Поиск

Креатив без мозгов

07.02.2018 от Andrew
Наткнулся сегодня совершенно случайно на интересный и оригинальный сервис от неизвестного мне НДБ банка (из второй сотни по активам, впрочем сотен становится все меньше и меньше :). Сервис позволяет привязать любую карточку и получить персональную ссылку для размещения на сайте, в блоге, соцсетях или отправки по-емейлу с целью сбора средств в адрес владельца карт. Для клиента сервис бесплатен, а жертвователь платит сверху 1,5% (min 40 руб) за P2P перевод, при этом он не видит реквизитов карты получателя, только персонализированную страничку с именем и опциональными ссылками на профили получателя в соцсетях. Неплохая идея для Навального и других блоггеров, существующих на донаты, странно что она пришла в головы представителей такого маленького банка, который его никак не продвигает.
Ну ладно банк этот сервис не продвигает (или продвигает очень незаметно для меня:), но какой чудесный пользовательский опыт они прикрутили к своему технологичному изобретению (уверяют ведь, что не хранят данные зарегистрированных карт, а генерируют токен!!!):
  1. страница логина представляет из себя поле для ввода номера телефона с предзаполненным шаблоном +7 (ХХХ)ХХ-ХХ-ХХ, однако начиная вбивать в нем свой номер с префикса оператора и полагая, что +7 на сервисе от российского банка, разрешающего переводы только между российскими картами, заполнено не спроста, ты обнаруживаешь, что в шаблоне на самом деле содержится только «плюс», а «семерку» все-таки надо вводить
  2. несколько попыток привязать карту Мир с нулевым балансом, заведеную в тестовых целях, завершались одинаково: после ввода ее реквизитов происходила переадресация на сервер ariuspay.ru, который возвращал в личный кабинет с пустым списком привязанных карт без перехода на ACS-сервер эмитента или сообщения об ошибке. Я уж даже решил, что это кардеры таким образом рыбачат, поэтому «денежные» карты пробовать не стал.
  3. отправка сообщения в службу поддержки через личный кабинет завершается всегда одинаково сообщением об ошибке «Произошла ошибка, попробуйте позже.»
  4. однако к вечеру на е-мейл пришел ответ службы поддержки:

Добрый день! Попытки привязки карты не успешны в связи с тем, что было получено сообщение о том, что на счете нет средств для осуществления данной операции. При привязке карты списывается и возвращается один рубль.

Rate the quality of service

Click one of the next vote links:

  1. Insufficient
  2. Sufficient
  3. Good
  4. Very good
  5. Excellent

Response to this message will be sended to support specialist. Attention! Do not change message subject!

Сочетание русского ответа с англоязычным дополнением с просьбой оценить сервис меня окончательно покорило. После этого задавать вопрос о том почему они вместо транзакции проверки карты, которая спокойно пройдет и для карт с нулевым балансом (вполне вероятно, что для целей сбора средств я заведу отдельную карту и денег на ней может не быть), списывают ровно рубль причем без 3DS, про который много пишут в разделах FAQ и Безопасность на своем сайте, бессмысленно.

пионерская поделка получилась, а идея интересная.

Рубрики: Банковские карты | Вставить свои 5 копеек »»»

Государственный блокчейн и криптовалюты

03.01.2018 от Andrew

Про блокчейн и криптовалюты не написал только ленивый (я:). Биткоин бьет новые рекорды, а прожекты с блокчейном творят не только фрики-стартаперы, но и государственные организации. Правда реально работающих проектов, что-то до сих пор не видать, хотя хайп поднялся уж года три как. Давайте разберемся в ключевых аспектах технологии и поймем есть ли у нее применение в госсекторе и платежах.

