Jump to content

Угнали учетную запись


Recommended Posts

Nimius

Здравствуйте.

У меня угнали учетную запись.

Последовательность действий следующая:

 

Примерно в 19:40 приходит уведомление на мой почтовый ящик о том, что моя почта и мой телефон были изменены по какому то заявлению.

 

Как получилось что злоумышленник смог поменять и почту и телефон? При этом меня только уведомили по почте!!!

 

И как дальше быть?

  • Thanks 1
Link to post
Share on other sites
  • Replies 104
  • Created
  • Last Reply

Top Posters In This Topic

  • Rihter

    28

  • AntFX

    18

  • ghenghea

    8

  • Djesiks

    6

Top Posters In This Topic

Popular Posts

Один раз уже делали такую замену, помнится.   Считаю совершенно недопустимым менять персональные данные клиента всего лишь по заявлению со сканом паспорта. Такой скан может быть в десятке мест у раз

Предполагаю, что Вы просто не знаете, как действуют злоумышленники, когда захватывают Личные Кабинеты физлиц и выводят оттуда сотни тысяч рублей в течение нескольких минут. А я знаю, я изучал эту тему

Поясню ещё раз, так как многобукв в моем посте выше, небось, никто не осилил.   Усложнения в моём предложении нет вообще. Для всех ВСЁ ОСТАЕТСЯ КАК БЫЛО, им ничего писать не надо. Но кто хочет (при

Djesiks

Здравствуйте.

У меня угнали учетную запись.

Последовательность действий следующая:

 

Примерно в 19:40 приходит уведомление на мой почтовый ящик о том, что моя почта и мой телефон были изменены по какому то заявлению.

 

Как получилось что злоумышленник смог поменять и почту и телефон? При этом меня только уведомили по почте!!!

 

И как дальше быть?

 

Здравствуйте!

Изменение личных данных возможно только по предоставлению заявления на смену данных с приложением сканов паспорта.

Очевидно, злоумышленники каким-либо образом имели доступ к документу или его сканам / фотографиям.

Пока никаких действий по выводу из личного кабинета не предпринималось.

На текущий момент Ваш личный кабинет заблокирован до выяснения обстоятельств.

Для разблокировки личного кабинета и восстановления данных, обратитесь, пожалуйста, в отдел платежей по телефону   8 800 200 01 31 или +44 2031 293799 (доб.2)

 

  • Thanks 1

С уважением, Анастасия Яковлева
Альпари
Будь в курсе! Оперативное информирование о всех важных изменениях в компании на Telegram https://t.me/alpariltd/

Link to post
Share on other sites
Rihter

Изменение личных данных возможно только по предоставлению заявления на смену данных с приложением сканов паспорта.

 

Разъясните пожалуйста, правильно ли я понял, что нынче для смены е-mail и номера телефона, которые в ЛК, достаточно отправить скан паспорта и скан заявления на смену оных на соответствующий е-mail службы поддержки?

 

Если это так, то можно констатировать, что стало намного удобнее - ведь раньше, если не ошибаюсь, требовался личный визит владельца ЛК с паспортом в один из офисов/представительств ;)

Link to post
Share on other sites
DIMtrade

Занятная картина выходит.
Обычно у трейдера открыто куча счетов у различных брокеров, где загружены те же самые документы. Альпари - один из популярных в РФ и не трудно догадаться, что у активного трейдера там есть ЛК. Выходит, что если произошла утечка у какого-либо другого брокера, то теоретически, злоумышленники могут завладеть ЛК в Альпари.

И что нужно сделать, чтоб этого избежать?

  • Thanks 1

Платформа для построения ТС и исследования рынка. Бьёт белке в глаз.
Мониторинг Myfxbook.comОсновная ПАММ ветка

Не Уже использую мартингейл, усреднения, сетки, локи и пересиживание

Link to post
Share on other sites
AntFX

Есть возможность увеличить надежность доступа, и при этом избежать личных визитов в офис (которые могут быть очень не удобными, если клиент в другом регионе), если ввести такую штуку как PhotoID.

Клиент фотографирует себя со своим открытым паспортом в руке и предварительно загружает фото в ЛК. Далее, при необходимости изменить данные доступа к ЛК или счетам, можно связаться по скайпу с представителем компании, который сверит личность клиента и подтвердит его намерения.

