Проблема
Количество случаев мошенничества просто зашкаливает. Статьи о фактах мошенничества появляются чуть ли не каждый день. Происходит это при полном попустительстве государства и полиции, которая занята оппозицией. А вполне вероятно, что мафии это выгодно, погружать народ в кредиты.
Банки сообразили, что в большинстве случаев это проблема клиента, а им прибыль с процентов по украденным кредитам, поэтому у них и нет заинтересованности реально прекратить этот беспредел, под видом защиты они хотят только глубже залезть к клиентам в штаны. Банки позволяют легко деньги украсть, но не позволяют закрыть счёт даже когда уже в суде много раз воля клиента закрыть счёт была озвучена.
Двухфакторная защита банков на самом деле однофакторная раз мошенникам удаётся менять телефонные номера клиентов и угонять доступ в приложения и ЛК банков.
Попытаемся разобраться так ли бессильно государство, полиция, банки, люди перед жуликами. В Европейском Союзе такого почти нет, во всяком случае в таких масштабах как в России, там значит вопрос решён. Приведём схемы взломов аккаунтов пользователей и возможные варианты защиты.
Как мошенники крадут деньги
Очень много статей из серии N способов как мошенники крадут деньги с банковских карт описывают как разные варианты схемы звонков телефонных мошенников. На самом деле это ровно один вариант, который называется “социальная инженерия” или проще телефонный развод.
Если позвонили из банка, ГосУслуг, службы безопасности, следственного комитета, прокуратуры, полиции, ФСБ, суда, то самое правильное сразу повесить трубку, а номер внести в чёрный список. В идеале вообще не брать трубку с незнакомых номеров. Всё что нужно органам, они сообщат повесткой, сами вас доставят на допрос, и там самое лучшее пользоваться 51 статьёй и никогда не разговаривайте с силовиками. Банк всё что нужно сообщит в письменной форме в своём приложении или личном кабинете банка. Важно помнить, что вы не можете доверять ни входящим звонкам, ни СМС. Номер отправителя легко подделать, см. как Навальный развёл своего отравителя.
Не лишним будет повторить, что не надо:
открывать все письма с загрузкой всего контента, тем самым та сторона знает, что письмо открыли;
открывать прикреплённые файлы, если вы не ждали их получения;
переходить по ссылке в письме, смс, соцсетях, на разных левых сайтах, если вы не ожидали эту ссылку от банка, например, регистрируясь или восстанавливая пароль;
не устанавливайте лишнее ПО.
Есть более банальные способы потери денег — утеря контроля над:
телефонным номером;
адресом электронной почты;
аккаунтом ГосУслуг;
смартфоном, компьютером.
Теперь мы рассмотрим всё это с других точек зрения.
Ключи и алгоритмы защиты
Вход в информационную систему подобен входу в жилище или открытию автомобиля. Хорошо если у вас один ключ. Лучше когда два. Совсем хорошо, когда открыв дверь нужно ещё знать, где отключить сигнализацию, которую если не отключить, то приедет охрана. На автомобили ставили просто тумблер, который пока не переключишь электрическая цепь не включится.
Перечислим какие типы ключей есть в нашем распоряжении:
Логин как правило это: email или телефон или номер карты.
Пароль.
Второй пароль — кодовое слово.
Таблица одноразовых паролей, данные о последней операции, персональные данные.
Аккаунт электронной почты, ГосУслуг или ещё какой.
SMS, телефонный звонок (см. Как мы боролись с фейковыми аккаунтами на сайте знакомств).
Приложение на смартфоне, генератор одноразовых паролей, Яндекс-Google-аутентификация, сумма блокировки текущей операции.
Аппаратные генератор одноразовых паролей, аппаратный токен.
Статический IP-адрес, подсеть, геолокация.
Общение в Telegram, WhatsApp.
Тумблер разрешающий операции сверх заданного лимита. Это может быть последовательность определённых действий.
Типы ключей я расположил в направлении сложности их взлома.
Пароль можно потерять, его может украсть вирус, его можно ввести на фишинговом сайте. Кодовое слово, паспортные данные клиенты часто называют при звонке в банк, а записи телефонных разговоров пишутся не только в банке, но и у операторов связи. Данные об операциях по счёту могут украсть через социальную инженерию, через ментов в даркнете, да и просто проследить, что вот клиент только что заправился. Прочие типы требуют уже завладения смартфоном физически или путём заражения вирусом. Аппаратным генератором кодов можно завладеть только физически. Вирусы ему не страшны. Статический IP можно получить взломав WiFi сеть клиента, но следов много, надо приблизиться к жилищу и засветиться на камерах. А если для входа в банк вы используете VPN, то даже взлом WiFi не поможет.
