17 мая 2012 года в рубрике «Разное»

Чего не хватает банку Тинькова

Мне нравится банк, который делает Тиньков. Скорее всего, это действительно самый удобный банк в России. Но есть вещи, которых, на мой взгляд, этому банку не хватает. Эти вещи касаются удобства и безопасности.

Виртуальные карты

Никакие дополнительные коды не защитят деньги клиента лучше, чем виртуальная карта. Хочет клиент купить что-то в интернет-магазине — идет в интернет-банк, заказывает выпуск виртуальной карты с нужной суммой в нужной валюте, через минуту получает все необходимые данные и расплачивается этой картой.

Так, например, я делаю с «Яндекс.Деньгами», чтобы покупать в зарубежных магазинах. Вся процедура занимает пару минут. Разве что иногда SMS задерживаются.

С виртуальной картой основной счет в полной безопасности. Даже если кто-то «срисует» данные такой карты, уводить с нее после покупки будет нечего, а основной счет и основная карта останутся вне досягаемости злоумышленников.

Дополнительные карты с отдельным лимитом

Не секрет, что персонал магазинов, гостиниц, ресторанов иногда злоупотребляет своими возможностями. Сделать копию карты, например, очень просто — пара лишних движений, клиент ничего не заподозрит.

Типовой сценарий: провели карту по считывающему устройству, попросили покупателя ввести код. «Ой, не сработало, давайте еще раз». Провели второй раз, второй раз попросили ввести код, на этот раз все сработало. А в первый раз тоже сработало, просто кассир, увидев туриста, нажал ногой кнопочку, и переделанное умельцами устройство сбросило данные с магнитной полосы и PIN-код на флешку, чтобы потом мошенники могли сделать дубликат, который через пару месяцев будет использован в любой стране мира. А поскольку транзакции с PIN-кодом практически невозможно опротестовать, с деньгами клиент может попрощаться.

Воровать деньги можно, даже не имея самой карты. Нужен только ее номер и CVV?код. Этот самый код напечатан с обратной стороны карты! Банки и платежные системы твердят клиентам, мол, «не записывайте PIN-код на карте». Ребята, но вы сами, типографским способом, наносите на карту CVV!

Снять номер карты и код с обратной стороны можно, проведя ей перед объективом камеры лежащего на столе мобильника, одним элегантным жестом. Или обладая хорошей памятью. А официант в ресторане, который уносит карту в папочке и потом возвращается с чеком, может и просто переписать их на бумажку. Номера карты, имени и фамилии держателя, срока действия и CVV-кода достаточно для покупок в интернете. Все эти данные нанесены на карту и могут быть скопированы за секунды. А вы потом доказывайте банку, ждите возврата денег, перевыпускайте карту, судитесь.

Помимо модифицированных терминалов мошенники устанавливают скиммеры и даже целые фальшивые банкоматы! А чего стоит случай с захватом карты в кое-какой крупной торговой сети в Москве?!

Нужна ли клиенту вся эта нервотрепка с расследованиями, доказываниями, блокировками, ожиданием и без гарантий? И каково остаться без карты в зарубежной поездке, особенно если вы должны расплатиться «здесь и сейчас», а карту заблокировали?

Профилактика лучше лечения!

Согласитесь, при всех многочисленных нерешенных проблемах с безопасностью «пластика» глупо расплачиваться картой, привязанной к вашему основному счету, на котором вы держите сбережения. Тем более что деньги крадут даже с карт, которые вы нигде, кроме банка, не светили.

Нужно дать клиенту возможность выпустить на свое имя дополнительную карту и установить для нее более жесткие лимиты. А еще лучше, чтобы карточные счета были бы отделены от основного.

Скажем, на счету лежит миллион рублей, он доступен с основной карты (с ограничениями, конечно же), но ее вы в руки никому не даете, а расплачиваетесь «временной» картой, для которой установлен лимит в 100 баксов за одну операцию и в 500 баксов за сутки. Нужно оплатить что-то крупное? Увеличиваете лимит через интернет-банк, потом возвращаете прежнее значение.

Или так: посылаете SMS для разблокировки, получаете подтверждение и в течение 10 минут можете совершить расходную операцию на более крупную сумму. После первой операции или через 10 минут снова никто ничего не может снять.

Если кто-то «срисует» данные такой «временной» карты, то не сможет причинить существенного ущерба или вогнать в овердрафт — лимиты не позволят. Ну а по возвращении карта и вовсе окажется бесполезной для мошенников.

