Ещё один способ защитить ваши Яндекс.Деньги

Вам помогли? Номер обращения в саппорт подскажите, пожалуйста.

Доброй ночи всем! На часах час ночи, а мне от саппорта Яндекса письмо пришло вот такое: "...По соображениям безопасности Вам необходимо пройти идентификацию!

1).Подтверить введенные Вами данные ранее, необходимо заполнить данную форму.
 2).Вы можете пройти идентификацию, лично посетив один из наших офисов. Для этого нужно выполнить следующие действия:"

В сентябре уже получала письмишко от мошенников, заподозрила, что неладно по банальнейшим орфографическим АшиПкам...

А как быть здесь? И кому верить? Скажите, а яндекс в час ночи рассылает письма с предложением пройти идентификацию? Кстати, очередную...

Спасибо, Диля 

Если Вы уже прошли идентификацию, это точно фишинг. Если то, что Вы процитировали — кусок из письма, то да, это он. И дело не во времени (рассылка может быть автоматической, например), а в тех же ошибках.

Мне лично хранение платёжного пароля в любом виде, кроме зашифрованного (в Яндекс.Деньгах) и правильного (в голове), кажется опасным. Но, возможно, я не помню наш диалог.

Почему? Если вы честный пользователь, у вас всегда есть возможность восстановить доступ к счету, зайдя со старого устройства.

Ещё один вариант — усиленная авторизация.

Нет, не становитесь.

Если Вы не захотите восстанавливать доступ к счёту, отправив SMS с привязанного номера, включив усиленную авторизацию или написав в саппорт — вероятно, счёт будет «заморожен». Но деньги будут Вас ждать.

Вероятно — я имела в виду, что если пользователь не хочет привязывать телефон, не будет восстанавливать счёт бумажным заявлением или не сможет/не захочет заходить со старого устройства, и при этом у него не будет усиленной авторизации, и он зайдёт в счёт с незнакомого системе устройства, то, видимо, да, счёт заморозят и он будет в таком состоянии, пока пользователь всё-таки не предпримет какие-то шаги для разморозки. Перечисленные выше.

Нет, от суммы процедура «разморозки» не зависит. 

Если у Вас один компьютер, и Вы отдаёте его в ремонт, а сами пользуетесь Яндекс.Деньгами с телефона, проблем быть не должно. На всякий случай сейчас «покажите» системе своё дополнительное устройство, она его запомнит и спрашивать о нём не будет.

Меры защиты — разумные: надеюсь, Вы не храните пароли, пин-коды, платёжный пароль, логины и другую информацию в записанном виде на компьютере? Если да, то надо удалять. Если нет (или в зашифрованном виде, например, в программе с мастер-паролем, который Вы помните и никуда не записывали), то всё должно быть ок. 

Если Вы потеряли телефон, привяжите новый номер из браузера. Просто ситуация «Вы потеряли телефон, восстанавливаете номер, и именно в этот момент Вам срочно понадобилось зайти в Яндекс.Деньги с нового устройства, а доступа к старому устройству у Вас нет, и подождать пару дней до восстановления номера Вы не можете, и доехать к старому устройству Вы не можете, и включать усиленную авторизацию раньше Вы не хотели по внутренним убеждениям» выглядит как ситуация не с самой высокой вероятностью. Если вдруг роковая череда событий так сложится, всегда можно написать в саппорт и описать проблему.

Честно говоря, мне немного неловко так тщательно обсуждать вероятные варианты разных сценариев и в конце выяснить, что у Вас уже и так заблокирован счёт, и Вы не собираетесь им пользоваться :) У Вас не заморожена «некая сумма», у Вас заморожен счёт. Он будет оставаться заблокированным до тех пор, пока Вы не напишете заявление/не восстановите пароль/не пройдёте идентификацию (это зависит от причины блокировки). 

Если продолжать говорить о сценариях: лично я не ношу в одной сумке ноутбук с паролями, телефон, токен, паспорт, все банковские карты и кэш. Думаю, если пользователь так делает, ему лучше подумать о том, что он будет делать, если с этой сумкой что-нибудь случится. Защищить ноутбук паролем, поставить систему отслеживания, защитить телефон, не распечатывать карточку. Если сумка потеряется, вовремя позвонить и написать в саппорт всех банков, служб и компаний (и заранее записать все контакты). «Оптимальных» вариантов в этой ситуации, мне кажется, быть не может. Только личное решение пользователя и личная ответственность. 

