Финансы Андрей Демчук
1 060

Новый вид угроз для финансовых услуг

Жизнь и технологии меняются, мы сами шагнули в очень интересный мир, и я хочу обратить внимание банковское сообщество и брокерские сервисы на одну уязвимость, которая с лёгкой руки появилась в связи с принятием «Закона Яровой».

В закладки

Операторы, согласно закону, наши с вами разговоры «стенографируют» и хранят. Со временем, у всё большего количества людей будут чесаться руки получить доступ к этим данным (тем более, когда они уже «стёрты», согласно регламенту). Интересна будет не та информация, где вы поздравляли с Днём рождения бабушку, а где разговаривали по телефону с оператором call центра банка или брокерской конторы. Оператор, согласно правильным регламентам служб безопасности, тщательно проверяет личность Клиента, уточняет фамилию, номер паспорта, кодовое слово и т.д. Я не работаю в сфере дата-центров, и знать не знаю, как именно хранятся данные, которые сейчас записываются, как настроены резервные копии, насколько они защищены от несанкционированного доступа. Но риск появления их на рынке вполне очевиден. Учитывая, что на наших просторах различные базы продаются очень активно, сложно себе представить, что каким-то магическим образом именно эти данные на 100% защищены.

По сути, все услуги финансовых организаций, которые настраивались для предоставления их по телефону - банкинг, брокерские услуги, становятся уязвимыми. Если представить, что сохраненная база разговоров уйдет на рынок, то злоумышленники смогут получить информацию по счетам Клиента, сменить пин-код банковских карт или заблокировать их, провести сделку по брокерскому счету и т.д. Возможно, что есть банки, с расширенным перечнем услуг по телефону, когда можно проводить переводы на внешние счета (им «повезло» больше всех).

Угроза появления таких прецедентов достаточно серьёзная, и брокерским сервисам, и банковским службам безопасности, как минимум, нужно пересмотреть схему идентификации пользователя по телефону и добавить в неё дополнительные элементы: смс идентификацию, коды с карточки (по старинке), коды в приложении банка, электронные токены и т.д.

Такие методы по крайней мере позволят минимизировать риски неприятных ситуаций как для Клиентов, так и для самих финансовых организаций.

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Андрей Демчук", "author_type": "self", "tags": [], "comments": 29, "likes": 11, "favorites": 9, "is_advertisement": false, "subsite_label": "finance", "id": 59336, "is_wide": true, "is_ugc": true, "date": "Sat, 23 Feb 2019 17:35:56 +0300" }
{ "id": 59336, "author_id": 251247, "diff_limit": 1000, "urls": {"diff":"\/comments\/59336\/get","add":"\/comments\/59336\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/59336"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199119 }

29 комментариев 29 комм.

Популярные

По порядку

Написать комментарий...
0

Добавить смс-верификацию во время разговора усилит безопасность. Хотя выпуск дублей симкарт никто не отменял...

Ответить
1

Тут не все так однозначно. И методов дополнительной идентификации я написал несколько, т.к. смс не всегда и не для всех случаев подойдет, потому что пользователь может звонить например со стационарного или служебного телефона.

Ответить
–1

Да и не только дублей, когда очень надо сотрудники оператора и без дублей тупо содержимое прочитать могут. При крупных финансовых операциях подобные серые услуги окупятся.
Нужны прецеденты - громкие истории со взломами телеги на двухфакторке

Ответить
0

По старинке, убираем телефонию как таковую, и общаемся с глазу на глаз.

Ответить
0

Это уже слишком сложно для мобильных граждан!

Ответить
0

В этом году уже вводится биометрия в банках, сначала в рекомендательной, потом в обязательной форме. Кодовое слово будет не нужно.

Ответить
0

Биометрия по телефону?

Ответить
0

Голос.

Ответить
0

Его и так уже используют, но это только дополнительная проверка.

Ответить
0

Ещё не используют. Только вот вот начали внедрять терминалы биометрии и интеграцию с ЕБС. Сейчас вы можете выразить желание внести биометрию, но обязательного требования нет.