Обнаружив попытку несанкционированной операции (или наткнувшись на возомнивших себя божками сотрудников одной торговой сети), клиент сможет тут же заблокировать карту, при этом у него на руках останется вторая, рабочая, с которой он сможет пойти в местный банк, снять наличность, купить обратный билет и т.п. Жаль, что у Тинькова нельзя завести две дебетовые карты на свое имя.

Опять же, если бдительные сотрудники банка заблокируют карту «по подозрению», клиент не останется без денег в далекой стране, если у него есть вторая карта. Так что я искренне недоумеваю, почему же нельзя у Тинькова завести две дебетовые карты на свое имя.

С временной картой деньги клиента остаются в безопасности, а главное — нет ненужной мороки с дозвоном в банк (ага, очень приятно в международном роуминге), попытками убедить разблокировать карту, вспоминанием кодовых слов и т.д.

К сожалению, насколько я понял из телефонных разговоров, переписки с сотрудниками банка ТКС и изучения форумов, дополнительную дебетовую карту на свое же имя сейчас выпустить нельзя. Как так, господа?!

Рисковать, расплачиваясь где-нибудь в Азии основной картой, я не намерен. Вторая карта — это необходимость, это основа техники финансовой безопасности в зарубежных поездках. Выходит, открывать вторую карту придется в другом банке? Может, тогда уж и вклад сделать там, чтобы не терять на межбанковских переводах?

Тестовый доступ в интернет-банк

Сейчас на сайте есть только самое общее описание интернет-банка. Никакой конкретики. Единственное видео на странице посвящено регистрации. Информацию пришлось выуживать из сотрудников, догадываясь о возможных «фичах» по скриншотам и отзывам на форумах. В итоге выяснилось, что надо стать клиентом банка, чтобы узнать, что же я получу, став клиентом банка. Гениально!

Общая фраза «online подключение и отключение всех услуг и сервисов по карте» никак не дает потенциальному клиенту понять, например, что он сможет менять лимиты выдачи наличных. Опять же, какие именно услуги сможет подключать и отключать клиент? Как быстро они окажутся подключены и отключены? Надо ли будет ждать одну минуту или трое суток? Смогу ли я через интернет-банк сообщать, в какую страну еду, чтобы при первой же операции там карта не оказалась заблокирована? Чем именно их интернет-банк лучше, чем предложения конкурентов, наконец?

Один тестовый доступ, как у того же «Альфа банка», решит проблему. Один тестовый доступ лучше тысяч рекламных слов, лучше видеотура, даже лучше руководства в PDF.

Чиповая карта

Возможно, ТКС уже выпускает карты с чипами, но на странице о расчетной карте я не нашел ни упоминания чипа в тексте, ни фотографии карты с чипом.

В Европе уже почти все перешли на чиповые карты, а кое-где, если верить отзывам на «банки.ру», карту без чипа уже могут и не принять. Да и сам Тиньков в интервью на «Эхо Москвы» говорит, что «вся Франция и Италия на чиповых картах».

Так что чиповая карта — это необходимость. И не комбинированная, а именно чиповая, потому что если на карте будет еще и магнитная полоса, это сделает ее такой же уязвимой перед скиммерами, модифицированными терминалами и фальшивыми банкоматами.

Только чисто чиповая карта без магнитной полосы сможет защитить клиента от шимминга. Шимминг — это такая разновидность скимминга, только вместо накладного устройства, которое некоторые клиенты еще могут распознать, используется тоненькая пластинка, которая прячется внутрь приемного устройства и клиенту абсолютно не видна.

Что хотелось бы видеть в идеале

  1. Срочные депозиты, где я мог бы хранить деньги на среднесрочную перспективу с низким риском.
  2. Текущий счет, на котором я мог бы хранить деньги, которые лежат про запас, но могут быть взяты оттуда без проблем и проволочек.
  3. Дебетовые карты на мое имя, выпуск которых я мог бы заказывать через интернет-банк, устанавливая для каждой карты отдельно следующие ограничения:
    • Суточный лимит покупок через торговые точки.
    • Суточный лимит покупок через интернет (с возможностью запрета покупок через интернет).
    • Суточный лимит снятия наличных средств.
    • Месячный лимит расходования средств.
    • Страны, на территории которых в течение заданного клиентом срока можно расходовать средства.
  4. Возможность хранить деньги на текущем счету, по мере необходимости перекладывая часть на счет карты.
  5. Виртуальные карты для покупок в интернет-магазинах.
  6. Ну и совсем было бы здорово, если бы хотя бы индивидуальные предприниматели могли бы открывать расчетные счета, чтобы принимать безнал.

