С одной стороны — видимость защищенности карты.
С другой — использование терминалов, не имеющих клавиатуры, которые отчего-то никак не могут запретить.
(кому не понятно о чем речь, обьясняю: в барах и некоторых магазинах по чужой карточке можно спокойно оплатить без пин-кода.)
Странно... все говорят о защите, но никто не говорит об органах обязанных разбираться с происшедшим.
Но всё просто... в милиции/полиции... сб... — нет специалистов, которые понимали бы механизмы и обладали бы знаниями для решения данных ситуаций. Попросту — необразованность + не желание "работать" мозгами.
Даже без отнять и поделить., как товарищ выше правильно заметил, не имебт соотаетствующих компетенций. Но и получить ( при наличии желания) их, в массе своей, не имеют возжожностей, ибо негде и некогда.
Насчёт — "негде" — я бы поспорил.... а вот про — некогда.... мне кажется — самим структурам НЕ выгодно держать специалистов. Есть вероятность, что ситуация, как с дорогами — "нам" не нужны хорошие дороги потому, что иначе не получиться отмывать огромные деньги!
На самом деле возникает только один вопрос. О причастности самого клиента к этой афере. Потому как случаи, когда клиенты "грабили" через банк-клиент свои собственные счета — не единичны. Это может происходить по различным мотивам. От банального ухода от налогобложения, черной обналичивающей схемы, до простейшего обворовывания своей компании нечистоплотным Генеральным Директором. Это самые простые варианты которые попадались мне на практике. И прежде чем писать подобного рода заметки и гневно их комментировать, просто ответьте себе на один простой вопрос: а не был ли клиент сам заинтересован в таком вот выводе денег со своего счета ? 6.7 миллионов рублей говорят о том, что компания вела определенную деятельность. И это не совсем уж такие копейки. А когда компания ведет регулярную деятельность ВЫПИСКИ бухгалтерия получает КАЖДЫЙ ДЕНЬ ! заметить исчезновение денег должны были МАКСИМУМ утром следующего дня. Но! Из того, что написано следует, что об этой сумме обеспокоился совсем не потерпевший. Обеспокоился банк-получатель денежных средств. Вопрос — а клиент что ? Только потом в сознание всей компанией пришел ? Это компания миллионеров-алкоголиков да ? Извините — как-то не верю. Нет — все бывает. Например если денежные средства таким образом пропадают под праздники. Когда все операционисты одной ногой на даче и смотрят проводки левым глазом правой ноги. И клиент, к примеру вместе с главбухом уехал пить пиво в Варшаву (тоже было такое). Но опять-же. Там люди заметили через день. И это были не 6.7 миллионов а 960 тысяч. Тоже как-бы разница. И деньги успели тормознуть и вернуть. А в эту историю я не сильно верю. мутная она слишком какая-то. А банк спросите вы ? А что банк. Транзакция прошла за электронной подписью клиента ? Да. Какие вопросы уважаемые ?
Эта наивная иллюзия безопасности, которая внушает вам двухфакторная аутентификация. Привожу пример одного из обычных сценариев. Злоумышленник заражает ваш компьютер трояном и ворует первый логин и пароль для доступа к интернет-банку. После получения этих данных вектор атаки переносится на смартфон. Если у вас андроид, то злоумышленник ищет возможность установки трояна, который на уровне системы будет блокировать появление на экране СМС с одноразовым паролем от банка и автоматически пересылает его. Есть еще проще варианты, когда злоумышленник заранее связывается с клиентом и представляется сотрудником безопасности банка, и говорит что счет скомпрометирован, проводится проверка и т.п., что сейчас будут приходить одноразовые пароли, которые либо вы должны будете сказать, либо ввести на фишинговый сайт, который опять же покажет его злоумышленнику. На самом деле вариантов великое множество, и двухфакторная аутентификация далеко не панацея. И в случае, если вы действительно приглянулись злоумышленникам, шансов остаться у вас с деньгами не много. Ведь проф. атака проводиться не нахрапом в один раз, с вами могут работать несколько месяцев втираясь в доверие. В общих чертах думаю ответил.
" Если у вас андроид, то злоумышленник ищет возможность установки трояна, который на уровне системы будет блокировать появление на экране СМС с одноразовым паролем от банка и автоматически пересылает его."
