| Цитата | ||
|---|---|---|
Strannyk пишет:
почему? X |
Вход в почту @pochtabank-client.ru
Изменено: - 02.11.2018 20:54
女性自尊的好處:自己的思想。
Форум
Безопасность каналов связи при работе с банком
безопасность и надежность дистанционного управления счетами
02.11.2018 20:50 Вход в почту @pochtabank-client.ru | |
19.11.2018 15:10
Какую юридическую силу имеет кодовое слово, которое клиент сам придумывает? Какую юридическую силу имеет отправленное клиентом СМС? Вот точно такую же силу будет иметь распоряжение клиента, направленное в самоподписанном электронном документе, если банк пропишет это в соглашении. По безопасности это гораздо лучше того, что мне предложил использовать ТБ:
tempur, как на Ваш профессиональный взгляд, предложенный банком способ больше юридической силы будет иметь? Изменено: - 19.11.2018 19:08 女性自尊的好處:自己的思想。 | |||||||
19.11.2018 20:07
GPG в законе нет Мало того что Вы хотите от Тинька ? Они до сих пор свои факмильные сканы не Хотят заверять УКЭП со стороны банка Хотя это выйдет им дешевле чем постоянно печатать бумагу и слать её Почтой России А за что Вам ДБО то блокнули ?
Можно всё оставить Только банки надо правильно Готовить  Мне ответ дали по Электронке как милые Правда пришлось им мозх немного покомпостировать  Изменено: - 19.11.2018 20:08 | |||||
19.11.2018 23:19
а смс есть? а карточки с экранчиком и кнопочками? а e-num как у вебманей? )) Закон не запрещает же GPG использовать? Нет, не запрещает. Но врядли банки начнут это делать, технология антиюзерфрендли. лентяй - это тот кто не делает вид что работает. | |||
22.11.2018 17:22
А люди не понимают. Реального примера применения не видят. Кроме того, что закон не запрещает, не видят люди вот этого:
Пытаясь ссылаться на закон, сам закон эти знатоки не читали: Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 23.06.2016) "Об электронной подписи" (с изм. и доп., вступ. в силу с 31.12.2017)
Изменено: - 22.11.2018 17:23 女性自尊的好處:自己的思想。 | |||||||||
22.11.2018 18:11
Мне не известно ни одного случая, когда банк сообщил это "за что" клиенту. Мне тоже не сказали. Банк манипулирует, подменяя понятия. Действительное лишение ДБО в полностью дистанционном банке - это нонсенс, это просто лишение клиента доступа к своим деньгам. Фактически банк лишает клиента возможности просмотра и управления счетами через защищенное соединение со страницей https для просмотра счетов и управления счетами. И подсовывает клиенту небезопасные способы управления без возможности просмотра. И не предоставляя выписки. Это как вести автомобиль с завязанными глазами по подсказкам пассажира. Если не захотели (почему? непонятно) чтобы клиент управлял, то зачем возможность просмотра блокировать? Это непонятно вдвойне. Фактически, если говорить без всяких манипуляций и подмены понятий, банк отобрал у клиента возможность просмотра и заменил безопасный канал связи невесть на что, подсунув небезопасный. Попросту клиента подставил. Изменено: - 23.11.2018 03:14 女性自尊的好處:自己的思想。 | |||
29.11.2018 21:19
Еще раз смотрим картинку с ответом банка:
Читаем свежий реальный пример:
animegravitation, Вы перепутали запрос клиента и ответ банка:
Мне тоже ответ по электронке давали. Только вот запрос не принимали, также как и в приведенном примере - посылают в отделение идентифицироваться.
