Современные банки — решето

Уровень сервиса в современных банках достиг небывалых высот. При этом одна из их основных функций — безопасное хранение денежных средств — давно потеряла свою актуальность. Не имеет значения, пользуетесь вы «Сбером» или модным банком без офисов, ситуация везде примерно одинаковая.

Сложились довольно порочные практика у банков и понимание ситуации у клиентов. Львиная доля мнений комментаторов на vc.ru сводится к тому, что клиент сам отвечает за свою безопасность. При этом не учитывается ряд важных моментов:

  1. Человеку свойственно ошибаться, мы не роботы. Человек, утверждающий, что его невозможно обмануть, либо лукавит, либо заблуждается.
  2. Клиенты очевидно имеют гораздо меньшую компетенцию в информационной безопасности, чем службы безопасности банков. Банк не предоставляет никаких дополнительных способов и инструментов для минимизации человеческого фактора.
  3. Защита лк банков зачастую не отличается от защиты какого-нибудь среднестатистического сервиса. Иногда она выглядит даже хуже. Например, стандартом в индустрии является пароль, который исключает словарные слова, включает дополнительные символы и имеет определенную длину. Некоторые банки позволяют входить в лк вообще без пароля (по номеру карты), либо по короткому паролю, или по паролю, состоящему только из цифр.
Современный подход к обеспечению безопасности

Невероятно, но такого же мнения придерживаются и в МВД (пруф). Хотя возможно, что это банальное перекладывание ответственности, и проблема кроется куда глубже. Например, в несовершенстве законодательства, по которому банк не разделяет ответственность за ошибочные действия клиента.

Анализ показывает, что одной из основных причин, способствующих дистанционным хищениям денежных средств клиентов кредитно-финансовых организаций, является непринятие службами безопасности банковских структур должных мер реагирования на сомнительные денежные транзакции. Как правило, вместо проведения полноценных проверок они ограничиваются фиксацией этих транзакций с последующим направлением материалов в правоохранительные органы.

МВД РФ

Прежде, чем продолжить, нужно сделать важное замечание. Оценку рисков того или иного события следует производить не только исходя из вероятности его возникновения, но и с учетом потенциального ущерба от него. Если вероятность события и потенциальная сумма потерь не велика, такой вероятностью можно пренебречь. Если сумма существенна, а ущерб от ее потери может быть значительным, то даже небольшая вероятность представляет серьезную угрозу. Кроме того, стоит учитывать, что количество средств на счету прямо пропорционально интересу мошенников к этому счету.

Поэтому, если у вас на счету хранится не более одной зарплаты, дальше можно не читать. Речь пойдет о более крупных суммах, потеря которых будет для клиента критичной.

Что не так с SMS кодами?

Возможность подтверждения операций по картам и ДБО появилась около 10 лет назад. Наличие посредника между клиентом и банком — серьезная уязвимость (например, sim карта может быть перевыпущена без ведома клиента). За все это время и до сих пор банки не сделали ровным счетом ничего для минимизации связанных с ней рисков. На примере этой и других проблем можно понять, на сколько банкам наплевать на вашу безопасность.

  1. Наличие между клиентом и банком посредника (оператора связи), который находится за переделами инфраструктуры банка и на которого банк никак не может влиять.
  2. Банк не отвечает за действия сотрудников сторонней организации (оператора связи).
  3. Низкая квалификация и низкая зарплата сотрудников салонов связи и как следствие – отсутствие мотивации на соблюдение требований безопасности.
  4. Низкий уровень безопасности в целом в салонах связи по сравнению с отделениями банков.
  5. Доказать преступный умысел в действиях сотрудника салона может быть весьма сложной задачей, если этот сотрудник действует грамотно. В лучшем случае такого сотрудника просто уволят.

И самое главное. Социальная инженерия и человеческий фактор — основной вектор атак мошенников и хакеров. Так было 20 лет назад во времена Митника, так остается и сейчас, ничего принципиально в этом плане не изменилось. Вероятность такого мошенничества (перевыпуск sim) увеличивается пропорционально количеству посредников — сотрудников салонов связи. Найти слабое звено в этой системе — дело времени. В крайнем случае, мошенник или его сообщник может сам устроиться на работу в офис мобильного оператора. В службах безопасности банков безусловно это понимают (если предполагать, что компетенция сотрудников соответствует занимаемым должностям). Почему в этом направлении ничего не делается – остается только догадываться.

