Рейтинг дебетовых карт

Рейтинг дебетовых карт ПС "Мир"
Эксклюзивное исследование Банки.ру — ноябрь, 2016

← к списку систем | • информация о системе • смотреть только избранные отзывы (1)

•Добавить отзыв о системе



избранный отзыв Серьезные проблемы уязвимости плохо (-1)
удобство подключения тарифы уровень поддержки общее впечатление
Всем добрый день.
Честно говоря сначала написал отзыв в другом разделе. Но админ меня направил сюда. Привожу здесь то что написал в другом разделе:

Имею текущий счет в Абсолюте. Захотел, так сказать. всегда держать руку на пульсе, чтобы каждый раз не звонить операторам и не узнавать состояние своего счета. Выяснилось, что единственный возможный вариант - это использование программы Интернет-Банкинг (которую можно скачать на сайте Абсолюта). Я так и не понял почему нет других вариантов, типа смс, ну да ладно. В общем, начинаю использовать программу Интернет-Банкинг.

В двух словах объясню как оно работает:
1. Пользователь с помощью специального модуля сначала регистрируется. При этом создается файлик с ключом (просто секретный набор байт). А также задается логин и пароль. Далее необходимо прийти в банк и там уже подписать договор о том, что я буду использовать эту программу.
2. Пользователь начинает пользоваться непосредственно программой.

А теперь о том, за что я ставлю минус:
В данной программе есть возможность сделать перевод со своего счета на некий другой. При этом никто не контролирует получателя денег. Я имею в виду, что ни банк, ни кто-либо другой не проверяет, правильно ли создан получатель и действительно ли получателя создал владелец счета.

Рассмотрим ситуацию:
По неизвестной причине злоумышленник завладел секретными данными пользователя Интернет-Банкинга: логином, паролем и файликом с секретным кодом. Далее злоумышленник может сделать с деньгами этого кого-то что ему угодно!

А теперь рассмотрим подобную ситуацию, но если будет другой банк:
Опять же по неизвестной причине злоумышленник завладел секретными данными другого пользователя, который не пользуется Интеренет-Банкингом, а пользуется другой системой (другом банке - не буду говорить в какомулыбка). В этом другом сервисе (как можно догадаться я этим сервисом пользуюсь) злоумышленник в общем-то мало что сможет сделать, т.к. для того чтобы добавить получателя денег, ему придется активировать данного получателя через оператора call-центра, при этом злоумышленнику придется убедить оператора в том, что он не злоумышленник, а тот самый пользователь.
Далее, допустим, у пользователя уже есть активированный им ранее получатель денег. Ну и что это даст злоумышленнику? Максимум, что он сможет сделать, так это подпортить нервы, т.к. деньги если и уйдут куда-то, то все равно это будут СВОИ получатели. В любом случае воспользоваться этими деньгами злоумышленник не сможет.

В общем, я звонил в call-центр Абсолюта и общался примерно по этому поводу, и в итоге мне дали понять, что ничего они поделать не могут. У них даже нет функции заблокировать все переводы со моего счета, исключая перевод на определенный счет. Максимум, что они советуют - это раз в какое-то время заходить и проверят, не украли ли у меня деньгиулыбка))

Вся эта история на самом деле началась еще в тот момент, когда я был в Ленинградском отделении (м. Динамо). Там я спросил у дамы-операционистки, мол, что будет, если кто-то (какой-то вирус) взломает программу и воспользуется моими кровными. В ответ на меня посмотрели свысока и, чуть посмеиваясь, сказали, что программа совершенна и что, мол, её взломать невозможно. Я, видя перед собой такого интеллектуального монстра, спорить не стал.

А на самом деле, "взлом" данной программы не является чем-то сверх возможным. Что для этого надо:
1. Написать вирус, который найдет на неком диске пользователя файл с ключем.
2. Написать вирус, который будет "слушать" все вводимые пользователем данные, и с помощью него определить логин и пароль.
3. Любым доступным способом доставить эти вирусы на комп пользователя. (Уверяю вас, этих способов масса, помимо пересылки по e-mail вложенных файлов.)
В общем-то вот и все. И если кто-то думает, что это что-то нереально сложное, то ему нечего беспокоитьсяулыбка. На самом деле это дело техники!

Теперь по поводу антивирусных программ, которые якобы должны от всего обезопасить. Многие, наверное, знают, что эти программы обновляются постоянно. Но это происходит не каждую секунду, а раз в день или больше, обычно раз в неделю. Так вот, вирус, который вы можете подцепить, может быть не "вылечен" текущей версией антивируса, а будет "вылечен" только в следующей!

В общем, все енто дело я знал всегда, но за неимением другого, приходится пользоваться этим интернет-банкингом. А сегодня прочитал письмо от них. Вот начало:

Уважаемые Клиенты!
Внимание!
Обнаружен троян, похищающий файлы с секретными ключами ЭЦП клиентов системы «iBank2»!
Подробнее о Мерах по обеспечению безопасности работы в системе Интернет-Банк - во вложенном файле или по адресу:
http://www.bifit.ru/ru/co­mpany/press/vazhno2.html


Так что на последок всем пользователям, - будьте готовы к неприятным сюрпризам.
А банку/создателям программы я бы настоятельно рекомендовал сделать активацию пользователем получателей переводов! Это можно даже сделать опционально, т.е. если кому-то не хочется активировать получателей по телефону, то он пишет об этом заявление и все. А для всех остальных будет режим намного более безопасным, нежели он сейчас!

PS:
вот что пишут на сайте бифита:
Банкам настоятельно рекомендуется:
1. использовать встроенный в систему «iBank 2» механизм IP-фильтрации по клиентам
2. использовать встроенный в систему «iBank 2» механизм выявления подозрительных документов
3. использовать встроенный в систему «iBank 2» механизм SMS-инфоромирования клиентов о входе в систему, поступлении документов, движении по счетам
4. начать плановый переход клиентов к использованию USB-токена «iBank 2 Key» (подробнее)
5. провести обновление системы «iBank 2» до последнего билда версии 2.0.14 — в последних билдах встроены новые дополнительные механизмы защиты информации

Не знаю точно про все пункты, но 3-ий пункт а абсолютбанка не работает. вот за это я я бы еще один минус поставил. Разработчик ведь настоятельно рекомендует выполнить 3-ий пункт, а банк похоже считает что это лишнее...

glebka 27.08.2008 16:37 4 комментария комментировать

← к списку систем | оставить отзыв о системе для юридических лиц

Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.