Chirkov.net: блог

Получил и обработал статистику одного крупного банка с очень широким набором услуг в Интернет-банке о частоте использования тех или иных услуг.

Чаще всего клиенты получают выписки (60% всех операций), совершают платежи (35%) и переводы (2% — между своими счетами и на счета других клиентов внутри банка). По 1% операций приходится на переводы на чужую карту (P2P) и изменение лимитов по картам. Все остальное уже исчезающе мало…

Собственно клиентов за 3 месяца выборки в ДБО (Интернет и мобильный банкинг) заходило чуть больше 62 000, а в среднем клиент заходит 5 раз в месяц.

Случайно обнаружил, что существенная часть моих магнитогорских знакомых обзавелась картами «Связного» и не только обзавелись, но и активно пользуются переводя туда часть своих средств. Проведя среди них опрос пришел к выводу, что основными стимулами получения этой карты для всех поголовно стали:

1. Повышенная процентная ставка на остаток по счету (10% на ежедневный остаток свыше 10 000 рублей)
2. Бесплатное снятие наличных в любом банкомате (от 1 000 рублей за раз, без ограничения количества операций)

Все остальные плюсы типа бонусных баллов, бесплатного пополнения, кредитного лимита, бесплатного перевода между картами Связного уже были сугубо индивидуальны. Основными драйверами, которые заставляют брать эту карту и регулярно совершать некоторые телодвижения для перевода на нее денег, у всех совершенно одинаковы. Кроме плюсов, коллеги, привыкшие к богатству сервисов наших клиентов, отмечали и множество минусов в Интернет- и мобильном банкинге (отсутствие управления лимитами, невозможность выпустить виртуальную карту, частичная выписка и многое другое), но люди мирятся с этими неудобствами, настолько для них важны эти две причины. По-большому счету ведь ничего гениального — просто комбинация двух простых и очевидных вещей:

• дайте людям повышенный процент на текущий остаток и вы получите большую оседаемость средств. Многие клиенты боятся ложить деньги в банк на долго, так как не уверены в завтрашнем дне, а такой плавающий и ни к чему клиента не обязывающий остаток в реальности может лежать очень долго. Правда на мой взгляд не правильно платить процет именно на остаток по карт, т.к. технологически карточный счет опасен и его глупо использовать для накоплений. Писал тут и тут.
• в стране, заваленной банкоматами разных банков, глупо строить и содержать собственную банкоматную сеть — проще воспользоваться имеющимися и вместо затрат на банкоматы взять на себя затраты на банкоматный интерчендж. Еще до своего банкротства «Северная Казна» предлагала продукт «Большие города», который предлагал бесплатное снятие в любом банкомате ограниченное количество раз в течение месяца. «Связной» пошел дальше и вообще не стал ограничивать снятие (IMHO зря, т.к. 3-5 раз в месяц любому нормальному клиенту за глаза достаточно, а если задаться целью можно устроить флешмоб из множественных снятий по 1 000 рублей и просадить банк).

Эта комбинация помноженная на сеть дистрибуции Связного дала уже миллион карт и судя по всему они большей частью «работающие». Поработает «Связной» еще над сервисами и получится совсем конфетка!

В новостной рассылке на прошлой неделе пришло:

RSA: БАНКОВСКИЕ SMS ТОКЕНЫ УЯЗВИМЫ
Количество атак мобильных телефонов увеличится в этом году из-за того, что преступники пытаются перехватывать SMS токены аутентификации. Такое мнение
высказали представители компании RSA, сообщает xakep.ru.
Токены были созданы для того, чтобы дополнить собой ввод имени пользователя и пароля, требуя от пользователя подтвердить платеж уникальным цифровым кодом, в данном случае высылаемым посредством SMS-сообщения. Услуга становится все более популярной, и Commonwealth Bank of Australia отмечает, что 80 проц их клиентов используют токены для того, чтобы подтвердить платежи третьим лицам с помощью SMS или с помощью более надежных портативных генераторов ключей. Банк не заставляет клиентов использовать данную услугу, но те, кто не захочет пользоваться ей, не смогут производить операции с высокой степенью риска через Интернет-банк.
В прогнозе на 2011 г RSA отметила, что рассылка токенов посредством SMS сделает телефоны мишенью. Использование аутентификации с помощью SMS … как дополнительного средства
обеспечения безопасности, добавляет уязвимое место в мобильный канал, — сообщила компания в докладе.  Преступник может … провести телефонную атаку типа отказа в обслуживании, и мобильный телефон потребителя не будет работать. Сервис перенаправления SMS сообщений также становится привычным объектом для мошенников и дает им возможность перехватить /токен/, высланный банком на мобильный телефон пользователя, и перенаправить его на телефон киберпреступника.
Компания предсказала, что количество смишинг-атак и фишинга на мобильных телефонах, проводимого с помощью SMS, также увеличится в этом году. Количество успешных смишинг-атак больше, чем стандартных фишинг-атак, потому что потребители не ожидают получить спам на мобильный телефон и, скорее всего, поверят, что сообщение — законное.
Также сказано, что не существует эффективных технологий по предотвращению смишинга.

В России SMS-аутентификация это один из самых популярных способов аутентификации клиентов и подтверждения платежей, поэтому меня это сообщение очень заинтересовало и я обсудил его с коллегами, погруженными в предметную область. Резюмируя их мнение: на все смартфоны (за исключением невзломанного iPhone) можно незаметно для пользователя поставить программу, которая может перехватывать, перенаправлять, подменять или имтировать входящие и исходящие SMS-сообщения, но это не возможно на обычном мобильном телефоне.

