Круглый стол Swift

Побывал сегодня на закрытом круглом столе, посвященном безопасности Swift и так не понял, что же в нём такого было закрытого. Никаких цифр по мошенничествам, никакой конкретики по атакам, ни-че-го не было сказано. На прямой вопрос о том, почему ничего не сказали, ответили, якобы высокое руководство не разрешает ничего говорить и что они только вначале этого пути и будут его уламывать.

Привожу небольшой конспект в формате тезисов оттуда.

Будет переход от самооценок к внешним аудитам. Более того, ЦБ будет давать список правильных аудиторов.

Например, в Национальном депозитарии вопросы ИБ подняты на уровень акционеров и они ставят KPI бизнесу.

Свифт до сих пор плохо знает (или не говорит?) откуда начинаются атаки, поэтому защищайте в банках всё подряд.

На стороне Свифт еще ни разу не сломали, атакуют всегда банки. Но был 1 случай, когда вначале сломали сервис-бюро. 

Всего после Бангладеша было 70 атак. По странам опять лидирует Бангладеш. Они не знают (или не говорят?) почему.

Преступники не отвлеклись почему-то на крипто майнинг, до сих пор орудуют в Свифт.

Северная Корея утащила 3% денег. Африка 14%. Эти цифры представляют хорошую часть их ВВП, поэтому атаки имеют смысл.

По угрозам Windows 99%, AIX 1%, Linux 0%.

Специалистов на рынке нет. Интеграторы тоже предлагают услуги ни о чем. Сбербанк никак не может закрыть около 100 вакансий в области ИБ в 5 своих территориальных банках в РФ.

Свифт в Сбере это 27 биков и в то же время это совсем небольшой скоуп, поэтому как следует защитить его относительно недорого.

Сбер предлагает сделать все требования обязательными.

В Сбере процесс управления рисками стоит гораздо дороже, чем втупую выполнить все требования Свифт.

Через 2 недели будет новая версия фреймворка, предыдущий (первый) потеряет свою актуальность.

Призывают всем внедрять хоть какой антифрод.

Санкции за ИБ

Введены американские санкции против компании Digital Security за якобы кибератаки. Интересно, это доказано или как обычно наиболее вероятно? Еще более интересно, смогут ли они продолжить деятельность по аудитам PCI DSS или проще закрыться и всем разбежаться в другие компании?

Цитируем СМИ:
В черные списки попала имеющая офисы в Москве и Санкт-Петербурге консалтинговая компания Digital Security, работающая в области информационной безопасности. Помимо нее самой, санкции затронули связанные с ней структуры Embedi, работающую в Израиле, и Erpscan. Ее представительства находятся в Амстердаме, Праге и Тель-Авиве. Все они включены в составляемый минфином список, куда входят лица и структуры, подозреваемые или обвиняемые Вашингтоном в совершении кибератак.

Подробнее на ТАСС:
http://tass.ru/mezhdunarodnaya-panorama/5282807

Как победить Телеграм

Мне сегодня попалось в новостях вот такая коротенькая заметка:

Из чего можно сделать вывод, что раз Телеграм:

1) обновляется, 2) мутирует 3) бегает от регулятора 4) прячется в чужих облаках.
И самое главное наносит серьезный деструктивный урон нашему обществу, прикрывая мошенников и террористов.

то все признаки ВИРУСА налицо.

А значит нужно Касперского, Доктора Веба и всех остальных обязать побороть этот наглый вирус в кратчайшие сроки. И даже если на наших с вами оконечных устройствах не стоит никакого AV ПО, то эта зараза должна будет срезаться на уровне шлюзов провайдеров. Не?

Что думаете?

На всякий случай эту мысль отправляю в РКН во все их интернет-приёмные.

Телеграму крышка

Ура, товарищи! Я всех поздравляю с сегодняшним  решением Таганского суда города Москвы. Суд решил установить на территории России ограничение доступа к Telegram. 

