Поиск

СБП и правовое поле

02.07.2019 от Andrew

На днях на утренней пробежке пришла в голову идея, как изменить логику работу СБП и полечить все имеющиеся у этого, безусловно полезного сервиса, правовые проблемы, а именно:

– нарушение тайны счета;

– разглашение персоданных;

– инструментарий «пробивки» банков для мошенников;

– инструментарий для компрометации людей путём дачи ложной взятки и т.п. (написав, например в назначении платежа «за сексуальные услуги» и приняв такой платёж ты оказываешься должен:)

Сценарий должен быть таким:

1) отправитель вводит телефон и сумму, вводит назначение платежа и выбирает банк по-умолчанию или конкретный банк и подтверждает операцию. Вешается холд.

2) банк отправителя запрашивает НСПК и отправляет деньги либо в банк по-умолчанию или в выбранный банк, если он ассоциирован с данным номером

3) если номер не ассоциирован с данным банком холд снимается с удержанием с отправителя комиссии за неудачный перевод (она может быть прогрессивной, либо холд может сниматься с задержкой в сутки, в зависимости от интенсивности мошеннических атак)

4) получивший деньги клиент должен иметь (обязательно!) назначение платежа, полное ФИО и телефон отправителя для однозначной идентификации кто и с какими целями перевёл ему денег. У него должна быть возможность бесплатно(!) отказаться от перевода, вернув его отправителю, с которого удерживается комиссия за возврат.

Читать полностью »

Рубрики: Банковская розница, Банковские карты | Вставить свои 5 копеек »»»

54ФЗ и банки

03.07.2017 от Andrew

Столько было шума по поводу поправок в 54-ФЗ, регламентирующих так называемую “электронную фискализацию” и подготовки к их реализации, а попытался вникнуть и оказалось “Безобразие! Война у порога, а мы не готовы!” (с). Причем не готовы не только банки, потому что прохлопали ушами и не обратили внимание на эту тему, но и сам закон написан очень криво с множеством противоречий.  Фиг с ним, что не понятно на кого закон уже распространяется, а на кого еще нет: там куча исключений в разных пунктах и отдельно опубликованные решением Правительства списки товарных позиций и услуг – лично мне продраться через все исключения и оговорки, перечисленные в статье 2, не удалось.

Особенно привлекло мое внимание вот это письмо Минфина, которое трактует нормы 54ФЗ таким образом, что под него попадают все банковские платежи, после чего я стал внимательно читать закон и набрел на двусмысленности и неопределенности, которые серьезно влияют на банковский бизнес не только в части эквайринга, но и традиционных платежей и переводов. Читать полностью »

Рубрики: Банковская розница, Банковские карты | 3 комментария »»»

Двухфакторная аутентификация в мобильных приложениях

21.01.2017 от Andrew

Двухфакторная аутентификация пользователя и его операций в банковских приложениях подразумевает, что кроме пары логин-пароль используется второй идентифицирующий признак клиента, который, для повышения безопасности должен быть не связан с первым идентификатором. Изначально банковские приложения были ориентированы на компьютеры (Интернет-банк) и в качестве средств вторичной аутентификации использовались следующие методы:

  • таблица с одноразовыми кодиками;
  • кодовое слово из которого для каждой сессии выбиралось определенная буква;
  • разовые пароли, отсылаемые на e-mail, но чаще в виде SMS;
  • генераторы разовых паролей типа VASCO Digipass, которые в России не получили распространения;
  • технология DPA/CAP, основанная на генерации криптограммы с помощью чиповой карты и специального ридера