Ответить
0

Я про голос, уже несколько лет некоторые банки сравнивают и голос, но основным методом проверки это не будет, только дополнительная.

Ответить
0

Закон был принят в 2017 году, внедрение началось в 2018. Внедрение мягкое, так что априори нескольких лет не может быть.
Когда интеграция закончится и обязательная биометрия вступит в силу это будет основным подтверждением.

Ответить
0

так что априори нескольких лет не может быть

https://habr.com/ru/company/croc/blog/307576/

Ответить
0

Какое отношение частное решение имеет к общему, которое базируется на требованиях законодательства?

Ответить
0

Причем тут закон?
уже несколько лет некоторые банки сравнивают и голос

нескольких лет не может быть

Ответить
0

Ещё раз. Частная инициатива банка вне регламента ЦБ, вне правового поля может при условии отсутствия нарушений делать что угодно. Могут вводить свои решения, но никаким образом они не могут нарушать обязательные требования ЦБ.
ЕБС это цельное общее решение, которое интегрировано с согласия ЦБ и принято с соответствующими поправками к регламентам.
Так яснее?

Ответить
0

Еще раз, где я что-то про закон писал?
Я написал что это давно используют некоторые банки, а вы начали говорить, что это не так.

А насчет идентификации только по голосу почитайте ту статью на Хабре, эти системы не работают без ошибок, поэтому единственным способом идентификации это не будет.

Ответить
0

Банки могут использовать все что угодно, пока это не противоречит ЦБ. Если ЦБ сказало, что ваши местячковые решения не являются источником истины, значит можете использовать но как игрушку. Сейчас ситуация другая. Любые местячковые решения в помойку, только ЕБС.
Это будет просто исходя из норм закона и регламентов. Вы это можете понять?

Ответить
0

Я сказал, что такая практика уже ведется несколько лет некоторыми банками, вы сказали, что такого не может быть. Точка.
Если бы вы сказали, что они это делают по частной инициативе, я бы не спорил, но вы просто написали что априори такого не может быть, что глупость.

Ответить
0

Тинек не райф, у него ИТ решения одни из лучших на рынке.

Ответить
0

И? Я про него и писал, когда говорил что это много лет используется.
Статья на Хабре про Райф в Беларуси, а про Тинькоф там в комментах есть.
Тинькоф это использует как минимум с 2014-2015.

Ответить
0

А вам не кажется, что голосом предоставлять свои персональные данные, пароли, кодовые слова это в принципе какая-то дикость? А дополнительные методы идентификации, которые вы перечислили выше, ввести можно было уже давно.

Ответить
0

По сути да, но в большинстве банков если нужно решить какой-то вопрос, который не решается онлайн нужно звонить и предоставлять личные данные. Давно не звонили? Попробуйте, допрос будет подробный... И по факту этих дополнительных методов сейчас нет. Что я и считаю насущной необходимостью в связи с тотальной "прослушкой".

Ответить
0

Тинькофф уже идентификации по голосу производит как дополнение к привязанному номеру с которого или на который звонок.
И вот вы с прищепкой на носу его захотели нае...ть.

Ответить
0

Отличный повод для стартапа: выпуск насадок на мобильник, который будет преобразовывать голос в электронный, обезличенный. Уверен, что такая фишка на ура пойдет чиновникам, бандитам и параноикам - самая платежеспособная публика))

Ответить
–1

Это видимо шутка, но смартфон на то и смартфон. Таких приложений и сервисов предостаточно.

Ответить
0

Это не шутка) Надо понимать разницу между приложением в смартфоне и смартфоне в приложении. Если, к примеру, в первом случае разговор пришить к делу можно, а во втором нет.

Ответить
0

Отрывок из (возможного) разговора клиента с банком.
- Уважаемый, нам нужна дополнительная верификация личности, поэтому, пожалуйста, активируйте видеозвонок прямо сейчас.
- Так я же в одних трусах.
- Не беспокойтесь, приватность гарантируем (wink, wink).
На следующий день новый мем/персонаж во внутреннем чате сотрудников банка.

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Приложение-плацебо скачали
больше миллиона раз
Подписаться на push-уведомления
{ "page_type": "default" }