Должные осмотрительность и осторожность при пользовании ДБО

17.09.2020 09:00 7 2 582 просмотра
Или разумная осторожность при использовании дистанционных банковских сервисов. Данные рекомендации для неискушённых пользователей основаны на многолетнем опыте работы в IT, годе работы в службе поддержки клиентов банка и информации с форума Banki.ru.

Термины:
• браузер – программа для посещения сайтов в Интернет: Microsoft Edge, Google Chrome, Mozilla Firefox и др.;
• ЛК – личный кабинет клиента Банка, обеспечивающий доступ к счетам, картам, оформлению новых продуктов и т.д.;
• МП – мобильное приложение: способ доступа в ЛК с помощью программы Банка из магазина Apple, Google или Microsoft, преимущественно со смартфона;
• ИБ – интернет-банк: способ доступа в ЛК через браузер;
• ДБО – дистанционное банковское обслуживание: доступ в ЛК через ИБ или МП;
• фишинговый сайт – поддельный сайт, который копирует дизайн и содержание известного сайта.

Защищаться будем от фишинговых сайтов и чуток от социальной инженерии.

Опытным пользователям: чем безопаснее – тем неудобнее, по-другому не бывает. Гайд не для любителей радикальной защиты: в банках укажу в качестве контактного никому не известный номер, оформленный на третье лицо, а SIM-карту установлю в бабушкофон' или 'для работы в ИБ буду держать отдельную виртуальную машину на Linux'. И не для фанатов популярной ереси типа 'для использования в интернете заведите отдельную карту со своими лимитами' (обоснование в комментариях). Это чересчур! 20% усилий дают 80% результата. Потому достаточно проявлять разумную осторожность, чтобы свести риски к минимуму.

• использование МП более безопасно, чем ИБ: закрытая система, которой не страшны фишинговые сайты и сторонние дополнения, которые может установить пользователь;
• не ставьте банковские приложения на root'ованный Android или iPhone с jailbreak'ом: на них можно установить абсолютно любое приложение, которое способно получить неограниченные права;
• не ставьте банковские приложения на дешёвый Android: прошивка таких устройств обычно не обновляется производителем, а значит, не будут закрываться обнаруженные уязвимости и добавляться возможности, усиливающие защиту;
• не пользуйтесь общедоступным Wi-Fi: вы можете некорректно среагировать, если что-то пойдёт не так в случае скомпроментированной сети, ибо требуются какие-никакие знания;
• не заходите в ИБ через поисковую систему, в браузере должны быть закладки. сайт банка указан на обратной стороне карты;
• подключение к ИБ всегда должно быть защищено: замочек слева в адресной строке браузера, сертификат выдан на год или два, и браузер на него не жалуется;
• на ПК/ноутбуках используйте платный менеджер паролей с синхронизацией между устройствами через облако. это убережёт и от привычки использовать простые и/или одинаковые пароли, и от необходимости сохранять их в браузере, откуда они могут быть легко прочитаны. если такое устройство одно – можно без облака и бесплатный;
• не экономьте на спичках: 'разоритесь' на долбанные 59 р./мес, чтобы получать оповещения о каждой операции: скупой в данном случае платит далеко не дважды;
• внимательно читайте текст сообщений с кодами подтверждения: он должен соответствовать операции, которую вы совершаете. при покупке не должно быть 'пароль для входа', 'код для регистрации', 'перевод' или 'card2card';
• оплата интернет-покупок должна проходить строго на сайте банка или платежного сервиса через защищённое подключение аналогично подключению к ИБ. магазин должен перенаправлять клиента туда ДО ввода реквизитов карты. таково требование правил безопасности процессинга, и лишь немногим сайтам разрешено запрашивать данные карты напрямую;
• не сохраняйте реквизиты карт на сайтах для будущих оплат: информация утекает даже из баз банков, что уж говорить про обычные интернет-магазины;
• если вы получаете SMS из Банка, причины которого неизвестны – надо забеспокоиться и обратиться в службу поддержки. первым делом попросите заблокировать ЛК целиком, а потом разбирайтесь, не наоборот;
• входящие вызовы из Банка: да, они возможны, но чаще звонят мошенники. номер входящего вызова можно подделать, потому быть уверенным, что вы разговариваете с Банком, можно, только если вы им позвонили! если по ходу разговора у вас возникают сомнения, что вы говорите с сотрудником Банка – сообщите, что сами перезвоните в Банк и уточните, что назвать, чтобы вас на него переключили: это может быть личный код сотрудника или внутренний номер. никогда не звоните по названному вам номеру, номер Банка указан на обратной стороне карты;
• заранее сохраните в телефоне номера Банка с карты и/или с сайта: если вы, например, потеряете карту, то найти их будет куда сложнее, а дорога каждая минута! для блокировки карты у Банка может быть предусмотрен отдельный номер;
• для смартфонов есть специальные программы, облегчающие идентификацию мошенников: например, Who Calls для iPhone от Лаборатории Касперского:


Дополнительные рекомендации, в первую очередь для держателей карт Тинькофф Банка, здесь.
Если деньги мошенники уже увели, иск к банку может быть основан на статьях ЗоЗПП, подробнее тут и тут.


