Сервисы
Максим Пряников

Современные банки — решето

Уровень сервиса в современных банках достиг небывалых высот. При этом одна из их основных функций — безопасное хранение денежных средств — давно потеряла свою актуальность. Не имеет значения, пользуетесь вы «Сбером» или модным банком без офисов, ситуация везде примерно одинаковая.

Сложились довольно порочные практика у банков и понимание ситуации у клиентов. Львиная доля мнений комментаторов на vc.ru сводится к тому, что клиент сам отвечает за свою безопасность. При этом не учитывается ряд важных моментов:

  1. Человеку свойственно ошибаться, мы не роботы. Человек, утверждающий, что его невозможно обмануть, либо лукавит, либо заблуждается.
  2. Клиенты очевидно имеют гораздо меньшую компетенцию в информационной безопасности, чем службы безопасности банков. Банк не предоставляет никаких дополнительных способов и инструментов для минимизации человеческого фактора.
  3. Защита лк банков зачастую не отличается от защиты какого-нибудь среднестатистического сервиса. Иногда она выглядит даже хуже. Например, стандартом в индустрии является пароль, который исключает словарные слова, включает дополнительные символы и имеет определенную длину. Некоторые банки позволяют входить в лк вообще без пароля (по номеру карты), либо по короткому паролю, или по паролю, состоящему только из цифр.
Современный подход к обеспечению безопасности

Невероятно, но такого же мнения придерживаются и в МВД (пруф). Хотя возможно, что это банальное перекладывание ответственности, и проблема кроется куда глубже. Например, в несовершенстве законодательства, по которому банк не разделяет ответственность за ошибочные действия клиента.

Анализ показывает, что одной из основных причин, способствующих дистанционным хищениям денежных средств клиентов кредитно-финансовых организаций, является непринятие службами безопасности банковских структур должных мер реагирования на сомнительные денежные транзакции. Как правило, вместо проведения полноценных проверок они ограничиваются фиксацией этих транзакций с последующим направлением материалов в правоохранительные органы.

МВД РФ

Прежде, чем продолжить, нужно сделать важное замечание. Оценку рисков того или иного события следует производить не только исходя из вероятности его возникновения, но и с учетом потенциального ущерба от него. Если вероятность события и потенциальная сумма потерь не велика, такой вероятностью можно пренебречь. Если сумма существенна, а ущерб от ее потери может быть значительным, то даже небольшая вероятность представляет серьезную угрозу. Кроме того, стоит учитывать, что количество средств на счету прямо пропорционально интересу мошенников к этому счету.

Поэтому, если у вас на счету хранится не более одной зарплаты, дальше можно не читать. Речь пойдет о более крупных суммах, потеря которых будет для клиента критичной.

Что не так с SMS кодами?

Возможность подтверждения операций по картам и ДБО появилась около 10 лет назад. Наличие посредника между клиентом и банком — серьезная уязвимость (например, sim карта может быть перевыпущена без ведома клиента). За все это время и до сих пор банки не сделали ровным счетом ничего для минимизации связанных с ней рисков. На примере этой и других проблем можно понять, на сколько банкам наплевать на вашу безопасность.

  1. Наличие между клиентом и банком посредника (оператора связи), который находится за переделами инфраструктуры банка и на которого банк никак не может влиять.
  2. Банк не отвечает за действия сотрудников сторонней организации (оператора связи).
  3. Низкая квалификация и низкая зарплата сотрудников салонов связи и как следствие – отсутствие мотивации на соблюдение требований безопасности.
  4. Низкий уровень безопасности в целом в салонах связи по сравнению с отделениями банков.
  5. Доказать преступный умысел в действиях сотрудника салона может быть весьма сложной задачей, если этот сотрудник действует грамотно. В лучшем случае такого сотрудника просто уволят.

