Поиск

Безопасность SMS-токенов

24.01.2011 от Andrew

В новостной рассылке на прошлой неделе пришло:

RSA: БАНКОВСКИЕ SMS ТОКЕНЫ УЯЗВИМЫ
Количество атак мобильных телефонов увеличится в этом году из-за того, что преступники пытаются перехватывать SMS токены аутентификации. Такое мнение
высказали представители компании RSA, сообщает xakep.ru.
Токены были созданы для того, чтобы дополнить собой ввод имени пользователя и пароля, требуя от пользователя подтвердить платеж уникальным цифровым кодом, в данном случае высылаемым посредством SMS-сообщения. Услуга становится все более популярной, и Commonwealth Bank of Australia отмечает, что 80 проц их клиентов используют токены для того, чтобы подтвердить платежи третьим лицам с помощью SMS или с помощью более надежных портативных генераторов ключей. Банк не заставляет клиентов использовать данную услугу, но те, кто не захочет пользоваться ей, не смогут производить операции с высокой степенью риска через Интернет-банк.
В прогнозе на 2011 г RSA отметила, что рассылка токенов посредством SMS сделает телефоны мишенью. Использование аутентификации с помощью SMS … как дополнительного средства
обеспечения безопасности, добавляет уязвимое место в мобильный канал, – сообщила компания в докладе.  Преступник может … провести телефонную атаку типа отказа в обслуживании, и мобильный телефон потребителя не будет работать. Сервис перенаправления SMS сообщений также становится привычным объектом для мошенников и дает им возможность перехватить /токен/, высланный банком на мобильный телефон пользователя, и перенаправить его на телефон киберпреступника.
Компания предсказала, что количество смишинг-атак и фишинга на мобильных телефонах, проводимого с помощью SMS, также увеличится в этом году. Количество успешных смишинг-атак больше, чем стандартных фишинг-атак, потому что потребители не ожидают получить спам на мобильный телефон и, скорее всего, поверят, что сообщение – законное.
Также сказано, что не существует эффективных технологий по предотвращению смишинга.

В России SMS-аутентификация это один из самых популярных способов аутентификации клиентов и подтверждения платежей, поэтому меня это сообщение очень заинтересовало и я обсудил его с коллегами, погруженными в предметную область. Резюмируя их мнение: на все смартфоны (за исключением невзломанного iPhone) можно незаметно для пользователя поставить программу, которая может перехватывать, перенаправлять, подменять или имтировать входящие и исходящие SMS-сообщения, но это не возможно на обычном мобильном телефоне.

Таким образом, SMS-аутентификация относительно безопасна на обычных мобильных телефонах, но не безопасна на смартфонах и должна применяться с ограничениями по сумме (чтобы не было экономической целесообразности заморачиваться с подкидыванием троянов на смартфон) и назначениями платежей (например, только платежи по пользовательским шаблонам)

Рубрики: Банковская розница | 9 комментариев »»»

Wanted!!!

11.11.2010 от Andrew

НОМОСу срочно и сильно нужен грамотный руководитель на направление развитие каналов ДБО, в первую очередь Интернет-банка (в ранге нач.управления): концепция, сервисы формализация требований и постановка задач внутренним разработчикам и нам на доработки. За хорошего специалиста готовы платить и перекупать. Формальное описание вакансии. Резюме можно слать напрямую в Банк, кто знаком со мной – может воспользоваться моей рекомендацией и передать резюме напрямую руководителю департамента (это не IT-департамент, а маркетинга, разработки и сопровождения продуктов розничного бизнеса).

Лично мне  нужен sales или sales\account для работы по СНГ в части продажи софта. Рассматриваю только людей с профильным опытом (либо карточно-розничный бизнес в банке, либо на стороне вендоров) и сетью контактов в целевой аудитории, желающих зарабатывать много, по результатам работы даже очень много (бОльшая часть дохода это процент с продаж, а не оклад – это специфика). Формальное описание вакансии.
Отдельно пообщаюсь с человеком, который бы хотел заниматься развитием процессинговых услуг: продажа их как таковых + расширение спектра этих услуг + методическая часть (тарифы, регламенты взаимодействия, договорная база…).

