Поиск

Подготовка информации для руководителя

26.04.2017 от Andrew

Большие начальники регулярно спускают своим подчиненным запросы на подборку какой-то информации. Обычно на какого-то линейного менеджера, который футболит задачу конкретному исполнителю и потом форвардит полученный результат начальству. Несколько практических «секретов», как произвести хорошее впечатление на руководителя и не нажить себе проблем:

  • тот, кто подбирает информацию, должен не только сделать необходимые выборки, но и отформатировать и структурировать собранную информацию. Если речь идет о каких-то статистических выборках, то хотя бы просуммировать итоги. Кажется это банально? Как бы не так — я регулярно получаю на свои запросы таблицы, в которых подчиненные делегируют мне возможность выбрать нужные строчки и  просуммировать  значения, чтобы получить ответ на изначально заданный вопрос :)
  • линейный менеджер не должен быть простым маршрутизатором сообщений между начальством и исполнителем. Прежде чем делегировать задачу исполнителю он должен убедиться, что ему самому понятно, что требуется сделать и если не понятно, то уточнить постановку задачи у босса. Получив результаты от исполнителя, он должен сначала убедиться, что предыдущий пункт выполнен (информация полна, структурирована и доступна к восприятию начальственного взора) и только потом пересылать по инстанции выше (очень часто просто форвордят не читая). Действительно хороший менеджер еще и снабдит ее собственными комментариями, обобщениями, выводами, рекомендациями (если этого не догадался сделать исполнитель) и таким образом продемонстрирует, что он не просто распределяет задачи и контролирует загрузку исполнителей, но и сам вносит добавочную ценность в мыслительный процесс.

Рубрики: Про жизнь | 1 уже не сдержался »»»

Двухфакторная аутентификация в мобильных приложениях

21.01.2017 от Andrew

Двухфакторная аутентификация пользователя и его операций в банковских приложениях подразумевает, что кроме пары логин-пароль используется второй идентифицирующий признак клиента, который, для повышения безопасности должен быть не связан с первым идентификатором. Изначально банковские приложения были ориентированы на компьютеры (Интернет-банк) и в качестве средств вторичной аутентификации использовались следующие методы:

  • таблица с одноразовыми кодиками;
  • кодовое слово из которого для каждой сессии выбиралось определенная буква;
  • разовые пароли, отсылаемые на e-mail, но чаще в виде SMS;
  • генераторы разовых паролей типа VASCO Digipass, которые в России не получили распространения;
  • технология DPA/CAP, основанная на генерации криптограммы с помощью чиповой карты и специального ридера

Последняя технология наиболее продвинута и защищенна от мошенничества, более того она позволяет любую операцию в ДБО представить как операцию, совершенную с использованием банковской карты, однако, у нее есть и недостатки, связанные с необходимость выдать каждому пользователю ридер стоимостью порядка 10 баксов (либо карту, с встроенным дисплеем и клавиатурой), который клиент должен иметь с собой для совершения операций, поэтому единицы российских банков поддерживают эту технологию. В силу простоты, удобства, общедоступности и дешевизны (правда в прошлом) SMS-сообщений, этот способ аутентификации пользователей систем ДБО стал доминировать на российском рынке. При использовании его для доступа в Интернет-банк он был достаточно безопасен, т.к. для совершения операции необходимо было получить не только идентификационные данные клиента, но и доступ к его мобильному телефону. Однако, с появлением смартфонов, с большими экранами и полнофункциональными банковскими приложениями, все больше дистанционный банкинг смещается на мобильные телефоны, а технологии аутентификации клиентов остаются прежними. Более того, в связи с подорожанием SMS-сообщений многие банки стали заменять SMS-сообщения на Push. И двухфакторная аутентификация стала по-сути однофакторной: получив доступ к смартфону клиента (где чаще всего идентификационные данные для входа в мобильный банк запоминаются приложением), мошенник на него же и получает разовый пароль. Клиент оказывается фактически не защищен технологически, да еще и договор банковского обслуживания предусматривает, что ввод разового пароля однозначно перекладывает ответственность за нее на клиента. Даже Тинькофф многие годы получающий титул «Лучшего мобильного банка», подтверждает операции в своем мобильном банке через Push и ничего не делает для внедрения по-настоящему двухфакторной аутентификации мобильных пользователей.

