Что-то мне подсказывает, что это "жжж..." — не спроста, и за этим стоит банальное желание "срубить бабок" банков через связанные с силовыми структурами различные фирмы и фирмочки по обеспечению безопасности (читай, контроля) населения со стороны спецслужб.
И я не удивлюсь,, если за всем этим стоит небезызвестный "дядя Женя", последние монстроподобные антивирусные продукты которого явно не выдерживают никакой критики, поскольку суют модули по сбору информации о пользователе во все щели системы для последующей отправки данных для, так сказать, "анализа" через службу KSN, которая, кстати, в последних продуктах не отключается даже по требованию пользователя и отказу в лицензионном соглашении.
Кроме того, там же имеется модуль "Безопасные платежи", предназначенный как бы для "безопасной" работы с банковскими переводами и который многие пользователи сразу же отключают. Симптоматично, да?
Похоже не долго осталось этому банку существовать, раз в его стенах такие дегенеративные законы и указы сочиняют. Это не от большого ума. Похоже в одном месте и в одно время тронутых собирают, что бы все увидели. Как говорится — Иногда и в дурдомах бывают дни открытых дверей. У них еще одна выдумка есть — размен денег (российских) крупных на мелкие осуществляется только по письменному заявлению и предоставлению паспорта. Как вам? Типа таким образом они борются с отмыванием незаконных доходов и финансированием терроризма вставляя своим гражданам палки в колеса и усложняя жизнь. Но о своих карманах, а так же безопасных способах обобрать граждан они не забывают. Ну как таких на ответственные должности назначают?! Они либо полные тупицы, либо деструктивные элементы деятельность которых направлена на ухудшение внутренней атмосферы в стране и ее дестабилизацию.
А еще Вам могут в банке задать вопрос в случае снятия вами относительно крупной суммы денег с вашего же вклада — А куда вы собираетесь потратить деньги и на какие цели? Так и хочется сказать всему ЦБ во главе с Наибулиной — а вы не сильно ли далеко свой длинный нос суете? А то ведь если задница бзднет, можно ведь и задохнуться не нарочно. Задрали уже эти модернизации по закручиванию гаек под предлогом безопасности нашей жизни. Пусть начнут с себя, альтруисты блядь. Заебали.
А еще... По ксерокопии вашего паспорта в СБРФ вы или ваш родственник не сможете сделать взнос по вашему же кредиту. Наверное тоже своего рода борьба с терроризмом.
Заставь дурака Богу молиться — он себе лоб расшибет. Так и здесь.
Ау! Мозгоправы вы где?! Уважаемым господам из правительства, думы и ЦБ срочно требуется ваша помощь? Ведь то что они тварят — даже в страшной сказке не прочитаешь. А на вопрос — Зачем? — внятного ответа не получишь.
Лишь бы простому народу выстоять. Хер с этими убогими, лишь бы их подальше от законотворчества и закононавязывания отодвинуть. А так пущай резвятся тепленькие.
Зависит от того, какими решениями банки будут пользоваться. Технически нет проблем запомнить сколько угодно устройств, имеющих доступ к счёту. Только оно вам надо — плодить количество устройств, имеющих доступы к вашим счетам? Вы с собой носите 5-6 связок ключей от квартиры? Ну, а ведь как удобно — в какой карман ни залез, а ключи — там. Так зачем тогда плодите количество ключей к вашим счетам? Ваше право, конечно... Но зачем?
А чем плоха сегодняшняя система? Когда без подтверждающего СМС нельзя ничего сделать, теоретически преступнику нужно узнать мой логи и пароль, пароль на операции и ещё перехватить СМС сообщение на мой номер, это вроде как возможно, но дико сложно и не стоит того, что с моего счёта можно снять. Поэтому привязка стационарного компа вообще бред...
