Поиск

СБП в ритейле

02.02.2021 от Andrew

Банки обязали внедрять платежи через СБП и они натягивают сову на глобус, то есть платёж через QR-код, отображаемый на пин-паде обычного терминала. Встретив такой терминал в продуктовом магазине я решил попробовать оплатить, получив интереснейший опыт, с которым всем стоит ознакомиться ДО того, как попробуете сами совершить платёж.

Если кратко, то у меня успешно получилось отправить деньги, но продавец об этом факте не узнал :). Сама процедура выглядела следующим образом:

  1. На терминале в режиме ожидания карты появился пункт “оплатить по QR”. Его нажатие приводит у сбросу предложения приложить или вставить карту и терминал на несколько секунд уходит в коммуникации с кассой, после чего отображает QR
  2. Логинюсь в банковское приложение и ищу там оплату по QR, выбираю счёт, подтверждаю. Даже с подтверждением всех операций биометрией эти подготовительные процедуры занимают порядка минуты на глазах у очереди.
  3. Приложение банка сообщает, что оплата прошла успешно.
  4. Терминал сбрасывает QR что-то пишет про коммуникации с кассой и приходит в обычное состояние – я думаю, что все хорошо и забираю покупки
  5. Кассирша, разводя руками, останавливает меня и предъявляет кассовый чек с подписью “операция не выполнена”
  6. Оплачиваю картой (другого банка) и ухожу в надежде, что СБП-платёж отвалится по тайм-ауту или реверсалу или что там у них пошло не так.

Читать полностью »

Рубрики: Банковская розница | Вставить свои 5 копеек »»»

54ФЗ и банки

03.07.2017 от Andrew

Столько было шума по поводу поправок в 54-ФЗ, регламентирующих так называемую “электронную фискализацию” и подготовки к их реализации, а попытался вникнуть и оказалось “Безобразие! Война у порога, а мы не готовы!” (с). Причем не готовы не только банки, потому что прохлопали ушами и не обратили внимание на эту тему, но и сам закон написан очень криво с множеством противоречий.  Фиг с ним, что не понятно на кого закон уже распространяется, а на кого еще нет: там куча исключений в разных пунктах и отдельно опубликованные решением Правительства списки товарных позиций и услуг – лично мне продраться через все исключения и оговорки, перечисленные в статье 2, не удалось.

Особенно привлекло мое внимание вот это письмо Минфина, которое трактует нормы 54ФЗ таким образом, что под него попадают все банковские платежи, после чего я стал внимательно читать закон и набрел на двусмысленности и неопределенности, которые серьезно влияют на банковский бизнес не только в части эквайринга, но и традиционных платежей и переводов. Читать полностью »

Рубрики: Банковская розница, Банковские карты | 3 комментария »»»

Двухфакторная аутентификация в мобильных приложениях

21.01.2017 от Andrew

Двухфакторная аутентификация пользователя и его операций в банковских приложениях подразумевает, что кроме пары логин-пароль используется второй идентифицирующий признак клиента, который, для повышения безопасности должен быть не связан с первым идентификатором. Изначально банковские приложения были ориентированы на компьютеры (Интернет-банк) и в качестве средств вторичной аутентификации использовались следующие методы:

  • таблица с одноразовыми кодиками;
  • кодовое слово из которого для каждой сессии выбиралось определенная буква;
  • разовые пароли, отсылаемые на e-mail, но чаще в виде SMS;
  • генераторы разовых паролей типа VASCO Digipass, которые в России не получили распространения;
  • технология DPA/CAP, основанная на генерации криптограммы с помощью чиповой карты и специального ридера

Последняя технология наиболее продвинута и защищенна от мошенничества, более того она позволяет любую операцию в ДБО представить как операцию, совершенную с использованием банковской карты, однако, у нее есть и недостатки, связанные с необходимость выдать каждому пользователю ридер стоимостью порядка 10 баксов (либо карту, с встроенным дисплеем и клавиатурой), который клиент должен иметь с собой для совершения операций, поэтому единицы российских банков поддерживают эту технологию. В силу простоты, удобства, общедоступности и дешевизны (правда в прошлом) SMS-сообщений, этот способ аутентификации пользователей систем ДБО стал доминировать на российском рынке. При использовании его для доступа в Интернет-банк он был достаточно безопасен, т.к. для совершения операции необходимо было получить не только идентификационные данные клиента, но и доступ к его мобильному телефону. Однако, с появлением смартфонов, с большими экранами и полнофункциональными банковскими приложениями, все больше дистанционный банкинг смещается на мобильные телефоны, а технологии аутентификации клиентов остаются прежними. Более того, в связи с подорожанием SMS-сообщений многие банки стали заменять SMS-сообщения на Push. И двухфакторная аутентификация стала по-сути однофакторной: получив доступ к смартфону клиента (где чаще всего идентификационные данные для входа в мобильный банк запоминаются приложением), мошенник на него же и получает разовый пароль. Клиент оказывается фактически не защищен технологически, да еще и договор банковского обслуживания предусматривает, что ввод разового пароля однозначно перекладывает ответственность за нее на клиента. Даже Тинькофф многие годы получающий титул “Лучшего мобильного банка”, подтверждает операции в своем мобильном банке через Push и ничего не делает для внедрения по-настоящему двухфакторной аутентификации мобильных пользователей.