Читать полностью »

Рубрики: Банковская розница | 5 комментариев »»»

Что нужно знать об ApplePay

27.12.2016 от Andrew

Простому человеку, решившему пользоваться ApplePay кроме рекламного лозунга Apple «Безопасная оплата в магазинах, приложениях и на веб-сайтах«, нужно знать несколько моментов, которые позволят более осознанно подойти к использованию этого способа оплаты и сделать его не только удобным, но и более-менее безопасным:

  • оплата с iPhone подтверждается отпечатком пальца. Кроме экстремальных ситуаций с отрезанием пальца, покупку в Интернете/в приложении можно совершить с использованием пальца спящего или пьяного владельца (прецеденты уже есть). Можно сделать и копию отпечатка без особых финансовых вложений — смотрите видео и пользоваться чужим телефоном для оплаты, как своим собственным.
  • В случае, если с трёх раз ApplePay не распознал отпечаток, он предложит подтвердить операцию вводом пароля от телефона, поэтому используя ApplePay имеет смысл перейти с 4хзначного, на длинный пароль на iPhone, иначе злоумышленник, подглядевший пароль от телефона, без проблем совершит с его помощью платежи.
  • AppleWatch, надетые на руку, по умолчанию разблокируются одновременно с разблокировкой телефона, если он находится в зоне досягаемости Bluetooth (а это может быть и пара стен). То есть оставив энергопрожорливые часы в очередной раз на зарядке и выпустив их из виду, вы рискуете, что злоумышленник наденет их на руку и дождавшись, чтоб вы разблокировали свой iPhone по любой надобности, пойдёт с ними совершать транзакции, тем более что зачастую терминал не требует от ApplePay ввода PIN оригинальной карты даже на суммы выше бесконтактного лимита в 1000 рублей. Эту разблокировку по умолчанию имеет смысл отключить.
  • Разблокированные AppleWatch можно легко перенести на другую руку, не допустив их блокировки, и использовать для оплаты, как свои собственные. Конечно, если владелец часов сопротивляется, достаточно быстро перенести часы не получится, но если владелец спит, пьян или ему дали по голове — особой сноровки для переноса часов не требуется  и это гораздо проще, чем заставить человека сказать ПИН от карты.

«Думайте сами, решайте сами» (с)

Рубрики: Банковские карты | Вставить свои 5 копеек »»»

AppleWatch для бега

17.12.2016 от Andrew

Искренне не понимаю, зачем человеку нужны смарт-часы, но занимаясь любительским бегом осознал необходимость девайса, который будет полезен при пробежках и позволит не брать с собой телефон, который мешает и мокнет от пота. Итак, что я хотел:

  1. Пульсометр, который бы оповещал о выходе из целевой зоны тренировки, а также транслировал показатели пульса на беговую дорожку
  2. При пробежках на улице запись GPS-трека, без участия телефона
  3. Автоинформирование о параметрах пробежки (скорость, пульс, расстояние, время) с заданной периодичностью.

И тут Apple анонсировал спортивную версию своих смарт-часов AppleWatch Nike+ да еще и со слоганом «С бесконечной любовью к бегу». Казалось, вот девайс, который должен полностью удовлетворить мои нехитрые потребности. Однако, на сайте Apple про спортивную функциональность часов написано крайне скупо, поиск обзоров и отзывов в сети также не дал толкового результата — удалось найти только один-единственный дельный отзыв о часах на английском языке. Попытка получить ответы на мои простые в общем-то вопросы у службы поддержки продаж на сайте Apple оставила у меня недоумение от того, где ж понабрали таких дур и как может Apple продавать, не раскрывая никаких по-сути характеристик своего товара (см. переписку в конце), на одних эмоциях.

