Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты
6

Борьба по ГОСТУ против мошенников

На дворе конец 24 года, а по улицам ходит безопасность банков на уровне гужевой повозки...

1. Безопасность - представьте что для совершения перевода получатель должен пройти идентификацию устройства в отделении банка, делается это один раз, или когда меняешь смартфон.
Что же на самом деле это значит - это значит, что imel и serial number привязываются к профилю сбербанка (или др банка). То есть получатель уже в системе идентифицирован и мошенник не сможет получаться средства с чужой карты как это часто бывает
Также биометрия да это оковы которые мы сами себе одели, но с другой стороны если человек зарегистрировал ОТПЕЧАТОК И ЛИЦО лично присутствовав в банке, и при последующем входе он всегда будет использовать отпечаток, то это ли не гарантия безопасности!?
вход в ЛК через компьютер также связан с устройством (сканировать qr код который высвечивается на 2 секунды этого достаточно чтобы камера зафиксировала qr код, а ограниченное время исключает отправку qr кода сторонним людям, хотя думаю этого не достаточно, есть ноутбуки с датчиком отпечатков, а также верификация по лицу
Насчет ЛК вход чз компьютер тоже есть нюансы, нужно думать о том как исключить использование лк другими лицами.
(При выявлении того что чел продал дроповоду свою карту, его добавят в черный список банков!)

2. Законодательно ввести ответственность за продажу и использовании третьим лицам аккаунтов или карт и других продуктов банка. Также исключить АНОНИМНЫЕ КАРТЫ, а также вернуть согласие родителей на детские карты !

3. Холодный счет для тех. кто слишком доверчив, средства зачисляются получателю, но любые операции над ним последующие 48 часа и более до завершения сделки невозможны. Это очень спорный пункт нужно проработать над этим

4. Региональное разделение - Вася из Перми переводит миллион какому то балаболу который находится в камчатке, но перевод не выполнен , получателю необходимо явиться в банкомат либо в отделение для идентификации транзакции

5. отдельно хотелось бы упрекнуть мессенджеры с их вялой модерацией контента см на картинке внизу, друзья я знаю есть субботники мы убираем мусор, но у нас есть еще одна задача открываем поиск вводим ключевые слова "дроп" купить карты" продажа бк" куплю сбер" продам альфа и другие и отправляем репорт этой группе "пожаловаться"
Так интернет станет немного чище!

Предложения по улучшению безопасности можете писать в комментариях, а также отправлять саппорт банков скопировав все это)

Также родителям нужно обратиться в банк и узнать, не открывал ли его чадо новую карту в банке!? думаю 6 из 10 случаев так оно и есть. Кстати Банки добавьте уведомление родителям если такое случается!

Борьба по ГОСТУ против мошенников Без рейтинга, Интернет-мошенники, Мошенничество, Банк, Сбербанк, Т-Банк, Банк ВТБ, Телефонные мошенники, Сотовые операторы, ЛДПР, Справедливая Россия, Роскомнадзор, Служба поддержки, Развод на деньги, Негатив
Без рейтинга Интернет-мошенники Мошенничество Банк Сбербанк Т-Банк Банк ВТБ Телефонные мошенники Сотовые операторы ЛДПР Справедливая Россия Роскомнадзор Служба поддержки Развод на деньги Негатив
11
Все комментарии Автора
0
geckon01
Автор поста оценил этот комментарий

Ещё раз, нет идеальной защиты. У любой, даже самой безопасной системы слабое звено - её пользователь. Если человек сам перевел деньги на "безопасный счет", разговаривая с мошенником по телефону, то никакие системы не помогут. Это, с точки зрения любой системы будет совершенно валидная транзакция - человек ведь сам добровольно и со своего телефона перевел деньги. Так какие вопросы у системы к нему должны быть?

Не, можно конечно вообще упороться и сделать белый список кому вы можете переводить деньги. А менять его скажем лично с паспортом в банке. Но вы только представьте себе ситуацию: скажем позвал вас друг(Вася) посидеть в кафе с его другом(Петя, с которым вы не знакомы, и которого нет в вашем белом списке). Петя оплачивает общий счет, Вася спокойно переводит Пете деньги. А вам придется сначала переводить Васе, а Васе уже Пете.

То что у вас на скрине, более вероятно кардинг. Украденные карты, скиммеры на банкоматах и т.п. С этих карт деньги ещё надо как-то вывести, и в целом от этого спасает:
1. Не терять свои карты
2. Проверять банкомат прежде чем им пользоваться
3. Ставить лимит на операции по карте в приложении. Скажем не больше N рублей в неделю. Если вдруг понадобиться больше, вы всегда сможете увеличить а вот вор - нет.

Что до самих приложений, тут от банка к банку. Тот же тиньк помимо кода из смс для входа требует ещё и пароль. Если не держать его на листочке/карте/бумажке в чехле телефона, а только в голове то именно взломать его будет тупо не рентабельно. Утечки баз тоже мало плодов в этом плане принесут - большинство систем сейчас не хранит в них сами пароли, а только лишь хэш суммы. Чаще всего, когда у кого то угнали деньги или оформили кредит это либо фишинг, когда человек сам выдал все пароли и явки. Либо угон номера телефона(что опять таки не сработает, если банк просит помимо кода из смс ещё и пароль). Либо фальшивый паспорт с визитом в банк.
Для примера как это работает у тинька - в начале лета покупал себе новый рабочий ноут(100к~). Операция заблокировалась, а мне позвонил оператор попросив уточить точно ли я совершил покупку. Всё, никаких привязок телефона по imei и прочего.

