вторник, 18 февраля 2014 г.

Симки, вклады, телефоны

Каждая SIM карта имеет уникальный номер - IMSI (международный идентификатор мобильного абонента). Судя по статье посвященной IMSI и комментам к ней, данная технология замечена только в следующей семерке банков: НОМОС, ПСБ, Альфа, ТКС, БРС, Сити, Сбер. Я больше согласен с автором статьи, чем с комментариями, что на вопрос надо смотреть шире. Нет, не надо смотреть шире! Типовые рабочие мошеннические схемы основаны именно на слабом звене – сотовой связи, поэтому хорошо, когда банк поддерживает нелюбимые мошенниками технологии. Также я бы порекомендовал включать эти условия SMS-информирования в клиентский договор.
В каких случаях меняются SIM-карты:
- при утере телефона
- при замене с обычной на micro/nano
- в честь отмены мобильного рабства
Приведу три ссылки на описание реальных примеров уводов денег подобным способом: тыц, тыц, тыц.  Какая очевидная мера здесь напрашивается? Запрет на досрочное закрытие вклада или снятие части вклада через интернет-банк. Этим также уже озадачены и на банках.ру, поэтому неплохо бы иметь список таких банков.
Если одноразовый код для подтверждения платежа генерируется банком случайным образом, то в SMS с кодом банк должен показывать счет получателя и сумму перевода. В этом случае ответственность за совершение операции лежит на стороне клиента. Если одноразовый код для подтверждения платежа при генерации учитывает счет получателя и сумму перевода, а потом вычисляется еще раз на пришедшем в банк платеже (защита от подмены реквизитов) и сравнивается с первым вычислением, то ответственность будет на стороне банка. Отсюда напрашивается вывод, что запрет на вывод вкладов и корректная обработка IMSI, по сути, эквивалентны персональному OTP.
Хорошо известно, что заметная часть левых переводов делается на одноразовые мобильные номера. Предлагается следующая реализация антифрода. В интернет-банке устанавливается три уровня доверия мобильных номеров.
1)      Личные номера клиента. Подтверждаются договорами с операторами сотовой связи. Лимита на переводы нет.
2)      Номера из шаблонов. Те номера, по которым уже были выполнены переводы, и по которым не поступало заявлений на опротестование в течение, например, месяца. Лимит, скажем, в 15 000 руб. в месяц.
3)      Прочие номера. Лимит, скажем, в 1 000 в месяц.
Таким образом, дополнительно банки не будут позволять клиентам совершать платежные операции через операторов связи, а будут подсказывать, что всё это можно сделать и через собственный интернет-банк.


пятница, 14 февраля 2014 г.

Про северную столицу

Если бы я жил в северной столице, то данный пост можно было бы считать рекламным. Но, к сожалению, я живу не там, поэтому только расскажу про питерский, пожалуй, самый современный в России интернет-банк. Скачав мануал, я обратил внимание на новые плюшки современности, которые почти нигде не встречал ранее.


Итак:

1. GA-код в качестве аутентификации
GA-код – цифровой код, который генерируется с использованием программного приложения Google Authenticator. Приложение Google Authenticator генерирует коды с периодичностью в 30 секунд. GA-код действует в течение времени отображения на экране приложения (не более 30 секунд),и после исчезновения с экрана приложения, в течение времени, не превышающем 1 минуту. Данный алгоритм применим и для следующего за отображаемым на экране приложения (в момент совершения операции) кода.

Идея использования ПО для генерации кода подтверждения пришла мне в голову в прошлом году, но быстро оказалось, что велосипед уже изобрели и ни где-нибудь, а в Google. Если обратиться к теории, то станет понятно, что на вход алгоритма генерации внешне как бы случайных кодов должны поступать: номер шага или время. Также обязательно «привязать» алгоритм к клиенту посредством уникальной переменной, каким и является хэш-функция от идентификатора клиента.

2. Перевод с будущей датой
Пользователь имеет возможность при создании перевода установить в поле «Дата перевода» дату в будущем. Перевод с датой исполнения в будущем будет отображаться в Истории со статусом «В ожидании» до даты, указанной при создании перевода, когда Банк примет перевод в обработку.

