Поиск

Первый дрон

10.07.2018 от Andrew

Mavic Air стал мой первым дроном (это самая актуальная, хотя далеко не самая дорогая модель DJI). Не спрашивайте зачем я его купил, наверное, потому что на красный Феррари не хватает:)

Подымать его первый раз в воздух было страшно, руки в двух джойстиках путались, но автоматика великая вещь — главное не разгоняться вблизи препятствий, а так датчики спереди, сзади и снизу (но не с боку!), не дадут ударить его (кроме режима Sport) о препятствие — в любой непонятной ситуации просто бросай управление и дрон (с учетом инерции, конечно) зависнет в одной точке, дав время подумать, что делать дальше. Правильные настройки заставят его на безопасной (с точки зрения столкновения с препятствиями) высоте вернуться в точку запуска при потери связи или достижении выставленного лимита батареи, а в случае невозможности, он попытается приземлиться там где находится. Тут, правда, возможны нюансы: можно разрешить ему садиться где попало, а можно заставить его контролировать приемлемость посадочной площадки. С этим я чуть не попал в первый же день, когда упустил момент и дрон стал снижаться в говнотечку за соседским огородом — бросив бокал пива я сайгаком понёсся вокруг дома и поймал его с 1% заряда, жалобно жужжащим ровно над забором — автоматика не давала ему сесть на неподходящую поверхность, а искать подходящую она (пока) не умеет. В целом, первоначальная растерянность перед обилием настроек и пультом прошла дня за два, а вот учиться плавно управлять им во время видеосъемки можно ещё долго:)

Читать полностью »

Рубрики: Банковские карты | Вставить свои 5 копеек »»»

Тестирование VKPay

02.07.2018 от Andrew

На прошлой неделе соцсеть ВКонтакте запустила VKPay и благодаря товарищу, который перевёл мне червончик я затестировал как оно работает.

В общем и целом это электронный кошелек, баланс которого пополняется с карт. Кошелёк предназначен для перевода средств между участниками соцсети, оплаты традиционных услуг (телефония, интернет и т.п.), покупок на строящемся маркетплейсе в соцсети (сейчас это одежда с атрибутикой соцсети). Предполагается, что всякие сыровары, тортопроизводители и другие сувенироделатели, реализующие товар в соцсети будут использовать этот инструмент и оборот достигнет 100 ярдов в год. Посмотрим что для этого есть в VKPay.

О переводе червончика я узнал получив входящее сообщение от товарища. После клика на сообщении провалился в приложение VKPay, которое также доступно из меню мобильного приложения ВКонтакте как отдельный пункт. VKPay требует задать пин-код из четырёх цифр и после чего просит идентифицироваться введя полное ФИО (если не проставить отчество — будет ошибка идентификации), номер паспорта и СНИЛС или ИНН на выбор. Через несколько минут прилетает подтверждение идентификации (или отказ) и деньги зачисляются на кошелёк (до этого рядом с нулевым балансом кошелька светились манящие «10Р вас ожидает»). В общем все это я проскочил как-то быстро, даже оферты не заметил. Поэтому на следующее утро решил отправить червончик дальше, своей дочери, с тем чтобы задокументировать процесс, ну и может он ей пригодится. Я ошибся:) но продолжим по порядку.

Читать полностью »

Рубрики: Банковские карты | Вставить свои 5 копеек »»»

Telegram

21.03.2018 от Andrew

Перед самой блокировкой Telegram в России меня угораздило создать канал в этом мессенджере, куда время от времени кидаю самые интересные новости с коротким комментарием. Успейте подписаться :)

https://t.me/cardreview

Рубрики: Банковские карты | Вставить свои 5 копеек »»»

