Роман Химич
Деньги 2.0
Зарегистрирован:
7 августа 2012
Последний раз был на сайте:
17 октября 2024 в 04:45
7 августа 2012
Последний раз был на сайте:
17 октября 2024 в 04:45
Подписчики (35):
-
ballistic
3 года
-
Анна Молдавская
46 лет, Кривой Рог
-
Lemon0
Харцызск
-
Tsibulino
Тхорівка
-
Арсений Неменко
47 лет, Астрахань
-
Andrey M
45 лет, Киев
-
IndaGame Games
34 года, Киев
-
vadon861
Харьков
-
Lemon75
49 лет, Киев
Роман Химич
— Деньги 2.0
эксперт рынка телекоммуникаций
- 3 июня 2013, 23:49
Платежи по-безопасному
В прошлую пятницу благополучно разрешилась крайне неприятная ситуация, описанная мною в предыдущем посте. «Райффайзен Аваль» вернул восемь тысяч гривен, украденных с карточки его клиентки в начале мая. Насколько я понимаю (никаких документов и комментариев банк пока не давал), тем самым признано отсутствие вины клиента в случившемся. Клонирование карты, включая кражу PIN-кода и магнитной полосы, произошло таким образом, что этого невозможно было избежать. Честь и хвала банку, который не стал сваливать ответственность на своего клиента. Как говорится, плюс пятьсот к карме, репутации и лояльности множества клиентов банка, посвящённых в эту ситуацию. А пока вернёмся к вопросу, который я рассматриваю уже который месяц подряд: насколько безопасны технологии и методы безналичных платежей, предлагаемые украинскими банками?
В начале мая стало известно о раскрытии крупнейшей в истории атаки на банковские платёжные системы. Подробности можно прочитать здесь и здесь. Впечатляют и размах, и степень координации нескольких десятков (если не сотен) участников преступления. За 10-тичасовой отрезок времени киберпреступники увели свыше $40 млн, совершив 36 тыс. нелегальных транзакций с помощью банкоматов в 27-ми странах, включая и Украину.
Важно то, что эта атака была невозможна без изготовления дубликатов пластиковых карт. А информация о картах, необходимая для создания такого количества дубликатов, была получена непосредственно в банках. Никакого скимминга, фотосъёмки и прочей кустарщины. Если верить экспертам, которых цитируют издания, именно сотрудники банков превратились в основной канал подобных утечек. И это угроза, перед которой в принципе бессильны любые технологии.
В общем, надёжность традиционных карточных технологий после всего для меня под б-ооо-льшим вопросом. Ну хорошо, магнитная полоса и чипы не могут обеспечить достаточный уровень устойчивости к злонамеренным посягательствам. А что у нас с нетрадиционными, скажем так, технологиями?
С новомодными методами Интерент-, мобильного- и прочего удалённо-дистанционного банкинга дела обстоят так же плохо. На Mobile-Review прочитал об очередной безумной истории, когда сделанные наспех, непродуманные «инновационные решения» создали дыру в системе безопасности банковских платежей. На этот раз вина целиком лежит на операторе мобильной связи, разработчики которого допустили множество грубейших ошибок. Сразу уточню: ничего подобного UMS (Unified Messaging Solution) у наших операторов нет. Но это, к сожалению, слабое утешение. Потому что и того, что имеется, более чем достаточно для более-менее продвинутых мошенников.
Недавно Приватбанкустроил масштабную презентациюсвоих новых и не очень продуктов и услуг. Само мероприятие было проведено на весьма и весьма достойном уровне, можно только восхищаться энергией и уровнем подготовки первых лиц. Банк снова уделил очень много внимания системам авторизациибанковских платежей, завязанных на мобильные телефоны. Долгое время я не понимал, зачем в Приватевозятся с довольно сложными, неочевидными в использовании, принципиально небезопасными алгоритмами авторизации. Коллега Горбачевский подсказал мне простую идею: банкиры крайне заинтересованы в любых способах уменьшить свои отчисления международным процессинговым системам. Сто пятьдесят, кажется, миллионов «правильных» денег, которые банковская система страны отдаёт каждый год Visa и MasterCard, создаёт сильную мотивацию для самых странных экспериментов. Поэтому никуда нам не деться ни от SMS-авторизации, ни от QR-кодов.
