[Информационная безопасность, Читальный зал, Сотовая связь] Кто читает ваши SMS
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Эту историю я услышал от своего друга из финтеха. История мне понравилась тем, что все мы стараемся защищать свои персональные данные, соблюдаем цифровую гигиену, но на самом базовом (я бы сказал, фундаментальном уровне) всё просто.Добро пожаловать под кат, далее будет небольшая история.Итак, есть веб-сайт по приему заявок на потребительский кредит и кредитные карты. Клиент заходит на сайт, вбивает свои персональне данные и получает решение по кредиту. Упрощенная архитектура выглядит так:
Клиент подает заявку на кредит, она попадает в кредитную машину, основная часть заявок обрабатывается автоматически, примерно 10 % из них относятся к «серой зоне» и поступают на ручную обработку: сотрудник смотрит заявку и решает — одобрить или отклонить. В случае одобрения, клиенту приходит SMS "Поздравляем с одобрением кредита!".На одной из рабочих групп по разбору обращений клиентов сотрудники финтеха видят частотные тикеты вида: «не успел подать заявку, сразу начались звонки из банков и от брокеров с предложением взять кредит», «вы сливаете мою персуху», «что за помойка, не успел получить одобрение, пошли звонки из других банков». Сотрудники сначала решают, что это либо просто «выброс», либо такие обращения не частотные, либо это чьи-то шутки. Через месяц снова смотрят статистику обращений клиентов, и понимают, что "не показалось". Это проблема, с которой надо серьезно работать. Требуется расследование, и финтех его начинает.Первый шаг. Проверить на себеСотрудник финтеха подает заявку на кредитную карту на своем сайте, держит телефон при себе и ждёт, когда ему позвонят левые компании с предложением взять кредит. Но так никто и не позвонил. Получается, проблемы нет? Финтех снова смотрит статистику обращений: жалобы клиентов на звонки сторонних компаний есть.Хорошо, двигаемся дальше.Второй шаг. Проверить на контрольной группеСобирается команда из 10 человек. Каждый подает заявку на кредит на сайте финтеха. Все договариваются, что два дня отвечают на звонки, немотря на предупреждения WhoCalls, и стараются запоминать (записывать) информацию, которую им говорят. Итог: примерно 30 % участников контрольной группы поступили звонки от серьёзных и легальных организаций с предложением взять кредит у них. Кому-то позвонил робот, кому-то — сотрудник колл-центра одного уважаемого банка.Значит, проблема есть. Хорошо, двигаемся дальше.Третий шаг. Аналитика и локализация контуровИтак, что финтех имеет на текущий момент:
- Действительно, идут звонки клиентам их компании с предложением взять кредит у конкурентов.
- Звонки идут от известных компаний, значит, последние получают данные легально, но пока непонятно, как.
- Звонят не всем клиентам.
- Звонят после одобрения кредита финтехом.
Финтех разбивает подачу заявки на несколько контуров:
- Сама форма подачи заявки на кредит. Что там есть? Так, есть «Яху. Метрика». Чисто теоретически, стоит счётчик с включенным веб-визором и каким-то ботом собираются персональные данные клиента под аккаунтом одного из сотрудников финтеха. Эту гипотезу отложили. Что еще? Данные кто-то берет с бэкенда заявки (до передачи в кредитную машину) и передает в сторонние компании под видом легальных «лидов».
- Кредитная машина. У любой кредитной машины есть интеграция с несколькими бюро кредитных историй (далее — БКИ). Значит, чисто теоретически, бюро могут передавать информацию о клиентах. Также у кредитной машины есть интеграция с одним их сотовых операторов по проверке телефонных номеров клиентов, оформлены ли они на реальных людей, а не на «дропов» (проверка на мошенничество).
- Сотрудник. Сотрудник имеет доступ к информации по примерно 10 % заявок, которые поступают в серую зону.
- SMS-шлюз. Каждому клиенту финтех присылает SMS "Поздравляем с одобрением кредита!"