И самое главное. Социальная инженерия и человеческий фактор — основной вектор атак мошенников и хакеров. Так было 20 лет назад во времена Митника, так остается и сейчас, ничего принципиально в этом плане не изменилось. Вероятность такого мошенничества (перевыпуск sim) увеличивается пропорционально количеству посредников — сотрудников салонов связи. Найти слабое звено в этой системе — дело времени. В крайнем случае, мошенник или его сообщник может сам устроиться на работу в офис мобильного оператора. В службах безопасности банков безусловно это понимают (если предполагать, что компетенция сотрудников соответствует занимаемым должностям). Почему в этом направлении ничего не делается – остается только догадываться.

Что не так с кодовым словом?

  1. Любая информация, которая передается в открытом виде кому бы то ни было (даже сотруднику банка) априори не может считаться конфиденциальной.
  2. Кодовые слова, в отличие от паролей, могут храниться в открытом незашифрованном виде.
  3. Для кодовых слов часто используют легкодоступную информацию (кличка животного, девичья фамилия и т.п.)

Что считать конфиденциальными данными?

По аналогии с предыдущим пунктом, конфиденциальными данными также не стоит считать номер карты или pin код:

  1. Номер карты может быть известен сотруднику банка. Недавно я получал карту в офисе одного из крупных банков. Карта была передана сотрудником банка в незапечатанном конверте. Аналогичный пример недавно упоминали здесь в каментах на vc и для другого банка.
  2. Номер карты или pin можно подсмотреть во время оплаты покупок.
  3. Карта может передаваться продавцу, в случае если не работает или отсутствует бесконтактная оплата.
  4. У многих банков существует услуга перевода средств с карты на карту, что как бы само по себе намекает на то, что эти данные не являются конфиденциальными. Для осуществления такого перевода я должен передать номер карты третьему лицу. Особо циничными в данном случае выглядят рекомендации банков никому и никогда не передавать номер своей карты. Возникает логичный вопрос – для чего вообще тогда банки предоставляют такую услугу? Для перевода самому себе? Если деньги нужно перевести на свой собственный счет или родственникам, можно использовать полные реквизиты, номер карты для этого не нужен.

Что считать или нет конфиденциальными данными похоже не понимают даже люди, считающие себя причастными к IT безопасности. Например, вот здесь (пруф) человек предлагает использовать секретные вопросы для восстановления пароля. При этом в каментах справедливо заметили, что уровень безопасности такого способа мягко говоря сомнительный. Я бы также не рекомендовал использовать такие системы, где эта функция в принципе существует.

Персональные данные тоже не являются конфиденциальными. В современный век бесконечных сливов наивно полагать, что узнать номер вашего паспорта или адрес — сколько-нибудь сложная задача. Кроме того, сливом данных зачастую занимаются сами сотрудники банков (пруф).

Антивирус? Шта?

Еще один пример весьма циничной рекомендации от банка, который мне попался совсем недавно — использовать антивирус на мобильных устройствах. Тут снова возникает много вопросов.

  1. Почему банк делегирует обеспечение безопасности сторонней организации (производителю антивируса)?
  2. Как много вы знаете людей, у которых установлен антивирус на мобильном телефоне?
  3. Антивирус не гарантирует абсолютную защиту от вредоносного ПО. Почему банк предлагает использовать такое средство, которое имеет неизвестную степень защиты?
  4. Банк в своих рекомендациях не предлагает никакой альтернативы. Допустим, клиент не хочет или не может работать с антивирусом (тем более, что это не бесплатно). Почему бы, например, не предложить ему ограничить операции по ДБО каким-нибудь лимитом?

Что должны сделать банки?

  1. Авторизация по кодовому слову не должна использоваться ни для каких критически важных операций (например, перевыпуск sim карты).
  2. Критичные операции производятся только через личный визит клиента в офис (замена sim карты, номера, оформление кредита). Привет, Тиньков!
  3. Использование скретч-карт, аппаратных генераторов кодов или ЭЦП.
  4. Возможность установки лимитов и ограничений по операциям с картами или через ДБО. Операции сверх лимитов должны использовать дополнительные средства защиты (скретч-карту), либо иметь временной период для возможности их отмены (например, 24 часа).
Скретч-карта (Википедия)

Что может сделать клиент?

