Pull to refresh
15
0

Пользователь

Send message
Способов много. Очень. Основной критерий — авторизация должна быть двухфакторной (как минимум):
1. что-то, что вы знаете/помните (логин-пароль);
2. что-то, чем вы владеете физически (токен, смска на телефон, скретч-карта с одноразовыми паролями...).

Ни один из этих способов не дает стопроцентной гарантии защищенности. Любую из имеющихся на данный момент защит можно обойти. Как правило, из-за безалаберности пользователя.

Давайте рассмотрим доступные средства защиты и то, как мошенники их обходят.
1. Логин-пароль.
Фишинговые сайты, подбор паролей, перехват пароля (атака man in the midle — несколько организаций сидят в одном бинес-центре и выходят в инет с одного роутера. Умный админ одной из контор ставит «правильную» прошивку на роутер...), кейлогеры и прочее, прочее, прочее…

2. Смс-пароль.
Злоумышленник получает дубликат симки и получает смску вместо вас. Когда вы замечаете, что ваш телефон не работает — уже, как правило, поздно. Как получить дубликат чужой симки — читай «Искусство обмана» К.Митника, применяй харизму, находчивость и шоколадку.

3. Скретч-карты с одноразовым паролем (это карточка, на которой много-много одноразовых паролей заклеены стираемой полосой). Пользователь видит сообщение «введите пароль №99», стирает защитный слой, вводит пароль. При следующей операции видит «введите пароль №98», стирает защитный слой, вводит пароль.
Злоумышленник запускает на компьютере жертвы вирус (что-то вроде прокси сервера на яве), встроенный прямо в браузер. Пользователь входит на сайт банка, сайт просит ввести пароль №99. Вирус перехватывает этот пароль, запоминает его и выводит пользователю сообщение «ошибка, введите пароль №98». Пользователь вводит и этот пароль. Далее вирус пускает пользователя в систему ДБО, скормив сайту пароль №99 (а 98-й пароль вирус помнит! и использует его для своих нужд). При любом действии пользователя вирус знает как минимум один следующий пароль.
То же самое с брелками, которые выводят одноразовые пароли.

4. Аппаратные ключи.
Тут все совсем просто. Пользователи обычно вставляют его в USB порт и больше никогда не вынимают. Злоумышленник запускает вирус (что-то вроде Radmin'a). Дожидается, когда пользователя не будет за компом и делает все, что надо.
5. Какое-то подобие аппаратного ключа с дисплеем — он выводит реквизиты платежки и на ее основании генерирует переменный код.
Тут все дело в внимательности. Кто из вас помнит свой номер счета наизусть? Узнаете его, увидев на экране? (на ввод переменного кода у вас всего 60 секунд).

Дело осложняется нетривиальными случаями: системой ДБО может пользоваться организация, а не физическое лицо. День зарплаты. Отправляется много платежек. Проверять их все на маленьком дисплее — убиться можно. Вводить переменный код на каждую платежку — дня не хватит. Получать смс — некоторые организации (маленькие магазинчики) находятся в подвалах, где сотовый не ловит.

Таким образом все банки понимают, что они не могут гарантировать стопроцентную безопасность своим клиентам. Они лишь могут быть чуть более безопасны, чем банки-конкуренты. Если есть банк, у которого нет всех этих защит, то его сломать будет проще и мошенники будут специализироваться именно на нем. Так что это игра в перетягивание одеяла.

В любом случае, мы своим клиентам рассказываем про самый идеальный и безопасный вариант — отдельный ноутбук, на котором файерволом закрыты подключения на все адреса кроме адреса банка. Операционкой стоит «невинда» (если софт конкретного банка и софт организации позволяет). В этот ноут не втыкаются флешки для «ой я тут фоток принесла, щас покажу». Ноут лежит в сейфе. С него только отправляются платежки в банк. Это не во всех организациях возможный вариант работы, но он наиболее труден для злоумышленников.

Information

Rating
Does not participate
Location
Беларусь
Registered
Activity