Comments 36
Старший инспектор полиции Тайлер Чан Чи-Винг сказал, что существует несколько способов проверить реальность личности человека на видеовстрече. Так, его можно попросить покрутить головой, а также ответить на вопросы, ответы на которые может знать только он.
Покрутить головой... хотя давно уже существует сильная криптография, цифровые подписи, PGP и прочее, что позволяет однозначно верифицировать подлинность сообщений.
А видеоконференции не нужны. Расходуется в тысячи раз больше трафика по сравнению с текстовыми сообщениями, и все ради того чтобы передавать абсолютно бесполезную с точки зрения предметной области информацию - внешний вид чьих-то рож.
Ну вот раньше внешний вид/голос и был простым, довольно надежным средством верификации говорящего, без нужды разбираться во всей этой сильной криптографии, подписях и PGP. Т.е. без владения технологиями, которые относятся к миру специалистов ИТ-шников, но никак не управленцев и владельцев компаний.
А теперь всё...
Покрутить головой... хотя давно уже существует сильная криптография, цифровые подписи, PGP и прочее, что позволяет однозначно верифицировать подлинность сообщений.
Об этих вещах в целом знает относительно мало людей, а правильно пользуется еще меньше. В целом можно вспомнить, что разводы с звонками "следователей", "сотрудников" банков, "наследников королей Нигерии" и т.д. до сих прекрасно работают, а вы говорите про PGP и сильную криптографию.
А видеоконференции не нужны. Расходуется в тысячи раз больше трафика по сравнению с текстовыми сообщениями, и все ради того чтобы передавать абсолютно бесполезную с точки зрения предметной области информацию - внешний вид чьих-то рож.
Я например тоже не фанат видеоконференций, но как показывает практика, для многих людей это важно видеть лицо собеседника, некоторым нравится показывать своё лицо. Можно заметить на примере "кружков" в тг, есть знакомые которые вместо того чтобы записать голосовое отправляют видео в котором есть только голова, т.е. смысла в видео вообще 0 (лично с моей точки зрения), но для них в этом есть смысл.
наследников королей Нигерии"
не было смешно если бы. мне кузен не спрашивал про емейл от каких то "нигерийских" родственников с наследством и что делать, на мои что это мошенники - он отвечал: - но почему не попробовать, с меня они ведь ничего не возьмут...
вместо того чтобы записать голосовое
записать голосовое
Хосспаде, как же я ненавижу таких аааааа!!1111
уже существует сильная криптография, цифровые подписи, PGP и прочее
Как же все просто, оказывается, когда живешь в идеальном мире, где люди всегда выключают компьютер (или несут его под мышкой), отлучившись в туалет, никогда не скажут код разблокировки своего телефона, даже сидя в подвале неделю без еды и с ежедневными пытками, пароли и секретные ключи все назубок помнят (полностью уникальные в рамках всех сервисов, которыми пользуются, конечно же), и, поэтому, даже в страшном сне им не придет в голову забекапиться на бумажку!
Пока ещё пытать и делать дипфейки совершенно разного уровня профессии.
В этом и суть, что, когда строишь реально безопасную систему, то необходимо строить процессы так, чтобы взлом был возможен исключительно, обладая компетенциями в ряде сильно некоррелирующих сфер (например, это хакерство, и дипфейки, и те же пытки одновременно)
даже вот в описываемом случае работала команда из нескольких человек .. разных.. профессий
Наверняка даже с криптографией мошенники что-нибудь бы придумали. "У меня сломался диск, на котором хранился закрытый ключ, пришлось перегенерировать, вот мой новый открытый ключ..."
В таком случае человек не должен иметь возможности даже подключиться к любым другим контактам организации, кроме единственного внешнего (допустим, службы безопасности). В идеальном мире, конечно же:)
Ну это же не должно так работать... зачем все эти ключи, меры безопасности и прочее если прослойка между компом и креслом опять всё на доверии приняла? Нужна верификация личности, в идеале для всех сотрудников или хотя-бы для тех кто имеет какие-то критично важные доступы
Аутентификация по данным, которые точно знает собеседник, но маловероятно, что знает атакующий. Например, позадавать вопросы по таймлайну последних совместных событий собеседника с вами (желательно в реальном времени).
Вобщем, использовать слабую сторону атакующего - ограниченность в объеме информации и скорости доступа к ней.
Особенно когда созвон по делу - обсудить рабочие моменты и тут руководитель требует что бы все включили камеры....
Проблема не в том, что предпринять, чтобы не быть обманутым, а в том организационном балагане, где можно проводить СЕКРЕТНЫЕ, мать их, транзакции под честное слово начальника. Хотя мог бы сказать "без проблем, ща всё будет" и провести из запросом через бухгалтерию и фин мониторинг, а морду кирпичом сделать.
