вторник, 23 сентября 2014 г.

воспоминания обычного парня про нормальный банк

если вы знаете чего-нибудь про такой банк24.ру, то наверняка в курсе, что у него пару дней назад вероломно отозвали лицензию. что-то на меня вдруг нашло и решил накатать пост про этот банк.
некоторые знают, что в феврале 2015 могло бы быть десять лет моему клиентству в точке. я уже неособо помню подробности открытия счета в 2005, но в целом мне нужен был нормальный карточный счет физлица с полноценным (а не убогим) инетбанком без смс и эцп. а при этом на тот момент точка давала при открытии два счета - карточный и инетбанковый и какие-то лютые проценты (почему-то помнится цифра 18%, не помню точно) на счета до востребования (оба), что делало обслуживание по сути бесплатным. при этом точка была банком, чьи офисы реально работали круглосуточно, это само по себе уже было нонсенс.
история развития точки шла бок о бок с конкурирующей фирмой банком северная казна, вообще в целом так получилось что в ебурге сложилась лютая школа разработки инетбанков. я был и клиентом казны тоже на тот момент, но пользовался ею по-минимуму, ибо ключи на дискетах, которые у меня постоянно сыпались, и вообще криптоключи в дбо сами по себе нагнетали на меня уныние. на местном банковском разделе форума е1, где я был некоторое время завсегдатай, было множество холиваров с столкновением фанатиков. в инетбанке точки был весь нужный нормальному человеку фич - доступ ко всем счетам, что есть, шаблоны для всех коммунальных и связных фирм по региону проживания, уведомления в почту, смс и асечку.
потом еще я был какое-то время клиентом одного из американских банков, все из которых просто убивали своими режимами работы типа с 8 до 15 по будням и всякими штуками типа заведения чековых книжек с записыванием туда депозитов и снятий, при том что чеками из этих книжек расплачиваться с понтом как в кино было нельзя. по сравнению с такими американскими банками круглосуточный банк выглядел реально современно и модно. я и пользовался круглосуточностью по-полной. в силу того что у точки было офисов совсем чуток, все клиенты постоянно жаловались на очереди, которые сами же и создавали. придешь бывало в офис, там все сидят вдоль стенки на стульчиках и в креслах, чето-то там ожидают, вроде даже вайфай юзают. а я такой приду ночью, получу скречкарту одноразовых паролей и уйду через минуту, довольно удобно.
больше особо незачем было приходить, ибо инетбанк был довольно качественный.
в те времена когда еще почта россии работала нормально и можно было шопиться через инет без негодования, я нормально шопился. как известно, есть (или были) нюансы всякие карточные, если шопиться через инет. почитаешь в то время всякие форумы типа ибэй-форум ру или жежешечки тематические, так народ ваще мучался со своими картами. и немудрено. к примеру надо было добавить карту в пайпал, все добавят и потом идут в банк за выпиской чтоб код подтверждения узнать или к примеру всякие иностранные магазы и прочие пайпалы то шлют цвв2, то не шлют цвв2 за границу, то шлют, но пустой, то еще что-то придумают для ухудшения жизни русскому человеку. а мне все ни по чем, у меня ж карта точки и два счета, доступных через инетбанк: захотел - посмотрел код пайпала, сразу карту подтвердил через минуту, захотел включил проверку цвв2, захотел отключил проверку цвв2. деньги на карточном не хранишь, держишь на ибанковом счете нормалек, а на карте гроши, слил карту - остатки не жалко, перед покупкой перекинул скока надо, все дела. безопасно.
