Форум

Предложения банкам по улучшению защиты клиентов от мошеннических атак

Подскажите, как правильнее их разместить.
Поиск по теме

Цитата
камо пишет:
Когда это я спорил с очевидным?


Вот:

Цитата
камо пишет:
Бесполезно искать на стороне банков способы защиты от деструктивных действий САМОГО клиента

Вы утверждаете, что нет смысл на стороне банка искать защиту от деструктивных действий самого клиента. А я вас снова приглашаю в 21-й век информационных технологий и призываю принять ту высокую ценность, которую сегодня информация несет.
Банк начал со своей стороны предупреждать клиентов о риске мошенничества, раскрывать им схемы, пусть и не так детально, как нужно. Но банк доносит информацию, и это вовсе не бесполезно, потому что мы сами делаем это, и это работает.
Я вам ничего не приписываю. И моя цель не переспорить вас, стреляя смайликами, а разъяснить другим участникам форума, почему ваше отношение к мерам против социальной инженерии вредно тем, кто с ней борется.
 
Цитата
StanislavOlllin пишет:
Люди попадаются массово, потому что не знают, что смс с номера 900 можно отправить на любой телефон используя сайт и онлайн-сервисы банка.

А какая разница? Хоть с номера 900.. или с +100500 (Сбер ить не единственный банк в стране).
Если бы у людей в голове хранилась фраза НИКОМУ не говорите код, то номер не имел бы значения.

Вчерашняя новость на сайте
Альфа сделала фишинговый сайт, где разместила рекомендации.
Цитата
Во-первых, никому не сообщайте данные карты, CVV-код и пароли из СМС. Даже сотрудникам Альфа-Банка. Настоящий сотрудник не потребует от вас личные данные, а вот мошеннику они дают прямой доступ к деньгам», — предупреждают в банке.
Во-вторых, не надо скачивать программы и приложения по просьбе «банка». «Наши сотрудники не проверяют ваши устройства на антивирусы. Требования скачать программу — 100-процентная уловка мошенника», — отмечают в банке.
В-третьих, не нужно переводить деньги на другие счета и карты по просьбе «банка». «Мошенники заверяют, что это ради безопасности, а на самом деле хотят, чтобы деньги отдали добровольно. Доказать обратное будет трудно, поэтому если вам звонят и пугают потерей денег — кладите трубку и звоните в банк по номеру на обратной стороне карты», — поясняется в инструкции.
В-четвертых, в банке рекомендуют избегать слишком щедрых предложений. «В соцсетях стало больше рекламы от лжебанков, которые обещают денежную помощь, государственные выплаты и невероятные призы. Проверяйте, кому принадлежит страница: мошенники не могут использовать наше название.

Т.е элементарные вещи, о которых говорится везде и давно.
Как детям - к чужим не подходить, не разговаривать с ними, ничего у них не брать, никуда с ними не ходить.
И дети это делают.
А взрослые - нет. smile:fool:
Изменено: Мимохожий - 05.08.2020 12:35
У меня есть мнение по всем вопросам. Очень четкое мнение. Правда, иногда я с ним не согласен (с)
 
Цитата
StanislavOlllin пишет:
Вы утверждаете, что нет смысл на стороне банка искать защиту от деструктивных действий самого клиента.

Да.
Срвершенно верное утверждение.
Закон РФ не позволяет банку НЕ исполнять распоряжения клиента по управлению собственными средствами....
 
Цитата
камо пишет:
Закон РФ не позволяет банку НЕ исполнять распоряжения клиента по управлению собственными средствами

Да к чему вы это пишите. Мы разве про это говорим. Все меры о которых мы написали призваны помочь клиенту понять, что его разводят. Никто кроме банка не может этого сделать для своих клиентов.
 
Цитата
Мимохожий пишет:
Т.е элементарные вещи, о которых говорится везде и давно.
Как детям - к чужим не подходить, не разговаривать с ними, ничего у них не брать, никуда с ними не ходить


Я думаю, что мы с вами можем вот так бесконечно ходить по кругу, так как вы снова и снова противопоставляете огромному количеству реальных кинутых людей тот факт, что они не соблюли правила безопасности.

Но я снова и снова буду повторять вам, что все меняется, когда человек верит, что с ним связались сотрудники банка. И сервисы самого банка помогают мошенникам убедить в этом клиента. И ваши аналогии не применимы к ситуации, так как ребенку нужно один раз сказать, что к незнакомым людям подходить нельзя, а в истории с новыми технологиями нужно предупреждать людей постоянно, так как кроме "незнакомых дядь" появляется еще куча новых угроз.

