Sense Bank

Якщо ж покупка була фіналізована, але продавець виконав повернення, то тут важливо в який спосіб він зробив повернення — по номеру картки чи за номером рахунку

а вы случайно не в курсе каким образом aliexpress делает возврат? в банке наверняка такие случаи имеются, от китайцев думаю точного ответа не получить

Зачем это доказательство? Банк стопудов у себя реализует так, что без прихода именно этого подтверждающего кода от клиента ничего не произойдёт

Там десь вище писали, що в пумбі клієнтів обікрали. А він потім сказав, що то вони все самі через смс. 😂
Я й роздумую, як можна було би довести, що смс не читав і будь-кому код передати сам не міг.

Сенс виносить код у заголовок смс (паскудство, я вважаю) -- тут вже ніц не доведеш... 😒

До речі, хоч у когось при пересиланні на iban з чужим ІПН (і якщо це не ЖКП) питає смс?
Чи, якщо хтось хакне вам смартфон з сенс-апкою, то зможе все під нуль вивести, а лінивий банк навіть смс не пришле на мобілку з фін.номером?
А от при відкритті драного депо на 100 гривень -- шле. Кожен, трясця, раз. Повна дичина... 😒

хтось хакне вам смартфон

хакне з відбитком мого палЬцю?
Боже, ото відколупає прям частину мого тіла?

Сенс виносить код у заголовок смс (паскудство, я вважаю) -- тут вже ніц не доведеш..

Телефон можна налаштувати, щоб не показував повідомлення, поки його спеціально не відкриєш.

Справа в тому, що смс, чи відбиток пальця, чи гугл-аутентифікатор, байдуже. Все закінчується тим, що десь в базі даних банка проставляється флаг -- авторизовано користувачем. Ну, напевно, з додатковими даними -- як авторизовано, коли, і т.ін. Але все це можна написати і занести в базу абсолютно незалежно від того, як все відбувалося реально. На відміну від первинного документа, який підписано цифровим підписом, якщо б банки реалізували такий формат.

Якщо ж покупка була фіналізована, але продавець виконав повернення, то тут важливо в який спосіб він зробив повернення — по номеру картки чи за номером рахунку

а вы случайно не в курсе каким образом aliexpress делает возврат? в банке наверняка такие случаи имеются, от китайцев думаю точного ответа не получить

Мені приходило просто як зворотній переказ за номером картки. Не як реверсал операції, а як окрема операція.

Я й роздумую, як можна було би довести, що смс не читав і будь-кому код передати сам не міг.

Сенс виносить код у заголовок смс (паскудство, я вважаю) -- тут вже ніц не доведеш... 😒

Нету у SMS заголовка. Точнее, можно таким считать названия отправителя и номер телефона получателя, но Сенс туда код не заносит. Всего лишь пишет код в теле вторым словом, а не последним. Это никак на доказательство чтения не влияет. Например, на моём смартфоне приходящие SMS полностью видны в извещениях и я там могу (и так и делаю, иначе зачем извещения?) подсмотреть любое слово из текста. Сама SMS в приложении при этом формально не читана и никакой особой функции "отметить непрочитанной" для этого не требуется. Вон, висят такие от одного только Сенса десятки. И кому я что этим их статусом докажу? С другой стороны, пока не похоже, что потребуется.

Справа в тому, що смс, чи відбиток пальця, чи гугл-аутентифікатор, байдуже

Давайте розглянем гіпотетичну ситуацію.
Є банк. Є клієнт. Є у нього 1млн в банку. Не в депо (ставки малі), а на поточних і в овдп. І доступ до всього того 1млн -- через апку на смарті.
Смарт якось хакають. Віддалений роб.стіл, чи запис екрану -- х.з. Записують код входу в апку, код КЕП, і, напр, вночі починають продавати овдп, продавати валюту, бо їм байдуже на марж.втрати, бо вони ті гроші не заробляли... -- і шлють кудись в широкий світ на iban.

Банк пропустить 500тис і навіть не дає змогу знизити цей ліміт...:


Правда ж не буде клієнту “байдуже”, що банку аж так начхати на гроші клієнта, що він навіть смс не прислав, зупинити розграбування.
І з 1млн лишилась половина. Або нуль, якщо це свинство було два дні підряд...