Последняя технология наиболее продвинута и защищенна от мошенничества, более того она позволяет любую операцию в ДБО представить как операцию, совершенную с использованием банковской карты, однако, у нее есть и недостатки, связанные с необходимость выдать каждому пользователю ридер стоимостью порядка 10 баксов (либо карту, с встроенным дисплеем и клавиатурой), который клиент должен иметь с собой для совершения операций, поэтому единицы российских банков поддерживают эту технологию. В силу простоты, удобства, общедоступности и дешевизны (правда в прошлом) SMS-сообщений, этот способ аутентификации пользователей систем ДБО стал доминировать на российском рынке. При использовании его для доступа в Интернет-банк он был достаточно безопасен, т.к. для совершения операции необходимо было получить не только идентификационные данные клиента, но и доступ к его мобильному телефону. Однако, с появлением смартфонов, с большими экранами и полнофункциональными банковскими приложениями, все больше дистанционный банкинг смещается на мобильные телефоны, а технологии аутентификации клиентов остаются прежними. Более того, в связи с подорожанием SMS-сообщений многие банки стали заменять SMS-сообщения на Push. И двухфакторная аутентификация стала по-сути однофакторной: получив доступ к смартфону клиента (где чаще всего идентификационные данные для входа в мобильный банк запоминаются приложением), мошенник на него же и получает разовый пароль. Клиент оказывается фактически не защищен технологически, да еще и договор банковского обслуживания предусматривает, что ввод разового пароля однозначно перекладывает ответственность за нее на клиента. Даже Тинькофф многие годы получающий титул “Лучшего мобильного банка”, подтверждает операции в своем мобильном банке через Push и ничего не делает для внедрения по-настоящему двухфакторной аутентификации мобильных пользователей.

Читать полностью »

Рубрики: Банковская розница | 6 комментариев »»»

Чисто расчетный банк

03.12.2013 от Andrew

Очень давно не заходил на сайт креативного Банк24.ру и сегодня испытал когнитивный диссонанс, когда обнаружил, что они перестали выдавать кредиты и принимать депозиты, превратившись в чисто транзакционный банк и таким образом воплотив в реальность не сбывшуюся в Инбанке идею В.В.Фролова.

Сейчас сложные времена для банков и свои сбережения я раскидал по нескольким банкам, от чего испытываю явный дискомфорт как клиент, хотя и удовлетворяю профессиональное любопытство, пользуясь время от времени картами разных банков, изучая их продуктовую линейку, тарифную политику, интерфейсы и возможности их сервисов ДБО. Сегодня я имею счета в пяти банках, с точки зрения удобства и выгоды использования карточного продукта клиенту с улицы считаю лучшим ТКС и Связной (Тиньков пожалуй все таки выгоднее всего), но нифига не понимаю зачем мне банк, только ради карты и расчетных операций через ДБО? С разной степенью удобства все можно сделать в любом из 5 банков: где-то удобнее и понятнее, где-то дешевле, где-то красивее. В любом случае рядовому гражданину нужно либо взять деньги взаймы, либо приумножить накопленное, так чего ради он будет занимать или вкладывать в один банк, а расчеты вести через другой? Ну только если это не пенсионер, получающий пенсию в ближайшем отделении Сбербанка и купивший пылесос в кредит от Хомяков…

Рубрики: Банковская розница | 2 комментария »»»

Востребованные операции Интернет-банка

12.12.2011 от Andrew

Получил и обработал статистику одного крупного банка с очень широким набором услуг в Интернет-банке о частоте использования тех или иных услуг.

Чаще всего клиенты получают выписки (60% всех операций), совершают платежи (35%) и переводы (2% – между своими счетами и на счета других клиентов внутри банка). По 1% операций приходится на переводы на чужую карту (P2P) и изменение лимитов по картам. Все остальное уже исчезающе мало…

Собственно клиентов за 3 месяца выборки в ДБО (Интернет и мобильный банкинг) заходило чуть больше 62 000, а в среднем клиент заходит 5 раз в месяц.

кликабельно

Рубрики: Банковская розница, Банковские карты | 5 комментариев »»»

Удачный карточный продукт

20.11.2011 от Andrew

Карта СвязногоСлучайно обнаружил, что существенная часть моих магнитогорских знакомых обзавелась картами “Связного” и не только обзавелись, но и активно пользуются переводя туда часть своих средств. Проведя среди них опрос пришел к выводу, что основными стимулами получения этой карты для всех поголовно стали:

  1. Повышенная процентная ставка на остаток по счету (10% на ежедневный остаток свыше 10 000 рублей)
  2. Бесплатное снятие наличных в любом банкомате (от 1 000 рублей за раз, без ограничения количества операций)