Напоследок

В конце разговора девушка-консультант спросила меня, не желаю ли я прямо сейчас открыть вклад. Если бы можно было выпустить две дебетовые карты на мое имя, именно это я бы и сделал. И не искал бы дальше.

Но по непонятным мне причинам такой возможности нет, поэтому я пошел изучать предложения конкурентов и в эту самую минуту изучаю сайты банка «Связной», «Русского стандарта» и «Авангарда». И снова той же «Альфы».

Я не теряю надежды, что банк Тинькова даст возможность клиентам получать на свое имя дополнительные дебетовые карты или хотя бы разделить текущий и карточный счета. Нести деньги в «Русский стандарт», клиентом которого я перестал быть в 2009 году, я не хочу. Равно как и жлобам, которые берут комиссию за каждый чих, вплоть до смены PIN-кода.

Обновление

Похоже, нашелся достойный конкурент «Тинькову». При этом у них даже на сайте написано: «отдельный счет для безопасного хранения денег без доступа через карту». Навожу справки.

Тем временем, от ТКС никакой реакции по поводу моего предложения. Ни в «Твиттере», ни на «Банках.Ру».

11 комментариев

1

17 мая 2012 года в 12:45

Владимир отвечает:

> Возможно, ТКС уже выпускает карты с чипами, но на странице о расчетной карте я не нашел ни упоминания чипа в тексте, ни фотографии карты с чипом.

Выпускают, но у них какие-то проблемы с ними. Мне сначала выдали карту с чипом, но оплата по ней не прошла в 3 из 5 мест, где я пытался ей расчитаться (магазины и кафе в Москве). В итоге они извинились и выпустили мне карту с магнитной полосой, пообещав снова выпустить карту с чипом, как только устранят неполадки. Главная неприятность - сразу заблокировали карту, так что до приезда новой со старой нельзя было даже снять деньги.

2

17 мая 2012 года в 15:27

Андрей Серебряков комментирует:

А почему бы не присмотреться к банку «Авангард»? Там всё описанное есть и для ИП хорошие условия.

3

17 мая 2012 года в 15:39

Вадим Макеев пишет:

С возвращением, спустя два года ;)

4

17 мая 2012 года в 18:58

Алексей Новиков пишет:

Андрей, у «Тинькова» мне нравится подход. Ну и знакомые довольны сервисом. Крупные компании обычно менее расторопны. Ну и крупному банку нет смысла бороться за клиента. Уйдет один — останется еще тысяча.

Владимир, а у них была чисто чиповая карта? Или чип + полоса?

Вадим, спасибо :)

5

17 мая 2012 года в 22:26

Владимир отвечает:

Алексей, похоже что чип + полоса.

6

18 мая 2012 года в 00:42

Дима пишет:

Вадим, а когда будет возвращение Пепелсбея? :)

7

18 мая 2012 года в 03:20

Юля комментирует:

У ткс разделены счета: есть счет вклада и есть счет карточный. К тому же можно оформить еще банковскую карту яндекс денег https://money.yandex.ru/ymc/promo.xml?_openstat=press;card а вообще лучше иметь несколько карт разных банков, особенно на случаи блокировок

8

18 мая 2012 года в 13:48

Алексей Новиков отвечает:

Юля, счет вклада там — это для срочного депозита. До востребования же деньги там хранятся на карточном счету, что небезопасно.

9

20 мая 2012 года в 08:11

Валерий отвечает:

>Похоже, нашелся достойный конкурент «Тинькову»… Навожу справки.

Напишите потом подробно, что узнали?

10

21 мая 2012 года в 13:55

Тинькофф Кредитные Системы Банк (ЗАО) отвечает:

Добрый день!
Указанные Вами варианты компрометации карт могут быть применены ко многим Банкам, однако от ряда описанных Вами ситуаций, например, когда мошенники способны воспользоваться картой в сети Интернет по полученным реквизитам, владельцы наших карт защищены благодаря внедрению технологии «3DSecure», которая с каждым днем используется все большим количеством сервисов. В качестве рекомендаций по предотвращению и противодействию ситуациям, в следствии которых Ваша карта может быть скомпрометирована, включая операции в сети (без поддержки «3DS»), предлагаем Вам следующее:

1. Отключить сервис «Internet/Phone Operations», позволяющий совершать операции в сети Интернет без физического присутствия карты. При необходимости провести такую операцию Вам достаточно будет обратиться в Банк удобным для Вас способом, включая Интернет-Банк, и изъявить желание подключить сервис.