Не вдаваясь в детали отметим, что собственно блокчейн это бесконечная цепочка записей (транзакций), каждая из которых является производной от предыдущей и таким образом изъятие или замена любой записи влечет искажение всех последующих. При этом записи хранятся в распределённой базе данных и каждый узел содержит полную копию всей истории записей. Таким образом достигается неизменность базы и доверие к ее содержимому, которое невозможно подменить, если не захватить контроль над 50+% узлов, но ценой катастрофического потребления ресурсов и снижения скорострельности системы (для примера вся сеть биткоина сегодня обеспечивает производительность не более 7TPS, а объем базы превысил 100ГБ, которые миллионы раз дублированы на всех узлах). Хорошая тема для учета обязательств множества участников, не доверяющих друг-другу, условно говоря для площадки частных объявлений типа Авито. Но вот ЦБ с ведущими банками мутит Мастерчейн, для «учета закладных, электронных аккредитивов» и т.п. Отличная идея, только зачем тут блокчейн? неужели у банков существует недоверие к Банку России, который осуществляет над ними надзорные и регуляторные функции и они (или их клиенты) не доверяют централизованному сервису, крутящемуся на ресурсах Центробанка, подозревая его в возможном сговоре с конкурентом и подмене данных на сервере? Или ЦБ опасается несанкционированного доступа к своей централизованной системе? Ладно б SWIFT, где по-сути нет единого гаранта и это в некотором роде хаордическая организация из десятков тысяч банков по всему миру в разных юрисдикциях, поехал бы в сторону блокчейна, но блокчейн с регулятором это же очевидная глупость.

Криптовалюта в блокчейне изначально нужна в качестве награды для участников системы, обеспечивающих систему своими вычислительными ресурсами, необходимыми для обработки и хранения транзакций. И усложняющийся со временем процесс «майнинга» призван в отсутствие централизованного эмитента обеспечить постепенный, плавный рост денежной массы по мере роста количества участников сети. Экономическая сущность криптовалют раскрыта в книге Хайека «Частные деньги», написанной еще в 70ые годы. Теперь почитайте анонс выпуска криптовалюты в Венесуэле и подумайте, если существует единый эмитент в виде государства и обеспечение в виде ограниченного количества нефти, то какая это криптовалюта и зачем тут блокчейн? Если государство объявит дефолт или передаст месторождение какому-то новому инвестору, то как записи в блокчейне помогут владельцам «эль петро», обменять их на баррели нефти?:) Если количество нефти заранее известно, а эмитентом криптоденег является государство и выпускает их так, как пожелает, то зачем майнить и обогревать видеокартами и без того жаркие тропики? Если у государства стоит задача выпустить цифровую валюту, отвязанную от основной «бумажной» валюты (которая на самом деле ведь тоже большей частью существует не в виде банкнот и монет, а в виде записей в банковских системах), запуститете авторизационный сервер, раздайте всем организациям и/или гражданам токены и будет вам счастье. Вот примерно такая же ахинея из Британии, где функционирует Faster Payments, позволяющий в онлайне и практически даром переводить деньги между клиентами любых банков.

Примерно такая же история со смарт-контрактами. Интересная вещь для Авито, но зачем она в банковской системе не понятно. Если два контрагента считают, что Альфа-банк достаточно надежен, чтобы доверять выставленному через него аккредитиву, то зачем тут смарт-контракт и блокчейн? А если у банка в процессе исполнения смарт-контракта отзовут лицензию, то никакой блокчейн вытащить из него деньги не поможет :)

А наиболее забавно выглядит история с криптопроцессингом от Qiwi. Вспомним про производительность биткоина, а эфириум ушел не далеко от него. Единственная задача, которую решает блокчейн в этом случае это непрерывность глобального бизнеса, в случае проблем компании в одной из юрисдикций. Причем откуда тут возьмется блокчейн в виде множества независимых узлов не понятно, а зачем называть блокчейном несколько дублирующих операционных центров, принадлежащих одному владельцу не понятно…

Банальщину, наверное, написал, но просто давно не писал и на «каникулах» захотелось чем-то пополнить пыльный блог.

PS Есть мнение, что большинство проектов в сфере блокчейна, это просто прикрытие для частных лиц, желающих получить финансирование (корпоративное и даже государственное) для создания исследовательских платформ, которые в бОльшей частью майнят  спекулятивно растущую крипту для конкретных интересантов, а в меньшей степени имитируют бурную исследовательскую деятельность

Рубрики: Банковская розница | 1 уже не сдержался »»»

54ФЗ и банки

03.07.2017 от Andrew

Столько было шума по поводу поправок в 54-ФЗ, регламентирующих так называемую «электронную фискализацию» и подготовки к их реализации, а попытался вникнуть и оказалось «Безобразие! Война у порога, а мы не готовы!» (с). Причем не готовы не только банки, потому что прохлопали ушами и не обратили внимание на эту тему, но и сам закон написан очень криво с множеством противоречий.  Фиг с ним, что не понятно на кого закон уже распространяется, а на кого еще нет: там куча исключений в разных пунктах и отдельно опубликованные решением Правительства списки товарных позиций и услуг — лично мне продраться через все исключения и оговорки, перечисленные в статье 2, не удалось.

