Антифрод. Закон. Сотовая связь: мои вопросы12.04.2017 18:35

В последнее время часто приходится сталкиваться с антифрод-решениями. Они есть не только у банков и ЭПС (электронных платёжных систем), но, скажем, и у:
  1. Сервисов такси, подобных Uber, Maxim, Яндекс.Такси и т.д.;
  2. Почтовых сервисов;
  3. Интернет-магазинов;
  4. Логистических компаний…

Что интересно, антифрод-решений фактически нет у одних из самых заметных и по своему крупных игроков рынка — у операторов сотовой связи.

0e4758210f6a4d8ba219a0b92d516d71.jpg

Точнее с 2012 года многие из них ввели антифрод-решения для предотвращения надоевших всем рекламных рассылок: кто-то реализовал это чуть лучше, кто-то — чуть хуже, но в целом спамный трафик упал в два раза в первый же месяц ввода фильтров.

Но по России не перестают бить заряды новой напасти — незаконной замены sim-карт, к которым привязан, как правило, Сбербанк, чуть реже — ЭПС, ещё реже — другие фин. учреждения.

На сегодня мне удалось проанализировать чуть более 100 решений и примерно 2000 жалоб из открытых источников по разным ОСС (иногда их почему-то сокращают как ОпСоСы).

Ниже мне хотелось бы донести до сотрудников этих самых ОСС, что вообще-то есть законно установленные требования о предоставлении Безопасной (да, прямо вот так — с заглавной буквы) и Качественной услуги. Кроме того, от оператора в императивном порядке требуют зачастую перепроверки данных об абоненте в случае обработки первичной информации агентом.

Например:

  1. ст. 4 и 7 Закона о защите прав потребителей (ЗЗП);
  2. ст. 44 ФЗ «О связи»
  3. п. 53 Постановления Правительства РФ «О порядке оказания услуг телефонной связи»;
  4. ст. 19 ФЗ «О персональных данных»… и т.д.

Что на мой взгляд можно реализовать и относительно просто?

1. То, что ОСС делают, когда берут с абонентов плату за роуминг, то есть определять местоположение клиента. Когда это может понадобиться? Например, когда сим-карту пытаются заменить в одном городе, а сам абонент находится в другом. Скажем, абонент находится в 20.00 в Иркутске, а в 20.15 приходит в офис в г. Тайшете (расстояние — более 600 км) — выглядит это несколько странно, не правда ли? Самое же странное в том, что это абсолютно не смущает ОСС и их сотрудников. И да: тезис о том, что «мы не имеем право следить за абонентами» — не берёт за душу, признаюсь честно: роуминг и подобные услуги реализованы? Значит и на пользу клиентам можно потрудиться в том же направлении. Кстати, на Хабре можно сразу почитать, как не надо настраивать антифрод-решения по географии.

2. В последнее время многие, но не все, стали высылать «СМС последней надежды», то есть при замене SIM на номер, на котором эту самую SIM меняют, приходит СМС с текстом по примеру: «Ув. Абонент! В настоящее время происходит замена сим-карты, если это не вы — обратитесь к нам». Проблема в том, что эти СМС могут прийти не вовремя; или в месте, где даже смс не доходят; или СМС можно заметить слишком поздно (скажем, человек ушёл в магазин и оставил телефон дома — да мало ли может быть причин?). И всё же даже такой, до невозможности банальный, способ помогает во многих случаях. Что ещё добавить? Например, если у человека несколько сим-карт, можно слать оповещения на каждую (скажем, в модеме или планшете), а также — при технической возможности — связаться для подтверждения личности. Да, это будет стоить операторам секунд 10–15 для связи и каких-то неимоверных денег на отправку СМС, но это то — что требует закон, господа.

4. Самый простой и распространённый способ «взлома» — это когда SIM меняют на подставное лицо (по доверенности, по «временному удостоверению личности» и т.д.), а потом сразу начинают перебирать сервисы, которые могут быть подключены: 900 — Сбербанк, 7494 — Qiwi и так далее. Безусловно, используется при этом услуга Мобильного платежа (списали средства, скажем, с Киви на баланс, потом с баланса — на карту виртуальную). Поэтому здесь очень хорошо подойдёт фильтр от mail.ru (yandex? — хороший пост, но я его найти не смог), что был раскрыт на Хабре: если человек не пользовался отродясь мобильным платежом, а ещё и был у него запрет на платный контент, а тут «вдруг» после замены симки стал резко обналичивать деньги из разных источников — самое время позвонить ему и уточнить информацию, хотя бы кодовое слово, а лучше — что-нибудь более оригинальное. Это опять отнимет время ОСС, но, поверьте, иначе они всё одно его тратят в бесконечных судах и гос. органах, отвечая на многочисленные иски и жалобы разъярённых клиентов.

