Банки не хотят внедрять многофакторную авторизацию и покончить с мошенничеством

Проблема

Количество случаев мошенничества просто зашкаливает. Статьи о фактах мошенничества появляются чуть ли не каждый день. Происходит это при полном попустительстве государства и полиции, которая занята оппозицией. А вполне вероятно, что мафии это выгодно, погружать народ в кредиты.

Банки сообразили, что в большинстве случаев это проблема клиента, а им прибыль с процентов по украденным кредитам, поэтому у них и нет заинтересованности реально прекратить этот беспредел, под видом защиты они хотят только глубже залезть к клиентам в штаны. Банки позволяют легко деньги украсть, но не позволяют закрыть счёт даже когда уже в суде много раз воля клиента закрыть счёт была озвучена.

Двухфакторная защита банков на самом деле однофакторная раз мошенникам удаётся менять телефонные номера клиентов и угонять доступ в приложения и ЛК банков.

Попытаемся разобраться так ли бессильно государство, полиция, банки, люди перед жуликами. В Европейском Союзе такого почти нет, во всяком случае в таких масштабах как в России, там значит вопрос решён. Приведём схемы взломов аккаунтов пользователей и возможные варианты защиты.

Как мошенники крадут деньги

Очень много статей из серии N способов как мошенники крадут деньги с банковских карт описывают как разные варианты схемы звонков телефонных мошенников. На самом деле это ровно один вариант, который называется “социальная инженерия” или проще телефонный развод.

Если позвонили из банка, ГосУслуг, службы безопасности, следственного комитета, прокуратуры, полиции, ФСБ, суда, то самое правильное сразу повесить трубку, а номер внести в чёрный список. В идеале вообще не брать трубку с незнакомых номеров. Всё что нужно органам, они сообщат повесткой, сами вас доставят на допрос, и там самое лучшее пользоваться 51 статьёй и никогда не разговаривайте с силовиками. Банк всё что нужно сообщит в письменной форме в своём приложении или личном кабинете банка. Важно помнить, что вы не можете доверять ни входящим звонкам, ни СМС. Номер отправителя легко подделать, см. как Навальный развёл своего отравителя.

Не лишним будет повторить, что не надо:

  • открывать все письма с загрузкой всего контента, тем самым та сторона знает, что письмо открыли;
  • открывать прикреплённые файлы, если вы не ждали их получения;
  • переходить по ссылке в письме, смс, соцсетях, на разных левых сайтах, если вы не ожидали эту ссылку от банка, например, регистрируясь или восстанавливая пароль;
  • не устанавливайте лишнее ПО.

Есть более банальные способы потери денег — утеря контроля над:

  • телефонным номером;
  • адресом электронной почты;
  • аккаунтом ГосУслуг;
  • смартфоном, компьютером.

Теперь мы рассмотрим всё это с других точек зрения.

Ключи и алгоритмы защиты

Вход в информационную систему подобен входу в жилище или открытию автомобиля. Хорошо если у вас один ключ. Лучше когда два. Совсем хорошо, когда открыв дверь нужно ещё знать, где отключить сигнализацию, которую если не отключить, то приедет охрана. На автомобили ставили просто тумблер, который пока не переключишь электрическая цепь не включится.

Перечислим какие типы ключей есть в нашем распоряжении:

1. Логин как правило это: email или телефон или номер карты.

2. Пароль.

3. Второй пароль — кодовое слово.

4. Таблица одноразовых паролей, данные о последней операции, персональные данные.

5. Аккаунт электронной почты, ГосУслуг или ещё какой.

7. Приложение на смартфоне, генератор одноразовых паролей, Яндекс-Google-аутентификация, сумма блокировки текущей операции.

8. Аппаратные генератор одноразовых паролей, аппаратный токен.

9. Статический IP-адрес, подсеть, геолокация.

10. Общение в Telegram, WhatsApp.

11. Тумблер разрешающий операции сверх заданного лимита. Это может быть последовательность определённых действий.

Типы ключей я расположил в направлении сложности их взлома.

Пароль можно потерять, его может украсть вирус, его можно ввести на фишинговом сайте. Кодовое слово, паспортные данные клиенты часто называют при звонке в банк, а записи телефонных разговоров пишутся не только в банке, но и у операторов связи. Данные об операциях по счёту могут украсть через социальную инженерию, через ментов в даркнете, да и просто проследить, что вот клиент только что заправился. Прочие типы требуют уже завладения смартфоном физически или путём заражения вирусом. Аппаратным генератором кодов можно завладеть только физически. Вирусы ему не страшны. Статический IP можно получить взломав WiFi сеть клиента, но следов много, надо приблизиться к жилищу и засветиться на камерах. А если для входа в банк вы используете VPN, то даже взлом WiFi не поможет.

К алгоритмам защиты относится порядок аутентификации. Информационная система может предложить пользователю на выбор как подтвердить отправку платежа. И только пользователь знает, что по понедельникам он подтверждает кодом Яндекс-аутентификатора, во вторник Google, в среду аппаратным токеном и т.д. Для перевода крупной суммы может быть последовательность действий в виде перевод суммы на вновь открытый счёт или виртуальную карту или вклад, и только уже оттуда перевод дальше. Может быть назначено второе лицо, которое в ЛК своего банка должно ввести будет код для подтверждения платежа. Тем самым, даже если бандиты получат физический доступ ко всем девайсам и ключам клиента, самому клиенту, заставят его самого ввести все коды и даже голосом позвонить в банк и подтвердить, что он это он, то на уровне даже не оператора банка, а службы безопасности банка сработает сигнал, что по локации клиента надо полицию присылать.