Креатив без мозгов

07.02.2018 от Andrew
Наткнулся сегодня совершенно случайно на интересный и оригинальный сервис от неизвестного мне НДБ банка (из второй сотни по активам, впрочем сотен становится все меньше и меньше :). Сервис позволяет привязать любую карточку и получить персональную ссылку для размещения на сайте, в блоге, соцсетях или отправки по-емейлу с целью сбора средств в адрес владельца карт. Для клиента сервис бесплатен, а жертвователь платит сверху 1,5% (min 40 руб) за P2P перевод, при этом он не видит реквизитов карты получателя, только персонализированную страничку с именем и опциональными ссылками на профили получателя в соцсетях. Неплохая идея для Навального и других блоггеров, существующих на донаты, странно что она пришла в головы представителей такого маленького банка, который его никак не продвигает.
Ну ладно банк этот сервис не продвигает (или продвигает очень незаметно для меня:), но какой чудесный пользовательский опыт они прикрутили к своему технологичному изобретению (уверяют ведь, что не хранят данные зарегистрированных карт, а генерируют токен!!!):
  1. страница логина представляет из себя поле для ввода номера телефона с предзаполненным шаблоном +7 (ХХХ)ХХ-ХХ-ХХ, однако начиная вбивать в нем свой номер с префикса оператора и полагая, что +7 на сервисе от российского банка, разрешающего переводы только между российскими картами, заполнено не спроста, ты обнаруживаешь, что в шаблоне на самом деле содержится только «плюс», а «семерку» все-таки надо вводить
  2. несколько попыток привязать карту Мир с нулевым балансом, заведеную в тестовых целях, завершались одинаково: после ввода ее реквизитов происходила переадресация на сервер ariuspay.ru, который возвращал в личный кабинет с пустым списком привязанных карт без перехода на ACS-сервер эмитента или сообщения об ошибке. Я уж даже решил, что это кардеры таким образом рыбачат, поэтому «денежные» карты пробовать не стал.
  3. отправка сообщения в службу поддержки через личный кабинет завершается всегда одинаково сообщением об ошибке «Произошла ошибка, попробуйте позже.»
  4. однако к вечеру на е-мейл пришел ответ службы поддержки:

Добрый день! Попытки привязки карты не успешны в связи с тем, что было получено сообщение о том, что на счете нет средств для осуществления данной операции. При привязке карты списывается и возвращается один рубль.

Rate the quality of service

Click one of the next vote links:

  1. Insufficient
  2. Sufficient
  3. Good
  4. Very good
  5. Excellent

Response to this message will be sended to support specialist. Attention! Do not change message subject!

Сочетание русского ответа с англоязычным дополнением с просьбой оценить сервис меня окончательно покорило. После этого задавать вопрос о том почему они вместо транзакции проверки карты, которая спокойно пройдет и для карт с нулевым балансом (вполне вероятно, что для целей сбора средств я заведу отдельную карту и денег на ней может не быть), списывают ровно рубль причем без 3DS, про который много пишут в разделах FAQ и Безопасность на своем сайте, бессмысленно.

пионерская поделка получилась, а идея интересная.

Рубрики: Банковские карты | Вставить свои 5 копеек »»»

54ФЗ и банки

03.07.2017 от Andrew

Столько было шума по поводу поправок в 54-ФЗ, регламентирующих так называемую «электронную фискализацию» и подготовки к их реализации, а попытался вникнуть и оказалось «Безобразие! Война у порога, а мы не готовы!» (с). Причем не готовы не только банки, потому что прохлопали ушами и не обратили внимание на эту тему, но и сам закон написан очень криво с множеством противоречий.  Фиг с ним, что не понятно на кого закон уже распространяется, а на кого еще нет: там куча исключений в разных пунктах и отдельно опубликованные решением Правительства списки товарных позиций и услуг — лично мне продраться через все исключения и оговорки, перечисленные в статье 2, не удалось.

Особенно привлекло мое внимание вот это письмо Минфина, которое трактует нормы 54ФЗ таким образом, что под него попадают все банковские платежи, после чего я стал внимательно читать закон и набрел на двусмысленности и неопределенности, которые серьезно влияют на банковский бизнес не только в части эквайринга, но и традиционных платежей и переводов. Читать полностью »

Рубрики: Банковская розница, Банковские карты | 3 комментария »»»

Безналичный геморрой

25.06.2017 от Andrew

Никогда не думал, что придется воcставать против организации безналичной оплаты, но гостиница Ялта-Интурист, в попытке избавиться от наличных для расчетов за свои услуги, умудрилась создать реальный геморрой для клиентов.

Итак: на территории отеля возможна оплата только с использованием индивидуальных бесконтактных браслетов, которые выдаются каждому при заселении и служат так же для доступа в номер. Выдавая браслеты, проживающим в одном номере, персонал не сообщает о том, что они привязаны к индивидуальным счетам, а не к общему счету номера. Пополнить браслет можно наличными в платежных киосках, которые разбросаны по территории отеля, наличными и с карты на ресепшен и на сайте отеля через форму пополнения (которая не содержит никаких правил и условий использования и возврата средств), указав номер комнаты.