Edited by AntFX
  • Upvote 1
  • Thanks 2

1

Link to post
Share on other sites
Djesiks

Разъясните пожалуйста, правильно ли я понял, что нынче для смены е-mail и номера телефона, которые в ЛК, достаточно отправить скан паспорта и скан заявления на смену оных на соответствующий е-mail службы поддержки?

 

Да, этого будет достаточно. Если у Вас есть доступ к номеру мобильного телефона, который указан в ЛК, Вы сможете самостоятельно изменить е-mail и номера телефона в Личном кабинете, в разделе Личные данные / Карточка клиента.

 

Занятная картина выходит.

Обычно у трейдера открыто куча счетов у различных брокеров, где загружены те же самые документы. Альпари - один из популярных в РФ и не трудно догадаться, что у активного трейдера там есть ЛК. Выходит, что если произошла утечка у какого-либо другого брокера, то теоретически, злоумышленники могут завладеть ЛК в Альпари.

 

И что нужно сделать, чтоб этого избежать?

 

Это единичный случай. Такие ситуации больше не встречались в моей практике. В любом случае, при малейших подозрениях, мы рекомендуем Клиентам менять все пароли к торговым счетам и ЛК, обращаться в отдел платежей (8800-2000-131 по России бесплатно или написать на [email protected]) для блокировки Личного кабинета.


С уважением, Анастасия Яковлева
Альпари
Будь в курсе! Оперативное информирование о всех важных изменениях в компании на Telegram https://t.me/alpariltd/

Link to post
Share on other sites
Rihter
Такие ситуации больше не встречались в МОЕЙ практике.

 

Предполагаю, что Вы просто не знаете, как действуют злоумышленники, когда захватывают Личные Кабинеты физлиц и выводят оттуда сотни тысяч рублей в течение нескольких минут. А я знаю, я изучал эту тему год назад.

 

У злоумышленников для этой цели имеются уже сложившиеся преступные группы - и это точно известно, ибо они совершают слаженные действия сразу в нескольких городах в разных концах страны в течение нескольких минут - и это может сделать только сложившаяся группа.

 

А совершать действия в разных концах страны им есть прямой резон - ибо когда в Томске или Владивостоке утро, то в Москве или в Украине (откуда вроде Nimius) владельцы ЛК как раз спят. И поэтому не видят приходящих им СМС или Email-оповещений о смене номеров, паролей, и о выводе денег - и не могут оперативно заблокировать эти операции, позвонив в соответствующую службу поддержки, ибо сами в это время спят.

 

Но даже если позвонят, то вряд ли это поможет. Не для того же злоумышленники творят свои дела, чтобы давать жертве шансы! Профессиональные злоумышленники захватывают доступ к ЛК (меняют пароли и т.п.) и выводят деньги в течение нескольких минут от начала взлома - со скоростью установления интернет соединения и ввода паролей с СМС-кодами подтверждения операций. А жертве даже при мгновенной реакции надо ещё вспомнить номер телефона службы поддержки, набрать его и проДраться через голосовые меню с музыкой ожидания соединения с оператором. Сами прикиньте, что будет быстрее... (хотя иногда особо продвинутые жертвы успевают заблокировать ЧАСТЬ выводов - были и такие случаи...)

Были и более продвинутые кражи, когда злоумышленники выжидали момент, когда жертва уезжает в отпуск за границу и НЕ берёт с собой свой местный телефон - выключает его, соответственно и СМС не видит... Но это уже оффтоп...

 

На всё сказанное имеются документальные подтверждения, в том числе (но не только) копии обращений жертв в правоохранительные органы и решения судов. Так что это не вымысел.

 

Но это не моя работа!!!!! Доказывать вам, что кражи возможны!!! Любой специалист по безопасности должен это знать лучше меня!

_________

 

Я ещё год назад задал себе вопрос - почему же тогда в Альпари не крадут деньги из личных кабинетов клиентов? Точнее крадут, но очень редко:

 

единичный случай

 

- точнее, единичные случаи. Один из предыдущих (что я застал в 2016 году - но были и до этого примерно в 2011-12 году) - это случай с natalivit. На здешнем форуме была эта тема, но сейчас не могу её найти - скорее всего, она была в разделе Вопросов по платежам, который удалён целиком. Но гугл об этом случае знает, модель поиска "Претензия от natalivit" - привожу на случай, если кто-то мне не верит...