Рубрики: Банковская розница, Банковские карты | 5 комментариев »»»

Отбор сотрудников в банк

05.08.2010 от Andrew

В одном банке, который преимущественно работает в северо-кавказской республике, рассказали какой тест проходят операционисты перед приемом на работу. Их просят письменно ответить на 3 вопроса:

  1. напишите прописью число, написанное цифрами
  2. напишите цифрами число, написанное прописью (в обоих случаях задача усложняется тем, что в числе есть ноль в середине)
  3. посчитайте количество купюр в пачке денег (сумма в пачке и номинал купюр указаны)

На работу вынуждены брать тех, кто отвечает правильно (орфография ошибкой не считается) хотя бы на 2 вопроса из трех! Такая вот суровая реальность…

Рубрики: Банковская розница, Про жизнь | 2 комментария »»»

Наступление ОПСоСов на банки

23.07.2010 от Andrew

Уже не раз писал, что операторы сотовой связи все больше и больше топчут банковскую поляну. Только этот год порадовал нас следующими новостями:

А вот сегодняшнее:

Абоненты сотовых операторов смогут оплачивать со своего счета налоги и штрафы за нарушение правил дорожного движения (ПДД). Как стало известно “Ъ”, такой проект уже обсуждается правительством с “Вымпелкомом”, готовы аналогичные предложения для МТС и “МегаФона”. В распоряжении операторов может оказаться многомиллионный рынок новых платежей.

http://www.kommersant.ru/doc.aspx?DocsID=1473657&NodesID=4

Все бы хорошо, если бы делалось ради удобства клиента, но… За последние пару месяцев мне стали известны уже два случая мошенничества с банковскими счетами и выводом денег через оператора сотовой связи. В одном случае украв пару логин/пароль у нескольких клиентов регионального банка, пожмотившегося на предоставление сервиса разовых паролей, все деньги с их счетов были отправлены на сотовый номер Билайна, через который тут же обналичены. В другом случае мошенничество было организовано еще сложнее: человеку приходило SMS “обслуживание Вашего счета временно приостановлено, позвоните по телефону в департамент чего-то там”, человек звонил и ему отвечал “главный специалист Вася” и предлагал “для идентификации” последовать до ближайшего банкомата банка, откуда ему и перезвонить, когда человек звонил от банкомата его чутко вели по меню банкомата до раздела платежи на сотовый номер и предлагали оплатить сумму, равную остатку на счете и “если вы владелец счета и следовательно знаете сумму и она совпадет с реальным остатком, то ваш счет разблокируется” – дальше все ясно…

Что лично для меня удивительно:

  1. в 2010 году есть банки, которые предоставляют доступ в Интернет-банк, к активным операциям, идентифицируя клиента только парой логин/пароль
  2. есть настолько глупые клиенты, что клюют на все эти дурацкие разводки с блокировкой счетов или участием в лоторее

 

Рубрики: Банковская розница | 1 уже не сдержался »»»

Оптический CAP

16.07.2010 от Andrew

На прошлой неделе присутствовал на демонстрации оптического DPA/CAP ридера от Gemalto и даже разжился таким устройством. Суть технологии заключается в том, что в приложение интернет-банка встраивается специальный виджет от Gemalto, который представляет из себя мигающую полоску. Это полоска на конкретном экране масштабируется под размеры считывающих датчиков ридера и миганием передает параметры подписываемой операции: номер счета, сумму и т.п. Ридер, который подносится к экрану считывает это мигание и транслирует параметры операции на экран ридера. Параметры прокручиваются пользователем, правда в неудобоваримом виде DATA1=NNNNNNNNNNNN, DATA2=MMMM.MM и так далее и подписываются PIN-кодом карты. Ридер на основе загруженных в него параметров транзакции и ключей карты генерит криптограмму, которая проверяется хостом.

