четверг, 22 февраля 2018 г.

Кто раздербанит приложение от Сбербанка?

Давно обратил внимание на мобильное приложение Сбербанка. После его установки при первом запуске оно проверяет гаджет на предмет безопасности и чекает чем-то антивирусным. Раньше, как сейчас помню, оно еще проверяло установленные приложения и показывало, какие из них якобы не безопасные. Сейчас вроде такого нет. Возникает вопрос, что же это у них такое и что оно на самом деле делает?


А теперь открываем 382-П и читаем следующие пункты: п.75, п. 80, п.81, 2.10.4. Смысл их следующий:
При эксплуатации объектов информационной инфраструктуры Банк обеспечивает:

- защиту электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации;

- выявление фальсифицированных электронных сообщений, в том числе имитацию третьими лицами действий клиентов при использовании электронных средств платежа, и осуществление операций, связанных с осуществлением переводов денежных средств, злоумышленником от имени авторизованного клиента (подмена авторизованного клиента) после выполнения процедуры авторизации.

Значит, скорее всего, Сбер это и сделал в т.ч. для соответствия требованиям безопасности из 382-П. Но раз мобильное приложение при каждом запуске чекает гаджет, было бы неплохо запихнуть туда и антивирусный движок и минимальный набор из особо злобных сигнатур. Более того, можно будет даже брать плату за дополнительный уровень защиты клиента.  

     Секлаб читают многие безопасники и Сбер в первую очередь, поэтому хорошо бы прояснить этот момент (можно в комментариях). А пока на ум приходит мысль защищаться от всякой нечести, не каким-нибудь проприетарным Касперским, а халявным приложением, имеющим номер лицензии 1481 и год основания 1841-й. Прямо игра цифр получается!

вторник, 20 февраля 2018 г.

Есть ли жизнь без 3DS

Все мы знаем, что технология 3D Security представляет собой дополнительный уровень безопасности в виде второго фактора аутентификации средства платежа. Технологию поддерживают все основные платежные системы, включая российскую «МИР». У нас она получила название МИР Accept. Действительно, второй фактор существенно снижает область фишинга, но, что более важно для банков, перекладывает ответственность за фишинг с банка эквайера на мерчанта. А клиент и так всегда будет не прав. Лично я всегда шарахаюсь от сервисов, которые игнорируют безопасность ради мнимого удобства своего клиента. Странно, что до сих пор, когда весь мир борется с террористами и мошенниками, технология не стала обязательной.
Из моего круга таких пофигистов это Авито и Алиэкспресс. По последнему надо сказать отдельно. Казалось бы, делай покупки с кредитной карты, получай кэшбэк от банка, получай кэшбэк от других сервисов. Лайфхак по ссылке. Но вдруг произойдет ошибка и вместо 1000 руб. спишется 100 000 руб. И ходи, ищи свои деньги в поле. Поэтому в таких местах я всегда произвожу оплату со второстепенной банковской карты.
Но еще больше добивает, когда в целях экономии все повально банки переключаются с SMS на Push. Отпадает необходимость платить по всё растущим тарифам жадным сетевикам. Еще и приговаривают, что уровень безопасности якобы повысился. Причем, плату за оповещения брать не забывают. Здесь особенно отличается проект Кукуруза от Евросети и РНКО ПЦ, который присылает пушку на смартфон. Более того этот код уже вставлен в специальной поле в форме! Хорошо, что кнопка сама еще не нажимается. Но всё впереди, прогресс не стоит на месте, еще сделают, что будет и сама нажиматься после небольшого таймаута…


Я лично для второго фактора использую простенький кнопочный телефон типа Nokia 3310. Его и не украдут, а если где оставишь, еще догонят и вернут.

вторник, 6 февраля 2018 г.

Снимаем деньги с карт в магазинах

Скоро в магазинах можно будет снимать деньги с банковских карт. 

«Мне, пожалуйста, два пива и две тысячи» – так можно будет обратиться к кассиру, если проект заработает.

Сбербанк, ВТБ и Русский Стандарт тестируют эту технологию. Запуск запланирован на 2 квартал текущего года. Так как данные банки обслуживают большое количество магазинов в торговых сетях, направление транзакционной информации в платежные системы не потребуется. Особенно много карт и магазинов у Сбербанка. Будем надеяться, что с наших российских карт МИР также можно будет снимать деньги в торговых сетях.

Пока планируется, что будет разрешено снимать деньги до 5000 руб. Как отмечают эксперты, еще остаётся множество юридических вопросов, включая формальный запрет самих платежных систем на такие снятия в России. Впрочем, в некоторых развитых странах эта технология уже работает. По заявлениям самих платежных систем, возможность снятия денег "на каждом углу" будет подталкивать клиентов банков шире использовать карты для покупок, а не только снимать в день зарплаты с них деньги. А значит, это будет более выгодно для банков и ПС.

Мне в данной технологии сразу видится такой аспект безопасности. Магазины это не отделения банков, они, скорее всего, будут даже хуже установленных где попало банкоматов. А значит, сразу расплодятся POS-терминалы, предназначенные для воровства карточных данных. Да и сама возможность анонимно снимать пятак будет подстегивать жуликов безопасно обналичивать ворованные карты.

Как будем от этого защищаться? А всё также - будем расплачиваться наличкой или перейдём на натуральное хозяйство. :-)

пятница, 2 февраля 2018 г.

Поддельные POS-терминалы в кафе!

Мошенники придумали новую схему обмана с участием кассиров и официантов.

Они предлагают им подменить терминал оплаты на специальное устройство, которое делает копии банковских карт клиентов. Фальшивый терминал не принимает оплату, а считывает данные карт, в том числе пин-код. Чтобы ввести в заблуждение владельца карты, терминал-фальшивка печатает чек, сообщающий об отсутствии связи с банком. 
Устройство неотличимо от стандартного POS-терминала.

Чтобы обезопасить себя от этого вида риска, предлагается посещать кафе и рестораны, принимающие оплату по Apple Pay, Android Pay, Samsung Pay. А еще лучше в сомнительных заведениях расплачиваться наличными. :)

воскресенье, 16 апреля 2017 г.

От информационной до финансовой один шаг

Данный блог, посвященный проблемам информационной безопасности, я успешно веду с 2010 года, то есть уже около 7 лет. Много это или мало? Хорошо это или плохо? Все мы уже знаем основные постулаты инфобеза: ААА, логирование, обновления, уязвимости, СКЗИ и др. Успешно осваиваем новые примудрости: бигдата, облака, SIEM. Чтим основные требования регуляторов: 152-ФЗ, 161-ФЗ, PCI DSS. Но всё же, нужно смотреть на мир шире, смотреть в сторону самих активов, которые доблестно защищает наша с вами информационная безопасность.
Оказывается, хранить деньги, не теряя их благодаря инфляции это не так-то и просто. И обычных вкладов в банках тут не достаточно. Многие ли знают, как в свою сторону повернуть использование кредитных средств, чтобы они стали не пассивом, а активом? Получится, так называемый, хороший кредит, когда большинство же людей «давятся» от плохих кредитов. А многие ли знают, что такое «лесенка» вкладов? А заблуждение, что до 1.4 млн. руб. все банки одинаково полезны? Но это совсем не так, есть еще и «тетрадочные» вклады, и что нужно знать, чтобы в них не попасть?

Эти и многие другие прикладные вопросы я и рассматриваю в своём новом блоге под названием Экономщик.рф.