  1. Не хранить больше одной зарплаты на карте, которая используется каждый день.
  2. Для остальных случаев завести отдельный телефон и sim.
  3. Установить запрет на действия по доверенности у оператора мобильной связи. В Билайне и Теле2 такая услуга есть, однако получить бумагу с подтверждением того, что запрет действительно установлен, мне не удалось. В офисе Билайна вообще сказали, что такая услуга у них в принципе не существует, хотя запрет в итоге все-таки поставили.

Что изменится в будущем?

Скорее всего, ничего. Пример желтого банка очень заразителен. Приоритет банков – удобный и доступный сервис, а безопасность это скучно, и ее сложно продавать. Типичный отзыв клиента на использование скретч-карты:

{ "author_name": "Максим Пряников", "author_type": "self", "tags": [], "comments": 83, "likes": 21, "favorites": 25, "is_advertisement": false, "subsite_label": "services", "id": 235201, "is_wide": false, "is_ugc": true, "date": "Mon, 19 Apr 2021 00:14:59 +0300", "is_special": false }
0
83 комментария
Популярные
По порядку
Написать комментарий...
10

Банки "Подматрасный", "Чулочный", "Свинка-копилка" - всем рекомендую для хранения денежных средств!)) А если серьезно, не понимаю вообще смысла хранить в банках сколько-нибудь серьезные средства в нашей стране. Уж лучше инвестировать в недвижимость, в образование себя и детей, в приобретение хорошей специальности, которая кормит. Деньги, это конечно хорошо, но они слишком уязвимы - они обесцениваются, их можно украсть, отобрать, и просто конфисковать по решению государства очень легко. 

Ответить
5

Согласен, если есть серьезная сумма, то зачем ей бесполезно в банке лежать? Лучше куда-то вложить ну или весело и с удовольствием потратить))

Ответить
0

Да, на это банки и заточены, чтобы было легко все потратить)

Ответить
3

Какую хорошую специальность предлагаете приобрести? Присматриваюсь к судейской мантии. Что думаете?

Ответить
1

"Присматриваюсь к судейской мантии." - пресная (или двойная) жизнь в обмен на  пожизненное денежное содержание после отставки.

Ответить
3

А в чем проблема?) В моем банке они, представьте себе, до сих пор актуальны. И слава богу.

Ответить
6

Avangard удивил меня картой «с дисплеем» где встроен генератор разового пароля) думаю данная затея была не для того что бы сверкнуть «яйцами», а для жесткой защиты финансов своих клиентов.

Вы правильно подметили:
Поэтому, если у вас на счету хранится не более одной зарплаты, дальше можно не читать.

Ответить
1

Avangard удивил меня картой «с дисплеем» где встроен генератор разового пароля

разве такое устройство не должно быть отдельно? если потерять такую карту - это как потерять обычную с надписанным пинкодом и "секретным словом"?

Ответить
8

Немного не так. Для того что бы сгенерировать одноразовый пароль - нужно ввести пароль)) и опять же, этот пароль нужен только для того, что бы оформить заявку на вывод средств через онлайн-банк(который тоже под паролем).
А само снятие денег в банкомате дополнительно защищено стандартным пин-кодом карты.

Замороченная штука, но defence на уровне)) Даже от самого себя, если немного перебрал😆

По мне в склейке удобней, скорей всего в одном бумажнике лежать будут.

Ответить
2

Только в авангарде и видел скретч как карты.
С одной стороны - может +.
Но бывает, нужно срочно платеж провести - а карточка в офисе, а ты за 1000 км.