У меня Nokia 101.
Да, по моему мнению, такой политики вполне достаточно. Но часто бывает так, что если не удается найти путь к жертве, меняется вектор атаки на какого-нибудь банковского клерка. Он может быть совершенно незначащим звеном, хоть дворник, но главное, чтобы его компьютер был подключен в банковскую сеть, для дальнейшего продвижения в инфрастуктуре. И тут даже никакой связи с клиентом не нужно будет, а будут проводится какие-то внутренние транзикации. Но часто такие атаки нацелены не на какое-то конкретное лицо, а группу лиц, с которых, с определенной переодичностью, будут списывать небольшие суммы денег, которые не вызовут особых подозрений ни у клиента, ни у СБ банка.
Сейчас во всем мири к ИБ стали относится более серьезно, но все равно уровень не достаточно высок. В России, к сожалению, это направление не особо разивается по финансовым причинам. Главы организации не хотят вкладывать в то что может когда случится, а может и нет, лучше потратятся к примеру на Маркетинг. Т.е. в данной стадии они не могут сделать качественную оценку рисков.
Что говорить, если еще недавно некоторые мобильные клиенты банков, не использовали шифрования, т.е. все ваши данные передовались в открытом доступе, и любой школьник с ноутбуком, в кафе с Wi-fi, где вы сели попить чай, мог скомпрометировать все важи важные данные. Что тогда говорить о мелких и средних фирмах, у которых зачастую функции отдела ИБ выполняет сис.админ. А ведь вектор атаки может и стать бухгалтер компании.
В общем и целом, пока все печально.
Фильмов про хакеров пересмотрели.
Не так просто разобраться в банковской инфраструктуре не являясь работником банка и нет у "дворников" и даже у абсолютного большинства менеджеров никаких прав по управлению счетами клиентов.
Да и хакеры совсем не такие сверхлюди, как это показывается в фильмах, поэтому гениальные аналитические способности им приписывать не стоит.
Мой приятель, лет 10 назад взломал банк реконструкции и развития. Оставил им письмо о дыре в их защите. Его пригласили на должность нач. службы безопасности, но он поглядел, что с телохранителями надо и по туалетам шариться — отказался... :)
Ох уж эти сказочники ... а до этого банк работал без начальника службы безопасности да? :-)
И тут же бросились приглашать на должность начальника первого попавшегося хакера, который сделала великое дело — дефейс корпоративного веб-сайта, да? :-)
Неважно, что должность начальника службы безопасности хорошо если на 5% имеет отношение к ИТ — тут же пригласили :-)
Знали бы вы как смешно ваши сказки выглядят для того, кто к этой области деятельности имеет непосредственное отношение :-)
Банк сам не заинтересован в секретности и безопасности операций — проще всегда свалить на клиента.
И этот случай — очередной стимул.
Хотя есть случаи атак на сами банки известны.
Бред сивой кобылы.
Я сам в банках проработал достаточное время.
Безопасности всегда уделяли внимание.
Но если клиент — дебил, доктора бессильны. Когда он плюет на все рекомендации, нарушает все правила какие можно, а потом удивляется — как так меня обокрали. Пароли приклеивают к монитору или хранят в верхнем ящике незапираемого стола, флэшки с приват-ключами стоят невынимаемые в компьютере, запускают все пришедшие по почте "патчи от Майкрософт" и много-много чего другого.
Отчасти поддержу vadziku — потому, как кто работает с "ключами" и программами? правильно — бухгалтера! А задавались ли вы вопросом, каков уровень владения компьютером и каков уровень компьютерной грамотности у бухгалтеров? А когда начинаешь им всё ЭТО объяснять — у них один ответ: Это не наши обязанности! ... Или --> Мне это не надо знать!
Так что — пока будут такие горе-работники в организациях — будут и такие случаи.
