают факт выпуска дубликата сим-карты?

Сначала подтвердили (устно и в переписке в ФБ), потом замолчали. 

 То есть, они полагают, что все прошло через телефон и сим-карту жертвы.

Я не знаю, что они там полагают :)

Ответить
0

"сложившиеся ситуация должна
рассматриваться в гражданско­правовом порядке в судебных органах.
"
Логично, кмк.

Ответить
0

Может, и логично, а клиенту банка, потерявшему деньги, как от этой логичности легче?

Ответить
0

легче тем, что ответчика не надо бегать искать с ментами (я так полагаю, опсос виноват в том, что выдал симку по фальшивой доверке)

Ответить
0

Потому что сотовый оператор не предоставляет услуги "токена аутентификации", тот кто использует для этих целей телефон - сам себе злобный буратино.

Ответить
–1

У работника салона связи мало компетенции в распознавании поддельных доверенностей. Дензнаки подделывают, что уж говорить про доверенности.

Ответить
0

"Если у вашего телефона есть распознавание отпечатка пальца или лица, используйте и их. Преимущества перед PIN: ни палец, ни лицо нельзя подобрать или подсмотреть, заглянув через плечо."

Не совсем безопасно, в теории отпечаток можно воспроизвести, сняв его со стекла смартфона или корпуса после кражи.

Ответить
2

Код защищает лучше пальца, от клафилинщиц.

Ответить
3

О таком я не подумал. Ну тогда можно сделать уточнение: "если вы часто находитесь в бессознательном состоянии или есть такие риски, лучше используйте только код" :)

Ответить
0

Достаточно использовать код из 8 символов, его не подсмотреть и не запомнить для большенство

Ответить
0

Согласен, но в борьбе удобство vs безопасность чаше побеждает удобство. Люди часто четырехсимвольные-то не ставят или ставят типа 0000, что уж говорить о восьмисимвольных.

Ответить
0

 сняв его со стекла смартфона или корпуса после кражи

Наверное, но это уже джеймс бонд какой-то :) Слышали про такие случаи?

Ответить
–1

ну вот навскидку, бородатая новость:
https://nplus1.ru/news/2019/04/08/galaxy-s10-fingerprint

Ответить
0

Да это я видел. Я о том, чтобы мошенники такое могли провернуть и стали бы заморачиваться.

Ответить
–1

Зависит от того, что завязано на этот конкретный телефон.
Помимо денег в приложениях на телефоне, владелец телефона может иметь и иные активы.
Предположим, бухгалтер хранит на телефоне доступы к электронной почте. А в этой почте пароли к банк-клиенту. Или ЭЦП юрлица. Знаю случай, когда угнали целую фирму для совершения через нее сомнительных операций. Буху и гендиру прибавилось седых волос после этого.

Ответить
0

Тогда лучше не хранить такое на телефоне. Есть люди, которые хранят важные доступы на отдельном чистом компе, а комп зашифрован и лежит в банковской ячейке.

Ответить
1

Тут в соседних темах пробовали получить у опсоса пин и пак коды.
По телефону, зная номер телефона и фио на кого оформлен договор - поддержка любезно сообщает. Пак не меняется, поэтому пин сбрасывается на ура.
Если перевыпуск симки, то старая перестаёт работать (ловить сеть), а смс на новую не должны приходить 24 часа. Это то время, за которое надо успеть заблокировать банковские карты и счета, и отключить номер телефона в банкинге и везде куда он привязан (соцсети, чувствительные аккаунты).
Опять же в комментах писали, что перевыпустили симку и при запрете перевыпуска по доверенности.

Деньги храните в банке, к которому не привязан номер телефона.

пока это единственный способ, который может сработать.
При таком бардаке у опсосов и совершенно несовершенных алгоритмах защиты у банков.

Ответить
0

А мне вот это интересно:

 а смс на новую не должны приходить 24 часа

Почему не должны? Я слышал о такой практике на стороне банков (не оператора), но чтобы вот прямо должны...