Сразу скажу, что там жертва сама "лоханулась", Альпари напрямую НЕ ВИНОВАТЫ - однако УЯЗВИМОСТИ ТОГДА ВСКРЫЛИСЬ! Но тогда всё было также списано на "единичный случай" и "жертва сама виновата"...

Именно этот случай с natalivit и сподвиг меня тогда на исследование вопросов безопасности и способов краж......

 

Так вот, почему же всё-таки при таком раскладе в Альпари не крадут деньги из личных кабинетов клиентов систематически?

Моя версия проста. Это просто потому, что злоумышленники этим не заинтересовались. А не потому, что защита хорошая.

Ну вот взломали они ЛК Нимиуса, и что они там увидели?.. Нимиуса ещё в 2011-12 годах обзывали "10-баксовым инвестором", у него портфель был с инвестициями по 10 баксов, соотв. ветка на форуме где-то есть...

Взламывает хакер ЛК, или же посылает на мыло Альпари скан паспорта (это при нынешнем положении дел для преступной группы вообще не проблема ни разу - сканы наших паспортов есть в десятке разных инстанций, в том числе у сотовых операторов, что вообще финиш) - взламывает и видит там 100-300 баксов, которые к тому же распределены по ПАММам - для вывода ждать ролловера надо... Да на кой такое преступнику надо! Их суммы менее 100 000 рублей вообще не интересуют!

Короче, киберпреступники банковские Личные Кабинеты нынче взламывают, а не ЛК у форекс-брокеров...

Вот на этом-то тутошняя безопасность и держится :yes:

______________

 

Привет всем управам и трейдерам, кто при регистрации у Метаквотсов своё истинное ФИО раскрыл. Это как раз то, чего злоумышленникам ранее не хватало, как вы теперь понимаете ;)

Ну, правда, те управы, кто регит в Альпари 10 ников на подставных лиц, чтобы открывать ПАММы с разных аккаунтов, находятся в гораздо большей безопасности - их-то фиг вычислишь... :crazy: Впрочем, они и каждый бакс сверх КУ как правило тут же выводят... Сорри за оффтоп :)

Edited by Rihter
  • Thanks 5
Link to post
Share on other sites
DIMtrade

Одно радует. Если все средства в ПАММ-счетах, то это требует дополнительных телодвижений и не менее 2 часов времени, пока они ликвидируются. За это время можно успеть заметить угон, если постоянно за компом. А вот если нет....

Edited by DIMtrade

Платформа для построения ТС и исследования рынка. Бьёт белке в глаз.
Мониторинг Myfxbook.comОсновная ПАММ ветка

Не Уже использую мартингейл, усреднения, сетки, локи и пересиживание

Link to post
Share on other sites
Rihter

 

 

Как получилось что злоумышленник смог поменять и почту и телефон? При этом меня только уведомили по почте!!!

 

Привет! Мы уже несколько лет как знакомы по форуму. Надеюсь, ты не в обиде, что я вспомнил про "10-баксового инвестора". Конечно, таким объёмам твоих инвестиций была причина - зачем инвестировать больше при тестировании, тем более, что управы и эти деньги сливали...

 

Просьба проинформировать нас о подробностях и результатах, всё-таки здесь ещё есть те, кому интересна тема безопасности.

 

Мне вот интересно, почему злоумышленники не вывели деньги из твоего ЛК? Ведь они это обычно делают сразу...

Было очень мало денег и они раскиданы по ПАММам, так что они побрезговали такой суммой или побоялись, что их засекут?

Или же у тебя установлено ограничение на вывод только на банк?

  • Thanks 2
Link to post
Share on other sites
AntFX
Сразу скажу, что там жертва сама "лоханулась", Альпари напрямую НЕ ВИНОВАТЫ - однако УЯЗВИМОСТИ ТОГДА ВСКРЫЛИСЬ!

Рихтер, думаю, ты не будешь спорить с тем, что безопасность клиентских счетов так или иначе можно разделить на 3 группы:

1) Степень безопасности, которую обеспечивает та или иная компания своими внутренними регламентами

2) Степень безопасности, которую обеспечивает сам владелец счета, чтобы его аккаунт не украли (ставит антивирус, придумывает разные и сложные пароли, использует надежную почту, не лазить по сомнительным сайтам, не открывать сомнительные ссылки и так далее)

3) Всегда остается часть ситуаций, когда пункты 1 и 2 не помогают, и тогда уже нужно обращаться в компетентные органы по факту взлома.

