Поиск

Безопасные покупки

17.03.2020 от Andrew

Банки продолжают конкурировать друг с другом увеличивая кэшбэк и растягивая грейс-периоды (УБРиР уже 240 дней без процентов анонсировал). Клиенты считают кэшбэки и мечутся между банками, отдельная категория изобретает схемы как одни и те же деньги прокрутить через несколько банков, везде получив кэшбэк. Я считаю эту ценовую конкуренцию деструктивной, потому что она идет на ограниченном поле только тех клиентов, кто уже привык платить картой, а не снимать наличные и принципиально не меняет их сложившееся потребительское поведение (тот кто оплачивает картой, оплатит ей и при нулевом грейс-периоде и при годовом). БОльшая часть платежей все еще совершается наличными и есть категория клиентов, которая принципиально снимает деньги в банкомате и платит кэшем не смотря на все заманухи.

Тем не менее у платежа по карте есть важное преимущество перед платежом наличными (или безналичной платежкой, продвигаемой ныне СБП) – это дополнительная гарантия предоставления услуги\доставки товара, гарантируемая процедурой опротестования через платежную систему. Я даже специально гуглил эту тему и нигде на сайтах банков не нашел информации о том, что у клиента есть такая возможность, не говоря уж о ее продвижении как конкурентного преимущества. Все что можно найти в Сети, так это вот таких мошенников, которые берут с клиентов деньги за помощь в оформлении претензий. Банки совсем никакой просветительской деятельности по этому поводу не ведут, а их службы клиентской поддержки нацелены на то, чтобы сообщить рядовому клиенту, что он должен идти в милицию писать заявление, в то время как мерчента может уже и не существовать, или он находится в тридевятом царстве и другой юрисдикции.

За почти 20 лет активного использования карточек мне наконец-то пришлось воспользоваться процедурой опротестования и я получил 18 000 рублей назад, а дело было так:

Читать полностью »

Рубрики: Банковские карты | Вставить свои 5 копеек »»»

СБП и правовое поле

02.07.2019 от Andrew

На днях на утренней пробежке пришла в голову идея, как изменить логику работу СБП и полечить все имеющиеся у этого, безусловно полезного сервиса, правовые проблемы, а именно:

– нарушение тайны счета;

– разглашение персоданных;

– инструментарий «пробивки» банков для мошенников;

– инструментарий для компрометации людей путём дачи ложной взятки и т.п. (написав, например в назначении платежа «за сексуальные услуги» и приняв такой платёж ты оказываешься должен:)

Сценарий должен быть таким:

1) отправитель вводит телефон и сумму, вводит назначение платежа и выбирает банк по-умолчанию или конкретный банк и подтверждает операцию. Вешается холд.

2) банк отправителя запрашивает НСПК и отправляет деньги либо в банк по-умолчанию или в выбранный банк, если он ассоциирован с данным номером

3) если номер не ассоциирован с данным банком холд снимается с удержанием с отправителя комиссии за неудачный перевод (она может быть прогрессивной, либо холд может сниматься с задержкой в сутки, в зависимости от интенсивности мошеннических атак)

4) получивший деньги клиент должен иметь (обязательно!) назначение платежа, полное ФИО и телефон отправителя для однозначной идентификации кто и с какими целями перевёл ему денег. У него должна быть возможность бесплатно(!) отказаться от перевода, вернув его отправителю, с которого удерживается комиссия за возврат.

