Современные банки — решето

Уровень сервиса в современных банках достиг небывалых высот. При этом одна из их основных функций — безопасное хранение денежных средств — давно потеряла свою актуальность. Не имеет значения, пользуетесь вы «Сбером» или модным банком без офисов, ситуация везде примерно одинаковая.

Сложились довольно порочные практика у банков и понимание ситуации у клиентов. Львиная доля мнений комментаторов на vc.ru сводится к тому, что клиент сам отвечает за свою безопасность. При этом не учитывается ряд важных моментов:

  1. Человеку свойственно ошибаться, мы не роботы. Человек, утверждающий, что его невозможно обмануть, либо лукавит, либо заблуждается.
  2. Клиенты очевидно имеют гораздо меньшую компетенцию в информационной безопасности, чем службы безопасности банков. Банк не предоставляет никаких дополнительных способов и инструментов для минимизации человеческого фактора.
  3. Защита лк банков зачастую не отличается от защиты какого-нибудь среднестатистического сервиса. Иногда она выглядит даже хуже. Например, стандартом в индустрии является пароль, который исключает словарные слова, включает дополнительные символы и имеет определенную длину. Некоторые банки позволяют входить в лк вообще без пароля (по номеру карты), либо по короткому паролю, или по паролю, состоящему только из цифр.
Современный подход к обеспечению безопасности

Невероятно, но такого же мнения придерживаются и в МВД (пруф). Хотя возможно, что это банальное перекладывание ответственности, и проблема кроется куда глубже. Например, в несовершенстве законодательства, по которому банк не разделяет ответственность за ошибочные действия клиента.

Анализ показывает, что одной из основных причин, способствующих дистанционным хищениям денежных средств клиентов кредитно-финансовых организаций, является непринятие службами безопасности банковских структур должных мер реагирования на сомнительные денежные транзакции. Как правило, вместо проведения полноценных проверок они ограничиваются фиксацией этих транзакций с последующим направлением материалов в правоохранительные органы.

МВД РФ

Прежде, чем продолжить, нужно сделать важное замечание. Оценку рисков того или иного события следует производить не только исходя из вероятности его возникновения, но и с учетом потенциального ущерба от него. Если вероятность события и потенциальная сумма потерь не велика, такой вероятностью можно пренебречь. Если сумма существенна, а ущерб от ее потери может быть значительным, то даже небольшая вероятность представляет серьезную угрозу. Кроме того, стоит учитывать, что количество средств на счету прямо пропорционально интересу мошенников к этому счету.

Поэтому, если у вас на счету хранится не более одной зарплаты, дальше можно не читать. Речь пойдет о более крупных суммах, потеря которых будет для клиента критичной.

Что не так с SMS кодами?

Возможность подтверждения операций по картам и ДБО появилась около 10 лет назад. Наличие посредника между клиентом и банком — серьезная уязвимость (например, sim карта может быть перевыпущена без ведома клиента). За все это время и до сих пор банки не сделали ровным счетом ничего для минимизации связанных с ней рисков. На примере этой и других проблем можно понять, на сколько банкам наплевать на вашу безопасность.

  1. Наличие между клиентом и банком посредника (оператора связи), который находится за переделами инфраструктуры банка и на которого банк никак не может влиять.
  2. Банк не отвечает за действия сотрудников сторонней организации (оператора связи).
  3. Низкая квалификация и низкая зарплата сотрудников салонов связи и как следствие – отсутствие мотивации на соблюдение требований безопасности.
  4. Низкий уровень безопасности в целом в салонах связи по сравнению с отделениями банков.
  5. Доказать преступный умысел в действиях сотрудника салона может быть весьма сложной задачей, если этот сотрудник действует грамотно. В лучшем случае такого сотрудника просто уволят.

И самое главное. Социальная инженерия и человеческий фактор — основной вектор атак мошенников и хакеров. Так было 20 лет назад во времена Митника, так остается и сейчас, ничего принципиально в этом плане не изменилось. Вероятность такого мошенничества (перевыпуск sim) увеличивается пропорционально количеству посредников — сотрудников салонов связи. Найти слабое звено в этой системе — дело времени. В крайнем случае, мошенник или его сообщник может сам устроиться на работу в офис мобильного оператора. В службах безопасности банков безусловно это понимают (если предполагать, что компетенция сотрудников соответствует занимаемым должностям). Почему в этом направлении ничего не делается – остается только догадываться.

Что не так с кодовым словом?