У разных компаний различается баланс между пунктами 1 и 2, безопасностью, которую обеспечивает компания, и безопасностью, которую должен себе обеспечивать сам клиент, соблюдая меры предосторожности. При этом, чем выше баланс в сторону пункта 1, тем становится неудобнее пользоваться сервисами клиентам вне ситуаций враждебного доступа. То есть у банков гораздо больше степеней защиты, чем у форекс-брокеров, но и доступ к их ЛК и совершение операций бывает более затрудненным и проблематичным. В том числе, разумеется, смена реквизитов доступа, которые вообще невозможны без личного визита в банк. При этом, как ты сам сказал, мошенники и эти счета умудряются взламывать. Как ты думаешь, нужно это клиентам Альпари или нет? По-моему, не нужно. Так что - если кто-то лоханулся (как ты сам признал) - это не уязвимость Альпари, а проблемы самого клиента, из-за которых остальным клиентам дополнительные проблемы с доступом к своим счетам не нужны. И 99.9% других клиентов, мне кажется, с этим согласятся.

Если кто-то хочет повышенной безопасности своих средств в Альпари - он устанавливает режим "вывод возможен только на банковский счет владельца ЛК" - и тогда его деньги украсть невозможно (пока они находятся на счете в Альпари). Во всяком случае раньше была такая опция, если её не отменили...

 

 

Привет всем управам и трейдерам, кто при регистрации у Метаквотсов своё истинное ФИО раскрыл. Это как раз то, чего злоумышленникам ранее не хватало, как вы теперь понимаете

Это понятно, но там такое дело - либо ты соглашается с любым сумасбродством авторов сайта и получаешь возможность зарабатывать там деньги (покупателям и тем более простым пользователям раскрывать свои ФИО не нужно), либо отказываешься и теряешь эту возможность. А это самый крупный маркетинговый инструмент в сети в том, что касается продаж смежных продуктов и услуг для МТ-форекса...

Edited by AntFX

1

Link to post
Share on other sites
AntFX
Засветите где-нибудь своё ФИО

Я так понимаю, ты о том, чтобы в ЛК Альпари не светилась полная фамилия владельца, то есть как в Сбербанке, например, не "Вася Пупкин", а "Вася П."

Могу порекомендовать создать ветку, описать проблему и предложить форумянам проголосовать за это изменение. Если голосов наберется много, думаю, руководство может и сделать это. Пока это говоришь один ты, а всем остальным по барабану, ничего не изменится...

Edited by AntFX
  • Thanks 1

1

Link to post
Share on other sites
MoneyGuard

 

 

Привет всем управам и трейдерам, кто при регистрации у Метаквотсов своё истинное ФИО раскрыл.

Имеется ввиду именно сайт метаквотсов, или любой ДЦ, который использует прогру МТ?

Link to post
Share on other sites
Harnish

 

 

Профессиональные злоумышленники захватывают доступ к ЛК (меняют пароли и т.п.) и выводят деньги в течение нескольких минут от начала взлома - со скоростью установления интернет соединения и ввода паролей с СМС-кодами подтверждения операций.

Злоумышленники не могут пройти мимо такого лакомого куска, как сервис Альпари. Но для нанесения мгновенного эффективного "удара" им может потребоваться предварительная разведка в течение некоторого времени. Возможно, что бдительный Nimius случайно наткнулся на следы этой разведки. Возможно, что в данный момент преступники перебирают ВСЕ счета клиентов Компании и наиболее привлекательные берут "на карандаш". "Ночь длинных ножей" может случиться в любой момент.
Полагаю, Альпари следует произвести принудительную замену паролей к Личным Кабинетам, как это практикуют платежные системы (та же Киви), и тщательно расследовать это "дело Nimius".

Link to post
Share on other sites
Hitronrav

Полагаю, Альпари следует произвести принудительную замену паролей к Личным Кабинетам, как это практикуют платежные системы (та же Киви), и тщательно расследовать это "дело Nimius".

 

Один раз уже делали такую замену, помнится.

 

Считаю совершенно недопустимым менять персональные данные клиента всего лишь по заявлению со сканом паспорта. Такой скан может быть в десятке мест у разных контор и документом он не является. Нет, смена телефона и почты — только через личный визит в офис либо аудиенцию по скайпу.