Читать полностью »

Рубрики: Банковская розница | 6 комментариев »»»

ТелефонPAY

20.10.2016 от Andrew

По-моему уже все производители смартфонов отметились созданием своих платежных сервисов: ApplePay, AndroidPay, SamsungPay, MiPay, HuaweiPay. Подчеркиваю все это именно СЕРВИСЫ, хотя относительно них и пытаются употреблять термин “платежная система”, но ни один из них не является платежной системой ни в терминах российского 161ФЗ, ни с точки зрения здравого смысла, т.к. все они паразитируют на существующих платежных системах и не имеют собственной межбанковской расчетной инфраструктуры. На российский рынок недавно вышли, практически одновременно, ApplePay и SamsungPay и я попробовал разобраться в их бизнес-моделях и мотивации банков сотрудничать с этими сервисами. Объединяет эти сервисы то, что они работают только на свежем модельном ряду смартфонов, обладающем NFC и технологических приседаний требуют только от эмитентов, взаимодействуя с эквайерами стандартным образом, но есть между ними и существенные различия.

Читать полностью »

Рубрики: Банковская розница, Банковские карты | 9 комментариев »»»

Многофакторая аутентификация в мобильном банке

12.12.2015 от Andrew

Став клиентом еще нескольких банков обратил внимание, что они производят подтверждение операций в приложении мобильного банка путем доставки SMS и даже push-сообщений непосредственно телефон, в котором и запускается это мобильное приложение. Клиентам таких банков стоит много раз подумать стоит ли им использовать такие мобильные банки, а банкирам подумать зачем они бессмысленно тратят деньги на рассылку OTP (one time password) в мобильном банке. По хорошему, банк должен уведомлять клиента о том, что мобильное устройство, с которого он осуществляет операции и на которое получает одноразовые пароли, должны быть разными или придумывать для мобильного банка другой способ аутентификации (таблица кодиков, например или аутентификация по DPA/CAP ридеру) и устанавливать более жесткие лимиты на операции, совершаемые в мобильном банке.

Рубрики: Банковская розница, Банковские карты | 1 уже не сдержался »»»

Безопасность SMS-токенов

24.01.2011 от Andrew

В новостной рассылке на прошлой неделе пришло:

RSA: БАНКОВСКИЕ SMS ТОКЕНЫ УЯЗВИМЫ
Количество атак мобильных телефонов увеличится в этом году из-за того, что преступники пытаются перехватывать SMS токены аутентификации. Такое мнение
высказали представители компании RSA, сообщает xakep.ru.
Токены были созданы для того, чтобы дополнить собой ввод имени пользователя и пароля, требуя от пользователя подтвердить платеж уникальным цифровым кодом, в данном случае высылаемым посредством SMS-сообщения. Услуга становится все более популярной, и Commonwealth Bank of Australia отмечает, что 80 проц их клиентов используют токены для того, чтобы подтвердить платежи третьим лицам с помощью SMS или с помощью более надежных портативных генераторов ключей. Банк не заставляет клиентов использовать данную услугу, но те, кто не захочет пользоваться ей, не смогут производить операции с высокой степенью риска через Интернет-банк.
В прогнозе на 2011 г RSA отметила, что рассылка токенов посредством SMS сделает телефоны мишенью. Использование аутентификации с помощью SMS … как дополнительного средства
обеспечения безопасности, добавляет уязвимое место в мобильный канал, – сообщила компания в докладе.  Преступник может … провести телефонную атаку типа отказа в обслуживании, и мобильный телефон потребителя не будет работать. Сервис перенаправления SMS сообщений также становится привычным объектом для мошенников и дает им возможность перехватить /токен/, высланный банком на мобильный телефон пользователя, и перенаправить его на телефон киберпреступника.
Компания предсказала, что количество смишинг-атак и фишинга на мобильных телефонах, проводимого с помощью SMS, также увеличится в этом году. Количество успешных смишинг-атак больше, чем стандартных фишинг-атак, потому что потребители не ожидают получить спам на мобильный телефон и, скорее всего, поверят, что сообщение – законное.
Также сказано, что не существует эффективных технологий по предотвращению смишинга.

В России SMS-аутентификация это один из самых популярных способов аутентификации клиентов и подтверждения платежей, поэтому меня это сообщение очень заинтересовало и я обсудил его с коллегами, погруженными в предметную область. Резюмируя их мнение: на все смартфоны (за исключением невзломанного iPhone) можно незаметно для пользователя поставить программу, которая может перехватывать, перенаправлять, подменять или имтировать входящие и исходящие SMS-сообщения, но это не возможно на обычном мобильном телефоне.