Ответить
1

Видел раньше в Сити и Втб, но сейчас скорее всего уже нет.
На счет дальних поездок, карту конечно придется брать с собой. Но без нее косяки тоже возможны. Например, у меня был случай, когда банк заблокировал карту за границей, посчитав операцию подозрительной. И в данном случае получается, что скретч-карта наоборот позволила бы избежать такой ситуации. В поездках желательно иметь больше одной карты, на всякий случай.

Ответить
1

В поездках нал желательно иметь. Да и вообще не плохо его всегда с собой брать. Буквально на прошлой неделе на новорижском шоссе бензоколонка шел, не было возможности оплатить картой по технической причине, а это не далеко от Москвы. Карта не панацея, думать головой никто не отменял

Ответить
0

Ну это да. Но например купить билет на самолет, я даже не знаю можно ли сейчас не через интернет) Остались ли эти авиакассы, куда надо ходить ногами) В аэропортах – понятное дело они есть.

Ответить
0

А в чем проблема оплатить через официальный сайт?
Как поможет десять степеней защиты если к примеру оплата будет происходить через подставной сайт псевдо туроператора? Как думаете, скрейч-карта спасет в данной ситуации?

Ответить
1

Вы просто не поняли кажется.

Через сайт налом не оплатить.
Вы говорили нал иметь хорошо, в ответ автор поинтересовался возможно ли авиабилеты налом купить. На что вы спрашиваете в чем проблема на сайте официальном оплатить)
На сайте официальном могут быть тоже технические проблемы, и как вы говорите, надо головой думать, карта не панацея, вот с налом лучше.

Ответить
0

Автор топит за скрейч-карты, с ними все будет безопаснее по мнению автора. Банки ничего не делают и все в таком духе.
 Посмотрите в каждом посте ее упоминание.
С чего вообще этот сырбор пошёл?
Не выдергивайте пожалуйста из контекста отдельное сообщение

Ответить
0

Ответил выше

Ответить
0

Я сталкивался с подобной ситуацией именно с покупкой билета) Билет купил успешно, но сразу после этого пошли левые попытки списать деньги с карты. Чей был косяк без понятия, мой или сайта. Скретч карта в данном случае поможет тем, что снять все деньги со счета будет проблематично, только в рамках лимита, после которого понадобится код с карты.

Ответить
0

Из личного кабинета оплачивайте, сейчас большинство дают такую возможность. Виртуальные карты тоже есть думаю в любом банке, в личном кабинете делаешь себе карту которой физически нет, переводишь на нее необходимую сумму и платишь везде в интернетах без опасений. Также можно платить с разных кошельков не сверкая картами, а пополнять их можно помимо карт в терминалах и супермаркетах налом

Ответить
0

Про платеж с р/с фирмы вообще-то. Какой нал брать.?))

Ответить
1

О, возвращение к истокам, у меня когда-то был отдельный калькулятор от UBS который генерил пароль, чтобы зайти в систему. Верни мне мой 2006. 

Ответить
1

Сбер блокировал счёт несколько раз когда оплачиваешь крупные суммы. Чтоб разблокировать нужно пройти семь кругов ада. 
Думаю что правоохранительные органы должны работать лучше, а не банки делать новые припоны законопослушным гражданам. Оставаясь безнаказанными мошенники пладяться и развивают новые схемы

Ответить
8

припоны

пладяться

facepalm

Ответить
–3

Училка по русскому подоспела...

Ответить
2

Гуляет видосик из правоохранительных органов, где за день 78 дел по телефонному мошенничеству на столе лежит у ОДНОГО опера. Вот и все правоохранительные органы... Одни бюрократы и начальники, работать некому.

Ответить
0

Это действительно так! Основываясь на личном опыте обращения в правоохранительные органы. Работать некому, заявления сыпятся каждый день пачками.

Ответить
1

В моем банке, если операцию считают подозрительной, как раз-таки запрашивают код со скретч-карты. Получается, что в вашем случае это будет наоборот удобнее.