Главная причина успеха мошенников — однофакторная аутентификация

— Дайте мне в аренду метр государственной границы.

— Почему метр?

— Чтобы чемодан проходил.

Множество ключей не имеют смысла, если есть один суперключ или завладев одним ключом можно перевыпустить или сменить другие ключи.

Банковские информационные системы должны использовать многофакторную аутентификацию по независимым ключам доступа. На деле же у них есть один суперключ — сим-карта телефона или персональные данные клиента. На Тинькофф Банк, Альфа-банк и другие банки стабильный поток жалоб, когда мошенники меняют номер телефона клиента, затем устанавливают приложение, получают все требуемые смс-коды, воруют те деньги, которые есть, дополнительно открывают кредиты и воруют ещё деньги, которых нет.

Все данные, которые банки спрашивают по телефону не являются фактором аутентификации клиента. Мошенники могут позвонить и выяснить их от имени банка, может запись разговора утечь.

Истории как подделывали сим-карты в каких-нибудь Мухосрансках тоже были.

Что должно сделать государство

Перестать блокировать РосКомПозором оппозиционные сайты и заняться прямыми своими обязанностями операторами связи, которые без должной авторизации продают услуги телефонной связи мошенникам да ещё позволяют подменять телефонный номер.

Следить за call-центрами мошенников. Они же по ключевым словам выявляются. Распознавание голоса работает хорошо.

Суды должны наказывать банки за случаи, когда мошенники получили кредит по откровенно липовым документам, а сотрудники банка не проявили должной осмотрительности. Налоговая ведь доначисляет дикие налоги и штрафы за непроявление должной осмотрительности при выборе поставщиков услуг.

В УК РФ есть статья 293 Халатность. Тут именно она и есть: “Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе либо обязанностей по должности, если это повлекло причинение крупного ущерба или существенное нарушение прав и законных интересов граждан”.

Что должны сделать банки

  • Внедрить как можно больше вариантов аутентификации клиента и подтверждения платежа. Если клиент хочет иметь 10 независимых ключей, то пусть имеет. Если хоть один потеряет, то дальше ногами топает в банк. Позор банкам, которые позволяют поставить приложение и получить доступ к деньгам мошенникам, которые предварительно сменили телефон клиента в банке.
  • Сделать их реально независимыми. Или часть из них. Должно быть по желанию клиента хотя бы три независимых ключа. Потерял любой из трёх — топай в банк.
  • Запретить удалённо менять номер телефона или авторизовывать перевыпущенную сим-карту. Можно не всем. Но хотя бы дать клиентам такую возможность повышенной безопасности.
  • Внедрить системы уведомлений не только через СМС, а HTTP-уведомлений и писем на email, которые уже хоть на ту же умную колонку можно завернуть. Если сим-карту или смартфон увели, то клиент уже не получит уведомление.

Пока же в каждой статье на VC.ru и на banki.ru пиарслужбы банков в лучших традициях учеников доктора Геббельса врут как они заботятся о безопасности.

Что стоит сделать клиентам банков

https://twitter.com/aloe_ve/status/1434160378473287682

1. Прослушав ещё несколько подобных разговоров сами будете чувствовать развод: Послушать звонки мошенников в Youtube.
2. Лучше вообще не разговаривать по входящим звонкам. Повесьте трубку будто связь разъединилась и сами перезвоните в банк по номеру на сайте. В идеале не использовать телефонную связь, а иметь своего менеджера в Telegram, WhatsApp или приложении банка и постоянно удалять переписку в мессенджерах, и в имени менеджера не писать, что это такой-то банк.
3. Ещё лучше завести для каждого банка отдельный секретный телефонный номер, который нигде больше не используется. Некоторые операторы предлагают виртуальные (дополнительные) мобильные номера. Главное не потерять контроль над таким номером.
4. Заводить для каждого банка отдельный email, который нигде не светится. Например, в Google это делается так [email protected]. Но всё равно это по сути один email и защита так себе. Вы можете взять в аренду VDS, купить собственный домен и регистрировать на нём уже любые адреса и алиасы электронной почты. Алиас вида [email protected] существеннее безопаснее. И если на такой адрес придёт персональное рекламное предложение, то вы будете знать с высокой долей вероятности, откуда утекли ваши персональные данные. Следовательно это повод поменять в банке email и телефон.
5. Отправить ссылку на эту статью в поддержку своего банка и потребовать дополнительных типов защиты и запрета удалённого смены номера и авторизации новой сим-карты.
6. Не ставить на смартфон и компьютер постороннее ПО, игры. Если же они вам жизненно необходимы, то не ставьте тогда туда банковские приложения. Купите VDS и заходите в ЛК банков из чистой операционной системы, где нет ничего постороннего. Вредоносное ПО может получить доступ к вашей VDS, но это уже несколько сложнее, особенно, если настроить firewall c двухфакторной авторизацией.
7. Не открывать ссылки и файлы, которых не запрашивали. Просмотр заголовков письма часто говорит о том, что оно левое. Но ряд заголовков можно подделать.
8. Не давать доступ к своим контактам никаким приложениям.
9. Написать своим депутатам с требованием внести законодательную инициативу обязывающие банки по требованию клиента использовать аппаратный токен и запрет на дистанционное изменение телефона. Понятно, что это скорее всего мера бесполезная, но вдруг.
10. Если вы арендуете или размещаете сервер для своей бухгалтерии и работы с банками — вот небольшой список базовых вещей, который помогут спать спокойнее:

  • ОС и ПО нужно регулярно обновлять, зачастую, обновления закрывают уязвимости, про которые уже узнали мошенники.
  • Обязательно настройте firewall и разрешите ограниченный круг IP-адресов.
  • Установите антивирус, убедитесь что его вирусные базы обновляются.
  • Установите утилиту fail2ban, чтобы исключить ситуацию с перебором паролей.
  • Настройте или закажите мониторинг, это поможет своевременно отреагировать в случае возникновения проблем.
  • Даже если у вас есть системный администратор — закажите минимальное администрирование на стороне хостера. Как говорится, одна голова хорошо, а две — лучше!
  • Если на вашем сайте собираются персональные данные — закажите аудит, обратитесь в поддержку и убедитесь, что все соответствует 152-ФЗ, потому что потерять деньги можно и налетев на штраф от государства.