Читать полностью »

Рубрики: Банковская розница, Банковские карты | Вставить свои 5 копеек »»»

Двухфакторная аутентификация в мобильных приложениях

21.01.2017 от Andrew

Двухфакторная аутентификация пользователя и его операций в банковских приложениях подразумевает, что кроме пары логин-пароль используется второй идентифицирующий признак клиента, который, для повышения безопасности должен быть не связан с первым идентификатором. Изначально банковские приложения были ориентированы на компьютеры (Интернет-банк) и в качестве средств вторичной аутентификации использовались следующие методы:

  • таблица с одноразовыми кодиками;
  • кодовое слово из которого для каждой сессии выбиралось определенная буква;
  • разовые пароли, отсылаемые на e-mail, но чаще в виде SMS;
  • генераторы разовых паролей типа VASCO Digipass, которые в России не получили распространения;
  • технология DPA/CAP, основанная на генерации криптограммы с помощью чиповой карты и специального ридера

Последняя технология наиболее продвинута и защищенна от мошенничества, более того она позволяет любую операцию в ДБО представить как операцию, совершенную с использованием банковской карты, однако, у нее есть и недостатки, связанные с необходимость выдать каждому пользователю ридер стоимостью порядка 10 баксов (либо карту, с встроенным дисплеем и клавиатурой), который клиент должен иметь с собой для совершения операций, поэтому единицы российских банков поддерживают эту технологию. В силу простоты, удобства, общедоступности и дешевизны (правда в прошлом) SMS-сообщений, этот способ аутентификации пользователей систем ДБО стал доминировать на российском рынке. При использовании его для доступа в Интернет-банк он был достаточно безопасен, т.к. для совершения операции необходимо было получить не только идентификационные данные клиента, но и доступ к его мобильному телефону. Однако, с появлением смартфонов, с большими экранами и полнофункциональными банковскими приложениями, все больше дистанционный банкинг смещается на мобильные телефоны, а технологии аутентификации клиентов остаются прежними. Более того, в связи с подорожанием SMS-сообщений многие банки стали заменять SMS-сообщения на Push. И двухфакторная аутентификация стала по-сути однофакторной: получив доступ к смартфону клиента (где чаще всего идентификационные данные для входа в мобильный банк запоминаются приложением), мошенник на него же и получает разовый пароль. Клиент оказывается фактически не защищен технологически, да еще и договор банковского обслуживания предусматривает, что ввод разового пароля однозначно перекладывает ответственность за нее на клиента. Даже Тинькофф многие годы получающий титул “Лучшего мобильного банка”, подтверждает операции в своем мобильном банке через Push и ничего не делает для внедрения по-настоящему двухфакторной аутентификации мобильных пользователей.

Читать полностью »

Рубрики: Банковская розница | 6 комментариев »»»

Шаблон SMS-пароля

04.12.2016 от Andrew

Уважаемые банкиры, наверное, не всем заметно, что мошенничество, основанное на социоинженерии процветает. В моем семейном окружении произошел уже второй случай, когда мошенники забалтывают человека по телефону и заставляют сначала сообщить реквизиты карты, а потом диктовать SMS-пароли, с помощью которых выводят с карты все средства (в обоих случаях, что характерно, деньги уходили транзитом через Тинькофф :(, мне кажется им пора уже всерьез озаботиться этим вопросом). Сценарии, по которым действуют мошенники разные, и, поверьте, они находят возможность загрузить вполне адекватных людей, которые в силу возраста, образования, не в курсе технологических нюансов карточных технологий и на голубом глазу выдают все, что требуется мошенникам. Многие банки, пребывают в уверенности, что написав в конце сообщения “Ne soobschajte kod nikomu, dazhe sotrudniku Banka!”, они защитили клиента, но ведь этот текст если и размещают, то в конце сообщения, до которого не каждый клиент дочитает, а тем более пенсионер, у которого чаще всего не смартфон с огромным экраном, а кнопочный телефон, на котором текст сообщения полностью не помещается и его надо листать, а мошенник на другой стороне телефонного звонк давит на него “диктуйте цифирьки быстрее”. Подумал, что правильный текст SMS сообщения должен начинаться именно с предупреждения о том, что код никому сообщать нельзя и обязательно должен содержать в человеколюбивом виде параметры операции, с акцентом на том, что операция расходная (мошенники упирают на то, что это они переводят жертве деньги и код им нужен для подтверждения зачисления денег жертве). Ниже собрал небольшую коллекцию SMS-сообщений от разных банков (некоторые даже в конце уведомление не добавляют, во всех совершенно не понятно в какую сторону идет операция, есть и такие, которые вообще параметрами операции не озадачены):

