{"id":4099,"title":"\u0422\u0435\u0441\u0442: \u0434\u0438\u0437\u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0438\u0440\u0443\u0439\u0442\u0435 \u0432\u0430\u0448\u0435 \u0431\u0435\u0441\u0441\u043e\u0437\u043d\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0435","url":"\/redirect?component=advertising&id=4099&url=https:\/\/vc.ru\/special\/psychoanalysis&hash=d33841813ceca9fc84a1c7d5d25eaaaccdc5d00debd4904d498ec081a76e329c","isPaidAndBannersEnabled":false}

Безопасность в цифровых каналах. Социальная инженерия - есть ли спасение?

В прошлый раз показала статистику хищений за последние года. Было страшновато. Да и с началом «инфекционного кризиса» ситуация усугубилась. По информации наших коллег в банках, сейчас наблюдается всплеск фрода. И с каждым днем это становится все опаснее, особенно в преддверии Новогодних праздников.

Фишинговые сайты, подмена SIM-карт, перехват сообщений, и, конечно же, социальная инженерия — вот арсенал успешных в настоящее время приемов злоумышленников.

Существует несколько наиболее массовых сценариев хищений. Самый распространённый – звонок якобы из службы безопасности банка, кредитные отделы и пр., где в разговоре мошенник «банковским» голосом, а теперь даже роботом убеждает клиента сказать код из SMS или PUSH, назвать пин-код от карты, чтобы его сменить и т.д.. Другой часто встречающийся сценарий применяется в момент интернет-шоппинга. В ходе оплаты клиент переадресуется с торговой площадки на страницу #якобысвоегобанка и получает код, который он получает в SMS или PUSH.

Подобных схем много. Это случается во многом потому, что в SMS или PUSH-сообщении невозможно указать всю информацию о платеже, чтобы клиент мог все проверить и среагировать.

Что могут сделать банки?

  • забрать у клиента возможность сообщить какой-либо код,
  • исключить возможность подтвердить документ без желания и контроля клиентского устройства,
  • обеспечить контроль целостности и авторства.

На сегодняшний день, одним из самых удобных и эффективных средств для повышения безопасности является мобильная электронная подпись. "Посмотрел, проверил, подписал". Подпись работает только на конкретном устройстве, не использует коды подтверждения, которые можно было бы перехватить или сообщить мошеннику, а ключи подписи невозможно украсть или использовать в другом смартфоне. Это исключает возможность подтвердить «чужую» операцию без желания и контроля клиентом, сохраняет юридическую значимость совершаемого действия и обеспечивает контроль целостности и авторства.

Однако, некоторые банки используют решения, которые вообще нельзя назвать «подписью» — после взгляда в камеру или прикладывания пальца не происходит криптографических преобразований! После этих действий либо вообще ничего не происходит, либо к операции подставляется id сессии, который един для любых переводов в ее рамках, либо еще какая-нибудь мало защищенная ерунда. Все это создает лишь иллюзию подписи и безопасности, которая приводит к атакам на клиентов и большому количеству конфликтны ситуаций.

Дарья Верестникова
Коммерческий директор компании SafeTech
{ "author_name": "Дарья Верестникова", "author_type": "self", "tags": ["\u044f\u043a\u043e\u0431\u044b\u0441\u0432\u043e\u0435\u0433\u043e\u0431\u0430\u043d\u043a\u0430","\u0434\u0430\u0448\u0430\u0432\u0434\u0435\u043b\u0435","verestnikova","safetech","paycontrol"], "comments": 0, "likes": 0, "favorites": 3, "is_advertisement": false, "subsite_label": "flood", "id": 181299, "is_wide": false, "is_ugc": true, "date": "Thu, 26 Nov 2020 17:56:21 +0300", "is_special": false }
0
0 комментариев
Популярные
По порядку
Читать все 0 комментариев
Лето с HONOR: скидки до 60 000 рублей на ноутбуки и не только

HONOR объявляет о специальных летних скидках на ноутбуки и другую продукцию бренда. С 18 июня пользователи смогут приобрести устройства HONOR с выгодой до 60 000 рублей. Подробнее об условиях акции вы можете узнать на официальном сайте интернет-магазина HONOR и в официальных монобрендовых магазинах HONOR в Москве и других городах России.

После использования банкомата «Тинькофф» деньги были украдены со счёта

В погоне за клиентами компании стараются сделать клиентский путь для использования своих продуктов проще, но при этом иногда забывают о безопасности. Именно с такой ситуацией я и столкнулся.

Списание комиссии за перевод C2C в Альфа банке и угрозы от сотрудников в ответ на просьбу разобраться в ситуации

16 июня я совершил перевод со своей карты Альфа банка на карту Промсвязьбанка, что, впрочем, делаю ежемесячно в течении полутора лет. И после этого начали твориться чудеса, назовем это так. Сначала в приложении отобразилась сумма перевода, как обычно. И я уже забыл бы об этой рутинной операции, но внезапно баланс счета уменьшился безо всяких…

«Альфа-Банк» списал комиссию за пополнение карты «Мир», расценив его как квази-кэш операцию

17.06 с моего зарплатного счëта «Альфа-Банка» были списаны 199 рублей как комиссия за квази-кэш операцию.

Робототехника и облачные мощности: почему роботам нужны облака

Настроить автопилот квадрокоптера и запрограммировать коллаборативного робота проще с виртуальными серверами.

Первые фото с Марса
Samsung отказал в ремонте мобильного телефона после заказа зап. части

Всем привет!

Как вернуть VPN в браузере Opera?

Столкнулся сегодня с такой проблемой , обнаружил что vpn в браузере опера не работает и исчез переключатель с панели. Починил следующим образом:

Облачные игры стали доступны клиентам Yota
30 мыслей к 30 годам

С 18 лет стараюсь выписывать свои и заимствованные мысли насчет устроиства мироздания, как оно мне видится. Субъективно — это самое важное, что стоит оттачивать на протяжении жизни — понимание и следование правилам, которые для нас работают, хотим мы этого или нет.

Что такое пассивное инвестирование. Рассказывает персональный брокер

Как правильно вкладывать деньги на годы или даже десятилетия, и как Уоррен Баффет выиграл пари

Комментарии
null