Антифрод. Закон. Стільниковий зв’язок: мої питання

Останнім часом часто доводиться стикатися з антифрод-рішеннями. Вони є не тільки у банків і ЕРС (електронних платіжних систем), але, скажімо, і у:

  1. Сервісів таксі, подібних Uber, Maxim, Яндекс.Таксі і т. д.;
  2. Поштових сервісів;
  3. Інтернет-магазинів;
  4. Логістичних компаній…

Що цікаво, антифрод-рішення фактично ні в одних з найбільш помітних і за своїм великих гравців ринку — у операторів стільникового зв’язку.

Точніше з 2012 року багато з них ввели антифрод-рішення для запобігання обридлих всіх рекламних розсилок: хтось реалізував це трохи краще, хтось трохи гірше, але в цілому спамний трафік впав у два рази в перший же місяць введення фільтрів.

Але по Росії не перестають бити заряди нової напасті — незаконної заміни sim-карт, до яких прив’язаний, як правило, Ощадбанк, трохи рідше — ЕПС, ще рідше — інші фін. установи.

На сьогодні мені вдалося проаналізувати трохи більше 100 рішень і приблизно 2000 скарг із відкритих джерел за різними ОСС (іноді їх чомусь скорочують як ОпСоСы).

Нижче мені хотілося б донести до співробітників цих самих ОСС, що взагалі-то є законно встановлені вимоги про надання Безпечності (так, прямо ось так — з великої літери) і Якісної послуги. Крім того, від оператора в імперативному порядку часто вимагають повторної перевірки даних про абонента у разі обробки первинної інформації агентом.

Наприклад:

  1. ст. 4 і 7 Закону про захист прав споживачів (ЗЗП);
  2. ст. 44 ФЗ «ПРО зв’язок»
  3. п. 53 Постанови Уряду РФ «ПРО порядок надання послуг телефонного зв’язку»;
  4. ст. 19 ФЗ «ПРО персональних даних»… і т. д.

Що на мій погляд можна реалізувати і відносно просто?

1. Те, що ОСС роблять, коли беруть з абонентів плату за роумінг, тобто визначати місце розташування клієнта. Коли це може знадобитися? Наприклад, коли сім-карту намагаються замінити в одному місті, а сам абонент знаходиться в іншому. Скажімо, абонент знаходиться в 20.00 в Іркутську, а в 20.15 приходить в офіс р. в Тайшеті (відстань — понад 600 км) — виглядає це трохи дивно, чи не правда? Саме дивне в тому, що це абсолютно не бентежить ОСС та їх співробітників. І так: теза про те, що “ми не маємо право стежити за абонентами” — не бере за душу, зізнаюся чесно: роумінг і подібні послуги реалізовані? Значить і на користь клієнтам можна працювати в тому ж напрямку. До речі, на Хабре можна відразу почитати, як не треба налаштовувати антифрод-рішення з географії.

Читайте також  Через уразливості в системі захисту електромобілів Tesla викрасти машину можна за кілька секунд

2. Останнім часом багато, але не всі, стали висилати «СМС останньої надії», тобто при заміні SIM на номер, на якому цю саму SIM змінюють, приходить СМС з текстом наприклад: «Ув. Абонент! В даний час відбувається заміна сім-карти, якщо це не ви — зверніться до нас». Проблема в тому, що ці СМС можуть прийти не вчасно, або в місці, де навіть смс не доходять; або СМС можна помітити занадто пізно (скажімо, чоловік пішов у магазин і залишив телефон вдома — та хіба мало може бути причин?). І все ж навіть такий, до неможливості банальний спосіб допомагає в багатьох випадках. Що ще додати? Наприклад, якщо у людини кілька сім-карт, можна надсилати сповіщення на кожну (скажімо, у модемі або планшеті), а також — при технічній можливості зв’язатися для підтвердження особи. Так, це буде коштувати операторам 10-15 секунд для зв’язку і якихось неймовірних грошей на відправку СМС, але це те, що вимагає закон, панове.

