НовостиСобытияКонференцииФорумыIT@Work
Идеи и практики автоматизации:

Блог

Караул! Грабят!

Сергей Бобровский
16.07.2012 11:36:30

Спустя 18 часов после того, как я написал хвалебный пост про Сбербанк, мою сбербанковскую карточку взломали. Поэтому теперь я буду Сбербанк ругать.

Звук телефона был отключен, поэтому две смс-ки с официального номера сбера 900 я прочитал лишь утром. Вот они:



Где-то в Австралии неведомые кардеры с моей карточки попытались снять 403 австралийских доллара, операция не прошла -- но не потому, что какая-то супернадежная система ИБ не позволила это сделать, а просто потому, что у меня на счету такой суммы не было, буквально пару дней назад я к счастью снял с карточки почти все деньги. Как видно, заблокировали же карточку спустя только три часа. Кстати, я всегда пользуюсь только банкоматом у местного отделения Сбербанка, поэтому как мою карточку могли скомпроментировать (и как вообще этот процесс происходит), неведомо.

Я позвонил по указанному номеру (кстати, так делать не стоит -- жулики могут прислать и подставную смс-ку о ложном блокировании с указанием "левого" номера, по которому можно выболтать всю персональную инфу), но ключевую информацию к сожалению не помнил, карточка оформлялась давным-давно. Мне предложили подать заявление о смене ключевой информации в местном отделении сбера, и потом продолжить выяснение причин блокировки.
Но почему указать новую ключевую информацию при личной явке с паспортом можно, а узнать текущую нельзя? Девушка пояснила: в отделении отсутствует подходящее техническое оборудование, но это вранье (не ее, а обще-сбербанковское) -- ведь у операторов только тонкие клиенты, соединенные с центральными серверами, а вот почему софт не запрограммирован под удобство клиентов, неведомо.

Сперва срок смены ключевой информации обещался в течение рабочего дня.
На следующий день я позвонил, мне сказали: не сменилась, ждите в течение суток.
Позвонил еще на следующий день, и итог: почему не сменилась, не знаем, подавайте заявление снова!

Поплелся опять к той же девушке. Она позвала заведующую, долго они выясняли, куда-то звонили, и в конце концов объяснили: ваша карточка полностью скомпроментирована, смена ключевой инфы по ней невозможна, вам надо явиться в отделение, где вам выдавали карточку, подать заявление на выпуск новой, и ждать две недели.
У знакомого, кстати, была схожая ситуация -- карточку скомпроментировали, заблокировали, и пришлось ждать 10 дней новую. Поразительно, но срок ее действия не был продлен! Хотя и номер, и ПИН другие. То есть как старая заканчивалась весной 2013-го, так и новая закончится тогда же.

Кстати, могу себе представить волокиту, которая возникла, будь на моей карточке деньги, доступные для кражи -- сколь занудно пришлось бы возвращать уворованное, доказывая собственную неверблюдовость...

Итак, как же в рамках текущей сберовской инфраструктуры должны быть элементарно правильно организованы рабочие процессы:
- необходимо синхронизировать логически увязанные workflows (например, отслеживать попытки смены ключевой информации по заблокированной карте и сообщать о невозможности);
- клиент с паспортом должен иметь возможность узнать свою ключевую информацию, а также состояние счета и текущую сумму на нем (вы будете смеяться, но сейчас это невозможно!) в любом отделении Сбербанка;
- смена ключевой информации должна происходить не "в течение суток", а мгновенно в присутствии клиента (операция обновления поля базы данных занимает доли секунды);
- если карточка заблокирована, смс-ка должна извещать о причине блокировки и требуемых действиях (не просто "позвоните на общий номер", а уточнить например, что "карта скомпроментирована полностью и ее надо перевыпускать");
- новая карточка, перевыпущенная взамен скомопроментированной, должна получить новый срок действия -- с момента выпуска.

А как в идеале? Как только выяснилось, что карта скомпроментирована, клиенту высылается смс-ка: "ваша карта по причине ххх скомпроментирована и перевыпущена, сегодня она вам будет доставлена курьером бесплатно в удобное для вас время".

И это что за срок перевыпуска карты такой -- 10 дней? Вы можете описать разумную технологическую цепочку на базе сегодняшних технологий, требующую подобного огромного, немыслимого времени?

А почему кстати защищенность карт такая низкая?