Читать полностью »

Рубрики: Банковские карты | 1 уже не сдержался »»»

Банки и мессенджеры

07.09.2016 от Andrew

Наверное, уже пора высказаться по поводу захлестнувшей банковский рынок мессенджеромании. Похвально быть ближе к клиенту и предоставлять ему сервисы через все каналы, которые клиенту потенциально удобно использовать. Мессенджеры плотно оккупировали повседневную жизнь большинства пользователей мобильных платформ и появление банков там с информационными сервисами выглядит вполне логичным:

  • в связи с возросшим покрытием мобильным интернетом и снижением тарифов на него, мессенджер может быть альтернативой SMS-транспорту для оповещения клиентов об операциях
  • боты в мессенджерах могут предоставлять разнообразную не персонифицированную информацию о продуктах банка (тарифы и условия, адреса и график работы офисов и отделений), принимать заявки на продукты и услуги
  • кроме этого банки и финтех компании все чаще используют мессенджеры для предоставления персонифицированной информации о клиентских счетах и остатках, аутентифицируя клиента. Умные при этом аутентифицируют клиента, перебрасывая его на свой сайт и возвращая назад в мессенджер

Но некоторым этого мало и они пытаются с помощью ботов в мессенджерах предоставлять финансовые услуги, в частности переводы с карты на карту (украинский бот Коля, NaKa бот от МИнБ, …), но совсем некоторым и этого мало – на конференции FinTechLab2016 был презентован проект первого бот-банка TalkBank, который по аналогии с Рокет/Инстабанками выпускает клиентам карты реального банка (в данном случае Транскапиталбанка), но вместо мобильных интерфейсов все операции проводит в мессенджерах (заявку я им тогда оставил, но так пока со мной и не связались – видимо не заработало). Хорошо ли это? На той же конференции я задал вопрос про независимый или промышленный (по типу PCI DSS) аудит безопасности мессенджеров руководителю Digital Security Медведовскому и зам.нач.управления безопасности ЦБ Сычеву и они в один голос сказали, что любой мессенджер надо воспринимать как абсолютно не доверенную среду. Однако, далеко не все инноваторы в погоне за модным трендом и коротким рублем задумываются над этими вопросами. Считается, что раз Дуров сказал, что его Телеграм самый защищенный и раз никто публично не объявил о его взломе, то это истинно так. Ок, пока не взломали, а завтра взломают и что? Пока в мессенджерах не было денег, действительно серьезным хакерам его ломать было интересно только из спортивного интереса… А кто гарантирует от внутренней утечки, когда какой-нибудь оператор или администратор мессенджера использует или подменит транзакционные данные? Почему бы по е-мейлу не отправлять слипы для P2P переводов или с почтовыми голубями (их тоже никто много столетий не перехватывал)?

Самый незащищенный в этой ситуации клиент, потому что когда с его карты сопрут деньги (сделают перевод не тому получателю, или на другую сумму, или просто сольют все использованные в сервисе карты кардерам), куда он пойдет? Мессенджер ткнет в свою оферту, в которой указано, что позволяет текстовыми сообщениями и картинками обмениваться и совсем не предполагал, что кто-то через него деньги передавать будет. Банк-эмитент скажет – ну ты сам разгласил все данные своей карты, еще бы на заборе их развесил. Банк-эквайер скажет, что весь фрод был в мессенджере, за который он не отвечает, а он все выполнил согласно оферте, с которой клиент согласился совершая операцию…

PS а чуть меньше года назад я встречался с одними стартаперами, которые собираются в партнерстве с одним из мессенджером его в средство платежа превратить. То есть клиент совершает покупки, ему приходит уведомление в мессенджер, где он подтверждает операцию списания со своего банковского счета. Подтвержает SMS-паролем, естественно! The END