5. Ещё один простой фильтр — обучение: можно выявить основные шаблоны и рассказать о них сотрудникам (точно также, как ОСС в своих салонах учат этих же сотрудников торговать).

Например: если человек приходит в салон связи перед самым закрытием, с временным удостоверением/доверенностью и просит «немедленно поменять сим-карту» не обязательно отказывать в предоставлении этой, безусловно важной, услуги, но можно проявить предельную бдительность: попросить заполнить от руки заявление на замену sim; отксерокопировать предоставляемый документ (доверенность); выслать «СМС последней надежды» в обязательном порядке ДО момента замены sim; сверить фотографию…

Кстати, можете не верить, но у большинства ОСС до сих пор нет такой функции: в смысле, когда вы заключаете договор и потом — когда много и долго платите, бывая в офисе, могут сделать Ваше фото, но в 90% случаев при замене sim мошенником на него даже не посмотрят. Да, это опять дорого. Наверняка — это дорого.

Вообще, скажу честно (не как it-юрист, а как рядовой пользователь): ОСС меня просто до невозможности удивляют!

Получая в общем-то неплохие прибыли и делая вполне шикарные обороты, имея партнёрство с разными IT-компаниями и внедряя довольно интересные фишки в сервисах, они до сих пор не готовы раскошелиться на добротный антифрод. И больше всего удивляет, что это не чья-то прихоть —, а требование законодательства (кстати, к сказанному выше, я бы ещё посмотрел ФЗ «О противодействии…» и ФЗ «О лицензировании…» — на цели этих законов в первую очередь).

Возможно сейчас хабро-житель скажет мне: «зачем всё это на таком продвинутом ресурсе, как Habrahabr?»

Отвечаю: задачи — три:

  1. Донести до возможных сотрудников ОСС, что их клиенты устали от той безалаберности, которая творится в сфере замены sim (я не верю корпорациям, но я верю в конкретных людей);
  2. Услышать от разных пользователей дополнения — что можно сделать «просто и относительно быстро» для решения сложившихся проблем;
  3. Наконец, дать пищу для ума тем, кто ищет идею для стартапа: поверьте, в этой области идей — океан и ещё полстакана.

Из наблюдений:
  1. Неплохо сделал Тинькофф банк (не знаю только — как?): при замене теперь надо звонить и дополнительно подтверждать, что «ты — это ты»;
  2. По заявлению одного из пользователей Хабра — Мегафон реализовал супер-простой, но по-своему надёжный функционал: заменил сим? Никаких СМС 3 дня! Кто может подтвердить?
  3. Сбербанк приложение довольно давно не работает при замене SIM, но это решение, как понимаю, далеко от уровня сотрудничества СБ и ОСС. Аналогично — Альфа.
  4. Дальше — жду примеров от Вас, читатели.

Зачем это нужно мне? Тема больно острая. Обращений довольно много. Буду признателен за любую помощь.

И да, ещё одно, последнее на сегодня, обращении к ОСС: в Ваших руках — договорные отношения с банками. Хотя бы самые крупные и самые технологичные. Это не сложно: совсем не сложно — оповестить при замене SIM для дополнительных проверок. Впрочем, весь вопрос:, а кому это нужно?

P.S. И да — ОСС до сих пор далеко не лицом к клиенту.

Комментарии (27)

  • 12 апреля 2017 в 15:57

    –1

    Что интересно, антифрод-решений фактически нет у одних из самых заметных и по своему крупных игроков рынка — у операторов сотовой связи.

    Может, стоит немного глубже прорабатывать вопрос перед написанием статьи?

    • 12 апреля 2017 в 16:00

      0

      А как вы оценили, на сколько глубоко изучен? Мне пришлось порыться в тысячах жалоб и сотнях дел (суд + админстративка), чтобы сделать этот вывод. Не думаю, что этого мало. Если не верите — можете посмотреть практику в статье в P.S. И далее — набрать — замена сим/sim и потом — операторов. Вы удивитесь, сколько материала в Сети и сколько бед это всё причинило. И да — антифрод решений толковых нет. Это уже выводы из собственного и не только опыта.

      • 12 апреля 2017 в 16:14 (комментарий был изменён)

        –1

        А я проработал в ОСС почти 9 лет. Недалеко от дирекции, которая занимается антифродом. И в направлении, о котором Вы решили написать в этой статье, работы ведутся. Причем, не только в рамках этой дирекции.