До речі, в Ексімці живі люди(!) телефонують і питають підтвердження, навіть якщо шлете на свій ІПН в інший банк. А от Сенсу начхати...

Нету у SMS заголовка

В старих телефонах.
Кнопочних.
Є перелік смс. І в заголовок потрапляють перші слова з смс.
А від сенс-банку -- код...
Замість написати, напр, “500тис пересилаємо...”
І клієнт одразу впадає в паніку, бо він не пересилав. І телефонує в банк на гаряч.лінію. І вони заблокують хакнуту апку. Втрати будуть (маржинальні, напр., якщо були продані овдп і валюти), але це у Сенсі втрати на користь держави, держбюджету, війська... --- можна змиритись. Але у норм.банку 500тис. мають бути зупинені без введеного смс, або бути повернуті, якщо клієнт не відкривав смс.
А от якщо код одразу видно, і операція таки пройде -- то це вже все, я так розумію... Скажуть, що був у змові з шахраями і передав їм код.

Справа в тому, що смс, чи відбиток пальця, чи гугл-аутентифікатор, байдуже. Все закінчується тим, що десь в базі даних банка проставляється флаг -- авторизовано користувачем. Ну, напевно, з додатковими даними -- як авторизовано, коли, і т.ін. Але все це можна написати і занести в базу абсолютно незалежно від того, як все відбувалося реально. На відміну від первинного документа, який підписано цифровим підписом, якщо б банки реалізували такий формат.

Это про разное. Да, чтобы банк не подделал, должна быть подпись средствами вне банка, которую в случае чего суд будет согласен принять за доказательство. Кому в Сенсе скучно без такой подписи может попросить поменять паспорт своих ОВГЗ, которые на учёте в Сенсе. Там по полной программе. Можно и какой-то программой с открытым кодом подписать (как я понимаю, CAdES-Х Long - это не секретный стандарт), но судя по тому, что Гугль сплошь онлайн и закрытые решения предлагает, это почему-то не пользуется популярностью.

Другой вопрос, а оно реально надо что клиентам, что банку? Вон, Клиринговый Дом требует для своих депо Дия Пидпис (не смотрел детально, может и чем попало в CAdES подписать можно). У меня отец пару дней назад проклял всё на свете, пока через эту подпись прорвался. Если бы не моя помощь, то уже был готов плюнуть и отнести деньги в Раду, где не так прогрессивно.

Что через TOTP особо секурнее, чем через SMS, я не утверждал. Основное - это надёжнее потому, что уходит компонент опсоса, который реально частенько с доставкой SMS тормозит. Правда, у Сени можно переключить на доставку через Viber, но я пока не готов согласиться, что Viber надёжнее. А посколько AFAIK, если переключиться, то назад дороги уже не будет, так и сижу на SMS и немного разоряю Сеню при открытии каждого трёхдневного депо

хтось хакне вам смартфон

хакне з відбитком мого палЬцю?
Боже, ото відколупає прям частину мого тіла?

Ні.
Відбиток пальця -- то для інших видів грабіжників. У реалі. Аби їм не доводилось мучитись і турбуватись про збереження життя жертві, а потім ще й притомність, допити...

Для хакання є “увійти за пін-кодом”.

Другой вопрос, а оно реально надо что клиентам, что банку? Вон, Клиринговый Дом требует для своих депо Дия Пидпис (не смотрел детально, может и чем попало в CAdES подписать можно). У меня отец пару дней назад проклял всё на свете, пока через эту подпись прорвался.

Да, это тоже проблема, что клиенты выбирают удобство в ущерб безопасности, а банки вынуждены под это подстраиваться, чтобы не терять клиентов. Наверное, если посмотреть на проблему в глобальном плане, то в 99,99% случаев всё работает нормально, и никаким хакерским атакам не подвергается. А оставшийся 0,01% можно и застраховать и возмещать, что раньше худо-бедно и делалось. А вот именно последнее время набирают обороты процессы перекладывания вообще всей ответственности на клиента. От банков то и дело приходят уведомления в стиле "мы изменили условия обслуживания, и теперь за оспаривание операции вы должны будете заплатить 100500 денег, которые вам никто не вернёт".