Современные банки — решето

Уровень сервиса в современных банках достиг небывалых высот. При этом одна из их основных функций — безопасное хранение денежных средств — давно потеряла свою актуальность. Не имеет значения, пользуетесь вы «Сбером» или модным банком без офисов, ситуация везде примерно одинаковая.

Сложились довольно порочные практика у банков и понимание ситуации у клиентов. Львиная доля мнений комментаторов на vc.ru сводится к тому, что клиент сам отвечает за свою безопасность. При этом не учитывается ряд важных моментов:

  1. Человеку свойственно ошибаться, мы не роботы. Человек, утверждающий, что его невозможно обмануть, либо лукавит, либо заблуждается.
  2. Клиенты очевидно имеют гораздо меньшую компетенцию в информационной безопасности, чем службы безопасности банков. Банк не предоставляет никаких дополнительных способов и инструментов для минимизации человеческого фактора.
  3. Защита лк банков зачастую не отличается от защиты какого-нибудь среднестатистического сервиса. Иногда она выглядит даже хуже. Например, стандартом в индустрии является пароль, который исключает словарные слова, включает дополнительные символы и имеет определенную длину. Некоторые банки позволяют входить в лк вообще без пароля (по номеру карты), либо по короткому паролю, или по паролю, состоящему только из цифр.
Современный подход к обеспечению безопасности

Невероятно, но такого же мнения придерживаются и в МВД (пруф). Хотя возможно, что это банальное перекладывание ответственности, и проблема кроется куда глубже. Например, в несовершенстве законодательства, по которому банк не разделяет ответственность за ошибочные действия клиента.

Анализ показывает, что одной из основных причин, способствующих дистанционным хищениям денежных средств клиентов кредитно-финансовых организаций, является непринятие службами безопасности банковских структур должных мер реагирования на сомнительные денежные транзакции. Как правило, вместо проведения полноценных проверок они ограничиваются фиксацией этих транзакций с последующим направлением материалов в правоохранительные органы.

МВД РФ

Прежде, чем продолжить, нужно сделать важное замечание. Оценку рисков того или иного события следует производить не только исходя из вероятности его возникновения, но и с учетом потенциального ущерба от него. Если вероятность события и потенциальная сумма потерь не велика, такой вероятностью можно пренебречь. Если сумма существенна, а ущерб от ее потери может быть значительным, то даже небольшая вероятность представляет серьезную угрозу. Кроме того, стоит учитывать, что количество средств на счету прямо пропорционально интересу мошенников к этому счету.

Поэтому, если у вас на счету хранится не более одной зарплаты, дальше можно не читать. Речь пойдет о более крупных суммах, потеря которых будет для клиента критичной.

Что не так с SMS кодами?

Возможность подтверждения операций по картам и ДБО появилась около 10 лет назад. Наличие посредника между клиентом и банком — серьезная уязвимость (например, sim карта может быть перевыпущена без ведома клиента). За все это время и до сих пор банки не сделали ровным счетом ничего для минимизации связанных с ней рисков. На примере этой и других проблем можно понять, на сколько банкам наплевать на вашу безопасность.

  1. Наличие между клиентом и банком посредника (оператора связи), который находится за переделами инфраструктуры банка и на которого банк никак не может влиять.
  2. Банк не отвечает за действия сотрудников сторонней организации (оператора связи).
  3. Низкая квалификация и низкая зарплата сотрудников салонов связи и как следствие – отсутствие мотивации на соблюдение требований безопасности.
  4. Низкий уровень безопасности в целом в салонах связи по сравнению с отделениями банков.
  5. Доказать преступный умысел в действиях сотрудника салона может быть весьма сложной задачей, если этот сотрудник действует грамотно. В лучшем случае такого сотрудника просто уволят.

И самое главное. Социальная инженерия и человеческий фактор — основной вектор атак мошенников и хакеров. Так было 20 лет назад во времена Митника, так остается и сейчас, ничего принципиально в этом плане не изменилось. Вероятность такого мошенничества (перевыпуск sim) увеличивается пропорционально количеству посредников — сотрудников салонов связи. Найти слабое звено в этой системе — дело времени. В крайнем случае, мошенник или его сообщник может сам устроиться на работу в офис мобильного оператора. В службах безопасности банков безусловно это понимают (если предполагать, что компетенция сотрудников соответствует занимаемым должностям). Почему в этом направлении ничего не делается – остается только догадываться.

