Поиск

СБП и правовое поле

02.07.2019 от Andrew

На днях на утренней пробежке пришла в голову идея, как изменить логику работу СБП и полечить все имеющиеся у этого, безусловно полезного сервиса, правовые проблемы, а именно:

– нарушение тайны счета;

– разглашение персоданных;

– инструментарий «пробивки» банков для мошенников;

– инструментарий для компрометации людей путём дачи ложной взятки и т.п. (написав, например в назначении платежа «за сексуальные услуги» и приняв такой платёж ты оказываешься должен:)

Сценарий должен быть таким:

1) отправитель вводит телефон и сумму, вводит назначение платежа и выбирает банк по-умолчанию или конкретный банк и подтверждает операцию. Вешается холд.

2) банк отправителя запрашивает НСПК и отправляет деньги либо в банк по-умолчанию или в выбранный банк, если он ассоциирован с данным номером

3) если номер не ассоциирован с данным банком холд снимается с удержанием с отправителя комиссии за неудачный перевод (она может быть прогрессивной, либо холд может сниматься с задержкой в сутки, в зависимости от интенсивности мошеннических атак)

4) получивший деньги клиент должен иметь (обязательно!) назначение платежа, полное ФИО и телефон отправителя для однозначной идентификации кто и с какими целями перевёл ему денег. У него должна быть возможность бесплатно(!) отказаться от перевода, вернув его отправителю, с которого удерживается комиссия за возврат.

Читать полностью »

Рубрики: Банковская розница, Банковские карты | Вставить свои 5 копеек »»»

Система Быстрых Платежей

03.12.2018 от Andrew

На прошлой неделе ЦБ опубликовал тарифы, по которым будет работать, запускаемая в следующем году Система Быстрых Платежей (СБП). В первый год работы тарифы установлены нулевыми, стимулируя банки быстрее подключаться. Участие банков в СБП пока не обязательно, однако, скорее всего станет таким, иначе Сбербанк будет попросту игнорировать эту систему и без его половины рынка, она будет нежизнеспособной (вспомним слова Грефа на Финополисе 2018 “мы не против, нам все равно”). Поскольку спецификации СБП стали доступны примерно месяц назад, я не ожидаю, что массовое подключение банков случится раньше второй половины года, поэтому реальный период “халявы” будет недолгим.

В первом воплощении СБП ориентирована на переводы от физика физику, хотя в следующем этапе анонсируются и платежи от физика юрику. Поэтому стало интересно сравнить себестоимость перевода через СБП с карточными переводами. Учитывая, что ЦБ и НСПК являются также владельцами карточной системы МИР, в которой недавно удешевили SMS-переводы, то интереснее всего сравнить тарифы новой системы и тарифы МИР, сделав вывод о том, как два сервиса одних родителей будут конкурировать друг с другом.

Читать полностью »

Рубрики: Банковская розница, Банковские карты | Вставить свои 5 копеек »»»

Тинейджер и банкиры

31.08.2018 от Andrew

Ехал я вчера вечером “электричкой из Москвы” и дочь (без малого 14 лет) внезапно прислала рекламу Тиньковской карты Black, которая для подростков до 18 лет бесплатно с комментарием “она ведь так-то 1200 в год стоит”. А на уточняющий вопрос к чему ей это, если уже почти год у неё в телефоне токенизирована одна из моих карт и она ей активно пользуется, в том числе оплачивая за подружек и собирая с них кэш с округлением в свою пользу:), она внезапно заявила “Сбербанковская мне полюбасу нужна будет” и на уточняющие вопросы пояснила “Щас у всех сбер есть, А я че лохушка Просто чтобы там немного денег было Если перевести надо будет кому-то Или снять срочно наличные” и прислала макет карты с нашим псом.

Читать полностью »

Рубрики: Банковская розница, Банковские карты | Вставить свои 5 копеек »»»

Тестирование VKPay

02.07.2018 от Andrew

На прошлой неделе соцсеть ВКонтакте запустила VKPay и благодаря товарищу, который перевёл мне червончик я затестировал как оно работает.

В общем и целом это электронный кошелек, баланс которого пополняется с карт. Кошелёк предназначен для перевода средств между участниками соцсети, оплаты традиционных услуг (телефония, интернет и т.п.), покупок на строящемся маркетплейсе в соцсети (сейчас это одежда с атрибутикой соцсети). Предполагается, что всякие сыровары, тортопроизводители и другие сувенироделатели, реализующие товар в соцсети будут использовать этот инструмент и оборот достигнет 100 ярдов в год. Посмотрим что для этого есть в VKPay.

О переводе червончика я узнал получив входящее сообщение от товарища. После клика на сообщении провалился в приложение VKPay, которое также доступно из меню мобильного приложения ВКонтакте как отдельный пункт. VKPay требует задать пин-код из четырёх цифр и после чего просит идентифицироваться введя полное ФИО (если не проставить отчество – будет ошибка идентификации), номер паспорта и СНИЛС или ИНН на выбор. Через несколько минут прилетает подтверждение идентификации (или отказ) и деньги зачисляются на кошелёк (до этого рядом с нулевым балансом кошелька светились манящие “10Р вас ожидает”). В общем все это я проскочил как-то быстро, даже оферты не заметил. Поэтому на следующее утро решил отправить червончик дальше, своей дочери, с тем чтобы задокументировать процесс, ну и может он ей пригодится. Я ошибся:) но продолжим по порядку.

