Метка: безопасность

Почему не стоит становиться клиентом finuslugi.ru

Московская Биржа не так давно запустила сложнейший проект: финансовый маркетплейс finuslugi.ru. В чём суть: клиент регистрируется, и получает возможность онлайн оформлять услуги партнёров. Сейчас предлагается два вида услуг: вклады в банках-партнёрах и Е-ОСАГО.

Идея, несомненно отличная, и работа была проделана огромнейшая и сложнейшая. Но, увы, как часто бывает: мелочи сильно перевешивают, обнуляя старания сотни людей. Одна из ключевых задач проекта — идентификация клиента. Решение, которое реализовано, — весьма стандартно для рынка: выезд курьера, который должен проверить, в том числе, документы. Первым у нас в стране её реализовал Тинькофф, однако повторили её многие другие банки. finuslugi здесь не первопроходцы, однако добавили «вишенку», крайне опасную для клиента: селфи с паспортом. Об этом и будет написано ниже:

Здесь есть два момента:

  1. При заключении почти любого договора у клиента требуют паспорт (и это не «хотелка», это — требование нормативных актов). Его в любом банке, страховой, УК, брокере копируют/сканируют/фотографируют. Иногда ещё даже фотографируют клиента. В итоге, паспортные данные (номер, когда и кем выдан, и т.д.) фактически становятся известны крайне широкому кругу лиц. Более того, эти базы продаются почти открыто, и данные стоит считать публично известными. Не важно заключается договор в офисе компании, либо же курьером (представителем) где-то в другом месте, паспорт спросят и копия будет, а на каком этапе утекут — не столь важно: результат один.
  2. Есть ряд «фирмочек» (я крайне неуважительно ко всем ним отношусь) которые не хотят тратится на выезд к потенциальному клиенту. В первую очередь, это каршеринги и МФО (Микро-Финансовая-Организация, занимающаяся выдачей мелких займов под конские проценты). Они придумали такую фигню как «селфи с паспортом» (т.е. фото клиента с открытым паспортом в руках), считая её «надёжной идентификацией».

Итого имеем: ваше фото с вашим паспортом может принести вам кучу сюрпризов в виде, например, ряда микрозаймов на ваше имя. И это очень часто и встречается! Это бы не было проблемой будь «адекватный ЦБ» (штрафующий, например, те же БКИ за выдачу информации по таким «документам» (по закону нужно письменное согласие клиента) ), и «адекватные суды» (не выдающие судебные приказы по таким липам). Но увы, в наших реалиях это становится проблемой конкретного гражданина — доказывать что он «не при делах». Иначе — обдерут как липку ещё и виноватым сделают.

Да, суды обычно признают такие договоры «не заключенными» если жертвы подают в суд. Но!!! Вы готовы ради этого судиться с каждой «конторкой» по всей стране? Вы готовы нести юридические и другие расходы? Стоит ли риск того? Вы готовы положить себя под гарантии надежности информационных систем, или порядочность кадров?

Итого совет: никогда, ни при каких условиях, не делайте «селфи с паспортом»! И не пользуйтесь услугами компаний которые это требуют! Сильно дороже может выйти!

PS. Если кого finuslugi.ru заинтересовали, но голова не даёт принимать неадекватные риски — напишите на help. Будем надеяться что эта вопрос будет услышан, и эта дурь в виде «селфи с паспортом» устранена.

Пятиминутка IT-безопасности

Давно я ничего не писал… надо бы реабилитироваться. Что-то объемное сочинять сходу сложно, так что начнём с чего-то краткого, но важного. Классическими темами в области финансов являются схемы действий различных жуликов, пытающихся всеми средствами переложить чужие деньги в свои карманы. Однако не меньше ущерба причиняют воры. Суммы на счетах в банках для них являются лакомым кусочком. Задумывались ли вы насколько эти средства защищены? Предлагаю рассмотреть этот вопрос на примере Сбербанка — самого крупного и самого популярного финансового учреждения в нашей стране.

Для доступа к счетам большинство используют Сбербанк-Онлайн. Система декларируется как безопасная, с двухфакторной аутентификацией (логин-пароль и код из СМС). Однако, предлагаю изучить процедуру регистрации и восстановления доступа к системе. Для восстановления логина потребуется номер карты (учитывая открытый характер это нельзя назвать «фактором» защиты) и код из СМС. Для пароля — только код из СМС. Таким образом в системе, фактически, пароля нет.

Таким образом единственным ключем становится телефон, который требует адекватной защиты. Про установку «левых» приложений сказано много, однако о защите при хищении обычно говорят мало. У многих стоит блокировка аппарата, но при этом на заблокированном аппарате выводится текст СМС. Кроме того, такая блокировка не спасет от перестановки SIM-карты в другой аппарат.

Важно понимать что попадание телефона в чужие руки несет значительные риски хищения денег из банка. В связи с этим настоятельно рекомендуется следующее:

  1. Убедиться что на телефоне установлена надёжная блокировка.
  2. На заблокированном экране не должен выводиться текст получаемых сообщений.
  3. Должна быть заблокирована SIM-карта (PIN код, о которым сейчас многие забыли).
  4. Коды защиты не должны быть тривиальными (типа года/даты рождения, и комбинаций типа 1234).
  5. При утрате (или даже подозрении об утрате) телефона следует немедленно блокировать SIM-карты.