Comments 55
Ну наконец то. Но плохо что они пришлюс ссылку. Мошенник тоже может прислать ссылку. Но то что об этом задумались превосходно.
Задумка может и ничего, но реализация легитимизирует саму возможность звонка службы безопасности банка клиенту. Что очевидно только на руку звонящим.
Был один, давно уже банкротный банк с великолепным ux. Так вот когда я придетел за полторы тысячи км от места проживания и воткнул карточку в банкомат, мой телефон зазвонил юуквально через 3 секунды и меня спросили я ли это и всё ли нормально, после объяснения, и когда я сказал что да сняли временную блокировку которую уже успели навесить. Максимально крутой опыт работы СБ. А другой банк как-то звонит и говрит "назовите кодове слово, у меня для вас конфиденциальная информация" Номер левый на сайте не гуглится, перезвонить специалисту чернз общий номер нельзя. Он так и не понял почему я ему кодовое слово не сказал.
Альфа-Банк тоже это делало лет 15 назад. И еще просили уведомлять, если в другую страну едешь
Так вот когда я придетел за полторы тысячи км от места проживания и воткнул карточку в банкомат, мой телефон зазвонил буквально через 3 секунды...
У меня тоже такое было лет 15 назад. Тот звонок обошелся мне в 40 долларов --- роуминг в Таиланде тогда стоил неприлично много. Сказать что я был зол --- это сильно преуменьшить моё состояние на тот момент.
Раньше и крупные покупки проверяли. Покупаешь билет на самолёт, звонят, спрашивают
сняли временную блокировку которую уже успели навесить.
Это кстати стандартная блокировка МПС при смене страны, некоторые банки ей пользовались раньше, да.
Максимально крутой опыт работы СБ
а я вам еще про такой опыт расскажу, от которого я очень офигел
заезжаю я значит в Польшу… с симкой МТС… на счету которого 1500р… с включенным роумингом и всеми плюшками и прямо при пересечении границы у меня отрубается связь.вообще… ноль даже не регистрируется
пытаюсь через wifi зайти в ЛК? введите пароль который мы отправили в СМС!!! пытаюсь зайти в клиентбанк чтобы может бабла докинуть, а вдруг… введите пароль подтверждения который мы отпавили вам в СМС… АААААа… а связи то вообще никакой нет!
p.s. когда вернулся… позвонил туда… долго скрипели мозгами… типа.даа… странно вышло, ну вы извините чё… видим что все было активно но чтото не включилось в роуминге
p.p.s. забавно в такой ситуации сунуть карточку в банкомат и ждать звонка СБ на отключенный телефон
Мне ещё в 2015 году звонила настоящая служба безопасности Сбера, когда я брал ипотеку. Задавали вопросы про адрес и площадь квартиры и ещё что-то подобное.
у сбера прикол в том что настоящая СБ звонит с левого номера, а на линии поддержки, та где 900, говорят что номер не их и они так звонить не могут.
но при этом — это НАСТОЯЩАЯ СБ сбера… и если их послать то могут реджектнуть одобрение ипотеки (такие отзывы на банкиру есть)
Я знатно прифигел когда мне позвонили, разве что ответил им только потому что они спросили прям совсем очень уникальную вещь про сделку которую мог знать только менеджер сбера, продавец и эта подробность врятли могла успеть кудато утечь. (дело буквально 1-2 дней когда об этом говорили с менеджером и подробность была крайне малозначительной)
И хандшейк должен быть в обе стороны. Где-то как в древнем ролике. Карточка прямо с генератором это, наверное, немного перебор, но отдельный генератор, а не в том же приложении - было бы сильно неплохо.
Похожая штука есть у яндексса для сотрудников что бы зайти в личный кабинет кроме пароля надо ввести одноразовый пин-код который генерируется в приложении на смартфоне и действует 20 секунд
то бы зайти в личный кабинет кроме пароля надо ввести одноразовый пин-код который генерируется в приложении на смартфоне и действует 20 секунд
По описанияю - это стандартный OTP, который много где есть от которого в корпоративной среде, по хорошему, надо бы уже отказываться в сторону более совершенных методов.