Рубрики: Банковская розница, Банковские карты | Вставить свои 5 копеек »»»

Бесконтактный фрод

13.02.2016 от Andrew

На минувшей неделе в сначала в соцсетях, а потом и в прессе, активно дебатировалась тема списания с бесконтактных карт посредством мобильных POS-терминалов. Публиковалась даже фотография подозрительного парня с POS-терминалом в вагоне метро, который вполне мог быть курьером. Мнения банкиров полярно разделились: одни смеются, другие проводят на рабочем месте эксперимент с кошельком в дамской сумке. Погрузился в тематику и попытаюсь обобщить:
Читать полностью »

Рубрики: Банковские карты | 3 комментария »»»

Циничный финтех

22.12.2015 от Andrew

Друг написал в FB, что ему удалось в реальной жизни использовать на пиво, когда-то полученные, 500 проморублей с помощью платежного приложения PayQR. Сейчас в России (и не только) множество стартапов предлагают без всяких новомодных ApplePay зарегистрировать в их приложении карту и использовать её реквизиты, оплачивая покупки в смартфоне. Идея очень интересная, хотя и не бесспорна с точки зрения безопасности и во многих  случаях удобства/простоты совершения операции, по сравнению с использованием самой карты. Друг сказал, что в приложении карта привязывается путём авторизации на случайную сумму и потом покупка проходит уже просто через ввод пароля в приложение – никаких CVV2 и новомодных 3DSecure! Мне стало интересно, как они предполагают разбираться с массовым фордом, который в этом случае неизбежен при масштабном использовании сервиса и я решил скачать приложение и посмотреть оферту, ссылок на которую на самом сайте не найти.

Надо сказать, что заметить оферту в приложении без специальной подготовки очень не просто, но меня на мякине не проведёшь и я погрузился в увлекательное с первых же пунктов чтиво, осилить которое в силу объёма сможет не каждый:). Признаюсь, что дочитав до пункта 5.1.3, в котором я заверяю компанию ФИТ, что не страдаю заболеваниями, которые мешают мне правильно понять всю суть  соглашения, с которым соглашаюсь путём регистрации, я регистрироваться передумал и приложение PayQR удалил, но записи, демонстрирующие безграничный юридический цинизм компании, ФИТ сделал:
Читать полностью »

Рубрики: Банковские карты | 1 уже не сдержался »»»

Процессинг на замке

10.06.2015 от Andrew

Изобретатель из Волгограда прислал предложение реализовать его изобретение защищенное патентом 2555233, позволяющее резко сократить фрод в результате компрометации карт. Суть “инновации” заключается в том что по умолчанию карта находится в неактивном состоянии и для того чтобы временно активировать ее клиент должен послать в банк SMS с заранее зарегистрированного номера и потом использует карту, которая через короткое время возвращается в неактивное состояние.

Критиковать идею можно бесконечно, но у меня сразу же родилась мысль как усовершенствовать и удешевить процесс активации карты для картхолдера избавив от необходимости помнить SMS-команды для множества своих карт и всегда носить с собой исправный телефон. Надо настроить ПЦ так чтобы он авторизовывал по умолчанию суммы не более чем 1 единица валюты страны пребывания и каждому клиенту сообщать число от 1 до 99 которое он должен использовать для “разрешающей” покупки. Клиент в торговой точке просит сначало провести списание этой суммы, а потом отменить покупку, а процессинг анализирует и если сумма отмененной транзакции соответствует присвоенному данному клиенту числу разрешает следующую покупку из той же самой точки. Уровень безопасности даже повышается, так как клиент подтверждает еще и конкретную точку совершения транзакции.

Патентопригодно? ;)

Рубрики: Банковские карты | 2 комментария »»»

Операторы сотовой связи и мошенники

26.01.2015 от Andrew

Билайн еще больше упростил жизнь мошенникам, предоставив им возможность снимать деньги непосредственно с лицевых счетов в банкоматах. Неужели кому-то еще может быть необходимо сначала небесплатно пополнить счет у оператора, а потом снимать с него деньги под 5,95%?! Операторы все больше и больше вторгаются на банковскую поляну, при этом они не поднадзорны ЦБ, их совсем не волнует объем мошенничества, совершаемого с использованием их сервисов.