Что вы, только и делаю, что читаю чьи-то безграмотные пересказы инцидентов безопасности :-)
Как же настоящему спецу, который знает о том, что показательно и не показательно без этого :-)
Если транзакция прошла за подписью клиента — банку расследовать нечего. Как совершенно правильно заметил vadziku, компаниям следует озаботиться посвящением своих сотрудников. Благо Генеральный Директор, получая ключ подписывает бумаги где черным по белому написано как обращаться с электронной подписью и т.п. ЭЛЕМЕНТАРНЫЕ способы ИБ. Если они не соблюдаются, это равносильно тому, что взять чемодан денег, выставить его на улице в открытом состоянии и пойти пить кофе в кафе за квартал от чемодана, часика эдак на три. А потом, вернувшись, дико удивляться и возмущаться, как отсутствию денег, так и отсутствию чумадана :)
Ах да. Забыл добавить. Несмотря на то, что в принципе банк не обязан при таких ситуациях предпринимать какие-то шаги, в случае, если клиент быстро реагирует, такие платежи отслеживаются и возвращаются. Если конечно это все произошло достаточно быстро. Чего, насколько я понял, в описано случае — не произошло.
Совершенно верно, и расследуют и пытаются вернуть, даже если клиент виноват.
И пересматривают методы защиты и инструкции на предмет дуракоустойчивости от действий клиента.
Много чего делают ...
Нет никакого бардака. Это отлаженная воровская система, которой выгодно, чтобы народ думал, что везде бардак. Вы попробуйте в том же сбербанке получить образцы типовых заявлений. Не получите.
Если бы все заявления были на сайте СБ РФ, то клиент был бы гораздо грамотней. Он мог бы, например, написать заявление об ограничении транзакций по карте до желаемой суммы.
Существует альманах тарифов СБ. Тоже не найдете в полном обьеме. Обратите внимание, что при оформление какого либо заявления, например на отключение мобильного банка, либо другого, Вм никогда не выдадут вашего экземпляра заявления. В случае чего, Вы не докажите, что такое заявление было подано.
Вас намеренно держат в незнании, чтобы Вас можно было обворовывать как по мелочам, так и по крупному.
Контактный Центр служит больше для интересов бакинг воров, чем для клиентов.
Вы звоните по телефону и от Вас по каналам операторов сотовой связи требуют подтвердить данные по банковской карте: полный номер, секретное слово, ваши данные. Это также увеличивает риск для ваших сбережений.
Вы имели логин и пароль к доступу в личный кабинет в Сбербанк онлайн? Потом завели другие. Пришлось как то прямо в отделении СБ попросить сотрудника посмотреть в сбербанк он лайне вашу информацию? И получили новый идентификатор и пароль?
Потом вся эта куча логинов и паролей может быть использована против Вас. Она никуда не исчезает. Все эти хвосты висят, а Вы, придумав новый сложный пароль и логин, успокоились.
Рано. Нужно все зачистить через Контактный Центр и зафиксировать эту процедуру.
Внимательно смотрите на заявление при оформлении подключения мобильного банка, если оформляете в отделении СБ. Обязательно требуйте свой экземпляр и храните его. Вам могут вписать в заявление телефон, который был у Вас раньше, не дадут вашего экземпляра и "нужный человек" может получать информацию по вашим банковским продуктам и контролировать поступление денег на ваши счета.
Здесь писать можно не мало из собственной практики, но ограничусь этим. Банк — это не место святош. Воруют и сами сотрудники и помогают воровать другим, если поступила на Вас "заявка".
"Работать" с вами будут в том случае, если у Вас на счетах имеются соответствующие суммы или Вы, например, одинокий пенсионер с недвижимостью. В последем случае возможны зачисления на счета заблокированных карт сумм за продажу недвижимости и их последующий перевод на другой счет. При этом заблокированная карта на короткое время открывается и после перевода денег, опять блокируется. Клиент ничего не знает. Недвижимость пенсионера может продаваться разными обманными схемами, в том числе по фальшивым судебным решениям. По таким же решениям их выписывают. Живет человек и ничего не знает про то, что он уже не собственник и ничего у него нет.
Понятно, что после таких процедур, одинокие пенсионеры долго не живут. Его естественной смерти ждать не будут. Ведь деньги должны крутиться.
Советую Всем, особено пенсионерам, оформлять обязательно ( выдать обязаны- это прописано в Гражданком Кодексе) сберкнижки при открытии вкладов. Если нет нужды — лучше не подписывать УДБО ( универсальный договор банковского обслуживания), который открывает все функции Интернет банкинга и большие возможности для воровства ваших денег.