Что не так с кодовым словом?

  1. Любая информация, которая передается в открытом виде кому бы то ни было (даже сотруднику банка) априори не может считаться конфиденциальной.
  2. Кодовые слова, в отличие от паролей, могут храниться в открытом незашифрованном виде.
  3. Для кодовых слов часто используют легкодоступную информацию (кличка животного, девичья фамилия и т.п.)

Что считать конфиденциальными данными?

По аналогии с предыдущим пунктом, конфиденциальными данными также не стоит считать номер карты или pin код:

  1. Номер карты может быть известен сотруднику банка. Недавно я получал карту в офисе одного из крупных банков. Карта была передана сотрудником банка в незапечатанном конверте. Аналогичный пример недавно упоминали здесь в каментах на vc и для другого банка.
  2. Номер карты или pin можно подсмотреть во время оплаты покупок.
  3. Карта может передаваться продавцу, в случае если не работает или отсутствует бесконтактная оплата.
  4. У многих банков существует услуга перевода средств с карты на карту, что как бы само по себе намекает на то, что эти данные не являются конфиденциальными. Для осуществления такого перевода я должен передать номер карты третьему лицу. Особо циничными в данном случае выглядят рекомендации банков никому и никогда не передавать номер своей карты. Возникает логичный вопрос – для чего вообще тогда банки предоставляют такую услугу? Для перевода самому себе? Если деньги нужно перевести на свой собственный счет или родственникам, можно использовать полные реквизиты, номер карты для этого не нужен.

Что считать или нет конфиденциальными данными похоже не понимают даже люди, считающие себя причастными к IT безопасности. Например, вот здесь (пруф) человек предлагает использовать секретные вопросы для восстановления пароля. При этом в каментах справедливо заметили, что уровень безопасности такого способа мягко говоря сомнительный. Я бы также не рекомендовал использовать такие системы, где эта функция в принципе существует.

Персональные данные тоже не являются конфиденциальными. В современный век бесконечных сливов наивно полагать, что узнать номер вашего паспорта или адрес — сколько-нибудь сложная задача. Кроме того, сливом данных зачастую занимаются сами сотрудники банков (пруф).

Антивирус? Шта?

Еще один пример весьма циничной рекомендации от банка, который мне попался совсем недавно — использовать антивирус на мобильных устройствах. Тут снова возникает много вопросов.

  1. Почему банк делегирует обеспечение безопасности сторонней организации (производителю антивируса)?
  2. Как много вы знаете людей, у которых установлен антивирус на мобильном телефоне?
  3. Антивирус не гарантирует абсолютную защиту от вредоносного ПО. Почему банк предлагает использовать такое средство, которое имеет неизвестную степень защиты?
  4. Банк в своих рекомендациях не предлагает никакой альтернативы. Допустим, клиент не хочет или не может работать с антивирусом (тем более, что это не бесплатно). Почему бы, например, не предложить ему ограничить операции по ДБО каким-нибудь лимитом?

Что должны сделать банки?

  1. Авторизация по кодовому слову не должна использоваться ни для каких критически важных операций (например, перевыпуск sim карты).
  2. Критичные операции производятся только через личный визит клиента в офис (замена sim карты, номера, оформление кредита). Привет, Тиньков!
  3. Использование скретч-карт, аппаратных генераторов кодов или ЭЦП.
  4. Возможность установки лимитов и ограничений по операциям с картами или через ДБО. Операции сверх лимитов должны использовать дополнительные средства защиты (скретч-карту), либо иметь временной период для возможности их отмены (например, 24 часа).
Скретч-карта (Википедия)

Что может сделать клиент?

  1. Не хранить больше одной зарплаты на карте, которая используется каждый день.
  2. Для остальных случаев завести отдельный телефон и sim.
  3. Установить запрет на действия по доверенности у оператора мобильной связи. В Билайне и Теле2 такая услуга есть, однако получить бумагу с подтверждением того, что запрет действительно установлен, мне не удалось. В офисе Билайна вообще сказали, что такая услуга у них в принципе не существует, хотя запрет в итоге все-таки поставили.

Что изменится в будущем?

