![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
totaltelecomInternetua обнародовал подробности очередной кражи средств у пользователя предоплаченных услуг путём перевыпуска его SIM-карты. И в этот раз жертву подловили на том, то она использовала предоплаченные услуги, не пройдя процедуру персонификации. То есть оставалась для своего оператора безымянной. Поэтому преступникам оказалось достаточно минимальных усилий.
В материале приводится фрагмент из рекомендаций в части безопасности, размещённых на сайте Приватбанка. Дело в том, что часть денег было украдено с карты именно этого банка. Я открыл сию страничку и внимательно изучил. Среди двадцати трёх (!) пунктов не нашлось места для самого главного, сильного и, немаловажно, бесплатного способа обезопасить себя от кражи финансового номера.
Вот уже пятнадцать, наверное, лет подряд, с момента запуска SMS-авторизации, лидер банковского рынка избегает говорить своим клиентам, что они могут радикально уменьшить соответствующие риски. Для этого достаточно идентифицировать себя у своего оператора, то ли в рамках контрактного подключения, то ли посредством добровольной регистрации. Второй путь не влечёт никаких изменений в условиях обслуживания, чего традиционно опасаются украинцы, напуганные историями про роуминговые и контент-услуги на многая тысяча гривен, щедро предоставленные радушными операторами в долг.
Персонификация гарантирует, что перевыпуск SIM-карты будет невозможен в отсутствие её пользователя и удостоверяющих его документов. Это означает, что в случае кражи номера вина за это ляжет на оператора, чьи сотрудники или полномочные представители грубо нарушили должностные инструкции. Т.е. крайний будет быстро найден и это будет не пострадавший от мошенников.
Что должно случиться, чтобы Приватбанк перестал, наконец, избегать этой темы и надлежащим образом исполнил свой долг перед своими клиентами?
Изучая рекомендации банка, я наткнулся на п. 15 "Подмена номера телефона". Неужели это о возможности фальсификации номеров, с которых могут звонить мошенники? Точь-в-точь как это обсуждалось вчера в "Шкафу" на Liga.Net. Нет, в данном случае речь идёт о возможности кражи номера клиента посредством перевыпуска его SIM-карты. Кражи, которая почему-то именуется подменой.
Мне стало интересно проверить учитывают ли политики безопасности Приватбанка возможность использования его номеров мошенниками. Я обратился в службу поддержки банка с жалобой на подозрительный звонок с номера 056 733 5040 и спросил, возможна ли вообще подмена номера звонящего? Сотрудник Приватбанка уклонился от прямого ответа на мой вопрос, посоветовав заблокировать этот номер. Мол, в случае необходимости до меня дозвонятся.
Но как это может выглядеть в реальности? Вот я заблокировал один из основных служебных номеров банка. Необходимость случилась и СБ Привата пытается срочно, СРОЧНО до меня дозвониться. А я не беру трубку. Не беру и не беру, номер-то заблокирован. Как они догадаются, что проблема не со мной, а с номером, которыми они пользуются? В итоге они не дозвонятся, я не смогу предпринять необходимые действия, потеряю свои деньги и в итоге останусь виноват, поскольку не отвечал на срочный, СРОЧНЫЙ звонок.
Не пришло ли время "большой тройке" заняться этой проблемой? Я про защиту их абонентов от мошенников, промышляющих кражей недеанонимизированных номеров, используемых как т.н. "финансовые". Сами банки и небанковские финучреждения не горят желанием заниматься этим. Скорее всего потому, что любое повышение требований к процедурам взаимодействия с клиентами трактуется как риски увеличения оттока, уменьшения конверсии и т.п.
Дело за малым: автоматически присылать каждому абоненту, который а) получает SMS и звонки от номеров, закреплённых за финансовыми организациями и б) не прошёл процедуру персонификации, уведомление о том, что он сильно рискует.
В материале приводится фрагмент из рекомендаций в части безопасности, размещённых на сайте Приватбанка. Дело в том, что часть денег было украдено с карты именно этого банка. Я открыл сию страничку и внимательно изучил. Среди двадцати трёх (!) пунктов не нашлось места для самого главного, сильного и, немаловажно, бесплатного способа обезопасить себя от кражи финансового номера.
Вот уже пятнадцать, наверное, лет подряд, с момента запуска SMS-авторизации, лидер банковского рынка избегает говорить своим клиентам, что они могут радикально уменьшить соответствующие риски. Для этого достаточно идентифицировать себя у своего оператора, то ли в рамках контрактного подключения, то ли посредством добровольной регистрации. Второй путь не влечёт никаких изменений в условиях обслуживания, чего традиционно опасаются украинцы, напуганные историями про роуминговые и контент-услуги на многая тысяча гривен, щедро предоставленные радушными операторами в долг.
Персонификация гарантирует, что перевыпуск SIM-карты будет невозможен в отсутствие её пользователя и удостоверяющих его документов. Это означает, что в случае кражи номера вина за это ляжет на оператора, чьи сотрудники или полномочные представители грубо нарушили должностные инструкции. Т.е. крайний будет быстро найден и это будет не пострадавший от мошенников.
Что должно случиться, чтобы Приватбанк перестал, наконец, избегать этой темы и надлежащим образом исполнил свой долг перед своими клиентами?
Изучая рекомендации банка, я наткнулся на п. 15 "Подмена номера телефона". Неужели это о возможности фальсификации номеров, с которых могут звонить мошенники? Точь-в-точь как это обсуждалось вчера в "Шкафу" на Liga.Net. Нет, в данном случае речь идёт о возможности кражи номера клиента посредством перевыпуска его SIM-карты. Кражи, которая почему-то именуется подменой.
Мне стало интересно проверить учитывают ли политики безопасности Приватбанка возможность использования его номеров мошенниками. Я обратился в службу поддержки банка с жалобой на подозрительный звонок с номера 056 733 5040 и спросил, возможна ли вообще подмена номера звонящего? Сотрудник Приватбанка уклонился от прямого ответа на мой вопрос, посоветовав заблокировать этот номер. Мол, в случае необходимости до меня дозвонятся.
Но как это может выглядеть в реальности? Вот я заблокировал один из основных служебных номеров банка. Необходимость случилась и СБ Привата пытается срочно, СРОЧНО до меня дозвониться. А я не беру трубку. Не беру и не беру, номер-то заблокирован. Как они догадаются, что проблема не со мной, а с номером, которыми они пользуются? В итоге они не дозвонятся, я не смогу предпринять необходимые действия, потеряю свои деньги и в итоге останусь виноват, поскольку не отвечал на срочный, СРОЧНЫЙ звонок.
Не пришло ли время "большой тройке" заняться этой проблемой? Я про защиту их абонентов от мошенников, промышляющих кражей недеанонимизированных номеров, используемых как т.н. "финансовые". Сами банки и небанковские финучреждения не горят желанием заниматься этим. Скорее всего потому, что любое повышение требований к процедурам взаимодействия с клиентами трактуется как риски увеличения оттока, уменьшения конверсии и т.п.
Дело за малым: автоматически присылать каждому абоненту, который а) получает SMS и звонки от номеров, закреплённых за финансовыми организациями и б) не прошёл процедуру персонификации, уведомление о том, что он сильно рискует.
