Мои советы банку «Тинькофф»
Давно пользуюсь «Тинькофф Банком», примерно с 2014 года. В последнее время на vc.ru стало появляться много статей на тему воровства денег с карт или взломах мобильного приложения. Но я чувствовал себя в безопасности, так как старался соблюдать основные правила финансовой безопасности:
- На карте стоит лимит на сумма не более 2-ухнедельных расходов.
- Интернет-платежи только с виртуальной карты.
- Физическая карта одна, она лежит дома и не используется для платежей.
- Уникальный пароль для интернет-банка и приложения.
- Номер телефона привязанный к банку не основной, его знают единицы.
- Apple Pay.
Но даже это не спасло от небольшого инцидента. В один день начали массово приходить смски от банка о попытке входа на сайт и 4-ех значный код. Я сразу зашел в интернет-банк, сменил пароль. Затем вошел в приложение, попытался отправить сообщение в техподдержку со скриншотом смсок, но приложение вылетело с ошибкой о частых авторизациях (точную формулировку не помню). Далее, позвонил уже по телефону, где мне заблокировали карты и восстановили доступ в приложение. На всякий случай вывел все деньги в другой банк. В общем все обошлось, потери нулевые. Технических подробностей о данной ситуации не знаю.
После этого почитал пару статей про восстановление доступа и ужаснулся, оказывается кодовое слово можно поменять зная просто данные паспорта и данные по карте. Номер телефона можно поменять зная кодовое слово и паспортные данные. То есть зная некоторый объем информации и период когда телефон не в зоне доступа к сети можно завладеть доступом к приложению, где можно своровать не только деньги клиента, но еще и быстренько оформить кредит.
Я решил написать небольшую статью со списком мер, которые сделают хранение денег в банке Тинькофф более безопасным.
1. Запретить восстановление доступа к приложению и интернет-банку дистанционно.
Да, я знаю что отделений нет. Но код для восстановления можно отправлять почтой или через представителя. Это дольше и неудобно, но это можно сделать опционально или даже платно.
2. При входе на новом устройстве запретить проводить какие-либо операции на 48 часов. Только режим чтения.
Здесь я думаю все понятно. При этом на доверенных устройствах должно быть постоянное уведомление, о том, что есть еще одно устройство, где вошли в Ваш профиль.
3. Кодовое слово для сотрудников.
На VC кто-то обращал внимание, что реальные сотрудники банка могут перезвонить Вам с левых номеров. Хочется что бы сотрудник как-то подтверждал, что он не мошенник.
4. Вывести список авторизованных устройств и историю событий в приложение.
Сейчас список устройств, где Вы авторизованы можно посмотреть на какой-то специальной странице интернет-банка, которую сходу тяжело найти. Историю попыток входа вообще посмотреть нигде нельзя. Эта информация должна быть доступна клиенту.
Много чего можно внедрить, только пользоваться этим будут 0,1% параноиков, а разработка нового функционала стоит денег.
Прикрутить 2Fa стоит денег? Я все понимаю конечно, банки и тп, но сам функционал джуниор за час накатит. Остальное уже просто протестить.
Ну вы же сами пишете, что понимаете что это банк. Не может быть одновременно просто, дёшево, надёжно и безопасно. Это всяко стоит денег.
А потом ещё пользователи мозг поддержке выносить будут, что тоже стоит денег и дополнительный негатив.
А с 2FA через приложения там не всегда всё очевидно же. Типа не синхронизированное время на устройстве => неверные коды => злой пользователь который не может войти.
Citibank может, Авангард банк может, Тинькофф не может? Вы хотели сказать, не хочет? Это более вероятно.
Да, не хочет. Я уверен, они рассматривали добавление этой фичи. Вероятно при оценке минусы перевесили плюсы.
Где в Авангард для физиков 2FA?
1. Cкретч-карта с одноразовыми кодами.
2. Карта с дисплеем для генерации одноразовых кодов
3. Флешка с токеном
Смс можно вообще отключить
Это не 2fa, это альтернативный fa. Если знать номер карты, cvc и завладеть списком кодов то можно вывести все деньги.
Аппаратный генератор одноразовых кодов - это не 2fa?
А что тогда, по-вашему, 2fa?
Комментарий недоступен
Генератор вроде только для МИР бывает ? Или его можно отдельно от карты использовать ? Все ли операции требуют подтверждения ?
Комментарий недоступен
Сверх 1рубля можно :)?
Реально хочу банк с аппаратным токеном "на все". Это улучшит мой сон.
Но у авангарда информации что-то не вагон.
Смотрел ещё Сити, но у них совсем грустно с отделениями.
Можно вообще все подтверждать только аппаратным токеном.
У меня сейчас смс коды отключены, любые подтверждения либо одноразовым кодом со скретч-карты либо генератором карты МИР.
Авангард, по-моему, самый замороченный в хорошем смысле на безопасности.
Лет пять назад при переводе 600к, с меня потребовали три фактора для подтверждения операции (смс + код скретч карты + usb-токен)
Они не замороченные, просто отстают от индустрии. Скретч-карты 15 лет назад были много у кого, просто Авангард еще не отменили. Авангард, если вы тут - не отменяйте. А с юсб там что-то раньше странное было, там тупо ключи на флешке лежали в открытом виде.