Неловкое в обсуждении — то, что гипотетических ситуаций может быть много, но по факту большинство (подавляющее) пользователей со всем справляются, если вовремя привязывают телефоны. Карточки усиленной авторизации мошеннику будет недостаточно — для того, чтобы войти в систему, ему будет нужно знать и логин, и пароль от Яндекс.Денег. Можно предположить, что он может выяснить их, втеревшись в доверие пользователю; можно обсудить и это. 

Я за то, чтобы всё-таки сконцентрироваться на конкретной частной проблеме, а не предположении. Сейчас я рекомендую Вам привязать ко всем незамороженным счетам актуальный номер телефона, перейти на усиленную авторизацию и никуда не записывать логины и пароли.

Уже в первые выходные после запуска этой системы защиты служба безопасности сообщила, что оно стоило того. Внешние реальные угрозы — это мошенники, которые фишинговыми письмами получают от пользователей, не понимающих базовых принципов безопасности в интернете, их логины и пароли, и входят в счета без взлома, просто перехватив набор данных. Угроза того, что пользователь в пустынном месте срочно захочет зайти в свой счёт Яндекс.Денег с шестого устройства, а потом откажется себя идентифицировать любым из предложенных способов — именно что более абстрактная, чем реальная.

Кроме того, в этой ситуации его деньги останутся с ним, просто «замороженными». В случае с мошенничеством деньги он теряет навсегда — до тех пор, пока полиция не найдёт злоумышленника.

Зашла со старого устройства и все равно просит  подтвердить по смс. но давно нет уже этого номера. что делать то?

Восстановить номер. Если не получается, то только бумажное заявление, к сожалению. 

240 рублей - это годовая подписка. Или 20 рублей в месяц. Предупреждение о стоимости показывалось на страничке привязки. Насколько я знаю, банки берут примерно 60 рублей в месяц за аналогичную услугу.

Мне кажется, в первый раз вы просто не обратили внимание. Или списание произошло чуть позднее. Спасибо, что обратили внимание на этот сценарий. Я передам ваш отклик коллегам.

Хорошее сравнение, электронные деньги действительно похожи на расчеты наличными. Расскажите, что конкретно у вас случилось со справками?

Мифы и легенды Древней Греции :) Привязка телефона к аккаунту - это один из самых простых способов защиты аккаунта от мошенников. Неужели вы не сталкивались с этим в других интернет-сервисах? Вконтакт тоже рекомендует телефон привязать.

Да, возможно, это самый простой способ защиты аккаунта. Но он претендует на одно из самых базовых особенной интернета - свободу. Одной из характеристик этой свободы является анонимность (ее разные уровни). Если по молодости лет или по отсутствию опыта вам это непонятно, или вы не являетесь гражданином Российской Федерации с обязательной привязкой к "прописке" и проч. мне остается только пожелать, чтобы вас эта полицейская система обошла стороной. 

Поэтому выбирая между свободой и наличием аккаунта, я выберу риск потерять аккаунт (при том, что зная о таком риске буду более подготовленным).  Другой вопрос, оставит ли эту возможность сервис.

Спорить тут бессмысленно, для кого рабское и подназорное состояние является таким же естественным, как дышать. 

Вы можете остаться полностью анонимным, и при этом включить усиленную авторизацию. Если Яндекс.Деньги будут знать, что Ваш счёт максимально защищён — а автоматически генерируемые коды именно это с ним и делают — Ваши устройства запоминать не будут, привязка телефона не потребуется (если только Вы не потеряете карточку), дополнительная аутентификация тоже. То есть я (лично) хорошо понимаю Ваше желание оставаться анонимным; хотя я его не разделяю — но при этом я отлично понимаю необходимость системы обезопасить пользователей от мошенников. Это довольно изящный и всё же безболезненный (по сравнению с другими) способ.

это не касается технических средств, это касается общего тренда по отношению к пользователю.