Особенно привлекло мое внимание вот это письмо Минфина, которое трактует нормы 54ФЗ таким образом, что под него попадают все банковские платежи, после чего я стал внимательно читать закон и набрел на двусмысленности и неопределенности, которые серьезно влияют на банковский бизнес не только в части эквайринга, но и традиционных платежей и переводов. Читать полностью »

Рубрики: Банковская розница, Банковские карты | 3 комментария »»»

Безналичный геморрой

25.06.2017 от Andrew

Никогда не думал, что придется воcставать против организации безналичной оплаты, но гостиница Ялта-Интурист, в попытке избавиться от наличных для расчетов за свои услуги, умудрилась создать реальный геморрой для клиентов.

Итак: на территории отеля возможна оплата только с использованием индивидуальных бесконтактных браслетов, которые выдаются каждому при заселении и служат так же для доступа в номер. Выдавая браслеты, проживающим в одном номере, персонал не сообщает о том, что они привязаны к индивидуальным счетам, а не к общему счету номера. Пополнить браслет можно наличными в платежных киосках, которые разбросаны по территории отеля, наличными и с карты на ресепшен и на сайте отеля через форму пополнения (которая не содержит никаких правил и условий использования и возврата средств), указав номер комнаты.

Читать полностью »

Рубрики: Банковские карты | Вставить свои 5 копеек »»»

Подготовка информации для руководителя

26.04.2017 от Andrew

Большие начальники регулярно спускают своим подчиненным запросы на подборку какой-то информации. Обычно на какого-то линейного менеджера, который футболит задачу конкретному исполнителю и потом форвардит полученный результат начальству. Несколько практических «секретов», как произвести хорошее впечатление на руководителя и не нажить себе проблем:

  • тот, кто подбирает информацию, должен не только сделать необходимые выборки, но и отформатировать и структурировать собранную информацию. Если речь идет о каких-то статистических выборках, то хотя бы просуммировать итоги. Кажется это банально? Как бы не так — я регулярно получаю на свои запросы таблицы, в которых подчиненные делегируют мне возможность выбрать нужные строчки и  просуммировать  значения, чтобы получить ответ на изначально заданный вопрос :)
  • линейный менеджер не должен быть простым маршрутизатором сообщений между начальством и исполнителем. Прежде чем делегировать задачу исполнителю он должен убедиться, что ему самому понятно, что требуется сделать и если не понятно, то уточнить постановку задачи у босса. Получив результаты от исполнителя, он должен сначала убедиться, что предыдущий пункт выполнен (информация полна, структурирована и доступна к восприятию начальственного взора) и только потом пересылать по инстанции выше (очень часто просто форвордят не читая). Действительно хороший менеджер еще и снабдит ее собственными комментариями, обобщениями, выводами, рекомендациями (если этого не догадался сделать исполнитель) и таким образом продемонстрирует, что он не просто распределяет задачи и контролирует загрузку исполнителей, но и сам вносит добавочную ценность в мыслительный процесс.

Рубрики: Про жизнь | 1 уже не сдержался »»»

Двухфакторная аутентификация в мобильных приложениях

21.01.2017 от Andrew

Двухфакторная аутентификация пользователя и его операций в банковских приложениях подразумевает, что кроме пары логин-пароль используется второй идентифицирующий признак клиента, который, для повышения безопасности должен быть не связан с первым идентификатором. Изначально банковские приложения были ориентированы на компьютеры (Интернет-банк) и в качестве средств вторичной аутентификации использовались следующие методы:

  • таблица с одноразовыми кодиками;
  • кодовое слово из которого для каждой сессии выбиралось определенная буква;
  • разовые пароли, отсылаемые на e-mail, но чаще в виде SMS;
  • генераторы разовых паролей типа VASCO Digipass, которые в России не получили распространения;
  • технология DPA/CAP, основанная на генерации криптограммы с помощью чиповой карты и специального ридера

