Comments 12
создание единого домена с понятным названием для всех финансовых организаций позволит решить вопрос фишинга. Печатников считает, что клиенты будут видеть, что сайт официальный, поэтому пользоваться им безопасно
Про подмену ответов DNS товарищ ни разу не слышал? А она есть у доброй половины провайдеров, причем вполне официально.
Мошенники (по крайней мере те, которые звонят из "коллцентра Сбербанка") не имеют доступа к подмене ДНС. И ещё SSL сертификаты есть, их на подменённый хост нельзя получить.
Зачем им всё это, когда они заводят свой личный домен.
Им и не нужно, человек сам в свой банк зайдёт и будет это фин-бан или традиционный сайт в ком/ру/етц - не важно, главное для звонящего мошенника убедить человека совершить действия, которые приведут к переводу средств на прокси-карту, откуда они уйдут в неизвестно для банка/органов/жертвы направлении (перечитал - банка органов жертвы тоже хорошо вышло). Ну или добавить свой номер в банк жертвы, чтобы потом рулить самому, тут даже 2FA не поможет, человеки и такое умудряются делать (и удалять смс-ки, что только затрудняет разбор).
Мошенники (по крайней мере те, которые звонят из "коллцентра Сбербанка") не имеют доступа к подмене ДНС
А им и не надо. У них цель — либо «перебить» учетную запись под свой номер телефона, либо заставить человека самостоятельно что-то сделать в он-лайн банке (перевести деньги, взять кредит и обналичить). И то, и другое требует доступа в настоящий он-лайн банк по настоящему домену. Менять DNS будут те, кто получил или хочет получить доступ к компьютеру/телефону жертвы, тем более что:
И ещё SSL сертификаты есть, их на подменённый хост нельзя получить.
Это в теории. На практике теперь у банков самоподписанные сертификаты от минцифро-чего-то-там, которые меняются на раз-два. А если еще вспомнить, что эти сертификаты усиленно пиарятся, и всем предлагают их поставить будет вообще замечательно. Идем на сайт, который использует самодельный сертификат, и качаем с него другой самодельный сертификат, который требуют признать настоящим. В цепочке первый шаг — уже дыра: нельзя качать сертификат с сайта с самодельным сертификатом. А что там в «мобильных приложениях» с сертификатами происходит — вообще страшно представить.
Сколько умных и красивых слов! Сколько бюджетных денег было на этом освоено...
А я вот буквально 2 минуты назад столкнулся с упоминанием ЕГРН и полез посмотреть:
И это я ещё в курсе, что можно кликнуть на "подробнее", а потом "все равно перейти". Большинство пользователей видит нечто напоминающее 404-ую и просто закрывает вкладку.
Правильной дорогой идём товарищи!
Странно, что они вообще говорят о заявке в ICANN, а не просто добавляют эти зоны только внутри РФ. Это логично после введения своих сертификатов и шаг на пути "суверенного интернета"
ВТБ предложил перевести российские банки на единый домен верхнего уровня *.банк или *.фин