animegravitation, если бы Вы только через электронную почту, не делая звонков, не посещая отделений, не оставляя письменных заявлений добились, тогда бы и можно было утверждать:
Изменено: - 29.11.2018 21:40 女性自尊的好處:自己的思想。 | |||||||||||||||||
09.06.2019 20:09
Поговорим о подтверждениях, это тоже один из каналов связи с банком. Какие здесь могут быть опасности для клиента? Всё ли сделано банками для безопасности средств клиентов? Исключаем из рассмотрения те операции, которые банки проводят без подтверждения. Только отметим, что ничего хорошего для безопасности средств клиента я лично в этом не вижу. Например операции списания средств без 3DS. Есть, во всяком случае раньше были (собственный опыт в Трасте), такие банки, которые такие операции отклоняют. Несмотря на желание клиента. Если магазин не использует 3DS, то банк просто не проведет операцию, даже если позвонить в банк и сказать, что это я хочу купить товар в этом магазине. Да, клиент лишается возможности купить, зато средства его в безопасности, потому что и мошенник по скомпрометированной (подсмотрены реквизиты) карте денег не украдет. Многие банки в настоящее время не спрашивают мнение клиента и по мошенническому запросу списывают средства без подтверждения клиентом (3DS). Потом начинаются долгие разборки в свете ФЗ-161. Есть банки, которые предоставляют клиенту выбор, то есть разрешить или запретить операции без 3DS. На мой взгляд - это лучший вариант. К сожалению редко у какого банка такой выбор предоставляется. Однако мы не будем рассматривать таких операций - которые банк может совершить без подтверждения и даже без ведома клиента. Есть ФЗ-161, это как раз там рассматривается. Рассмотрим те операции, которые требуют подтверждения клиентом. И попытаемся понять насколько это обезопасит средства от кражи. Изменено: - 09.06.2019 21:32 女性自尊的好處:自己的思想。 | |||
09.06.2019 22:13 Рассмотрение начнем с воровства крупных сумм у юр.лиц, они крупными суммами оперируют, должны бы и сами позаботиться о безопасности, да и банки должны бы им средства для этой безопасности предоставить. Но фактически видим: Украли деньги с расчетного счета организации, прошу помощи В этой теме ТС описывает кражу
В этой же теме сообщают другие пользователи:
В комментариях к отзыву ТС: Ann.net пишет:
Ingvar61 пишет:
Ivan226 пишет:
Как видим случаев предостаточно, есть над чем призадуматься. 女性自尊的好處:自己的思想。 | |||||||||||||||||
10.06.2019 01:47 Fita55, Я так и не понял, в каком месте произошла подмена реквизитов. Если на стороне клиента из-за вируса, то никакая безопасность не поможет. | |
10.06.2019 07:57 почему ж не поможет, в смс указывается оплата в пользу ООО "рога и копыта", сумма, а не просто сумма, клиент видит что косяк и не подписывает или отзывает уже подписанную платёжку. Ровно тоже самое можно с приложением на мобильнике делать или с любым другим устройство которое одноразовые ключи генерирует. Способы есть. лентяй - это тот кто не делает вид что работает. | |
10.06.2019 09:50 Я сталкивался с тем, что при генерации одноразового пароля нужно ввести 4 цифры номера счёта. Если происходит подмена при передаче на сервер банка, то одноразовый пароль будет неверный. Почему антивирус таких хакеров из вашей истории не выловил? | |
15.06.2019 14:27
На стороне клиента. Из-за вируса. Есть методы, которые могли бы помочь и в этом случае, если бы их применяли. Именно об этом говорят Axizdkr и _ПФ_.
Далеко не в одной истории, много их, этих историй. Чтобы понять "почему", нужно понимать как это работает. Для предварительного ознакомления статья в Википедии Антивирусная программа Цитата оттуда:
Другими словами: если сейчас появится новый вирус, то пока о его существовании не узнают антивирусные лаборатории, не исследуют этот вирус, существующие программы ничем не помогут. А чтобы лаборатории узнали, нужно чтобы некоторое количество потерпевших к ним обратились. Изменено: - 15.06.2019 14:33 女性自尊的好處:自己的思想。 | |||||||
15.06.2019 14:35 Fita55, Современные антивирусы используют искусственный интеллект и анализ шаблонов поведения. Как метод борьбы с уязвимости первого дня. Плюс стоит понимать, что ценность уязвимостей первого дня сейчас такая, что только лох будет такую использовать для взлома интернет-банка. Да ещё на стороне клиента! | |
15.06.2019 14:39 _ПФ_, не буду глубоко вдаваться в дискуссию по эффективности борьбы с вирусами. У меня к Вам другой вопрос.