  • Thanks 7
Link to post
Share on other sites
Petukhov

Злоумышленники не могут пройти мимо такого лакомого куска, как сервис Альпари. Но для нанесения мгновенного эффективного "удара" им может потребоваться предварительная разведка в течение некоторого времени. Возможно, что бдительный Nimius случайно наткнулся на следы этой разведки. Возможно, что в данный момент преступники перебирают ВСЕ счета клиентов Компании и наиболее привлекательные берут "на карандаш". "Ночь длинных ножей" может случиться в любой момент.

Полагаю, Альпари следует произвести принудительную замену паролей к Личным Кабинетам, как это практикуют платежные системы (та же Киви), и тщательно расследовать это "дело Nimius".

 

Мы уже расследовали. У злоумышленника были и паспорт клиента, и его логин, и пароль от ЛК. Говорить о возможной массовости таких случаев некорректно. При всем при этом действующей системы безопасности было достаточно для того, чтобы пресечь действия злоумышленника - Клиент получил уведомление и вовремя обратился в службу поддержки. В любом ЛК есть возможность также установить уведомление о входе в ЛК, что позволит определить скомпрометированность пароля еще до того, как злоумышленник успеет предпринять какие-либо действия.


С уважением, Александр Петухов
Альпари
Будь в курсе! Оперативное информирование о всех важных изменениях в компании на Telegram https://t.me/alpariltd/

Link to post
Share on other sites
Petukhov

Один раз уже делали такую замену, помнится.

 

Считаю совершенно недопустимым менять персональные данные клиента всего лишь по заявлению со сканом паспорта. Такой скан может быть в десятке мест у разных контор и документом он не является. Нет, смена телефона и почты — только через личный визит в офис либо аудиенцию по скайпу.

 

Скан может быть у кого-угодно, а логин и пароль от ЛК? Сам факт получения нами корректно заполненного заявления о смене номера телефона свидетельствует о том, что подавшее заявление лицо прошло двойную проверку. Усложнять процедуру можно до бесконечности, но это и неизбежно усложнит жизнь всем нашим клиентам. С учетом тех обстоятельств, при которых к нам обратились Nimius и natalivit мы можем сказать, что острой необходимости вводить дополнительные ограничения сейчас нет.

  • Upvote 1
  • Thanks 1

С уважением, Александр Петухов
Альпари
Будь в курсе! Оперативное информирование о всех важных изменениях в компании на Telegram https://t.me/alpariltd/

Link to post
Share on other sites
Petukhov

 

 

• "было достаточно", чтобы пресечь действия данного злоумышленника, а не злоумышленника вообще, ибо настоящие злоумышленники в 98% случаев выводят деньги быстрее, чем жертва увидит e-mail сообщение, вспомнит или найдёт телефон службы поддержки и проДерётся сквозь голосовые меню и музыку ожидания ответа оператора. Ваши клиенты не обязаны мониторить свою почту 24 часа в сутки, держа при этом палец на кнопке вызова уже вбитого телефона службы поддержки. Ведь при профессиональном угоне ЛК всё решают секунды! • Petukhov: "У злоумышленника были и паспорт клиента, и его логин, и пароль от ЛК" Я исходил из другого. Вот ответы вашей сотрудницы из этой ветки: Djesiks: Изменение личных данных возможно только по предоставлению заявления на смену данных с приложением сканов паспорта. Rihter: правильно ли я понял, что нынче для смены е-mail и номера телефона, которые в ЛК, достаточно отправить скан паспорта и скан заявления на смену оных на соответствующий е-mail службы поддержки? Djesiks: Да, этого будет достаточно.

 

Анастасия правильно ответила - изменить рег.данные можно по имейл, НО при изменении отправляется смс на старый телефон и имейл на старый адрес, а выводы блокируются на сутки. То есть, у клиента есть достаточно времени на принятие соответствующих мер.


С уважением, Александр Петухов
Альпари
Будь в курсе! Оперативное информирование о всех важных изменениях в компании на Telegram https://t.me/alpariltd/

Link to post
Share on other sites
murrex45

[spoiler=Цитата]

 

2 Petukhov: если Вы уверены в том, что Вы не хотите и не будете убеждать кого-либо внутри Компании, что всё-таки стоит что-то улучшить в системе безопасности ЛК, то надо закругляться, ибо от тутошних разговоров не будет никакого практического выхлопа.
Я со своей стороны уверен, что улучшать имеет смысл, поскольку можно внести очень простые (не затратные) изменения, и это полностью перекроет некоторые наиболее простые варианты взлома, угона и т.п. - а сейчас такие варианты у злоумышленников есть.
 