с безопасностью вообще была отдельная большая тема. может кому-то это о чем-то скажет, но у точки была сертифицированная смиб по исо27001. в то время когда сертификатов в стране было штук 10, а банков таких в помине не было. ну еще был сертификат смк по 9001, но этим особо никого не удивить, у многих есть бумажки и для галочки такие серты. обычно заплатят умеренную сумму консалтеру, получат тонну бумажек, вызовут аудитора, с серьезным видом, сдерживая смешки, ответят на вопросы, покажут как работают, получат сертификат, его на сайт, бумажки в шкаф до следующего аудита пересертификационного. у точки в целом реально складывалось ощущение что эти все процессные подходы работают. понятно что ограничено скопом, если не изменяет память, то 27001 например в части дбо, да и вообще особо данная сертификация у нас в стране неособо кого интересует (ну разве что крупняк с западными корнями и корпоративными политиками, спущенными из госдепов) и клиенты не особо бегут, приманенные на такую сертификацию, но и помимо сертификатов было с безопасностью организовано нормально. сама по себе реализация дбо для физлиц с одноразовыми паролями была избавлена от всяких детских архитектурных уязвимостей типа возможности подтверждения любым паролем с карты (запрашивался конкретный), возможности накопления паролей с карты с последующим проведением операций (сгорали после любого разового использования), возможности подмены реквизитов в момент подтверждения (предварительная отправка на сервер) и т.д. Обычно если какая-нибудь безопасническая фирма публиковала отчет или статью об уязвимостях дбо, то там были какие-нибудь другие ребята-банки, а не точка. Видел тыщу случаев мошенничества с дбо со сливом ключей через фишинг или малварь, и на себе испытал один случай, когда мои реквизиты доступа тоже слились (думается на малварь когда сидел на винде), были попытки успешного входа в дбо до окна ввода одноразового пароля, далее благополучно проваленные в силу отсутствия моей скречкарты у бандюка, и блокировки акка на сколько-то там минут по количеству отказов. вообще точка довольно активно участвовала в борьбе со всякими мошенниками и всячески взаимодействовала с соответствующими органами в делах противодействия банковскому криминалу с онлайновыми и офлайновыми фейковыми платежками и документами, это было конечно полезно и для банковской сферы в целом, и для простых людей, пользователей любого банка, не только точки.
потом со временем я стал юзать карты и шопиться немного по другому - перешел на вирт. генерация карт была вроде неограниченной и бесплатной, ну либо входила в мой тариф. при этом все настройки можно было гибко менять. например делаешь короткую карту на месяц с лимитом покупок тыщу рублей. покупаешь какую-нить фигню, а по мере необходимости меняешь через ибанк параметры карты, увеличиваешь лимиты например до 3000, и так постепенно. слил карту - вообще не жалко. 
а вот еще случай был. в точке была такая штука как манибэк. это типа финансовая ответственность за качество услуг. например опубликованы условия предоставления услуг, что-то типа сла и тарифы. если банк не укладывается в условия, клиент говорит: хочу манибэк, и стоимость услуги возвращается. я так пару раз возвращал стоимость перевода вестерн юнион через инетбанк (это само по себе выглядит фантастикой, перевод вестерн юнион через инетбанк, без посещения офиса), например засылаешь бабосы в вестерн в 10 утра, едешь в инст, по регламенту за час должны прислать код, но бац там где-то операционисты замешкались, не уложились, пригоняю в инст звоню "код или манибэк?", а мне такие и код и манибэк. вот примерно такой сервис.  
в целом хоть обычно все хвалили техподдержку банка типа что такие клиенториентированные и что добрые и что в чате отвечают и в твиторе, мне с ней обычно не везло и по телефону или на сайте консультируя меня в чяте давала зачастую всякие косячные ответы, из-за которых я принимал неверные решения. в некоторых случаях меня спасали реальные и виртуальные знакомые и друзья - рабочие банка, пользуясь случаем, передаю им спасибо. вообще конечно вряд ли проблема с техподдержкой это прям таки была проблема точки, это скорее проблема любой техподдержки любой компании.