        На Хабре есть представители ОСС. Могли бы им написать заранее. И статья была бы полнее. И опирались бы на что-то большее, чем «собственный и не только» опыт.

        • 12 апреля 2017 в 16:30

          +1

          А писал. Я писал не просто напрямую, а прямо в головные офисы. Но сегодня, вернувшись из очередного судебного, посвящённого ЭТО же проблеме, понял, что прошло 5 лет! 5 лет — понимаете? А воз — и ныне там. Они говорят — да, будет. Да — ведутся. А в этом году — уже я только получил 3 жалобы от клиентов и продолжается ещё с 10 дел за которыми я слежу. Сегодняшнее идёт 2 года. 2 года человек тратит время из-за того, что ОСС не смогли подняться и поработать.

          • 12 апреля 2017 в 16:41

            0

            Давайте оставим эмоции. Вы писали в головной офис «сотрудникам, которые отвечают за блог на Хабре»? Там есть специально обученные люди, которые знают, чего тут от них ждут.
            Ниже Вам несколько человек написали про тот же Вымпелком, который реализовал запрет на услуги по получению СМС в течение 24 часов после замены симки. Поэтому да, будет. И да, ведутся.

            • 12 апреля 2017 в 16:46

              0

              А при чём тут эмоции?

              Я ещё раз вам повторяю, что по разным делам в период с 2014 по 2017 гг. я писал в разные сотовые компании. И везде получал два вида ответов: а) мы будем это делать — когда-нибудь; б) это вообще не предписано законом. После этого — время шло. Опять в Сети и у меня на столе, говоря образно, появлялись жалобы о незаконной замене сим-карты. Дела, кот. я изучил, начинаются с 2012 г. по разным оператором. Особенно конечно блещет МТС (где-то ⅓ жалоб), но и другие дают маху.

              Должен ли я ещё выходить на связь до публикации? Нет. Потому как общество должно само поставить все эти вопросы, т.к. сейчас это похоже на то, что не юристы называют беспределом, а юристы — правовым нигилизмом.

              Суды говорят: нужно заявление в письменной форме при замене сим. ОСС — нет, мы их не храним. Или храним, но не всегда. Потребители говорят: мы не можем не использовать смс — это требуют банки. ОСС — говорят, это ваши проблемы. Уже даже ВС РФ (см. ниже) написал, что нет, это проблемы ОСС —, но воз, повторюсь, и ныне там.

              Извините, но каких эмоций вы ожидаете после этого? И тут дело даже не в эмоциях:, а конкретно в том, что эти самые представители на Хабре по полочкам ответили: а) когда всё это прекратится; б) что они для этого делают; в) когда наконец требования законодательства будут исполняться в полном объёме. И всё.

            • 12 апреля 2017 в 16:49

              0

              и такой вопрос у меня: блокировка отправки смс — это всё, что за 5 лет сделано?

              • 12 апреля 2017 в 17:09

                0

                Хотел найти контакты того же Билайна, но они прекратили активность на Хабре.
                О том, что сделано надо говорить с действующими сотрудниками, отвечающими за это направление.

                • 12 апреля 2017 в 17:14

                  +1

                  Вот я и жду. Не только здесь. Но и здесь теперь уже тоже.

        • 12 апреля 2017 в 16:33

          0

          А ещё хуже: когда я пишу, звоню (от клиентов), а мне говорят, что это — не их обязанность. Мол, закон вы (т.е. я) слишком широко трактуете. «Хорошо», — говорю я. Но что дальше? Дальше: бабушки, уж извините за слезливость истории, потеряли за жизнь накопленное в СБ. И это — не их, куда уж там, дело. Закон же не написал прямо, КАК это делается.

  • 12 апреля 2017 в 16:13

    0

    У Билайна нельзя принять и отправить смс 24 часа, перед заменой сим — об этом предупреждают клиента
    п.1. не сработает в случаях замены в рамках региона
    п.2 правильнее решать подтверждающей смс с каким-нибудь кодом
    п.3 у вас пропал куда-то
    п.4 смысла в звонке нет. звонок поступит мошеннику, он скажет, что хозяин отошел и попросит перезвонить минут через Нцать, а в это время доснимает деньги клиента
    п.5 наивно


    P.S.: Вы забываете основное. Оператор не обязан следить за безопасностью ваших счетов и банковских карт. Точно также как ЖЭК не обязан предоставлять вам несгораемый и водонепроницаемый сейф для хранения документов

    • 12 апреля 2017 в 16:28

      0

      Нет, не забываю: посмотрите Определение ВС РФ от 8 декабря 2015 г. N 5-КГ15–164. Оператор при замене SIM обязан помнить, что с ней он передаёт доступ ко ВСЕМ подключенным услугам и потому — обеспечивать безопасность этой услуги в том числе.

