На сегодняшний день современный мир непрерывно наполняется технологиями, которые приводят к созданию более комфортных условий жизни человека ускоряя и облегчая процессы взаимодействия с окружающим миром и финансовой сферой. Для экономики же этот процесс выражается в повышении доступности финансовых услуг, снижении издержек при осуществлении транзакций и прочих расчетов, что как следствие приводит к повышению скорости обращения денег в экономике положительно влияя на ее рост и объем в качестве одного из факторов, что в конечном итоге положительно отражается на каждом участнике рыночных отношений включая государство и самого человека. Благодаря цифровым технологиям процесс товарообмена становится быстрее, удобнее и в определенной степени «виртуальнее».
Но о чем нам не скажут в офисе кредитной организации или по телефону (или скажут очень невнятно, предложив страховку) в процессе подписания условий обслуживания и становления клиентом кредитной организации? О рисках, которые с этим связаны.
В данном случае речь идет о риске потерять свои средства при совершении несанкционированной операции. Что такое несанкционированная операция? Это операция или попытка операции, которая совершается без согласия клиента по его счету или счетам. Говоря иными словами, операция которую Вы не совершали. Почему кредитные организации об этом не говорят? Вероятнее всего, потому что это плохо для маркетинга и бизнеса в целом, но вопрос скорее риторический.
Удобство – есть ключевой фактор и краеугольный камень современных систем и финансовых технологий, о чем в публичном пространстве уже не раз говорилось. Удобство – как одно из основных требований к современным продуктам финансовой сферы способствует расширению бизнеса, являясь так же обязательным условиям конкурентной борьбы на рынке косвенно создает благоприятную среду для участников рынка, которые создают и генерируют несанкционированные операции, проще говоря – злоумышленникам. Риски, которые образуются в результате их деятельности можно условно разделить на две группы: розничные и корпоративные, по тому же принципу можно разделить и сами инструменты, которыми пользуются злоумышленники. Рассмотрим все по порядку.
Под розничными рисками мы понимаем те риски, которые могут возникнуть в розничном бизнесе организации и которые наносят прямой ущерб непосредственно клиенту – физическому лицу, а самой компании как правило косвенный, но разной степени критичности.
Корпоративные риски рассмотрим лишь тезисно т.к. они не предмет нашего обсуждения (Прямой ущерб, отток клиентов, упущенная выгода, кража интеллектуальной собственности, репутационные риски и прямые издержки).
Для государства несанкционированные операции представляют собой останавливающий фактор развития экономики, так как реализация этих рисков негативно отражается на скорости и объеме финансовых операций, а текущий фокус и уровень внимания к данной проблематике, в том числе приоритеты кибербезопасности были обозначены как особо важная задача в майских указах Владимира Владимировича Путина (президента Российской Федерации), говорят о её важности. Подробнее об этом ниже.
И для того, что понять, как это касается нас, сначала необходимо понять какими инструментами пользуются злоумышленники, чтобы иметь возможность совершить несанкционированную операцию.
Перечень наиболее популярных инструментов:
Фишинг – как инструмент сбора данных о клиенте путем рассылки писем со ссылками на дубликаты известных сайтов или уже откровенная замануха вроде лотереи и гринкарт.
Сбор информации из открытых источников – Применение техник социального мошенничества подразумевает не только знание психологии, но и умение находить, анализировать и применять доступную информацию о человеке.
В совокупности мы можем объединить все эти инструменты под одним термином – социальное мошенничество (социальная инженерия). Одни методы необходимы для сбора информации и получения первичных данных о потенциальной жертве, другие же предполагают непосредственную работу с самими клиентами сразу, но так или иначе взаимодействовать с клиентом социальному мошеннику придется в любом случае.
Предполагая и прогнозируя состав целевой аудитории злоумышленников можно сказать, что это скорее всего люди старшего поколения, которые не имеют глубоких познаний в инструментах финансовых технологий современной и активно цифровизирующейся экономике, но также можно предположить, что на самом деле при определенных обстоятельствах жертвой данного вида социального мошенничества может стать абсолютно любой человек, что и подтверждается статистикой банков (средний возраст обманутого – 25-45 лет). Сразу же возникает вопрос, а как в таком случае хеджировать свои риски? И первое, на что стоит обратить внимание - это собственная бдительность, которая должна опираться на одно простое правило, если звонят «якобы из банка» - попрощайся и скажи, что перезвонишь в банк сам. 100% способ.