Читать полностью »

Рубрики: Банковские карты | Вставить свои 5 копеек »»»

Telegram

21.03.2018 от Andrew

Перед самой блокировкой Telegram в России меня угораздило создать канал в этом мессенджере, куда время от времени кидаю самые интересные новости с коротким комментарием. Успейте подписаться :)

https://t.me/cardreview

Рубрики: Банковские карты | Вставить свои 5 копеек »»»

Креатив без мозгов

07.02.2018 от Andrew
Наткнулся сегодня совершенно случайно на интересный и оригинальный сервис от неизвестного мне НДБ банка (из второй сотни по активам, впрочем сотен становится все меньше и меньше :). Сервис позволяет привязать любую карточку и получить персональную ссылку для размещения на сайте, в блоге, соцсетях или отправки по-емейлу с целью сбора средств в адрес владельца карт. Для клиента сервис бесплатен, а жертвователь платит сверху 1,5% (min 40 руб) за P2P перевод, при этом он не видит реквизитов карты получателя, только персонализированную страничку с именем и опциональными ссылками на профили получателя в соцсетях. Неплохая идея для Навального и других блоггеров, существующих на донаты, странно что она пришла в головы представителей такого маленького банка, который его никак не продвигает.
Ну ладно банк этот сервис не продвигает (или продвигает очень незаметно для меня:), но какой чудесный пользовательский опыт они прикрутили к своему технологичному изобретению (уверяют ведь, что не хранят данные зарегистрированных карт, а генерируют токен!!!):
  1. страница логина представляет из себя поле для ввода номера телефона с предзаполненным шаблоном +7 (ХХХ)ХХ-ХХ-ХХ, однако начиная вбивать в нем свой номер с префикса оператора и полагая, что +7 на сервисе от российского банка, разрешающего переводы только между российскими картами, заполнено не спроста, ты обнаруживаешь, что в шаблоне на самом деле содержится только “плюс”, а “семерку” все-таки надо вводить
  2. несколько попыток привязать карту Мир с нулевым балансом, заведеную в тестовых целях, завершались одинаково: после ввода ее реквизитов происходила переадресация на сервер ariuspay.ru, который возвращал в личный кабинет с пустым списком привязанных карт без перехода на ACS-сервер эмитента или сообщения об ошибке. Я уж даже решил, что это кардеры таким образом рыбачат, поэтому “денежные” карты пробовать не стал.
  3. отправка сообщения в службу поддержки через личный кабинет завершается всегда одинаково сообщением об ошибке “Произошла ошибка, попробуйте позже.”
  4. однако к вечеру на е-мейл пришел ответ службы поддержки:

Добрый день! Попытки привязки карты не успешны в связи с тем, что было получено сообщение о том, что на счете нет средств для осуществления данной операции. При привязке карты списывается и возвращается один рубль.

Rate the quality of service

Click one of the next vote links:

  1. Insufficient
  2. Sufficient
  3. Good
  4. Very good
  5. Excellent

Response to this message will be sended to support specialist. Attention! Do not change message subject!

Сочетание русского ответа с англоязычным дополнением с просьбой оценить сервис меня окончательно покорило. После этого задавать вопрос о том почему они вместо транзакции проверки карты, которая спокойно пройдет и для карт с нулевым балансом (вполне вероятно, что для целей сбора средств я заведу отдельную карту и денег на ней может не быть), списывают ровно рубль причем без 3DS, про который много пишут в разделах FAQ и Безопасность на своем сайте, бессмысленно.

пионерская поделка получилась, а идея интересная.

Рубрики: Банковские карты | Вставить свои 5 копеек »»»

54ФЗ и банки

03.07.2017 от Andrew

Столько было шума по поводу поправок в 54-ФЗ, регламентирующих так называемую “электронную фискализацию” и подготовки к их реализации, а попытался вникнуть и оказалось “Безобразие! Война у порога, а мы не готовы!” (с). Причем не готовы не только банки, потому что прохлопали ушами и не обратили внимание на эту тему, но и сам закон написан очень криво с множеством противоречий.  Фиг с ним, что не понятно на кого закон уже распространяется, а на кого еще нет: там куча исключений в разных пунктах и отдельно опубликованные решением Правительства списки товарных позиций и услуг – лично мне продраться через все исключения и оговорки, перечисленные в статье 2, не удалось.

Особенно привлекло мое внимание вот это письмо Минфина, которое трактует нормы 54ФЗ таким образом, что под него попадают все банковские платежи, после чего я стал внимательно читать закон и набрел на двусмысленности и неопределенности, которые серьезно влияют на банковский бизнес не только в части эквайринга, но и традиционных платежей и переводов. Читать полностью »

Рубрики: Банковская розница, Банковские карты | 3 комментария »»»

Безналичный геморрой

25.06.2017 от Andrew

Никогда не думал, что придется воcставать против организации безналичной оплаты, но гостиница Ялта-Интурист, в попытке избавиться от наличных для расчетов за свои услуги, умудрилась создать реальный геморрой для клиентов.