Заключение

В статье должна была быть таблица с данными о поддерживаемых механизмах защиты российскими банками, но PR-службы банков дважды выморозились. Сначала попросили направить им запросы на почту, а потом видя, что заполнять таблицу нечем просто прислали хамские отписки. Если вы знаете банк, который использует дополнительные степени защиты, то пишите в комментарии, желательно со ссылкой на страницу банка, где указана данная информация.

И ещё одна наша таблица про премиальные карты банков, которую мы делали пару лет назад. Условия у некоторых банков изменились уже в худшую сторону, а у некоторых не изменились, а постоянство и стабильность являются хорошим маркером.

Дата-центр ITSOFT — размещение и аренда серверов и стоек в двух дата-центрах в Москве. За последние годы UPTIME 100%. Размещение GPU-ферм и ASIC-майнеров, аренда GPU-серверов, лицензии связи, SSL-сертификаты, администрирование серверов и поддержка сайтов.

Какие способы авторизации и защиты нужны вам для работы с банком?
Таблица одноразовых паролей
Программный генератор одноразовых кодов
Аппаратный генератор одноразовых кодов
Статический IP-адрес для входа в банк
Код в Telegram, WhatsApp
Запрет удалённо менять номер телефона или авторизовывать перевыпущенную сим-карту
HTTP, email-уведомления
Показать результаты
Переголосовать
Проголосовать
0
216 комментариев
Написать комментарий...
Alex

Знаете, вы написали утопическую фигню - вот с всеми этими "секретными телефонными номерами", VDS, fail2ban, и прочим. 99,9% процентов пользователей не гики, задрачивающиеся отслеживанием появлением всех "антишпионских" приспособ, а люди, которые заняты своей работой, своей жизнью и жизнью родственников, и на изучение вот этого барахла у них нет ни времени, ни возможности ввиду отсутствия компьютерной подготовленности. К примеру, скажите, как пенсионерке установить и пользоваться VDS, а заодно утилитой fail2ban?

Тем временем, банковская система аутентификации пользователя в своём состоянии "как есть", довольно продуманна. Неэффективной её делают сами пользователи своей безалаберностью, вводя и рассказывая данные не в тех местах и не тем людям.

Теперь про "не тех людей", к примеру, звонящих "сотрудниках банков" и их поимке. Реализовать искоренение звонящих "сотрудников" банков имеющимися средствами очень проблематично. И часто они являются не распиаренными тюремными колл-центрами, а одиночками, которые могут быть вашими соседями. Такой мошенник приобретает базу данных, телефон с сответствующей прошивкой (с генерацией imei и id железа и приложений) , ноунэйм сим-карту и модем с кастомной прошивкой, переподключающийся через заданный промежуток времени с получением нового ip при очередном подключении. Посредством IP-телефонии такой мошенник подменяет номер при звонке жертве. А по окончанию "трудового дня" выбрасывает симку и генерирует новые id в телефоне. Противодействующие органы в этом случае могут противопоставить только пеленгацию, а развёртыване всей операции будет напоминать шпионский вымышленный фильм, где все действуют очень оперативно (жертва заявляет что ей звонил мошенник), банковская СБ передаёт данные IT отделу, IT вычисляет недавнюю соту (связавшись с ОПСОС без всяких обиняков), передаёт инфу опергруппе, а та выезжает со своими  устройствами пеленгации и группой задержания. Потом они конечно выбивают дверь, а мошенник конечно не избавился от симки и телефона. Производят поимку. Профит! И это всё только для одного эпизода мошенничества. 

Большую проблему уязвимости делают сами пользователи, вводя данные на фишинговых сайтах и закачивая нелицензионный софт, со вшитыми малварями похищающие куки с браузерными данными, и которые не определяются пресловутыми антивирусами ввиду того, что малвари пишутся под заказ. Мошенник, имея базу данных с ФИО и кое-какой инфой о счетах, данными на вход в онлайн-банк, из парсенной инфы левого софта и куки, подделывает компьютер совершенно неотличимый от компьютера жертвы, который уже знаком банковскому сайту, и заходит в кабинет жертвы, как свой. Ну а дальше вывод средств через дропов.

Системы двухфакторной аутентификации в частности, 2FA тоже снимают. Не знаю как, но на профильных сайтах объявления о снятии 2FA в течение 2-3 дней за процент от имеющейся суммы. 

Остаются работники банков и точек продаж сим-карт, продающие базы данных тем же, с "профильных" сайтов. Вот тут наверное можно было бы повлиять на предотвращение утечек весомой уголовной ответственностью.

Про антимошенническую грамотность обывателя говорить не приходится. Современный человек сильно загружен выживаемостью, и вероятности, что он может стать следующей жертвой им не учитываются.

Поэтому,  кардинальное решение банковских и компьютерных махинаций, вопрос открытый и в ближайшем времени решён не будет. Возможно в будущем, когда работа всех  компаний, служб и департаментов будет координироваться нейросетью мгновенно, подобные схемы уйдут в небытие. Но пока имеем реалии жизни в киберпанке, а он не такой романтичный, как показано в фильмах.