Рассматривая последствия все-таки уже случившейся несанкционированной операции необходимо понимать, как может поступить кредитная организация при обращении к ней клиента.
Как только мы получили наше электронное средство платежа (банковскую карту), подписали условия обслуживания и стали владельцами ДБО – мобильного приложения (Дистанционное Банковское Обслуживание) мы подписались под условиями, что никому не должны сообщать персональные данные, которые подразумевают данные карты (за исключением ее номера), ПИН-код, одноразовые пароли, логин и пароль от личного кабинета и прочее. При этом принимая во внимание те инструменты, которыми пользуются социальные мошенники, целью которых как раз и есть получение наших персональных данных мы можем сделать вывод, что условия как раз нарушил сам клиент, когда разгласил те данные. Банк в свою очередь может рассмотреть такое обращение, но результат с очень высокой долей вероятности будет отрицательным, за исключением случаев:
- Банк допустил ошибку и готов это признать
- Вы- VIP клиент и проще вернуть деньги, чем потерять клиента
- Рассмотрение стоит дороже чем сумма жалобы.
- Внутренняя политика банка (например возвращают пенсионерам)
В остальных же случаях клиента как правило ждет отказ. Наверняка многие могут вспомнить, что есть закон о «Национальной платежной системе» за номером 161 (далее Закон), в девятой части которого говорится о том, что если клиент уведомил банк о несанкционированной операции в течение суток с момента ее совершения, то кредитной организации придется вернуть деньги клиенту. Но есть одно условие, которое звучит как «Если клиент не нарушил условия договора», а что написано в договоре мы уже разобрались. И понять можно каждого. Мы при капитализме живем и банк – это организация, которая извлекает прибыль из результатов своей экономической деятельности, а клиент – потребитель, который хочет ни о чем не думать.
О том, кто прав, а кто нет, а кто должен это решать будет в следующем выпуске.
Комментарии
По тексту очень невнятно, что же такое несанкционированная операция. Нужно додумывать.
ну когда за вас перевод тем или иным образом совершает другой человек. Конечно не в вашу пользу.
Неверно.
Операцию другого человека Вы лично санкционировали, сообщив мошенникам свои данные для перевода.
Несанкционированный перевод, это когда мошенничество произошло со стороны работников банка.
Если платеж был по кредитке - то звонишь в банк, "отмените платёж", через пару дней получаешь новую кредитку без каких-либо затрат с твоей стороны.
Если платеж был по дебетной карте - то увы, надо с неё рассовывать деньги по кредиткам или сбер.счетам.
Так в США работает система.
Слишком большое поле для мошенничества.
Купил в магазине телевизор, вышел за двери магазина, звонишь в банк, говоришь, что операцию не совершал. В итоге, телевизор дома, деньги вернули на карту, профит
Пример, конечно же утрированный, но показательный.
На этот счёт имеется корректирующая обратная связь:
В кредитной истории останется запись о мошенничестве, после расследования со стороны банка. Можно оспорить через суд, или подождать лет 5. До этого ни один банк кредитку не выдаст.
Так работает система репутации заемщиков в США - проверено десятилетиями работы.
Вот я и говорю, огромное поле для мошенничества.
Каждые 5 лет, можно нагревать банк на бабло
Система репутации, хорошо работает только в том случае, если население поголовно закредитовано и без кредитов не может существовать - как в США. В остальных случаях, слишком ненадежно.
Каждые 5 лет дурить всю банковскую систему :) Да сколько той жизни? :)
За мошенничество же с покупками на крупные суммы уже будет уголовка.
Кстати, Вы в России тоже живёте в кредит, как минимум, по оплате всех или некоторых коммунальных услуг. Здесь в США для них тоже подсчитывается свой кредитный рейтинг. Если человек системе не знаком достаточное время (как я, например), или, другой пример, плохо платил за телефон - то, при заключении нового контракта на электроснабжение с него потребуют залог $150-200. Просрочка без мотивированной просьбы отсрочить платёж? Досвидос, и получите остаток своего залога по почте.
Пока США сами себе рисуют столько денег, сколько нужно, и ногебают остальной мир принимать их фиаты - они переносят свои издержки от такого и другого мошенничества наружу.
Посмотрим когда-нибудь, как у них получится жить на свои. "Но это уже будет совсем другая история".
Однако самое интересное будет не тогда, когда им придётся жить на свои, а когда мировое сообщество зафиксирует долг в наэмитированных фактиках в золото по курса 28-го года и окажет помощь в *возврате* долга.
При необходимости — с ипотекой на оказание услуг по помощи в стимуляции к возврату.
