Современные банки — решето — Сервисы на

Современные банки — решето — Сервисы на vc.ru

Уровень сервиса в современных банках достиг небывалых высот. При этом одна из их основных функций — безопасное хранение денежных средств — давно потеряла свою актуальность. Не имеет значения, пользуетесь вы «Сбером» или модным банком без офисов, ситуация везде примерно одинаковая.

Сложились довольно порочные практика у банков и понимание ситуации у клиентов. Львиная доля мнений комментаторов на vc.ru сводится к тому, что клиент сам отвечает за свою безопасность. При этом не учитывается ряд важных моментов:

  1. Человеку свойственно ошибаться, мы не роботы. Человек, утверждающий, что его невозможно обмануть, либо лукавит, либо заблуждается.
  2. Клиенты очевидно имеют гораздо меньшую компетенцию в информационной безопасности, чем службы безопасности банков. Банк не предоставляет никаких дополнительных способов и инструментов для минимизации человеческого фактора.
  3. Защита лк банков зачастую не отличается от защиты какого-нибудь среднестатистического сервиса. Иногда она выглядит даже хуже. Например, стандартом в индустрии является пароль, который исключает словарные слова, включает дополнительные символы и имеет определенную длину. Некоторые банки позволяют входить в лк вообще без пароля (по номеру карты), либо по короткому паролю, или по паролю, состоящему только из цифр.


Современный подход к обеспечению безопасности

Невероятно, но такого же мнения придерживаются и в МВД (пруф). Хотя возможно, что это банальное перекладывание ответственности, и проблема кроется куда глубже. Например, в несовершенстве законодательства, по которому банк не разделяет ответственность за ошибочные действия клиента.

Анализ показывает, что одной из основных причин, способствующих дистанционным хищениям денежных средств клиентов кредитно-финансовых организаций, является непринятие службами безопасности банковских структур должных мер реагирования на сомнительные денежные транзакции. Как правило, вместо проведения полноценных проверок они ограничиваются фиксацией этих транзакций с последующим направлением материалов в правоохранительные органы.

Прежде, чем продолжить, нужно сделать важное замечание. Оценку рисков того или иного события следует производить не только исходя из вероятности его возникновения, но и с учетом потенциального ущерба от него. Если вероятность события и потенциальная сумма потерь не велика, такой вероятностью можно пренебречь. Если сумма существенна, а ущерб от ее потери может быть значительным, то даже небольшая вероятность представляет серьезную угрозу. Кроме того, стоит учитывать, что количество средств на счету прямо пропорционально интересу мошенников к этому счету.

Поэтому, если у вас на счету хранится не более одной зарплаты, дальше можно не читать. Речь пойдет о более крупных суммах, потеря которых будет для клиента критичной.

Что не так с SMS кодами?

Возможность подтверждения операций по картам и ДБО появилась около 10 лет назад. Наличие посредника между клиентом и банком — серьезная уязвимость (например, sim карта может быть перевыпущена без ведома клиента). За все это время и до сих пор банки не сделали ровным счетом ничего для минимизации связанных с ней рисков. На примере этой и других проблем можно понять, на сколько банкам наплевать на вашу безопасность.

  1. Наличие между клиентом и банком посредника (оператора связи), который находится за переделами инфраструктуры банка и на которого банк никак не может влиять.
  2. Банк не отвечает за действия сотрудников сторонней организации (оператора связи).
  3. Низкая квалификация и низкая зарплата сотрудников салонов связи и как следствие – отсутствие мотивации на соблюдение требований безопасности.
  4. Низкий уровень безопасности в целом в салонах связи по сравнению с отделениями банков.
  5. Доказать преступный умысел в действиях сотрудника салона может быть весьма сложной задачей, если этот сотрудник действует грамотно. В лучшем случае такого сотрудника просто уволят.

И самое главное. Социальная инженерия и человеческий фактор — основной вектор атак мошенников и хакеров. Так было 20 лет назад во времена Митника, так остается и сейчас, ничего принципиально в этом плане не изменилось. Вероятность такого мошенничества (перевыпуск sim) увеличивается пропорционально количеству посредников — сотрудников салонов связи. Найти слабое звено в этой системе — дело времени. В крайнем случае, мошенник или его сообщник может сам устроиться на работу в офис мобильного оператора. В службах безопасности банков безусловно это понимают (если предполагать, что компетенция сотрудников соответствует занимаемым должностям). Почему в этом направлении ничего не делается – остается только догадываться.

Что не так с кодовым словом?

  1. Любая информация, которая передается в открытом виде кому бы то ни было (даже сотруднику банка) априори не может считаться конфиденциальной.
  2. Кодовые слова, в отличие от паролей, могут храниться в открытом незашифрованном виде.
  3. Для кодовых слов часто используют легкодоступную информацию (кличка животного, девичья фамилия и т.п.)

Что считать конфиденциальными данными?

По аналогии с предыдущим пунктом, конфиденциальными данными также не стоит считать номер карты или pin код:

  1. Номер карты может быть известен сотруднику банка. Недавно я получал карту в офисе одного из крупных банков. Карта была передана сотрудником банка в незапечатанном конверте. Аналогичный пример недавно упоминали здесь в каментах на vc и для другого банка.
  2. Номер карты или pin можно подсмотреть во время оплаты покупок.
  3. Карта может передаваться продавцу, в случае если не работает или отсутствует бесконтактная оплата.
  4. У многих банков существует услуга перевода средств с карты на карту, что как бы само по себе намекает на то, что эти данные не являются конфиденциальными. Для осуществления такого перевода я должен передать номер карты третьему лицу. Особо циничными в данном случае выглядят рекомендации банков никому и никогда не передавать номер своей карты. Возникает логичный вопрос – для чего вообще тогда банки предоставляют такую услугу? Для перевода самому себе? Если деньги нужно перевести на свой собственный счет или родственникам, можно использовать полные реквизиты, номер карты для этого не нужен.

Что считать или нет конфиденциальными данными похоже не понимают даже люди, считающие себя причастными к IT безопасности. Например, вот здесь (пруф) человек предлагает использовать секретные вопросы для восстановления пароля. При этом в каментах справедливо заметили, что уровень безопасности такого способа мягко говоря сомнительный. Я бы также не рекомендовал использовать такие системы, где эта функция в принципе существует.

Персональные данные тоже не являются конфиденциальными. В современный век бесконечных сливов наивно полагать, что узнать номер вашего паспорта или адрес — сколько-нибудь сложная задача. Кроме того, сливом данных зачастую занимаются сами сотрудники банков (пруф).

Антивирус? Шта?

Еще один пример весьма циничной рекомендации от банка, который мне попался совсем недавно — использовать антивирус на мобильных устройствах. Тут снова возникает много вопросов.

  1. Почему банк делегирует обеспечение безопасности сторонней организации (производителю антивируса)?
  2. Как много вы знаете людей, у которых установлен антивирус на мобильном телефоне?
  3. Антивирус не гарантирует абсолютную защиту от вредоносного ПО. Почему банк предлагает использовать такое средство, которое имеет неизвестную степень защиты?
  4. Банк в своих рекомендациях не предлагает никакой альтернативы. Допустим, клиент не хочет или не может работать с антивирусом (тем более, что это не бесплатно). Почему бы, например, не предложить ему ограничить операции по ДБО каким-нибудь лимитом?

Что должны сделать банки?

  1. Авторизация по кодовому слову не должна использоваться ни для каких критически важных операций (например, перевыпуск sim карты).
  2. Критичные операции производятся только через личный визит клиента в офис (замена sim карты, номера, оформление кредита). Привет, Тиньков!
  3. Использование скретч-карт, аппаратных генераторов кодов или ЭЦП.
  4. Возможность установки лимитов и ограничений по операциям с картами или через ДБО. Операции сверх лимитов должны использовать дополнительные средства защиты (скретч-карту), либо иметь временной период для возможности их отмены (например, 24 часа).


Скретч-карта (Википедия)

Что может сделать клиент?

  1. Не хранить больше одной зарплаты на карте, которая используется каждый день.
  2. Для остальных случаев завести отдельный телефон и sim.
  3. Установить запрет на действия по доверенности у оператора мобильной связи. В Билайне и Теле2 такая услуга есть, однако получить бумагу с подтверждением того, что запрет действительно установлен, мне не удалось. В офисе Билайна вообще сказали, что такая услуга у них в принципе не существует, хотя запрет в итоге все-таки поставили.

Что изменится в будущем?

Скорее всего, ничего. Пример желтого банка очень заразителен. Приоритет банков – удобный и доступный сервис, а безопасность это скучно, и ее сложно продавать. Типичный отзыв клиента на использование скретч-карты:

Related Post

Leave a Reply

Your email address will not be published. Required fields are marked *