АТФБанк против Скайнета

Привет, читатель! Хочу рассказать тебе о том, каким людям ты доверяешь хранить свои деньги. Не обращай пока внимания на Скайнет – это больше для рекламы ввернуто. Хотя и небезосновательно. А вот это уже ввернуто для интриги. Решайся. Там не будет просьб отправить смс на короткий номер, как можно предположить по вступлению :)

Хватит заманухи плести, начнем с экспозиции.

Представь себя, читатель, владельцем карточки АТФБанка. У меня, например, простенькая древняя Виза Электрон, которая когда-то заменила мне еще более древнюю (и, некстати, картонную) Визу Виртуон для покупок в интернете.

Шагаем мы по просторам Алиэкспресса, и видим… его! Блютус-пульт с аэромышью и клавиатурой с нанесенной кириллицей на нокиевской батарейке! Или еще лучше, «мода старинные мужчины женщины браслеты конопли, натуральная кожа панка»! Всегда хотел себе браслет из натуральной кожи панка! Ты тоже, читатель? Да не отнекивайся, я же вижу, как глаз у тебя горит. Итак, утирая слюнки, оформляем заказ, вбиваем данные своей карточки, нажимаем кнопочку оплаты, ии-и…

Переходим к основному повествованию.

Как догадается опытный читатель, кнопочка оплаты с некоторых пор приводит не к снятию денег с карточки, а очень даже к ошибке.

Алиэкспресс относится к этому просто – введи карточку с рабочим номером, и деньги снимутся. Пейпал предлагает привязать к нему новую карточку. Амазон может вообще заблокировать аккаунт и попросить выслать документы для подтверждения адреса плательщика по сверхсекретному факсу.

Ну да это все лирика. Блютус-пульт и конопля с браслетом все еще в лапах наших многочисленных соседей. И, несмотря на то, что лично для меня принципы социалистической справедливости по умолчанию предполагают безвозмездную отсылку мне браслета и пульта, узкоокие строители коммунизма почему-то следуют совершенно капиталистическим идеалам и ничего не шлют без предоплаты.

Так что надо звонить в АТФБанк.

Набираем 2424 с сотового или 8 8многонулей 8ещепарочка 283 с домашнего, слушаем автоответчика, тыкаем на циферки и таки добираемся до оператора (раньше – до оператора по вопросам, связанным с платежными картами, теперь – до любого оператора колл-центра, лишь бы он не был заточен лишь на работу с проблемной задолженностью, ибо такой ничем не поможет). Срывающимся голосом описываем оператору суть трагедии – ведь пульт может успеть купить какой-нибудь счастливчик, и тогда всё, жизнь потеряет смысл. Оператор отвечает, что в целях безопасности клиентов, на карточках АТФБанка по умолчанию заблокированы интернет-платежи. Забавно – при выпуске карточки они заблокированы не были, а тут вдруг заблокировались.

Пофиг, пляшем дальше. Что делать? Можно разблокировать интернет-платежи на желаемый срок прямо через колл-центр. Что для этого нужно? Всего-то подтвердить свою личность, ну и согласиться с условием, что если в течение срока разблокировки денежка с карты утечет в неизвестном направлении, банк не банк и ответственность не его. О’Кейси, мы хоть дракона готовы завалить, только дайте за товар заплатить! Что нужно сказать? Номер карты, ФИО и дату рождения держателя, ну и кодовое слово. Сказали. Ну все, можно платить? Ан нет.

Постойте-ка, тут у нас кульминация подкралась!

Оператор (-ша?) просит назвать номер ИИН. И нет, забавен здесь не каламбур с номером индивидуального идентификационного номера. Забавно тут другое.

Для наглядной демонстрации хода мысли сотрудника АТФБанка (а скорее, руководителя департамента и кучки топ-топ менеджеров), придумавшего эту крайнюю меру безопасности, залезем внутрь и рассмотрим ситуацию из гипотетического злоумышленника. Из злоумышленника, который спер твою, читатель, карточку. Не хочешь, чтобы ее сперли? Ну ладно, давай злоумышленник слямзит мою карточку (чисто технически, хватит ее номера, срока действия и кода проверки подлинности карты). Следуя логике гуру безопасности из АТФБанка, злоумышленник знает еще и мое ФИО и дату рождения. А еще кодовое слово. Всякое бывает, аха.