Ну и совсем уж вишенкой на торт — с процентами по понятиям.
Кому выгодно валить всеобщего должника? Кто первый рыпнется - на того СМИ и возложат вину вместе с долгами. Другого выхода не вижу.
У нас, в отличии от США, правовое государство. Поэтому, информацию о моем кредите за электроэнергию, банки получить законным способом не могут.
Правовое государство - это государство, которое остригает своих барашков больше по Закону, и меньше - по желанию левой пятки местного представителя власти. Потому, что может.
США - тоже правовое государство: информация о кредитных историях собирается по множеству законов - FCRA, GLBA, ECOA, и более старым.
Не хотите, чтобы о вас собирали кредитную историю? Есть и такое право. Тогда готовьте сотни баксов и дни ожидания на залоги по коммунальным услугам, аренде жилья, машин, чего угодно.
То, что в РФ это пока не распространяется на коммунальные услуги в рамках всей страны - явление временное. Как говорит одна Контора - "не Ваша заслуга, а наша недоработка".
Просто у США _было_ 150 лет относительно мирной жизни без кардинальных и быстрых переделов собственности. Вот они и отрастили себе автоматизированные системЫ учёта репутации.
Кстати, из-за библейских предсказаний, идентификационные коды человека запрещено использовать для получения кредитной истории.
В крупных магазинах камеры общего вида стоят.
а вот с зарубежными поездками так делают.
А почему госдума,президент,парламент,совбез или еще кто из высших, пальцем не пошевелят ,что-бы издать закон наказывающий мошенников подобного рода либо делающие их деятельность невозможной на территории России?
На кой хрен патриот тут рассказывает,как не попасть в лапы мошенников от банка ,которому государство дало лицензию?
Пойди убейся апстену...
По этому логике за кражу у вас наличных должен отвечать центробанк.
Вот это эмоциональность!!!
ст. 159 УК РФ.
Это каким образом можно осуществить? Не стесняйтесь, говорите прямо.
Мошенничают мошенники, а не банки. Вы хоть статью читали?
Вся прелесть в том, что вывод безнала не должен оставаться анонимным. У любой транзакции должны быть имя фамилия отчество, но если их выяснить не возможно, должен компенсировать банк. С киви такая же история... Но, пока на этом зарабатывают огромные деньги, никто шевелиться не будет.
Ключевое слово видите?
А по факту сюрпризы в вопросе полноты журналирования можно наблюдать даже в такой простой и вроде бы отлаженной системе, как TDM-телефония.
Пока нереально заставить иностранные платежные системы выдавать конф информацию о транзакциях. Такие как paypal, webmoney, и др. Нет рычагов давления.
Ваша идея хорошая, красивая, но пока невыполнимая. Пока вся страна на МИР не перешла. С запретом VISA и MasterCard. Но, к сожалению, это пока невозможно.
Почему? Банк проводит тразакцию. Номер и ССV карты предоставлены. Смс-пароль введен. Какая у банка вина?
вот неоднократно видел в инетах случаи что с карт уходило больше чем дневной лимит
В этом плане я больше скептик. В интернете можно любое свидетельство найти. Даже иноплонетян.
Когда я пытался сверхлимита перевести (сбер), мне 3 раза звонили (оператор, менеджер и сб). Каждый проверял паспорт, кодовое слово и смс-пароль. В итоге - перевели.
Да банк зачастую не видит своей вины, когда по чужому паспорту закрывает счёт с выдачей нала постороннему человеку. Не видит и когда ячейку опустошают и при жалобе делают круглые глаза "не может быть, никогда такого не было" , но опер говорит, что вы пятые за месяц в этом отделении...
В 80х, когда эти системы проектировались, каждый байт в пересылке был дорогим, а мошенников мало - это могло быть оправданным, сейчас тормозит не техника и технологии, а регламенты.
Вы как-будто из 90-х пришли....
Чтобы сделать вышеописанное вами, надо иметь соучастника - служащего банка, иначе никак.
Школота негодуэ.))))
Школота-дебилоид детектед. Сколько задонатил Навальному? Как сдал ЕГЭ? Вот только не надо врать, русский ты явно завалил
Что меня в этом всегда, отдельно и сугубо доставляетЪ, так это упорствование в навязывании (добровольно и с песней) клиентам использования парольного механизма авторизации.
Фиговые листочки, которые ростовщики вместе с прочими заинтересованными профессионалами, называют «двухфакторной авторизацией» зачесть нельзя, по причине явного и очевидного не-знания предмета.