Что не так с кодовым словом?

  1. Любая информация, которая передается в открытом виде кому бы то ни было (даже сотруднику банка) априори не может считаться конфиденциальной.
  2. Кодовые слова, в отличие от паролей, могут храниться в открытом незашифрованном виде.
  3. Для кодовых слов часто используют легкодоступную информацию (кличка животного, девичья фамилия и т.п.)

Что считать конфиденциальными данными?

По аналогии с предыдущим пунктом, конфиденциальными данными также не стоит считать номер карты или pin код:

  1. Номер карты может быть известен сотруднику банка. Недавно я получал карту в офисе одного из крупных банков. Карта была передана сотрудником банка в незапечатанном конверте. Аналогичный пример недавно упоминали здесь в каментах на vc и для другого банка.
  2. Номер карты или pin можно подсмотреть во время оплаты покупок.
  3. Карта может передаваться продавцу, в случае если не работает или отсутствует бесконтактная оплата.
  4. У многих банков существует услуга перевода средств с карты на карту, что как бы само по себе намекает на то, что эти данные не являются конфиденциальными. Для осуществления такого перевода я должен передать номер карты третьему лицу. Особо циничными в данном случае выглядят рекомендации банков никому и никогда не передавать номер своей карты. Возникает логичный вопрос – для чего вообще тогда банки предоставляют такую услугу? Для перевода самому себе? Если деньги нужно перевести на свой собственный счет или родственникам, можно использовать полные реквизиты, номер карты для этого не нужен.

Что считать или нет конфиденциальными данными похоже не понимают даже люди, считающие себя причастными к IT безопасности. Например, вот здесь (пруф) человек предлагает использовать секретные вопросы для восстановления пароля. При этом в каментах справедливо заметили, что уровень безопасности такого способа мягко говоря сомнительный. Я бы также не рекомендовал использовать такие системы, где эта функция в принципе существует.

Персональные данные тоже не являются конфиденциальными. В современный век бесконечных сливов наивно полагать, что узнать номер вашего паспорта или адрес — сколько-нибудь сложная задача. Кроме того, сливом данных зачастую занимаются сами сотрудники банков (пруф).

Антивирус? Шта?

Еще один пример весьма циничной рекомендации от банка, который мне попался совсем недавно — использовать антивирус на мобильных устройствах. Тут снова возникает много вопросов.

  1. Почему банк делегирует обеспечение безопасности сторонней организации (производителю антивируса)?
  2. Как много вы знаете людей, у которых установлен антивирус на мобильном телефоне?
  3. Антивирус не гарантирует абсолютную защиту от вредоносного ПО. Почему банк предлагает использовать такое средство, которое имеет неизвестную степень защиты?
  4. Банк в своих рекомендациях не предлагает никакой альтернативы. Допустим, клиент не хочет или не может работать с антивирусом (тем более, что это не бесплатно). Почему бы, например, не предложить ему ограничить операции по ДБО каким-нибудь лимитом?

Что должны сделать банки?

  1. Авторизация по кодовому слову не должна использоваться ни для каких критически важных операций (например, перевыпуск sim карты).
  2. Критичные операции производятся только через личный визит клиента в офис (замена sim карты, номера, оформление кредита). Привет, Тиньков!
  3. Использование скретч-карт, аппаратных генераторов кодов или ЭЦП.
  4. Возможность установки лимитов и ограничений по операциям с картами или через ДБО. Операции сверх лимитов должны использовать дополнительные средства защиты (скретч-карту), либо иметь временной период для возможности их отмены (например, 24 часа).
Скретч-карта (Википедия)

Что может сделать клиент?

  1. Не хранить больше одной зарплаты на карте, которая используется каждый день.
  2. Для остальных случаев завести отдельный телефон и sim.
  3. Установить запрет на действия по доверенности у оператора мобильной связи. В Билайне и Теле2 такая услуга есть, однако получить бумагу с подтверждением того, что запрет действительно установлен, мне не удалось. В офисе Билайна вообще сказали, что такая услуга у них в принципе не существует, хотя запрет в итоге все-таки поставили.