В итоге, доверившись обещанию Apple забрать товар назад в течении 14 дней, если он мне просто не понравится, я все-таки заказал Apple Watch Nike+ 42мм и вот что узнал об этих часах на собственном опыте:

Читать полностью »

Рубрики: Про жизнь | 2 комментария »»»

Шаблон SMS-пароля

04.12.2016 от Andrew

Уважаемые банкиры, наверное, не всем заметно, что мошенничество, основанное на социоинженерии процветает. В моем семейном окружении произошел уже второй случай, когда мошенники забалтывают человека по телефону и заставляют сначала сообщить реквизиты карты, а потом диктовать SMS-пароли, с помощью которых выводят с карты все средства (в обоих случаях, что характерно, деньги уходили транзитом через Тинькофф :(, мне кажется им пора уже всерьез озаботиться этим вопросом). Сценарии, по которым действуют мошенники разные, и, поверьте, они находят возможность загрузить вполне адекватных людей, которые в силу возраста, образования, не в курсе технологических нюансов карточных технологий и на голубом глазу выдают все, что требуется мошенникам. Многие банки, пребывают в уверенности, что написав в конце сообщения «Ne soobschajte kod nikomu, dazhe sotrudniku Banka!», они защитили клиента, но ведь этот текст если и размещают, то в конце сообщения, до которого не каждый клиент дочитает, а тем более пенсионер, у которого чаще всего не смартфон с огромным экраном, а кнопочный телефон, на котором текст сообщения полностью не помещается и его надо листать, а мошенник на другой стороне телефонного звонк давит на него «диктуйте цифирьки быстрее». Подумал, что правильный текст SMS сообщения должен начинаться именно с предупреждения о том, что код никому сообщать нельзя и обязательно должен содержать в человеколюбивом виде параметры операции, с акцентом на том, что операция расходная (мошенники упирают на то, что это они переводят жертве деньги и код им нужен для подтверждения зачисления денег жертве). Ниже собрал небольшую коллекцию SMS-сообщений от разных банков (некоторые даже в конце уведомление не добавляют, во всех совершенно не понятно в какую сторону идет операция, есть и такие, которые вообще параметрами операции не озадачены):

Читать полностью »

Рубрики: Банковские карты | 1 уже не сдержался »»»

ТелефонPAY

20.10.2016 от Andrew

По-моему уже все производители смартфонов отметились созданием своих платежных сервисов: ApplePay, AndroidPay, SamsungPay, MiPay, HuaweiPay. Подчеркиваю все это именно СЕРВИСЫ, хотя относительно них и пытаются употреблять термин «платежная система», но ни один из них не является платежной системой ни в терминах российского 161ФЗ, ни с точки зрения здравого смысла, т.к. все они паразитируют на существующих платежных системах и не имеют собственной межбанковской расчетной инфраструктуры. На российский рынок недавно вышли, практически одновременно, ApplePay и SamsungPay и я попробовал разобраться в их бизнес-моделях и мотивации банков сотрудничать с этими сервисами. Объединяет эти сервисы то, что они работают только на свежем модельном ряду смартфонов, обладающем NFC и технологических приседаний требуют только от эмитентов, взаимодействуя с эквайерами стандартным образом, но есть между ними и существенные различия.

Читать полностью »

Рубрики: Банковская розница, Банковские карты | 8 комментариев »»»

Банки и мессенджеры

07.09.2016 от Andrew

Наверное, уже пора высказаться по поводу захлестнувшей банковский рынок мессенджеромании. Похвально быть ближе к клиенту и предоставлять ему сервисы через все каналы, которые клиенту потенциально удобно использовать. Мессенджеры плотно оккупировали повседневную жизнь большинства пользователей мобильных платформ и появление банков там с информационными сервисами выглядит вполне логичным:

  • в связи с возросшим покрытием мобильным интернетом и снижением тарифов на него, мессенджер может быть альтернативой SMS-транспорту для оповещения клиентов об операциях
  • боты в мессенджерах могут предоставлять разнообразную не персонифицированную информацию о продуктах банка (тарифы и условия, адреса и график работы офисов и отделений), принимать заявки на продукты и услуги
  • кроме этого банки и финтех компании все чаще используют мессенджеры для предоставления персонифицированной информации о клиентских счетах и остатках, аутентифицируя клиента. Умные при этом аутентифицируют клиента, перебрасывая его на свой сайт и возвращая назад в мессенджер

