вторник, 11 февраля 2014 г.

Слабое место – телефон

Телефон де-факто является универсальным средством подтверждения входа в интернет банк и финансовых операций в нем. Анализ типовых мошеннических схем показывает, что для успешного вывода денег необходимо и достаточно копии SIM-карты и инсайда в банке. По сравнению с телефоном, OTP-гаджеты имеют очевидный недостаток – представляют лишний хлам. Представьте, что интернет-банков у вас не один, а десять и таскать полные карманы погремушек весьма утомительно. В качестве компромисса можно использовать крайне надежный SMS-фон Nokia 3310. Попробуйте на него словить последний троян. 

Помимо SMS банки уже давно используют весь арсенал средств для подтверждения значимых действий клиентов:
-          чек банкомата;
-          лист А4;
-          скретч-карта;
-          id-карта
-          токен;
-          криптокалькулятор;
-          файл-сертификат;
-          мобильное приложение;
-          и его разновидность Google Authenticator.

Пока случаи мошенничества носят единичный характер виноватым будет всегда клиент. Далеко не каждый доводит битву с банком до поражения последнего. Чтобы не быть всегда виноватым предлагается использовать следующие превентивные меры безопасности:
-          стараться не использовать мобильный телефон для получения кодов;
-          использовать уникальные логины, пароли и кодовые слова для разных банков;
-          хранить деньги на вкладах, не позволяющих on-line переводы;
-          протестировать адекватность и безопасность банка прежде, чем иметь дело с ним.
Что же неплохо протестировать в банке:
-          восстановление "забытого" логина, пароля, кодового слова;
-          смену номера мобильного телефона;
-          блокировку и разблокировку доступа в ИБ;
-          блокировку и разблокировку банковской карты (при возможности).

А вообще, как и везде, здесь напрашивается скоринговый подход: выписываете важные для вас опции, эманируете над ними, после чего вычисляете результат. Те банки, которые прошли ваш фильтр доверия, и используете в повседневной жизни. 

6 комментариев:

  1. Интересно, особенно про "проверки" банков)
    - стараться не использовать мобильный телефон для получения кодов;
    Можно пожалуйста уточнить, что имеется ввиду? SMS? Google auth.? проч.

    ОтветитьУдалить
  2. Да, сейчас многие банки предлагают альтернативу SMS-кам. Её я и предлагаю использовать.

    ОтветитьУдалить
    Ответы
    1. СПС! да, но по идее Google Authenticator ведь тоже на телефоне т.е. он потенциально так же не эффективен в плане безопасности как SMS или нет?

      Удалить
  3. Типовые схемы хищения денег всегда рассчитаны на массовую аудиторию. Обычно шаг влево или шаг вправо и уже получается ступор. Зачем делать еще один шаг, если с одними SMS-ками клиентов тьма.
    Также как в случае с сигнализациями на машинах.

    ОтветитьУдалить
  4. Поняла вашу мысль!:)

    ОтветитьУдалить
  5. хм, данная статья уже была... могли бы вставить ссылку на первоисточник!

    ОтветитьУдалить