Ответить
1

Меня как раз не устраивает в некоторых случаях излишняя параноидальность банковских систем. Но я прекрасно понимаю для чего это делается(из-за кого). Приходится со Сбера на Тинькофф переводить средства для оплаты крупных счетов. Скретч-карты, пароли распечатанные с банкомата, это пипец как неудобно. Если платить раз в месяц хорошо, но у меня к примеру ежедневные платежи и бывает по нескольку раз на дню и не всегда в одном месте, таскать с собой все эти прибамбасы ну уж нет. Усложнения бесят. 
По этому я топлю за то чтобы мошенников ловили органы которые должны этим заниматься, а не усложняли жизнь обычным гражданам

Ответить
2

Поэтому банку и приходится крутится между любителями удобства (ой, внезапно, они тоже могут уйти при падении лояльности к банку из-за невозможности перекинуть лям без лишних движений) и параноиками. Взгляд изнутри. Истеричная статья какая-то.

Ответить
3

Это нормальный взгляд на безопасность, никакой истерики. Вы могли бы установить такие лимиты для усложнений, которые были бы удобны вам. Хотите использовать скретч-карту для платежей до 1 ляма - флаг в руки)

Ответить
0

Усложнения нужны для операций, выходящих за определенные лимиты, которые вы могли бы установить сами. Если вам каждый день нужно делать переводы на сотни тысяч – то тут конечно мимо. Например, у меня до сих пор активна скретч-карта, которую я получал лет 10 назад, еще осталось несколько неиспользованных кодов. Так получается потому, что платежи больше 10-20 тысяч происходят весьма не часто. А если это например какой-нибудь заказ, то можно оплачивать курьеру. Во всех остальных случаях используется sms. Ваш случай видимо специфичный, и для большинства клиентов не будет актуальным.

Ответить
1

Сбер разрешал переводить только 10000 в сутки на Яндекс деньги, тоже этот геморрой бесил. Все что выше по звонку и с диктовкой специального кода оператору который можно получить в банкомате. До этого помню были пароли распечатанные с банкомата, при входе в личный кабинет вводишь их. Это жесть, а не обслуживание.  Повторю в сотый раз, нужно мошенников пресекать, а не законопослушных граждан прессовать

Ответить
1

Да я бы предпочла, чтобы было побольше препонов с переводами. Не пришлось бы обращаться в правоохранительные органы, которые денег не вернут, кстати, их дело - искать преступников, а не деньги возвращать. У меня и Сбер, и Тинькофф пропустили множественные переводы на Киви, на Яндекс Мани с простым подтверждением кодами (эти сообщения даже и в телефоне не сохранились, наверное, были перехвачены, а часть их была пуш-уведомлениями) - для мошенников благодать!

Ответить
0

Вы истрию целиком расскажите. Уверен что выяснится об установке какого нибудь левого приложения на телефон или ещё что-то где виной всему отключение головы. Как мне сестра ответила на вопрос зачем она всякий хлам ставит ставит на ноут, мы говорит девочки, жмём на все что красиво... Молодец блин, потом не жалуйся что Тинькофф или Сбер плохие, думать головой никто не отменял, а если нет мозгов у кучки индивидов страдать остальные не должны

Ответить
1

Моя история не так проста и разгадки пока нет. Но приложений левых точно не было. Здесь проблема не только "плохих" Тинькофф и Сбера, а всей банковской системы. Пострадавших очень много в самых разных банках. Статистика по прошлому году известна - и это только официально. А многие вообще не обращались, поэтому цифры реальные еще больше. И это не значит, что все пострадавшие - без мозгов. Способы кражи средств, придуманные мошенниками, самые разные. И они сейчас в любом случае на несколько шагов впереди банковских служб безопасности.

