Інформаційна безпека

Антифрод. Закон. Стільниковий зв’язок: мої питання

Останнім часом часто доводиться стикатися з антифрод-рішеннями. Вони є не тільки у банків і ЕРС (електронних платіжних систем), але, скажімо, і у:

  1. Сервісів таксі, подібних Uber, Maxim, Яндекс.Таксі і т. д.;
  2. Поштових сервісів;
  3. Інтернет-магазинів;
  4. Логістичних компаній…

Що цікаво, антифрод-рішення фактично ні в одних з найбільш помітних і за своїм великих гравців ринку — у операторів стільникового зв’язку.

Точніше з 2012 року багато з них ввели антифрод-рішення для запобігання обридлих всіх рекламних розсилок: хтось реалізував це трохи краще, хтось трохи гірше, але в цілому спамний трафік впав у два рази в перший же місяць введення фільтрів.

Але по Росії не перестають бити заряди нової напасті — незаконної заміни sim-карт, до яких прив’язаний, як правило, Ощадбанк, трохи рідше — ЕПС, ще рідше — інші фін. установи.

На сьогодні мені вдалося проаналізувати трохи більше 100 рішень і приблизно 2000 скарг із відкритих джерел за різними ОСС (іноді їх чомусь скорочують як ОпСоСы).

Нижче мені хотілося б донести до співробітників цих самих ОСС, що взагалі-то є законно встановлені вимоги про надання Безпечності (так, прямо ось так — з великої літери) і Якісної послуги. Крім того, від оператора в імперативному порядку часто вимагають повторної перевірки даних про абонента у разі обробки первинної інформації агентом.

Наприклад:

  1. ст. 4 і 7 Закону про захист прав споживачів (ЗЗП);
  2. ст. 44 ФЗ «ПРО зв’язок»
  3. п. 53 Постанови Уряду РФ «ПРО порядок надання послуг телефонного зв’язку»;
  4. ст. 19 ФЗ «ПРО персональних даних»… і т. д.

Що на мій погляд можна реалізувати і відносно просто?

1. Те, що ОСС роблять, коли беруть з абонентів плату за роумінг, тобто визначати місце розташування клієнта. Коли це може знадобитися? Наприклад, коли сім-карту намагаються замінити в одному місті, а сам абонент знаходиться в іншому. Скажімо, абонент знаходиться в 20.00 в Іркутську, а в 20.15 приходить в офіс р. в Тайшеті (відстань — понад 600 км) — виглядає це трохи дивно, чи не правда? Саме дивне в тому, що це абсолютно не бентежить ОСС та їх співробітників. І так: теза про те, що “ми не маємо право стежити за абонентами” — не бере за душу, зізнаюся чесно: роумінг і подібні послуги реалізовані? Значить і на користь клієнтам можна працювати в тому ж напрямку. До речі, на Хабре можна відразу почитати, як не треба налаштовувати антифрод-рішення з географії.

2. Останнім часом багато, але не всі, стали висилати «СМС останньої надії», тобто при заміні SIM на номер, на якому цю саму SIM змінюють, приходить СМС з текстом наприклад: «Ув. Абонент! В даний час відбувається заміна сім-карти, якщо це не ви — зверніться до нас». Проблема в тому, що ці СМС можуть прийти не вчасно, або в місці, де навіть смс не доходять; або СМС можна помітити занадто пізно (скажімо, чоловік пішов у магазин і залишив телефон вдома — та хіба мало може бути причин?). І все ж навіть такий, до неможливості банальний спосіб допомагає в багатьох випадках. Що ще додати? Наприклад, якщо у людини кілька сім-карт, можна надсилати сповіщення на кожну (скажімо, у модемі або планшеті), а також — при технічній можливості зв’язатися для підтвердження особи. Так, це буде коштувати операторам 10-15 секунд для зв’язку і якихось неймовірних грошей на відправку СМС, але це те, що вимагає закон, панове.