Итак: на территории отеля возможна оплата только с использованием индивидуальных бесконтактных браслетов, которые выдаются каждому при заселении и служат так же для доступа в номер. Выдавая браслеты, проживающим в одном номере, персонал не сообщает о том, что они привязаны к индивидуальным счетам, а не к общему счету номера. Пополнить браслет можно наличными в платежных киосках, которые разбросаны по территории отеля, наличными и с карты на ресепшен и на сайте отеля через форму пополнения (которая не содержит никаких правил и условий использования и возврата средств), указав номер комнаты.

Читать полностью »

Рубрики: Банковские карты | Вставить свои 5 копеек »»»

Что нужно знать об ApplePay

27.12.2016 от Andrew

Простому человеку, решившему пользоваться ApplePay кроме рекламного лозунга Apple “Безопасная оплата в магазинах, приложениях и на веб-сайтах“, нужно знать несколько моментов, которые позволят более осознанно подойти к использованию этого способа оплаты и сделать его не только удобным, но и более-менее безопасным:

  • оплата с iPhone подтверждается отпечатком пальца. Кроме экстремальных ситуаций с отрезанием пальца, покупку в Интернете/в приложении можно совершить с использованием пальца спящего или пьяного владельца (прецеденты уже есть). Можно сделать и копию отпечатка без особых финансовых вложений – смотрите видео и пользоваться чужим телефоном для оплаты, как своим собственным.
  • В случае, если с трёх раз ApplePay не распознал отпечаток, он предложит подтвердить операцию вводом пароля от телефона, поэтому используя ApplePay имеет смысл перейти с 4хзначного, на длинный пароль на iPhone, иначе злоумышленник, подглядевший пароль от телефона, без проблем совершит с его помощью платежи.
  • AppleWatch, надетые на руку, по умолчанию разблокируются одновременно с разблокировкой телефона, если он находится в зоне досягаемости Bluetooth (а это может быть и пара стен). То есть оставив энергопрожорливые часы в очередной раз на зарядке и выпустив их из виду, вы рискуете, что злоумышленник наденет их на руку и дождавшись, чтоб вы разблокировали свой iPhone по любой надобности, пойдёт с ними совершать транзакции, тем более что зачастую терминал не требует от ApplePay ввода PIN оригинальной карты даже на суммы выше бесконтактного лимита в 1000 рублей. Эту разблокировку по умолчанию имеет смысл отключить.
  • Разблокированные AppleWatch можно легко перенести на другую руку, не допустив их блокировки, и использовать для оплаты, как свои собственные. Конечно, если владелец часов сопротивляется, достаточно быстро перенести часы не получится, но если владелец спит, пьян или ему дали по голове – особой сноровки для переноса часов не требуется  и это гораздо проще, чем заставить человека сказать ПИН от карты.

“Думайте сами, решайте сами” (с)

Рубрики: Банковские карты | 1 уже не сдержался »»»

Шаблон SMS-пароля

04.12.2016 от Andrew

Уважаемые банкиры, наверное, не всем заметно, что мошенничество, основанное на социоинженерии процветает. В моем семейном окружении произошел уже второй случай, когда мошенники забалтывают человека по телефону и заставляют сначала сообщить реквизиты карты, а потом диктовать SMS-пароли, с помощью которых выводят с карты все средства (в обоих случаях, что характерно, деньги уходили транзитом через Тинькофф :(, мне кажется им пора уже всерьез озаботиться этим вопросом). Сценарии, по которым действуют мошенники разные, и, поверьте, они находят возможность загрузить вполне адекватных людей, которые в силу возраста, образования, не в курсе технологических нюансов карточных технологий и на голубом глазу выдают все, что требуется мошенникам. Многие банки, пребывают в уверенности, что написав в конце сообщения “Ne soobschajte kod nikomu, dazhe sotrudniku Banka!”, они защитили клиента, но ведь этот текст если и размещают, то в конце сообщения, до которого не каждый клиент дочитает, а тем более пенсионер, у которого чаще всего не смартфон с огромным экраном, а кнопочный телефон, на котором текст сообщения полностью не помещается и его надо листать, а мошенник на другой стороне телефонного звонк давит на него “диктуйте цифирьки быстрее”. Подумал, что правильный текст SMS сообщения должен начинаться именно с предупреждения о том, что код никому сообщать нельзя и обязательно должен содержать в человеколюбивом виде параметры операции, с акцентом на том, что операция расходная (мошенники упирают на то, что это они переводят жертве деньги и код им нужен для подтверждения зачисления денег жертве). Ниже собрал небольшую коллекцию SMS-сообщений от разных банков (некоторые даже в конце уведомление не добавляют, во всех совершенно не понятно в какую сторону идет операция, есть и такие, которые вообще параметрами операции не озадачены):

Читать полностью »

Рубрики: Банковские карты | 1 уже не сдержался »»»

« Раньше Позже »