Хорошо, пора двигаться дальше.Четвёртый шаг. Проверить каждый контур1 контур. Сама форма подачи заявки. ИТ финтеха генерирует фальшивые заявки от лица 20 человек, но не передает их дальше в кредитную машину, а оставляет на бэке заявки. Ждут два дня. Звонков нет. Контур чистый, двигаемся дальше.2 контур. ИТ финтеха проталкивает заявки в кредитную машину, та стучится в БКИ и сотовому оператору. Проверяется гипотеза, что данные сливает сотрудник, который принимает решение по 10 % заявок. Итог: звонки есть, но они есть как по заявкам, которые смотрел сотрудник, так и по тем, по которым система приняла решение автоматически.Контур проверки сузился, значит, данные уходят из следующих источников:
- БКИ,
- Сотовый оператор, проверяющий номера на мошенничество,
- SMS-шлюз.
Но что было нетипично в этой истории, так это то, что звонки шли не всем клиентам.Пятый шаг. Разбор внешних интеграций по частямБКИ. Финтех запрашивает у БКИ, есть ли у них услуга «получи данные клиентов, которые обратились за кредитом», на что получают ответ, что последние думают об этом, но услугу пока не запустили и, в принципе, здорово, что спросили, давайте проведем пилот с вами. Запрос был в конце 2019 года. В конце я напишу, в чём суть услуги БКИ.SMS-шлюз. Финтех просто генерирует SMS с поздравлением c одобрением кредита, и bingo! — идут звонки от других банков на номера абонентов того самого сотового оператора, с кем у финтеха есть договор на проверку на спам. Звонки от уважаемых банков. Интересно.Шестой шаг. Завершение расследованияПоскольку у компании есть прямой контракт на проверку номеров на мошенничество с одним из сотовых операторов, и как раз были звонки его абонентам, то финтех просто задает вопрос: «Ребята, это что за дела? Вы почему передаете данные наших клиентов в сторонние банки?» Сотовый оператор честно и открыто отвечает, что есть такая модель бизнеса, и работает она так:
- Сотовый оператор «читает» тематические SMS своих абонентов. В данном случае, про одобрение кредита. В онлайне оператор дообогащает информацию по абоненту данными из других источников (например, e-mail), и эти события легально передает компаниям, кому это интересно. По вполне официальному договору. А что с согласиями клиентов на передачу данных? Ну, во-первых, они передают только номер телефона (и иногда email), во-вторых, клиент при заключении договора с сотовым оператором уже дал все согласия (но здесь есть серая зона, если взяться за этот вопрос, то операторы будут не правы, всех согласий нет).
- Триггеры срабатывают примерно на 20 % абонентов, по кому успевает сработать событие.
Финтех договорился с сотовым оператором, что по его клиентам такой порог срабатываний триггеров будет ЗНАЧИТЕЛЬНО снижен или убран совсем, сотовый оператор пошел навстречу.В завершение про БКИ — модель передачи клиентских данных такая:
- Гражданин Иванов взял кредитную карту в банке РУСЬ. Банк отправил данный факт в БКИ.
- РУСЬ подписывается в БКИ на событие, что если по Иванову пришел запрос в БКИ на проверку кредитной истории из других банков (например, Иванов решил взять потребительский кредит), то немедленно информируй об этом банк РУСЬ.
- У Банка есть все персональные данные Иванова (помним, что он взял у РУСИ кредитную карту), после получения события он начинает предлагать Иванову прийти за потребом к нему.