К алгоритмам защиты относится порядок аутентификации. Информационная система может предложить пользователю на выбор как подтвердить отправку платежа. И только пользователь знает, что по понедельникам он подтверждает кодом Яндекс-аутентификатора, во вторник Google, в среду аппаратным токеном и т.д. Для перевода крупной суммы может быть последовательность действий в виде перевод суммы на вновь открытый счёт или виртуальную карту или вклад, и только уже оттуда перевод дальше. Может быть назначено второе лицо, которое в ЛК своего банка должно ввести будет код для подтверждения платежа. Тем самым, даже если бандиты получат физический доступ ко всем девайсам и ключам клиента, самому клиенту, заставят его самого ввести все коды и даже голосом позвонить в банк и подтвердить, что он это он, то на уровне даже не оператора банка, а службы безопасности банка сработает сигнал, что по локации клиента надо полицию присылать.
Главная причина успеха мошенников — однофакторная аутентификация
— Дайте мне в аренду метр государственной границы.
— Почему метр?
— Чтобы чемодан проходил.
Множество ключей не имеют смысла, если есть один суперключ или завладев одним ключом можно перевыпустить или сменить другие ключи.
Банковские информационные системы должны использовать многофакторную аутентификацию по независимым ключам доступа. На деле же у них есть один суперключ — сим-карта телефона или персональные данные клиента. На Тинькофф Банк, Альфа-банк и другие банки стабильный поток жалоб, когда мошенники меняют номер телефона клиента, затем устанавливают приложение, получают все требуемые смс-коды, воруют те деньги, которые есть, дополнительно открывают кредиты и воруют ещё деньги, которых нет.
Все данные, которые банки спрашивают по телефону не являются фактором аутентификации клиента. Мошенники могут позвонить и выяснить их от имени банка, может запись разговора утечь.
Истории как подделывали сим-карты в каких-нибудь Мухосрансках тоже были.
Что должно сделать государство
Перестать блокировать РосКомПозором оппозиционные сайты и заняться прямыми своими обязанностями операторами связи, которые без должной авторизации продают услуги телефонной связи мошенникам да ещё позволяют подменять телефонный номер.
Следить за call-центрами мошенников. Они же по ключевым словам выявляются. Распознавание голоса работает хорошо.
Суды должны наказывать банки за случаи, когда мошенники получили кредит по откровенно липовым документам, а сотрудники банка не проявили должной осмотрительности. Налоговая ведь доначисляет дикие налоги и штрафы за непроявление должной осмотрительности при выборе поставщиков услуг.
В УК РФ есть статья 293 Халатность. Тут именно она и есть: “Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе либо обязанностей по должности, если это повлекло причинение крупного ущерба или существенное нарушение прав и законных интересов граждан”.
Что должны сделать банки
Внедрить как можно больше вариантов аутентификации клиента и подтверждения платежа. Если клиент хочет иметь 10 независимых ключей, то пусть имеет. Если хоть один потеряет, то дальше ногами топает в банк. Позор банкам, которые позволяют поставить приложение и получить доступ к деньгам мошенникам, которые предварительно сменили телефон клиента в банке.
Сделать их реально независимыми. Или часть из них. Должно быть по желанию клиента хотя бы три независимых ключа. Потерял любой из трёх — топай в банк.
Запретить удалённо менять номер телефона или авторизовывать перевыпущенную сим-карту. Можно не всем. Но хотя бы дать клиентам такую возможность повышенной безопасности.
Внедрить системы уведомлений не только через СМС, а HTTP-уведомлений и писем на email, которые уже хоть на ту же умную колонку можно завернуть. Если сим-карту или смартфон увели, то клиент уже не получит уведомление.
Пока же в каждой статье на VC.ru и на banki.ru пиарслужбы банков в лучших традициях учеников доктора Геббельса врут как они заботятся о безопасности.
Что стоит сделать клиентам банков
https://twitter.com/aloe_ve/status/1434160378473287682
Послушать звонки мошенников в Youtube. Прослушав ещё несколько подобных разговоров сами будете чувствовать развод.