Ответить
0

Не нужно преплетать сюда потустороние. Разгадка всегда есть, она заключается как раз в беспечности пользователей или их окружения. Банки не бездействуют и не нужно голословных высказываний про уйму пострадавших, есть аргументы приводите, нет - молчите

Ответить
1

А никто и не прилетает. Я просто говорю, как есть, что на сегодня никто не смог разобраться. А насчёт пострадавших - у нас есть группа в Фейсбуке, из клиентов разных банков, которые столкнулись с мошенничеством. Да и здесь размещалась не одна статья на эту тему. Из неофициального общения с банковскими сотрудниками - они тоже признают эту проблему, что они отстают. Официальные сообщения МВД - о том же. Или Вы уверены, что все безопасно и делать ничего не надо? 

Ответить
1

а что за группа если не секрет? не хотите поделиться там ссылкой на эту статью? был бы вам признателен)

Ответить
0

Совсем не секрет, а как раз наоборот) В этой группе мы собираем материалы по теме, делимся своими ситуациями, опытом. Ссылочку размещу, конечно.

Ответить
0

Опять пустые утверждения без аргументов. Банки не сидят сложа ручки и уровень защиты вкупе со здравомыслием защитит средства без проблем. От 0day уязвимостей нет защиты, но такие случаи единичны и устраняются банками. Основная масса обнулейний от доверчивости и беспечности владельцев которые не хотят потратить время на цифровую грамотность, советую им относится к этому как к платному образованию, они за свои средства получили урок.

Ответить
1

Одна из основных проблем, о которой шла речь в статье, это уязвимость sim. Причем тут 0day уязвимости? Даже если говорить про 0day, частично помогло бы наличие скретч-карты или любого аналога.
Судебная практика по перевыпуску sim есть, в том числе и в открытом доступе на сайтах судов. Говорить о том, что это единичные случаи совсем не корректно по ряду причин:
1) до суда, вероятно, доходит небольшой процент случаев, реальная статистика не известна
2) имеет значение размер суммы на счете. как я упомянул в статье, если деньги небольшие, то да, беспокоиться особо не о чем
3) фундаментальная уязвимость остается, посмотрите сколько дел по всякого рода сливам от сотрудников салонов связи

Ответить
0

Поддерживаю!

Ответить
0

Каждый останется при своём мнении. 

Ответить
–3

Если перевод подтвердили смс кодом, значит он был с вашего согласия. А если все таки подтверждали не вы, то тут только полиция может разобраться. Мы готовы ей всячески помогать в расследовании.

Ответить
1

Не надо вешать лапшу. Полиция ничего делать не будет, точно также, как и вы. Личный опыт имеется. Тем более, статья вообще не про это.

Ответить
1

Ну я вообще за мир во всем мире, но вы же понимаете, что это не достижимо... Мошенники будут всегда, и чем больше у вас денег, тем более вы им интересны. Не хотите усложнений – не надо, просто отключите эту функцию, обязаловки быть не должно.

Ответить
0

Цвет вашего банка? )

Ответить
0

Вообще я специально не стал упоминать банк, чтобы это не считали рекламой. Но вы легко можете найти его в гугле)

Ответить
0

начинается на авангар, кончается на вангард?

Ответить
0

Смешно

Ответить
4

Уверен что часть подобных проблем решается двумя вещами:
1. Обязательный второй фактор кроме смс (пароль а ещё лучше 2FA)
2. галочка "запретить удалённое восстановление /регистрацию доступа с нового устройства" (то есть хочешь сбросить пароль — иди ногами в банк, новая  регистрация — зайди сначала с паролем и разреши её на час)*

+ я был бы раз подтверждать тремя факторами все операции перевода куда-либо каким-либо третьим фактором (голосом  или кодами с чеков).

* если банк супер-цифровой, то введи одноразовый пароль с карты которую привезёт представитель
** Только пожалуйста,  не как в ВТБ. Все галочки есть, но на вход в МП почему-то достаточно кода из смс. Решето.