===========
Источник:
habr.com
===========
Похожие новости:
- [Читальный зал, Научно-популярное] Такая разная колонизация Африки
- [Карьера в IT-индустрии, Читальный зал, Лайфхаки для гиков] [Личный опыт] Карьерный путь IT-инженера: от Кремниевой долины к стабильной британской компании через стартапы и психот
- [Читальный зал, Научно-популярное] Почему Скотт пришёл к Южному Полюсу вторым, а Амундсен предпоследним
- [Информационная безопасность, Криптография, Софт] Wireshark для всех. Лайфхаки на каждый день
- [Биографии гиков] История одной ракушки. И нефти
- [Профессиональная литература, Карьера в IT-индустрии, Читальный зал, Научно-популярное] Dan Luu: Как пишутся (некоторые) хорошие корпоративные инженерные блоги (перевод)
- [Профессиональная литература, Карьера в IT-индустрии, Читальный зал] Как айтишнику издать свою книгу. Часть 2 Самиздат: сколько стоит свобода
- [Читальный зал, Научно-популярное] Теория познания, основанная на поведенческих моделях
- [Облачные сервисы, История IT, Периферия, Звук] Что почитать на выходных — история лонгбоксов, битва за стриминг и вендор-лок для аудиоконтента
- [Информационная безопасность, Исследования и прогнозы в IT, Софт] Крупную атаку на российские госструктуры связали с Китаем
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_chitalnyj_zal (Читальный зал), #_sotovaja_svjaz (Сотовая связь), #_rassledovanie_intsidentov (расследование инцидентов), #_istorija (история), #_blog_kompanii_domklik (
Блог компании ДомКлик
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_chitalnyj_zal (
Читальный зал
), #_sotovaja_svjaz (
Сотовая связь
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:30
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Эту историю я услышал от своего друга из финтеха. История мне понравилась тем, что все мы стараемся защищать свои персональные данные, соблюдаем цифровую гигиену, но на самом базовом (я бы сказал, фундаментальном уровне) всё просто.Добро пожаловать под кат, далее будет небольшая история.Итак, есть веб-сайт по приему заявок на потребительский кредит и кредитные карты. Клиент заходит на сайт, вбивает свои персональне данные и получает решение по кредиту. Упрощенная архитектура выглядит так: Клиент подает заявку на кредит, она попадает в кредитную машину, основная часть заявок обрабатывается автоматически, примерно 10 % из них относятся к «серой зоне» и поступают на ручную обработку: сотрудник смотрит заявку и решает — одобрить или отклонить. В случае одобрения, клиенту приходит SMS "Поздравляем с одобрением кредита!".На одной из рабочих групп по разбору обращений клиентов сотрудники финтеха видят частотные тикеты вида: «не успел подать заявку, сразу начались звонки из банков и от брокеров с предложением взять кредит», «вы сливаете мою персуху», «что за помойка, не успел получить одобрение, пошли звонки из других банков». Сотрудники сначала решают, что это либо просто «выброс», либо такие обращения не частотные, либо это чьи-то шутки. Через месяц снова смотрят статистику обращений клиентов, и понимают, что "не показалось". Это проблема, с которой надо серьезно работать. Требуется расследование, и финтех его начинает.Первый шаг. Проверить на себеСотрудник финтеха подает заявку на кредитную карту на своем сайте, держит телефон при себе и ждёт, когда ему позвонят левые компании с предложением взять кредит. Но так никто и не позвонил. Получается, проблемы нет? Финтех снова смотрит статистику обращений: жалобы клиентов на звонки сторонних компаний есть.Хорошо, двигаемся дальше.Второй шаг. Проверить на контрольной группеСобирается команда из 10 человек. Каждый подает заявку на кредит на сайте финтеха. Все договариваются, что два дня отвечают на звонки, немотря на предупреждения WhoCalls, и стараются запоминать (записывать) информацию, которую им говорят. Итог: примерно 30 % участников контрольной группы поступили звонки от серьёзных и легальных организаций с предложением взять кредит у них. Кому-то позвонил робот, кому-то — сотрудник колл-центра одного уважаемого банка.Значит, проблема есть. Хорошо, двигаемся дальше.Третий шаг. Аналитика и локализация контуровИтак, что финтех имеет на текущий момент:
=========== Источник: habr.com =========== Похожие новости:
Блог компании ДомКлик ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_chitalnyj_zal ( Читальный зал ), #_sotovaja_svjaz ( Сотовая связь ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:30
Часовой пояс: UTC + 5