для такого поведения сотрудник должен быть менее финансово и вообще зависим от компании и начальника, чтобы не бояться отстаивать свое мнение и работать по регламентам даже тогда, когда руководство приказывает обратное. В капитализме такого наемного работника никто нанимать не будет - он слишком дорог и неудобен. Это вообще практически невероятное поведение для наемного работника, потому что мотивацией и целью его работы является отнюдь не правильность и качество выполняемой работы, а наоборот, качество является лишь промежуточной целью на пути к зарплате, и целью является сама зарплата, получение которой целиком зависит от начальника.
В условиях, когда работник социально защищен, уверен в собственном будущем и не зависит от начальника - да, такое возможно. Например, у меня в советское время мать работала инженером-экономистом в стройтресте, и начальник потребовал от нее подписывать липовые сметы. Так как тарифная сетка по всему СССР была одинаковая, безработицы не было, был и профсоюз, и партком, и трудовая инспекция, и у начальника не было никаких механизмов давления на работника, она его слала в далекие дали и продолжала еще несколько лет работать. Когда начальник попытался ее подставить, просто прошла в партком и рассказала как оно есть. Начальник зону топтать не пошел, но спешно перевелся в СМУ прорабом. Вообще, в СССР зависимость работника от начальства была практически никакая. У меня дед в свое время, будучи инспектором районо, очень свободно пообщался на повышенных тонах с замминистра образования на одной из конференций в области. И ничего ему не было, начальство не воспринимали как небожителей.
Представляю как рядовой сотрудник просит директора и других участников покрутить головой и помахать руками. Если на том конце реально дир сидит, то думаю он прощально помахает ручкой этому сотруднику.
Скоро все дипфековые софтики начнут в начале звонка автоматически трясти хаерами и руками перед условными лицами, и все будут убеждаться в самом начале, что звонят знакомые родственники…
Так разве прежде чем платежка отправится в банк его не должен заверить второй человек. Даже если $25 млн поделить на 15 получается в среднем $1,6 млн.
А что этот второй должен заверить, если первый ему говорит, что звонил Петрович, просил провести платёжки? Если первый это главбух, а второй рядовой бухгалтер. Мне что-то кажется, что случай когда рядовой перезвонит директору, чтобы подтвердить поручение, выглядит в нашей жизни не реальным.
В суровом финансовом энтерпрайзе все проще и сложнее одновременно. Формируется реестр платежей на дату по заявкам бизнес-подразделений. Каждая заявка оформляется, согласовывается и акцептуется расчетным подразделением (и обычно это казначейство, а не бухи, те занимаются чисто отражением реальности в отчетность). Если срочно или секретно - пофиг, процедура для всех одна - могут только сказать согласовать вне очереди или включить в ближайший реестр, в который обычный платеж уже не включат.
Поэтому каждый платеж смотрит 3+ человека и такого произойти не может. А платеж на реквизиты контрагента, с которым нет договоров и который не включен в SAP/1C - уйдет не в реестр, а безопасникам сразу же.
Должен. Вообще работа должна организована быть, а не по звонку левой ноги миллионы должны лететь
Как эта шарашка вообще доросла до уровня миллионов, если сотрудник может просто так перевести деньги непонятно куда? Тут пока счет на тыщу-две оплатят пачку документов надо (кому, на каком основании, кто разрешил), а у них обычный сотрудник миллионы непонятно кому переводит.
Ладно если сотрудник еще доверенный, но все равно риск если один человек это может провернуть: допустим он преданный, но у него есть семья или другие способы надавить на него.
Например банда взяла в заложники семью и привет, потекли миллионы. Так что полномочия должны размазаны быть на много человек, чтоб всех сразу не прижать и не было смысла захватывать одного из них.
Даж в кино вход в хранилище по двум ключам с разных сторон двери показывают, а тут детский сад, взял и перевел 25 млн$.
А вот знаете, это больше походит не на "бедного сотрудника обманули дипфейком", а на "хитрый сотрудник придумал сказочку и стырил деньги". Сперва морозился, что не делал платёж. Потом - на тему "секретного приказа начальства". Потом придумал что был созвон. Когда и это не прокатило, выставил себя жертвой и придумал байку про дипфейк.
Ведь то, что созвон вообще был, и что на нём происходило - видел только наш юедненький сотрудник...
А что потом с этими деньгами происходит? Вроде всё в пределах одной страны, и мне не хочется верить, что перевести лям на р/с - это то же самое, что потерять кошелёк и не видеть, кто его нашёл...
Последнее время этот способ в трендах. Даже Тинькофф посыпался на ДипФейках.
Было:
—Бабушка, почему у тебя такие большие зубы?
Стало:
—Бабушка, покрути головой из стороны в сторону.
Компания потеряла $25,6 млн из-за обмана сотрудника по видеосвязи