Полезная фишка, если надо оплатить услугу, например, в последний день месяца. Помним, что во времена рецессии и кризисов должна быть на счету каждая копейка. А между прочим, при 10% годовых, с каждой тысячи ежесуточно набегает 27 копеек.

3. Блокировка/разблокировка карты
Полезно держать банковскую карту всегда в залоченном состоянии и разблокировать её с планшета только на время совершения покупки или операции в торгово-сервисной сети или в интернет. Однако далеко не все банки позволяют самостоятельно и бесплатно это делать.

4. Сброс счетчика пин-кодов
Возобновление операций по карте в случае, когда карта была заблокирована в результате неверного 3-х кратного набора пин-кода.

Смежный вопрос. Не нужно для разблокировки звонить в банк и наступать на грабли взятия комиссий за разблокировку или перевыпуск на ровном месте карты.

5. Создание интернет-кода (очевидно речь о 3DS/SC)
Пароль должен быть длинной 8-15 символов, содержать и буквы и цифры, но не другие символы.

Не надо ждать, когда и где в первых раз вы столкнетесь с правильным магазином. Поэтому разумно и рационально забить код верификации не отходя от кассы в инет-банке.

6. Подключение карты стороннего банка
Клиент может подключить к Интернет-банку карту стороннего банка для того, чтобы с помощью нее оплачивать услуги организаций, перечень которых представлен в подразделе «Оплата услуг» в Интернет-банке или осуществлять со счета данной карты перевод на собственные счета, открытые в Банке.

7. Полный «фарш» кредитных on-line услуг
Ничего про это писать не буду, т.к. физические, а не карточные кредиты, еще то зло! На физических кредитах вы будете, как следует, разоряться, а на карточных при правильных и четких действиях, напротив, всегда пребывать в плюсе.

Offtopic:
- удобно, что в Питере можно дистанционно оплачивать метро и подорожник, в то время как в МСК всё ищут банк, который возьмется за услуги Тройки.

- ну и наконец, прикольная фишка из их мобильного банка :-)

вторник, 11 февраля 2014 г.

Слабое место – телефон

Телефон де-факто является универсальным средством подтверждения входа в интернет банк и финансовых операций в нем. Анализ типовых мошеннических схем показывает, что для успешного вывода денег необходимо и достаточно копии SIM-карты и инсайда в банке. По сравнению с телефоном, OTP-гаджеты имеют очевидный недостаток – представляют лишний хлам. Представьте, что интернет-банков у вас не один, а десять и таскать полные карманы погремушек весьма утомительно. В качестве компромисса можно использовать крайне надежный SMS-фон Nokia 3310. Попробуйте на него словить последний троян. 

Помимо SMS банки уже давно используют весь арсенал средств для подтверждения значимых действий клиентов:
-          чек банкомата;
-          лист А4;
-          скретч-карта;
-          id-карта
-          токен;
-          криптокалькулятор;
-          файл-сертификат;
-          мобильное приложение;
-          и его разновидность Google Authenticator.

Пока случаи мошенничества носят единичный характер виноватым будет всегда клиент. Далеко не каждый доводит битву с банком до поражения последнего. Чтобы не быть всегда виноватым предлагается использовать следующие превентивные меры безопасности:
-          стараться не использовать мобильный телефон для получения кодов;
-          использовать уникальные логины, пароли и кодовые слова для разных банков;
-          хранить деньги на вкладах, не позволяющих on-line переводы;
-          протестировать адекватность и безопасность банка прежде, чем иметь дело с ним.
Что же неплохо протестировать в банке:
-          восстановление "забытого" логина, пароля, кодового слова;
-          смену номера мобильного телефона;
-          блокировку и разблокировку доступа в ИБ;
-          блокировку и разблокировку банковской карты (при возможности).

А вообще, как и везде, здесь напрашивается скоринговый подход: выписываете важные для вас опции, эманируете над ними, после чего вычисляете результат. Те банки, которые прошли ваш фильтр доверия, и используете в повседневной жизни. 

среда, 5 февраля 2014 г.