+ бесит что смс-уведомления отключаются одной кнопкой и мгновенно. Оключайте через пару недель ё-моё.

Ответить
1

А не проще выпилить смс совсем? Для подтверждения использовать Google Authenticator или аналоги.

Ответить
0

нет, выпиливать не надо. Я за добавление как дополнительный фактор для ценителей 2FA(но  даже затрудняюсь предположить как это будет выглядеть юридически ). 

Ответить
4

Когда получал карту в сбере мне тоже ее вынесли без конверта. На мой вопрос почему данные не сокрыты ответили типично. У нас все и так защищено) карты лежат просто так у человека в кабинете. Альфа банк аналогично передает карты без упаковки в открытом виде где видно cvc код. Получается что для них это стало обыденостью. 

Ответить
3

Достаточно законодательно закрепить срок отмены платежа в 30 дней, как это сделано в США (по крайней мере раньше). при отмене платежа, деньги возвращаются клиенту. Если получатель не согласен с отменой, то банк проводит расследование. если платеж отменил недобросовестный покупатель, то банк к нему применяется санкции. вплоть до возбуждения дела о мошенничестве. все. 

Ответить
1

Вот-вот. А у нас платеж сразу становится безотзывным, деньги ведь перечисляются мгновенно и оспорить такие операции нельзя.

Ответить
2

кстати о паролях - лет 10 назад у сбера для входа в личный кабинет через сайт (мобсофтом тогда не пользовался) нужно было в банкомате/терминале распечатать список (по-моему из 20-ти) одноразовых паролей

Ответить
2

Гораздо меньше чем 10, кстати. Лет 5 назад еще точно пользовался.
Для доступа в онлайн банк печаталось 2 чека. Первый с постоянным логином и паролем, второй - 20 одноразовых. Причем получить можно было в любом банкомате, и при получении предыдущий чек автоматически аннулировался. Забыл дома, или не можешь найти - идешь до банкомата, получаешь новые и снова пользуешься интернет-банком.

Ответить
–1

Вы со скэтч картами из какого года пожаловали?

Ответить
2

А в чем проблема?) В моем банке они, представьте себе, до сих пор актуальны. И слава богу.

Ответить
–2

Так неудобно с ними, как клиенту, так и банку. Дороже в обслуживании. А уровень безопасности такой же как и с смс, если не слабее.

Ответить
0

Почему уровень безопасности ниже и в чем заключается неудобство? Для обычных платежей используется sms, я не предлагаю полностью от них отказываться. Скретч-карты только для нестандартных операций, которые происходят не часто.

Ответить
1

Эту карточку у вас могу украсть или вы можете ее потерять и даже не заметить. А в случае с телефоном появляется дополнительный фактор авторизации faceid или отпечаток + потеря телефона обнаруживается моментально. А неудобство - карточку надо с собой всегда таскать, коды на ней кончаются периодически и нужно выпускать новую.

Ответить
2

А что насчёт создания дубликата симкарты, на которую будут приходить смс незаметно для владельца основной симки?

Ответить
1

А это как? Разве когда дубликат выпускается, все предыдущие симки не аннулируются автоматически? Как тогда сотовый оператор будет понимать на какой из дубликатов направлять смс/звонок?

Ответить
0

Я не знаю, как это работает технически на уровне протоколов связи, но у нас была такая симка, которую отдали после замены на нано-симку для айфона. Оказалось, что старая продолжает работать и на неё дублируются все смс, в том числе и банковские.

Ответить
1

Тогда получается не незаметно, владелец сразу увидит

Ответить
1

Да, верно, но если в это время владелец симки спит, то может и не заметить вовремя. Либо, например, злоумышленники могут выполнить свою операцию сразу после того, как пользователю придёт код для его собственной операции. Тогда пользователь может не обратить внимания на лишнюю смс.