  1. Любая информация, которая передается в открытом виде кому бы то ни было (даже сотруднику банка) априори не может считаться конфиденциальной.
  2. Кодовые слова, в отличие от паролей, могут храниться в открытом незашифрованном виде.
  3. Для кодовых слов часто используют легкодоступную информацию (кличка животного, девичья фамилия и т.п.)

Что считать конфиденциальными данными?

По аналогии с предыдущим пунктом, конфиденциальными данными также не стоит считать номер карты или pin код:

  1. Номер карты может быть известен сотруднику банка. Недавно я получал карту в офисе одного из крупных банков. Карта была передана сотрудником банка в незапечатанном конверте. Аналогичный пример недавно упоминали здесь в каментах на vc и для другого банка.
  2. Номер карты или pin можно подсмотреть во время оплаты покупок.
  3. Карта может передаваться продавцу, в случае если не работает или отсутствует бесконтактная оплата.
  4. У многих банков существует услуга перевода средств с карты на карту, что как бы само по себе намекает на то, что эти данные не являются конфиденциальными. Для осуществления такого перевода я должен передать номер карты третьему лицу. Особо циничными в данном случае выглядят рекомендации банков никому и никогда не передавать номер своей карты. Возникает логичный вопрос – для чего вообще тогда банки предоставляют такую услугу? Для перевода самому себе? Если деньги нужно перевести на свой собственный счет или родственникам, можно использовать полные реквизиты, номер карты для этого не нужен.

Что считать или нет конфиденциальными данными похоже не понимают даже люди, считающие себя причастными к IT безопасности. Например, вот здесь (пруф) человек предлагает использовать секретные вопросы для восстановления пароля. При этом в каментах справедливо заметили, что уровень безопасности такого способа мягко говоря сомнительный. Я бы также не рекомендовал использовать такие системы, где эта функция в принципе существует.

Персональные данные тоже не являются конфиденциальными. В современный век бесконечных сливов наивно полагать, что узнать номер вашего паспорта или адрес — сколько-нибудь сложная задача. Кроме того, сливом данных зачастую занимаются сами сотрудники банков (пруф).

Антивирус? Шта?

Еще один пример весьма циничной рекомендации от банка, который мне попался совсем недавно — использовать антивирус на мобильных устройствах. Тут снова возникает много вопросов.

  1. Почему банк делегирует обеспечение безопасности сторонней организации (производителю антивируса)?
  2. Как много вы знаете людей, у которых установлен антивирус на мобильном телефоне?
  3. Антивирус не гарантирует абсолютную защиту от вредоносного ПО. Почему банк предлагает использовать такое средство, которое имеет неизвестную степень защиты?
  4. Банк в своих рекомендациях не предлагает никакой альтернативы. Допустим, клиент не хочет или не может работать с антивирусом (тем более, что это не бесплатно). Почему бы, например, не предложить ему ограничить операции по ДБО каким-нибудь лимитом?

Что должны сделать банки?

  1. Авторизация по кодовому слову не должна использоваться ни для каких критически важных операций (например, перевыпуск sim карты).
  2. Критичные операции производятся только через личный визит клиента в офис (замена sim карты, номера, оформление кредита). Привет, Тиньков!
  3. Использование скретч-карт, аппаратных генераторов кодов или ЭЦП.
  4. Возможность установки лимитов и ограничений по операциям с картами или через ДБО. Операции сверх лимитов должны использовать дополнительные средства защиты (скретч-карту), либо иметь временной период для возможности их отмены (например, 24 часа).
Скретч-карта (Википедия)

Что может сделать клиент?

  1. Не хранить больше одной зарплаты на карте, которая используется каждый день.
  2. Для остальных случаев завести отдельный телефон и sim.
  3. Установить запрет на действия по доверенности у оператора мобильной связи. В Билайне и Теле2 такая услуга есть, однако получить бумагу с подтверждением того, что запрет действительно установлен, мне не удалось. В офисе Билайна вообще сказали, что такая услуга у них в принципе не существует, хотя запрет в итоге все-таки поставили.

Что изменится в будущем?

Скорее всего, ничего. Пример желтого банка очень заразителен. Приоритет банков – удобный и доступный сервис, а безопасность это скучно, и ее сложно продавать. Типичный отзыв клиента на использование скретч-карты:

0
103 комментария
Написать комментарий...
L A

Уверен что часть подобных проблем решается двумя вещами:
1. Обязательный второй фактор кроме смс (пароль а ещё лучше 2FA)
2. галочка "запретить удалённое восстановление /регистрацию доступа с нового устройства" (то есть хочешь сбросить пароль — иди ногами в банк, новая  регистрация — зайди сначала с паролем и разреши её на час)*

+ я был бы раз подтверждать тремя факторами все операции перевода куда-либо каким-либо третьим фактором (голосом  или кодами с чеков).