Ответить
Развернуть ветку
Max Kuznetsov

Тот самый случай, когда комментарий лучше статьи.

Ответить
Развернуть ветку
3 комментария
Igor Tarasov

В статье не раз сказано про опциональность мер. Никто их принудительно не призывает всем навязать. Вам не надо - ну и работайте как раньше. Но позвольте другим выбрать себе аппаратный или программный токен.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
2 комментария
Badumirocon

А что так глобально? Можно с малого, например запрет выдачи кредитов без личного присутствия, все! Какие тут оправдания будут ? 

Ответить
Развернуть ветку
1 комментарий
Аккаунт заморожен

"Банковская система аутентификации" не продумана от слова совсем, можно сказать ее вообще нет. Статья немного мутная, но суть верная и вы ее абсолютно не уловили. Сейчас у многих банков вход только по смс (не считая номера карты, который НЕ является конфиденциальными данными) – это полная дичь, которая не имеет ничего общего с безопасностью.

Ответить
Развернуть ветку
1 комментарий
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
2 комментария
Ware Wow

А почему вы сделали акцент на VDS и прочем?
Что мешает сделать 2FA через Google Authenticator?
Это есть даже на простых сайтах, но нет у банков.
Что мешает это сделать опционально?!

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
11 комментариев
Гафаров Артур
 Большую проблему уязвимости делают сами пользователи, вводя данные на фишинговых сайтах и закачивая нелицензионный софт, со вшитыми малварями похищающие куки с браузерными данными, и которые не определяются пресловутыми антивирусами ввиду того, что малвари пишутся под заказ.

Из всего последнего что произошло вокруг меня: люди отдавали свои явки-пароли по телефону, сливали их в формах "получения денег за товар, проданный на авито" и даже устанавливали teamviewer под диктовку "оператора банка" и отдавали ему пароль для входа. Т.е. огромная глупость и никакого нелицензионного софта с малварями.
При этом, почему-то это работает в России, но, к примеру, в США какая-нибудь фирма может по телефону запросить у тебя данные твоей карты вместе с CVC, списать за оказанную услугу. И там это норма. Т.е. там тебе не надо переживать за то что как только сотрудник фирмы получит эти данные, он сразу же сольет их в даркнет или мошенникам. Ибо владелец карты позвонит в банк и скажет "я не делал этого перевода" и банк вернет деньги. Как это работает? Два противоположных мира!

Ну и "чокасаемо" банков. Они тоже иногда вместо того чтобы обезопасить клиента, занимаются обратным.
Примеры.
Сбербанк навяливает авторизацию по голосу. Понятно к чему это может привести.
Альфабанк навяливает авторизацию по морде лица. Понятно к чему может привести. Более того, Альфа уже давно предлагает тебе услугу "дополнительного страхования карты от мошенников", типа что бы не произошло, все деньги вернутся. Зачем вы продаете мне эту услугу, в то время как отняли у меня возможность включить обязательную авторизацию по пин-коду в физических магазинах и обязательную авторизацию по 3ds в интернет-магазинах? Я бы включил их и был всегда спокоен, но нет. Меня этого лишили, а теперь предлагают страховку за деньги.
Газпромбанк! Эти пошли еще дальше! Они требуют максимально сложный пароль. Пусть будет у меня был немного глупый, но все же пароль ${MyDogName}${MyBirthday}${WifeCarName}.
Газпром мне говорит "пароль фигня, добавь спецсимвол, добавь длину". Я задаю пароль, который естественно не могу запомнить. Я иду и пишу его в файл на жесткий диск "пароль_газпромбанк.txt". Ура!

Итого, я (отчасти согласен с автором) и считаю что банки и госструктуры весьма слабо защищают клиентов. И больше заинтересованы в доходах от этих самых краж.

Ответить
Развернуть ветку
Егор Васильев

Всегда прикалывается такие люди как Алекс. Человек старался писал статью А вы ему пишите что он написал бред. С такими как alex в разведку не сходишь

Ответить
Развернуть ветку
4 комментария
Максим Ростокин

И ещё остаётся проблема родственничков, которым не составляет труда залезть в карман и потратить честно заработанные деньги, не прибегая к вышеописанным методам.

Ответить
Развернуть ветку
1 комментарий
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
25 комментариев
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
art k

есть способ проще: в течение 7 дней с момента совершения любого перевода, клиент может его отменить. все. в америке этот срок раньше был до 30 дней. тогда банки будут очень заинтересованы в расследовании мошеннических действий, тогда пенсионеры не будут терять деньги. 

насчет симок- у симок есть следы, есть ИД башен, по которым легко эти симки пеленговать. а блокировкой спам-звонков должны заниматься операторы и бесплатно, без доп услуг. иначе зачем они нужны? 

Ответить
Развернуть ветку
Nix

А можно пользователь сам в банке решит, хочет он чтобы по звонку что-то с его баблом делали, или как настоящий старпер  зайдет ножками в банк и подпишет платёжку. И заодно если захочет обслуживаться дистанционно выберет какие способы защиты ему нужны. Сам.
Или лучше вы и банки решите за него ? (Как сейчас). 

Ответить
Развернуть ветку
Tjhddoj Jfdfjkb

Да это лално у меня увели госуслуги благодаря банку, я естественно жалобу росскомнадзор, они меня тихо послали сославшись что дескать не ведут расследование, вывод государство комит мошенников в лицк росскомнадзора

Ответить
Развернуть ветку
Konstantin T.