И будет все больше пока полиция не начнет работать
https://radio-kurs.ru/45412-zhitel-kur...editu.html
 
Цитата
Мимохожий пишет:
А какая разница? Хоть с номера 900.. или с +100500 (Сбер ить не единственный банк в стране).
Если бы у людей в голове хранилась фраза НИКОМУ не говорите код, то номер не имел бы значения.


ладно социальная инженерия, а Вы почитайте отзывы о ВТБ банке - там прям череда краж с накопительных счетов клиентов идет - а от банка отписки.
 
Цитата
StanislavOlllin пишет:
Все меры о которых мы написали призваны помочь клиенту понять, что его разводят. Никто кроме банка не может этого сделать для своих клиентов.

Эти меры уже давно в ходу у банков - сайты, инструкции по безопасности, предупреждения в смс....
Одим словом - информирование клиента.
Все! пассивная защита малоэффективна - ничего на стороне банка сделать НЕВОЗМОЖНО. Абсолютно все решает САМ клиент!....
 
Цитата
камо пишет:
Все! пассивная защита малоэффективна - ничего на стороне банка сделать НЕВОЗМОЖНО. Абсолютно все решает САМ клиент!


Тогда скажите сами, что вы считаете. что канал о мошенниках, открытый 26 июня, push-уведомления о котором были отправлены в приложения в конце июля, а также email-рассылка сделанная в конце июля, со стороны ПАО Сбербанк - попытки сделать то, что НЕВОЗМОЖНО. А то вы как-то общими словами. Я вас прошу прокомментировать конкретные меры Сбербанка, чтобы вы не говорили, что я что-то приписываю
 
Цитата
StanislavOlllin пишет:
Но я снова и снова буду повторять вам, что все меняется, когда человек верит, что с ним связались сотрудники банка.

А я о чем? Дети уже не верят, что дядя пришел от папы и нужно с ним идти (см.выше).
Верит? Нет проблем - Я сейчас вам перезвоню.

У меня была история.
Маме (80 лет) позвонил типа мой сын (говорит, что голос был ОЧЕНЬ похож).
Обычное разводилово - Бабушка (!!!!), я подрался, менты взяли, нужны деньги.
И пожилой человек (сомнения у нее были реальные) что сделал?
1. Подумал.
2. Перезвонил нам.
У меня есть мнение по всем вопросам. Очень четкое мнение. Правда, иногда я с ним не согласен (с)
 
Банк может сколько угодно информировать клиентов любыми способами, но повлиять на деструктивные действия клиента НЕ может. У банка нет юридических оснований что-то запрещать клиенту в части пользования собственными денежками.
 
Цитата
StanislavOlllin пишет:
конкретные меры Сбербанка, чтобы вы не говорили, что я что-то приписываю

Конкретные меры не выходят за рамки ИНФОРМИРОВАНИЯ.
Никакой защиты от действий самого клиента на стороне банка нет.
 
Цитата
камо пишет:
Конкретные меры не выходят за рамки ИНФОРМИРОВАНИЯ.

Просто у ТС особый взгляд (что может и применимо для "особо одаренных" клиентов банка).
Типа - 1 раз они не понимают. Поэтому специально для них необходимо все повторять раз по 150. Да еще и с различными примерами.
У меня есть мнение по всем вопросам. Очень четкое мнение. Правда, иногда я с ним не согласен (с)
 
Цитата
камо пишет:
Банк может сколько угодно информировать клиентов любыми способами, но повлиять на деструктивные действия клиента НЕ может. У банка нет юридических оснований что-то запрещать клиенту в части пользования собственными денежками


Мы не призываем принять какие-то акты для того, что появлялись юридические основания для таких запретов. В части предложения по запрету восстановления доступа по номеру карты тоже вас поддерживаем (дописали в комментариях к нашим предложениям ваше предложение)
Мы предлагаем банкам просто информировать людей, чтобы они просто не становились жертвами мошенников, так как субъективно или нет, но они все равно будут винить банк, а банк, который позаботится о главной угрозе мошенничества - социально инженерии - будет успешнее у клиентов.
И все. Я не понимаю, почему столько людей отрицают это.
 