«Обязать Роскомнадзор принять меры по ограничению доступа к информационным системам и программам для ЭВМ, используемым для распространения сообщений через Telegram».​ 

Решение суда вступило в силу немедленно. Заседание длилось всего 20 минут.

Думаю, через пару месяцев никто и не вспомнит об этом уникальном мессенждере для террористов и мошенников. Как это было ранее с сервисом  linkedin. Сейчас многие начали переходить на всякие левые прокси и VPN. Наверное, скоро запретят и их. По крайней мере разговоры уже пошли.

https://www.rbc.ru/technology_and_media/13/04/2018/5ad0ccf39a79476caf5fa03f

Ключи от Телеграма переданы )))

Попалось в наших интернетах. Правда нет реквизитов организации и печати. Могут не принять документ. )))

StalinFon

Первое апреля миновало, но время свободное появилось только сейчас. Нам и посвящается. Примерно так должны выглядеть наши смартфоны, планшеты и прочие смарт панели:

Ведь, товарищи, так как мы все с вами работаем в информационной безопасности, уж наши-то телефонные аппараты всегда и в первую очередь должны быть чисты от всякой нечести, в них должно быть загружено только разрешенное лицензионное сертифицированное ПО, в них должна быть только российская интеллектуальная медия и абсолютно не должно быть никакой буржуазной ереси и заразы.

И мы должны забыть всякие санкционные трансатлантические названия навроде Cisco, Intel, Oracle и пр. А знать как Отчет Наш должны другие названия навроде Континент, Эльбрус, Линтер и пр. 

​Иран заменит Telegram собственным мессенджером

Председатель комиссии по национальной безопасности и внешней политике парламента Ирана Алаэддин Боруджерди заявил, что в течение ближайших недель в стране заработает национальный мессенджер, который, как предполагается, вскоре заменит Telegram. Об этом сообщает «Прайм» со ссылкой на данные агентства Mehr.

Боруджерди подчеркнул, что решение о замене популярного мессенджера иранской альтернативой было принято на самом высоком уровне правительства страны. По его словам, учитывая деструктивную роль Telegram в ходе протестов в иранских городах в прошлом году, решение было принято «во имя национальной безопасности». Иранская альтернатива Telegram, приложение-мессенджер под названием Soroush, заработает в конце месяца по иранскому календарю, то есть до 20 апреля, добавил он.

Председатель парламентской комиссии выразил надежду, что, несмотря на популярность Telegram среди иранцев, национальный мессенджер быстро заменит его, когда тот будет заблокирован. Других подробностей относительно возможной блокировки Telegram агентство не приводит.

Источник

Интересно, а в России еще долго продержится этот любимый всеми бандитами, мошенниками и террористами мессенджер? Имхо, выборы 2018 прошли, церемониться больше незачем.

Рисованные карты

Регулярно читаю различные каналы по финансовой тематике и обратил, что сейчас пошла нехорошая мода на рисованные карты. Сценарий получается один и тот же. К вам обращается друг из социальной сети. Друг говорит, что попал в трудную жизненную ситуацию и ему нужны деньги. И сразу прикладывает для правдоподобности фото своей карты. Всё вроде бы сходится и многие с радостью отправляют ему деньги. На этом спектакль заканчивается. Потом уже становится ясно, что это был не друг, а знакомый, а то и вовсе просто контакт лишь по социальной сети. Да и фото карты оказывается поддельным, номер вовсе не того банка, и даже другой платежной системы.

Мне в некоторых телеграмм каналах даже попадалось пошаговое описание этого бизнеса: как делать карты, все технические параметры карт, все нужные шаблоны для фотошопа. Бери да делай сам. Можно заказать рисунок по своим параметрам (банк, дизайн, номер, фамилию-имя). Пишут, что у них можно даже купить макет в psd. Любой каприз за ваши деньги. Публикую с телеграмм канала изображения карт прямо из их редактора.