Риски убиения банков

Меня иногда упрекают, что я начал отклоняться от центрального курса партии, а именно информационной безопасности. С информационной составляющей всё более-менее понятно и ясно, но если смотреть на безопасность шире, то всегда выявляется ряд смежных тем. Так вот, отклонюсь и сегодня.


Алексей Чеканов у себя в блоге пишет про гипотетический риск сознательного уничтожения банком базы данных клиентов (счетов, вкладов, депозитов). И если про потолок АСВ всё всем ясно, то этот риск часто остается за пределами воображения, Гарантированно уничтожить базу может недовольный админ, также забыв делать продолжительное время резервные копии. Или это может быть сделано по распоряжению недовольного руководства банка, включая акционеров. В обоих случаях последствия для клиентов будут идентичны. Что же остается делать ЦБ? Организовывать в своих недрах облачное хранилище реестров для всех банков?
Идеи как минимизировать и этот риск:
- обязательно хранить бумажный договор с банком;
- если вносите средства наличными, то нужно сохранять приходники;
- регулярно заходить за бумажными выписками в банк;
- если перечисляете средства безналом, то неплохо хранить смежные скриншоты (скрин из системы отправителя, скрин из системы получателя);
- транзакционные логи так и так останутся в платежных системах по переводам, в ЦБ по межбанку.
Как правильно выбирать банки:
- банк должен быть из государственного «белого» списка (51 банк);
- банк должен входить в зеленую часть высшей лиги народного рейтинга (25 банков).
- банк должен быть из неофициального системообразующего списка (14 банков).

Если определить пересечение данных множеств, то получится, что деньги можно хранить только в трех российских банках. Какие это банки? Занавес! Просьба не воспринимать всерьёз как прямое руководство к действию. J

понедельник, 3 февраля 2014 г.

Про доверие банкомату и банковской карте

Вы считаете банковскую карту или банкомат безопасными игрушками, к которым все давно привыкли?
Встретившийся вам в поле банкомат вряд ли можно считать доверенной средой, хотя бы из-за того, что он может не вернуть вашу карту. В каких случаях банкомат способен это сделать:
- после трех попыток ввода неверного PIN-кода;
- по распоряжению банка или платежной системы;
- после примерно 30 секунд не извлечения отпущенной карты.
И что вы будете делать, если карты уже нет, а вам еще предстоит платить и платить за оставшийся неудавшийся отдых? Из-за соображений непрерывности жизни всегда, в т.ч. во время отдыха, нужно иметь при себе колоду банковских карт. 
Да и любая современная банковская карта не блещет доверием из-за наличия магнитной полосы. Если верить статье в Хабрахабр, то в 2012 году автором магнитной полосы было объявлено о её скорой смерти.

Магнитная полоса уже давно является пережитком прошлого, однако до сих пор имеется на 100% выпускаемых в России картах. Это происходит потому, что нельзя за короткое время изменить всю карточную инфраструктуру. Легче всего заменить POS-терминалы, что мы и видим уже повсеместно: для магнитки, для чипов, беспроводные. Сложнее заменить банкоматы, но если заменять только картоприемники, работающие с магнитной полосой, то задача посильная. ЦБ в прошлом году, путем рассылки очередной порции проектов обновлений законодательства по теме 161-ФЗ, делал попытку обязать банки с 2016 года выпускать карты с чипом. Его попытка, к сожалению, не удалась. Но полоса-то всё равно бы осталась!
Очередной «гениальный» способ повышения доверия к банковской карте заключается в уничтожении на ней магнитной полосы. Как пишет уважаемый блогер, уничтожать полосу нужно неодимовым магнитом. Еще напрашивается идея самостоятельного изготовления «идеальной» карты путем интегрирования в кусок пластика вырванного чипа из выданной банком карты. Но сразу получаем проблему заглатывания вашей карты банкоматами. В чем же дело? В картоприемнике, в месте, по которому проезжает магнитная дорожка, установлена магнитная головка, которая при отсутствии напряженности магнитного поля (коэрцитивной силы), не откроет шторку картоприемника.
Вы по-прежнему считаете банковскую карту или банкомат безопасными игрушками, к которым все давно привыкли?