Отличие от реализованного DPA/CAP на основе генерируемого хостом челленджа заключается в том, что пользователь вроде бы контролирует параметры подписываемой транзакции и исключается гипотетическая угроза “человек в середине” (мошенник который подменяет реальные параметры операции пользователя). Утверждать, что технология юзабельнее для пользователя я бы не стал, потому что ввести челлендж в ридер совсем не сложно – гораздо сложнее прочитать сгенерированную криптограмму с экрана ридера (для VISA это 10 цифр а для MC аж 12). Считать эту последовательность с экранчика ридера не так уж и просто, гораздо сложнее, чем ввести на клавиатуре устройства челлендж, так что пользования технологией это практически не облегчает, а вот безопасность повышает.

Описание технологии на сайте Gemalto.

Рубрики: Банковская розница, Банковские карты | Вставить свои 5 копеек »»»

Мобильный банк на iPhone

29.06.2010 от Andrew

Попалась интересная новость:

«Сбербанк» поручил юристам добиться удаления из AppStore сторонних SMS-клиентов для работы на смартфоне iPhone со своим мобильным банком.

Программы – SMS-клиенты для мобильного банкинга «Сбербанка» SberLite и SberPro – позволяли перечислять деньги операторам мобильной связи и интернет-провайдерам, а также переводить средства между счетами «Сбербанка» и получать выпуски о состоянии счета.

SberLite начала продаваться в сентябре 2009 г., а SberPro – в феврале 2010 г. Стоимость первой с течением времени менялась от $1 до $3, второй – составляла $5. Общее число закачек двух приложений составило 2260, за счет чего разработчикам удалось получить около $2,5 тыс. Приложения для мобильного банка не приносили прибыли. «Затраты на их поддержание превышали выручку, – рассуждает Назаренко. – И я считаю, что проект был выгоден скорее «Сбербанку», чем нам».

заинтересовало? »»»

Рубрики: Банковская розница | 1 уже не сдержался »»»

Метрокарты

21.06.2010 от Andrew

Сотовые операторы продолжают топтать банковскую “поляну”. Сначала появился “безобидный” перевод баланса между абонентами, в 2008 году у Билайна и МТС практически одновременно появились уже более серьезные коммунальные платежи с лицевого счета (мобильный банк), а весной 2010 банковское сообщество уже всерьез озаботилось появлением услуги денежных переводов через сети сотовых операторов. Теперь МТС анонсировал услуги по оплате проезда в метро с использованием мобильного телефона:

МТС и Московский метрополитен представили новый способ оплаты проезда в метро с помощью мобильного телефона.

В рамках Петербургского Международного Экономического форума компании продемонстрировали готовое технологическое решение для оплаты проезда с помощью мобильного телефона по технологии NFC¹.
Новый способ расчета предполагает возможность покупки электронного билета для прохода в метрополитен через перечисление средств с мобильного счета абонента. Электронный билет загружается в память телефона и позволяет использовать телефон вместо карты оплаты для прохода в метро. Для пользования новым сервисом абоненту будет достаточно поднести телефон к считывающему устройству турникета на расстоянии 10 сантиметров.
Коммерческий запуск проекта по оплате проезда в Московском метрополитене с помощью мобильного телефона запланирован на четвертый квартал 2010 года. На территории станций метро начнут работать специальные точки, где абоненты МТС смогут приобрести внутреннюю антенну для своего мобильного телефона и настроить аппарат для получения возможности оплаты поездки в метро. Также абоненты смогут в этих точках заменить SIM-карту МТС на новую со специальным приложением, позволяющим пользоваться сервисом оплаты услуг проезда с мобильного счета или приобрести новую SIM-карту. После установки SIM-карты в меню телефона появится новый раздел, где абонент сможет выбрать и оплатить необходимое ему количество поездок.
«Одним из основных принципов работы МТС является создание инновационных мобильных услуг, которые дают новые возможности нашим клиентам и повышают качество жизни. Мы рады совместно с Московским метрополитеном предоставить нашим пользователям возможность сделать жизнь комфортнее с помощью удобной услуги — оплаты проезда в метро с помощью мобильного телефона. Мы уверены в том, что, благодаря своей функциональности и удобному интерфейсу, этот пока уникальный для России проект МТС и Московского метрополитена получит широкое распространение и в других регионах и станет еще одним шагом в развитии сервиса мобильных платежей в нашей стране», — отметил вице-президент МТС по коммерции Михаил Герчук.
«Метро — самый массовый транспорт в мегаполисе. И мы постоянно работаем над тем, чтобы он был максимально комфортным для наших пассажиров. Поэтому мы особенно рады предложить им новую удобную возможность оплаты проезда с помощью мобильных технологий. Это направление очень перспективно — мобильный телефон сегодня есть практически у всех граждан России. И мы убеждены, что наши пассажиры оценят эту возможность», — заявил начальник Московского метрополитена Дмитрий Гаев.
Способы тарификации оплаты проезда в метрополитене с помощью технологии NFC будут определены к моменту запуска решения в коммерческую эксплуатацию.
Интегратором проекта выступает компания Express-Card.
http://www.company.mts.ru/press-centre/press_release/2010-06-18-1383683

