Должная осмотрительность при пользовании ДБО

17.09.2020 09:00 5 1 611 просмотров
Или разумная осторожность при использовании дистанционных банковских сервисов. Данные рекомендации для неискушённых пользователей основаны на многолетнем опыте работы в IT, годе работы в службе поддержки клиентов банка и информации с форума Banki.ru.

Термины:
• браузер – программа для посещения сайтов в Интернет: Microsoft Edge, Google Chrome, Mozilla Firefox и др.;
• ЛК – личный кабинет клиента Банка, обеспечивающий доступ к счетам, картам, оформлению новых продуктов и т.д.;
• МП – мобильное приложение: способ доступа в ЛК с помощью программы Банка из магазина Apple, Google или Microsoft, преимущественно со смартфона;
• ИБ – интернет-банк: способ доступа в ЛК через браузер;
• ДБО – дистанционное банковское обслуживание: доступ в ЛК через ИБ или МП;
• фишинговый сайт – поддельный сайт, который копирует дизайн и содержание известного сайта.

Защищаться будем от фишинговых сайтов и чуток от социальной инженерии.

Опытным пользователям: чем безопаснее – тем неудобнее, по-другому не бывает. Гайд не для любителей радикальной защиты: в банках укажу в качестве контактного никому не известный номер, оформленный на третье лицо, а SIM-карту установлю в бабушкофон' или 'для работы в ИБ буду держать отдельную виртуальную машину на Linux'. Это чересчур! 20% усилий дают 80% результата. Потому достаточно проявлять разумную осторожность, чтобы свести риски к минимуму.

• использование МП более безопасно, чем ИБ: закрытая система, которой не страшны фишинговые сайты и сторонние дополнения, которые может установить пользователь;
• не ставьте банковские приложения на root'ованный Android или iPhone с jailbreak'ом: на них можно установить абсолютно любое приложение, которое способно получить неограниченные права;
• не ставьте банковские приложения на дешёвый Android: прошивка таких устройств обычно не обновляется производителем, а значит, не будут закрываться обнаруженные уязвимости и добавляться возможности, усиливающие защиту;
• не пользуйтесь общедоступным Wi-Fi: вы можете некорректно среагировать, если что-то пойдёт не так в случае скомпроментированной сети, ибо требуются какие-никакие знания;
• не заходите в ИБ через поисковую систему, в браузере должны быть закладки. сайт банка указан на обратной стороне карты;
• подключение к ИБ всегда должно быть защищено: замочек слева в адресной строке браузера, сертификат выдан на год или два, и браузер на него не жалуется;
• на ПК/ноутбуках используйте платный менеджер паролей с синхронизацией между устройствами через облако. это убережёт и от привычки использовать простые и/или одинаковые пароли, и от необходимости сохранять их в браузере, откуда они могут быть легко прочитаны. если такое устройство одно – можно без облака и бесплатный;
• не экономьте на спичках: 'разоритесь' на долбанные 59 р./мес, чтобы получать оповещения о каждой операции: скупой в данном случае платит далеко не дважды;
• внимательно читайте текст сообщений с кодами подтверждения: он должен соответствовать операции, которую вы совершаете. при покупке не должно быть 'пароль для входа', 'код для регистрации', 'перевод' или 'card2card';
• оплата интернет-покупок должна проходить строго на сайте банка или платежного сервиса через защищённое подключение аналогично подключению к ИБ. магазин должен перенаправлять клиента туда ДО ввода реквизитов карты. таково требование правил безопасности процессинга, и лишь немногим сайтам разрешено запрашивать данные карты напрямую;
• не сохраняйте реквизиты карт на сайтах для будущих оплат: информация утекает даже из баз банков, что уж говорить про обычные интернет-магазины;
• если вы получаете SMS из Банка, причины которого неизвестны – надо забеспокоиться и обратиться в службу поддержки. первым делом попросите заблокировать ЛК, а потом разбирайтесь, не наоборот;
• входящие вызовы из Банка: да, они возможны, но чаще звонят мошенники. номер входящего вызова можно подделать, потому быть уверенным, что вы разговариваете с Банком, можно, только если вы им позвонили! если по ходу разговора у вас возникают сомнения, что вы говорите с сотрудником Банка – сообщите, что сами перезвоните в Банк и уточните, что назвать, чтобы вас на него переключили: это может быть личный код сотрудника или внутренний номер. никогда не звоните по названному вам номеру, номер Банка указан на обратной стороне карты;
• заранее сохраните в телефоне номера Банка с карты и/или с сайта: если вы, например, потеряете карту, то найти их будет куда сложнее, а дорога каждая минута! для блокировки карты у Банка может быть предусмотрен отдельный номер.