2. По возможности визуально контролировать манипуляции обслуживающего персонала ресторанов, кафе и подобных ТСП с Вашей картой.

3. Подключить услугу «SMS-Банк» и обращать внимание на любые сервисные сообщения в рамках услуги. Это позволит своевременно заблокировать карту при необходимости, так как в подавляющем большинстве случаев в случае мошенничества с данными карты сначала проводится операция на очень небольшую сумму (0,1 USD, EUR, 10 рублей) для проверки работоспособности карты. Так как в случае, если Вы наблюдаете SMS-уведомление на своем телефоне о такой операции, Вами не совершенной, Вы всегда сможете заблокировать карту, воспользовавшись Интернет-Банком, или обратиться в Банк любым доступным Вам каналом связи.

Выпуск дополнительных карт на имя держателя основной карты не осуществляется и в ближайшее время его реализация не планируется Банком, при этом каждый Клиент может ограничить как суточный лимит снятия наличных денежных средств (через ИБ), так и общий расходный лимит до минимально безопасной, на его взгляд, суммы, при обращении в Банк по телефону/электронной почте. При этом по расчетным картам не предоставляется овердрафт, поэтому совершение операций на сумму, превышающую доступный остаток, невозможно. Поэтому разделение текущего счета на два: основной (текущий) и карточный – мы не считаем необходимым.

На текущий момент Банк осуществляет выпуск комбинированных карт (чип+магнитная полоса) ввиду того, что картами Банка пользуются по всей территории РФ без исключения. Во многих населенных пунктах установленные банкоматы и POS-терминалы не работают с чипами - старое оборудование. В результате мы можем столкнуться с большим количеством отказов по картам Банка в регионах, где альтернативы нет. Вместе с этим есть и чисто экономическая составляющая - эти карты обходятся Банку дороже, и в очень большом количестве случаев их единственное преимущество не используется на протяжении всего срока «жизни» карты. Именно по этой причине мы не рассматриваем вариант карт исключительно с чипом, предпочитая комбинированные карты.

Позвольте обратить Ваше внимание на то, что к нам часто поступают те или иные предложения по доработке и расширению функционала продуктов нашего Банка. Однако не все пожелания Клиентов возможно реализовать, к нашему сожалению. В настоящее время возможность тестового доступа к Интернет-Банку не предоставляется, однако смеем Вас заверить - приложение Банка построено на базе уже зарекомендовавшей себя системы безопасности Backbase, при этом все разделы Интернет-Банка доступны исключительно по протоколу HTTPS. Авторизация в Интернет-Банке построена на основе single sign. Это значит, что Клиент Банка передает свои учетные данные лишь однажды, во время первичной авторизации. В качестве дополнительной защиты , все ключевые операции, такие как перевод средств, оплата услуг и т.д., требуют подтверждения одноразовым паролем, который представляет собой числовую последовательность, высылаемую на мобильный телефон клиента в виде SMS-сообщения, что благодаря введению проверки привязки IMSI (идентификатора, хранящегося на SIM-карте) к номеру мобильного телефона, приближает к 0 возможность его несанкционированного использования.

Надеемся, что приведенные нами аргументы позволят Вам рассмотреть Банк в качестве финансового партнера.

11

21 мая 2012 года в 16:53

Алексей Новиков комментирует:

По поводу 3DS могу сказать лишь, что защищает она не держателей карт, а магазины. Да, в магазине с 3DS практически невозможно расплатиться, похитив номер карты и нарисованный на ней же CVV-код. Однако, мошенники прекрасно знают, какие магазины, казино и сервисы этот код не используют, поэтому просто идут туда.

Визуально контролировать обращение с картой возможно далеко не всегда. Кроме того, в случае модифицированного терминала или банкомата это практически невозможно. Снаружи он выглядит абсолютно нормально, а внутри установлено дополнительное считывающее устройство.

SMS-банк - это хорошо, но человек не бодрствует 24 часа в сутки. Хочется доверить деньги банку и расслабиться.

Что касается лимитов, то они неудобны: надо совершать много лишних действий. Сперва выставить лимит, затем установить его в ноль, а для следующей операции надо будет снова делать то и другое, но при этом помнить, какая сумма была списана в предыдущий раз.

Что касается тестового доступа, то я не сомневаюсь в использовании безопасных протоколов, я хочу узнать, какие конкретно возможности предоставит ваш интернет-банк.