В ролике же существенно, что обе стороны кодами пользуются. И сотрудник банка подтверждает, что он сотрудник, и клиент подтверждает, что он тот самый клиент, к которому обратиться хотят.
Тут, конечно, можно втиснуть всякие атаки с Man In The Middle, но оно уже достаточно трудно осуществимо.
На что заменять, госуслуги вон только-только вводят
Хардварный токен и все то, что FIDO Alliance успело придумать.
То что они дорогие - это какой-то глюк рынка или регулирования. Потому что совершенно такие же по смыслу чипы раздают сотовые операторы и банки совсем не за такие суммы.
А софтварные генераторы не надёжны или в чём их минус? Я что-то не слышал, чтобы другое приложение смогло получить токен.
Проблема не в софтварности. Проблема в самом принципе работы, если я его правильно помню. Там криптография симметричная. seed лежит в генераторе у клиента и где-то в базах данных сайта. Если эти seed сопрут (а считать что не сопрут - странно, хэши паролей или сами пароли утекают же?) -- то наличие такого второго фактора не поможет, ибо нужный код злоумышленник успешно сгенерирует.
На первый взгляд кажется, что схема только улучшит конверт у жуликов. Теперь они, зная, что клиенты что-то там слышали о пароле, который должен назвать сотрудник, будут сами присылать смс с паролем на тот же телефон, куда звонят, называть его же, и сразу же получать траст
Вот да. Плюс добавляется путаница — этот код никому не говорить, а вот этот код скажут вам.
В целом, людям с головой никакой код не нужен, а старушек, которых это нововведение призвано защитить, оно только еще больше запутает.
а старушек, которых это нововведение призвано защитить, оно только еще больше запутает.
А у такие приложением пользуются ли? Боюсь, что в этом случае все застопорится после первого же шага. Собственно, что и требуется, если получится вбить в головы что 'сотрудник должен сказать пароль, который нужно проверить'.
Кстати, если тут кто-то от Альфа-Банка реакцию отслеживает -- то передайте не использовать со стороны сотрудника цифровой код. Пусть переделают на набор слов от какого-нибудь diceware или свой сделайте.
"Код, который никому не говорить" уже сама по себе дыра. Потому что при обычной операции (покупка в интернете) тебе присылают код с комментарием "никому не сообщайте этот код" и одновременно требуют ввести (т.е. сообщить) его на сайте интернет-магазина.
"Никому не говорите пароль" и требование ввести пароль при авторизации. "Никому не говорите пин-код" и требование ввести пин-код в банкомате. Это по твоему тоже дыры?
Если чётко не указывать, кому можно сообщать, а кому нельзя - да, тоже дыры. Социальная инженерия на том и работает, что люди сообщают "роботу" код, который пришёл им в SMS, потому что они приучены к тому, что код "никому не сообщайте" они тут же введут на сайте. А чем сайт отличается от "телефонного робота" - они могут не знать.
Дык написано же, что пароль только через ссылку в нотификации от приложения получается, и никаких смс.
Сценарий такой:
1) Злодей звонит жертве.
2) Одновременно шлет ссылку в каком-нибудь WhatsApp на свой собственный сайт
3) Говорит 'я такой-то, пароль такой-то, сходите по ссылке в нотификации, проверьте.
Жертва, не разобравшись, что нотификация не от приложения альфа-банка, идет и видит именно то, что мошенник сказал.
Эта конструкция, кстати, ломает и портит правильный шаблон поведения - не ходить по ссылкам, полученным от незнакомых людей. Не надо так.
Надеюсь ваш комментарий наберёт много голосов и его увидят в банке.
