Комментарии 39
Интересно, а разве ещё cуществуют банки, которые не следуют этому алгоритму?
Существуют такие банки и их достаточно много.
Если обратить внимание, то ЦБ только сейчас и только в форме «рекомендаций» высылает банкам данную информацию.
Дело в том, что коммерческие банки в России работают по принципу норм и требований законодательства, а не введения инноваций в области защиты информации. Особенно это касается организаций, которые нацелены в основном на целевое кредитование, иначе называемые кредиты «на чайники». Там решение и оформление кредита должно занимать 5 минут, и то что верифицируют хотя бы телефон — уже победа. Многие ликальные партнёры банков вбивают несуществующие адреса для ускорения процесса оформления, а клиенты в такой же спешке всё это подписывают.
Ну а то что e-mail не верифицируются и используются как средства связи и разглашения информации — эта ответственность лежит на стороне клиента с точки зрения договора.Так же в случае предоставления некорректного почтового адреса или смены номера мобильного телефона без информирования банка об этом.
На верификацию будет уходить гораздо больше времени, что повлечёт дополнительные операционные затраты, ну и естественно затраты на разработку самой системы.
Многие ликальные партнёры банков вбивают несуществующие адреса для ускорения процесса оформления, а клиенты в такой же спешке всё это подписывают.

Партнёры? Мне в отделении Альфы при перевыпуске карт вбили какой-то левый адрес вида «noname@mail.ru», при вопросе WTF?!!! — «Ой, у нас программа без этого дальше не пускает :((», после призыва специалиста следующего уровня — всё нормально сработало и без мыла. И про замену SIM — банк на неё отреагировал месяца через три.

Согласен, есть и такие случаи. Ради продаж многое могут делать недобросовестные сотрудники, но пока законодательной ответственности не будет — это есть норма.
Ко всему прочему, понимание людей о персональных данных у нас в стране пока что очень скудное. Те же e-mail если и есть у людей, то используются в основной массе для регистрации на различных сервисах. Многие забивают на чтение и чистку, и, соответственно не относятся к нему как к коммуникационному инструменту.

А проблемы у них из-за этого — были?
Судя по опыту общения — у них по сути две ступени авторизации при использовании каналов поддержки — первый это просто проверяется совпадение e-mail/телефона (или даже не проверяются), могут отвечать на вопросы (в том числе вида — что за бред не работает — но попросят им показать например скриншот), принять заявку и так далее а второе — если нужно через те же каналы техподдержки что-то сделать что однозначно требует не только доступа к данным аккаунта но и сообщить их клиенту или что-то поменять в аккаунте — уйдет СМС на мобильный телефон и попросят сказать код, либо позвонят на этот же телефон. При этом отличать ситуацию когда по телефону с ними говорит НЕ клиент (даже если говорящий знает все данные) — они умеют.
Постоянно приходят письма для клиентов различных банков, являющихся моими однофамильцами и, что характерно, не было ни одного письма от систем подтверждения, с другими сервисами (главным образом, игровые сервисы) ситуация прямо противоположная

Графический ключ и смс при подтверждении почты вроде бы ни разу не видел. Везде уникальная ссылка идёт.

Интересно, а разве ещё cуществуют банки, которые не следуют этому алгоритму?

Да, существуют и нормальные банки.
Использование СМС как второго фактора запрещено с осени 2019 года в Европе из-за небезопасности этого метода (можно провести аналогию с HTTP без TLS).

А какой тогда второй фактор используется? И в какой Европе: EU, EEA, Eurozone?
Их огромное количество. Регулярно получаю на один из своих ящиков (фамилия@mail.ru, которому больше 20 лет) выписки из банков для левых людей.
Смежная тема: периодически на разных форумах в рунете появляются вопросы о возможности переадресации СМС, и только недавно до меня дошло наконец, что это можно использовать для банковских краж и угона (или временного перехвата для угона самого канала) аккаунтов в Телеграм (у владельцев раскрученных т-каналов) без привлечения других известных но недешевых средств.
Однако ответы на эти вопросы бывали с подробными обзорами, как и у кого из Б4 переадресация СМС возможна.
В таком случае почему переадресация СМС не запрещена громко и публично, как давно предупреждают о суточной блокировке СМС после любой замены СИМ?
Тоже интересно, как это работает. И так же интересно, как возможна подмена номера телефона, у сетей, получается, нет никаких проверок?

Занятно, но после смены сим карты, т.е. изменения IMSI, сбер заблочил мне все смски, пока я не обратился в техпод. Совпадение? Не думаю. Но почти наверняка есть разные ситуации и, если, например, перевыпуск сим банк "палит", то вот переадресацию может и не запалить.