P.S. С подачи комментариев памятка может быть обновлена, подпишитесь smile:yep:

Комментарии 7

Alexander O.
#
Цитата
• вместо push-уведомлений (пушей) используйте дешёвые и сердитые SMS: их перехватить куда сложнее и отправляются они всегда на одно и то же устройство

Вот этот момент весьма неоднозначный: https://www.kaspersky.ru/blog/ss7-hacked/22218/ (+ по ссылкам внутри)
Да и отвечают за доставку push-уведомлений на смартфоны, по сути, сейчас всего две организации — Google и Apple, и у обоих, естественно, они отправляются по зашифрованному при помощи протокола TLS соединению.

UPD: и ещё, касательно номера мобильного телефона — не следует забывать, что в случае, если ОПСОС поведёт себя халатно и допустит перевыпуск SIM-карты без вашего ведома, например по поддельной доверенности или сотрудника ОПСОСа просто подкупят (такие истории легко гуглятся: https://vc.ru/group-ib/63983-vishing), то последствия могут быть ещё более серьёзными.
Дмитрий Бобровский  (Safety1st)
#
Ты прав: однозначно нельзя сказать, как лучше получать коды – по SMS или push: первые могут перехватить, вторые могут поступать на устройство злоумышленников. ИМХО оптимальный вариант – генерировать коды в отдельном приложении (authenticator) + код восстановления в укромном месте. Убрал пункт из гайда: данный вопрос выходит за его рамки.
Revolution  (Revolution)
#
Цитата
не пользуйтесь общедоступным Wi-Fi

Да ладно. VPN никто не отменял. smile:uncap:
Дмитрий Бобровский  (Safety1st)
#
Не отменял. Просто VPN уже выходит за рамки гайда. Честно говоря, лично у меня нет необходимости его юзать, кроме как для доступа к корпоративным ресурсам.
Дмитрий Бобровский  (Safety1st)
#
Обновления:
• изменено:
Цитата
• подключение к ИБ обязательно должно быть защищено: замочек слева в адресной строке браузера и отсутствие жалоб на сертификат сайта;


Цитата
• подключение к ИБ всегда должно быть защищено: замочек слева в адресной строке браузера, сертификат выдан на год или два, и браузер на него не жалуется;

• изменено:
Цитата
• оплата интернет-покупок должна проходить строго на сайте банка через защищённое подключение, магазин должен перенаправлять клиента туда ДО ввода реквизитов карты: системы банка куда лучше защищены, чем сайт магазина, а значит, там указывать реквизиты безопаснее;


Цитата
• оплата интернет-покупок должна проходить строго на сайте банка или платежного сервиса через защищённое подключение аналогично подключению к ИБ. магазин должен перенаправлять клиента туда ДО ввода реквизитов карты. таково требование правил безопасности процессинга, и лишь немногим сайтам разрешено запрашивать данные карты напрямую;
Дмитрий Бобровский  (Safety1st)
#
Обновления:
• изменено:
Цитата
Гайд не для любителей радикальной защиты: в банках укажу в качестве контактного никому не известный номер, оформленный на третье лицо, а SIM-карту установлю в бабушкофон' или 'для работы в ИБ буду держать отдельную виртуальную машину на Linux'.


Цитата
Гайд не для любителей радикальной защиты: в банках укажу в качестве контактного никому не известный номер, оформленный на третье лицо, а SIM-карту установлю в бабушкофон' или 'для работы в ИБ буду держать отдельную виртуальную машину на Linux'. И не для фанатов популярной ереси типа 'для использования в интернете заведите отдельную карту со своими лимитами' (обоснование в комментариях).

• изменено:
Цитата
первым делом попросите заблокировать ЛК, а потом разбирайтесь, не наоборот


Цитата
первым делом попросите заблокировать ЛК целиком, а потом разбирайтесь, не наоборот

• добавлено:
Цитата
• для смартфонов есть специальные программы, облегчающие идентификацию мошенников: например, Who Calls для iPhone от Лаборатории Касперского:
Дмитрий Бобровский  (Safety1st)
#
Отдельная карта со своими лимитами – норм, а вот заводить отдельную карту специально для платежей в Интернете не считаю необходимым:
• виртуалки не имеют никаких преимуществ в случае оспаривания операций;
• даже на основной карте не считаю разумным держать большие суммы (или большие лимиты), чтобы у меня была необходимость ещё сильнее занижать лимиты на дополнительных картах;
• нет необходимости платежей на сомнительных сайтах, в крайнем случае лучше заюзать т.н. электронные деньги.
Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.

Популярные сообщения

Брокер ВТБ. Подписание реестра сделок через СМС и отказ от маржинальной торговли
Решил зафиксировать "лайфхаки", пока не забыл как делал. Открыл брокерский счет в ВТБ сравнительно недавно. Описал этот процесс здесь. Прошел месяц.
2
Расходные банковские продукты. Июнь 2021
Банковские продукты, сочетающие максимальную доходность и распоряжение средствами без ограничений Порог включения от 5.1% в пересчёте на вклад с
0
Очередной банк, на этот раз Энергомашбанк, лишен доверия и лицензии.
Этот банк также относится к 5 группе проблемности, куда отнесены банки с тотальной концентрацией безналичной ликвидности на счетах в других банках/ке.
0
А на этот случай...
...у меня проездной!
0

Новые сообщения

Продукты Банки.ру