Скорее всего, ничего. Пример желтого банка очень заразителен. Приоритет банков – удобный и доступный сервис, а безопасность это скучно, и ее сложно продавать. Типичный отзыв клиента на использование скретч-карты:

0
103 комментария
Написать комментарий...
Аккаунт заморожен
Автор

А в чем проблема?) В моем банке они, представьте себе, до сих пор актуальны. И слава богу.

Ответить
Развернуть ветку
Александр Никулин

Avangard удивил меня картой «с дисплеем» где встроен генератор разового пароля) думаю данная затея была не для того что бы сверкнуть «яйцами», а для жесткой защиты финансов своих клиентов.

Вы правильно подметили:

Поэтому, если у вас на счету хранится не более одной зарплаты, дальше можно не читать.
Ответить
Развернуть ветку
born in africa

Только в авангарде и видел скретч как карты.
С одной стороны - может +.
Но бывает, нужно срочно платеж провести - а карточка в офисе, а ты за 1000 км.

Ответить
Развернуть ветку
Аккаунт заморожен
Автор

Видел раньше в Сити и Втб, но сейчас скорее всего уже нет.
На счет дальних поездок, карту конечно придется брать с собой. Но без нее косяки тоже возможны. Например, у меня был случай, когда банк заблокировал карту за границей, посчитав операцию подозрительной. И в данном случае получается, что скретч-карта наоборот позволила бы избежать такой ситуации. В поездках желательно иметь больше одной карты, на всякий случай.

Ответить
Развернуть ветку
Николай Лискин

В поездках нал желательно иметь. Да и вообще не плохо его всегда с собой брать. Буквально на прошлой неделе на новорижском шоссе бензоколонка шел, не было возможности оплатить картой по технической причине, а это не далеко от Москвы. Карта не панацея, думать головой никто не отменял

Ответить
Развернуть ветку
Аккаунт заморожен
Автор

Ну это да. Но например купить билет на самолет, я даже не знаю можно ли сейчас не через интернет) Остались ли эти авиакассы, куда надо ходить ногами) В аэропортах – понятное дело они есть.

Ответить
Развернуть ветку
Николай Лискин

А в чем проблема оплатить через официальный сайт?
Как поможет десять степеней защиты если к примеру оплата будет происходить через подставной сайт псевдо туроператора? Как думаете, скрейч-карта спасет в данной ситуации?

Ответить
Развернуть ветку
Петр Каросанидзе

Вы просто не поняли кажется.

Через сайт налом не оплатить.
Вы говорили нал иметь хорошо, в ответ автор поинтересовался возможно ли авиабилеты налом купить. На что вы спрашиваете в чем проблема на сайте официальном оплатить)
На сайте официальном могут быть тоже технические проблемы, и как вы говорите, надо головой думать, карта не панацея, вот с налом лучше.

Ответить
Развернуть ветку
Николай Лискин

Автор топит за скрейч-карты, с ними все будет безопаснее по мнению автора. Банки ничего не делают и все в таком духе.
 Посмотрите в каждом посте ее упоминание.
С чего вообще этот сырбор пошёл?
Не выдергивайте пожалуйста из контекста отдельное сообщение

Ответить
Развернуть ветку
Аккаунт заморожен
Автор

Ответил выше

Ответить
Развернуть ветку
Аккаунт заморожен
Автор

Я сталкивался с подобной ситуацией именно с покупкой билета) Билет купил успешно, но сразу после этого пошли левые попытки списать деньги с карты. Чей был косяк без понятия, мой или сайта. Скретч карта в данном случае поможет тем, что снять все деньги со счета будет проблематично, только в рамках лимита, после которого понадобится код с карты.

Ответить
Развернуть ветку
Николай Лискин

Из личного кабинета оплачивайте, сейчас большинство дают такую возможность. Виртуальные карты тоже есть думаю в любом банке, в личном кабинете делаешь себе карту которой физически нет, переводишь на нее необходимую сумму и платишь везде в интернетах без опасений. Также можно платить с разных кошельков не сверкая картами, а пополнять их можно помимо карт в терминалах и супермаркетах налом

Ответить
Развернуть ветку
born in africa

Про платеж с р/с фирмы вообще-то. Какой нал брать.?))

Ответить
Развернуть ветку
100 комментариев
Раскрывать всегда