О чем вообще можно говорить если госорганы не способны закрыть даже колцентры в колониях... 

Ответить
Развернуть ветку
Fred Han

Зачем им закрывать свои колцентры? 

Ответить
Развернуть ветку
BaronKorf

Может потому что это по большей части миф? Расследований на тему кол-ва таких КЦ я что-то не вижу.

Ответить
Развернуть ветку
6 комментариев
Denis Kulish

Есть вариант проще)) Нужно обязать банки сразу возвращать деньги на счет клиента в любой непонятной ситуации. А уже потом разбираться и искать виноватых. Поверьте в этом случае, они довольно быстро «изобретут» надежные способы защиты и будут не на словах, а на деле помогать следствию. 

Ответить
Развернуть ветку
Trail soul

Мечтающих об этом довольно много. Но если задавать элементарные уточняющие вопросы, они начинают теряться в показаниях. Посмотрите здесь, например - https://vc.ru/finance/271061-moshenniki-razveli-22-letnyuyu-devushku-na-700-tysyach-rubley-chem-my-mozhem-pomoch-i-chemu-nauchitsya?comment=3095409

Ответить
Развернуть ветку
1 комментарий

Комментарий удален модератором

Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
ITSOFT
Автор

Тем более, что найти мошенников не составляет проблем. Во-первых, есть СОРМ (система оперативно-розыскных мероприятий). Точка.

Во-вторых, можно даже опознать человека по голосу. В свое время этим вопросом работал небезызвестный Александр Иванович Солженицын. В романе “В круге первом” классик описывал свою работу (заключение) в шарашке, где он занимался визуализацией звука, распознаванием речи и идентификацией личности по голосу. Это было 70 лет назад. Сейчас в распоряжении следователей компьютеры и сотни программ. Жми на кнопочку и собирай доказательную базу.

Ответить
Развернуть ветку
21 комментарий
Сергей Бурдин

Автор сам себе противоречит в части где говорит что нельзя доверять звонкам, но тут же приводит пример с "отравителем Навального". Зритель должен поверить наслово что на том конце провода именно ФСБшник, а не специально обученный сотрудник. 
Удобство и безопасность - два конца одного отрезка. Чем ближе мы к одному. концу, тем дальше от друогого. Закрутив гайки по части аутентификации, очень сильно усложнится жизнь пользователей и перевести 150 рублей за обед другу будет сильно дольше и сложнее, при этом красть деньги меньше не станут. Мошенники вытянут из людей все  этапы аутентификации какими бы они ни были. Подавляющая часть подобных преступлений осуществляется именно с помощью социальной инженерии, а колл-центры сейчас переезжают в ближнее зарубежье, что сильно осложняет работу по противодействию. Как банк может запретить клиенту собственноручно снять деньги в банкомате чтобы засунуть их в соседних банкомат на "страховой счет"? Только недавно здесь была статья где девушка несколько дней ходила снимала деньги. И таких случаев очень много. Единственный эффективный способ противодействия - поднимать грамотность населения. Вместо уроков ОБЖ в школах начать преподавать основы финансовой грамотности и кибербезопасности. 

Ответить
Развернуть ветку
Аккаунт заморожен

Есть очень простой способ не усложнять жизнь. Для перевода 150 рублей можно просто ничего не менять. Усложнения – для вменяемых сумм.

Ответить
Развернуть ветку
Nix

Вы это серьезно ?   Ещё 10лет назад я лично наблюдал, как из банка вышел охранник, тщательно осмотрел нас, подошёл и спросил все ли нормально. А всего-то надо было несколько сот тысяч рублей из банкомата достать. И да, еще и позвонили потом с тем же вопросом буквально в течении минуты.  Вот после первого же перевода той бабы должен был позвонить реальный человек из банка, и сообщить ей, что она делает какую-то дичь.... А ещё лучше подойти консультант и поговорить.  Это прям такая большая проблема для банка ?   Нет.  Просто банку пофиг, он даже за. Комиссия за перевод лишней не будет ...

Ответить
Развернуть ветку
Аккаунт

Для начала нужно на законодательном уровне запретить перевыпуск sim/esim по доверенностям и без прохождения строго установленного порядка идентификации (например топаешь в салон и там тебя фоткают с паспортом и заявлением в руках, либо если это виртуальный опсос без офисов - шлешь по защищенным каналам связи это самое фото себя с паспортом и заявлением + 1 доп метод проверки, типа код на привязанную почту и т.п.).

Ответить
Развернуть ветку
Kinolog

как бы вот вас взять всех нарциссов-любителей селфи для идентификации и засунуть в отдельный котел в аду уже сегодня...

Ответить
Развернуть ветку
2 комментария
Ренат Ренатович
топаешь в салон и там тебя фоткают с паспортом и заявлением в руках

Потом на этой фотке фотошопят дату и выпускают новую симку)
Понятно что в итоге кто-нибудь когда-нибудь в теории докажет что фотка была отредактирована, и кого-нибудь может даже и привлекут. Но времени уйдет - несколько лет.

Ответить
Развернуть ветку
1 комментарий
feiry fairy

Операторы давным давно сотрудничают с банками и по перевыпущенной симке ты ни одной операции не подтвердишь.

Ответить
Развернуть ветку
Ренат Ренатович

Всё собрали - мёд, говно и пчелы.

Ответить
Развернуть ветку
Alexander

Мед, говно и гвозди

Ответить
Развернуть ветку
3 комментария
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт заморожен

Тут в каментах кто-то рассказывал про аутентификацию через видео звонок. Не прошло и 3 месяцев, как подъехал вот этот дипфейк с Тиньковым)

Ответить
Развернуть ветку
Konstantin T.