А перехватывать СМС код с мобильника и не требуется :). Самый известный пример атаки: в момент отправки платежа, уже подтверждённого одноразовым кодом, пакет перехватывается ещё в браузере, до момента его зашифровки SSL протоколом, внедрённый скрипт производит подмену реквизитов/суммы платежа и отправляет полученный пакет. Это делается на клиентской стороне. Занимает секунды времени, так что время жизни одноразового кода истечь не успевает. Как правило, троянцы, реализующие подобную уязвимость, пишутся специально под СДБО конкретного банка, при этом проверяют готовый троянец наиболее известными антивирусами с целью прохода через антивирусы на клиентских компах. Атака такого типа уже неоднократно реализовывалась, и её принцип уже давно известен. При этом как раз бесполезно привязывать устройство по его аппаратным идентификаторам — они останутся те же. Защититься от такой атаки можно несколькими способами — используя внешнее устройство, подписывающее платёжное поручение при помощи ЭЦП и отдающее уже подписанный пакет на комп, а комп — уже дальше передаёт подписанный пакет в банк (при этом — любые махинации с пакетом на компе приведут к сбросу подписи и банк просто не примет данное поручение), либо используя заведомо "чистую" ОС и браузер (в виде виртуальной машины, или ОС, загружаемой с Live CD/Live USB).
Ан нет! Банк принимает ваше платёжное поручение и исполняет его. Это как раз и есть прямая обязанность банка при работе с клиентом!
Ещё раз повторяю, по буквам. Суть MITM атаки заключается в том, что ваше платёжное поручение подделывается ДО прихода в банк. И банк не может этого ни позволить, ни запретить, не говорите глупостей! Это делается на стороне клиента. А то, что при этом клиент зачастую не удосуживается даже нормальный антивирус себе поставить, ибо жаба душит за лицензию платить — это как бы тоже проблема банка? Нифига подобного! Банк в суде предъявит журналы системы дистанционного обслуживания, где будет чётко показано, что вы перечислили пятьдесят тысяч рублей компании "рога и копыта" и подписали это одноразовым кодом. Банк при этом ответственности нести не будет. Мало ли — какие у вас причуды и кому вы платите деньги. Банк получил ваше указание — банк его исполнил.
Я уже описал, какие возможны варианты защиты. Есть подороже, есть подешевле. И ваше право — использовать те или иные из них.
Вы, похоже, не понимаете смысла сказанного... Видимо, инфотехнологии — не ваш профиль. Попробую "на пальцах". Точнее, на "бумажках". Помните, что такое "платёжное поручение"? Бумажка такая. Написано там, грубо говоря, следующее: сумма вашего платежа и назначение (то бишь — кому деньги перчислять). Ну, и ваша подпись, естественно. По договору с банком — банк исполняет ваше платёжное поручение, если оно заверено вашей подписью, не спрашивая о том, кому это и куда, и неважно — кто его принёс — почтальон, портье или случайный курьер (в этом суть системы дистанционного банковского обслуживания — вы доверяете Интернету, как тому же случайному курьеру, передвать платёжные поручения, как тем же портье или случайному курьеру только не в бумажном, а в электронном виде). При этом, подпись (грубо — это то же СМС код в данной ситуации) — это единственное, что служит подтверждением подлинности вашего платёжного поручения. А подпись у вас знатная, витиеватая, такую чёрта с два подделаешь. Теперь ситуация. Вы заполняете платёжное поручение при курьере, подписываетесь, только вот не видите, что верхний листочек из стопки бланков платёжных поручений — укорочен на размер вашей подписи. То, что вы написали в верхней части листа — кому и какую сумму перечисляете — уже никому не нужно. При выходе от вас курьер выкидывает верхний лист с вашими записями, а на том, где ваша подпись — вписывает свой счёт и желаемую сумму. Приходит в банк и по этому платёжному поручению на его счета сливают все ваши деньги. А вы помните условия вашего договора с банком? На поручении должна быть ваша подпись. Она была? Была! Ваша? Ваша! Настоящая? Настоящее некуда! Кому претензии? Банку? А с чего, собственно? Если вы сами не проверили листочек, который вам случайный курьер подсунул.
Вообще, конечно, основам информационной безопасности надо обучать с детства... Понимаю, что тонкости проведения атак на клиентов — это вопрос для специалистов, но и быть таким беззаботно-наивным, мягко говоря — недальновидно.
У меня есть СМС верификация, банк прислал данные для подписи? Прислал, я ЭТИ данные проверил и подписал, а вот что произошло и почему платёж был не по этим данным уже проблема банка. И боюсь доказать мою вину в этом случае банку будет невозможно.
Если применять к описанной вами ситуации, то я послал курьера в банк, с подписью, оттуда банкир присылает мне телеграмму — вы точно хотите перевести денежку из "А" в "Б", на счёт №..., в сумме..., я говорю да, точно. Он говорит "ок". И если на деле будет какая-то проблема, то вот она моя телеграмма из банка и законный вопрос у следователя — а с какого х..ра этот милый банкир ввёл для платежа другие данные, отличающиеся от телеграммы...
