Давно пользуюсь «Тинькофф Банком», примерно с 2014 года. В последнее время на vc.ru стало появляться много статей на тему воровства денег с карт или взломах мобильного приложения. Но я чувствовал себя в безопасности, так как старался соблюдать основные правила финансовой безопасности:
- На карте стоит лимит на сумма не более 2-ухнедельных расходов.
- Интернет-платежи только с виртуальной карты.
- Физическая карта одна, она лежит дома и не используется для платежей.
- Уникальный пароль для интернет-банка и приложения.
- Номер телефона привязанный к банку не основной, его знают единицы.
- Apple Pay.
Но даже это не спасло от небольшого инцидента. В один день начали массово приходить смски от банка о попытке входа на сайт и 4-ех значный код. Я сразу зашел в интернет-банк, сменил пароль. Затем вошел в приложение, попытался отправить сообщение в техподдержку со скриншотом смсок, но приложение вылетело с ошибкой о частых авторизациях (точную формулировку не помню). Далее, позвонил уже по телефону, где мне заблокировали карты и восстановили доступ в приложение. На всякий случай вывел все деньги в другой банк. В общем все обошлось, потери нулевые. Технических подробностей о данной ситуации не знаю.
После этого почитал пару статей про восстановление доступа и ужаснулся, оказывается кодовое слово можно поменять зная просто данные паспорта и данные по карте. Номер телефона можно поменять зная кодовое слово и паспортные данные. То есть зная некоторый объем информации и период когда телефон не в зоне доступа к сети можно завладеть доступом к приложению, где можно своровать не только деньги клиента, но еще и быстренько оформить кредит.
Я решил написать небольшую статью со списком мер, которые сделают хранение денег в банке Тинькофф более безопасным.
1. Запретить восстановление доступа к приложению и интернет-банку дистанционно.
Да, я знаю что отделений нет. Но код для восстановления можно отправлять почтой или через представителя. Это дольше и неудобно, но это можно сделать опционально или даже платно.
2. При входе на новом устройстве запретить проводить какие-либо операции на 48 часов. Только режим чтения.
Здесь я думаю все понятно. При этом на доверенных устройствах должно быть постоянное уведомление, о том, что есть еще одно устройство, где вошли в Ваш профиль.
3. Кодовое слово для сотрудников.
На VC кто-то обращал внимание, что реальные сотрудники банка могут перезвонить Вам с левых номеров. Хочется что бы сотрудник как-то подтверждал, что он не мошенник.
4. Вывести список авторизованных устройств и историю событий в приложение.
Сейчас список устройств, где Вы авторизованы можно посмотреть на какой-то специальной странице интернет-банка, которую сходу тяжело найти. Историю попыток входа вообще посмотреть нигде нельзя. Эта информация должна быть доступна клиенту.
Нужно просто внедрить видео идентификацию. Так сейчас работают многие казахстанские банки.
Надеюсь это шутка такая ?
Придипфейк слышали ? Родная мама опознает как дитятко...
И я понимаю, что не предоставляет доступ к их датчикам. Но плюс минус система похожая.
Все же лучше, чем идентификация по данным из паспорта.
Просто разные сорта говна. Приблизительно также незащищенно, как проверка по отпечаткам пальцев. Которая, как известно довольно легко обходится и нормально работает только если отпечатки при проверке снимает с вас сотрудник, и не даёт подсунуть "фото отпечатков" или "резиновый палец."
Поймите простую вещь: если ваши отпечатки вы оставляете в миллионе мест, если вы не носите паранджу и ваша рожа открыта, то эти способы не годятся. Кто угодно может получить и эмулировать эти данные. Это не может быть паролем, они несекретны. Это примерно тоже самое, что надеяться на секретность пароля вытатуированного у вас на лбу...
Я как банковский работник говорю вам, что меры принимаемы банками соответствуют международным стандартам.
Если кто-то подделал сим карту, то это подсудное дело.
Что вы тогда предлагаете? Обслуживаться только в отделениях?
Вы как банковский работник ничего не знаете о шифр блокнотах, аппаратно генерируемых паролях, Гугл аутентификаторе на худой конец ?
Вы как банковский работник только про смс-ки знаете ?
Так откройте глаза, и почитайте хоть чуть чуть о том, что и как используют там, где важно, чтобы не было проблем.
А если вы, как работник знаете только про смс, то да, обслуживать только в отделениях. Лучше никакого обслуживания, чем такое после которого всю жизнь будешь гасить чужие кредиты.
Комментарий недоступен
Уважаемый, прогресс в крупных компаниях идёт крайне медленно. Вы видимо мало что понимаете о том, как устроен бизнес. Свои сердешные минусы можете приберечь для себя 😅
Раз вы такой гений чистой красноты, то флаг вам в руки и работать в ЦБ или министерство финансов для разработки и обязаловки внедрения систем защиты в банках второго уровня.
Хорошего дня :)
Комментарий недоступен
Систему FaceID не обманешь, вы про фейк. При видео идентификации требуют провести множество манипуляций. Также никто не отменял смс идентификацию и паспортные данные. В совокупности процент взлома крайне ничтожен.
В РК сейчас почти полностью цифровая экономика. Многие вещи можно сделать не выходя из дома.
Вы это на серьезных щщах ?
Дипфейк делает видео, на которых люди узнают тех, кто на них изображён. Живые люди не могут найти отличий, а вы на фейс айди надеетесь :)?
Паспортные данные - это отличный способ проверить "ничего", их знают почти все.
Смс "отличная штука," но, к сожалению, любой сотрудник сотового оператора может выпустить сим-карту с вашим номером. Уж не говоря об уязвимости самого телефона.
То, что лично вы ещё не влетели - это просто пока ваша очередь не пришла. Никакой надёжности все перечисленные вами методы не дают. Кроме одной - 100% надёжности того, что когда украдут ваши деньги крайнем будете вы.
Комментарий недоступен
Не очень понимаю, как именно он измеряет ? Штангельциркулем ? Или по двум данным ему изображениям с двух камер ;)? Или лидаром ? Что мешает подать на вход этому датчику ровно то, что он ожидает ?
Вот вы вошли в лифт. Вот простояли там. Вот вышли. Вот уже кто-то имеет фотки вас со всех сторон и легчайше построит 3д модель вашего лица. Или даже лазером вас ощупал, в неоптическом диапазоне работающем. И он сможет подать на вход любому фейсайди абсолютно любые данные.
Это непросто, но ничего магического тут нет.
Надо просто понять одну вещь: фото вашей рожи не может быть паролем. Это тупо. Это тоже самое, что велеть банку выдать все деньги тому, кто сможет сказать есть у вас на носу бородавка или нет...
Комментарий недоступен
Так ктож вам разрешит использовать в дополнение :) ?
Пара лет и будете принудительно переведены на условия, когда это будет основным и единственным способом проверки.
Как сейчас смс-телефон.
Грядет...
То что вы не знаете об успешных взломах фейсайди не означает что их нету. Я помнится интересовался надёжностью сканеров пальцев в телефонах. Беглое изучение показало, что подделать для телефона ваш пальчик - работа с себестоимостью в сотни долларов. Это просто адски неудачная штука. Работает только против неподготовленных гопников.
В целом бессмысленно интересоваться самой технологией и деталями ее реализации. Она изначально крайне небезопасная по сути своей. И никакие ухищрения ничего тут не дадут. В битве атакующего ИИ и ИИ банка, банк всегда проиграет. Просто потому, что достаточно обыграть его один раз на тысячу, чтобы быть в профите...
Комментарий недоступен