* если банк супер-цифровой, то введи одноразовый пароль с карты которую привезёт представитель
** Только пожалуйста,  не как в ВТБ. Все галочки есть, но на вход в МП почему-то достаточно кода из смс. Решето.

+ бесит что смс-уведомления отключаются одной кнопкой и мгновенно. Оключайте через пару недель ё-моё.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
L A

нет, выпиливать не надо. Я за добавление как дополнительный фактор для ценителей 2FA(но  даже затрудняюсь предположить как это будет выглядеть юридически ). 

Ответить
Развернуть ветку
Axel Pervolianinen

У всего есть 2 стороны. С одной - защищённость повысится. С другой увеличится сложность, что однозначно увеличит число ошибок пользователей и негатив.
Учитывая что даже текущая система вызывает проблемы, в том числе мошенничество из-за недопонимания системы пользователями (да да, именно пользователя, который не хочет учится и думать, вот его и учат, так же как учат не писать в трусы в детстве). Усложнение системы, не сделает ее защищённее, если сейчас сообщают смс код, подтверждают операции и т.д. то как этому помешает дополнительный код?
Воровство же симок достаточно редко, облазиливесь интернет, 90% перевыпуска по доверенности касается симок любителей халявы, предоставленных по корпоративному тарифу или от компаний рога и копыта, где доверенность на операции получают у руководителя, на котором договор....

Ответить
Развернуть ветку
L A

Решение простое. Банк должен дать мне решить самому сколько факторов спрашивать кроме смс. Естественно для банка где хранится три копейки я отключу всякие усложнения, а где коплю на что-то важное, там наоборот — включу.
А в остальных случаях "настройки по умолчанию" среднестатистическому пользователю с остатками в пару зарплат вполне подойдут

Ответить
Развернуть ветку
Axel Pervolianinen

Угу. И тут образовывается ещё один интересный момент. 99,9% пользователей будут сидеть на настройках по умолчанию. А из-за 0,1 процента придется делать отдельную систему (вы же понимаете что введение доп защиты это не дополнительный модуль, а в корне другая система). Имеем усложнение всех продуктов, рост их стоимости, который предложат оплатить этому 0,1 %. Много сейчас платят страховку счета в том числе от телефонных мошенников, утраты документов и т.д.?

Ответить
Развернуть ветку
L A
> платят страховку счета в том числе от телефонных мошенников

только те, кто не читает её условия и лимит ответственности. Лимиты там типа 50к

> А из-за 0,1 процента придется делать отдельную систему

Это стандартное нытьё. Сделает один +- большой банк с прочими условиями "в целом по рынку" и через полгода-год это будет у всех.
Почему-то ничего не мешает банкам ради пользователей с большими балансами держать 1) отдельные офисы 2) отдельных менеджеров 3) отдельные тарифы 4) отдельные услуги, хотя их я думаю аналогично примерно 0.1%

Вот ВТБ. За год 2 раза зачем-то переделал мобильное приложение и ИБ, с нуля делает брокера, добавил в ИБ лимиты (которые реализованы погано и не от чего не защищают) и впилил в ИБ дофига "лайфстаил" сервисов.
Не может быть такого, что на это всё деньги есть, а на улучшение авторизации денег нет.
Маловероятно что втб хоть кто-то из клиентов где-то просил впилить лайфстаил, а вот сделать так, чтобы Б в аббревиатуре ВТБ не значило "безопашливость" просили и постоянно (беглый скрол банкиру в момент когда в мобильном приложении разобрали проверку пароля при сбросе доступа) подтвердил эту теорию.

Тинькофф аналогично, впилил дофига свистелок со спросом в 0.1% , даже авторизацию перевёл на openid (сессии в котором часто не закрываются если нажать "выйти" — к вопросу о).
Так что я и тут не верю, что нет возможности.
Просто эти все т.н. "продуктологи" с зауженным кругозором и областями ответственности бесконечно оторвались от реальности и пользователей не слышат.

Пока по тому, что есть в публичном поле (интервью всяких говоруном ртом) мне очень хочется надеяться что первым значимых успехов добьётся ВТБ.
Но тут как обычно. Кто-то говорит, а кто-то тихо-мирно делает. Удачи последним.

Открыто пинаю банки про безопашливость на всех платформах, надеюсь что фидбек хотябы заметят.

Ответить
Развернуть ветку
100 комментариев
Раскрывать всегда