Вы не понимаете: система плохая — в банках жульё — путин гад — все воры — ещё раз все воры — я д'артаньян — снова все воры...
В общем, бесполезно что-то объяснять или доказывать.
Вы вполне правильно написали: если транзакция авторизована клиентом (поставлена ЭЦП) — она для банка абсолютно легальна (за редкими исключениями, разумеется)... и что за сохранение конфиденциальности ЭЦП отвечает клиент... и многое другое тут... Но согласиться с вами — никак нельзя. Потому, что тогда я — не д'артаньян никакой... а просто невнимательный чудак...
А в "система — говно" большинству поверить куда легче...
Это вы от слабости ума батенька. О бардаке. Как и большинство населения. ОПГ Россия. Всё началось еще в восьмидесятые. С тех пор идет только развитие направлений и маштаба. 20 лет-полет нормальный.
Воруют. Нарушая закон. У нас очень часто закон не нарушая. Не принимали таковых. Там же где таковые приняты в дело вступают судьи. Которые исходя из внутренней убежденности и чувство справедливости дают условные сроки в виду большой надобности таких людей для государства на свободе.
Бардак в стране, бардак в правительстве, бардак в банковской системе. Сбер уже подсуетился, выпустил проект по страхованию от криминального снятия денег с карты. На мое заявление, что банк должен сам следить за сохранностью своих счетов, это нужно было видеть глаза человека из банка, "Вы так считаете? А нам это в голову даже не приходило". Вот такой финансовый уровень работников сбербанка.
Ну да, человек с банка сиронизировал по поводу "ценных тривиальных советов", а вы посчитали что победюли "тупого банковского работника" интеллектом :-)
И кто из вас дурак? :-)
Комментарии
С другой — использование терминалов, не имеющих клавиатуры, которые отчего-то никак не могут запретить.
(кому не понятно о чем речь, обьясняю: в барах и некоторых магазинах по чужой карточке можно спокойно оплатить без пин-кода.)
Но всё просто... в милиции/полиции... сб... — нет специалистов, которые понимали бы механизмы и обладали бы знаниями для решения данных ситуаций. Попросту — необразованность + не желание "работать" мозгами.
У меня Nokia 101.
Сейчас во всем мири к ИБ стали относится более серьезно, но все равно уровень не достаточно высок. В России, к сожалению, это направление не особо разивается по финансовым причинам. Главы организации не хотят вкладывать в то что может когда случится, а может и нет, лучше потратятся к примеру на Маркетинг. Т.е. в данной стадии они не могут сделать качественную оценку рисков.
Что говорить, если еще недавно некоторые мобильные клиенты банков, не использовали шифрования, т.е. все ваши данные передовались в открытом доступе, и любой школьник с ноутбуком, в кафе с Wi-fi, где вы сели попить чай, мог скомпрометировать все важи важные данные. Что тогда говорить о мелких и средних фирмах, у которых зачастую функции отдела ИБ выполняет сис.админ. А ведь вектор атаки может и стать бухгалтер компании.
В общем и целом, пока все печально.
Не так просто разобраться в банковской инфраструктуре не являясь работником банка и нет у "дворников" и даже у абсолютного большинства менеджеров никаких прав по управлению счетами клиентов.
Да и хакеры совсем не такие сверхлюди, как это показывается в фильмах, поэтому гениальные аналитические способности им приписывать не стоит.
И тут же бросились приглашать на должность начальника первого попавшегося хакера, который сделала великое дело — дефейс корпоративного веб-сайта, да? :-)
Неважно, что должность начальника службы безопасности хорошо если на 5% имеет отношение к ИТ — тут же пригласили :-)
Знали бы вы как смешно ваши сказки выглядят для того, кто к этой области деятельности имеет непосредственное отношение :-)
И этот случай — очередной стимул.
Хотя есть случаи атак на сами банки известны.
Я сам в банках проработал достаточное время.
Безопасности всегда уделяли внимание.
Но если клиент — дебил, доктора бессильны. Когда он плюет на все рекомендации, нарушает все правила какие можно, а потом удивляется — как так меня обокрали. Пароли приклеивают к монитору или хранят в верхнем ящике незапираемого стола, флэшки с приват-ключами стоят невынимаемые в компьютере, запускают все пришедшие по почте "патчи от Майкрософт" и много-много чего другого.