Вы всё время делаете акцент на том, что кто лоханулся, тот сам виноват - но я считаю это не совсем правильным подходом в случае построения систем безопасности. Увы, серьёзным компаниям, да и вообще везде в технике, приходится делать "защиту от дурака" - то есть рассчитывать на то, что часть клиентов будет допускать глупые ошибки. И они действительно будут их допускать.
И не смотря на то, что в текущих случаях клиенты вроде бы сами лоханулись - Компания всё равно несёт от этого репутационные потери. Из-за поднимаемого этими клиентами шума по поводу взломов и угонов. То есть: Компании всё-таки, на мой взгляд, есть смысл улучшать систему безопасности даже в том случае, если клиенты сами виноваты. Ради лучшей репутации. Это моя аргументация.
 
Сутки - это мало. Я уже говорил, что были случаи, когда злоумышленники выбирали для угона банковского ЛК и реальной кражи денег тот момент, когда жертва уезжала в отпуск. И телефон с компьютером у неё были выключены. Выбрать такие моменты для взлома вполне реально, если серьёзно к этому подойти.
 
Вы вполне могли бы сделать этот период блокировки вывода при смене телефона (или чего там ещё) настраиваемым. Хотя бы по заявлению клиента, если лень в ЛК такую опцию программировать.
 
Ваши сотрудники при рассмотрении заявления со сканом паспорта сверяют новый скан со старым? Кстати, это серьёзный вопрос. А то может быть, они просто на номер паспорта смотрят, не сверяя сами сканы и фото клиента?.. (ответьте, плиз)
Если Вы ответите "да", то в этом случае ничего не стоит приложить к старому скану паспорта ещё и заявление клиента с просьбой о действиях Компании в тех или иных сомнительных ситуациях. Там может быть просьба о блокировке при смене данных не на сутки, а на больший срок - в зависимости от образа жизни и темперамента клиента. Многие любят на недельку-две отключиться от цивилизации - они поставят соответствующи.

Не понимаю зачем усложнять жизнь всем клиентам Альпари из-за одного-двух пассивных клиентов, ведущих монашеский образ жизни и их темперамента? На недельку-две отключиться от цивилизации, при активном образе жизни, просто нереально. Случай Нимиуса - единичный. Не надо делать из мухи слона.  ;)

Edited by AntFX
п. 16
Link to post
Share on other sites
Rihter

2 Petukhov: если Вы уверены в том, что Вы не хотите и не будете убеждать кого-либо внутри Компании, что всё-таки стоит что-то улучшить в системе безопасности ЛК, то надо закругляться, ибо от тутошних разговоров не будет никакого практического выхлопа.

Я со своей стороны уверен, что улучшать имеет смысл, поскольку можно внести очень простые (не затратные) изменения, и это полностью перекроет некоторые наиболее простые варианты взлома, угона и т.п. - а сейчас такие варианты у злоумышленников есть.

 

Вы всё время делаете акцент на том, что кто лоханулся, тот сам виноват - но я считаю это не совсем правильным подходом в случае построения систем безопасности. Увы, серьёзным компаниям, да и вообще везде в технике, приходится делать "защиту от дурака" - то есть рассчитывать на то, что часть клиентов будет допускать глупые ошибки. И они действительно будут их допускать.

И не смотря на то, что в текущих случаях клиенты вроде бы сами лоханулись - Компания всё равно несёт от этого репутационные потери. Из-за поднимаемого этими клиентами шума по поводу взломов и угонов. То есть: Компании всё-таки, на мой взгляд, есть смысл улучшать систему безопасности даже в том случае, если клиенты "сами виноваты". Ради лучшей репутации Компании. Это моя аргументация.

 

выводы блокируются на сутки. То есть, у клиента есть достаточно времени на принятие соответствующих мер.

 

Сутки - это мало. Я уже говорил, что были случаи, когда злоумышленники выбирали для угона банковского ЛК и реальной кражи оттуда денег тот момент, когда жертва уезжала в отпуск. И телефон с компьютером у неё были выключены. Выбрать такие моменты для взлома вполне реально, если серьёзно к этому подойти.

 

Вы вполне могли бы сделать упомянутый в вашей цитате период блокировки вывода при смене номера телефона (или чего там ещё) настраиваемым. Хотя бы по заявлению клиента, если лень в ЛК такую опцию программировать.