Цитата
StanislavOlllin пишет:
Мы предлагаем банкам просто информировать людей

Покажите хоть один банк, который еще не информирует... smile:D smile:D smile:D
 
Цитата
камо пишет:
Все! пассивная защита малоэффективна - ничего на стороне банка сделать НЕВОЗМОЖНО. Абсолютно все решает САМ клиент!

Может стоит использовать опыт зарубежных банков, которые как то справляются с этой проблемой? Или банковскому сообществу заказать тематическую передачу на тему тех же разводов, например у Малахова или кто там в прайм-тайме сейчас актуален. Полстраны как минимум посмотрит, обсудит и будет в курсе актуальных угроз. А так болтовня одна, информация на сайте и т.п. Это только для того, что бы потом сказать "ну мы же предупреждали!"
Никто там ничего читать не будет, примите это как данность и вырабатывайте иные стратегии решения проблемы. Имхо, никто из банков в этом не заинтересован, так как в РФ репутационные риски и ответственность за хищения ничего не значат. По любому, должна быть защита от дурака. В наших банках её нет.
 
Цитата
В 2019 году банки провели 576,5 тыс. транзакций на сумму 6,4 млрд руб., которые впоследствии были признаны несанкционированными, сообщал ранее ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России). К ним относятся переводы физических и юридических лиц без их согласия с помощью платежных карт и других электронных средств платежа, в том числе электронных кошельков. В 2018 году ЦБ сообщил о несанкционированных операциях всего на 1,4 млрд руб., но в эту сумму включил только переводы по платежным картам.

Подробнее на РБК:
https://www.rbc.ru/finances/05/08/2020...rometer.ru

6,4 млрд за год - неплохой бизнес для мошенников и тех, кто их крышует smile:|
 
Цитата
StanislavOlllin пишет:
Мы предлагаем банкам просто информировать людей,


Цитата
камо пишет:
05.08.2020
ВТБ фиксирует всплеск активности фишинговых сайтов, которые имитируют работу настоящего банковского интернет-ресурса. Число выявленных в июле мошеннических порталов-двойников, выросло в 2,5 раза и превысило 50 адресов. Клиенты видят фейковые страницы при поисковых запросах, оставляют там свои банковские данные, чем пользуются мошенники, выводящие средства своих жертв со счетов через некоторое время.

Злоумышленники используют создаваемые ими сайты для получения персональных данных и доступа к средствам граждан. Всю необходимую информацию клиенты сообщают владельцам фейковых сайтов сами. Чтобы минимизировать подозрения в правонарушении, мошенники выводят средства со счетов клиентов, выжидая около недели. По каждому из выявленных случаев ВТБ проводит индивидуальную проверку и сотрудничает с правоохранительными органами. ВТБ также на постоянной основе проводит работу с поисковыми системами для удаления подобных мошеннических сайтов из результатов поиска.

Специалисты ВТБ просят клиентов быть бдительными и перед вводом персональной финансовой информации в интернете проверять адреса сайтов. Ранее ВТБ уже сообщал основные правила, которые позволяют отличить адрес настоящего приложения ВТБ от мошеннического:

правильный адрес сайта — online.vtb.ru, слова разделены точками
официальный сайт ВТБ online.vtb.ru указан в договоре клиента с банком и является единственным верным адресом;
в адресной строке перед названием официального сайта ВТБ-Онлайн при нажатии мышкой на ссылку указано https://. Эти символы обозначают, что соединение с банком безопасно и происходит по зашифрованному протоколу связи;
Также ВТБ напоминает, что, если при переходе по ссылке на сайт браузер предупреждает об опасности и вероятности возможной кражи денег, рекомендуется закрыть вкладку и не вводить на данной странице никакие данные. Во многих браузерах встроена антивирусная защита, которая предупреждает посетителей об опасности перехода по сомнительным ссылкам.

Ранее в июне ВТБ предупреждал о появлении мошеннических сайтов-двойников. Кредитная организация фиксировала жалобы клиентов на мошеннические сайты, интерфейс которых напоминает банковские. В январе-мае текущего года ВТБ не фиксировал обращений клиентов о попытках данного вида мошенничества, в июне было получено несколько десятков таких обращений.
 
