четверг, 19 марта 2020 г.

Про КорUNOвирус



Во время пандемии COVID-2019 хочу обратить внимание за простые и обыденные вещи, в обычных условиях которые всегда выполнялись «на автопилоте» самым простым образом, без какой-либо защиты.

  • Снятия денег в банкомате
  • Покупка продуктов
  • Заправка автомобиля



Теперь чуть подробнее, буквально по абзацу, о каждой из них.
Самым распространенными в России банками по количеству клиентов субъективно я могу считать Сбербанк, Альфа-Банк, ВТБ и Тинькофф. У последнего даже нет отделений. Многие из нас регулярно снимают средства в банкоматах, чтобы в последующем делать какие-либо покупки. Самым простым решением сейчас является использование перчаток, так как клавиатуры и экраны, а равно и дверные ручки отделений банков, ежедневно трогаются сотнями людей.

С наличными деньгами дело обстоит еще хуже. После предыдущего абзаца, их надлежит вроде как тратить, но вместе с тем в текущей ситуации уже пора переходить исключительно на безналичную форму оплаты. Ситуация подталкивает. Практически везде и давно принимают карты, включая нашу национальную карту МИР. Наличные деньги наверняка могут только способствовать некоторому распространению короны, поэтому целесообразно минимизировать и этот типа передачи цепочек РНК.

Заправка автомобиля несколько более сложная задача. С одной стороны сейчас есть несколько сервисов по самостоятельной оплате и заправке авто. Но без перчаток трогать топливный пистолет будет наверняка повышенным риском. Перчатки и на этот случай теперь должны у нас лежать в машине. Если же пользоваться услугами заправщиков, то можно либо оплачивать бензин самостоятельно в павильоне АЗС, а значит придется открывать лишние двери и находиться в помещении с другими людьми. Либо использовать Яндекс Навигатор, который позволяет производить оплату, находясь в салоне своего авто. Вот и, того не желая, прорекламировал Яндекс Навигатор, который сам еще ни разу не использовал.

И это к сожалению только начало. Наверняка, скоро такие житейские кейсы будут возникать у нас ежедневно. Не болейте, господа безопасники. Мы нужны нашей Родине!

понедельник, 14 октября 2019 г.

Меры безопасности при работе с банками


Несмотря на то, что агентство Прайм сообщает, что уровень мошенничества с помощью банковских карт в России один из самых низких в мире, хочу напомнить правила безопасности при работе с банками. Эти правила практически в полной мере использую и сам. 


Итак, перечисляю основные правила:

1.    Для приёма СМС нужно выделить отдельный телефон, причем это должен быть не смартфон, а обычный кнопочный аппарат. У меня для этого используются новая Nokia 3310.
2.    Для входа в ДБО каждого банка должен быть отдельный логин и пароль. Желательно, чтобы они различались для каждого банка.
3.    Заходить в ДБО нужно только с обновляемого ПК и без админских прав в учетной записи.
4.    Для банков, в которых у вас размещены значимые для вас суммы, не использовать мобильные приложения. По моему опыту, большинство МП сплошное решето с точки зрения безопасности.
5.    Никому не сообщать данные пластиковых карт и другие фин. реквизиты. Для оплаты непонятных покупок использовать одноразовые виртуальные карты.
6. Никогда не разговаривать с банком на финансовые темы, если вам первым позвонил банк. Старайтесь перезвонить в банк самостоятельно по официальному контактному номеру, и только тогда продолжить разговор.
7. Не производить финансовые операции с незнакомыми людьми. В этом случае может легко произойти следующее: вы переведете деньги, а вам нет.
8. Не использовать для входа в месседжеры, в любые социальные сети или в целом в любые прочие приложения номера телефонов, которые используются для банков в качестве контактных.

Думаю, восьми правил будет пока достаточно.

суббота, 25 мая 2019 г.