Читать полностью »

Рубрики: Банковские карты | Вставить свои 5 копеек »»»

Что нужно знать об ApplePay

27.12.2016 от Andrew

Простому человеку, решившему пользоваться ApplePay кроме рекламного лозунга Apple «Безопасная оплата в магазинах, приложениях и на веб-сайтах«, нужно знать несколько моментов, которые позволят более осознанно подойти к использованию этого способа оплаты и сделать его не только удобным, но и более-менее безопасным:

  • оплата с iPhone подтверждается отпечатком пальца. Кроме экстремальных ситуаций с отрезанием пальца, покупку в Интернете/в приложении можно совершить с использованием пальца спящего или пьяного владельца (прецеденты уже есть). Можно сделать и копию отпечатка без особых финансовых вложений — смотрите видео и пользоваться чужим телефоном для оплаты, как своим собственным.
  • В случае, если с трёх раз ApplePay не распознал отпечаток, он предложит подтвердить операцию вводом пароля от телефона, поэтому используя ApplePay имеет смысл перейти с 4хзначного, на длинный пароль на iPhone, иначе злоумышленник, подглядевший пароль от телефона, без проблем совершит с его помощью платежи.
  • AppleWatch, надетые на руку, по умолчанию разблокируются одновременно с разблокировкой телефона, если он находится в зоне досягаемости Bluetooth (а это может быть и пара стен). То есть оставив энергопрожорливые часы в очередной раз на зарядке и выпустив их из виду, вы рискуете, что злоумышленник наденет их на руку и дождавшись, чтоб вы разблокировали свой iPhone по любой надобности, пойдёт с ними совершать транзакции, тем более что зачастую терминал не требует от ApplePay ввода PIN оригинальной карты даже на суммы выше бесконтактного лимита в 1000 рублей. Эту разблокировку по умолчанию имеет смысл отключить.
  • Разблокированные AppleWatch можно легко перенести на другую руку, не допустив их блокировки, и использовать для оплаты, как свои собственные. Конечно, если владелец часов сопротивляется, достаточно быстро перенести часы не получится, но если владелец спит, пьян или ему дали по голове — особой сноровки для переноса часов не требуется  и это гораздо проще, чем заставить человека сказать ПИН от карты.

«Думайте сами, решайте сами» (с)

Рубрики: Банковские карты | Вставить свои 5 копеек »»»

Шаблон SMS-пароля

04.12.2016 от Andrew

Уважаемые банкиры, наверное, не всем заметно, что мошенничество, основанное на социоинженерии процветает. В моем семейном окружении произошел уже второй случай, когда мошенники забалтывают человека по телефону и заставляют сначала сообщить реквизиты карты, а потом диктовать SMS-пароли, с помощью которых выводят с карты все средства (в обоих случаях, что характерно, деньги уходили транзитом через Тинькофф :(, мне кажется им пора уже всерьез озаботиться этим вопросом). Сценарии, по которым действуют мошенники разные, и, поверьте, они находят возможность загрузить вполне адекватных людей, которые в силу возраста, образования, не в курсе технологических нюансов карточных технологий и на голубом глазу выдают все, что требуется мошенникам. Многие банки, пребывают в уверенности, что написав в конце сообщения «Ne soobschajte kod nikomu, dazhe sotrudniku Banka!», они защитили клиента, но ведь этот текст если и размещают, то в конце сообщения, до которого не каждый клиент дочитает, а тем более пенсионер, у которого чаще всего не смартфон с огромным экраном, а кнопочный телефон, на котором текст сообщения полностью не помещается и его надо листать, а мошенник на другой стороне телефонного звонк давит на него «диктуйте цифирьки быстрее». Подумал, что правильный текст SMS сообщения должен начинаться именно с предупреждения о том, что код никому сообщать нельзя и обязательно должен содержать в человеколюбивом виде параметры операции, с акцентом на том, что операция расходная (мошенники упирают на то, что это они переводят жертве деньги и код им нужен для подтверждения зачисления денег жертве). Ниже собрал небольшую коллекцию SMS-сообщений от разных банков (некоторые даже в конце уведомление не добавляют, во всех совершенно не понятно в какую сторону идет операция, есть и такие, которые вообще параметрами операции не озадачены):

Читать полностью »

Рубрики: Банковские карты | 1 уже не сдержался »»»

ТелефонPAY

20.10.2016 от Andrew

По-моему уже все производители смартфонов отметились созданием своих платежных сервисов: ApplePay, AndroidPay, SamsungPay, MiPay, HuaweiPay. Подчеркиваю все это именно СЕРВИСЫ, хотя относительно них и пытаются употреблять термин «платежная система», но ни один из них не является платежной системой ни в терминах российского 161ФЗ, ни с точки зрения здравого смысла, т.к. все они паразитируют на существующих платежных системах и не имеют собственной межбанковской расчетной инфраструктуры. На российский рынок недавно вышли, практически одновременно, ApplePay и SamsungPay и я попробовал разобраться в их бизнес-моделях и мотивации банков сотрудничать с этими сервисами. Объединяет эти сервисы то, что они работают только на свежем модельном ряду смартфонов, обладающем NFC и технологических приседаний требуют только от эмитентов, взаимодействуя с эквайерами стандартным образом, но есть между ними и существенные различия.