Цитата
StanislavOlllin пишет:
А из приведенного вами отзыва неясно, как произошел все-таки перевод. Я часто встречаю отзывы, в которых пишется, что мошенникам было достаточно только звонка, а пароли и доступы им клиенты не давали. Что была блокировка, а мошенники как-то сами разблокировали карту приняв звонок роббота банка вместо клиента. Как это происходит без доступа в ЛК сотового оператора, я пока не понимаю

А тут и понимать нечего. Запомните - люди врут, или как минимум не договаривают.
 
Цитата
m*******@orc.ru пишет:
Цитата

StanislavOlllinпишет:
А из приведенного вами отзыва неясно, как произошел все-таки перевод. Я часто встречаю отзывы, в которых пишется, что мошенникам было достаточно только звонка, а пароли и доступы им клиенты не давали. Что была блокировка, а мошенники как-то сами разблокировали карту приняв звонок роббота банка вместо клиента. Как это происходит без доступа в ЛК сотового оператора, я пока не понимаю

А тут и понимать нечего. Запомните - люди врут, или как минимум не договаривают.

И еще, чудес не бывает, грубо говоря, если кто-то узнал ПИН-код (CVV/CVC, пароль 3DS) значит клиент их как-то сообщил, другого не бывает, эти вещи не хранятся в БД.
 
Цитата
камо пишет:
Покажите хоть один банк, который еще не информирует


ПАО СБЕРБАНК
вышел писал почему
 
Цитата
m*******@orc.ru пишет:
И еще, чудес не бывает, грубо говоря, если кто-то узнал ПИН-код (CVV/CVC, пароль 3DS) значит клиент их как-то сообщил, другого не бывает, эти вещи не хранятся в БД.


А как же базы данных клиентов банка, которые продают время от времени в Даркнете с указанием в т.ч. кодов CVV/CVC? Причем была статья на RBC, что журналисты проверили фрагмент такой базы и данные базы совпали с данными конкретных клиентов.
 
Цитата
StanislavOlllin пишет:
ПАО СБЕРБАНК
вышел писал почему

Чем Вам Сбер не угодил? Информирует, как все остальные... smile:uncap:
 
Цитата
a*******@mail.ru пишет:
А как же базы данных клиентов банка, которые продают время от времени в Даркнете с указанием в т.ч. кодов CVV/CVC?

Агентство ОБС?
Цитата
a*******@mail.ru пишет:
Причем была статья на RBC, что журналисты проверили фрагмент такой базы и данные базы совпали с данными конкретных клиентов.

Да мало ли кто и что пишет, со всей ответственностью заявляю этих данных в базе НЕТ, они каждый раз вычисляются устройством HSM на лету.
Изменено: mikhailov65 - 07.08.2020 12:57
 
Цитата
m*******@orc.ru пишет:
Агентство ОБС?


OBNBS
 
Цитата
StanislavOlllin пишет:

Если клиент не вводит данные на фишинговом сайте или не сообщает их телефонным мошенникам, то у него редко бывают проблемы с тем, что кто-то восстановил доступ к его ЛК по номеру карты и смс-коду. Я думал, что как раз-таки попавшихся на такие уловки потерпевших описанная мера и спасала бы. А иначе кого она обезопасит, неясно

Цитата
камо пишет:
Цитата

камопишет:
А вот защита от подключения в личный кабинет ИБ банковского мобильного приложения на устройстве МОШЕННИКА - существует... и технически реализуема.
Достаточно сделать галочку/крестик - ВКЛ/ОТКЛ в личном кабинете "Запрет подключения нового мобильного устройства и восстановления доступа по номеру ЛЮБОЙ карты"


Цитата

камопишет:

Кража телефона/карты, их утеря, разбойное нападение,бесчувственное состояние жертвы в результате ДТП и тп и тд...
Временная утрата контроля на телефоном и картой в сауне, косметическом салоне и тп и тд X
X
X

И вопрос защиты реально снят, если клиент ВКЛЮЧИТ запрет.


Запрет подключения новых мобильных устройств может обезопасить и жертв фишинга. Если мошенник, используя данные, введенные клиентом на фишинговом сайте, устанавливает МП на своем устройстве и переходит на пуш-уведомления, кража денег клиента возможна и без утраты контроля над симкартой. Мошеннику приходят пуши на его собственное устройство. А вот запрет подключения нескольких мобильных устройств - запрет на установку МП на новое устройство может обезопасить даже тех, кто беспечно вводит логин-пароль к ИБ и код СМС на фишинговых сайтах.
Изменено: Ever⚡ - 11.08.2020 19:07
 
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)

Продукты Банки.ру