В Аву позвони просто, там по телефону почти сразу нормальный живой оператор отвечает, а не всякие автоинформаторы. И этот живой оператор (сюрприз!) разбирается в продуктах банка, а не перечитывает всух информацию с сайта)
Комментарий недоступен
Надо, похоже, дойти до отделения авангарда...
Токен у Авангарда 10 лет назад получал, на флешке бесплатно, тогда Тинькофф ещё только-только вклады запускал, через Почту России и не умел ни в Swift, ни в платежи. Авангард умел)
Вы не подумайте, мне далеко не всё нравится в Тинькофф. Особенно страхование где они прикрываясь неполадками с последующими редиректами куда подальше, в наглую, уже года два-три, не дают мне оформить ОСАГО.
Но. Где Тинькофф и где Авангард сейчас? Похоже что приоритеты и направления работы они по большей части выбирают верно.
Миллионы мух не могут ошибаться - это да.
Надо четко понимать, хочешь ли ты нормального сервиса и нормальной безопасности, или хочешь "как у всех". Если подходит "как у всех" проблем меньше. Но мне, к примеру, столько водки не выжрать, чтобы мозг настолько отрафировался, чтобы мне подходило :(
Однако типовой клиент что тинькова, что сбера, легко даёт к примеру разрешения на доступ к своей персональной книге номеров. Ему пофиг. Он даже не задумывается о том, что это как минимум неприлично по отношению к тем, кто в ней записан.
Страшно далёк я от народа...
🤝) =😎
Где Тинькофф? Ну владелец банка присмерти, борется с раком, запомнится миру как недобросовестный бизнесмен, которого IRS заставили заплатить штраф в $500M за уклонение от уплаты налогов. В РФ как запомнится пока неизвестно, но судя по раздутому пузырю его акций на бирже ничем хорошим тоже.
Где Авангард? Устойчивый банк обслуживающий бизнес в высоколиквидном секторе (Агро и агротех), отличная отчётность, сбалансированный портфель и очень крутое управление. Люди делом занимаются, деньги зарабатывают, а не хайпом. Здоровье-то не купишь.
У Авангарда акции, кстати, растут последние года три. Хотя он не слуху и модными фишками не выделяется.
Деньги любят тишину.
🤝 Счастье тоже любит 😍 тишина 🤫) =😎
Ещё один эксперт. На отрезке 3 лет большинство акций растёт, только в случае с авангардом скорей инфляция в % выросла больше чем его акции
Задаваясь этими двумя вопросами ты сознательно сравниваешь человека и другой бизнес, а не бизнес этого человека с другим бизнесом?
Сесть в лужу так или иначе у тебя получилось имхо вместо тысячи слов есть вполне открытые данные, по которым твой такой «устойчивый» авангард всего за 7 лет растерял почти втрое свой кредитный портфель и даже при этом факте имеет такой огромный показатель просроченной задолженности. Растерял почти в 4 раза рынок кредитования физиков и в 3 юриков как и их привлечение откатившись на показатели 2010 года. Зато подрос аж + 14% по активам, правда против +846% у Тинькофф за тот же период. Ну да ведь у Тинькова ещё по твоим словам раздутый пузырь акций, и с чего же…а не с тех ли почти четырёхзначных процентов прироста?
Авангард прям просто чудо а не банк 🤣👍, сразу видно выражаясь концовкой твоего поста: Люди делом занимаются, деньги зарабатывают, очень крутое управление сбалансированный портфель и отливная отчётность. Ах если бы все так работали, всем советую ровняться! 👌
Воу-воу, остановись, все уже поняли, что ты экспертно вложился на полную котлету в акции Тинькофф и теперь не понимаешь почему они падают и твой портфель так сильно просели, поэтому приходится в комментах неверных слуг Тинька выкладывать проспект с аналитикой.
Отвечу лишь про человека и бизнес, если твоя фамилия висит в названии твоего бизнеса, то этот бизнес всегда будет связан с личностью. Сам Тиньков (Олег) с этим полностью соглашался не один раз в своих интервью.
Комментарий недоступен
Комментарий недоступен
Говнобанки
Пастернака не читал, но осуждаю?
Комментарий недоступен
Был клиентом Авангарда🤮
Боюсь, что клиенты авангарда без доказательств вам не поверят))
Комментарий недоступен
Каким способом? Одноразовый код и так высылается по смс при входе и/или смене пароля. Также заметил что просит приложить карту к телефону для подтверждения. Можно конечно налепить туда и OTP через google authenticator или вообще pgp вериф как на криптобиржах, но будет как минимум неудобно) Из реально дельных идей в статье - только сделать в приложении пункт где была бы история аутентификаций и текущие устройства + возможность разлогинить. И чтобы с нового устройства нельзя было сразу же отключить старое
А можно я сам решу включать ли мне неудобную безопасность, или надеяться на авось ? Сам. Лично. Решу. Платить ли лишний баблос за эту услугу. Можно ,?
3 человека-месяца минимум, а не час и не джуниор. Ну и пожизненная поддержка
а во сколько обходится штат отвечателей в чатах и люди отвечающие в соцсетях?
Не то чтобы прикрутить, хотя бы не откурчивать. Пароли оставить, например.