И ещё один тезис к дискуссии о степени ответственности клиентов за допускаемые ими ошибки. Можно упрекать людей в том, что они «олени» и не соблюдают технику безопасности, но я вам вот что скажу. Компании тратят массу времени и средств на то, что сформировать лояльность к бренду. А лояльность — это, среди прочего, безусловное доверие к нему. К характерному сочетанию цветом, к эмблеме, к адресу в строке Интернет-браузера. Именно на безусловном доверии к бренду, на подобных автоматизмах основаны мошеннические трюки из арсенала так называемой «социальной инженерии». Это замкнутый круг, на самом-то деле. Компании не могут обойтись без лояльности и доверия своих клиентов. В свою очередь доверие может быть использовано против клиента. И чем выше доверие, тем легче обмануть.
Рассмотрим для примера представленную Приватбанком услугу SMS-платёж. Очень удобно: чтобы получить деньги, достаточно сообщить отправителю только номер своей карты. Но в этом удобстве скрыт и потенциал для злоупотреблений.
Допустим, вы продаёте через Интернет-площадку какой-нибудь товар. Вам звонит некто, представившийся потенциальным покупателем. Вы согласовали стоимость товара и называете номер своей платёжной карты. В ответ получаете SMS, отправленное злоумышленниками. Оно выглядит точь-в точь как в банке. Содержание, короткий номер, буквально всё, кроме содержащегося в сообщении адреса. А в адресе заменены пара-тройка букв, что-нибудь вроде primatbank.ua/semd/fr5hycv.html Ни заметить разницу, ни заподозрить недоброе человеку без опыта невозможно. По ссылке открывается фишинговый сайт, копирующий корпоративный сайт Привата. У вас спрашивают номер карты, PIN-код и CVV2 до кучи. Скажите, сколько процентов сообразит, что это ловушка? Ведь это же банк, ему ведь можно запрашивать любую информацию, разве не так? Вы ведь вводите свой PIN в банкомате, почему же не ввести его ещё раз на корпоративном сайте?
Собственно, эту несложную мысль я сам осознал буквально на днях. Что с этим делать я пока не знаю. Теоретически наивысший уровень защиты и устойчивости к взлому обеспечивают биометрия и разного рода аппаратные ключи (брелки, браслеты, перстни и т.п. постоянно носимые устройства, поддерживающие технологии т.н. открытых ключей). Но ведь даже самый надёжный ключ человек может доверить совершенно чужому человеку. Надо только расположить пациента к себе, войти в доверие...
|
14
|
Просмотров: 2606, сегодня — 0
- 10:22 Курс валют на 15 ноября: евро в банках подешевел на 20 копеек
- 08:02 Курс на 15 ноября: НБУ продолжает укреплять гривну
- 14.11.2024
- 19:04 Какие акции эксперты советовали год назад, и как меняется стратегия сейчас
- 17:31 Курс валют на вечер 14 ноября: доллар и евро подешевели на межбанке на 9 копеек
- 17:02 Глобальный криптовалютный рынок превысил $3 триллиона
- 15:02 Что произойдет с курсом доллара. Прогнозируем влияние Трампа на валютные рынки (видео)
- 14:00 Доход Softbank за 3 месяца достиг $7,7 млрд
- 12:03 Какие изменения помогут направить средства частных инвесторов в бизнес, а не в ОВГЗ
- 11:01 Регулирование криптовалют в Украине: Железняк рассказал о прогрессе в работе над законом
- 10:24 Курс валют на 14 ноября: евро в обменниках подешевел на 25 копеек
Комментарии - 7
Начинаешь людям объяснять — не верят, думают я сгущаю краски.