Не припомните где сталкивались? 女性自尊的好處:自己的思想。 | |||
15.06.2019 14:41 Fita55, Правильно, вначале выпускается вирус, а потом на него делается "инъекция". Но антивирусы имеют эвристический анализ, который должен отрабатывать на новых вирусах которых ещё нету в базе, конечно эффективность этого не известна. Ну и в общем согласен про то что реквизиты платежа надо бы тщательней банкам проверять. | |
15.06.2019 14:42
Только антивирусы с этим интеллектом не справились с вирусом шифровальщиком, который бушевал года два или три назад. | |||
15.06.2019 14:47 _ПФ_ и intronet !
В этом разделе форума есть тема: Антивирусы 女性自尊的好處:自己的思想。 | |||
15.06.2019 14:48
女性自尊的好處:自己的思想。 | |||||
17.06.2019 14:06 Fita55, в интернет-банке одного иностранного банка. | |
17.06.2019 17:07
Вот! Поскольку мы говорим о безопасности, то очевидно, что такой способ формирования кода подтверждения операции поднимает эту самую безопасность на более высокий уровень. У меня есть что еще добавить на эту тему, но ...
/Вл. Высоцкий/ Поэтому пытаюсь выяснить у администрации критерии, по которым они определяют, что это реклама:
Изменено: - 17.06.2019 17:08 女性自尊的好處:自己的思想。 | |||||||||||||
21.06.2019 09:59
Пока я пытаюсь понять чего нельзя здесь, выходят новости: Сбербанк планирует развивать средства защиты каналов ДБО Сбербанк предложит рынку собственное решение в сфере кибербезопасности То есть понимают, что есть еще куда развиваться. Изменено: - 21.06.2019 10:02 女性自尊的好處:自己的思想。 | |||
27.06.2019 15:50 Тема начиналась с того, что Тинькоф предложил небезопасный способ связи с банком, закрыв при этом доступ к более безопасным способам. И ушел в глухое молчание, когда у клиента появились вопросы по этому поводу. Но он не одинок, есть и другие банки, в которых либо совсем не имеют понятия о безопасности, либо намеренно навязывают клиенту небезопасные способы. Яркий пример навязывания клиенту небезопасного способа подтверждения операции в этом отзыве: После жалобы банк заблокировал мой личный кабинет Ответы представителя банка наглядно показывают, что ПБ всеми правдами и неправдами пытается обелить действия сотрудников банка. И клиента, который отказался при входящем звонке обсуждать персональную финансовую информацию, но сделал исходящий звонок в банк, этого клиента теперь вынуждают к посещению офиса. То есть фактически банк всем клиентам показывает: если не будете сразу при входящем звонке выкладывать все, что спросит невесть кто, то учиним вам неприятности: будете по офисам бегать и в очередях стоять. В банке не понимают или делают вид, что не понимают, чем опасна для клиента такая позиция банка. Стоят на своем, хоть ты кол на голове теши. То есть Открытие, подобно Тинькову, закрывает клиенту безопасный способ связи с банком и навязывает способ небезопасный. Банки при этом никаких рисков на себя не берут, всю ответственность перекладывают на клиента. И даже обсудить проблему отказываются, просто молчат в ответ на конкретные вопросы. Изменено: - 27.06.2019 16:20 女性自尊的好處:自己的思想。 | |
27.06.2019 19:55 В массе своей банки одним из элементов безопасности сделали телефон клиента, то есть часть этой самой безопасности доверена третьей стороне. Без гарантий этой самой третьей стороны. Имеется в виду пересылка кодов аутентификации и подтверждения через SMS и Push операторов сотовой связи, а также голосовой канал общения с банком. Что же собой представляет этот канал связи? Посмотрим в Google:  Почитаем по первой ссылке: Атака на протокол SS7: как перехватить чужие звонки и SMS Поищем по порталу Банки.Ру:  Почитаем по найденным ссылкам: Минкомсвязь занялась перехватом звонков и СМС ради испытаний Минкомсвязь протестировала возможность перехвата звонков и СМС 女性自尊的好處:自己的思想。 | |
27.06.2019 23:58 push сообщения всё же не так просто перехватить, в каком-то смысле они безопаснее смсок Изменено: - 27.06.2019 23:58 лентяй - это тот кто не делает вид что работает. | |