И умеет ли этот троянеец менять данные на стороне банка, ПОСЛЕ отправки банком мне СМС с кодом? В последнем я сильно сомневаюсь, но опять-же есть мой платёж с правильными данными на моём компьютере (если не успел убедиться в получении платежа то делаю распечатку), есть СМС с аналогичными данными, и есть банк который отправил мне СМС и должен был провести платёж именно с этими данными, но провёл с другими — он остаётся крайним.
А вот если просто СМС с кодом, без проверки реквизитов, назначения и суммы, то да, соглашусь с вами.
Я прекрасно понимаю — о чём вы. Только вот есть тонкость. Во-первых, не все банки в СДБО с OTP используют отдельную форму для подтверждения (это характерно при применении для генерации OTP, скажем, RSA или Vasco токенов, там OTP может вводиться сразу в первую же форму). Во-вторых (и это уже напрямую относится к OTP, отправляемом через СМС) — подмена видимой вами формы подтверждения тоже возможна. И банк проконтролировать это никак не сможет. С точки зрения ИБ OTP подтверждает не транзакцию целиком, а только лишь подтверждает то, что вы имеете право провести эту транзакцию (дополнительный фактор аутентификации), а это не одно и то же.
На стороне банка такие аферы прокрутить значительно сложнее, чем на стороне клиента, поскольку банк в защиту своих систем вкладывает намного больше средств. Более того — нет ни одной СДБО "из коробки", котрая бы просто ставилась и работала в банке. Под каждый банк даже "коробочная" версия "допиливается" (с учётом того, что АБИС и процесинговые системы у банков не одинаковые). И перед внедрением — внешний аудит. А к этому привлекаются не "белые воротнички", а самые что ни на есть грамотные ребяты, специализирующиеся на выявлении дырок в безопасности систем. И мало того, инфобезопасность банков наворачивает дополнительно всякие IPS/IDS, SIEM и протчая, протчая, протчая. Зачем ломать банк при этом? Это хлопотно и дорого. И в последнее время — это, как правило, дороже, чем оттуда можно будет похитить. А вот подключиться как добропорядочный клиент, изучить до тонкостей все взаимодействия клиента с СДБО, разработать соответствующий бот-троянец, и рассылать на адреса клиентов банка (которые они сами же публикуют где попало) от имени банка завирусованный документ — это гораздо проще. С учётом того, что на информационную безопасность обычный среднестатистический человек плевал с высокой колокольни — шансы успешного проворачивания сей аферы — далеко не нулевые. Плюс, с учётом массовости использования СДБО (вряд ли её будет внедрять банк с парой сотен клиентов, она начнёт окупаться, когда счёт клиентам идёт на тысячи) — игра стоит свеч.
Так вот. Более-менее гарантированная защита содержания транзакции может быть обеспечена только применением ЭЦП. И только с условием, что платёжное поручение также не будет подменено перед подписью (то есть, как я уже писал несколькими постами выше — либо на внешнем устройстве, либо на заведомо чистой машине, что усложняет работу с системой и делает её дороже).
Если у меня в пятницу вечером сдохла сетевушка, то я до понедельника не смогу воспользоваться доступом через интернет? А если у меня провайдер лег, то провести срочный платеж подключившись через gsm-модем я тоже не смогу? Ибо у него все адреса другие, и ip, и mac. И даже провайдер, а с ним и AS другая.
Помнится домовые провайдеры часто использовали фильтрацию по мак-адресам, но по-моему от этой практики большинство отказалось в пользу парольного доступа через pppoe/pptp. А эти наоборот, решили рецессировать?
Достаточно принять закон "Об обязательном возвращение банком денег клиенту в трехдневный срок". И количество случаев мошенничества уменьшится значительно.
В Африке похоже достаточно, там денежные переводы посредством мобильного банка появились задолго до начала их использования в России. А вот в России, похоже, уже не знают, как еще прижучить россиян для того, что бы контролировать каждую их личную копейку, отложенную на черный день в российском банке.
Когда-то, стояла у меня лицензионная ХР (клиент подарил). Первые дни было удобно — я звонил бесплатно в тех. центр по поводу глюков, мне отвечали "по мере компетентности".
А потом начались проблемы с регистрацией. Поскольку я часто ремонтировал/модернизировал свой комп, а иногда и подключал оборудование клиентов, для проверки, то лицензия "слетала". Причем не сразу, а на следующий день — неделю.