Лучше вообще не разговаривать по входящим звонкам. Повесьте трубку будто связь разъединилась и сами перезвоните в банк по номеру на сайте. В идеале не использовать телефонную связь, а иметь своего менеджера в Telegram, WhatsApp или приложении банка и постоянно удалять переписку в мессенджерах, и в имени менеджера не писать, что это такой-то банк.
Ещё лучше завести для каждого банка отдельный секретный телефонный номер, который нигде больше не используется. Некоторые операторы предлагают виртуальные (дополнительные) мобильные номера. Главное не потерять контроль над таким номером.
Заводить для каждого банка отдельный email, который нигде не светится. Например, в Google это делается так mailbox+bankname@gmail.com. Но всё равно это по сути один email и защита так себе. Вы можете взять в аренду VDS, купить собственный домен и регистрировать на нём уже любые адреса и алиасы электронной почты. Алиас вида shortbankname4901@yourdomain.ru существеннее безопаснее. И если на такой адрес придёт персональное рекламное предложение, то вы будете знать с высокой долей вероятности, откуда утекли ваши персональные данные. Следовательно это повод поменять в банке email и телефон.
Отправить ссылку на эту статью в поддержку своего банка и потребовать дополнительных типов защиты и запрета удалённого смены номера и авторизации новой сим-карты.
Не ставить на смартфон и компьютер постороннее ПО, игры. Если же они вам жизненно необходимы, то не ставьте тогда туда банковские приложения. Купите VDS и заходите в ЛК банков из чистой операционной системы, где нет ничего постороннего. Вредоносное ПО может получить доступ к вашей VDS, но это уже несколько сложнее, особенно, если настроить firewall c двухфакторной авторизацией.
Не открывать ссылки и файлы, которых не запрашивали. Просмотр заголовков письма часто говорит о том, что оно левое. Но ряд заголовков можно подделать.
Не давать доступ к своим контактам никаким приложениям.
Написать своим депутатам с требованием внести законодательную инициативу обязывающие банки по требованию клиента использовать аппаратный токен и запрет на дистанционное изменение телефона. Понятно, что это скорее всего мера бесполезная, но вдруг.
Если вы арендуете или размещаете сервер для своей бухгалтерии и работы с банками — вот небольшой список базовых вещей, который помогут спать спокойнее:
ОС и ПО нужно регулярно обновлять, зачастую, обновления закрывают уязвимости, про которые уже узнали мошенники.
Обязательно настройте firewall и разрешите ограниченный круг IP-адресов.
Установите антивирус, убедитесь что его вирусные базы обновляются.
Установите утилиту fail2ban, чтобы исключить ситуацию с перебором паролей.
Настройте или закажите мониторинг, это поможет своевременно отреагировать в случае возникновения проблем.
Даже если у вас есть системный администратор — закажите минимальное администрирование на стороне хостера. Как говорится, одна голова хорошо, а две — лучше!
Если на вашем сайте собираются персональные данные — закажите аудит, обратитесь в поддержку и убедитесь, что все соответствует 152-ФЗ, потому что потерять деньги можно и налетев на штраф от государства.
Заключение
В статье должна была быть таблица с данными о поддерживаемых механизмах защиты российскими банками, но PR-службы банков дважды выморозились. Сначала попросили направить им запросы на почту, а потом видя, что заполнять таблицу нечем просто прислали хамские отписки. Если вы знаете банк, который использует дополнительные степени защиты, то пишите в комментарии, желательно со ссылкой на страницу банка, где указана данная информация.
И ещё одна наша таблица про премиальные карты банков, которую мы делали пару лет назад. Условия у некоторых банков изменились уже в худшую сторону, а у некоторых не изменились, а постоянство и стабильность являются хорошим маркером.
Update
В комментариях и в оценках наблюдается тренд на поддержку бангстеров, мол ничего поделать нельзя и даже вот статья с высоким техническим уровнем, надо полагать. Если ничего не делать, то ничего и не изменится. Меры в статье предложены опциональные и не раз в статье про это сказано. Не надо переживать за бабушек и отток клиентов. Других аругментов почему не внедрять аппаратные токены и прочие варианты защиты, к сожалению, не звучит.
Дата-центр ITSOFT — размещение и аренда серверов и стоек в двух дата-центрах в Москве. За последние годы UPTIME 100%. Размещение GPU-ферм и ASIC-майнеров, аренда GPU-серверов, лицензии связи, SSL-сертификаты, администрирование серверов и поддержка сайтов.