Все верно. Именно отсутствие ответственности рождает весь этот бардак. Банкам выгодно максимально упростить доступ к услугам и сервисами, они ведь ничего не теряют.

Ответить
Развернуть ветку
Ли Си Цын
Банкам выгодно максимально упростить доступ к услугам и сервисами, они ведь ничего не теряют

Прошу прощения - банки всего лишь следуют желаниям рынка. А рынок в лице толп зумеров требует одного: проще! Быстрее! Еще проще! Еще быстрее! Расчетный счет по обращению в бота! Кредит на миллион по одобрению в чатике ТГ! 

А потом разумеется начинается нытье про злых мошенников и плохие банки... 

Ответить
Развернуть ветку
15 комментариев
Alex Chernyshev

'Банки не хотят внедрять многофакторную авторизацию'

Хотят и внедряют, причем речь давно идет не о 2FA а об анализе поведения клиента  - те подключается нейросеть, которая анализирует поведение каждого клиента/группы клиентов и формирует паттерн.

Но конечно принципиально от мошейников это не избавит - лишь усложнит им жизнь.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
8 комментариев
Valentin F

Вы предлагаете совершенно нереализуемые решения. Ведь проблемы не в технологиях, а в пользователях, которые не понимают толком как все устроено в банкинге онлайн и как правильно обеспечивать безопасность. Раньше, когда все делалось только в отделениях банка, этим занимались сотрудники, а с переходом на приложения ответственность за безопасность во многом оказалось переложена на плечи клиента. А люди к этому не готовы.

Технически может быть хоть 20 ключей. Но если тебе звонят и убеждают тебя в том, что некие мошенники вот вот украдут деньги, и надо срочно заблокировать счет, скажите номер из смс — тут голова у большинства людей отключается. И они не виноваты в этом — так уж устроена наша психология.

Полностью избавиться от этой проблемы получится только с отказом от замкнутой на пользователя системы с номером карты и кодом из смс/брелка. Замкнутой в том смысле, что пользователь регулярно должен эти номера и коды где-то указывать и вводить. Если, например, все оплаты онлайн можно будет совершать через отпечаток пальца/faceID. Но и тут наверняка мошенники изобретут что-нибудь новое...

Ответить
Развернуть ветку
Аккаунт заморожен

Полностью не избавиться, но хотя бы снизить можно. Сейчас же просто не делается ничего. Банкам гораздо выгоднее все упрощать.

Ответить
Развернуть ветку
Alexander

Мне кажется решение лежит не столько в технической части, сколько в законодательной:
1. Обязать МВД автоматически открывать уголовное дело по факту обращения человека о мошенничестве, можно в электронном виде. Обращение подразумевает согласие заявителя на раскрытие финансовой информации следственным органам.
2. Обязать ЦБ разработать и внедрить систему, в которой сотрудник МВД мгновенно может установить личности участников банковских транзакции потерпевшего в уголовном деле начиная с указанной даты происшествия, получателей его транзакций и далее по цепочке, но только если такое уголовное дело инициировано.
3. Опционально, обязать ЦБ разработать единую систему фиксации жалоб на потенциально мошеннические действия (даже если они не привели к убыткам и уголовному делу) и право требовать у банков расследования в регламентные сроки.
4. Несколько показательных дел с многомилионными штрафами в сторону операторов связи, с чьих номеров осуществлены мошеннические звонки.
5. UPD: Обязать Минсвязи разработать и внерить систему, по которой сотрудник МВД в рамках уголовного дела может мгновенно получить сведения о владельцах номеров и записи разговоров (напоминаю что по "Закону Яровой" эти записи уже должны вестись операторами с 2018 года)

Ответить
Развернуть ветку
Trail soul

По третьему пункту: у ЦБ РФ есть интернет-приемная, куда можно отправить обращение и отследить его статус - что еще нужно? А второй вопрос - что банк должен расследовать по требованию ЦБ? Пример - ?

Ответить
Развернуть ветку
3 комментария
Сергей Бурдин

1. А что толку? Ну будет уголовное дело, но с вероятностью 99% это глухарь и раскрыто не будет.

2. Тоже особо смысла нет. Счета, на которые жертвы переводят деньги, открываются на так называемых дропов: людей, которых используют втемную или за небольшое вознаграждение. Например на бомжей очень удобно открывать счета. После того как деньги переводятся жертвой, они тут же снимаются из другого банкомата. 

3. Те же аргументы что и в пункте 2. Все концы обрываются на дропах, которые ни за что не отвечают.

4. Операторы связи - зарубежные провайдеры IP телефонии вне российской юрисдикции. Привлечь их не получится. 

5. см пункт 4. 

Единственный вариант противодействия - научить людей не вестись на разводы. А это очень долгий процесс.

Ответить
Развернуть ветку
6 комментариев
Alexander
  В Европейском Союзе такого почти нет, во всяком случае в таких масштабах как в России, там значит вопрос решён.

Если это действительно правда (что неплохо бы подтвердить отчетами ЕЦБ), то может быть правильный путь - это посмотреть как в еврозоне эти проблемы решаются а не заниматься сразу анализом технических решений?

Ответить
Развернуть ветку
Alexey

Это действительно так. И именно поэтому можно часто услышать про "отставшие" европейские банки. Потому что между комфортом и безопасностью они всегда выбирают безопасность. 
У российских банков проблемы безопасности нет, в рамках законодательства РФ - это проблема банковских КЛИЕНТОВ, поэтому они могут внедрять любые плюшки. 