Про коды из СМС и левые телефоны

В СМИ появляются сообщения, что всё чаще банки начинают спрашивать коды, отправляемые ими посредством СМС. Вроде бы дополнительный фактор аутентификации, чтобы убедиться, что банк разговаривает с клиентом, а не с кем-то еще. Банки сейчас стали и во время звонков отправлять СМС и при посещении офиса. Мне же больше нравится, когда приходится подтверждать значимые операции кодом со скретч-карты. Такие карточки есть, например, в Авангарде, МКБ или Локобанке. Вдобавок, если рассмотреть атаку с подменой телефонного номера в виде 8800, становится еще грустнее. Но хорошо, что и это уже растиражировали центральные СМИ.

Дело в том, что банки редко когда несут фактическую ответственность, очень часто ответственность перекладывается на клиента. Мне же кажется, что многие виды мошенничеств можно будет ликвидировать только тогда, когда симки будут закрепляться за абонентом в единичных экземплярах. В духе, пришел в районное МВД и оформил себе разрешение на симку. Потом пошел к сотовому оператору и купил 1 шт. Все остальные должны стать автоматически запрещены. Заодно получим четкую и однозначную идентификацию каждого спамера и мошенника. Ведь пока же есть много людей, у которых сотни симок, словно семечки, добра ждать не приходится.
И начнут нам звонить якобы из-за заграницы, но это уже будет другая история.

среда, 22 мая 2019 г.

Как правильно подходить к банкомату

Широко в СМИ прошло описание атаки на деньги последующего клиента банкомата. Повторюсь. После того, как предыдущий клиент отошел от банкомата, подходит следующий. На экране гласит надпись: Вставьте карту и введите пин код. Вы вводите пинкод и с вашей карты списываются деньги для завершения операции предыдущего клиента. 
Думаю, всё уже понятно. Предыдущий человек начал выполнять перевод и на шаге ввода карты, любезно уступил следующему место. Он к тому же еще был в шапке, очках и прочей защитной прелести.


Этим действительно грешат ряд банков, которые позволяют начинать операции без втыкания карты. Но сейчас после того, как эту атаку широко растиражировали все центральные СМИ, разработчики банкоматного ПО быстро изменят алгоритмы и этого больше не будет.
Защита очевидна. Перед использованием банкомата нужно убедиться, что предыдущая сессия завершена. Если нет, то нажать красную кнопку Отмена и только тогда начинать свои операции.

вторник, 19 июня 2018 г.

Круглый стол Swift

Побывал сегодня на закрытом круглом столе, посвященном безопасности Swift и так не понял, что же в нём такого было закрытого. Никаких цифр по мошенничествам, никакой конкретики по атакам, ни-че-го не было сказано. На прямой вопрос о том, почему ничего не сказали, ответили, якобы высокое руководство не разрешает ничего говорить и что они только вначале этого пути и будут его уламывать.

Привожу небольшой конспект в формате тезисов оттуда.

Будет переход от самооценок к внешним аудитам. Более того, ЦБ будет давать список правильных аудиторов.

Например, в Национальном депозитарии вопросы ИБ подняты на уровень акционеров и они ставят KPI бизнесу.

Свифт до сих пор плохо знает (или не говорит?) откуда начинаются атаки, поэтому защищайте в банках всё подряд.

На стороне Свифт еще ни разу не сломали, атакуют всегда банки. Но был 1 случай, когда вначале сломали сервис-бюро. 

Всего после Бангладеша было 70 атак. По странам опять лидирует Бангладеш. Они не знают (или не говорят?) почему.

Преступники не отвлеклись почему-то на крипто майнинг, до сих пор орудуют в Свифт.

Северная Корея утащила 3% денег. Африка 14%. Эти цифры представляют хорошую часть их ВВП, поэтому атаки имеют смысл.

По угрозам Windows 99%, AIX 1%, Linux 0%.

Специалистов на рынке нет. Интеграторы тоже предлагают услуги ни о чем. Сбербанк никак не может закрыть около 100 вакансий в области ИБ в 5 своих территориальных банках в РФ.

Свифт в Сбере это 27 биков и в то же время это совсем небольшой скоуп, поэтому как следует защитить его относительно недорого.

Сбер предлагает сделать все требования обязательными.

В Сбере процесс управления рисками стоит гораздо дороже, чем втупую выполнить все требования Свифт.

Через 2 недели будет новая версия фреймворка, предыдущий (первый) потеряет свою актуальность.

Призывают всем внедрять хоть какой антифрод.