А почему моя карточка была заблокирована без предупреждения и проверки -- вдруг это действительно я сам в Австралии пытался деньги снять? А если удалось выяснить, что это кардеры -- почему так безумно долго выясняли, три часа? И каким образом моя карта была скомпроментирована, почему клиентам не сообщают? Кто виноват, когда поймают воров, какое отделение полиции занимается этим криминальным делом, кто ответственный за расследование кражи?
Какой суммой Сбербанк компенсирует мне моральный ущерб от внезапной невозможности использования карты?

Ведь перечень точек, где я снимал деньги, или что-то покупал, выяснить элементарно просто, а потом надо загрузить эти данные в хорошую систему бизнес-аналитики, которая быстро отыщет подозрительные места повышенной криминальности. Делается так в Сбербанке?

Сбер попозже прислал смс-ку с рекомендацией задать страны, в которых разрешено пользоваться карточкой -- но во-первых, для зарплатных карт очевидно надо делать только Россию доступной страной по умолчанию, а во-вторых, где гарантия, что не 400 долларов, а 40000 рублей завтра не снимут с моей карточки в Челябинске?

В этой связи можно только посоветовать вице-президентам Сбербанка (которые, понятно, этот блог не читаютsmile:)) брать пример с их коллеги Орловского -- поучиться его открытости, готовности к обсуждению и объяснению "узких горлышек" в рабочих процессах. В частности, ускорить совершенно необоснованные сроки важнейших операций Сбербанка, объяснить, как ведется повышение защищенности карт, рассказать про соответствующие роадмапы.

Пока же сервисами Сбербанка я больше пользоваться не буду, благо есть конкуренты как минимум не хуже.

Комментариев: 19

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

16.07.2012 16:39:49

В этом отношении Сити-банк, например, первыпускает карточки за три дня, без визита в их офис и присылает новую карту бесплатно -- домой или в указанное отделение. А Сбер -- да. неделя, и двойной личный визит в конкретное отделение

Николай Макаров
16.07.2012 21:33:31

Три дня - это тоже очень долго. Вполне хватит и суток. Надо только позвонить в банк и заявить об утере. И как только ты в этот банк придёшь, изготовленная карта тебя уже должна ждать. Забираешь карту, предъявив документ - автоматически аннулируется старая.
Что же тут сложного?

16.07.2012 22:11:35

Сбер видимо держится на каких-то госконтрактах -- типа, обслуживает зарплаты крупных госструктур, которым его навязали принудительно. А может, наоборот, ворочает крупными бюджетами, и до рядовых клиентов особо нету дела, поэтому и конкуренция на него не влияет. Но всё рано или поздно заканчивается.

17.07.2012 00:04:38

Сбер - контора явно неспешащая.

Мне на днях нужно было получить справку о наличии счета. По паспорту я могу получить ее только в том отделении, где открыт счет. В другом отделении - нужно им сказать номер счета. По паспорту они его не видят. Почему так - понять невозможно. В любой случае главный документ идентификации - это паспорт.

Стас
17.07.2012 02:29:35

Вы вот ругаете Сбер за его неповоротливость и бюрократизм. А вы сами попробуйте такой по объему бизнес оптимизировать так, чтобы все не легло сразу и навсегда. Подумайте о масштабе их бизнеса. вот то-то и оно.
Сейчас Сбер является одним из самых динамично развивающихся банков по направлению ИТ. К сожалению, ИТ инфраструктуру не поделаешь моментально. Поэтому и консолидация данных только на подходе, и иногда возможны сбои — объемы операций очень большие, а наследие еще достаточно уродливое.
Что касается быстрого перевыпуска карт, то такие большие сроки для карт начального уровня при общих больших объемах вполне приемлемы. Если бы вы имели премиальную карту, то и сроки выпуска были бы, думаю, поменьше, и доставка курьером была бы.
Так что все ваши рассуждения — пустые домыслы без понимания конкретных реалий бизнеса, банковской сферы и специфики конкретного банка.