Ответить
Развернуть ветку
2 комментария
Tv Box

ну вы попробуйте купите базу данных клиентов немецкого или швейцарского банка, для дальнейшего прозвона. Начать можно хотя бы с этого  вопроса

Ответить
Развернуть ветку
Алексей Скородумов

Правда. Например, в Норвегии централизованная двухфакторная система аутентификации на основе сим-карты, телефона, пароля и персонального номера. Она привязана к конкретной сим-карте и аппарату. Действует для всех банков и гос.органов. Российские гос.услуги в этом плане отстали лет на дцать.
Про удобство тоже миф: большинство платежей сами поступают в онлайн-банк и остается только их подтвердить. Что может быть удобнее?

Ответить
Развернуть ветку
8 комментариев
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Сергей Петров

Вижу в статье про финансы полицию с оппозицией - ставлю минус.

Ответить
Развернуть ветку
Онлайн-Аптека

На Гос Услугах надо обязательно  вкл. вход по СМС кодам.

Ответить
Развернуть ветку
Максим Ростокин

У меня как-то он сам включился, и я сразу принял это за норму.

Ответить
Развернуть ветку
Ruslan Yunusov

Возможно в комментах уже писали, но запрет на перевыпуск симкарты без личного визита в салон связи и динамический CVV решит большинство проблем. Пожалуй, за исключением потери смартфона

Ответить
Развернуть ветку
Аккаунт заморожен

Частично может решить. Юридически запретить перевыпуск сейчас невозможно. Ну или почти невозможно, для обывателя. Есть виртуальная услуга, которую в случае перевыпуска могут просто не заметить.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Алексей

Не знаю что там у вас в России, но у нас, самый большой банк - "Приватбанк", по умолчанию ставит двухфакторную аутенфикацию.

Плюс к этому у меня телефонный номер на контракте - его нельзя просто прийти и восстановить имея информацию о последних звонках или средствах на счету.

Ну и самое основное - у меня кнопочная нокиа. Попробуйте взломайте ее.

P.S. Брат жены установил приложение на телефон Монобанка. 
У него телефон украли, деньги сняли....

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
1 комментарий
Иванов Иван
Ну и самое основное - у меня кнопочная нокиа. Попробуйте взломайте ее.

Никто не будет взламывать ваш телефон. Практически все схемы мошенников основаны на дырах безопасности самого банка. В этих схемах бывают замешаны работники банка, которые сливают ваши данные и могут быть непосредственными участниками. Можно сделать хоть 10-факторную аутентификацию, но это не поможет.

Но главная проблема вас ждет в суде, где в ходе судебных тяжб, вам объяснят, что неизвестные украли деньги не у банка, а у вас.

У вас могут не только украсть ваши деньги, но и повесить на вас кредит. Потому что многие банки их выдают кому попало, по сканам документов от кредитного брокера. Причем подавляющее большинство таких кредитов берется на мелкие покупки до 100тыс. Все то, что в нормальных странах принято покупать по кредитке, имея нормальный договор со своим банком и нормально защищенное средство оплаты.

Ответить
Развернуть ветку
Anton Savelev

А лучше сидеть в бункере в алюминиевой шапочке, предварительно избавившись от всех электроприборов, в тч ПК и смартфона.
Смешно, ваши предложения - утопия. Это все равно что ходить в бронежилете в магазин за молоком. 
Другой вопрос что правоохранительным органам и специальным службам наплевать и они заняты совершенной чушью - вот тут полностью с вами согласен. 

Ответить
Развернуть ветку
ITSOFT
Автор

Это правильная постановка вопроса.

Ответить
Развернуть ветку
Аналитик Толян

Продам недорого. Включать при звонках с незнакомых номеров.

Ответить
Развернуть ветку
Andrey Andreev

Какой-то бред про отдельную почту и отдельный номер для каждого банка.
И за почтой, и за аккаунтом у мобильных операторов тоже нужно следить. Абсолютно не практичный совет, особенно в условиях, когда люди работают с картами сразу нескольких банков.

Ответить
Развернуть ветку
stivstivsti

Совет хороший, отдельная симка для хранения денег, одно из не многого что можно сделать в ситуации саботажа безопасности банками.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
сергей марикода

Я читал статью и думал,что она на китайском языке. Пока не дошел до комментов. Обычные граждане,на 80% ваши термины не понимают и не смогут разобраться в 10 уровнях защиты, всё перепутают и ещё быстрее попадут к мошенникам .

Ответить
Развернуть ветку
Иванов Иван

Проблема в том, что у нас в стране нет нормально работающей судебной системы. Зачем банкам что-то менять, если наши суды практически всегда на стороне банка? Хотя у банка нет никаких вменяемых доказательств того, что операция была произведена лично клиентом. Поэтому на вас так легко навесить кредит "по СМС" или украсть все деньги с вашего счета.

Есть только 1 способ решить эту проблему - ЭЦП. Все остальные средства не обладают ни юридическим статусом, ни идентификацией личности.

Ответить
Развернуть ветку
Nix

ЭЦП :)? Как вы собрались ее эксплуатировать ?  На флешке :)?  Чтобы когда вы воткнули ее для подписания вашей транзакции на памперсы кто-то, кто заранее подломил вашу систему подписал за вас приказы о переводе ему всех денег, открытию на вас кредитов, ещё и квартиру вашу на него переписал :)?
Отличный план.

Ответить
Развернуть ветку
Alex Aster

Я думаю что половина мошеничества устроенв через обычную соц инженерию. Где жертва сама все отдает в руки мошеника((

Ответить
Развернуть ветку
feiry fairy

Сами переводят, а потом государство виновато, банк, кто угодно. Противодействие есть - информация, из каждого утюга предупреждают о мошенниках. Это как жрать говно под плакатом "не жрите говно".
По технической части в основном всё более-менее ровно.