4. Найпростіший і розповсюджений спосіб “злому” — це коли SIM міняють на підставну особу (за довіреністю, з “тимчасовим посвідченням особи” і т. д.), а потім відразу починають перебирати сервіси, які можуть бути підключені: 900 — Ощадбанк, 7494 — Qiwi і так далі. Безумовно, використовується при цьому послуга Мобільного платежу (списали кошти, скажімо, з Ківі на баланс, потім з балансу на віртуальну карту). Тому тут дуже добре підійде фільтр від mail.ru, що був розкритий на Хабрі: якщо людина не користувався зроду мобільним платежем, а ще й була у нього заборона на платний контент, а тут «раптом» після заміни сімки став різко переводити гроші з різних джерел — саме час йому зателефонувати і уточнити інформацію, хоча б кодове слово, а краще — що-небудь більш оригінальне. Це знову забере час ОСС, але, повірте, інакше вони все одне його витрачають в нескінченних судах та державних органах, відповідаючи на численні позови та скарги розлючених клієнтів.

5. Ще один простий фільтр — навчанняможна виявити основні шаблони і розповісти про них співробітникам (точно також, як ОСС в своїх салонах вчать цих співробітників торгувати).

Наприклад: якщо людина приходить у салон зв’язку перед самим закриттям, з тимчасовим посвідченням/довіреністю і просить «негайно змінити сім-карту» не обов’язково відмовляти в наданні цієї, безумовно важливої, послуги, але можна проявити граничну пильність: попросити заповнити від руки заяву на заміну sim; відксерокопіювати наданний документ (довіреність); вислати «СМС останньої надії» в обов’язковому порядку ДО моменту заміни sim; звірити фотографію…

До речі, можете не вірити, але у більшості ОСС досі немає такої функції: в сенсі, коли ви укладаєте договір і потім — коли багато і довго платите, буваючи в офісі, можуть зробити Ваше фото, але в 90% випадків при заміні sim шахраєм на нього навіть не подивляться. Так, це знову дорого. Напевно — це дорого.

Взагалі, скажу чесно (не як it-юрист, а як рядовий користувач): ОСС мене просто до неможливості дивують!

Отримуючи загалом непогані прибутки і роблячи цілком шикарні обороти, маючи партнерство з різними IT-компаніями та впроваджуючи досить цікаві фішки в сервісах, вони досі не готові розщедритися на добротний антифрод. Та найбільше дивує, що це не чиясь забаганка — а вимога законодавства.

Це важливо:

  1. Донести до потенційних працівників ОСС, що їх клієнти втомилися від того безладу, що твориться у сфері заміни sim (я не вірю корпораціям, але я вірю в конкретних людей);
  2. Почути від різних користувачів доповнення — що можна зробити «просто і відносно швидко» для вирішення проблем, що склалися;
  3. Нарешті, дати поживу для розуму тим, хто шукає ідею для стартапу: повірте, в цій області ідей — океан і ще півсклянки.

Зі спостережень:

  1. Непогано зробив Тінькофф банк (не знаю тільки — як?): при заміні тепер треба дзвонити і додатково підтверджувати, що “ти — це ти”;
  2. Мегафон реалізував супер-простий, але по-своєму надійний функціонал: замінив сім? Ніяких СМС 3 дні! Хто може підтвердити?
  3. Ощадбанк додаток досить давно не працює при заміні SIM, але це рішення, як розумію, далеко від рівня співпраці СБ та ОСС. Аналогічно — Альфа.
  4. Далі — чекаю прикладів від Вас, читачі.

Навіщо це мені потрібно? Тема надто гостра. Звернень досить багато. Буду вдячний за будь-яку допомогу.

І так, ще одне, останнє на сьогодні, зверненні до ОСС: у Ваших руках — договірні відносини з банками. Хоча б найбільші і самі технологічні. Це не складно: зовсім не складно — оповістити при заміні SIM для додаткових перевірок. Втім, питання: а кому це потрібно?

Related Articles

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Close