Вот для примера, как работает Apple:

Уважаемый Username,

Ваш Apple ID, Username, был только что использован для покупки WhatsApp Messenger в App Store с компьютера или устройства, предварительно не связанного с этим Apple ID. Вы также можете получить это сообщение, если Ваш пароль был сброшен со времени последней покупки.

Если эту покупку совершили Вы, игнорируйте это сообщение e-mail. Оно было отправлено, чтобы оповестить Вас в случае, если покупку совершил кто-то другой.

Если Вы не совершали эту покупку, мы рекомендуем Вам перейти по адресуiforgot.apple.com для изменения пароля

и так далее.

Почему компания Яндекс относится к пользователям как к быдлу, которое надо водить за ручку, спрашивать номер телефона (соответственно пользователь должен помнить ВСЕ сервисы, где он использует этот номер и менять его как только сменит номер, а это НЕУДОБНО, не так ли?), паспорт и проч.?

Вопрос риторический. Потому что по другому не умеем. Пользовательские данные компроментировать умеем, а относится как к самостоятельным людям - нет. Впрочем, как и семейство Касперских и прочая мракобесная ерунда из госдумы. Фриланс.ру тут недавно такое же отчудил.

Ребята, двигайте с рунетовских сервисов,  (еще лучше из страны), иначе познакомитесь с иранским интернетом. Ни одна покупка с помощью электронного сервиса не стоит возможности потерять все, когда за тобой придут по наводке от этого самого сервиса.

App Store — это магазин, который блокирует средства на счёте карточки, и только потом их выводит. «Откатить» платёж обратно можно в течение какого-то времени; если Ваш счёт будет взломан, то вывести деньги будет сложнее — они же не хранятся непосредственно на счёте пользователя в App Store. Аналогия просто не очень корректная: лучше смотреть на то, как ведут себя банки — а они тоже блокируют скомпрометированные карты и счета до выяснения новых обстоятельств. Потому что здесь речь идёт о «живых деньгах».

Компрометируют пользовательские данные сами пользователи: например, в твиттер-аккаунте Need a debit card собраны десятки примеров того, как пользователи на голубом глазу фотографируют свои карточки с номерами, именами и датами. Другой пример — пользователи «ВКонтакте» высылают свои платёжные пароли тем, кто обещает разблокировать им аккаунт на подставное лицо, или даже открыто публикуют их на «стенах». Или скачивают вредоносное ПО, трояны, вирусы, считывающие их платёжные пароли и легко получающие доступ ко всем финансовым аккаунтам. Вот для того, чтобы их защитить, и вводятся усиленные меры безопасности. 

При этом сценарий, в котором пользователь каждую неделю заходит в свой аккаунт с нового устройства, при этом принципиально отказывается привязывать свой номер телефона и заходить в систему для старого устройства, довольно маловероятен. Куда менее вероятен, чем попытка мошенника сделать то же самое.

ВСЕ сервисы помнить не нужно, только финансовые. И примеры западных платёжных систем явно выдают в Вас человека, который ими не пользуется :)) Потому что там для подтверждения счёта просят прислать, скажем, utility bill на адрес, по которому Вы проживаете.

Страна Гоголя.

Анна, откуда в платежной системе Яндекса "живые деньги"? вы смеетесь что ли? или у нас появились банкоматы Яндекса? или появилась кредитная карта Яндекса? Вы либо равняете себя с банковскими структурами, либо являетесь электронным платежным сервисом со всеми вытекающими. 

И что это за смешки над человеком, который не пользуется западными платежными системами? Отчего вам смешно? 

А PayPal перестал быть платежной системой (который, вероятно, благодаря в том числе лобби Яндекса так трудно заходит на российский рынок)?

Я привел пример эппла как АДЕКВАТНЫЙ по отношению к пользователю метод. Который позволяет пользователю иметь право и быть ответственным. Но есть еще люди из страны гоголя. Они знают ЛУЧШЕ пользователя, что ему нужно. Он же ТУПОЙ, он же фотографирует карточки. Ну раз он такой тупой, давайте будем его стричь! Давайте привяжем его к телефону, а телефон к сотовому оператору. Кул стори, бро.

Погодите, давайте еще внесем мелким шрифтом, что можем передавать пользовательские данные третьей стороне, партнерам. Привет спам на телефон от компаний, после поисковых запросов. 