Ответить
Развернуть ветку
Alice B

Очаровательно, еще и травленую крысу приплели. 

Ответить
Развернуть ветку
Bejameto Velvetores

Реально проблема есть, и эти колл центры мошенников создаются при участии этих самих банков, а точнее чаще всего как раз жадными начальниками службы безопасности этих банков или других сотрудников имеющих доступ к персональным данным людей, которые они передают мошенникам для разработки. Первые звонки мошенников у меня начались после посещения офиса сбербанка с целью перевыпуска карты, и отказа от страховки против мошенников на 600р в год по-моему. Это очевидный вид вымогательства со стороны банка. А звонки эти очень сильно раздражают и иногда доводят до бешенства когда посылаешь мошенника, а он еще и огрызается. Проблема решится только после смены воровской власти и по другому никак.

Ответить
Развернуть ветку
Конь В пальто

Два кита:
1) брокерский счет (подробнее, например, тут: https://pikabu.ru/story/vorovstvo_deneg_s_brokerskogo_scheta_bezopasnost_schetov_7228282)
2) хранить деньги в криптовалюте

Ответить
Развернуть ветку
Tv Box
2) хранить деньги в криптовалюте

которая рухнет с большим шансом чем тебя облапошит телефонный мошенник

Ответить
Развернуть ветку
3 комментария
ITSOFT
Автор

(а добывать крипту в майнинг-отеле).

Ответить
Развернуть ветку
Lesha Kalachnikov

Пишем в банк уведомление о том, что не планируем ближайшие 10 лет покупать их говно кредиты без личного визита в банк. Украли деньги, показываем уведомление в суде 

Ответить
Развернуть ветку
Nix

Вот договор, и ты введя СМС явно заявил, что "передумал"....  Увы.

Ответить
Развернуть ветку
Askar Samanchiev

Простой обыватель с ума сойдёт от 2ФА, кода на почту и на телефон, как на каком-нибудь Бинанс.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Alexey Akimychev
Банки не хотят внедрять многофакторную авторизацию и покончить с мошенничеством

Может банки сами скажут чего они хотят или не хотят?

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
pol P

1. Нужна обязательно привязка устройства при первом заходе и подтверждение кодом программного авторизатора или кодом на почту.
2. Вывод от определенной суммы с обязательным подтверждением кодом авторизатора или Смс и кодом на почту.

Ответить
Развернуть ветку
Dmitry Kr

Господа, кто в курсе, почему банки не стремсятся опционально внедрять подпись платежей на аппаратном ключе (речь про счета физлиц)?
И можно ли ипользовать для этих целей средство УСКЭП для ЭЦП? 

Ответить
Развернуть ветку
Артем Спиридонов

"Смотри, кому выгодно"

Ответить
Развернуть ветку
Мигель Эрнандес

Есть нормальные банки в РФ, которые умеют в 2FA. Выбирайте их, не всякое зелено-сине-красно-желтое.

Ответить
Развернуть ветку
Виталий Аденин

Ссылки на неполживого урбанатора это супер🤣

Ответить
Развернуть ветку
Ревизор

"Перестать блокировать РосКомПозором оппозиционные сайты и заняться прямыми своими обязанностями операторами связи"

Дьявол - стань Иисусом! Стань положительным героем! тебе че, сложно что ли? Надо делать так как правильно, вот и делай правильно, это тебе советую йа!

Нельзя быть таким наивным) если бы это был действительно отдельный, независимый орган, то да, окей, может быть, но у нас нет политики, вся политика вертится и происходит от одного человека, если сузить так сказать этот круг)
Рос ком позор это же только шильдик, просто ещё одна структура, которая бьёт розгами по указке, не было там независимых решений и не будет) и ждать и взывать к ним очень странно)

Ответить
Развернуть ветку
Lenya

Ну, про 51 статью бы поспорил. По закону вы имеете право не говорить с силовиками, но где-то на этапе введения швабры туда, вам неистово захочется что-то им рассказать и подписать пару чистых листочков.

Ответить
Развернуть ветку
Ayka Mustafayev

Есть ощущение что у нас на первом месте по мошенничеству в банковской сфере занимает социальная инженерия, а не технические недочёты

Ответить
Развернуть ветку
Chuchelo Patamkovoe

В Евросоюзе вопрос решён очень просто. Если деньги спёрли то банк должен их вернуть или доказать что клиент мошенник. И все. Смс признали не гарантирующим должной защиты.

Ответить
Развернуть ветку
Макс Хабибуллин

Вот на самом деле- почему нельзя сделать запрет банку на оформление кредита дистанционным способом? На смену номера телефона без личного обращения? Чаще всего( по крайней мере на этом портале) пишут, что сменили номер телефона через звонок и получили доступ в приложение и оформили кредит через приложение. Часто пишут что брокеры оформляют кредиты по поддельным документам, но как я понял в данном случае всё таки банк уже разбирается, а не клиент.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Виталий Ульянов

Автор, а чего так скромно? Запрети банкам вообще онлайны, только ножками в банк, с паспортом и сберкнижкой! Эпический уедан ты а не советчик. Всё, что ДОЛЖЕН гражданин нормального государства - это иметь деньги на своё обеспечение. За всё остальное ДОЛЖНЫ переживать системы, которые гражданин содержит на свои налоги. Не пиши больше нигде и никогда, умник.

Ответить
Развернуть ветку
213 комментариев
Раскрывать всегда