Ответить
1

Билайн:
Чтобы защитить вас от мошенников, на 24 часа после замены карты будут частично заблокированы приём и передача SMS. Вы не сможете получить SMS из банков и коммерческих онлайн-сервисов, которые отправляют пароли для доступа по SMS. Будет недоступна оплата услуг со счёта вашего телефона. Все остальные услуги, включая приём и передачу SMS другим абонентам и SMS, поступающие в процессе установки наиболее популярных приложений, будут доступны сразу. Ограничения снимаются автоматически через 24 часа.

https://moskva.beeline.ru/customers/pomosh/mobile/tarify-i-uslugi/sim-karta-i-nomer/zamena-sim/ 

Ответить
0

Хорошо, что хоть у кого-то есть меры защиты.

Ответить
0

Ну тут вопрос, насколько оно вообще работает. Хочется надеяться, что хоть как-то работает. 

Ответить
0

если запрос делается с устройства клиента и сим карты, пин которой предполагается получить, то почему нет, ведь доступ де факто уже есть?

Ответить
0

Запрос делается со стационарного телефона.

Ответить
0

который  зареган на кастомера?

Ответить
0

Нет информации. Это может быть важно? Например, стационарный телефон - Ростелеком. Опсос - Билайн.

Ответить
0

ну может в договоре указан домашний телефон, опсос видит, что с телефона Васи звонит некто голосом Васи и просит дать ему код.

Ответить
0

И вы считаете, что это правильный способ идентификации абонента? Особенно про _голос_ интересно.

Ответить
0

возможно даже более надежный, чем  личный визит в салон 

Ответить
0

Не согласен. Caller ID можно подменить.
Относительно надежной можно считать только комбинацию факторов - примеры таких комбинаций и показаны в статье и ролике.

Ответить
1

Спасибо, кое-что сразу настроила. Теперь бы не забыть самой...

Ответить
0

То чувство, когда деньги в банке, но их всё равно приходится защищать( 

Ответить
1

Деньги в банке - уже не совсем ваши деньги, по мнению банка.

Ответить
0

Да, правда

Ответить
0

Да, ну а что поделать?

Ответить
0

По возможности не используйте двухфакторную аутентификацию через SMS. Лучше использовать Google Authenticator или аналог.

@Andrey Fedorov почему? ведь если оперативно заблокировать симку и сходить в салон за новой, то все нормально.

Ответить
1

Как минимум две причины:
1. С момента перевыпуска сим до увода денег пройдут секунды. Велика вероятность, что за это время вы даже не заметите, что телефон перестал "ловить сеть".
2. Сотовые операторы используют старые и дырявые протоколы (не потому что плохие, а вот потому что так сотовые сети построены), уязвимости в которых позволяют в том числе перехватить смс.

Ответить
0

В общем случае получить доступ к Google Authenticator сложнее, чем к СМС, правильно?

Ответить
0

Да, если только не украсть ваш телефон. Но, если телефон заблокирован, то доступ к Google Authenticator не получить.
Но учтите: если сами потеряете телефон или с ним что-то еще произойдет и вы сами потеряете доступ к своему же Google Authenticator, то доступ можно будет восстановить только через бэкап коды, поэтому их надо сохранять.

Ответить
0

«Деньги храните в банке, к которому не привязан основной номер...» это что бы было больше шансов его потерять?🤣

Ответить
0

Потерять что?

Ответить
0

Не основной номер.

Ответить
0

Переформулировал. Я имел в виду вообще не привязан номер телефона.

В принципе потеря неосновного номера, если забыл его пополнить и оператор его отдал другому человеку, кажется сильных угроз не несет. Но другое дело, что мошенники могут пробить другие номера по основному, так что ок, согласен, пусть вообще не будет номера в таком банке.

Ответить

Комментарий удален

0

У вас там 100 баксов есть, купите котика сами что ли...

Ответить

Комментарии

null