Комментарии 39
Правда для этого жалобы в ЦБ надо писать, а не на форумы в интернете.
А в ЦБ какой-то не типичный для нашего банковского сектора инфобез?
Как-то общался с безопасниками одного банка-оператора, принёс им информацию о том, как можно вытаскивать данные и деньги клиентов. Прошло более полугода, проблемы остались: у них то Новый Год, много дел, то Ковид, ещё больше дел.
Во-первых каждый должен заниматься своим делом. Банкиры — банком, ОпСоСы — связью. Иначе и то и другое будет через жопу. Что мы собственно и имеем.
Во-вторых МТС-Оператор и МТС-Банк это наверняка разные юрлица имеющие из общего только часть названия и, возможно, учредителей. Поэтому даже если ЦБ за что-то там возьмётся, то это будет касаться банка, а оператора это коснётся скорее всего чуть более чем никак.
Но в любом случае в каком-нибудь МТС-Банке, Билайн-Банке, Мегафон-Банке и т.д. лично я бы свои сбережения держать не стал. Такие банки могут быть удобны и иметь интересные плюшки для повседневной деятельности. И там можно держать немного денег постоянно докидывая. Но основные сбережения лучше держать в каких-то менее [ругательным тоном] инновационных банках, где операции подтверждаются не через SMS, а карточкой с одноразовыми паролями например. Лично моё мнение.
Правда это всё не поможет если система устроена так, что идиот в коллцентре по телефонному звонку может поменять привязанный номер, а так же подключить подтверждение по SMS если оно даже выключено. Но это просто уже клиника.
который научит их настоящему инфобезу, а не то что у них там сейчас.
Похоже ЦБ МТС Банк ничему не научил!
Я когда стал клиентом указанного банка пользовался одним номером телефона, в их приложении есть возможность видеть свои "счета на оплату": ЖКХ, штрафы и т.п.
В мае этого года я зашёл офис банка и попросил изменить мой номер. Они это сделали, спустя пару месяцев я понял что перестал видеть счета на оплату в приложении. Написал в поддержку, завели кейс. Через 3 дня написали, что всё починили!
После этого в списке на оплату ничего не появилось. Пишу снова в поддержку, они мне отвечают: добавьте реквизиты по оплате ЖКХ и т.п. снова! Типа у них в приложении банка, можно заходить с нескольких номеров привязанных к моему счету!!!!
Я в приложении вижу только свой актуальный номер, старого не вижу. Хорошо у меня SIM-карта стоит в роутере на даче! А злоумышленники получат симку?
Вот только связь МТС пропала сразу после вылета
+1, все тоже самое когда я ездил в Польшу, связь пропала прямо на границе… вообще «нет сети»
Когда вернулся в поддержке ничего внятного ответить не смогли (не в смысле — у вас там чтото не хватало, да вы не туда галочку не поставили… а буквально дословно «да, и действительно связи у вас не было, не знаю почему, давайте оставим звявку»), ушел от них к другим
1) Во-первых, банк сам решает, кому доверять списание ваших денег без любых подтверждений: где-то это может быть ограничено 1,5к, но у меня бывало, что и 3к уходили без единого подтверждения по смс. Т.е. вдумайтесь — банк решает, кому доверять списание ваших денег без подтверждения, не вы!
2) Во-вторых, в случае кражи денег банк их должен возместить из своих денег и поэтому банк начинает подыгрывать на стороне мошенников, а не своего клиента. Мол «у вас есть справка, что вы не верблюд? нет? ну тогда деньги не вернем».
3) Слияние банка и оператора — это вообще адская смесь, т.к. обнуляет любой смысл двухфакторной авторизации. Ведь любой сотрудник такой компании может одновременно и иницировать платеж, и перехватывать любые подтверждающие смс (причем даже не доставляя их клиенту).
Думаю, мир должен прийти к обязательной подписи транзакции ключом клиента. Когда деньги не могут никуда сдвинуться без этой подписи, а любое движение без нее — автоматически признается мошенничеством с участием банка. Ключи, что вполне логично, должна выдавать другая независимая организация.
Поправьте, если не прав.
По факту деньги могут списать (физически) прямо сразу, если вы оплатите до окончания банковского дня и между этими банками отдельный договор по ускоренным взаиморасчетам.
Но сам же и понимаю ответ. В этом случае, вся ответственность за взыскание средств ложится на банк получатель (который, не причем, т.к. пришел приход, который он обязан положить на счет), а не отправителя (допустившего эту лажу).
Во первых при смене номера блокируются операции со счётом на сутки, банковские смс и т.д.
Во вторых нельзя удалённо привязать новый номер взамен заблокированного, только ножками в офис и с паспортом.
А именно это и было возможно(судя по публикации) в этом банке.
Отправка новых паролей клиентам ещё и в открытом виде, это вообще лютая дичь.
P.S. Судя по ветке на banki.ru ситуация напоминает пожар в борделе во время наводнения.
Но в любом случае, хоть такая проверка лучше, чем сейчас — сейчас мы понятия не имеем, насколько все там плохо.
Не вижу пока, чем плохо подбивание систем под чеклист?
одно дело когда система подбита под чеклист и совершенно другое когда она работает так чтобы ему соответствовать
А из вашего описания, мне кажется, что аудитор это делает для «вида»
аудитор делает по регламенту и чеклисту. а вот «для вида» — делают уже те кому этот аудит проводят.
В нормальном рынке такой аудитор расплатится своей репутацией
почемуже, он проводит аудит на соответствие, скоуп софта-железа-отделов аудитору предоставлены, он проверил что чеклисту все соответствует — выдал разрешение на лицензию… если чтото произойдет то аудитор то причем? он проверял соответствие того что ему показали и оно реально на момент показа соответствовало
А вот те кто этот скоуп составляет… и любыми правдами и неправдами выкидывает оттуда неудобные машины, софтины, бизнеспроцессы, помечая их как «не важные» и «не входящие» несмотря на то что по факту они учавствуют (например их могут на недельку отключить пока аудит проходит)
Мы в одной из контор (вообще я примерно 5 таких аудитов переживал… и pcidss и sox и еще отдельный чисто по it-безопасности в разных фирмах)… решили упороться и по максималкам впилить безопасность, это очень нетривиально, сложно и больно для бизнеспроцессов и сотрудников… и даже по прошествии нескольких лет, при каждой итерации с аудиторами, приходилось постоянно подбивать бумажки и процессы чтобы нас не запалили.
тем не менее по сравнению с обычными бизнесами, те конторы которые такой аудит проводят и их сотрудники, хотябы знают про ИБ… уже плюс, потому что даже тут на хабре полно народа, адептов админских прав на рабочем компьютере и свидетелей отключения апдейтов… про какую безопасность тут вообще речь. нам на одном аудите очень наглядно продемонстрировали как ломануть всю сеть если на одном компе уборщика не стоит апдейт вышедший неделю назад
Это вообще очень сложная и комплексная задача, к которой у меня очень много вопросов… чувствую я могу затроллить любого ИБшника и аудитора… на мой взгляд и ощущения, я ещё ни разу не видел среди них людей действительно профессиональных.
Ну и вообще конечно лучше не держать много денег в банке где в качестве подтверждения транзакций нельзя использовать что-то более надёжное чем SMS'ки (карточку с одноразовыми паролями например).
МТС-банк проверяет сообщения клиентов о фактах доступа к их счетам со стороны злоумышленников