 

Ваши сотрудники при рассмотрении заявления о восстановлении доступа к ЛК со сканом паспорта сверяют новый скан со старым? Кстати, это серьёзный вопрос. А то, может быть, они просто номер паспорта проверяют, не сверяя сами сканы и фото клиента?.. (уточните и ответьте, плиз, если можно)

Если Вы ответите "да", то в этом случае ничего не стоит приложить к старому скану паспорта ещё и заявление клиента с просьбой о действиях Компании в тех или иных сомнительных ситуациях. В заявлении может быть просьба о блокировке вывода при смене данных не на сутки, а на больший срок - в зависимости от образа жизни и темперамента клиента. Многие любят на недельку-две отключиться от цивилизации - они проставят в заявлении соответствующие сроки блокировки.

Или же можно попросить о смене номера телефона только в случае личного визита в офис с паспортом, без этих сканов через мыло. Зачем какому-то конкретному человеку скользкий вариант с емэйлом, если он живёт там, где есть ваш офис...

 

Как видите, предложенное решение чрезвычайно необременительно и вообще не требует программирования - если ваши сотрудники смотрят на старый скан при поступлении нового скана паспорта, то им ничего не стоит ещё и на старое заявление клиента взглянуть и поставить блокировку на указанный в нём срок.

И таких простых предложений по улучшению безопасности имеется много! Легко!

Может быть, всё-таки стоит их пролоббировать? Ведь Компания от этого тоже выиграет...

___

 

 

 

изменить рег.данные можно по имейл, НО при изменении отправляется смс на старый телефон и имейл на старый адрес

 

А почему тогда Нимиус написал вот это:

 

 

 

Как получилось что злоумышленник смог поменять и почту и телефон? При этом меня только уведомили по почте!!!

 

Нимиус, кстати, очень толковый форумянин, в том числе поэтому хотелось бы его услышать ещё раз в данной ветке...

Link to post
Share on other sites
Rihter

 

 

Не понимаю зачем усложнять жизнь всем клиентам Альпари из-за одного-двух пассивных клиентов, ведущих монашеский образ жизни и их темперамента? На недельку-две отключиться от цивилизации, при активном образе жизни, просто нереально.

 

Поясню ещё раз, так как многобукв в моем посте выше, небось, никто не осилил.

 

Усложнения в моём предложении нет вообще. Для всех ВСЁ ОСТАЕТСЯ КАК БЫЛО, им ничего писать не надо. Но кто хочет (при желании), загружает заявление, прикрепляемое затем сотрудниками к старому скану паспорта, в котором пишет, например:

- прошу менять учетные данные ТОЛЬКО при моём личном визите в офис с паспортом (не через емэйл);

ЛИБО:

- в случае смены учетных данных через емэйл просьба блокировать вывод средств на N суток.

 

И для Компании ничего сложного нет - даже программировать ничего не надо.

Подробный разбор - выше.

 

Также повторюсь, что есть и другие столь же необременительные для Компании предложения, значительно повышающие безопасность.

  • Thanks 3
Link to post
Share on other sites
AntFX
Анастасия правильно ответила - изменить рег.данные можно по имейл, НО при изменении отправляется смс на старый телефон и имейл на старый адрес, а выводы блокируются на сутки. То есть, у клиента есть достаточно времени на принятие соответствующих мер.

Если злоумышленник специально поймал момент когда "жертва" временно не сможет принимать никакие меры (например -  поехала в отпуск за границу, или много ещё чего), то простая задержка не поможет.

 

Но кто хочет (при желании), загружает заявление, прикрепляемое затем сотрудниками к старому скану паспорта, в котором пишет, например: - прошу менять учетные данные ТОЛЬКО при моём личном визите в офис с паспортом (не через емэйл); ЛИБО: - в случае смены учетных данных через емэйл просьба блокировать вывод средств на N суток.

Любые опциональные меры доп. защиты - это имхо хорошо. Правда я бы предпочел если бы PhotoID и скайп ввели. Связаться по скайпу, показать сотруднику компании что это именно ты, а не злоумышленник, и уже тогда подтверждать смену реквизитов доступа.

 

П.С. Для всех, кто живет далеко от офисов Альпари, предлагаемая тобой опция просто бесполезна. Ну или чревата серьезными неприятностями в случае потери доступа. Зато камеру с микрофоном для скайпа может купить абсолютно любой. К тому же для подтверждения заявления на открытие оферт уже что-то подобное сделали, вроде.

