Роман Химич
Деньги 2.0
Зарегистрирован:
7 серпня 2012
Последний раз был на сайте:
17 жовтня 2024 о 04:45
7 серпня 2012
Последний раз был на сайте:
17 жовтня 2024 о 04:45
Подписчики (35):
-
ballistic
4 року
-
Анна Молдавская
47 років, Кривой Рог
-
Lemon0
Харцызск
-
Tsibulino
Тхорівка
-
Арсений Неменко
47 років, Астрахань
-
Andrey M
45 років, Киев
-
IndaGame Games
34 року, Киев
-
vadon861
Харьков
-
Lemon75
49 років, Киев
Роман Химич
— Деньги 2.0
эксперт рынка телекоммуникаций
- 3 червня 2013, 23:49
Платежи по-безопасному
В прошлую пятницу благополучно разрешилась крайне неприятная ситуация, описанная мною в предыдущем посте. «Райффайзен Аваль» вернул восемь тысяч гривен, украденных с карточки его клиентки в начале мая. Насколько я понимаю (никаких документов и комментариев банк пока не давал), тем самым признано отсутствие вины клиента в случившемся. Клонирование карты, включая кражу PIN-кода и магнитной полосы, произошло таким образом, что этого невозможно было избежать. Честь и хвала банку, который не стал сваливать ответственность на своего клиента. Как говорится, плюс пятьсот к карме, репутации и лояльности множества клиентов банка, посвящённых в эту ситуацию. А пока вернёмся к вопросу, который я рассматриваю уже который месяц подряд: насколько безопасны технологии и методы безналичных платежей, предлагаемые украинскими банками?
В начале мая стало известно о раскрытии крупнейшей в истории атаки на банковские платёжные системы. Подробности можно прочитать здесь и здесь. Впечатляют и размах, и степень координации нескольких десятков (если не сотен) участников преступления. За 10-тичасовой отрезок времени киберпреступники увели свыше $40 млн, совершив 36 тыс. нелегальных транзакций с помощью банкоматов в 27-ми странах, включая и Украину.
Важно то, что эта атака была невозможна без изготовления дубликатов пластиковых карт. А информация о картах, необходимая для создания такого количества дубликатов, была получена непосредственно в банках. Никакого скимминга, фотосъёмки и прочей кустарщины. Если верить экспертам, которых цитируют издания, именно сотрудники банков превратились в основной канал подобных утечек. И это угроза, перед которой в принципе бессильны любые технологии.
В общем, надёжность традиционных карточных технологий после всего для меня под б-ооо-льшим вопросом. Ну хорошо, магнитная полоса и чипы не могут обеспечить достаточный уровень устойчивости к злонамеренным посягательствам. А что у нас с нетрадиционными, скажем так, технологиями?
С новомодными методами Интерент-, мобильного- и прочего удалённо-дистанционного банкинга дела обстоят так же плохо. На Mobile-Review прочитал об очередной безумной истории, когда сделанные наспех, непродуманные «инновационные решения» создали дыру в системе безопасности банковских платежей. На этот раз вина целиком лежит на операторе мобильной связи, разработчики которого допустили множество грубейших ошибок. Сразу уточню: ничего подобного UMS (Unified Messaging Solution) у наших операторов нет. Но это, к сожалению, слабое утешение. Потому что и того, что имеется, более чем достаточно для более-менее продвинутых мошенников.
Недавно Приватбанкустроил масштабную презентациюсвоих новых и не очень продуктов и услуг. Само мероприятие было проведено на весьма и весьма достойном уровне, можно только восхищаться энергией и уровнем подготовки первых лиц. Банк снова уделил очень много внимания системам авторизациибанковских платежей, завязанных на мобильные телефоны. Долгое время я не понимал, зачем в Приватевозятся с довольно сложными, неочевидными в использовании, принципиально небезопасными алгоритмами авторизации. Коллега Горбачевский подсказал мне простую идею: банкиры крайне заинтересованы в любых способах уменьшить свои отчисления международным процессинговым системам. Сто пятьдесят, кажется, миллионов «правильных» денег, которые банковская система страны отдаёт каждый год Visa и MasterCard, создаёт сильную мотивацию для самых странных экспериментов. Поэтому никуда нам не деться ни от SMS-авторизации, ни от QR-кодов.
И ещё один тезис к дискуссии о степени ответственности клиентов за допускаемые ими ошибки. Можно упрекать людей в том, что они «олени» и не соблюдают технику безопасности, но я вам вот что скажу. Компании тратят массу времени и средств на то, что сформировать лояльность к бренду. А лояльность — это, среди прочего, безусловное доверие к нему. К характерному сочетанию цветом, к эмблеме, к адресу в строке Интернет-браузера. Именно на безусловном доверии к бренду, на подобных автоматизмах основаны мошеннические трюки из арсенала так называемой «социальной инженерии». Это замкнутый круг, на самом-то деле. Компании не могут обойтись без лояльности и доверия своих клиентов. В свою очередь доверие может быть использовано против клиента. И чем выше доверие, тем легче обмануть.
Рассмотрим для примера представленную Приватбанком услугу SMS-платёж. Очень удобно: чтобы получить деньги, достаточно сообщить отправителю только номер своей карты. Но в этом удобстве скрыт и потенциал для злоупотреблений.
Допустим, вы продаёте через Интернет-площадку какой-нибудь товар. Вам звонит некто, представившийся потенциальным покупателем. Вы согласовали стоимость товара и называете номер своей платёжной карты. В ответ получаете SMS, отправленное злоумышленниками. Оно выглядит точь-в точь как в банке. Содержание, короткий номер, буквально всё, кроме содержащегося в сообщении адреса. А в адресе заменены пара-тройка букв, что-нибудь вроде primatbank.ua/semd/fr5hycv.html Ни заметить разницу, ни заподозрить недоброе человеку без опыта невозможно. По ссылке открывается фишинговый сайт, копирующий корпоративный сайт Привата. У вас спрашивают номер карты, PIN-код и CVV2 до кучи. Скажите, сколько процентов сообразит, что это ловушка? Ведь это же банк, ему ведь можно запрашивать любую информацию, разве не так? Вы ведь вводите свой PIN в банкомате, почему же не ввести его ещё раз на корпоративном сайте?
Собственно, эту несложную мысль я сам осознал буквально на днях. Что с этим делать я пока не знаю. Теоретически наивысший уровень защиты и устойчивости к взлому обеспечивают биометрия и разного рода аппаратные ключи (брелки, браслеты, перстни и т.п. постоянно носимые устройства, поддерживающие технологии т.н. открытых ключей). Но ведь даже самый надёжный ключ человек может доверить совершенно чужому человеку. Надо только расположить пациента к себе, войти в доверие...
|
14
|
Просмотров: 2639, сегодня — 0
- 20:00 Головне за понеділок: зростання ВВП, транш від МВФ та «невагомі» тарифи Укрпошти
- 18:25 Швейцарія приєдналася до 15-го пакета санкцій ЄС проти росії
- 17:30 Курс валют на вечір 23 грудня: на міжбанку долар подорожчав
- 16:50 Банки видали 14% кредитів «компаніям-зомбі»
- 16:09 Фонд гарантування виставив на продаж активи банків-банкрутів на 16,5 млрд грн
- 15:52 Найбільший банк Італії обмежить платежі в євро з росії в ЄС
- 15:30 5 мемкоїнів з дохідністю 16,000%, які залишають DOGE та SHIB далеко позаду
- 14:53 Telegram вперше став прибутковим
- 13:37 Уряд заборгував перед банками за програму «5-7-9» 10 мільярдів — НБУ
- 13:20 Ethereum прагне до $6,000, а XYZVerse обіцяє зростання на 16,900%: хто стане переможцем
Коментарі - 7
Начинаешь людям объяснять — не верят, думают я сгущаю краски.