Ответить
3

Плюс карты в том, что обычно она лежит дома, и украсть ее сложнее чем телефон, а перевыпустить удаленно невозможно. Таскать ее везде не надо, потому что она используется для нестандартных платежей. У меня до сих пор активна карта, которую я получал в 2010 году, коды с нее используются редко. Даже если карту украдут, дополнительный фактор остается, это пароль от лк.

Ответить
1

"Модный банк без отделений" - ну не такой уж он и модный, и заморочки свои есть)) Хотя в целом согласна, уровень безопасности во всех хоть сколько-нибудь крупных финансовых организациях далек от идеала.

Ответить
1

Надо реализовать запрет определенных действий (любых) через приложение доверенность проч дистанционные способы. Применительно к сберу. Просил установить запрет на возможность брать кредиты удаленно, отказали. У нас так не делается.

Ответить
0

Приоритет банков – удобный и доступный

Я почти уверен, что здесь нет злого умысла (за исключением отдельных менеджеров и всего сбера, естессно). Люди недальновидны, люди нке знакомы с цифровой безопастностью, люди ленивы. Куда они пошлют банк, котором пароль 16 цифр, платежи более 10k - в отделение, обменять валюту - в отделение, каждый пятый платеж отклоняется, потому что вы не в том районе/ не в то время суток / не в том настроении. Разумеется, позвонить в банк и подтвердить не катит - в чем тогда смысл защиты? После каждой сомнительной операции банк считает карту скомпрометированной и заставляет перевыпускать в отделении в течение 3х дней (счет тоже блокируется, во избежание).

Опять-таки, даже если банки всё предложенное в статье введут, это тоже  панацея на время, надо постоянно работать над защитой. Видимо, банки должны за свой счет компенсировать все левые платежи. Тогда и проверка личности клиента на должный уровень выйдет (вплоть до алко-нарко-опьянений), и регирование будет моментальное.

Почему банк делегирует обеспечение безопасности сторонней организации

Если я не путаю, Сбер в свое время этим так затрахали, что они свой антивир пилят внутри своего приложения. Хотя, кроме проверки рута, он, по-моему, ничего не делает(((

Ответить
1

Я считаю, что скретч-карта как раз-таки могла бы решить часть из перечисленных вами проблем. Если банк считает операцию подозрительной – запрашивает код с карты. Если клиенту не удобно ей пользоваться, навязывать конечно не надо. Это могло бы быть доп. услугой для "параноиков", как выразились выше.

Ответить
0

Не так давно пользовался рутованным телефоном, сбер на нем работал без проблем. Что именно проверяет антивирус, от меня ускальзывает.

Ответить
2

Дык он может галочку ставит, что рутован. В случае чего - вот отчет, вы виноваты xD

Ответить
0

У меня на днях после обновления всех приложений антивирус сбербанка что-то нашёл. Не знаю на сколько это было критично, но при входе он сразу перекинул на проблему

Ответить
0

А нужно ли это клиентам? 90% людей потому и делают простые пароли, что не в состоянии запомнить сложные. 

Ответить
0

Как видите, я не стал выносить это в рекомендации. Хотя наверное, следовало бы.

Ответить
0

Все так, нал - наше все. Привет любителям: "а вдруг пожар, а у меня соседа обокрали"))

Ответить
0

Так банки специально делают так чтоб его клиентов грабили ,а банк ответственности не нёс . Эта страна конченная, такими кто так делает.

Ответить
0

Банки сами провоцируют клиентов хранить деньги на карте напр для платежей по кредиту. Оказывается банк не может снять деньги со сбер счета

Ответить
–1

все деньги мира, держаться на одном уровне роста ценности, и даже падают, вместо роста.
это манипуляция Ценностью, через емиссию.
ЦБ и Мировой банк, управляют емиссией правительств, указывая им что делать.

населению врут - обещают "стабильность",
в то время как должно быть развитие по +20-30% ценности в год, при полном решении вопроса бедности, голода и бездомных.

Ответить

Комментарии

null