      • 12 апреля 2017 в 16:58

        0

        услугам ОПЕРАТОРА.
        В определении ВС РФ относительно Оператора нет никаких претензий по части ущерба по банковским операциям, а есть информация о том, что суд не учел то, что БАНК был обязан как-то дополнительно еще проверить владелец ли счета распоряжается счетом.

  • 12 апреля 2017 в 16:26

    0

    Когда заходит речь о разного рода фроде и ОСС, мне сразу вспоминается антифрод система в конторе, где я работал. Там пришлось заводить белый список для «особых абонентов», которые через оператора на нас наезжали за то, что мы не даем им тратить кучу денег (~100 смс стоимостью 10 USD за пару минут).

    • 12 апреля 2017 в 16:30

      0

      И чем закончилось?

      • 12 апреля 2017 в 16:50

        +1

        Как я написал выше, был сделан «белый список», в который добавляли абонентов при обращении к нам и в ТП, и по каналам ОСС. Соответственно пришлось делать функционал повторной обработки тех запросов, которые были оценены как фрод.

        • 12 апреля 2017 в 16:52

          0

          Ясно, не совсем правильно понял тогда сначала. И спасибо за ремарку

  • 12 апреля 2017 в 16:30

    +1

    У билайна при замене сим-карты приходит смс (с номерами, куда можно обратиться в случае если замену не запрашивал) + на 24 часа блокируется смс сообщения от банков, коммерческих сервисов и блокируется оплата услуг со счета телефона. По снятии блокировки тоже приходит смска.

    • 12 апреля 2017 в 16:30

      0

      Понял.Спасибо. Как давно — не знаете?

      • 12 апреля 2017 в 16:52

        +1

        К сожалению, не в курсе. Знаю только по относительно недавнему времени, пользовался этой услугой

        • 12 апреля 2017 в 17:05

          0

          Ясно. Вроде бы, и года нет. Узнать бы точно. Для одного дела — помогло бы, что у меня от клиента.

  • 12 апреля 2017 в 16:33

    0

    Не так давно менял SIM-карту в Северо-западном Мегафоне — была обычного размера, потребовалась nano. Пришел в ближайщий офис Мегафона, показал паспорт, получил новую карту и был предупрежден, что на новой карте CMC-ки в течение следующих 6 часов работать не будут. Ну, не 100-процентная защита, но хоть что-то.

    • 12 апреля 2017 в 16:34

      0

      Да, в статье указал, что такая новация есть. Это лучше, чем ничего. Но с другой стороны: лучше — всё же ещё придумать, как менять ещё безопасней. Впрочем, буду ждать варианты в комментариях. Свои у меня есть —, но о них — позже.

  • 12 апреля 2017 в 16:55

    0

    А способ только один — отключать нафиг все эти мобильные банки, причём обязательно не через сайт, а придя в отделение банка и написав заявление на бумаге. А то потом скажут, что ничего вы не отключали. Где так сделать нельзя — меняйте банк.
    На сервисах вроде Телеграма, где пароли можно восстановить по мобильнику, изначально считать свой аккаунт общественным.
    Двухфакторную аутентификацию по мобильнику считать разновидностью гомеопатии.
    И не будет проблем тогда.

    • 12 апреля 2017 в 17:04

      0

      Всё бы хорошо, только вы попробуйте это объяснит тем, у кого карта одна — Сбербанка. А Сбер навязывает свой СМС, Мобильный и Онлайн-банк просто каждому встречном с картой. Да и потом, на самом деле — это ведь проблема общеотраслевая. Я смотрел практику многих стран: Россия тут отстаёт даже от M-Pessa.

  • 12 апреля 2017 в 17:34

    +2

    Решил вопрос просто: мой публичный номер и номер, на который приходят всякие подтверждения банков — это разные номера. Телефон для получения смс — простая звонилка, на которую троян не поставить.

    • 12 апреля 2017 в 17:38

      +1

      В первой статье писал про это: способ хороший (сам использую), но, к сожалению, не решает вопроса, т.к. слив базы происходит по человеческому фактору (надеюсь, что скоро смогу опубликовать и эти примеры). Лучше — чем ничего, но только вот это опять — усложнение для пользователя, а не работа ОСС.

© Habrahabr.ru