4. Найпростіший і розповсюджений спосіб “злому” — це коли SIM міняють на підставну особу (за довіреністю, з “тимчасовим посвідченням особи” і т. д.), а потім відразу починають перебирати сервіси, які можуть бути підключені: 900 — Ощадбанк, 7494 — Qiwi і так далі. Безумовно, використовується при цьому послуга Мобільного платежу (списали кошти, скажімо, з Ківі на баланс, потім з балансу на віртуальну карту). Тому тут дуже добре підійде фільтр від mail.ru, що був розкритий на Хабрі: якщо людина не користувався зроду мобільним платежем, а ще й була у нього заборона на платний контент, а тут «раптом» після заміни сімки став різко переводити гроші з різних джерел — саме час йому зателефонувати і уточнити інформацію, хоча б кодове слово, а краще — що-небудь більш оригінальне. Це знову забере час ОСС, але, повірте, інакше вони все одне його витрачають в нескінченних судах та державних органах, відповідаючи на численні позови та скарги розлючених клієнтів.

Читайте також  Уразливість в Bluetooth відкриває можливості для атаки на бездротові точки доступу

5. Ще один простий фільтр — навчанняможна виявити основні шаблони і розповісти про них співробітникам (точно також, як ОСС в своїх салонах вчать цих співробітників торгувати).

Наприклад: якщо людина приходить у салон зв’язку перед самим закриттям, з тимчасовим посвідченням/довіреністю і просить «негайно змінити сім-карту» не обов’язково відмовляти в наданні цієї, безумовно важливої, послуги, але можна проявити граничну пильність: попросити заповнити від руки заяву на заміну sim; відксерокопіювати наданний документ (довіреність); вислати «СМС останньої надії» в обов’язковому порядку ДО моменту заміни sim; звірити фотографію…

До речі, можете не вірити, але у більшості ОСС досі немає такої функції: в сенсі, коли ви укладаєте договір і потім — коли багато і довго платите, буваючи в офісі, можуть зробити Ваше фото, але в 90% випадків при заміні sim шахраєм на нього навіть не подивляться. Так, це знову дорого. Напевно — це дорого.

Взагалі, скажу чесно (не як it-юрист, а як рядовий користувач): ОСС мене просто до неможливості дивують!

Отримуючи загалом непогані прибутки і роблячи цілком шикарні обороти, маючи партнерство з різними IT-компаніями та впроваджуючи досить цікаві фішки в сервісах, вони досі не готові розщедритися на добротний антифрод. Та найбільше дивує, що це не чиясь забаганка — а вимога законодавства.

Це важливо:

  1. Донести до потенційних працівників ОСС, що їх клієнти втомилися від того безладу, що твориться у сфері заміни sim (я не вірю корпораціям, але я вірю в конкретних людей);
  2. Почути від різних користувачів доповнення — що можна зробити «просто і відносно швидко» для вирішення проблем, що склалися;
  3. Нарешті, дати поживу для розуму тим, хто шукає ідею для стартапу: повірте, в цій області ідей — океан і ще півсклянки.
Читайте також  SEO-оптимізація картки товару: покрокова інструкція + лайфхаки

Зі спостережень:

  1. Непогано зробив Тінькофф банк (не знаю тільки — як?): при заміні тепер треба дзвонити і додатково підтверджувати, що “ти — це ти”;
  2. Мегафон реалізував супер-простий, але по-своєму надійний функціонал: замінив сім? Ніяких СМС 3 дні! Хто може підтвердити?
  3. Ощадбанк додаток досить давно не працює при заміні SIM, але це рішення, як розумію, далеко від рівня співпраці СБ та ОСС. Аналогічно — Альфа.
  4. Далі — чекаю прикладів від Вас, читачі.

Навіщо це мені потрібно? Тема надто гостра. Звернень досить багато. Буду вдячний за будь-яку допомогу.

І так, ще одне, останнє на сьогодні, зверненні до ОСС: у Ваших руках — договірні відносини з банками. Хоча б найбільші і самі технологічні. Це не складно: зовсім не складно — оповістити при заміні SIM для додаткових перевірок. Втім, питання: а кому це потрібно?

Степан Лютий

Обожнюю технології в сучасному світі. Хоча частенько і замислююся над тим, як далеко вони нас заведуть. Не те, щоб я прям і знаюся на ядрах, пікселях, коллайдерах і інших парсеках. Просто приходжу в захват від того, що може в творчому пориві вигадати людський розум.

You may also like...

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *