ВХОД
Вернуться
Khimich
Роман Химич Деньги 2.0
Зарегистрирован:
7 августа 2012

Последний раз был на сайте:
10 ноября 2014 в 13:56
Подписчики (36):
anna77
Анна Молдавская
38 лет, Кривой Рог
naf422
naf422
Lemon0
Lemon0
Харцызск
Tsibulino
Tsibulino
Тхорівка
astratube
Арсений Неменко
39 лет, Астрахань
AndreyM
Andrey M
37 лет, Киев
alexl62
alexl62
indagame
IndaGame Games
26 лет, Киев
vadon861
vadon861
Харьков
Lemon75
Lemon75
41 год, Киев
2283028
2283028
maxim4ik
maxim4ik
все подписчики
Роман Химич — Деньги 2.0  RSS блога
эксперт рынка телекоммуникаций
3 июня 2013, 23:49

Платежи по-безопасному

В прошлую пятницу благополучно разрешилась крайне неприятная ситуация, описанная мною в предыдущем посте. «Райффайзен Аваль» вернул восемь тысяч гривен, украденных с карточки его клиентки в начале мая. Насколько я понимаю (никаких документов и комментариев банк пока не давал), тем самым признано отсутствие вины клиента в случившемся. Клонирование карты, включая кражу PIN-кода и магнитной полосы, произошло таким образом, что этого невозможно было избежать. Честь и хвала банку, который не стал сваливать ответственность на своего клиента. Как говорится, плюс пятьсот к карме, репутации и лояльности множества клиентов банка, посвящённых в эту ситуацию. А пока вернёмся к вопросу, который я рассматриваю уже который месяц подряд: насколько безопасны технологии и методы безналичных платежей, предлагаемые украинскими банками?
В начале мая стало известно о раскрытии крупнейшей в истории атаки на банковские платёжные системы. Подробности можно прочитать здесь и здесь. Впечатляют и размах, и степень координации нескольких десятков (если не сотен) участников преступления. За 10-тичасовой отрезок времени киберпреступники увели свыше $40 млн, совершив 36 тыс. нелегальных транзакций с помощью банкоматов в 27-ми странах, включая и Украину.
Важно то, что эта атака была невозможна без изготовления дубликатов пластиковых карт. А информация о картах, необходимая для создания такого количества дубликатов, была получена непосредственно в банках. Никакого скимминга, фотосъёмки и прочей кустарщины. Если верить экспертам, которых цитируют издания, именно сотрудники банков превратились в основной канал подобных утечек. И это угроза, перед которой в принципе бессильны любые технологии.
В общем, надёжность традиционных карточных технологий после всего для меня под б-ооо-льшим вопросом. Ну хорошо, магнитная полоса и чипы не могут обеспечить достаточный уровень устойчивости к злонамеренным посягательствам. А что у нас с нетрадиционными, скажем так, технологиями?
С новомодными методами Интерент-, мобильного- и прочего удалённо-дистанционного банкинга дела обстоят так же плохо. На Mobile-Review прочитал об очередной безумной истории, когда сделанные наспех, непродуманные «инновационные решения» создали дыру в системе безопасности банковских платежей. На этот раз вина целиком лежит на операторе мобильной связи, разработчики которого допустили множество грубейших ошибок. Сразу уточню: ничего подобного UMS (Unified Messaging Solution) у наших операторов нет. Но это, к сожалению, слабое утешение. Потому что и того, что имеется, более чем достаточно для более-менее продвинутых мошенников.
Недавно Приватбанкустроил масштабную презентациюсвоих новых и не очень продуктов и услуг. Само мероприятие было проведено на весьма и весьма достойном уровне, можно только восхищаться энергией и уровнем подготовки первых лиц. Банк снова уделил очень много внимания системам авторизациибанковских платежей, завязанных на мобильные телефоны. Долгое время я не понимал, зачем в Приватевозятся с довольно сложными, неочевидными в использовании, принципиально небезопасными алгоритмами авторизации. Коллега Горбачевский подсказал мне простую идею: банкиры крайне заинтересованы в любых способах уменьшить свои отчисления международным процессинговым системам. Сто пятьдесят, кажется, миллионов «правильных» денег, которые банковская система страны отдаёт каждый год Visa и MasterCard, создаёт сильную мотивацию для самых странных экспериментов. Поэтому никуда нам не деться ни от SMS-авторизации, ни от QR-кодов.
И ещё один тезис к дискуссии о степени ответственности клиентов за допускаемые ими ошибки. Можно упрекать людей в том, что они «олени» и не соблюдают технику безопасности, но я вам вот что скажу. Компании тратят массу времени и средств на то, что сформировать лояльность к бренду. А лояльность — это, среди прочего, безусловное доверие к нему. К характерному сочетанию цветом, к эмблеме, к адресу в строке Интернет-браузера. Именно на безусловном доверии к бренду, на подобных автоматизмах основаны мошеннические трюки из арсенала так называемой «социальной инженерии». Это замкнутый круг, на самом-то деле. Компании не могут обойтись без лояльности и доверия своих клиентов. В свою очередь доверие может быть использовано против клиента. И чем выше доверие, тем легче обмануть.
Рассмотрим для примера представленную Приватбанком услугу SMS-платёж. Очень удобно: чтобы получить деньги, достаточно сообщить отправителю только номер своей карты. Но в этом удобстве скрыт и потенциал для злоупотреблений.
Допустим, вы продаёте через Интернет-площадку какой-нибудь товар. Вам звонит некто, представившийся потенциальным покупателем. Вы согласовали стоимость товара и называете номер своей платёжной карты. В ответ получаете SMS, отправленное злоумышленниками. Оно выглядит точь-в точь как в банке. Содержание, короткий номер, буквально всё, кроме содержащегося в сообщении адреса. А в адресе заменены пара-тройка букв, что-нибудь вроде primatbank.ua/semd/fr5hycv.html Ни заметить разницу, ни заподозрить недоброе человеку без опыта невозможно. По ссылке открывается фишинговый сайт, копирующий корпоративный сайт Привата. У вас спрашивают номер карты, PIN-код и CVV2 до кучи. Скажите, сколько процентов сообразит, что это ловушка? Ведь это же банк, ему ведь можно запрашивать любую информацию, разве не так? Вы ведь вводите свой PIN в банкомате, почему же не ввести его ещё раз на корпоративном сайте?
Собственно, эту несложную мысль я сам осознал буквально на днях. Что с этим делать я пока не знаю. Теоретически наивысший уровень защиты и устойчивости к взлому обеспечивают биометрия и разного рода аппаратные ключи (брелки, браслеты, перстни и т.п. постоянно носимые устройства, поддерживающие технологии т.н. открытых ключей). Но ведь даже самый надёжный ключ человек может доверить совершенно чужому человеку. Надо только расположить пациента к себе, войти в доверие...
Просмотров: 1478, сегодня — 0
Следить за новыми комментариями

Комментарии (7)

+
0
tyutyun
tyutyun
4 июня 2013, 09:11
#
Ничего не скажем. Вот-вот Киевстар выкатит платёжную «революцию».
+
0
Роман Химич
Роман Химич
4 июня 2013, 09:31
Киев
#
Интересно. Есть подробности?
+
0
tyutyun
tyutyun
4 июня 2013, 09:33
#
Следите за новостями
+
0
tyutyun
tyutyun
5 июня 2013, 11:53
#
+
0
tyutyun
tyutyun
4 июня 2013, 09:44
#
Давайте лучше поиграем в угадайку кто выступит партнёром в неравном браке.
+
0
il1
il1
4 июня 2013, 17:42
il, Одесса
#
А мне клиенты вечно ноют: чего у вас не как в Приват24, чего у вас нельзя по номеру карты, а зачем в кассе паспорт и т.д.
Начинаешь людям объяснять — не верят, думают я сгущаю краски.
+
0
Роман Химич
Роман Химич
4 июня 2013, 21:41
Киев
#
Не-не. Не позволяйте им прельстится плодами Зла :-)

Написать комментарий

Чтобы оставить комментарий, нужно войти или зарегистрироваться
 
×
окно закроется через 20 секунд