Далее злоумышленник, оправдывая свое наименование, умышляет зло – то бишь, например, намеревается пойти на Алиэкспресс и купить там себе восстановленный айфон, оплатив его моей карточкой. Айфоны сами по себе-то зло, а уж восстановленные – так и подавно.

И вот уже злоумышленник, пройдя по нашим стопам (в том числе безуспешно попробовав оплатить заказ, о чем мы никак не сможем узнать – ни смски, ни звонка из банка не будет), добирается до колл-центра.

Без проблем отвечая на вопросы оператора, наш злоумышленник уже потирает ручонки, надеясь вскорости заполучить свой яблофон, как вдруг оператор оглушает его просьбой назвать ИИН держателя карточки. Злоумышленник бледнеет, синеет, зеленеет и падает в краткосрочный обморок, после которого идет добровольно сдаваться служителям правопорядка, пораженный хитрой и выверенной системой защиты держателей карточек АТФБанка. После отбывания положенного срока он становится специалистом по информационной безопасности, разрабатывает новые и новые системы защиты во благо законопослушных граждан, и вообще живет долго и счастливо. Такая вот сказка получается в розовом мире стражей карточной безопасности АТФБанка.

Хотя постойте-ка, чего это я наговариваю. Перенесемся из розового в реальный мир, а злоумышленник у нас будет, скажем, злым роботом. Эдакий Қ-800, посланный Казпочтой из далекого 2050 года в наше время, дабы проверить скорость доставки товаров из Китая. Абсолютно несокрушимый и беспринципный настолько, что ради выполнения своей миссии он не останавливается даже перед воровством платежных карточек.

Итак, что сделает наш робот? На самом деле, не особо ему придется напрягать свой процессор – первое, это надо почитать что же это за штука такая, ИИН. А второе и последнее – спросить у гугла «как найти иин», щелкнуть по первой ссылочке в выдаче и попасть прямо на страничку с поиском налогоплательщиков (раньше, кстати, этот сервис располагался на сайте Налогового комитета – может, он и сейчас там есть, но на момент написания статьи сайты www.salyk.kz и www.salyk.gov.kz недоступны).

И вот Қ-800 уже радостно пощелкивает клапанами – сейчас он найдет нужный ему ИИН, ведь нужно лишь ввести в поля заведомо известные Ф, И и О, и получить данные всех физических лиц с такими ФИО и их ИИНами. Как выбрать среди этих ИИНов нужный – легко, по дате рождения, указанной в первых шести циферках каждого ИИНа. Вот только гений АТФБанковского безопасника куда совершеннее искусственного интеллекта, ведь чтобы запустить поиск, надо сначала ввести капчу, то бишь код с картинки. А капча, как известно, роботам не по зубам. Так и погибнет бесславно Қ-800 от перегрева процессора и со сточенными до локтей лапами после бесчисленных попыток ввода капчи. Последний бастион защиты не пропустит робота.

Эпилог, он же эпикриз.

Наконец, читатель, мы добрались до упомянутого ранее «забавного» – существующая система верификации держателей карточек АТФБанка посредством запроса ИИН может предотвратить неправомерный доступ к карточке разве что только роботом. Для людей же это лишь трата времени на запоминание ИИНа/вытаскивание документа с ИИНом/поиск своего ИИНа через упомянутый поиск.

ЗЫ: Я действительно считаю верификацию по ИИН глупостью и показухой. Ежели я где-то ошибся в своих суждениях, укажите на это. Если это будет ответ от АТФБанка – будет очень хорошо. Если это будет действие АТФБанка – будет вообще прекрасно.

ЗЗЫ: Вообще, может, система и сработает для, например, Ивановых Иван Ивановичей – их вон как много в базе данных. С другой стороны, я пару раз намеренно ошибался в своем ИИНе и мне всегда давалась бесплатная вторая попытка, такшта...