Что изменится в будущем?

Скорее всего, ничего. Пример желтого банка очень заразителен. Приоритет банков – удобный и доступный сервис, а безопасность это скучно, и ее сложно продавать. Типичный отзыв клиента на использование скретч-карты:

0
103 комментария
Написать комментарий...
Иванова Мария

Банки "Подматрасный", "Чулочный", "Свинка-копилка" - всем рекомендую для хранения денежных средств!)) А если серьезно, не понимаю вообще смысла хранить в банках сколько-нибудь серьезные средства в нашей стране. Уж лучше инвестировать в недвижимость, в образование себя и детей, в приобретение хорошей специальности, которая кормит. Деньги, это конечно хорошо, но они слишком уязвимы - они обесцениваются, их можно украсть, отобрать, и просто конфисковать по решению государства очень легко. 

Ответить
Развернуть ветку
Валентин Травин

Согласен, если есть серьезная сумма, то зачем ей бесполезно в банке лежать? Лучше куда-то вложить ну или весело и с удовольствием потратить))

Ответить
Развернуть ветку
1 комментарий
Д Хб

Какую хорошую специальность предлагаете приобрести? Присматриваюсь к судейской мантии. Что думаете?

Ответить
Развернуть ветку
2 комментария
art k

Достаточно законодательно закрепить срок отмены платежа в 30 дней, как это сделано в США (по крайней мере раньше). при отмене платежа, деньги возвращаются клиенту. Если получатель не согласен с отменой, то банк проводит расследование. если платеж отменил недобросовестный покупатель, то банк к нему применяется санкции. вплоть до возбуждения дела о мошенничестве. все. 

Ответить
Развернуть ветку
Natalia Shilina

Вот-вот. А у нас платеж сразу становится безотзывным, деньги ведь перечисляются мгновенно и оспорить такие операции нельзя.

Ответить
Развернуть ветку
Aleksandr Savelev

Когда получал карту в сбере мне тоже ее вынесли без конверта. На мой вопрос почему данные не сокрыты ответили типично. У нас все и так защищено) карты лежат просто так у человека в кабинете. Альфа банк аналогично передает карты без упаковки в открытом виде где видно cvc код. Получается что для них это стало обыденостью. 

Ответить
Развернуть ветку
Аккаунт заморожен
Автор

А в чем проблема?) В моем банке они, представьте себе, до сих пор актуальны. И слава богу.

Ответить
Развернуть ветку
Александр Никулин

Avangard удивил меня картой «с дисплеем» где встроен генератор разового пароля) думаю данная затея была не для того что бы сверкнуть «яйцами», а для жесткой защиты финансов своих клиентов.

Вы правильно подметили:

Поэтому, если у вас на счету хранится не более одной зарплаты, дальше можно не читать.
Ответить
Развернуть ветку
14 комментариев
L A

Уверен что часть подобных проблем решается двумя вещами:
1. Обязательный второй фактор кроме смс (пароль а ещё лучше 2FA)
2. галочка "запретить удалённое восстановление /регистрацию доступа с нового устройства" (то есть хочешь сбросить пароль — иди ногами в банк, новая  регистрация — зайди сначала с паролем и разреши её на час)*

+ я был бы раз подтверждать тремя факторами все операции перевода куда-либо каким-либо третьим фактором (голосом  или кодами с чеков).

* если банк супер-цифровой, то введи одноразовый пароль с карты которую привезёт представитель
** Только пожалуйста,  не как в ВТБ. Все галочки есть, но на вход в МП почему-то достаточно кода из смс. Решето.