Таким образом, SMS-аутентификация относительно безопасна на обычных мобильных телефонах, но не безопасна на смартфонах и должна применяться с ограничениями по сумме (чтобы не было экономической целесообразности заморачиваться с подкидыванием троянов на смартфон) и назначениями платежей (например, только платежи по пользовательским шаблонам)

Рубрики: Банковская розница | 9 комментариев »»»

Лучший Интернет-банк

16.12.2009 от Andrew

Скоро, очень скоро экс-владелец “Северной Казны” В.Н.Фролов удивит мир проектом под условным названием “Лучший в мире Интернет-банк”, который реализуется совместно с “НОМОС-Банком” на базе небольшого банка “Уран” (вскорости будет официально переименован). А пока этого не произошло в Екатеринбурге провели исследование функциональности и удобства Интернет-банков, предлагаемых различными банками.

Почему в Екатеринбурге? Да потому, что там публика продвинутая и реально активно пользуется дистанционными услугами, местные банки активно конкурировали между собой и с “федералами” и вырастили клиентов. А последний год, огромная масса клиентов (порядка 80 тыс. пользователей Интернет-банка) ищет замену “Северной Казне”, которую так топорно похоронила “Альфа”. Борьба за этих клиентов заставило местные банки активизироваться в развитии своих систем Интернет-банкинга.
заинтересовало? »»»

Рубрики: Банковская розница, Банковские карты | 14 комментариев »»»

Платеж.ру

21.07.2009 от Andrew

Наткнулся на платежный Интернет-сервис виртуального Океан-банка под названием Платеж.Ру, который называется “интернет-терминал безопасной оплаты услуг банковскими картами VISA и MasterCard”.

Суть сервиса заключается в том, что владельцы карт убогих банков, которые не имеют собственных систем дистанционного банковского обслуживания (мобильный и интернет-банк) могут зарегистрировать свою международную банковскую карту в этом сервисе и оплачивать различные услуги с помощью Океан-Банка. Регистрация осуществляется также как и у МТСа: авторизация некоторой суммы (в пределах 50 рублей), которую надо сообщить для окончания регистрации. Кроме того Океан-банк запрашивает CVV2, но обещает его не хранить и потом запрашивать еще раз для каждой платежной операции. После завершения регистрации моментально был прислан реверсал.
заинтересовало? »»»

Рубрики: Банковские карты | 2 комментария »»»

Персонализация дистанционных банковских сервисов

11.04.2009 от Andrew

Выложил статью, посвященную персонализации дистанционного банковского обслуживания. Статья родилась по мотивам ранних записей и изначально планировалась для публикации в книге “Дистанционное банковское обслуживание”, которую планировал(ует) выпустить ЦИПСиР. Однако, они куда-то пропали, а я за это время успел сделать презентацию по этой теме в рамках форума iFin-2009 и на днях отдал ее для публикаций в журналы. PS Тут можно скачать презентацию доклада на iFin-2009, вообще говоря там же обещали выложить и видеозаписи, но пока нет…

Рубрики: Банковские карты | 4 комментария »»»

Розничный start-up

02.09.2008 от Andrew

В России все еще действует больше тысячи банков и подавляющее большинство из них обслуживает корпоративный бизнес (чаще всего своих акционеров). Однако, время, когда каждое предприятие учреждало собственный банк прошло, сейчас даже крупные ФПГ и холдинги продают свои банковские активы, а те, которые пока не продают, переквалифицируют их в розничные (либо с целью диверсифицировать риски, либо для увеличения стоимости при будущей продажи). Перефразируя известную поговорку нынче “плох тот банк, который не мечтает стать розничным”.

Гуру маркетинга говорят, что главное в бизнесе это найти незанятую нишу, позиционироваться и пол-дела сделано. В банковском бизнесе другая половина дела это IT-обеспечение проекта. Обслуживание массового клиента и развертывание сети продаж накладывает дополнительные требования на системы автоматизации и действующие банковские системы далеко не всегда им удовлетворяют. Это заставляет банки вкладываться в модернизацию IT-инфраструктуры, а это долгие и дорогие проекты.

В Казахстане у розничных банков модно покупать крутые “западные” АБС, которые заточены на обслуживание розницы (T24, Equation, FlexCube и т.п.) и доказали, что способны успешно перемалывать миллионы клиентов. Это длительные проекты стоимостью в десятки миллионов долларов – в  2005 году сразу несколько банков РК купили T24, но к концу 2008 года во всех этих банках запущены лишь отдельные малозначительные модули и до завершения проектов еще очень далеко.

В России у банков принято рачительнее относится к деньгам (а может пример Уралсиба который год внедряющего пилотный проект на базе Finacle пошел на пользу) и повальная мода на иностранные АБС пока до нас не дошла – банки выкручиваются по-своему. заинтересовало? »»»

Рубрики: Банковская розница | 2 комментария »»»

« Раньше