Уже лет десять, если не больше, при перевыпуске симки сотовый оператор извещает банк.

Если у банка есть договор с этим сотовым оператором. Последний раз, когда я поменял симку, пчелайн просто сообщил мне, что в течение суток я не буду получать вообще никаких смс от банков.

Никто никого не извещает. Узнать номер IMSI и прочие данные может вообще любой, достаточно знать номер телефона. Сделать это можно например здесь и заблокировать эту возможность нельзя, она заложена в сам GSM протокол.

Работает это так:
SMS-центр делает вид, что собирается послать вам SMS. По номеру вашего телефона можно смаршрутизировать запрос в вашу сеть: «Куда сейчас направлять SMS для этого адресата?» В ответе вашей сети, содержащем сведения о вашей SIM-карте, сообщаются все вышеназванные сведения. SMS-центр сохраняет эти данные, а саму посылку SMS не производит.
проверил на своем телефоне -выдает неверный имси
похоже оператор подставляет какой-то свой служебный для приема смс

В договоре с банком явно прописан пункт о передаче моих данным операторам, чтобы те их извещали о смене сим

Совпадение. Два месяца назад менял симки ни один банк (не только Сбер) не почесался.

К слову расскажу: пару лет назад жена заменила симку (нужна была меньшего формата для нового телефона), при этом ей вернули старую, которую мы зачем-то оставили в старом телефоне. С удивлением обнаружили, что симка продублировалась, то есть на старый телефон приходили копии СМС, в том числе и банковские.

C банковскими СМС это так просто не работает. Даже когда клиент именно этого и хочет, и насколько помню в описании соответствущих услуг Б4 — об этом прямо говорится (правда не говорится по какому критерию СМС — банковская).
перед первой отправкой сообщений по электронной почте банк должен проверять, действительно ли хранящийся в его базе данных адрес электронной почты принадлежит клиенту…
… клиент уведомляется об этом событии по телефону или лично

Эээ ну т.е. их не смущает, что этим они рассказывают непойми кому, что «у нас в банке есть клиент с таким-то email-адресом»?
Там же сначала приходит смс, затем ссылка (не обязательно с именем), и пройдя по ссылке надо будет ввести смс с телефона. Таким образом делается связка Клиент-Email-Телефон.
Нет, это только на третьем шаге. А уведомление отправляется уже на первом.
Ситуация: оформляешься в банке, а тебе говорят, что твой номер телефона уже в базе, но не принадлежит тебе. Значит тебе надо подтверждение, что номер теперь твой. Идёшь к оператору, а оператор не имеет формы для выдачи по месту требования. Значит нужно найти свой договор (некоторые его уже выкинули), пойти к нотариусу, заверить документ и принести в банк, чтоб твой номер отвязали от другого клиента.

Выводы: зачем нужен банк? Храните ваши денежки наличкой под матрасом. Целее будут.
что твой номер телефона уже в базе
Просто говоришь «он всё-таки мой», вводишь код из СМС, и всё. Система подтвердилась, что номером действительно владеешь. Не вижу проблем и противоречий.
Если «номер теперь твой», то не вижу проблемы предоставить свою копию договора об оказании услуг связи, который выдается при подключении. Не выдали или купил симку в переходе? Это уже не проблемы банка.

С момента подключения могло пройти лет 10. Я сейчас даже не припомню, где мой договор на телефон хранится дома...

Договору 19 лет, чернила подвыцвели, но вполне читаемо. Лежит с кучей других бумаг в известном месте.

У меня тоже лежало несколько договоров от которых симок (и номеров соответственно) нет уже более 10 лет. Я бы не поверил что ваш договор всё ещё действителен.
Я номер заводил лет 15-20 назад. Уже даже и не помню когда.
Ви таки думаете, что у меня сохранился договор? Тем более, что он был с оператором Ermak, который в дальнейшем влился в РТ, а затем мобильное подразделение РТ стало называться Теле2.
И будь у меня копия договора с Ermak — как банк проверит его подлинность?
В приведенном варианте как раз легче и украсть номер, предъявив договор с уже несуществующим оператором, как якобы реальным.

А почему нельзя подписывать почту с помощью сертификатов, полученных на аккредитованных Минкомсвязью Удостоверящих Центрах (УЦ)?

Думают о том, как клиент будет это проверять?
Если для «обычной» подписи электронной почты есть S/MIME, и какая-никакая поддержка на уровне клиентского ПО(и extensions для всяких gmail'ов) то ГОСТовские подписи проверить проверить не так уж просто.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.