+ бесит что смс-уведомления отключаются одной кнопкой и мгновенно. Оключайте через пару недель ё-моё.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
5 комментариев
Николай Лискин

Сбер блокировал счёт несколько раз когда оплачиваешь крупные суммы. Чтоб разблокировать нужно пройти семь кругов ада. 
Думаю что правоохранительные органы должны работать лучше, а не банки делать новые припоны законопослушным гражданам. Оставаясь безнаказанными мошенники пладяться и развивают новые схемы

Ответить
Развернуть ветку
John Doe
припоны
пладяться

facepalm

Ответить
Развернуть ветку
1 комментарий
Евгений Ветров

Гуляет видосик из правоохранительных органов, где за день 78 дел по телефонному мошенничеству на столе лежит у ОДНОГО опера. Вот и все правоохранительные органы... Одни бюрократы и начальники, работать некому.

Ответить
Развернуть ветку
1 комментарий
Аккаунт заморожен
Автор

В моем банке, если операцию считают подозрительной, как раз-таки запрашивают код со скретч-карты. Получается, что в вашем случае это будет наоборот удобнее.

Ответить
Развернуть ветку
23 комментария
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт заморожен
Автор

А в чем проблема?) В моем банке они, представьте себе, до сих пор актуальны. И слава богу.

Ответить
Развернуть ветку
9 комментариев
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Дмитрий Зубов

Гораздо меньше чем 10, кстати. Лет 5 назад еще точно пользовался.
Для доступа в онлайн банк печаталось 2 чека. Первый с постоянным логином и паролем, второй - 20 одноразовых. Причем получить можно было в любом банкомате, и при получении предыдущий чек автоматически аннулировался. Забыл дома, или не можешь найти - идешь до банкомата, получаешь новые и снова пользуешься интернет-банком.

Ответить
Развернуть ветку
Dmitry

Идет равнение на самых малограмотных пользователей. Поэтому типично: номер карты и смс, и все, полный доступ. Это объясняется еще и тем, что в РФ мало у кого вообще есть сбережения. Болбшинству и защищать нечего, а для оплаты ипотеки и жизни от зарплаты до зарплаты, хватит и авторизации по смс.

Странно, что нет хотя бы опций, например всегда требовать пароль, подключить нормальный второй фактор (вместо или в дополнение к смс). Подход "мы знаем как вам лучше", правда, если счета обчистят, банки сразу не при делах.

Ответить
Развернуть ветку
Александр Привалов
Приоритет банков – удобный и доступный

Я почти уверен, что здесь нет злого умысла (за исключением отдельных менеджеров и всего сбера, естессно). Люди недальновидны, люди нке знакомы с цифровой безопастностью, люди ленивы. Куда они пошлют банк, котором пароль 16 цифр, платежи более 10k - в отделение, обменять валюту - в отделение, каждый пятый платеж отклоняется, потому что вы не в том районе/ не в то время суток / не в том настроении. Разумеется, позвонить в банк и подтвердить не катит - в чем тогда смысл защиты? После каждой сомнительной операции банк считает карту скомпрометированной и заставляет перевыпускать в отделении в течение 3х дней (счет тоже блокируется, во избежание).

Опять-таки, даже если банки всё предложенное в статье введут, это тоже  панацея на время, надо постоянно работать над защитой. Видимо, банки должны за свой счет компенсировать все левые платежи. Тогда и проверка личности клиента на должный уровень выйдет (вплоть до алко-нарко-опьянений), и регирование будет моментальное.

Почему банк делегирует обеспечение безопасности сторонней организации

Если я не путаю, Сбер в свое время этим так затрахали, что они свой антивир пилят внутри своего приложения. Хотя, кроме проверки рута, он, по-моему, ничего не делает(((

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
1 комментарий
Николай Лискин

У меня на днях после обновления всех приложений антивирус сбербанка что-то нашёл. Не знаю на сколько это было критично, но при входе он сразу перекинул на проблему

Ответить
Развернуть ветку
Аккаунт заморожен
Автор

Я считаю, что скретч-карта как раз-таки могла бы решить часть из перечисленных вами проблем. Если банк считает операцию подозрительной – запрашивает код с карты. Если клиенту не удобно ей пользоваться, навязывать конечно не надо. Это могло бы быть доп. услугой для "параноиков", как выразились выше.