Вообще, оборотные штрафы опсосам выглядят оптимальным решением. Да, решение априори
1) несправедливое, ибо накладывает на бизнес, суть которого только в том, чтобы байты и голосовые потоки передавать, ещё какие-то чётко не определенные требования, и даёт чиновникам рычаг как вздернуть любой бизнес в этой сфере (слабо вы что-то боретесь с мошенниками -> держите штраф), так и простить (мол, ребята стараются, да, иногда жулье проскакивает, но делают же все возможное).
2) приводящее к проблемам легитимных юзеров. Антифрод системы начнут давать лжесрабатывания, и ни в чем не повинные люди начнут регулярно попадать в ситуацию, когда не можешь никому дозвониться (включая техподдержку), ибо нейросеть где-то там решила, что ты жулик и кинула тебя в теневой бан.
3) ещё сильнее бьющее по приватности. Чтобы прикрыть жопы, опсосы будут нанимать команды модерации, которые будут вручную разбирать кейсы - читать смс, слушать разговоры. Это будут люди с крайне низкой зарплатой (ибо линейный персонал), но мощными возможностями. Скорее всего, будут мощные злоупотребления.
Но сработать должно, ибо у опсосов есть максимум инструментов (большие данные, возможности кооперироваться между собой, максимально полная информация по каждой сим карте), но при этом отстутствует мотивация. Штрафы мотивацию добавят. Цена великовата, правда. Ущерб может сильно перевесить совокупные потери жертв мошенников. Причём, страдать будут люди, которые все делают грамотно, технически подкованы, но, просто везение подкачало нейронке не понравится
А сотрудники службы безопасности банка звонят клиентам?
Мне ни разу не звонили. И я даже не слышал о таких звонках.
А вот рекламные попки звонят. "Вам обобрен кредит на 100500 мильёнов", вот это вот всё.
И если раньше я вежливо посылал, то сейчас разу бросаю трубку. Справедливо предполагая звонок от "сотрудников службы безопасности" из ближайшего исправительного учреждения.
Полагаю, что не один я. И банки начали потихоньку нервничать.
Так что код этот, скорее всего, не для службы безопасности, а для отдела маркетинга. "Да-да, это ваш банк! Это мы хотим впарить вам ненужную услугу, а не какие-то мошенники!"
звонят, часто на первую транзакцию на определенную сумму возбуждаются. Вы, видимо, просто пользуетесь услугами небольшого количества банков.
Мне целый один раз звонил СБешник (как раз альфовский, когда-то давно я был их клиентом) в момент пополнения киви-кошелька на ~10к рублей. Спросил я ли это делаю и понимаю ли я что делаю. После моих утвердительных ответов попрощался и повесил трубку.
Ссылка на страницу для генерации кода приходит в пуш-уведомлении и высвечивается на главном экране мобильного приложения. После этого клиент может попросить сотрудника назвать код — и таким образом верифицировать его.
Что-то так себе реализация, вот этот момент с приходящей ссылкой — дыра для соц. инженерии.
Я бы лучше в мобильном приложении сделал кнопку, которая открывает текстовое поле, в которое я могу ввести всё что мне заблагорассудится и попросить сотрудника на том конце мне это зачитать.
Всё это выглядит как технологии ради технологий. Самое очевидное, простое и непреодолимое для социальной инженерии (вариантов в комментарии уже накидали) - сделать в приложении большую кнопку "Позвонить в банк". Всё, никакие коды не нужны.
Не сработает (впрочем, и описанный способ с какими-то ссылками не сработает), когда смарфон находится в оффлайне и на хилом тарифе. А вот оффлайновый генератор проверочных кодов и обычный телефонный звонок - сработают даже когда у меня на счету телефона денег нет.
Если вам может пройти входящий звонок - может пройти и исходящий от вас.
Можно вместо кода формировать номер телефона (номер банка плюс добавочный), по которому пользователь может позвонить в банк (и гарантированно попасть в банк, а не на мошенников) на случай, если смартфон с банк-клиентом и телефон в сети - разные аппараты. Правда, есть риск, что пользователь сообщит этот номер мошенникам, но тут должно хотя бы отчасти помочь сообщение "Звоните по этому номеру сами, но не сообщайте его никому".