Все остальные плюсы типа бонусных баллов, бесплатного пополнения, кредитного лимита, бесплатного перевода между картами Связного уже были сугубо индивидуальны. Основными драйверами, которые заставляют брать эту карту и регулярно совершать некоторые телодвижения для перевода на нее денег, у всех совершенно одинаковы. Кроме плюсов, коллеги, привыкшие к богатству сервисов наших клиентов, отмечали и множество минусов в Интернет- и мобильном банкинге (отсутствие управления лимитами, невозможность выпустить виртуальную карту, частичная выписка и многое другое), но люди мирятся с этими неудобствами, настолько для них важны эти две причины. По-большому счету ведь ничего гениального – просто комбинация двух простых и очевидных вещей:

  • дайте людям повышенный процент на текущий остаток и вы получите большую оседаемость средств. Многие клиенты боятся ложить деньги в банк на долго, так как не уверены в завтрашнем дне, а такой плавающий и ни к чему клиента не обязывающий остаток в реальности может лежать очень долго. Правда на мой взгляд не правильно платить процет именно на остаток по карт, т.к. технологически карточный счет опасен и его глупо использовать для накоплений. Писал тут и тут.
  • в стране, заваленной банкоматами разных банков, глупо строить и содержать собственную банкоматную сеть – проще воспользоваться имеющимися и вместо затрат на банкоматы взять на себя затраты на банкоматный интерчендж. Еще до своего банкротства “Северная Казна” предлагала продукт “Большие города”, который предлагал бесплатное снятие в любом банкомате ограниченное количество раз в течение месяца. “Связной” пошел дальше и вообще не стал ограничивать снятие (IMHO зря, т.к. 3-5 раз в месяц любому нормальному клиенту за глаза достаточно, а если задаться целью можно устроить флешмоб из множественных снятий по 1 000 рублей и просадить банк).

Эта комбинация помноженная на сеть дистрибуции Связного дала уже миллион карт и судя по всему они большей частью “работающие”. Поработает “Связной” еще над сервисами и получится совсем конфетка!

Рубрики: Банковская розница, Банковские карты | 13 комментариев »»»

Безопасность SMS-токенов

24.01.2011 от Andrew

В новостной рассылке на прошлой неделе пришло:

RSA: БАНКОВСКИЕ SMS ТОКЕНЫ УЯЗВИМЫ
Количество атак мобильных телефонов увеличится в этом году из-за того, что преступники пытаются перехватывать SMS токены аутентификации. Такое мнение
высказали представители компании RSA, сообщает xakep.ru.
Токены были созданы для того, чтобы дополнить собой ввод имени пользователя и пароля, требуя от пользователя подтвердить платеж уникальным цифровым кодом, в данном случае высылаемым посредством SMS-сообщения. Услуга становится все более популярной, и Commonwealth Bank of Australia отмечает, что 80 проц их клиентов используют токены для того, чтобы подтвердить платежи третьим лицам с помощью SMS или с помощью более надежных портативных генераторов ключей. Банк не заставляет клиентов использовать данную услугу, но те, кто не захочет пользоваться ей, не смогут производить операции с высокой степенью риска через Интернет-банк.
В прогнозе на 2011 г RSA отметила, что рассылка токенов посредством SMS сделает телефоны мишенью. Использование аутентификации с помощью SMS … как дополнительного средства
обеспечения безопасности, добавляет уязвимое место в мобильный канал, – сообщила компания в докладе.  Преступник может … провести телефонную атаку типа отказа в обслуживании, и мобильный телефон потребителя не будет работать. Сервис перенаправления SMS сообщений также становится привычным объектом для мошенников и дает им возможность перехватить /токен/, высланный банком на мобильный телефон пользователя, и перенаправить его на телефон киберпреступника.
Компания предсказала, что количество смишинг-атак и фишинга на мобильных телефонах, проводимого с помощью SMS, также увеличится в этом году. Количество успешных смишинг-атак больше, чем стандартных фишинг-атак, потому что потребители не ожидают получить спам на мобильный телефон и, скорее всего, поверят, что сообщение – законное.
Также сказано, что не существует эффективных технологий по предотвращению смишинга.

В России SMS-аутентификация это один из самых популярных способов аутентификации клиентов и подтверждения платежей, поэтому меня это сообщение очень заинтересовало и я обсудил его с коллегами, погруженными в предметную область. Резюмируя их мнение: на все смартфоны (за исключением невзломанного iPhone) можно незаметно для пользователя поставить программу, которая может перехватывать, перенаправлять, подменять или имтировать входящие и исходящие SMS-сообщения, но это не возможно на обычном мобильном телефоне.