Напоминаю типовую схему мошенничества:
Шаг 1. Методами социальной инженерии или простым воровством у клиента крадутся данные карты и с нее делается перевод либо в пополнение лицевого счета у оператора (зачастую через прокладку типа электронного кошелька Тинькова, чтобы усложнить розыск)
Шаг 2. Внутри сотового оператора деньги разбиваются на подлимитные суммы и разбегаются по множеству лицевых счетов, откуда обналичиваются. Обналичка через банкомат облегчает процесс и позволяет еще больше защитить обнальщика, который в банкомате не оставляет уже никаких следов :(

Не буду наговаривать конкретно на Билайн, но на личном опыте знаю, что в МТС нет никакого фрод-контроля и по факту обращения к ним служб безопасности банка с просьбой блокирнуть счет и заморозить деньги они сообщают, что счет конечно блокирнут, но денег на нем уже нет – они разошлись дальше, а вообще за сегодняшний день на этот счет-транзитник это уже далеко не первое пришедшее пополнение.

Рубрики: Банковская розница, Банковские карты | Вставить свои 5 копеек »»»

Без лоха…

27.06.2014 от Andrew

Людской глупости и доверчивости, а также изобретательности и наглости мошенников можно только поражаться.

Один наивный человек решил продать старую мебелишку через Интернет и опубликовал объявление и фотографию. Не прошло и часа как позвонил мужчина, который пожелал не глядя купить эту особо редкую мебель, а чтобы мебель не ушла он предложил незамедлительно ее оплатить переводом на карту и попросил зачитать ему реквизиты карты, включая CVV2! У человека, который картой пользуется в банкомате, и крайне иногда в магазине, требование назвать CVV2 не вызвало никаких сомнений. Да что там говорить – предложение оплатить старый товар не глядя и без гарантии встречи с продавцом тоже не вызвало никаких подозрений!!! ( Мошенники очень хорошие психологи, видать нашел нужные слова и струнки души, все торопил. Причем сначала была зачитана пенсионная карта Сбера без CVV2, которая “не подошла” и спросили нет ли другой карты. А далее “клиент” (вернее уже “терпила” несколько раз диктовал мошеннику SMS-пароли, приходящие на мобильный телефон (в которых между прочим была описана операция оплаты и даже где она производится), ведь они очень нужны покупателю, чтобы совершить перевод, а у него что-то там не получается. Подозрения возникли далеко не с первого раза, прежде чем жертва обмана догадалась позвонить мне. Результатом стало следующее:

  • неудачная авторизация на 40 000 рублей – недостаточно средств
  • успешная операция на 20 000 рублей – перевод средств на кошелек ТКС-Банка
  • еще пара неуспешных операций по причине неверного пароля.

Используя личные связи и отношения удалось проследить, что в ТКСе деньги не задержались и с карты сразу ушли в пополнение лицевого счета МТС. В МТС они тоже не залежались и двумя платежами по 10 000 в соответствии с пролоббированным законом об НПС, который легализовали кошельки и платежи со счетов операторов, пошли дальше. Причем сотрудник МТС поделился с СБ банка, что это далеко не первая операция по данному номеру за сегодня, что говорит о том, что операторы совсем никак не анализируют транзакции и не борются с фродом и обналом…

Всем читателям советую иметь в виду новую схему фишинга и провести беседы со своими близкими, далекими от карточной темы. Хотя сколько не предупреждай, но защиты от изобретательного дурака еще не придумано…

Ну и обязательно установите лимиты на типы операций всем своим близким. В данном случае я позаботился только о своих картах… :(

Рубрики: Банковские карты | 5 комментариев »»»

« Раньше