А вообще бывает, что номер карты с фейковой картинки принадлежит вовсе другой платежной системе. Часто это карта Кивибанка с привязанным к ней Киви кошельком. Не секрет, что Киви пользуется большой популярностью у мошенников за возможную анонимность. Разумеется, карта оформляется не на вашего друга, а на дропа. Этот рынок услуг также хорошо развит. Опять же любой каприз за ваши деньги: паспорт, фото с паспортом, симка, да что угодно.

Теперь как не попасться на эту удочку. Да очень просто. Помогайте лучше своим настоящим друзьям, а не анонимам в интернете. Позвоните другу и спросите, нуждается ли он в помощи. Один звонок, пару личных вопросов и всё становится на свои места. А переводить деньги лучше по номеру мобильного телефона. Благо сейчас многие банки уже это начинают поддерживать. Самые распространенные на Руси банки это Сбербанк и Тинькофф. Оба уже умеют делать переводы по мобильным телефонам в личном кабинете. Пользуйтесь.

Masterpass от Бинбанка

Не прошло и пяти лет с момента выхода в свет технологии Masterpass от MasterCard, как первый российский банк «БИНБАНК» внедрил поддержку этого сервиса на своём сайте.

Обычные виджеты для карточных переводов уже давно есть на сайтах многих банков, здесь же добавилось следующее. MasterCard создаёт кошелек, в котором позволяет хранить карточные данные на множество карт. Вход в кошелек происходит по номеру мобильного телефона и одноразового кода SMS. Безопасность с их слов обеспечивается кодом CVC и одноразовым паролем из 3DS. Мне вот интересно, а наплевать на 3DS удастся?
Для этого я подключил к сервису свою карту от банка, который до сих пор не поддерживает 3DS – это «О.К. Банк» (кстати, у них вполне годный продукт – по золотой карте самый большой процент на сегодня!), и попробовал с карты этого банка пополнить свою карточку Бина. Получилось!

Как я и предполагал, мухи будут отдельно, котлеты отдельно. Игнорят 3DS также всякие Авито, Алиэкспрессы, другие интернет-сервисы, что у всех на слуху. Но спорить не буду, идея полезная. Наверняка должны появиться аналогичные кошельки от Визы и от НСПК.

Кто раздербанит приложение от Сбербанка?

Давно обратил внимание на мобильное приложение Сбербанка. После его установки при первом запуске оно проверяет гаджет на предмет безопасности и чекает чем-то антивирусным. Раньше, как сейчас помню, оно еще проверяло установленные приложения и показывало, какие из них якобы не безопасные. Сейчас вроде такого нет. Возникает вопрос, что же это у них такое и что оно на самом деле делает?

А теперь открываем 382-П и читаем следующие пункты: п.75, п. 80, п.81, 2.10.4. Смысл их следующий:

При эксплуатации объектов информационной инфраструктуры Банк обеспечивает:

- защиту электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации;

- выявление фальсифицированных электронных сообщений, в том числе имитацию третьими лицами действий клиентов при использовании электронных средств платежа, и осуществление операций, связанных с осуществлением переводов денежных средств, злоумышленником от имени авторизованного клиента (подмена авторизованного клиента) после выполнения процедуры авторизации.

Значит, скорее всего, Сбер это и сделал в т.ч. для соответствия требованиям безопасности из 382-П. Но раз мобильное приложение при каждом запуске чекает гаджет, было бы неплохо запихнуть туда и антивирусный движок и минимальный набор из особо злобных сигнатур. Более того, можно будет даже брать плату за дополнительный уровень защиты клиента.  

     Секлаб читают многие безопасники и Сбер в первую очередь, поэтому хорошо бы прояснить этот момент (можно в комментариях). А пока на ум приходит мысль защищаться от всякой нечести, не каким-нибудь проприетарным Касперским, а халявным приложением, имеющим номер лицензии 1481 и год основания 1841-й. Прямо игра цифр получается!

