Интернет-банки — шаг вперед или просто дань моде?

+6569 Валерий Овсий Researcher, Москва 16 апреля 2019, 17:42

Дмитрий Ляшенко пишет:
доходчиво рассказали/ может даже убедили о том, что надёжно

Как не странно Ваш вопрос подразумевает очень многозначный ответ.

Если его упростить до следующего: " насколько надежно можно хранить деньги( как физ.лица) на счету в банке.

Отвечаю:

1. На ~90% сохранность Ваших денег зависит лично от ВАС!! От Вашего образа жизни, какие финансовые операции Вы совершаете со своим счетом, какое сторонние программы Вы используете, и т.д. (список длинный).

2. На ~4-8% сохранность зависит от действий государства. Это банкротство банка или иные действия ограничивающие операции банка со счетавми физ.лиц.

3. Меньше 1% от неправомочных (преступных) действий сотрудников банка.

4. От действий так называемых "хакеров", если конечно Вы им не "помагаете" (см.п 1) вероятность близка к нулю. Без Вашей "помощи" взлом защиты даже у маленького банка стоит ОЧЕНЬ дорого для "взломщика" .

+8671 Михаил Лурье Инженер-конструктор, Санкт-Петербург 16 апреля 2019, 18:05

Пару слов на смежную тему. По вторникам, утром на Санкт-Петербургском радио есть короткий сюжет с комментариями начальника отдела по борьбе с мошенничеством ГУВД СПб и ЛО.

Так вот сегодня он отвечал на вопрос слушательницы о том, что у нее при возврате товара взяли копию паспорта и ИНН, почему это сделали и нет ли какой-то для нее опасности.

Почему взяли он заочно комментировать не стал, но сказал, что по этим данным можно открыть интернет-магазин и мобильный номер на ее имя, а потом собрать деньги с граждан и она может оказаться крайней.

+3910 Дмитрий Ляшенко Директор по маркетингу, Москва 16 апреля 2019, 18:29

Валерий Овсий пишет:

Дмитрий Ляшенко пишет:
доходчиво рассказали/ может даже убедили о том, что надёжно

Как не странно Ваш вопрос подразумевает очень многозначный ответ.

Если его упростить до следующего: " насколько надежно можно хранить деньги( как физ.лица) на счету в банке.

Отвечаю:

1. На ~90% сохранность Ваших денег зависит лично от ВАС!! От Вашего образа жизни, какие финансовые операции Вы совершаете со своим счетом, какое сторонние программы Вы используете, и т.д. (список длинный).

2. На ~4-8% сохранность зависит от действий государства. Это банкротство банка или иные действия ограничивающие операции банка со счетавми физ.лиц.

3. Меньше 1% от неправомочных (преступных) действий сотрудников банка.

4. От действий так называемых "хакеров", если конечно Вы им не "помагаете" (см.п 1) вероятность близка к нулю. Без Вашей "помощи" взлом защиты даже у маленького банка стоит ОЧЕНЬ дорого для "взломщика" .

А что и в какой процентовке от общего числа зависит от IT компании, устанавливающей операционный и защитный софт?

+3714 Константин Куликов Глава филиала, регион. директор, Магнитогорск 16 апреля 2019, 18:59

Валерий Овсий пишет:
Отвечаю: 1. На ~90% сохранность Ваших денег зависит лично от ВАС!! От Вашего образа жизни, какие финансовые операции Вы совершаете со своим счетом, какое сторонние программы Вы используете, и т.д. (список длинный). 2. На ~4-8% сохранность зависит от действий государства. Это банкротство банка или иные действия ограничивающие операции банка со счетавми физ.лиц. 3. Меньше 1% от неправомочных (преступных) действий сотрудников банка. 4. От действий так называемых "хакеров", если конечно Вы им не "помагаете" (см.п 1) вероятность близка к нулю. Без Вашей "помощи" взлом защиты даже у маленького банка стоит ОЧЕНЬ дорого для "взломщика" .

Извините, Валерий, не могу согласиться с этой статистикой. Какая-то она сильно оптимистичная.

Во-первых, всё очень сильно зависит от общего состояния экономики. Банковские вклады в СССР в 1980-е хранились 100% надёжно, а в 1990-е 100% же пропали — легально обесценились. И с тех пор ко всем банкам, как к частным конторам полного доверия нет. Но есть более стабильные крупные и менее — мелкие.

Вероятность вредоносных действий государства оценить затрудняюсь, но явно больше 8 %. Что хотят, то и делают. Давно ли рубль вдвое «уронили»? Заморозить пенсионные вклады — вообще милое дело. Ну, и банку любому всегда могут руки выкрутить.