Edited by AntFX
  • Upvote 1
  • Thanks 1

1

Link to post
Share on other sites
Rihter

 

 

Правда я бы предпочел если бы PhotoID и скайп ввели.

 

Да я тоже за это! Просто я исхожу из того, что администрация вАще ничего делать не хочет, и поэтому пытаюсь придумать такой вариант, чтобы им практически ничего и не надо было делать...

 

 

 

Для всех, кто живет далеко от офисов Альпари, предлагаемая тобой опция просто бесполезна. Ну или чревата серьезными неприятностями в случае потери доступа.

 

Почему? Человек знает, что бывает максимум неделю без интернета, и что раз в неделю сможет специально заглядывать в почту даже в отпуске. Устанавливает блокировку вывода на 7 суток в случае смены учетных данных. Если что - обнаруживает угон и звонит в Альпари, и они по его звонку блокируют ЛК полностью до выяснения.

Но если он сам же когда-либо захочет сменить учетные данные, то ему тоже неделю придётся ждать возможности вывода. Но это настолько редко бывает... Да и неделю подождать, имхо, не смертельно. Зато злоумышленники обломаются конкретно. А если злоумышленники будут знать об этой фиче, то они даже начинать взлом не будут - бесполезно :yes:

Link to post
Share on other sites
AntFX

 

 

Почему?

Я про личный визит в офис это говорил, а не про задержку. 


1

Link to post
Share on other sites
Rihter

 

 

Я про личный визит в офис это говорил, а не про задержку.

 

Желательно чтобы были возможны оба варианта на выбор клиента:

- если хочет, просит смену только при личном визите в офис,

- если хочет, просит блокировку вывода на N дней при смене учетных данных через мыло.

Ну и если не хочет или если справку не читал, то вообще ничего не просит. Всё остаётся как было.

Link to post
Share on other sites
Petukhov

 

 

2 Petukhov: если Вы уверены в том, что Вы не хотите и не будете убеждать кого-либо внутри Компании, что всё-таки стоит что-то улучшить в системе безопасности ЛК, то надо закругляться, ибо от тутошних разговоров не будет никакого практического выхлопа.

 

Я пока сам не считаю (дальше объясню, почему), что императивные усложнения необходимы, поэтому мне будет сложно убедить руководство в подобной необходимости.

 

 

 

Вы всё время делаете акцент на том, что кто лоханулся, тот сам виноват - но я считаю это не совсем правильным подходом в случае построения систем безопасности.

 

Любая система допускает определенную погрешность. "Защита от дурака", конечно, нужна, и у нас она есть. Но это не стопроцентная защита: уж сколько защищаются банки, а случаи кражи средств со счетов клиентов все равно имеют место. Два случая за полгода (или дольше?), один из которых к тому же не повлек для клиента никаких потерь, я считаю вполне приемлемой погрешностью.

 

 

 

А почему тогда Нимиус написал вот это:

 

Я не знаю, надо его спросить, какой номер он проверял.

 

 

 

Ваши сотрудники при рассмотрении заявления о восстановлении доступа к ЛК со сканом паспорта сверяют новый скан со старым? Кстати, это серьёзный вопрос. А то, может быть, они просто номер паспорта проверяют, не сверяя сами сканы и фото клиента?

 

Сотрудники пользуются любой доступной информацией для идентификации клиента. Проблема в том, что не всегда до момента возникновения необходимости сменить рег.данные клиент загружал в ЛК паспорт.

 

 

 

В заявлении может быть просьба о блокировке вывода при смене данных не на сутки, а на больший срок - в зависимости от образа жизни и темперамента клиента. Многие любят на недельку-две отключиться от цивилизации - они проставят в заявлении соответствующие сроки блокировки. Или же можно попросить о смене номера телефона только в случае личного визита в офис с паспортом, без этих сканов через мыло. Зачем какому-то конкретному человеку скользкий вариант с емэйлом, если он живёт там, где есть ваш офис...

 

Факультативные ограничения - это, конечно, логично. Подумаем, что можно сделать.


С уважением, Александр Петухов
Альпари
Будь в курсе! Оперативное информирование о всех важных изменениях в компании на Telegram https://t.me/alpariltd/

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.


×
×
  • Create New...