Николай Макаров
17.07.2012 06:43:48

Стас, не неси бред и не ищи здесь дураков. Все эти крупные россиянские банки - это в мировом масштабе (по сравнению оборота и клиентуры) - захудалые региональные банкишки.
Не будешь же ты утверждать, что Ситибанк меньше размером, чем Сбер?
Глянь сюда:

>>> Денис Воейков
16.07.2012 16:39:49

В этом отношении Сити-банк, например, первыпускает карточки за три дня, без визита в их офис и присылает новую карту бесплатно -- домой или в указанное отделение. А Сбер -- да. неделя, и двойной личный визит в конкретное отделение <<<

Как мне кажется, комментарии излишни.

Геннадий
17.07.2012 07:39:40

Сбербанк - САМЫЙ ПЛОХОЙ банк в России,
я стараюсь его обходить стороной!
Для этого есть масса причин!

17.07.2012 09:17:34

Я в целом согласен со Стасом. Все познается в сравнении.

Сбер имеет качественно иные размеры, в том числе по клиентской базе и прямое сравнение с другими нашими банками не очень правомерно. По клиентской базе, опять же, я думаю Сбер входит в число крупнейших банков мира.

Нужно оценивать процесс в его развитии. Что есть и что было еще несколько лет назад.
Да, Сбер, наверное, отстает от мировых банков по качеству услуг. Но давайте посмотрим на другие отрасли страны - они отстают от Запада намного больше. Например, система страхования...

А то, что Сбер чаще ругают, то тут работает известный "закон Microsoft" - чем больше пользователей, тем больше число недовольных. А нужно учитывать относительной число инцидентов...

Николай Макаров
16.07.2012 21:29:44

А зачем тебе вообще банковская карта? Чем тебя не устраивают наличные, которые ты сможешь снять со своего "до востребования"лишь явившись лично в банк? Ах, неудобно? Ну-ну...
Ничто не удобнее наличных, несмотря на неоднократные попытки их похоронить.
Мало того, карточный счёт - это самый обычный банковский счёт, с единственным отличием: с него можно снимать деньги при помощи карточек. И всё. Но в отличие от обычного счёта, где так же лежат деньги клиента, которые банк куда-то инвестирует (обычная банковская деятельность), на карточный счёт клиента не капают прОценты. Наоборот, клиент САМ платит. И ни у одного идиота из живущих на Земле не возник вопрос: а что это ещё за говно такое? Почему так происходит? Почему это Я должен ПЛАТИТЬ банку деньги, которые он должен платить МНЕ?
А эти твои игрушки с СМС-ками? Так прям детский сад какой-то! Это как попытка уберечь сотовый телефон от кражи посредством пин-кода. Не глупо ли?
А "колпак" спецслужб и всяких там впаривателей товаров-услуг, которые покупают за большие деньги статистику и количество потраченных клиентом денег у банков и платёжных систем?
И не надо делать круглые глаза и что-то там вещать о банковской тайне: она существует только для прекраснодушных доверчивых дураков и для самих владельцев карт. Да-да, для владельцев: а ты попробуй узнай статистику своих платежей с указанием не только суммы, но и что именно и у кого было куплено. Возможно, что у тебя это получится. После запроса суда, разумеется, куда ты напишешь соответствующее заявление.
А такие дикие сроки восстановления, когда технически вопрос решается за секунды, причём в самом буквальном смысле.
Так что получается, что все эти электронные платежи - забава для пресыщенных чудаков.
Убей пластик - и многие проблемы исчезнут. Правда, добавятся новые. Но не проблемы, а лишь сложности.
вот глянь, что пишет умный человек:
http://i-business.ru/blogs/21474
Кстати, коммунальные платежи вовсе незачем оплачивать карточкой: это можно сделать с привязкой к обыкновенному счёту "до востребования" ежемесячно и автоматически. Как именно - скажут в банке. Возможно, в Сбере тебе начнут промывать уши и склонять именно к пользованию банковской картой, но, прикрикнув, можно добиться своего.
А если у тебя зарплатная карта и тебе деваться некуда, ты можешь, по заявлению, добиться, чтобы тебе все твои зарплатные деньги сразу же переводили на твой счёт "до востребования".

jsub
17.07.2012 10:35:44

smile:) А зачем вообще нужны деньги?

Кстати, коммунальные платежи вовсе незачем оплачивать smile:)

17.07.2012 07:53:47

>>А почему кстати защищенность карт такая низкая?