Хотя самое простое решение проблемы мошенников - это предлагать клиенту самому перезвонить на номер, указанный на банковской карте (и рекламировать эту возможность везде, где мы рассказываем про мошенников). И после этого он гарантированно общается с банком.
Как быть если хочет позвонить банк?
(и нет — перезвон в банк не решает проблему — есть банки куда звонишь на общий номер, говоришь что они сейчас звонили на тот номер с которого я звоню и что хотели? в ответ — а мы не знаем что хотели, у нас так работает, наверно это предложение какое то)
Как быть если не работает приложение?
Так то кнопки звонка в банк начинают появлятся
Как быть если хочет позвонить банк?
Звонок "С вами хочет связаться сотрудник банка по важному вопросу. Пожалуйста, перезвоните на номер, указанный на банковской карте."
в ответ — а мы не знаем что хотели, у нас так работает, наверно это предложение какое то)
Настроить логирование и перенаправление звонков так, чтобы сотрудник Б мог сказать, зачем пять минут назад звонил сотрудник А.
Как быть если не работает приложение?
Никак, получить код в приложении тоже не получится.
Несколько лет назад, при звонке в ТП, в самом начала IVR встретил вставку типа "У вас есть обращение №XYZ, для соедиения со специалистом по этому вопросу нажмите 1", а потом уже стандартное голосовое меню.
Мега-удобное решение экономящее кучу времени и нервов клиенту. Было это у какого-то российского банка или оператора связи, вот только не помню у кого именно..
Сомневаюсь, что это поможет в случае с обманом пожилых пользователей, коих собственно большинство среди жертв мошенников.
не нравится то, что посягнули на Золотое Правило Номер Один:
"Служба безопасности банка сама не звонит НИКОГДА".
теперь у этого банка это правило не действует. то лично я рассматриваю как минус и еще один аргумент не становиться их клиентом.
А почему это правило правильно?
Служба безопасности заметила, что происходит подозрительная активность. Позвонить и убедиться, что клиент сам снимает деньги, а не злоумышленник воспользовался украденной картой или смартфоном - вполне нормально, как по мне.
Но ведь жулики под СБ мимикрируют, как мы все знаем.
вот смс (вайбер-ватсап-телега-емайл, что еще) от банка с сообщением "сей же миг перезвоните в банк по номеру", без указания самого номера (!), было бы нормально.
именно без каких-либо данных, просто сообщение о факте. потому что номер ГЛ банка я должен знать сам.
тогда
- я делаю операцию, по поводу которой банк напрягся;
- банк мне вот таким образом сообщает;
- я сам звоню в банк по номеру банка, будучи точно уверенным, что звоню именно в банк (это ж я звоню). при исходящем звонке говорю и фамилию, и номер паспорта и кодовое слово и что еще надо. (сколько у вас карт? на какую сумму и когда последняя транзакция? и т.д.)
ну а не позвонил - мой косяк.
Были у меня звонки от СБ Альфы
там всегда было — информация о сумме платежа, место
а вот запросы кодовых слов и прочего никогда (максимум — фио и дату рождения)
просто вопрос — это вы совершали? да? повторите операцию еще раз
В личном кабинете клиент может заранее ввести постоянный пароль, который должен сообщить звонящий сотрудник. В случае повторного звонка сотрудника по этому же паролю он сообщает дату и время предыдущего звонка по этому паролю. Таким образом либо я сам освежаю пароль для подтверждения личности сотрудником банка, либо я это ленюсь делать и его называют постоянно, но сообщая меняющуюся дату последнего звонка.
//Сейчас я просто в лоб прошу назвать имя моего персонального менеджера (он прикрепляется к некоторым тарифам и его имя хорошо заметно в ЛК). Чисто поубавить пыл с той стороны, хоть не перезванивают, когда посылаешь.
«Альфа-Банк» внедрил обратную верификацию сотрудников для защиты от мошенников