периодически еще точка выкидывала некоторые странные трюки типа попытки ограничить возможность изменения параметров вирткарт с невозможностью увеличения лимитов. в таких случаях я конечно возмущался и начинал бухтеть в твиторе или еще гденибудь, иногда банк прислушивался и передумывал меняться в худшую сторону.
ну или навязывание 3дсекуре (отстой), которое стало применяться якобы под соусом безусловной безопасности, без возможности выбора, для любых карт...
еще в один из черных дней всех клиентов постигла новость о том что скречкарты не будут больше выдаваться с такого-то числа, эту историю я уже писал в бложике отдельно. так банк хотел более лучше избавить себя от набегов физлиц в офисы. в качестве альтернативы предлагались бесплатные смс (что полный трэш и отстой) и платные генераторы (что дороже и менее надежно по сравнению с безмозглым куском пластика), по итогам всей чехарды карты перестали выдавать, но выданные ранее народу не прекратили хождение, кто успел запастись, можно было юзать до какого-то дедлайна (не помню какой год был анонсирован). я успел запастись, но после этого затянул пояс и платежи через ибанк переконфигурил - настроил все регулярные платежи какие можно было и перестал почти вообще заходить в ибанк, что в один из дней 2014 впервые за ~10 лет забыл и логин и пароль для входа (потом как-то вспомнил) - все работает как-то само, всем всё платится. но в целом я периодически немного беспокоился за будущее, мол типа  интересно что я буду делать, когда наступит конец и надо будет делать выбор. увы, цб сделал выбор за меня и я остался с запасом скречкарт, которые теперь можно было бы пустить на медиаторы (оставлю лучше на память), но без банка.
слухи об отзыве у точки лицензии ходили наверно на протяжении всего современного периода жизни банка. один раз после нормальных атак паническими вкладчиками на свердловские банки в 2008 году точка была на грани смерти, в тот же момент слилась казна, ее дохлую купила и раздраконила альфа, непонятно куда задевав все технологии, нажитые непосильным трудом. точку в тот год благодаря круглосуточным действиям руководства удалось спасти путем продажи лайфу и санации с сохранением самостоятельной команды и всех технологий. после того раза точка переквалифицировалась из обычного банка со всякими кредитами в чисто расчетный, в основном для юрлиц и ип. физиков стали выдавливать заградительными тарифами, но и то не всех удалось выдавить. за пользование банком клиентам уже не доплачивали, проценты давно стали чуть менее чем ноль а стало наоборот теперь необходимым доплачивать банку какую-то плату по тарифу, все остальные банки примерно тоже подравнялись до среднестатистического уровня, обзавелись привычными в 21 веке фичами и шаблонами. кстати за всю историю почти у всех моих друзей или есть или были счета в точке. потом еще много раз были слухи, последние где-то буквально пару недель назад, я тогда по старинке ухом не повел, подумал, да как такое может быть что сначала дают лицензию в связи со сменой региона на мск, а через месяц отзывают - реально же бредово и нелогично?
на протяжении последних лет у меня так получилось сложилась традиция гонять до банкомата на аэродроме кольцово, снять/скинуть кэша, пополнить телефон и тд.
16 сентября решил я такой в спб сгонять, дошел в шесть утра до банкомата закинуть несколько тыщ, закинул, лечу в спб ухом не веду, прилетаю, бац сообщение на телефон типа отозвали лицензию. …
я не подумал о чорт, мои бабки, я подумал о чорт, мой банк.
рип.