Есть ли жизнь без 3DS

Все мы знаем, что технология 3D Security представляет собой дополнительный уровень безопасности в виде второго фактора аутентификации средства платежа. Технологию поддерживают все основные платежные системы, включая российскую «МИР». У нас она получила название МИР Accept. Действительно, второй фактор существенно снижает область фишинга, но, что более важно для банков, перекладывает ответственность за фишинг с банка эквайера на мерчанта. А клиент и так всегда будет не прав. Лично я всегда шарахаюсь от сервисов, которые игнорируют безопасность ради мнимого удобства своего клиента. Странно, что до сих пор, когда весь мир борется с террористами и мошенниками, технология не стала обязательной.

Из моего круга таких пофигистов это Авито и Алиэкспресс. По последнему надо сказать отдельно. Казалось бы, делай покупки с кредитной карты, получай кэшбэк от банка, получай кэшбэк от других сервисов. Лайфхак по ссылке. Но вдруг произойдет ошибка и вместо 1000 руб. спишется 100 000 руб. И ходи, ищи свои деньги в поле. Поэтому в таких местах я всегда произвожу оплату со второстепенной банковской карты.

Но еще больше добивает, когда в целях экономии все повально банки переключаются с SMS на Push. Отпадает необходимость платить по всё растущим тарифам жадным сетевикам. Еще и приговаривают, что уровень безопасности якобы повысился. Причем, плату за оповещения брать не забывают. Здесь особенно отличается проект Кукуруза от Евросети и РНКО ПЦ, который присылает пушку на смартфон. Более того этот код уже вставлен в специальной поле в форме! Хорошо, что кнопка сама еще не нажимается. Но всё впереди, прогресс не стоит на месте, еще сделают, что будет и сама нажиматься после небольшого таймаута…

Я лично для второго фактора использую простенький кнопочный телефон типа Nokia 3310. Его и не украдут, а если где оставишь, еще догонят и вернут.

Снимаем деньги с карт в магазинах

Скоро в магазинах можно будет снимать деньги с банковских карт. 

«Мне, пожалуйста, два пива и две тысячи» – так можно будет обратиться к кассиру, если проект заработает.

Сбербанк, ВТБ и Русский Стандарт тестируют эту технологию. Запуск запланирован на 2 квартал текущего года. Так как данные банки обслуживают большое количество магазинов в торговых сетях, направление транзакционной информации в платежные системы не потребуется. Особенно много карт и магазинов у Сбербанка. Будем надеяться, что с наших российских карт МИР также можно будет снимать деньги в торговых сетях.

Пока планируется, что будет разрешено снимать деньги до 5000 руб. Как отмечают эксперты, еще остаётся множество юридических вопросов, включая формальный запрет самих платежных систем на такие снятия в России. Впрочем, в некоторых развитых странах эта технология уже работает. По заявлениям самих платежных систем, возможность снятия денег "на каждом углу" будет подталкивать клиентов банков шире использовать карты для покупок, а не только снимать в день зарплаты с них деньги. А значит, это будет более выгодно для банков и ПС.

Мне в данной технологии сразу видится такой аспект безопасности. Магазины это не отделения банков, они, скорее всего, будут даже хуже установленных где попало банкоматов. А значит, сразу расплодятся POS-терминалы, предназначенные для воровства карточных данных. Да и сама возможность анонимно снимать пятак будет подстегивать жуликов безопасно обналичивать ворованные карты.

Как будем от этого защищаться? А всё также - будем расплачиваться наличкой или перейдём на натуральное хозяйство. :-)

Поддельные POS-терминалы в кафе!

Мошенники придумали новую схему обмана с участием кассиров и официантов.

Они предлагают им подменить терминал оплаты на специальное устройство, которое делает копии банковских карт клиентов. Фальшивый терминал не принимает оплату, а считывает данные карт, в том числе пин-код. Чтобы ввести в заблуждение владельца карты, терминал-фальшивка печатает чек, сообщающий об отсутствии связи с банком. 

Устройство неотличимо от стандартного POS-терминала.

Чтобы обезопасить себя от этого вида риска, предлагается посещать кафе и рестораны, принимающие оплату по Apple Pay, Android Pay, Samsung Pay. А еще лучше в сомнительных заведениях расплачиваться наличными. :)