Но некоторым этого мало и они пытаются с помощью ботов в мессенджерах предоставлять финансовые услуги, в частности переводы с карты на карту (украинский бот Коля, NaKa бот от МИнБ, …), но совсем некоторым и этого мало — на конференции FinTechLab2016 был презентован проект первого бот-банка TalkBank, который по аналогии с Рокет/Инстабанками выпускает клиентам карты реального банка (в данном случае Транскапиталбанка), но вместо мобильных интерфейсов все операции проводит в мессенджерах (заявку я им тогда оставил, но так пока со мной и не связались — видимо не заработало). Хорошо ли это? На той же конференции я задал вопрос про независимый или промышленный (по типу PCI DSS) аудит безопасности мессенджеров руководителю Digital Security Медведовскому и зам.нач.управления безопасности ЦБ Сычеву и они в один голос сказали, что любой мессенджер надо воспринимать как абсолютно не доверенную среду. Однако, далеко не все инноваторы в погоне за модным трендом и коротким рублем задумываются над этими вопросами. Считается, что раз Дуров сказал, что его Телеграм самый защищенный и раз никто публично не объявил о его взломе, то это истинно так. Ок, пока не взломали, а завтра взломают и что? Пока в мессенджерах не было денег, действительно серьезным хакерам его ломать было интересно только из спортивного интереса… А кто гарантирует от внутренней утечки, когда какой-нибудь оператор или администратор мессенджера использует или подменит транзакционные данные? Почему бы по е-мейлу не отправлять слипы для P2P переводов или с почтовыми голубями (их тоже никто много столетий не перехватывал)?

Самый незащищенный в этой ситуации клиент, потому что когда с его карты сопрут деньги (сделают перевод не тому получателю, или на другую сумму, или просто сольют все использованные в сервисе карты кардерам), куда он пойдет? Мессенджер ткнет в свою оферту, в которой указано, что позволяет текстовыми сообщениями и картинками обмениваться и совсем не предполагал, что кто-то через него деньги передавать будет. Банк-эмитент скажет — ну ты сам разгласил все данные своей карты, еще бы на заборе их развесил. Банк-эквайер скажет, что весь фрод был в мессенджере, за который он не отвечает, а он все выполнил согласно оферте, с которой клиент согласился совершая операцию…

PS а чуть меньше года назад я встречался с одними стартаперами, которые собираются в партнерстве с одним из мессенджером его в средство платежа превратить. То есть клиент совершает покупки, ему приходит уведомление в мессенджер, где он подтверждает операцию списания со своего банковского счета. Подтвержает SMS-паролем, естественно! The END

Рубрики: Банковская розница, Банковские карты | Вставить свои 5 копеек »»»

Экстремальные забеги

20.06.2016 от Andrew

Как говорится «седина в бороду — бес в ребро» и я решил грядущее сорокалетие встретить в экстремальном забеге, когда бегут не по украшенным городским улицам в сопровождении патрулей, а по пересечённой местности, да ещё преодолевая специально созданные препятствия. Приятель несколько раз участвовал в таких забегах в Европах и был очень доволен. В России такие мероприятия также проводятся в Москве и некоторых других городах:

Естественно, сам себе я обещал, чуть ли не за три месяца начать серьёзную подготовку, но одно дело желания, а другое возможности. По факту все подготовка свелась к тому, что я вместо 3-5 километров, которые я довольно регулярно пробегал на дорожке 2-3 раза в неделю, несколько раз пробежал 10 км, укладываясь в 65-70 минут, несколько раз пробегал (скорее проходил) 3 км с максимальным уклоном в 20 градусов и почти ежедневно висел на турнике так, что смог подтягиваться 6-7 раз. За 3 дня до гонки исключил любые нагрузки, чтобы исключить возможные повреждения.
Читать полностью »

Рубрики: Про жизнь | 1 уже не сдержался »»»