Возникает вопрос: почему сотовые операторы, почему не банки???

заинтересовало? »»»

Рубрики: Банковская розница, Банковские карты | 3 комментария »»»

Не зря живу

19.03.2010 от Andrew

Сегодня утром от одного из двух своих банков получил персонифицированное SMS:  Андрей Владимирович, поздравляем Вас с Днем рождения, здоровья, удачи, финансового благополучия. SMS пришло не от сотрудника банка, а именно от банка.

С учетом того, что 2 недели назад на клиентском форуме я презентовал концепцию персонифицированного взаимодействия с клиентами в рамках ДБО и это бы один из возможных кейсов стало чертовски приятно – получается не зря живу. Как минимум один банк взял мои идеи на вооружение и что-то в окружающем мире мне удается улучшить…

Рубрики: Банковская розница, Про жизнь | 3 комментария »»»

Уже не 1000…

19.02.2010 от Andrew

писарьВчера отобрали лицензию у некоего МИКОМС-банка и в результате количество банков в России сократилось до 999. Теперь их уже меньше 1000, а в кризисный 2008 год Российская банковская система входила со 1136 участниками (в “лучшие годы” их по-моему было более 2000).

А какие забавные названия встречались среди почивших в бозе банков (это просто памятники полету фантазии первых бизнесменов):

  • Тюменский Банк “Дипломат” в 2006 году взял себе имя “МЕГА Банк” (практически идиентичное похороненому в 2001 году “МЕГА-Банку”) и судьба его была предрешена. А еще был “МегаСтарБанк”;
  • СуперБанк
  • Падун, переименованный в Сибирский Банк Развития и все равно “упавший”
  • СМИ-Банк и Масс-Медиа Банк
  • АЛТН
  • Алина, Алиса, Лена, Татьяна
  • Аунус Банк
  • заинтересовало? »»»

Рубрики: Банковская розница, Маркетинг | 4 комментария »»»

Мобильные инициативы Фридмана

03.02.2010 от Andrew

Фридман, владеющий не только Альфа-Банком, но и телекоммуникационными активами разразился оригинальной идеей заменить национальную платежную систему распространением карт через базы сотовых операторов:

«Мы предлагаем использовать данные об абонентах сотовых операторов для выпуска и предложения им банковских карт», — рассказал об идее источник в руководстве Альфа-банка. Схема такова: банк попросит оператора отобрать данные об определенных абонентах — например, по полу, возрасту и затратам на связь — и тем из них, кого сочтет благонадежными, пришлет почтой неактивированную карту либо предложение получить в отделении банка карту — настоящую или виртуальную (пароли доступа для интернет-платежей).
заинтересовало? »»»

Рубрики: Банковская розница, Банковские карты | Вставить свои 5 копеек »»»

« Раньше Позже »