Далее ВСЕ популярные операционные системы дырявые, как решето. Настолько, что правильнее под банковские операции держать отдельную систему/компьютер. Универсальный же компьютер, которым многие из экономии пользуются для всего сразу, будет заражён практически 100%. Вопрос лишь когда. Ну, и компьютерная грамотность в массе — нечто смехотворное.

Насчёт струдников банка тоже не знаю. 1% сильно нереальная цифра. Вообще, без вольной или невольной помощи изнути банка взлом действительно сильно затруднён, но затроянить смартфон или персоналку сотрудника совсем несложно. Потом можно организовать любой ложный звонок и т.д. А рабочие инструкции нарушаются повсеместно.

Например, в одной из обслуживающих банк программистких организаций с одной стороны — пропускной контроль и турникеты, с другой — вечно открытая для курильщиков дверь во внутренний двор без охраны. А попасть в этот внутренний дворик легко из соседних зданий.

В общем, «желающих» помочь хакеру обычно предостаточно. И со времён Митника тут мало что изменилось.

Так что ломают и карты, и банки. И вовсе не через лобовую атаку файерволла, как тут некоторые ноубрейнеры фантазируют. Есть и социальная инженерия, и уязвимости нулевого дня, и скриптовые дыры между интерфейсами нормальных по отдельности систем… В общем, полагаю, доля хакеров куда выше. Насколько — как не профи не знаю.

Однако, прибыль банков обычно достаточна, чтобы списывать и прятать эти потери, сохраняя репутацию. Так что на пользователях это практически не отражается. А вот с карты увести средства способов масса. Описывать не буду, специалисты в курсе.

Желающих быть немного в курсе отсылаю к популярному у молодёжи журналу Xakep, где многие вещи регулярно описываются вполне понятными намёками «в чисто образовательных целях».

Ну, а остальные могут продолжать молиться всемогущему KIS под Windows. )))

+6569 Валерий Овсий Researcher, Москва 16 апреля 2019, 19:13

Дмитрий Ляшенко пишет:
А что и в какой процентовке от общего числа зависит от IT компании, устанавливающей операционный и защитный софт?

По п.1

Разрабатываются и вставляются в пользовательский интерфейс небольшие системы, которые мы называем "защита от дурака" (foolproof).

По п.2

Есть группа контрольных отчетов о финансовой деятельности банка, которые "предупреждают" о возможных санкциях регуляторов (Цент.Банк, налоговая ...). А дальше все на совести руководителей банка и регулятора.

По п.3

Разрабатываются специальные контролирующие, "подсматривающие" системы слежения за действиями сотрудников, органичения их доступа к данным и операциям и т.н. (модный тренд) - Искусственный Интеллект (фигня конечно, но звучит!)

По п.4 Это самый сложный и специфичный пункт. Обсуждать не имеет смысла т.к. требует специальные знания и лицензию ФСБ (у нас есть ;-))

+6569 Валерий Овсий Researcher, Москва 16 апреля 2019, 19:29

Константин Куликов пишет:
не могу согласиться с этой статистикой. Какая-то она сильно оптимистичная.

Это Ваше право. Только я уточню, что я привел не статистику. Ее просто ни один банк НИКОГДА не опубликует.

Я привел некоторые эмпирические данные из своего опыта рабоы с банками.

+3910 Дмитрий Ляшенко Директор по маркетингу, Москва 16 апреля 2019, 21:32

Валерий Овсий пишет:
По п.4 Это самый сложный и специфичный пункт. Обсуждать не имеет смысла т.к. требует специальные знания и лицензию ФСБ (у нас есть ;-))

Вашу с систему ломали? (подозреваю, что все приличные системы периодически подвергаются атакам, а то и взломам) . Она же может запеленговать уникальный(т е не подставной) IP взломщика ? Если да, то как быстро?

Я так понимаю, что основной момент в правильной маскеровке IP взломщика. Потом только уже идут в ход ломы.

Проще говоря, Валерий Иваныч, сколько у нас ребятами времени есть, если мы в России??))) )

+6569 Валерий Овсий Researcher, Москва 16 апреля 2019, 22:50

Дмитрий Ляшенко пишет:
Она же может запеленговать уникальный(т е не подставной) IP взломщика ?

Мы не занимаемся расследованием. Если переходить на бытовой язык то мы делаем замки, а не ловим взломщиков и воров. Этим занимается служба безопасности. Там есть свои методы и инструменты.