Финансовая ответственность процессора

08.06.2016 от Andrew

Недавний случай, когда суд первой инстанции встал на сторону НКО ОРС в иске против процессинговой компании UCS и присудил возместить платежной системе ОРС 470 млн. рублей потерь, стал первым на моей памяти судебным разбирательством относительно возмещения убытков между процессором и финансовой организацией. Традиционно процессинговые компании ограничивают в договорах с клиентами размер своей ответственности за возможные убытки некоторой фиксированной суммой или связывают её с доходами, полученными от данного клиента, а также исключают ответственность за некоторые убытки, в первую очередь за упущенную выгоду. С точки зрения пользователей процессинговых услуг это может выглядеть «несправедливо», но на практике в силу несоразмерности доходов процессинговой компании и оборотов банка-клиента (или платежной системы, как в данном случае) совсем не исключена ситуация, когда возможные убытки финансовой организации, в принципе приемлемые для её масштабов бизнеса, приведут к неминуемому банкротству процессинговой компании и тогда проблемы возникнут не только у клиента, понёсшего убытки, но и у всех остальных клиентов этой компании, вынужденно прекращающей операции. С точки зрения здравого смысла плохой сервис лучше его полного и внезапного отсутствия, поэтому хоть случаи виновного причинения процессорами различных убытков своим клиентам и имеют место сплошь и рядом, но до этого дня все они разрешались «полюбовно» и не выходили в публичную и, тем более судебную плоскость.
Читать полностью »

Рубрики: Банковские карты | 3 комментария »»»

Платежный сезон 2016 в Крыму

16.05.2016 от Andrew

МируКрым Первые две недели мая я провел в автопробеге по Крыму, объехав ЮБК от Керчи на востоке до Оленевки на западе с остановками на ночевки в Феодосии, Коктебеле, Новом Свете, Любимовке, Евпатории, Ялте. Помимо экскурсий я развлекал себя тем, что изучал какими темпами идет восстановление эквайринговой инфраструктуры и готов ли Крым в 2016 году встретить туристов не только с наличными, но и с банковскими картами и учитывая географию моего путешествия, полагаю, могу сделать обобщенные выводы и ответить на вопрос «можно ли ехать в Крым с картой» с оговоркой, что все они действительны по состоянию на первую половину мая 2016 года.

Банкоматная сеть пока не такая большая как была, и банкоматов явно меньше, чем мы привыкли видеть на улицах российских городов, но стараниями РНКБ, Генбанка, России и Крайинвестбанка банкоматы стали встречаться довольно часто (в холлах крупных гостиниц, торговых центрах, на набережных и в отделениях банков), хотя в Оленевке я не видел ни одного банкомата и полагаю ближайший, как и заправка, находится в 20 км. в Черноморском, поэтому забираясь в такие небольшие курортные поселки запаситесь предварительно наличными. После локализации траффика VISA в НСПК банкоматы всех перечисленных банков принимают без проблем и Visa и MasterCard любых российских банков, хотя некоторые из банков и не размещают логотипы этих платежных систем на своих устройствах. Поэтом увидев банкомат любого из этих банков не отвлекайтесь на наклейки платежных систем и смело вставляйте в него любую российскую международную карту, но имейте в виду, что Генбанк ограничивает выдачу наличных суммой всего в 3000 рублей (при том, что счет в кафешке без алкоголя от 1000 рублей на человека), а у банкоматов РНКБ, установленных не в туристических местах, а там где концентрируются местные жители возможны очереди в 5-10 человек. Кроме этих банков, устройства которых встречаются довольно часто, я видел отдельные банкоматы банков Верхневолжский, ЧБРР, Северный Кредит, Рублев, Байкалбанк — большинство из них не принимают никакие карты и занимаются тем, что осваивают мощности энергомоста.

Таким образом, приехав с картой в Крым, вы не останетесь без наличных и не будете, как год назад, платить драконовские комиссии по объявлению «обналичу Visa, MasterCard» — смело тыкайте карту в первый встречный банкомат, не взирая на наклейки с логотипами платежных систем и в 99% случаев вам улыбнется удача, даже если у вас карта «сакнционированного» банка.

Читать полностью »

Рубрики: Банковские карты | Вставить свои 5 копеек »»»

« Раньше