Дополнительные рекомендации, в первую очередь для держателей карт Тинькофф Банка, здесь.
Если деньги мошенники уже увели, иск к банку может быть основан на статьях ЗоЗПП, подробнее тут и тут.


P.S. С подачи комментариев памятка может быть обновлена, подпишитесь smile:yep:

Комментарии 5

Alexander O.
#
Цитата
• вместо push-уведомлений (пушей) используйте дешёвые и сердитые SMS: их перехватить куда сложнее и отправляются они всегда на одно и то же устройство

Вот этот момент весьма неоднозначный: https://www.kaspersky.ru/blog/ss7-hacked/22218/ (+ по ссылкам внутри)
Да и отвечают за доставку push-уведомлений на смартфоны, по сути, сейчас всего две организации — Google и Apple, и у обоих, естественно, они отправляются по зашифрованному при помощи протокола TLS соединению.

UPD: и ещё, касательно номера мобильного телефона — не следует забывать, что в случае, если ОПСОС поведёт себя халатно и допустит перевыпуск SIM-карты без вашего ведома, например по поддельной доверенности или сотрудника ОПСОСа просто подкупят (такие истории легко гуглятся: https://vc.ru/group-ib/63983-vishing), то последствия могут быть ещё более серьёзными.
Дмитрий Бобровский  (Safety1st)
#
Ты прав: однозначно нельзя сказать, как лучше получать коды – по SMS или push: первые могут перехватить, вторые могут поступать на устройство злоумышленников. ИМХО оптимальный вариант – генерировать коды в отдельном приложении (authenticator) + код восстановления в укромном месте. Убрал пункт из гайда: данный вопрос выходит за его рамки.
Revolution  (Revolution)
#
Цитата
не пользуйтесь общедоступным Wi-Fi

Да ладно. VPN никто не отменял. smile:uncap:
Дмитрий Бобровский  (Safety1st)
#
Не отменял. Просто VPN уже выходит за рамки гайда. Честно говоря, лично у меня нет необходимости его юзать, кроме как для доступа к корпоративным ресурсам.
Дмитрий Бобровский  (Safety1st)
#
Изменения:
Цитата
• подключение к ИБ обязательно должно быть защищено: замочек слева в адресной строке браузера и отсутствие жалоб на сертификат сайта;


Цитата
• подключение к ИБ всегда должно быть защищено: замочек слева в адресной строке браузера, сертификат выдан на год или два, и браузер на него не жалуется;


Цитата
• оплата интернет-покупок должна проходить строго на сайте банка через защищённое подключение, магазин должен перенаправлять клиента туда ДО ввода реквизитов карты: системы банка куда лучше защищены, чем сайт магазина, а значит, там указывать реквизиты безопаснее;


Цитата
• оплата интернет-покупок должна проходить строго на сайте банка или платежного сервиса через защищённое подключение аналогично подключению к ИБ. магазин должен перенаправлять клиента туда ДО ввода реквизитов карты. таково требование правил безопасности процессинга, и лишь немногим сайтам разрешено запрашивать данные карты напрямую;
Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.

Популярные сообщения

Ликбез по землям общего пользования в ДНП: выстраиваем защиту в соответствии с Законом.
Просторы интернета пестрят историями о том, как счастливые обладатели дачных участков становятся их заложниками и остаются один на один со своей проблемой.
0
Новости по итогам отчетности за сентябрь 2020 г.
#проблемные банки, #банки в зоне риска, #надежность банков, #дацзыбао о банках, экономике и финансах Обзор написан здесь:
1
О БЕДНОМ КЕШБЕКЕ ЗАМОЛВИТЕ СЛОВО(MTS Cashback)
Завела я себе весной аккаунт в одном из интернет-сервисов, а именно в МТС Кешбек. Ну и начала копить. Начислял кешбек этот сервис достаточно аккуратно,
1
Торговля в «шорт» на Санкт-Петербургской бирже для клиентов «БКС Мир инвестиций»
«БКС Мир инвестиций» предоставил возможность своим клиентам совершать короткие продажи на падении самых ликвидных акций на Санкт-Петербургской бирже.
0
Важность корректного указания назначения платежа
Нежелание анонсировать цель платежа или перевода банку равносильно переходу через дорогу без осмотра обеих сторон и внимания на сигнал светофора. К сожалению,
1

Новые сообщения

Продукты Банки.ру