пятница, 12 сентября 2014 г.

На заборе магазин написано

один мой дружбан решил эксперимента для прикрыть один малварный сайт.
Ну в чем малварность была.
Если вкратце, то с этого сайта загрузчик с именем адоб ридер экзе качал запароленный рар архив, при наличии на компе винрара его разархивировывал с захардкоженным паролем и запускал экзе из него, а там что в архив положишь, ту функциональность и получишь.
На самом сайте одна страница и написано, допустим, бест инетмагаз эвер, то есть не поломали сайт и туда положили, а изначально задумали его таковым.
Если бы этот мой дружбан вбил в вирустотал, то был бы детект ну например 5/58, чего уже достаточно по идее для подтверждения малварности, а если бы погуглил, то увидел бы что много где в тематических базах фигурирует.
Ну так вот регистратор и хостинг были американские, а не какие-нибудь там сомали, поэтому и было решено проверить абузу.
на сайте регистратора было написано мол вот вам форма, мы принимаем жалобы на зловредные домены, которые мы зарегали, но делать с ними мы все равно ничего не будем, и разделегировывать тоже не будем, ищите хостеров и пишите им.
а у хостера был целый отдельный сайт только для обращений и всяких жалоб, тоже с формами.

заполнил формы и отправил обоим письмо примерного содержания: вот есть малварный сайт, вот ссылка на вирустотал, если надо, пришлю прямые ссылки на малвари и еще дополнительную инфу, какая понадобится.
от регистратора пришел автоответ типа ваша заявка принята, наши спецы ее уже бросились рассматривать изо всех сил, все дела.
от хостера ниче не пришло, видимо экономят исходящую почту.

проходит два часа и внезапно от хостера письмо.
типа какой-то чел из техподдержки пишет: спасибо вам блаблабла, я просканил антивирусом сайт, но никакого малварного контента не обнаружил, нужен пруф что сайт реально хостит такие штучки, если у вас есть вопросы не стесняйтесь пишите 24х7, синкерели, такое-то фио.

мой друган не растерялся, поправил важно очки и давай умничать мол я анализировал полученный по электропочте файл адобридер.ехе с помощью сервиса-песочницы вот ссылка на отчет, в приложенном пикап-файле можно увидеть сетевую активность этого приложения с обращением на сабжевый сайт, скачиванием по такому-то адресу запароленного рар-архива, пароль там-то можете увидеть и разархивировать еще один малварный бинарник, который тоже, если хотите, можете отправить на вирустотал, например, и убедиться. вот еще вам гет-запрос и ответ сервера.

проходит пара часов и в ответ на такое письмо чувак из техподдержки пишет вот такое сочинение на свободную тему: адобридер.ехе - это не вредоносный файл, это инсталлятор адоб ридера. гугл не позволит отправить экзешники электропочтой, а детектит их как вирусы. если у вас все-таки остались вопросы не стесняйтесь пишите 24х7 и так далее.

мой друган канеш улыбнулся, вспомнил техподдержку своего провайдера с их предложениями трассировки в качестве универсального решения любого вопроса, и пишет дальше в ответ: походу вы не поняли о чем я говорю. ясен же пень, что файл не инсталлер адоб ридера и ваще не знаю почему вы говорите про гуглопочту, в быту я использую не только гуглопочту и никак ее даже не упоминал в своем обращении. смотрели ли ссылки, что я прислал? еще разок гляньте вот вирустотал, вот анубис. читали ли вы мое предыдущее письмо? вот прямая ссылка на запароленный архив с малварью с сайта, вот пароль. другая малварь грузит архив с вашего хостинга, распаковывает и запускает. можете ли вы передать мой этот тикет другому техническому спецу, который понимает как малвари работают?

через пару часов очередной ответ. на этот раз чувак видимо посмотрел ссылки и говорит про вирустотал (5/58): показывает что сайт чист. охлол1.
м про ссылку на архив говорит: показывает 404. охлол2.
мой друган полез проверять и точно, архив стал недоступен, 404.
удалили контент втихушку, но проблему не признали.
поржал со смеху, порыдал от досады и пошел спать.

p.s. кстати звали чувака из техподдержки джеральд. прям как a guy called gerald. #rave #acid
если все техподдержки такие, то немудрено, что малвари процветают.
а регистратор так больше ничего кроме того автоответа и не прислал, как и обещал.

p.s.2 и была вся эта история эдак пару месяцев назад, а спросил я щас у дружбана ссылку на архив, и перед публикацией этого крео решил проверить. а файл-то на месте лежит и качается. такие дела :'(