Таким образом, SMS-аутентификация относительно безопасна на обычных мобильных телефонах, но не безопасна на смартфонах и должна применяться с ограничениями по сумме (чтобы не было экономической целесообразности заморачиваться с подкидыванием троянов на смартфон) и назначениями платежей (например, только платежи по пользовательским шаблонам)

Рубрики: Банковская розница | 9 комментариев »»»

Оптический CAP

16.07.2010 от Andrew

На прошлой неделе присутствовал на демонстрации оптического DPA/CAP ридера от Gemalto и даже разжился таким устройством. Суть технологии заключается в том, что в приложение интернет-банка встраивается специальный виджет от Gemalto, который представляет из себя мигающую полоску. Это полоска на конкретном экране масштабируется под размеры считывающих датчиков ридера и миганием передает параметры подписываемой операции: номер счета, сумму и т.п. Ридер, который подносится к экрану считывает это мигание и транслирует параметры операции на экран ридера. Параметры прокручиваются пользователем, правда в неудобоваримом виде DATA1=NNNNNNNNNNNN, DATA2=MMMM.MM и так далее и подписываются PIN-кодом карты. Ридер на основе загруженных в него параметров транзакции и ключей карты генерит криптограмму, которая проверяется хостом.

Отличие от реализованного DPA/CAP на основе генерируемого хостом челленджа заключается в том, что пользователь вроде бы контролирует параметры подписываемой транзакции и исключается гипотетическая угроза “человек в середине” (мошенник который подменяет реальные параметры операции пользователя). Утверждать, что технология юзабельнее для пользователя я бы не стал, потому что ввести челлендж в ридер совсем не сложно – гораздо сложнее прочитать сгенерированную криптограмму с экрана ридера (для VISA это 10 цифр а для MC аж 12). Считать эту последовательность с экранчика ридера не так уж и просто, гораздо сложнее, чем ввести на клавиатуре устройства челлендж, так что пользования технологией это практически не облегчает, а вот безопасность повышает.

Описание технологии на сайте Gemalto.

Рубрики: Банковская розница, Банковские карты | Вставить свои 5 копеек »»»

Лучший Интернет-банк

16.12.2009 от Andrew

Скоро, очень скоро экс-владелец “Северной Казны” В.Н.Фролов удивит мир проектом под условным названием “Лучший в мире Интернет-банк”, который реализуется совместно с “НОМОС-Банком” на базе небольшого банка “Уран” (вскорости будет официально переименован). А пока этого не произошло в Екатеринбурге провели исследование функциональности и удобства Интернет-банков, предлагаемых различными банками.

Почему в Екатеринбурге? Да потому, что там публика продвинутая и реально активно пользуется дистанционными услугами, местные банки активно конкурировали между собой и с “федералами” и вырастили клиентов. А последний год, огромная масса клиентов (порядка 80 тыс. пользователей Интернет-банка) ищет замену “Северной Казне”, которую так топорно похоронила “Альфа”. Борьба за этих клиентов заставило местные банки активизироваться в развитии своих систем Интернет-банкинга.
заинтересовало? »»»

Рубрики: Банковская розница, Банковские карты | 14 комментариев »»»

Платеж.ру

21.07.2009 от Andrew

Наткнулся на платежный Интернет-сервис виртуального Океан-банка под названием Платеж.Ру, который называется “интернет-терминал безопасной оплаты услуг банковскими картами VISA и MasterCard”.

Суть сервиса заключается в том, что владельцы карт убогих банков, которые не имеют собственных систем дистанционного банковского обслуживания (мобильный и интернет-банк) могут зарегистрировать свою международную банковскую карту в этом сервисе и оплачивать различные услуги с помощью Океан-Банка. Регистрация осуществляется также как и у МТСа: авторизация некоторой суммы (в пределах 50 рублей), которую надо сообщить для окончания регистрации. Кроме того Океан-банк запрашивает CVV2, но обещает его не хранить и потом запрашивать еще раз для каждой платежной операции. После завершения регистрации моментально был прислан реверсал.
заинтересовало? »»»

Рубрики: Банковские карты | 2 комментария »»»

« Раньше