Почитав комментарии к предыдущему посту ( для тех кто не читал, вот ссылочка ), я пришел к нескольким заурядным выводам:
- Поплакаться на vc.ru порой полезно;
- В систему безопасности почти никто не верит;
- Есть люди, которые принимают блокирование карт и кабинета как необходимое зло.
С первым все более-менее понятно. Видел, что компании шерстят интернет и часто отвечают в комментариях на habr или vc. Решение проблемы не ожидается, но узнать мнение компании - банально любопытно.
Второе для меня было показательно - воочию увидел, какая организация больше любима у людей и насколько люди доверяют банкам в принципе.
А вот с третьим как раз можно слегка "побарагозить". Но прежде чем начать, отмечу несколько дельных замечаний из комментариев к предыдущему посту:
- Почему бы просто самому не позвонить сразу на 900? И действительно, на тот момент я настолько уверенно ожидал звонка робота, что совсем не подумал сделать вызов сам. В итоге, возможно, опыт предыдущих блокировок сыграл злую шутку с сознанием.
- Проверка клиента при помощи кодового слова, которое требуется назвать по телефону оператору - так себе идея. Так как мы имеем высокий риск того, что нам позвонил мошенник - это, действительно, не самая светлая мысль.
Вступление закончено, можем начать! Внимание, следующие рассуждения имеет две условности: клиент подключен к интернету и пользуется мобильным банком. Представим себя на месте банка. Как ответственное лицо, мы стараемся не только соблюсти требования со стороны регуляторов, но и сберечь средства наших клиентов. Один из клиентов, назовем его Васей, совершает перевод на крупную сумму другому человеку. Наша мега-умная система решает отменить транзакцию и заморозить счёт Васи. Отлично, деньги не ушли мошенникам, вы великолепны! Однако требуется убедиться, что такую операцию совершал мошенник, а не клиент. Ото вдруг мы зря человеку неудобства доставляем. Что мы можем?
- Позвонить Васе;
- Дождаться его звонка;
- Сделать аутентификацию без участия оператора.
Из-за количества мошенников, звонящих от нашего лица, и рекламных звонков, которые мы делаем с единого номера, клиент нас, закономерно, может послать в далёкие и темные края. Такой вариант не подходит.
Вася может постараться позвонить нам, но есть риск того, что все операторы будут заняты либо связь, не позволит нормально передавать информацию. К тому же будут иметь место неудобства связанные с передачей информации, к которым добавляются затраты времени и человеческих ресурсов. Нам хочется, чтобы операторы людей консультировали, а не вопросы с бумажки читали. Маленький бонус для тех, кто читал предыдущую статью: уже в офисе сбербанка, при консультанте, я пытался дозвониться до банка, но в первый раз умный робот сообщил, что свободных людей нет и закрыл разговор в одностороннем порядке. Во второй раз я все же попал на оператора, любое слово которого сопровождалось ужасными помехами, ввиду чего разговор как-то не задался, потому заявка на перевыпуск карты ушла в работу.
Неужели все так плохо? Можем ли мы как-то исключить лишних людей из системы и ускорить проверку клиента? Можем. Для этого нам требуется аутентифицировать пользователя, который решил совершить операцию. Аутентификация, как подсказывает умная Википедия, это процедура проверки подлинности. Нам, как банку, необходимо быть уверенным, что Вася - действительно Вася. Вернёмся к началу. Клиент переводит деньги и получает сообщение о заморозке счета. Чуть ниже горит кнопка: пройти аутентификацию.
- Первое что мы сделаем это попросим клиента заново ввести пароль от приложения. Так отметаем вариант, где мошенник просто схватил разблокированное приложение или смог через уязвимость обойти приветственный экран.
- После, предлагаем Васе ввести код из СМС. Это поможет нам убедиться, что в настоящий момент владелец телефонного номера и пользователь мобильного банка - одно лицо.
- Затем предлагаем выбрать ответ на контрольный вопрос. Просто немного личного, что клиент оставил в банке.
- На последок - ввести секретное слово. Так как у нас адекватные безопасники и программисты - мы не храним секретное слово в "открытом виде", а потому знает его только клиент.
После успешного прохождения всех шагов, мы вновь даём свободу деньгам Васи. Убедившись, что транзакцию выполняет клиент, нам не о чем беспокоиться, ведь так?
Все ещё остаётся шанс, что клиента надули и он пытается перечислить деньги мошеннику. Данная дилемма из разряда почти нерешаемых. Помешать человеку передать деньги, если он того хочет, не могут помешать ни доводы сотрудника банка, ни полиции. Перед разморозкой денег можно лишь ввести предупреждение с предложением связаться с банком и проконсультироваться, а также прочитать ЦУ. Но много ли людей на это обратить внимание? Между аутентификацией и разморозкой можно внести паузу в 2-5 минут. Мошенники стараются вводить простых людей в состояние шока, чтобы те, как можно быстрее, не успевая все обдумать, несли им деньги. Пока человек ожидает, возможно, случайно или от скуки заглянет в памятку и в голове что-то переключится. Есть шанс того, что, добавив паузы в процесс, мы могли бы снизить потери. К сожалению, это лишь теория.
Ещё одним вариантом для оптимизации и исключения неприятных ситуаций является создание "белый список" для переводов. Переводы на счета из белого списка просто не блокируются системой. Так можно отправлять деньги родным, не боясь форс-мажорных обстоятельств. Возможно кого-то теперь беспокоит вопрос, а что если мошенник добавит себя в белый список? Для избежания такой ситуации можно добавить личное посещение ( для подачи списка телефонов/счетов ) и период ожидания, между подачей заявления и фактическим добавлением человека в список. Ещё красный большой баннер в сбер.онлайн с ответом времени на главную страницу прилепить и смс-сообщение с оповещением о проведении операции. В таком случае, даже если мошенник придет в офис с поддельным паспортом, вы будете в курсе операции и у вас будет время ее отменить. Останется даже время на кофе и дачу показаний полиции.
Конечно, не зная "внутреннюю кухню" реальных банков, тяжело судить о достаточности принятых мер. Чтобы понять какие сложности встретят те или иные механизмы безопасности при встраивании, нужно общаться с работниками системы безопасности этих самых банков. Но мы, увы, такой возможности не имеем. Если речь заходит о защите старшего поколения или ещё неразумных детей, то тут на помощь приходят уже реализованные механизмы. Во многих банках есть функция проверки операций близкого. В Сбербанке на нее можно посмотреть в мобильном приложении: настройки->безопасность->доступ к деньгам. Несмотря на то, что услуга платная, она поможет избежать нежелательного перевода.
Всем спасибо за внимание и до встречи.
UDP1: В итоге я получил карту, в пятницу 13е, и прямо при сотруднике попытался повторить перевод. Получив очередную заморозку средств - сбер меня явно любит ;), решил сыграть на опережение. Позвонил по номеру 900 и спокойно подтвердил свои намерения бездушному роботу. Никаких операторов, никаких идиотских вопросов и перевыпусков. К чему был предыдущий перформанс и почему у оператора такие полномочия - мне так и не ответили, оставив меня наедине с шаблонным ответом и бессильной злобой в тишине... А если серьезно, реально поломанный момент случился, который удивляет даже сотрудников сбера, которым я про него рассказываю. Благодаря комментариям я понял, что далеко не один такой везучий и это несколько грустно. Крепких нервов вам, ребятки!
Один скрин, два скрин но так и не осилил до конца(( может кто напишет пару строк про что в этой книге ?)