раскрыть ветку (1)
0
Аватар пользователя HaritanovitchHaritanovitch
Автор поста оценил этот комментарий

Наивны молодые они все такие* но за упоминание хеш сумм респект кнш.
однако словно будто люди ради денег не продают свои карты!?
весь мой текст сводит к тому что юзеры карт будут всегда идентифицированы "на ладони" исключая возможность пользоваться другим делая кардинг бессмысленным и бесперспективным.
анонимные карты идут лесом как ты выражаешь



Кстати вот еще одна гениальная вещь выполнять ОФФЛАЙН покупки хотя бы раз в неделю (кб магнит лента и другие крупные магазины) чтобы получать исходящие переводы (карта должна быть активна также как и сам пользователь, а теперь ебал0 чувака который имеет 10 карт представил!?


Наивны молодые они все такие* а как попадут в руки мошенникам то запоют уже по другому!

0
geckon01
Автор поста оценил этот комментарий

Абсолютной защиты не бывает, а человеческая глупость безгранична. Люди сами часто выдают все пароли и явки, что взламывать ничего и не надо. Какой вообще смысл в привязке смартфона по imei, если он во первых на рутованых девайсах подменяется на раз-два. А во вторых люди сами прекрасно переводят деньги мошенникам. Если человек сам и добровольно переводит деньги, никакие технические средства тут уже не помогут. Можно конечно на любой, даже маленький чих(переводы средств, снятие с кредитки и т.д.) обязательно отправлять клиента в банк да с паспортом. Да только клиенты побегут туда, где удобнее а не где безопаснее.

раскрыть ветку (1)
0
Аватар пользователя HaritanovitchHaritanovitch
Автор поста оценил этот комментарий

Нет ты не понял привязка сбер id к смартфону лишает возможность пользоваться картой другим, не у всех есть прямые руки чтобы imel менять.

Даже я пытался рут получить, успешно было только на андроиде 4.4 😅 а там сбер работает от андроид 9 и выше помоему. Да серийник поменять думаю это вообще надо быть суперхакером.

Кстати сбер есть антивир думаю он должен обнаруживать рут и блокировать использование лк.

Как никак эти решения нужны СЕГОДНЯ, а не тогда когда уже выйдет квантовый компьютер


Биометрия и силикон -я для этого писал что приложение будет запрашивать скан бошки поверьтеть как на авито.


Эти решения должны быть временными пока не проработают абсолютную защиту (допустим безопаные места запрос местоположения, люди в основном дома часто там и получается безопасное место т.е идентификация по гео.

Думаю ты понял это наброски штрихи

показать ответы
0
Аватар пользователя HaritanovitchHaritanovitch
Автор поста оценил этот комментарий

Полагаю в границах украинские мошенники используют ретрансляторы для звонков российским абонентам, также интернет сервисы, и у нас недолжно быть такова чтоб коммерческие номера обзванивали людей

0
geckon01
Автор поста оценил этот комментарий

Биометрия это абсолютно не гарантия безопасности. Палчики и рожа лица у вас одна на всю жизнь, в случае чего не сменишь. Уж тем более, если физический и неограниченный доступ к устройству есть(читай, телефон сперли). Палчики вполне себе собираются с вашего же телефона и переносятся на силикон. С лицом посложнее, но и касается это в основном ios, где с банковскими приложениями сейчас и так туго.

Да и вообще, в целом вся эта система ломается по швам, ибо ничего этого не нужно - легким движением руки переставляем сим карту в другой смартфон и получаем на нее код. Большинство людей на ставит сейчас пин код на сим карту. Привязка на вход по imei смартфона конечно решит эту проблему, для пользователей это слишком не удобно. Очень легко остаться в ситуации, когда ты полностью без доступа к своим средствам в нужный момент(скажем, у меня стоит ограничения на физической карте сколько можно оплатить в неделю с неё. Сломайся мой телефон, новый я купить даже не смогу. А так можно тупо с любого доступного телефона снять временно ограничение). В целом, несколько более удобной альтернативой мог быть бы u2f токен(физический ключ-флешка) для "опасных операций"(крупные переводы, кредиты и т.п.). Но люд слишком уже привык, что можно спокойненько хоть по 100к переводить одним тапом, вряд ли даже это кому-то понравиться. Хотя я вот пользуюсь u2f везде, где только есть поддержка. Но то я, гик и it'шник, не могу говорить за все....

раскрыть ветку (1)
0
Аватар пользователя HaritanovitchHaritanovitch
Автор поста оценил этот комментарий

Эти жёсткие меры ещё не самые жёсткие безопасность нужна хотя-бы тестовая версия до лучших времен когда создадут абсолютную защиту. Ибо у денег нет глаз

показать ответы
0
Аватар пользователя HaritanovitchHaritanovitch
Автор поста оценил этот комментарий

@Sber, тоже

0
Аватар пользователя HaritanovitchHaritanovitch
Автор поста оценил этот комментарий

@T.Bank, что на это скажете?