Последняя технология наиболее продвинута и защищенна от мошенничества, более того она позволяет любую операцию в ДБО представить как операцию, совершенную с использованием банковской карты, однако, у нее есть и недостатки, связанные с необходимость выдать каждому пользователю ридер стоимостью порядка 10 баксов (либо карту, с встроенным дисплеем и клавиатурой), который клиент должен иметь с собой для совершения операций, поэтому единицы российских банков поддерживают эту технологию. В силу простоты, удобства, общедоступности и дешевизны (правда в прошлом) SMS-сообщений, этот способ аутентификации пользователей систем ДБО стал доминировать на российском рынке. При использовании его для доступа в Интернет-банк он был достаточно безопасен, т.к. для совершения операции необходимо было получить не только идентификационные данные клиента, но и доступ к его мобильному телефону. Однако, с появлением смартфонов, с большими экранами и полнофункциональными банковскими приложениями, все больше дистанционный банкинг смещается на мобильные телефоны, а технологии аутентификации клиентов остаются прежними. Более того, в связи с подорожанием SMS-сообщений многие банки стали заменять SMS-сообщения на Push. И двухфакторная аутентификация стала по-сути однофакторной: получив доступ к смартфону клиента (где чаще всего идентификационные данные для входа в мобильный банк запоминаются приложением), мошенник на него же и получает разовый пароль. Клиент оказывается фактически не защищен технологически, да еще и договор банковского обслуживания предусматривает, что ввод разового пароля однозначно перекладывает ответственность за нее на клиента. Даже Тинькофф многие годы получающий титул «Лучшего мобильного банка», подтверждает операции в своем мобильном банке через Push и ничего не делает для внедрения по-настоящему двухфакторной аутентификации мобильных пользователей.

Читать полностью »

Рубрики: Банковская розница | 5 комментариев »»»

Что нужно знать об ApplePay

27.12.2016 от Andrew

Простому человеку, решившему пользоваться ApplePay кроме рекламного лозунга Apple «Безопасная оплата в магазинах, приложениях и на веб-сайтах«, нужно знать несколько моментов, которые позволят более осознанно подойти к использованию этого способа оплаты и сделать его не только удобным, но и более-менее безопасным:

  • оплата с iPhone подтверждается отпечатком пальца. Кроме экстремальных ситуаций с отрезанием пальца, покупку в Интернете/в приложении можно совершить с использованием пальца спящего или пьяного владельца (прецеденты уже есть). Можно сделать и копию отпечатка без особых финансовых вложений — смотрите видео и пользоваться чужим телефоном для оплаты, как своим собственным.
  • В случае, если с трёх раз ApplePay не распознал отпечаток, он предложит подтвердить операцию вводом пароля от телефона, поэтому используя ApplePay имеет смысл перейти с 4хзначного, на длинный пароль на iPhone, иначе злоумышленник, подглядевший пароль от телефона, без проблем совершит с его помощью платежи.
  • AppleWatch, надетые на руку, по умолчанию разблокируются одновременно с разблокировкой телефона, если он находится в зоне досягаемости Bluetooth (а это может быть и пара стен). То есть оставив энергопрожорливые часы в очередной раз на зарядке и выпустив их из виду, вы рискуете, что злоумышленник наденет их на руку и дождавшись, чтоб вы разблокировали свой iPhone по любой надобности, пойдёт с ними совершать транзакции, тем более что зачастую терминал не требует от ApplePay ввода PIN оригинальной карты даже на суммы выше бесконтактного лимита в 1000 рублей. Эту разблокировку по умолчанию имеет смысл отключить.
  • Разблокированные AppleWatch можно легко перенести на другую руку, не допустив их блокировки, и использовать для оплаты, как свои собственные. Конечно, если владелец часов сопротивляется, достаточно быстро перенести часы не получится, но если владелец спит, пьян или ему дали по голове — особой сноровки для переноса часов не требуется  и это гораздо проще, чем заставить человека сказать ПИН от карты.

«Думайте сами, решайте сами» (с)

Рубрики: Банковские карты | Вставить свои 5 копеек »»»

AppleWatch для бега

17.12.2016 от Andrew

Искренне не понимаю, зачем человеку нужны смарт-часы, но занимаясь любительским бегом осознал необходимость девайса, который будет полезен при пробежках и позволит не брать с собой телефон, который мешает и мокнет от пота. Итак, что я хотел:

  1. Пульсометр, который бы оповещал о выходе из целевой зоны тренировки, а также транслировал показатели пульса на беговую дорожку
  2. При пробежках на улице запись GPS-трека, без участия телефона
  3. Автоинформирование о параметрах пробежки (скорость, пульс, расстояние, время) с заданной периодичностью.

