Category: криминал

Платежи в мобильном телефоне

Все наши платежи стремительно перемещаются в мобильные телефоны. Не только личные платежи, но и юрлицовые – удобное приложеньице в смартфоне, никаких тебе тяжеловесных десктопных банк-клиентов, вечного источника мучений бухгалтеров и офис-менеджеров… Минус еще одно препятствие к удобному малому бизнесу или фрилансу.

А вот безопасность платежей обеспечена смс-ками или пуш-уведомлениями, приходящими НА ЭТОТ ЖЕ ТЕЛЕФОН. То есть, например, подсмотрел жулик в кафе, какой 4-значный код вы вводите в телефон, и какой в банковское приложение. Всего два подсмотренных 4-значных кода. А то и один, что-то мне подсказывает, что у многих людей это одна и та же любимая цифра, какой-нибудь год рождения и т.п. И все – телефон можно спокойно красть, и делать с него кучу платежей в любых направлениях. Смс-ки с переменными кодами-то приходят на него же!

Много лет назад, помню, в ВТБ24 была «карта переменных кодов», которую рекомендовалось хранить отдельно. Для каждого платежа требовался код с этой карты; чтобы его прочитать, нужно было монеткой соскоблить с карты покрытие. Потом эту карту заменили на digipass (на фото к посту), такой мини-калькулятор, генерирующий одноразовые пароли. В Европе такие до сих пор активно используются, хотя тоже вытесняются смс-ками.

Мне вот как-то с этими олдскульными технологиями было поспокойнее. А вот с смс-ками, приходящими на тот же телефон, где делаешь платежи – переживательно. А вам?

Электронно-цифровые подписи

Друзья, последние месяцы активно обсуждались мошенничества с электронно-цифровой подписью, легкость ее получения в рейдерских целях, и особенно остро дискутируемое – слухи / сплетни о планах государства убить частную отрасль удостоверяющих ЭЦП центров и сделать выдачу ЭЦП функцией одного госоргана, скорее всего ФНС.

Нам тут для одного проекта потребовалась корпоративная ЭЦП. Приезжает курьер за моей подписью. Я спрашиваю – «Нужно ведь паспорт показать?» (а я готовился заранее, проверил что паспорт есть с собой). «Да нет, не нужно, мы вам верим на слово». Ладно, у меня бизнес консалтинговый, рейдерить нечего – а был бы я владельцем завода, торгового центра, да хотя бы грузовика-дальнобойщика или десятка машин, сдаваемых в аренду таксистам, в общем, чего-нибудь, что могли с помощью «моей» электронной подписи увести?

То есть любой злоумышленник может так получить ЭЦП за директора любой фирмы, имея копию его паспорта (что не очень сложно) и внимательно прочитав ее сайт. Грамотно построить общение с удостоверяющим центром по телефону – и вуаля, «мы вам верим на слово». Я вообще «за» то, чтобы все, что может сделать частный бизнес, а не государство, делал частный бизнес – он обычно делает это проще, лучше и быстрее государства. Но вот в случае с ЭЦП как-то хочется прислушаться к аргументам сторонников госмонополии.