Следующим логическим шагом Яндекса будет выяснение происхождения средств по видом заботы о детях и борьбой с детской педофилилей, а то эти негодяи расплачиваются за контент с помощью Яндекс-денег. Идентификация становится обязательной.  Паспортные данные обязательны. Отчет в налоговую обязателен. Движения средств отслеживаются. 

Мерзко  от лицемерия. Мы, мол, заботимся о пользователе. На голубом глазу, ага. 

>фотографируют свои карточки с номерами, именами и датами 

 а вы, видимо, добрые феи и защищаете глупых и невежественных людей от их глупости и невежества путем привязки телефона и обязательным подтверждением. Ну так отнимите уже у них телефоны, так надежнее.

люди Гоголя. В театр ходить не нужно. 

Я не хотела вызвать у Вас агрессию и обиду; извините, если мои слова показались Вам грубыми или неуместными. Если у Вас есть какие-то вопросы о конкретных функциях системы, или что-то сломалось/не работает — давайте я попробую помочь, сама или с подключением службы поддержки. В остальном — спасибо за обратную связь.

Каким образом? Сейчас нужно просто ввести код, который Вам присылают в SMS. Не очень длинный :)

Дело не в длине : - )
Ситуация следующая: пароль 3 раза был введён неверно, доступ заблокирован, при этом телефон привязать невозможно, т.к. для этого нужно ввести свой платёжный пароль.
Было бы логичным предоставить так же возможность разблокирования, через подтверждение по SMS без запроса платёжного пароля.

Вот, допустим, мошенник заходит в Ваш аккаунт (к которому не привязан никакой телефон), набирает три платёжных неправильных пароля с потолка, система его блокирует и любезно присылает на любой предоставленный им номер SMS с кодом восстановления/сброса пароля? :) Вы бы сами этого наверняка не хотели. Поэтому номер нужно привязывать свой и «до». 

Мы не можем это объяснять публично, иначе мошенники получат сведения для обхода защиты счета.

Полагаю, мошенникам не составит затруднений это узнать, а пользователям полезно знать, как они могут потерять авторизацию: почистив куку, поставив сервис-пак или подключив внешний монитор.

Про часовой пояс я обязательно спрошу и напишу здесь ответ. Но Вам сейчас очень рекомендую как можно скорее написать в саппорт с описанием ситуации: https://money.yandex.ru/feedback/

Время в системе - московское. Ругаться система может, например, из-за режима инкогнито в браузере или смененной комплектующей компьютера.

Подождите, но если вы знаете «пароль к кошельку, контрольное слово, проверочное слово» и «входите со знакомых устройств», Вы можете со старого (знакомого) устройства зайти и разблокировать счёт. И изменить данные. Разве нет?

Нет. Я могу положить деньги))Без проблем, даже. А вот чтобы изменить номер я должна ввести смс со старого. Кстати, смс даже в природе не существует, т.к. номер снова не продан оператором. 

Понимаете, сам факт, если бы ваш банк у вас потребовал с паспортом съездить к черту-на-рога в рабочее время из-за отсутсвия службы смс-информирования, вы бы продолжали с ним работать? Подчеркиваю, я знаю контрольное слово.

У вас все службы так работают: прекрасная почта, без спама и т.д. Но с большим трудом уживается с Opera, неповторимый yandex-market заваленный сообщениями троллей и черной рекламой, и я даже не удивлена, что в быстро развивающейся системе yandex-деньги тоже что-то непродумано. 

 Просто из-за этого у меня сорвался платеж. И я не знаю, когда я смогу его осуществить, потому что я не смогу попасть в ваш офис месяц точно. Деньги просто зависнут. 

Платить через вас, я конечно, больше не буду. 

Мой лично банк (Raiffeisen) отказался привязывать новый номер мобильного телефона по e-mail-заявлению или через интернет-банк две недели назад. Только при личном визите в офис. Это объяснили требованием безопасности. Я не говорю, что так должно быть везде; просто личная иллюстрация, о которой Вы сами спросили. 