И тут Apple анонсировал спортивную версию своих смарт-часов AppleWatch Nike+ да еще и со слоганом «С бесконечной любовью к бегу». Казалось, вот девайс, который должен полностью удовлетворить мои нехитрые потребности. Однако, на сайте Apple про спортивную функциональность часов написано крайне скупо, поиск обзоров и отзывов в сети также не дал толкового результата — удалось найти только один-единственный дельный отзыв о часах на английском языке. Попытка получить ответы на мои простые в общем-то вопросы у службы поддержки продаж на сайте Apple оставила у меня недоумение от того, где ж понабрали таких дур и как может Apple продавать, не раскрывая никаких по-сути характеристик своего товара (см. переписку в конце), на одних эмоциях.

В итоге, доверившись обещанию Apple забрать товар назад в течении 14 дней, если он мне просто не понравится, я все-таки заказал Apple Watch Nike+ 42мм и вот что узнал об этих часах на собственном опыте:

Читать полностью »

Рубрики: Про жизнь | 2 комментария »»»

Шаблон SMS-пароля

04.12.2016 от Andrew

Уважаемые банкиры, наверное, не всем заметно, что мошенничество, основанное на социоинженерии процветает. В моем семейном окружении произошел уже второй случай, когда мошенники забалтывают человека по телефону и заставляют сначала сообщить реквизиты карты, а потом диктовать SMS-пароли, с помощью которых выводят с карты все средства (в обоих случаях, что характерно, деньги уходили транзитом через Тинькофф :(, мне кажется им пора уже всерьез озаботиться этим вопросом). Сценарии, по которым действуют мошенники разные, и, поверьте, они находят возможность загрузить вполне адекватных людей, которые в силу возраста, образования, не в курсе технологических нюансов карточных технологий и на голубом глазу выдают все, что требуется мошенникам. Многие банки, пребывают в уверенности, что написав в конце сообщения «Ne soobschajte kod nikomu, dazhe sotrudniku Banka!», они защитили клиента, но ведь этот текст если и размещают, то в конце сообщения, до которого не каждый клиент дочитает, а тем более пенсионер, у которого чаще всего не смартфон с огромным экраном, а кнопочный телефон, на котором текст сообщения полностью не помещается и его надо листать, а мошенник на другой стороне телефонного звонк давит на него «диктуйте цифирьки быстрее». Подумал, что правильный текст SMS сообщения должен начинаться именно с предупреждения о том, что код никому сообщать нельзя и обязательно должен содержать в человеколюбивом виде параметры операции, с акцентом на том, что операция расходная (мошенники упирают на то, что это они переводят жертве деньги и код им нужен для подтверждения зачисления денег жертве). Ниже собрал небольшую коллекцию SMS-сообщений от разных банков (некоторые даже в конце уведомление не добавляют, во всех совершенно не понятно в какую сторону идет операция, есть и такие, которые вообще параметрами операции не озадачены):

Читать полностью »

Рубрики: Банковские карты | 1 уже не сдержался »»»

ТелефонPAY

20.10.2016 от Andrew

По-моему уже все производители смартфонов отметились созданием своих платежных сервисов: ApplePay, AndroidPay, SamsungPay, MiPay, HuaweiPay. Подчеркиваю все это именно СЕРВИСЫ, хотя относительно них и пытаются употреблять термин «платежная система», но ни один из них не является платежной системой ни в терминах российского 161ФЗ, ни с точки зрения здравого смысла, т.к. все они паразитируют на существующих платежных системах и не имеют собственной межбанковской расчетной инфраструктуры. На российский рынок недавно вышли, практически одновременно, ApplePay и SamsungPay и я попробовал разобраться в их бизнес-моделях и мотивации банков сотрудничать с этими сервисами. Объединяет эти сервисы то, что они работают только на свежем модельном ряду смартфонов, обладающем NFC и технологических приседаний требуют только от эмитентов, взаимодействуя с эквайерами стандартным образом, но есть между ними и существенные различия.

Читать полностью »

Рубрики: Банковская розница, Банковские карты | 9 комментариев »»»

« Раньше