Ну представьте, утром встаешь на работу (каждая минутка на счету), включаешь комп чтобы проверить почту, а тебе — "Непонятная проблема. Введите ваш лицензионный код"! Плюнул на лиценз, поставил пиратку.
Так и здесь — поменяю жесткий диск (у меня мобил-рэк) и... всё, "приехали"!
Угу :) Дома на 2-х компах стоит 7-ка, одна с лицензией, другая левая, догадайтесь с 3-х раз на какой нормально прошел перевод времени, а на которой были длительные танцы с бубном, что-б Винда наконец сообразила, что Москва это +3, а не +4... Правильно, это на лицензии были проблемы...
В большинстве случаев мошенничества, про которые мне известно, используется человеческий фактор или баги софта. То, о чем написано в статье способно только усложнить жизнь добропорядочным клиентам банков, но никак не остановить профессиональных мошенников.
Комментарии
И я не удивлюсь,, если за всем этим стоит небезызвестный "дядя Женя", последние монстроподобные антивирусные продукты которого явно не выдерживают никакой критики, поскольку суют модули по сбору информации о пользователе во все щели системы для последующей отправки данных для, так сказать, "анализа" через службу KSN, которая, кстати, в последних продуктах не отключается даже по требованию пользователя и отказу в лицензионном соглашении.
Кроме того, там же имеется модуль "Безопасные платежи", предназначенный как бы для "безопасной" работы с банковскими переводами и который многие пользователи сразу же отключают. Симптоматично, да?
А еще Вам могут в банке задать вопрос в случае снятия вами относительно крупной суммы денег с вашего же вклада — А куда вы собираетесь потратить деньги и на какие цели? Так и хочется сказать всему ЦБ во главе с Наибулиной — а вы не сильно ли далеко свой длинный нос суете? А то ведь если задница бзднет, можно ведь и задохнуться не нарочно. Задрали уже эти модернизации по закручиванию гаек под предлогом безопасности нашей жизни. Пусть начнут с себя, альтруисты блядь. Заебали.
А еще... По ксерокопии вашего паспорта в СБРФ вы или ваш родственник не сможете сделать взнос по вашему же кредиту. Наверное тоже своего рода борьба с терроризмом.
Заставь дурака Богу молиться — он себе лоб расшибет. Так и здесь.
Ау! Мозгоправы вы где?! Уважаемым господам из правительства, думы и ЦБ срочно требуется ваша помощь? Ведь то что они тварят — даже в страшной сказке не прочитаешь. А на вопрос — Зачем? — внятного ответа не получишь.
Лишь бы простому народу выстоять. Хер с этими убогими, лишь бы их подальше от законотворчества и закононавязывания отодвинуть. А так пущай резвятся тепленькие.
сильно подозреваю что все закончится уникальной для каждого банка самописной софтиной типа впн клиента по смс + паролю +номеру счета
У нас же чиновники песдеть на все руки мастера, главное карманы под шумок набить :) :) :)
Я как минимум с 4-ж компов вхожу и 2-х мобильных устройств. (рабочий, настольный, ноут, ноут жены, смартфон, планшет)
Т.е. после отправки СМС изменить назначение платежа.
Ещё раз повторяю, по буквам. Суть MITM атаки заключается в том, что ваше платёжное поручение подделывается ДО прихода в банк. И банк не может этого ни позволить, ни запретить, не говорите глупостей! Это делается на стороне клиента. А то, что при этом клиент зачастую не удосуживается даже нормальный антивирус себе поставить, ибо жаба душит за лицензию платить — это как бы тоже проблема банка? Нифига подобного! Банк в суде предъявит журналы системы дистанционного обслуживания, где будет чётко показано, что вы перечислили пятьдесят тысяч рублей компании "рога и копыта" и подписали это одноразовым кодом. Банк при этом ответственности нести не будет. Мало ли — какие у вас причуды и кому вы платите деньги. Банк получил ваше указание — банк его исполнил.
Я уже описал, какие возможны варианты защиты. Есть подороже, есть подешевле. И ваше право — использовать те или иные из них.
Или вы не читаете что вам пишут? Мне приходит сумма и получатель, если не совпадёт то сразу вопросы возникнут.