Вернёмся к Вашему платежу: Вы говорите, что Вы не можете перевести деньги, потому что у Вас не привязан новый номер телефона, и я пытаюсь понять, почему. Если у Вас не заблокирован счёт, и Вы можете переводить деньги, то в чём в принципе проблема, описанная в первом комментарии? Если Ваш счёт не заблокирован, почему Вы не можете привязать второй номер телефона в настройках? Что говорит система? Опять же — к личному примеру — я сама без доступа к московскому номеру три недели назад привязала австралийский номер телефона в настройках, не отправляя никакие SMS на старый номер. Только на новый. Но как иначе его привязать можно?

В общем, я понимаю очень хорошо, что Вам неудобно, я пока не могу разобраться, что именно. 

А мой лично банк (не Райффайзенбанк) и привязывает и отвязывает в ближайшем банкомате, потому что телефон, как устройство,  может быть украден, забыт, разбит, потерян. И новый хозяин не зная ни пароля от кошелька, ни "платежного пароля", просто открыв клиент с сохраненными настройками получить временный пароль и перевод деньг пройдет быстро и без проблем.

Почему я не могу совершить платеж? Потому что т.к. я не могу ввести код из несуществующей смс, сервер не хочет опознать меня как владельца. И у меня есть только 1 вариант, жать на кнопку "отправить повторно". 

И даже заходя в настройки, после ввода платежного пароля, он все-равно выкидывает меня в это же меню.

 И все это нужно только чтобы согласиться с новыми правилами работы (от 27.09).

Я звонила в тех.по. знаете что мне предложили?

1) восстановить номер. Картина маслом: придти в офис оператора и попросить на пару часов воостановить номер, заблокированный по моему же заявлению 25 сентября!!!

2) приехать в офис, расположенный на набережной до кот. только на такси можно добраться, чтобы успеть в будние дни до 20.00. Кроме того, паспортные данные - это информация с кот. даже гос.структуры работают очень и очень аккуратно. Принести свои пасп.данные в непонятную организацию для того, чтобы раз в месяц сделать платеж на 300 руб. - это бред. Все преимущество для меня Вашей системы только в том, что Евросеть найти проще, чем пункт приема web-money.

3) отправить заявление заказным письмом, с нотариально заверенной подписью.

Я даже комментировать это не буду)) 

Представительств компании не так уж и много. В крупном регионе - одна контора, х/з где расположенная. Год назад именно из-за этого я открыла кошелек web-money и все крупные суммы я переводила и буду переводить через них: удобно, надежно и не создает трудности мне как клиенту. В Вашей системе безопасности просто не предусмотрена моя ситуация. Поймите, я пишу не из сварливости. Просто я считаю, Ваша копания имея прекрасные идеи и реализации, все же должна основные деньги зарабатывать за рекламу других производителей)) Благодаря проблемам с почтой, я пользуюсь программами и сервисами google, я смотрю цены на market, но отзывы и обзоры на спец.ресурсах, а сегодня я познакомилась с ситемой Qiwi и к тому моменту пока Ваша служба безопасности перестанет быть опасной для пользователей, очень много клиентов сделает как я. Запрос с yandex)) "yandex деньги отзывы" только укрепил меня в этом мнении.

Спустя несколько дней после начала переписки я наконец-то поняла, что Вы не приняли новые условия использования сервиса. И что Вы связывались с саппортом, и Вам уже дали все ответы, просто Вам не удобен ни один из пунктов. В общем, мне правда жаль, что всё так сложилось. Ваша ситуация не очень стандартная и сложная — вероятно, в какой-то момент появится более удобное лично для Вас решение. Мы об этом напишем.

Спасибо)) Целью этой переписки и было обратить внимание службы поддержки на проблему, чтобы что-то сдвинулось с метвой точки. Это не сложная проблема, но она нерешенная. И это было понятно из разговора с тех.по. Обращений по таким вопросам у них хватает. И обреченность с кот. молодой человек выслушал все что у меня "накипело")) также говорит о том, что я не единственная кому "лично" не удобно. И мне еще повезло сказочно, что офис находится именно в моем городе, а не ближайшем региональном центре)) 

Надеюсь, "какой-то момент" наступит в теч. пары месяцев, система "лично удобная" для владельцев сервиса, станет лично удобной и для нас - преданных и многострадальных пользователей))  А МОИ деньги пока повисят на ВАШИХ счетах в качестве немого укора)))