Исторически сложилось. Магнитная полоса вообще почти незащищена. К тому же с карточек без обязательной электронной авторизации (это любые кредитные типа Visa Classic или Mastercard Standard) можно вообще снимать деньги без предъявления карты, так, собственно, и платят через Интернет. Монополисты Visa и Mastercard фактически намеренно долгие годы блокировали новые чиповые технологии, против них в США даже были процессы на эту тему

>>Кстати, могу себе представить волокиту, которая возникла, будь на моей карточке деньги, доступные для кражи -- сколь занудно пришлось бы возвращать уворованное, доказывая собственную неверблюдовость...

Нет, не можете представить smile:oops: Деньги по операции снятия наличных из банкомата вам не вернули бы ВООБЩЕ. Вернули бы только по операции платежа по карте, если отсутствует слип с вашей подписью. А в банкомате был предъявлен ваш настоящий пин, поэтому вернуть деньги нельзя. Откуда у злоумышленников из Австралии не только данные вашей карты, но и ваш пин, можете строить предположения. Как известно, самые разные базы с персональной информацией продаются чуть ли не на каждом радиорынке.

Правильно писать "скомпрометирована"

17.07.2012 11:17:09

Но ведь я могу доказать (есть свидетели)), что и в Австралии не был, и карточку никому не передавал, была при мне. Неужели все равно бы не вернули? Тогда можно предположить, что это сам Сбербанк и грабит своих клиентов под видом кардеров.

"Скомпрометирована", конечно, да, за это мне реально стыдноsmile:)

23.07.2012 16:41:53

- карточку можно сдублировать и всю информацию и пин послать по e-mail в Австралию. И доказать банку , что так не было, не получится. Просто покажут пальцем в пункт договора, где сказано, что клиент обязан хранить пин

- ваши посты замечательны, очень содержательны, и мелкие опечатки их совсем не портят, извините за дотошность

23.07.2012 21:16:22

То есть фактически, если знать номер карточки и пин, можно без проблем в домашних условиях сделать ее копию? Но это значит,что защищенность равна нулю, потому что современная фото-видеотехника позволяет незаметно заснять и внешний вид карточки, и ввод пина без проблем.

24.07.2012 01:00:57

Внешний вид не нужен, нужен простой считыватель магнитной ленты, при воровстве с банкоматов используют т.н."белый пластик", копию реальной карточки без всяких логотипов, не заморачиваясь на внешний вид. Но, если поперли базу данных или трафик банкомата через вирус в софте, то ничего не поможет, только блокировка украденных карточек

17.07.2012 12:29:46

Сравнительно недавно наблюдал сцену в своем отделении Сбербанка, когда сразу двое слегка ошарашенных владельцев карточек пытались выяснить, что им нужно делать, поскольку ночью с их карточек кто-то снял деньги. Ситуация, похоже, не редкая. Видимо, именно поэтому мне регулярно предлагают в отделении застраховать свою карточку -- предусмотрена такая услуга...

Oblakov
17.07.2012 18:05:37

Я как-то наблюдал такую ситуацию. Установили у нас в учреждении сбербанковский банкомат, кот. перенесли из Пятерочки. Я случайно мимо проходил, когда 2 сбербанковских специалиста, обслуживающих банкомат, возились с ним; и вдруг вижу - знакомая зеленая картинка с паучком, и точно - они антивирус Др.Веб запустили. Прохожу обратно мимо них минут через 15, а там - зоопарк! Более 200 зараженных файлов! Причем среди них - около 10 различных вирусов! И как теперь я могу дальше доверять свою карточку этому банкомату?! Так что не мудрено, если ваш банкомат может быть заражен вирусом, ворующим данные карточек.

23.07.2012 16:53:39

Если это так, то это ужасная информация. Вся информация по картам, включая пины, в таком случае никак не защищена. Не понимаю, откуда могут быть вирусы на стандартном софте компа банкомата. Этот софт вообще нужно не инсталлировать, а ставить с дампа памяти стандартного диска компа банкомата. Если на стандартном софте компа банкомата обнаружены вирусы, то такой софт не лечить надо, а полностью перезаписывать с верифицированной копии диска, поскольку он уже дискредитирован. И проводить служебное расследование.

23.07.2012 21:19:24

По вирусам это так -- в 90-е у меня было много знакомых, которые разрабатывали софт для отечественных банков, и истории, которые они рассказывали в частности про банкоматы под ДОСом, тогда казались забавными приколом, так как все это было не слишком актуально)
С тех пор, видимо, ничего особо не изменилось.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии