Банки не хотят внедрять многофакторную авторизацию и покончить с мошенничеством

Банки не хотят внедрять многофакторную авторизацию и покончить с мошенничеством

Проблема

Количество случаев мошенничества просто зашкаливает. Статьи о фактах мошенничества появляются чуть ли не каждый день. Происходит это при полном попустительстве государства и полиции, которая занята оппозицией. А вполне вероятно, что мафии это выгодно, погружать народ в кредиты.

Банки сообразили, что в большинстве случаев это проблема клиента, а им прибыль с процентов по украденным кредитам, поэтому у них и нет заинтересованности реально прекратить этот беспредел, под видом защиты они хотят только глубже залезть к клиентам в штаны. Банки позволяют легко деньги украсть, но не позволяют закрыть счёт даже когда уже в суде много раз воля клиента закрыть счёт была озвучена.

Двухфакторная защита банков на самом деле однофакторная раз мошенникам удаётся менять телефонные номера клиентов и угонять доступ в приложения и ЛК банков.

Попытаемся разобраться так ли бессильно государство, полиция, банки, люди перед жуликами. В Европейском Союзе такого почти нет, во всяком случае в таких масштабах как в России, там значит вопрос решён. Приведём схемы взломов аккаунтов пользователей и возможные варианты защиты.

Как мошенники крадут деньги

Очень много статей из серии N способов как мошенники крадут деньги с банковских карт описывают как разные варианты схемы звонков телефонных мошенников. На самом деле это ровно один вариант, который называется “социальная инженерия” или проще телефонный развод.

Если позвонили из банка, ГосУслуг, службы безопасности, следственного комитета, прокуратуры, полиции, ФСБ, суда, то самое правильное сразу повесить трубку, а номер внести в чёрный список. В идеале вообще не брать трубку с незнакомых номеров. Всё что нужно органам, они сообщат повесткой, сами вас доставят на допрос, и там самое лучшее пользоваться 51 статьёй и никогда не разговаривайте с силовиками. Банк всё что нужно сообщит в письменной форме в своём приложении или личном кабинете банка. Важно помнить, что вы не можете доверять ни входящим звонкам, ни СМС. Номер отправителя легко подделать, см. как Навальный развёл своего отравителя.

Не лишним будет повторить, что не надо:

  • открывать все письма с загрузкой всего контента, тем самым та сторона знает, что письмо открыли;
  • открывать прикреплённые файлы, если вы не ждали их получения;
  • переходить по ссылке в письме, смс, соцсетях, на разных левых сайтах, если вы не ожидали эту ссылку от банка, например, регистрируясь или восстанавливая пароль;
  • не устанавливайте лишнее ПО.

Есть более банальные способы потери денег — утеря контроля над:

  • телефонным номером;
  • адресом электронной почты;
  • аккаунтом ГосУслуг;
  • смартфоном, компьютером.

Теперь мы рассмотрим всё это с других точек зрения.

Ключи и алгоритмы защиты

Вход в информационную систему подобен входу в жилище или открытию автомобиля. Хорошо если у вас один ключ. Лучше когда два. Совсем хорошо, когда открыв дверь нужно ещё знать, где отключить сигнализацию, которую если не отключить, то приедет охрана. На автомобили ставили просто тумблер, который пока не переключишь электрическая цепь не включится.

Банки не хотят внедрять многофакторную авторизацию и покончить с мошенничеством

Перечислим какие типы ключей есть в нашем распоряжении:

1. Логин как правило это: email или телефон или номер карты.

2. Пароль.

3. Второй пароль — кодовое слово.

4. Таблица одноразовых паролей, данные о последней операции, персональные данные.

5. Аккаунт электронной почты, ГосУслуг или ещё какой.

7. Приложение на смартфоне, генератор одноразовых паролей, Яндекс-Google-аутентификация, сумма блокировки текущей операции.

8. Аппаратные генератор одноразовых паролей, аппаратный токен.

9. Статический IP-адрес, подсеть, геолокация.

10. Общение в Telegram, WhatsApp.

11. Тумблер разрешающий операции сверх заданного лимита. Это может быть последовательность определённых действий.

Типы ключей я расположил в направлении сложности их взлома.

Пароль можно потерять, его может украсть вирус, его можно ввести на фишинговом сайте. Кодовое слово, паспортные данные клиенты часто называют при звонке в банк, а записи телефонных разговоров пишутся не только в банке, но и у операторов связи. Данные об операциях по счёту могут украсть через социальную инженерию, через ментов в даркнете, да и просто проследить, что вот клиент только что заправился. Прочие типы требуют уже завладения смартфоном физически или путём заражения вирусом. Аппаратным генератором кодов можно завладеть только физически. Вирусы ему не страшны. Статический IP можно получить взломав WiFi сеть клиента, но следов много, надо приблизиться к жилищу и засветиться на камерах. А если для входа в банк вы используете VPN, то даже взлом WiFi не поможет.

К алгоритмам защиты относится порядок аутентификации. Информационная система может предложить пользователю на выбор как подтвердить отправку платежа. И только пользователь знает, что по понедельникам он подтверждает кодом Яндекс-аутентификатора, во вторник Google, в среду аппаратным токеном и т.д. Для перевода крупной суммы может быть последовательность действий в виде перевод суммы на вновь открытый счёт или виртуальную карту или вклад, и только уже оттуда перевод дальше. Может быть назначено второе лицо, которое в ЛК своего банка должно ввести будет код для подтверждения платежа. Тем самым, даже если бандиты получат физический доступ ко всем девайсам и ключам клиента, самому клиенту, заставят его самого ввести все коды и даже голосом позвонить в банк и подтвердить, что он это он, то на уровне даже не оператора банка, а службы безопасности банка сработает сигнал, что по локации клиента надо полицию присылать.

Главная причина успеха мошенников — однофакторная аутентификация

— Дайте мне в аренду метр государственной границы.

— Почему метр?

— Чтобы чемодан проходил.

Множество ключей не имеют смысла, если есть один суперключ или завладев одним ключом можно перевыпустить или сменить другие ключи.

Банковские информационные системы должны использовать многофакторную аутентификацию по независимым ключам доступа. На деле же у них есть один суперключ — сим-карта телефона или персональные данные клиента. На Тинькофф Банк, Альфа-банк и другие банки стабильный поток жалоб, когда мошенники меняют номер телефона клиента, затем устанавливают приложение, получают все требуемые смс-коды, воруют те деньги, которые есть, дополнительно открывают кредиты и воруют ещё деньги, которых нет.

Все данные, которые банки спрашивают по телефону не являются фактором аутентификации клиента. Мошенники могут позвонить и выяснить их от имени банка, может запись разговора утечь.

Истории как подделывали сим-карты в каких-нибудь Мухосрансках тоже были.

Что должно сделать государство

Перестать блокировать РосКомПозором оппозиционные сайты и заняться прямыми своими обязанностями операторами связи, которые без должной авторизации продают услуги телефонной связи мошенникам да ещё позволяют подменять телефонный номер.

Следить за call-центрами мошенников. Они же по ключевым словам выявляются. Распознавание голоса работает хорошо.

Суды должны наказывать банки за случаи, когда мошенники получили кредит по откровенно липовым документам, а сотрудники банка не проявили должной осмотрительности. Налоговая ведь доначисляет дикие налоги и штрафы за непроявление должной осмотрительности при выборе поставщиков услуг.

В УК РФ есть статья 293 Халатность. Тут именно она и есть: “Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе либо обязанностей по должности, если это повлекло причинение крупного ущерба или существенное нарушение прав и законных интересов граждан”.

Что должны сделать банки

  • Внедрить как можно больше вариантов аутентификации клиента и подтверждения платежа. Если клиент хочет иметь 10 независимых ключей, то пусть имеет. Если хоть один потеряет, то дальше ногами топает в банк. Позор банкам, которые позволяют поставить приложение и получить доступ к деньгам мошенникам, которые предварительно сменили телефон клиента в банке.
  • Сделать их реально независимыми. Или часть из них. Должно быть по желанию клиента хотя бы три независимых ключа. Потерял любой из трёх — топай в банк.
  • Запретить удалённо менять номер телефона или авторизовывать перевыпущенную сим-карту. Можно не всем. Но хотя бы дать клиентам такую возможность повышенной безопасности.
  • Внедрить системы уведомлений не только через СМС, а HTTP-уведомлений и писем на email, которые уже хоть на ту же умную колонку можно завернуть. Если сим-карту или смартфон увели, то клиент уже не получит уведомление.

Пока же в каждой статье на VC.ru и на banki.ru пиарслужбы банков в лучших традициях учеников доктора Геббельса врут как они заботятся о безопасности.

Что стоит сделать клиентам банков

Банки не хотят внедрять многофакторную авторизацию и покончить с мошенничеством

https://twitter.com/aloe_ve/status/1434160378473287682

1. Прослушав ещё несколько подобных разговоров сами будете чувствовать развод: Послушать звонки мошенников в Youtube.
2. Лучше вообще не разговаривать по входящим звонкам. Повесьте трубку будто связь разъединилась и сами перезвоните в банк по номеру на сайте. В идеале не использовать телефонную связь, а иметь своего менеджера в Telegram, WhatsApp или приложении банка и постоянно удалять переписку в мессенджерах, и в имени менеджера не писать, что это такой-то банк.
3. Ещё лучше завести для каждого банка отдельный секретный телефонный номер, который нигде больше не используется. Некоторые операторы предлагают виртуальные (дополнительные) мобильные номера. Главное не потерять контроль над таким номером.
4. Заводить для каждого банка отдельный email, который нигде не светится. Например, в Google это делается так mailbox+bankname@gmail.com. Но всё равно это по сути один email и защита так себе. Вы можете взять в аренду VDS, купить собственный домен и регистрировать на нём уже любые адреса и алиасы электронной почты. Алиас вида shortbankname4901@yourdomain.ru существеннее безопаснее. И если на такой адрес придёт персональное рекламное предложение, то вы будете знать с высокой долей вероятности, откуда утекли ваши персональные данные. Следовательно это повод поменять в банке email и телефон.
5. Отправить ссылку на эту статью в поддержку своего банка и потребовать дополнительных типов защиты и запрета удалённого смены номера и авторизации новой сим-карты.
6. Не ставить на смартфон и компьютер постороннее ПО, игры. Если же они вам жизненно необходимы, то не ставьте тогда туда банковские приложения. Купите VDS и заходите в ЛК банков из чистой операционной системы, где нет ничего постороннего. Вредоносное ПО может получить доступ к вашей VDS, но это уже несколько сложнее, особенно, если настроить firewall c двухфакторной авторизацией.
7. Не открывать ссылки и файлы, которых не запрашивали. Просмотр заголовков письма часто говорит о том, что оно левое. Но ряд заголовков можно подделать.
8. Не давать доступ к своим контактам никаким приложениям.
9. Написать своим депутатам с требованием внести законодательную инициативу обязывающие банки по требованию клиента использовать аппаратный токен и запрет на дистанционное изменение телефона. Понятно, что это скорее всего мера бесполезная, но вдруг.
10. Если вы арендуете или размещаете сервер для своей бухгалтерии и работы с банками — вот небольшой список базовых вещей, который помогут спать спокойнее:

  • ОС и ПО нужно регулярно обновлять, зачастую, обновления закрывают уязвимости, про которые уже узнали мошенники.
  • Обязательно настройте firewall и разрешите ограниченный круг IP-адресов.
  • Установите антивирус, убедитесь что его вирусные базы обновляются.
  • Установите утилиту fail2ban, чтобы исключить ситуацию с перебором паролей.
  • Настройте или закажите мониторинг, это поможет своевременно отреагировать в случае возникновения проблем.
  • Даже если у вас есть системный администратор — закажите минимальное администрирование на стороне хостера. Как говорится, одна голова хорошо, а две — лучше!
  • Если на вашем сайте собираются персональные данные — закажите аудит, обратитесь в поддержку и убедитесь, что все соответствует 152-ФЗ, потому что потерять деньги можно и налетев на штраф от государства.

Заключение

В статье должна была быть таблица с данными о поддерживаемых механизмах защиты российскими банками, но PR-службы банков дважды выморозились. Сначала попросили направить им запросы на почту, а потом видя, что заполнять таблицу нечем просто прислали хамские отписки. Если вы знаете банк, который использует дополнительные степени защиты, то пишите в комментарии, желательно со ссылкой на страницу банка, где указана данная информация.

И ещё одна наша таблица про премиальные карты банков, которую мы делали пару лет назад. Условия у некоторых банков изменились уже в худшую сторону, а у некоторых не изменились, а постоянство и стабильность являются хорошим маркером.

Дата-центр ITSOFT — размещение и аренда серверов и стоек в двух дата-центрах в Москве. За последние годы UPTIME 100%. Размещение GPU-ферм и ASIC-майнеров, аренда GPU-серверов, лицензии связи, SSL-сертификаты, администрирование серверов и поддержка сайтов.

Какие способы авторизации и защиты нужны вам для работы с банком?
Таблица одноразовых паролей
Программный генератор одноразовых кодов
Аппаратный генератор одноразовых кодов
Статический IP-адрес для входа в банк
Код в Telegram, WhatsApp
Запрет удалённо менять номер телефона или авторизовывать перевыпущенную сим-карту
HTTP, email-уведомления
134134
216 комментариев

Знаете, вы написали утопическую фигню - вот с всеми этими "секретными телефонными номерами", VDS, fail2ban, и прочим. 99,9% процентов пользователей не гики, задрачивающиеся отслеживанием появлением всех "антишпионских" приспособ, а люди, которые заняты своей работой, своей жизнью и жизнью родственников, и на изучение вот этого барахла у них нет ни времени, ни возможности ввиду отсутствия компьютерной подготовленности. К примеру, скажите, как пенсионерке установить и пользоваться VDS, а заодно утилитой fail2ban?

Тем временем, банковская система аутентификации пользователя в своём состоянии "как есть", довольно продуманна. Неэффективной её делают сами пользователи своей безалаберностью, вводя и рассказывая данные не в тех местах и не тем людям.

Теперь про "не тех людей", к примеру, звонящих "сотрудниках банков" и их поимке. Реализовать искоренение звонящих "сотрудников" банков имеющимися средствами очень проблематично. И часто они являются не распиаренными тюремными колл-центрами, а одиночками, которые могут быть вашими соседями. Такой мошенник приобретает базу данных, телефон с сответствующей прошивкой (с генерацией imei и id железа и приложений) , ноунэйм сим-карту и модем с кастомной прошивкой, переподключающийся через заданный промежуток времени с получением нового ip при очередном подключении. Посредством IP-телефонии такой мошенник подменяет номер при звонке жертве. А по окончанию "трудового дня" выбрасывает симку и генерирует новые id в телефоне. Противодействующие органы в этом случае могут противопоставить только пеленгацию, а развёртыване всей операции будет напоминать шпионский вымышленный фильм, где все действуют очень оперативно (жертва заявляет что ей звонил мошенник), банковская СБ передаёт данные IT отделу, IT вычисляет недавнюю соту (связавшись с ОПСОС без всяких обиняков), передаёт инфу опергруппе, а та выезжает со своими  устройствами пеленгации и группой задержания. Потом они конечно выбивают дверь, а мошенник конечно не избавился от симки и телефона. Производят поимку. Профит! И это всё только для одного эпизода мошенничества. 

Большую проблему уязвимости делают сами пользователи, вводя данные на фишинговых сайтах и закачивая нелицензионный софт, со вшитыми малварями похищающие куки с браузерными данными, и которые не определяются пресловутыми антивирусами ввиду того, что малвари пишутся под заказ. Мошенник, имея базу данных с ФИО и кое-какой инфой о счетах, данными на вход в онлайн-банк, из парсенной инфы левого софта и куки, подделывает компьютер совершенно неотличимый от компьютера жертвы, который уже знаком банковскому сайту, и заходит в кабинет жертвы, как свой. Ну а дальше вывод средств через дропов.

Системы двухфакторной аутентификации в частности, 2FA тоже снимают. Не знаю как, но на профильных сайтах объявления о снятии 2FA в течение 2-3 дней за процент от имеющейся суммы. 

Остаются работники банков и точек продаж сим-карт, продающие базы данных тем же, с "профильных" сайтов. Вот тут наверное можно было бы повлиять на предотвращение утечек весомой уголовной ответственностью.

Про антимошенническую грамотность обывателя говорить не приходится. Современный человек сильно загружен выживаемостью, и вероятности, что он может стать следующей жертвой им не учитываются.

Поэтому,  кардинальное решение банковских и компьютерных махинаций, вопрос открытый и в ближайшем времени решён не будет. Возможно в будущем, когда работа всех  компаний, служб и департаментов будет координироваться нейросетью мгновенно, подобные схемы уйдут в небытие. Но пока имеем реалии жизни в киберпанке, а он не такой романтичный, как показано в фильмах.

142

Тот самый случай, когда комментарий лучше статьи.

46

В статье не раз сказано про опциональность мер. Никто их принудительно не призывает всем навязать. Вам не надо - ну и работайте как раньше. Но позвольте другим выбрать себе аппаратный или программный токен.

26

Комментарий недоступен

25

А что так глобально? Можно с малого, например запрет выдачи кредитов без личного присутствия, все! Какие тут оправдания будут ? 

19

"Банковская система аутентификации" не продумана от слова совсем, можно сказать ее вообще нет. Статья немного мутная, но суть верная и вы ее абсолютно не уловили. Сейчас у многих банков вход только по смс (не считая номера карты, который НЕ является конфиденциальными данными) – это полная дичь, которая не имеет ничего общего с безопасностью.

12

Комментарий недоступен

12