+3714 Константин Куликов Глава филиала, регион. директор, Магнитогорск 17 апреля 2019, 10:41

Дмитрий Ляшенко пишет:
Проще говоря, Валерий Иваныч, сколько у нас ребятами времени есть, если мы в России??))) )

Вагон и маленькая тележка. От размеров вашей бот-нет зависит. ;)

Дмитрий Ляшенко пишет:
Она же может запеленговать уникальный (т е не подставной) IP взломщика?

Нет, конечно. Кто ж сейчас напрямую-то коннектится?

Допустим, высветился IP районного провайдера, а провайдер (в автоматическом режиме, без своего ведома) сообщил, что запрос пришёл с конкретного компьютера из кабинета заведующей детского сада. Что дальше?

+3714 Константин Куликов Глава филиала, регион. директор, Магнитогорск 17 апреля 2019, 11:07

О, Равиль, наконец, проснулся, умылся-причесался, за любимую работу взялся — очевидные вещи на форумах минусовать (больше ничего не умеет).

Доброе утро! (В Уфе-то день на дворе, пора уже.)

И с чем же Вы здесь в этот раз несогласны, Равиль? Потешьте Вашей профессорской «мудростью», не жадничайте. Вы знакомы с принципом действия ботнет?

+349 (Редакция) Модератор Менеджер, Москва 22 апреля 2019, 19:27

Уважаемые участники,

Сообщения, нарушающие Декларацию Сообщества, удалены.

+3180 Андрей Роговский Консультант, Украина 24 апреля 2019, 06:31

Дмитрий Ляшенко пишет:

Равиль Загидуллин пишет:
Да, серьезно. Пройдите через настроенные брандмауэры, через VPN, тогда поговорим

Т. е. Вы искренне считаете, что никто этого сделать не сможет?

Хочу посмотреть, как хаккер-недотыка будет пытаться ломануть MFA, который привязан к аппаратному токену.

+340 Виктор Шкурин Директор по продажам, Санкт-Петербург 24 апреля 2019, 09:57

Андрей Роговский пишет:
Хочу посмотреть, как хаккер-недотыка будет пытаться ломануть MFA, который привязан к аппаратному токену

не знаю, что це таке, но вот новостишка 2018 года вроде в тему, чего то там с микрософт и двухфакторной авторизацией

“”Обход возможен благодаря уязвимости в службе ADSF (Active Directory Federated Services). Как пишет SecurityLab, проблема позволяет злоумышленнику повторно использовать один и тот же токен для авторизации от имени легитимного пользователя. Хакер может использовать ранее перехваченный ключ, так как система аутентификации ADFS не проверяет соответствие данных при получении запроса на доступ.

Киберпреступнику нужно одновременно отправить 2 запроса на авторизацию от лица двух разных пользователей. Затем, необходимо найти MFA-контекст одного из пользователей, который подтверждает ввод дополнительного ключа.

Проблема заключается в том, что актуальность данного файла определяется файлом cookie, однако операционная система не соотносит контекст с именем пользователя, позволяя злоумышленнику отправить данные одного пользователя с cookie-файлом другого, после чего авторизоваться.

На данный момент Microsoft выпустила исправления, которые решают эту уязвимость.”

+340 Виктор Шкурин Директор по продажам, Санкт-Петербург 24 апреля 2019, 10:02

а из общих соображений: все непрямые связи защищены настолько, насколько их защищает посредник связей.

+3910 Дмитрий Ляшенко Директор по маркетингу, Москва 24 апреля 2019, 16:10

Андрей Роговский пишет:

Дмитрий Ляшенко пишет:

Равиль Загидуллин пишет:
Да, серьезно. Пройдите через настроенные брандмауэры, через VPN, тогда поговорим

Т. е. Вы искренне считаете, что никто этого сделать не сможет?

Хочу посмотреть, как хаккер-недотыка будет пытаться ломануть MFA, который привязан к аппаратному токену.

Андрей, видите же, что я не ITшник.

Но вот простая логика мне знакома. Если например, лично Вы ставите защиту. Наверняка же сами её открыть и сможете. А если нет, то, возможно Ваш более опытный коллега, возможно даже сосед по кабинету, это сделать сможет)

Её могут не ломать, потому, что не интересно или не рентабельно. Если проводить аналог с офлайн. Например, как объект Форт Нокс. Его тоже можно взять небольшой карманной армией. Только это неинтересно, потому, как там давно уже ничего нет, а если и есть, то в минимальных количествах.

100% гарантий никто никому никогда не даст, как и в любом бизнесе.