Так что — пока будут такие горе-работники в организациях — будут и такие случаи.
и это https://lenta.ru/news/2015/...
Если работали в банке — показательно, что не знаете о таких случаях.
Как же настоящему спецу, который знает о том, что показательно и не показательно без этого :-)
а даже если и так — то что, расследовать не надо?
И пересматривают методы защиты и инструкции на предмет дуракоустойчивости от действий клиента.
Много чего делают ...
Если бы все заявления были на сайте СБ РФ, то клиент был бы гораздо грамотней. Он мог бы, например, написать заявление об ограничении транзакций по карте до желаемой суммы.
Существует альманах тарифов СБ. Тоже не найдете в полном обьеме. Обратите внимание, что при оформление какого либо заявления, например на отключение мобильного банка, либо другого, Вм никогда не выдадут вашего экземпляра заявления. В случае чего, Вы не докажите, что такое заявление было подано.
Вас намеренно держат в незнании, чтобы Вас можно было обворовывать как по мелочам, так и по крупному.
Контактный Центр служит больше для интересов бакинг воров, чем для клиентов.
Вы звоните по телефону и от Вас по каналам операторов сотовой связи требуют подтвердить данные по банковской карте: полный номер, секретное слово, ваши данные. Это также увеличивает риск для ваших сбережений.
Вы имели логин и пароль к доступу в личный кабинет в Сбербанк онлайн? Потом завели другие. Пришлось как то прямо в отделении СБ попросить сотрудника посмотреть в сбербанк он лайне вашу информацию? И получили новый идентификатор и пароль?
Потом вся эта куча логинов и паролей может быть использована против Вас. Она никуда не исчезает. Все эти хвосты висят, а Вы, придумав новый сложный пароль и логин, успокоились.
Рано. Нужно все зачистить через Контактный Центр и зафиксировать эту процедуру.
Внимательно смотрите на заявление при оформлении подключения мобильного банка, если оформляете в отделении СБ. Обязательно требуйте свой экземпляр и храните его. Вам могут вписать в заявление телефон, который был у Вас раньше, не дадут вашего экземпляра и "нужный человек" может получать информацию по вашим банковским продуктам и контролировать поступление денег на ваши счета.
Здесь писать можно не мало из собственной практики, но ограничусь этим. Банк — это не место святош. Воруют и сами сотрудники и помогают воровать другим, если поступила на Вас "заявка".
"Работать" с вами будут в том случае, если у Вас на счетах имеются соответствующие суммы или Вы, например, одинокий пенсионер с недвижимостью. В последем случае возможны зачисления на счета заблокированных карт сумм за продажу недвижимости и их последующий перевод на другой счет. При этом заблокированная карта на короткое время открывается и после перевода денег, опять блокируется. Клиент ничего не знает. Недвижимость пенсионера может продаваться разными обманными схемами, в том числе по фальшивым судебным решениям. По таким же решениям их выписывают. Живет человек и ничего не знает про то, что он уже не собственник и ничего у него нет.
Понятно, что после таких процедур, одинокие пенсионеры долго не живут. Его естественной смерти ждать не будут. Ведь деньги должны крутиться.
Советую Всем, особено пенсионерам, оформлять обязательно ( выдать обязаны- это прописано в Гражданком Кодексе) сберкнижки при открытии вкладов. Если нет нужды — лучше не подписывать УДБО ( универсальный договор банковского обслуживания), который открывает все функции Интернет банкинга и большие возможности для воровства ваших денег.
Ибо написан в большинстве своем голимый бред.
В общем, бесполезно что-то объяснять или доказывать.
Вы вполне правильно написали: если транзакция авторизована клиентом (поставлена ЭЦП) — она для банка абсолютно легальна (за редкими исключениями, разумеется)... и что за сохранение конфиденциальности ЭЦП отвечает клиент... и многое другое тут... Но согласиться с вами — никак нельзя. Потому, что тогда я — не д'артаньян никакой... а просто невнимательный чудак...
А в "система — говно" большинству поверить куда легче...
И кто из вас дурак? :-)