Увы, но в случае старшего (старше 60) не поможет ничего, кроме - сразу прервать звонок. Потому что они и электронную подпись применят, и глаз в камеру покажу и даже пойдут и сдадут анализы мочи если это надо для авторизации.
Увы, но теще позвонили и она им почти 40 минут выполняла все операции - подтверждение по смс, установка TeamViewer на телефон, рассказала адрес и все прочее. Единственно что спасло - у нас не работает Сбербанк и по карте не смогли провести перевод, хотя пароль на личный кабинет мобильного оператора поменяли и поставили переадресацию звонков и смс.
А от всего перечисленного хорошо помогает правильный телефон (увы, пока только Мечта, с администрированием по ssh младшими родственниками).
По вашей ситуации с письмом о помощи знакомому человеку - старое мошенничество, перезваниваете знакомому/ой сразу и уточняете -сталкивался
Это все понятно. Просто так технично было сделано. И человек, и новость (я такие от нее и раньше получал). В общем пульно зашло.
Что мне больше всего не нравится :
Все системы доступа завязаны на симку, в т.ч восстановление пароля, и отказаться от такого сервиса невозможно.
А симку, фактически аналог паспорта, выдают какие-то левые люди. Симку должно выдавать мвд через госуслуги.
Ну зачем же так толсто?…
Достаточно чётко и однозначно прописать ответственность банка за делегированные насторону функции.
И, поверьте, они очень быстро откроют для себя полноценный механизм двухфакторной авторизации, и зачистят архитектурные уязвимости.
Я хоть профессионально мало сталкивался с ДБО, а с обслуживанием физиков вообще никак, но по моему опыту с 92-го года *все* случаи мошенничества, о которых я слышал из первых рук, были связаны с несанционированным использанием носителей эцп сотрудниками клиентов банков.
Так что зачищай, не зачищай, это уменьшит риски на сотые доли процента.
А тут речь, внезапно, о «физиках».
Дополнительный вопрос: в штуках инцидентов как соотносятся мошенничества «юриков» к общему числу?
А какая разница, если на 99.99% главное слабое звено это сам клиент. Что главбух уходит обедать оставив токен в компьютере, что физик ведется на разводку.
…как неизящно Вы пытаетесь увести обсуждение от проблемы провокации ошибок разработчиком.
Который как всегда ни в чём неуиноуат. Строго по условиям «добровольно» принятого лицензионного «соглашения».
Зачитайте эпопею пользователя, пытающегося выйти за описанные Вами рамки.
Банки обязаны сейчас делать пен-тесты. Этот вопрос организационно закрыт, а если не хватет вдруг квалификации пен-тестеров, то надо её повышать, никто не спорит.
Вы попали в точку. Об этом будет дальше. Действительно, такая проблема. есть.
было бы неплохо заранее анонсировать дату
Пока дату не назову
вот в кукурузе симки мало - нужен код что где-то на обоях записан, мало ли кто сейчас по телу говорит. И много где так.
Как всё сложно!
На самом деле всё просто, как мычание коровы.
Один на Кипре (230 000), другой - в Польше (2.7 млн). Тупо переписывают на себя право на управление счетом, сдергивают все деньги, всё. Занавес. И хрен кто будет впрягаться, если похищено столько, чтобы сразу всем везде подмазать. Главное условие - свой человек в банке.
Тупо переписывают на себя право на управление счетом, сдергивают все деньги, всё. Занавес. (С)
Это так просто? P.s. слышал как один очень богатый товарищ укатил на 2 недели. Квартиру вскрыли домушники (не из простых полагаю),там внутренний паспорт,и документы на вклад. Нашли внешне похожего и куку (несколько миллионов $). У потерпевшего алиби,но возможно он все и построил,банк обязали то ему все вернуть :)) Ещё слышал,что прописывают по желанию,что при крупных снятия ДОЛЖНАЯ использоваться специальная подпись-роспись (образец которой есть в банке).
У Анны Шафран увели зарплату, после её переговоров с мошенниками.Страдает.
"щитал"... Грамотей, эксперт геополитики...
По всему сайту такая белибирда, "шитают" все, неужели сложно написать "считаю" , две буквы как будто намного сложнее прописать...
господи, я сделал ошибку намеряно, чтоб показать степень своей самоуверенности. А грамотеи русского языка можете щитать что угодно.
Думаете школьники афтершок не читают? Дурной пример заразителен
Не читают. Не волнуйтесь.
Страницы