Вообще, конечно, основам информационной безопасности надо обучать с детства... Понимаю, что тонкости проведения атак на клиентов — это вопрос для специалистов, но и быть таким беззаботно-наивным, мягко говоря — недальновидно.
У меня есть СМС верификация, банк прислал данные для подписи? Прислал, я ЭТИ данные проверил и подписал, а вот что произошло и почему платёж был не по этим данным уже проблема банка. И боюсь доказать мою вину в этом случае банку будет невозможно.
Если применять к описанной вами ситуации, то я послал курьера в банк, с подписью, оттуда банкир присылает мне телеграмму — вы точно хотите перевести денежку из "А" в "Б", на счёт №..., в сумме..., я говорю да, точно. Он говорит "ок". И если на деле будет какая-то проблема, то вот она моя телеграмма из банка и законный вопрос у следователя — а с какого х..ра этот милый банкир ввёл для платежа другие данные, отличающиеся от телеграммы...
И умеет ли этот троянеец менять данные на стороне банка, ПОСЛЕ отправки банком мне СМС с кодом? В последнем я сильно сомневаюсь, но опять-же есть мой платёж с правильными данными на моём компьютере (если не успел убедиться в получении платежа то делаю распечатку), есть СМС с аналогичными данными, и есть банк который отправил мне СМС и должен был провести платёж именно с этими данными, но провёл с другими — он остаётся крайним.
А вот если просто СМС с кодом, без проверки реквизитов, назначения и суммы, то да, соглашусь с вами.
На стороне банка такие аферы прокрутить значительно сложнее, чем на стороне клиента, поскольку банк в защиту своих систем вкладывает намного больше средств. Более того — нет ни одной СДБО "из коробки", котрая бы просто ставилась и работала в банке. Под каждый банк даже "коробочная" версия "допиливается" (с учётом того, что АБИС и процесинговые системы у банков не одинаковые). И перед внедрением — внешний аудит. А к этому привлекаются не "белые воротнички", а самые что ни на есть грамотные ребяты, специализирующиеся на выявлении дырок в безопасности систем. И мало того, инфобезопасность банков наворачивает дополнительно всякие IPS/IDS, SIEM и протчая, протчая, протчая. Зачем ломать банк при этом? Это хлопотно и дорого. И в последнее время — это, как правило, дороже, чем оттуда можно будет похитить. А вот подключиться как добропорядочный клиент, изучить до тонкостей все взаимодействия клиента с СДБО, разработать соответствующий бот-троянец, и рассылать на адреса клиентов банка (которые они сами же публикуют где попало) от имени банка завирусованный документ — это гораздо проще. С учётом того, что на информационную безопасность обычный среднестатистический человек плевал с высокой колокольни — шансы успешного проворачивания сей аферы — далеко не нулевые. Плюс, с учётом массовости использования СДБО (вряд ли её будет внедрять банк с парой сотен клиентов, она начнёт окупаться, когда счёт клиентам идёт на тысячи) — игра стоит свеч.
Так вот. Более-менее гарантированная защита содержания транзакции может быть обеспечена только применением ЭЦП. И только с условием, что платёжное поручение также не будет подменено перед подписью (то есть, как я уже писал несколькими постами выше — либо на внешнем устройстве, либо на заведомо чистой машине, что усложняет работу с системой и делает её дороже).
Если у меня в пятницу вечером сдохла сетевушка, то я до понедельника не смогу воспользоваться доступом через интернет? А если у меня провайдер лег, то провести срочный платеж подключившись через gsm-модем я тоже не смогу? Ибо у него все адреса другие, и ip, и mac. И даже провайдер, а с ним и AS другая.
Помнится домовые провайдеры часто использовали фильтрацию по мак-адресам, но по-моему от этой практики большинство отказалось в пользу парольного доступа через pppoe/pptp. А эти наоборот, решили рецессировать?
А из банкомата наличные, так и так, любой знающий код может получить.
А потом начались проблемы с регистрацией. Поскольку я часто ремонтировал/модернизировал свой комп, а иногда и подключал оборудование клиентов, для проверки, то лицензия "слетала". Причем не сразу, а на следующий день — неделю.
Ну представьте, утром встаешь на работу (каждая минутка на счету), включаешь комп чтобы проверить почту, а тебе — "Непонятная проблема. Введите ваш лицензионный код"! Плюнул на лиценз, поставил пиратку.
Так и здесь — поменяю жесткий диск (у меня мобил-рэк) и... всё, "приехали"!