Таким образом, SMS-аутентификация относительно безопасна на обычных мобильных телефонах, но не безопасна на смартфонах и должна применяться с ограничениями по сумме (чтобы не было экономической целесообразности заморачиваться с подкидыванием троянов на смартфон) и назначениями платежей (например, только платежи по пользовательским шаблонам)

На прошлой неделе присутствовал на демонстрации оптического DPA/CAP ридера от Gemalto и даже разжился таким устройством. Суть технологии заключается в том, что в приложение интернет-банка встраивается специальный виджет от Gemalto, который представляет из себя мигающую полоску. Это полоска на конкретном экране масштабируется под размеры считывающих датчиков ридера и миганием передает параметры подписываемой операции: номер счета, сумму и т.п. Ридер, который подносится к экрану считывает это мигание и транслирует параметры операции на экран ридера. Параметры прокручиваются пользователем, правда в неудобоваримом виде DATA1=NNNNNNNNNNNN, DATA2=MMMM.MM и так далее и подписываются PIN-кодом карты. Ридер на основе загруженных в него параметров транзакции и ключей карты генерит криптограмму, которая проверяется хостом.

Отличие от реализованного DPA/CAP на основе генерируемого хостом челленджа заключается в том, что пользователь вроде бы контролирует параметры подписываемой транзакции и исключается гипотетическая угроза «человек в середине» (мошенник который подменяет реальные параметры операции пользователя). Утверждать, что технология юзабельнее для пользователя я бы не стал, потому что ввести челлендж в ридер совсем не сложно — гораздо сложнее прочитать сгенерированную криптограмму с экрана ридера (для VISA это 10 цифр а для MC аж 12). Считать эту последовательность с экранчика ридера не так уж и просто, гораздо сложнее, чем ввести на клавиатуре устройства челлендж, так что пользования технологией это практически не облегчает, а вот безопасность повышает.

Описание технологии на сайте Gemalto.

Скоро, очень скоро экс-владелец «Северной Казны» В.Н.Фролов удивит мир проектом под условным названием «Лучший в мире Интернет-банк», который реализуется совместно с «НОМОС-Банком» на базе небольшого банка «Уран» (вскорости будет официально переименован). А пока этого не произошло в Екатеринбурге провели исследование функциональности и удобства Интернет-банков, предлагаемых различными банками.

Почему в Екатеринбурге? Да потому, что там публика продвинутая и реально активно пользуется дистанционными услугами, местные банки активно конкурировали между собой и с «федералами» и вырастили клиентов. А последний год, огромная масса клиентов (порядка 80 тыс. пользователей Интернет-банка) ищет замену «Северной Казне», которую так топорно похоронила «Альфа». Борьба за этих клиентов заставило местные банки активизироваться в развитии своих систем Интернет-банкинга.
заинтересовало? »»»

Наткнулся на платежный Интернет-сервис виртуального Океан-банка под названием Платеж.Ру, который называется «интернет-терминал безопасной оплаты услуг банковскими картами VISA и MasterCard».

Суть сервиса заключается в том, что владельцы карт убогих банков, которые не имеют собственных систем дистанционного банковского обслуживания (мобильный и интернет-банк) могут зарегистрировать свою международную банковскую карту в этом сервисе и оплачивать различные услуги с помощью Океан-Банка. Регистрация осуществляется также как и у МТСа: авторизация некоторой суммы (в пределах 50 рублей), которую надо сообщить для окончания регистрации. Кроме того Океан-банк запрашивает CVV2, но обещает его не хранить и потом запрашивать еще раз для каждой платежной операции. После завершения регистрации моментально был прислан реверсал.
заинтересовало? »»»

Выложил статью «SMS- и мобильный банк: возможности и необходимость«, которая изначально писалась для книги «Дистанционное банковское обслуживание», что собирался выпустить в мае ЦИПСиР, но уже вышла в свежем номере украинского журнала Карт-бланш

Сбербанк готовится к запуску новейших банковских технологий:

Другая разработка Сбербанка — создание при помощи мобильного телефона виртуальной банковской карты для разовых оплат и других операций. Виртуальная карта позволяет максимально безопасно делать покупки в интернете. Кроме того, ее можно легко передать на другой мобильный телефон.

Интересно зачем виртуальную карту генерировать с мобильного телефона? Безусловно это техносексуально, но практический смысл? Виртуальная карта предназначена для расчетов в Интернете, значит человек, когда соберется ей воспользоваться будет находится в сети и совершенно логично посредством Интернет виртуальную карту и сгенерировать. Конечно можно отвлечься от компьютера, взять телефон, понажимать на нем клавиши, потратить деньги на SMS или GPRS-траффик и потом перенабить реквизиты карты ручками. А можно зайти на сайт своего банка и сгенерировать виртуальную карту в Интернет-банке, обложив ее всякими лимитами (это давно реализована в TranzWare и используется многими клиентами Compass Plus), а после использования немедленно заблокировать до следующего раза.

заинтересовало? »»»

На РБК вышла интересная статья об объемах рынка дистанционного банковского обслуживания в России, снабженная большим количеством цитат Председателя совета директоров банка «Северная Казна» г-на Фролова . Северная Казна является одним из пионеров e-banking в России и успешно продает услуги интернет-банкинга (собственной разработки) во всех регионах своего присутствия.
Далее нарезка интересных цифр и фактов из статьи:
заинтересовало? »»»

Выложил две свои статьи по банковской тематике:

• Выбор программного обеспечения для построения процессингового центра — уже была опубликована
• Банковское самообслуживание для розничных клиентов — еще не опубликована