Читать полностью »

Рубрики: Банковская розница, Банковские карты | 9 комментариев »»»

Банки и мессенджеры

07.09.2016 от Andrew

Наверное, уже пора высказаться по поводу захлестнувшей банковский рынок мессенджеромании. Похвально быть ближе к клиенту и предоставлять ему сервисы через все каналы, которые клиенту потенциально удобно использовать. Мессенджеры плотно оккупировали повседневную жизнь большинства пользователей мобильных платформ и появление банков там с информационными сервисами выглядит вполне логичным:

  • в связи с возросшим покрытием мобильным интернетом и снижением тарифов на него, мессенджер может быть альтернативой SMS-транспорту для оповещения клиентов об операциях
  • боты в мессенджерах могут предоставлять разнообразную не персонифицированную информацию о продуктах банка (тарифы и условия, адреса и график работы офисов и отделений), принимать заявки на продукты и услуги
  • кроме этого банки и финтех компании все чаще используют мессенджеры для предоставления персонифицированной информации о клиентских счетах и остатках, аутентифицируя клиента. Умные при этом аутентифицируют клиента, перебрасывая его на свой сайт и возвращая назад в мессенджер

Но некоторым этого мало и они пытаются с помощью ботов в мессенджерах предоставлять финансовые услуги, в частности переводы с карты на карту (украинский бот Коля, NaKa бот от МИнБ, …), но совсем некоторым и этого мало — на конференции FinTechLab2016 был презентован проект первого бот-банка TalkBank, который по аналогии с Рокет/Инстабанками выпускает клиентам карты реального банка (в данном случае Транскапиталбанка), но вместо мобильных интерфейсов все операции проводит в мессенджерах (заявку я им тогда оставил, но так пока со мной и не связались — видимо не заработало). Хорошо ли это? На той же конференции я задал вопрос про независимый или промышленный (по типу PCI DSS) аудит безопасности мессенджеров руководителю Digital Security Медведовскому и зам.нач.управления безопасности ЦБ Сычеву и они в один голос сказали, что любой мессенджер надо воспринимать как абсолютно не доверенную среду. Однако, далеко не все инноваторы в погоне за модным трендом и коротким рублем задумываются над этими вопросами. Считается, что раз Дуров сказал, что его Телеграм самый защищенный и раз никто публично не объявил о его взломе, то это истинно так. Ок, пока не взломали, а завтра взломают и что? Пока в мессенджерах не было денег, действительно серьезным хакерам его ломать было интересно только из спортивного интереса… А кто гарантирует от внутренней утечки, когда какой-нибудь оператор или администратор мессенджера использует или подменит транзакционные данные? Почему бы по е-мейлу не отправлять слипы для P2P переводов или с почтовыми голубями (их тоже никто много столетий не перехватывал)?

Самый незащищенный в этой ситуации клиент, потому что когда с его карты сопрут деньги (сделают перевод не тому получателю, или на другую сумму, или просто сольют все использованные в сервисе карты кардерам), куда он пойдет? Мессенджер ткнет в свою оферту, в которой указано, что позволяет текстовыми сообщениями и картинками обмениваться и совсем не предполагал, что кто-то через него деньги передавать будет. Банк-эмитент скажет — ну ты сам разгласил все данные своей карты, еще бы на заборе их развесил. Банк-эквайер скажет, что весь фрод был в мессенджере, за который он не отвечает, а он все выполнил согласно оферте, с которой клиент согласился совершая операцию…

PS а чуть меньше года назад я встречался с одними стартаперами, которые собираются в партнерстве с одним из мессенджером его в средство платежа превратить. То есть клиент совершает покупки, ему приходит уведомление в мессенджер, где он подтверждает операцию списания со своего банковского счета. Подтвержает SMS-паролем, естественно! The END

Рубрики: Банковская розница, Банковские карты | Вставить свои 5 копеек »»»

« Раньше