Ответить
Развернуть ветку
Анастасия Бероева

"Модный банк без отделений" - ну не такой уж он и модный, и заморочки свои есть)) Хотя в целом согласна, уровень безопасности во всех хоть сколько-нибудь крупных финансовых организациях далек от идеала.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
tag8n9

А нужно ли это клиентам? 90% людей потому и делают простые пароли, что не в состоянии запомнить сложные. 

Ответить
Развернуть ветку
Аккаунт заморожен
Автор

Как видите, я не стал выносить это в рекомендации. Хотя наверное, следовало бы.

Ответить
Развернуть ветку
Михаил Мишин

Надо реализовать запрет определенных действий (любых) через приложение доверенность проч дистанционные способы. Применительно к сберу. Просил установить запрет на возможность брать кредиты удаленно, отказали. У нас так не делается.

Ответить
Развернуть ветку
Art.Spark

все деньги мира, держаться на одном уровне роста ценности, и даже падают, вместо роста.
это манипуляция Ценностью, через емиссию.
ЦБ и Мировой банк, управляют емиссией правительств, указывая им что делать.

населению врут - обещают "стабильность",
в то время как должно быть развитие по +20-30% ценности в год, при полном решении вопроса бедности, голода и бездомных.

Ответить
Развернуть ветку
Art.Spark

очень интересно, ещё и минусуют )))

блет, что делают среди айтишников, стартаперов и криптанов,
люди которые незнакомы с теорией денег,
и законами эмиссии.
вот хули вы тут забыли, профнепригодные.

Ответить
Развернуть ветку
Ruslan Petrov

А зачем вообще накапливать деньги? Их нужно вкладывать в своё развитие,обучение, здоровье, в своих детей. Всю жизнь положить на зарабатывание какой-то суммы, а в конце что?!...

Ответить
Развернуть ветку
1 комментарий
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт заморожен
Автор

Сотрудники не должны иметь доступ к этим данным вообще. Они им не нужны (в отличие от кодового слова). На самой карте их также увидеть нельзя.

Ответить
Развернуть ветку
4 комментария
Cologne party

Это, конечно, все круто. Но автор явно не задумывался об экономике процесса. Все это имеет смысл, если кражи средств из-за прорех в безопасности действительно массовы, но скорее всего это не так. В таком случае банки просто должны сами нести материальную ответственность за безопасность своих клиентов (то есть тупо возвращать украденные деньги). Скорее всего, это будет дешевле, чем внедрять какие-то супер новороченные меры безопасности, либо терять клиентов из-за скретч карт из прошлого тысячелетия. И все будут довольны.

Ответить
Развернуть ветку
Ruslan Petrov

Можно нормальную двухфакторную аутентификацию сделать через Authy. То, что из прошлого тысячелетия, не означает что оно не работает. Если у людей мозги выключены и большинство в розовых очках, это не означает что думающее меньшинство должно лишаться безопасности. Если люди на телефоне только фоточки в инстаграм делают и не понимают в принципе что такое безопасность, нечего тогда на него банковские приложения ставить, а банкам под это подстраиваться. Банки ведь не магазины, верно? Они деньги хранят, а не пирожные продают.
Реально бесит это всё! Почему я должен лишаться безопасности из-за этого?!
Пускай банки сделают хотя бы ВОЗМОЖНОСТЬ включения нормальной безопасности для тех кто понимает что это такое вообще, в чем проблема?!

Ответить
Развернуть ветку
Аккаунт заморожен
Автор

Скретч карту можно сделать в виде доп. услуги, за деньги

Ответить
Развернуть ветку
Николай Лискин

Del

Ответить
Развернуть ветку
Енотик Полоскун

Так банки специально делают так чтоб его клиентов грабили ,а банк ответственности не нёс . Эта страна конченная, такими кто так делает.

Ответить
Развернуть ветку
Andy Tsar

Банки сами провоцируют клиентов хранить деньги на карте напр для платежей по кредиту. Оказывается банк не может снять деньги со сбер счета

Ответить
Развернуть ветку
Ruslan Petrov

Продублирую, возможно уже было, на всякий случай.

https://www.kaspersky.ru/blog/2fa-practical-guide/21495/

Ответить
Развернуть ветку
Аккаунт заморожен
Автор
Ответить
Развернуть ветку
100 комментариев
Раскрывать всегда