(Не)доверенные коммуникации
Почитываю эстонскую прессу, слежу за развитием сюжета о «русской» цифровой преступности в этой стране. Обращает внимание, что журналисты начинают готовить всё более содержательные материалы. В первую очередь речь идёт о том, что массовой аудитории предлагается достаточно полное и понятное описание актуальных угроз.
Вот, например, рассказ о рисках, сопряжённых с бесконтрольным оборотом фотографий удостоверяющих документов. Приводятся разные случаи с подробными объяснениями чего бояться, а чего — нет. Обращает внимание, насколько отличаются подходы местного бизнеса к вопросам KYC от украинского, прости господи, финтеха. «В нашей компании подобную проблему (попыток оформления на чужие данные — Р.Х.) предвидели с очень давних времён, и она решена личной идентификацией клиента. Мы идентифицируем людей, которые приходят к нам в офис, а также долгое время сотрудничали с Omniva (почтовой службой — Р.Х.), где клиент должен был лично на месте при сотруднике почты идентифицировать себя. Он предоставлял свой документ, работник почты проверял его действительность и фотографию на нем. Конечно, были попытки обмануть, но бдительные работники почты это пресекали и сообщали нам», – рассказывает Геннадий Кротов из Placet Group OÜ.
Ещё одно значимое отличие — возможность сверки данных удостоверяющего документа с официальным реестром. В Украине, насколько могу судить, это всё ещё остаётся административным таинством, недоступным даже для нотариусов и прочих вроде бы специально предназначенных для этого людей.
Очень интересен ещё один материал «МК-Эстония», в котором рассказывается история успешной атаки на банковский счёт некоей дамы. Во-первых, преступники мимикрировали под сотрудников СБ банка, используя подмену телефонного номера. Во-вторых, они реализовали MITM-атаку с использованием SmartID жертвы. Иными словами, речь идёт о схеме, которую я недавно описывал в своём опусе с критикой очередных новаций Дии.
Наконец, в-третьих, «все три транзакции вели на украинский электронный кошелек Liqpay, через который преступники оплатили покупки в украинских интернет-магазинах Citrus – 1225,06 евро и Komfi – 2603,21 евро».
Судя по материалам эстонской прессы, не сидят сложа руки и местные правоохранительные органы. В одной из публикаций нашёл видео, в котором полиция сжато, но достаточно подробно описывает атаки вроде той, от которой пострадала дама из самого первого материала. Стоит заметить, всё таки, что в заметке говорится про номера, всего лишь похожие на номера эстонских банков. Между тем номера, с которых поступали звонки мошенников, были не похожи, а идентичны банковским.
Как бы то ни было, активная просветительская деятельность полиции и СМИ приносит свои плоды. «В Ида-Вирумаа, например, в сентябре полицией было зарегистрировано уже в три раза меньше случаев таких мошенничеств, чем в августе», — пишет Postimees. Чёрт его знает, где это Ида-Вирумаа и что это вообще такое, но тенденция обнадёживающая.
Как видим, в центре внимания находятся проблематика подмены номера и регламенты платёжных систем. Примечетально, что подобные атаки вызывают всё больший интерес в Украине. Недавно давал на сей счёт комментарии для материала UBR, ниже они приведены целиком.
Проблема (не)доверенных коммуникаций
Цифровой транзит украинского общества обуславливает непрерывное увеличение массива общественных отношений — экономических, властных, межличностных, — опосредуемых цифровыми технологиями. Попросту говоря, всё большая часть жизни общества протекает в особого рода цифровом пространстве, цифровой среде.
Очевидно, что цифровая среда должна быть безопасной, то есть должны отсутствовать риски катастрофического ущерба вроде шантажа, кражи имущества или финансовых активов, кражи цифровой идентичности. С другой стороны, эта среда должна вызывать у граждан доверие, уровень наличествующих в ней рисков не должен превращаться в системное препятствие, барьер для реализации интересов и потребностей граждан.
К сожалению, на сегодняшний день архитектура и дизайн абсолютного большинства пользовательских услуг попросту игнорирует либо не учитывает в достаточной степени проблематику безопасности и доверия в цифровой среде, включая уже актуальные и широко распространённые угрозы.
В нынешних условиях обеспечить доверенность каналов общения финансовых учреждений и клиентов можно по-разному. Есть методы более и менее простые, более и менее сложные/дорогие, обеспечивающие большую или меньшую надёжность. Поэтому крайне желательно, даже категорически необходимо получить от регулятора этого рынка — НБУ, — внятные и, желательно, исчерпывающие рекомендации на сей счёт.
Помимо этого ничто не может помешать каждому финансовому учреждению разработать и ввести в дело собственные руководящие документы, причём публичные.
По опыту Украины и соседних стран доверенный характер общения между финансовым учреждением и его клиентом обеспечивается, в порядке возрастания сложности и стоимости соответствующих решений, следующими средствами.
- Финучреждение использует для связи один на все случаи жизни единый номер, избегая обычного зоопарка.
- Этот номер защищается от подделки (подмены идентификатора) посредством заключения соответствующих соглашений с операторами. Аналогично поступают с СМС.
- Финучреждение отказывается от традиционных общедоступных (внешних по отношению к нему, находящимся вне его контроля) каналов голосовой связи и переходит к использованию собственных VoIP сервисов. Грубо говоря, в Приват24 добавляется функция голосовой связи и любое общение с банком происходить только через него. У кого нет смартфона, тот находится в зоне повышенной опасности, о чём его прямо предупреждают.
- Банк раздаёт своим клиентам аппаратные средства идентификации вроде специальных SIM карт, которые позволяют отправлять абоненту подтверждение полномочий звонящего даже по недоверенному каналу сотрудника. Т.е. при звонке сотрудник банка обязан сообщить пароль, который параллельно высвечивается на телефоне клиента.
В общем, решения есть, вполне надёжные и эффективные, однако не являются бесплатными для финучреждений в отличие от СМС авторизации и прочих костылей.
Двадцать лет сплошных успехов
На контрасте немного мошеннических новостей из родных палестин. На днях Приватбанк напомнил, что одна из его ключевых инноваций — использование номера мобильной связи как единственного фактора аутентификации, — насчитывает ни много ни мало 20 лет: «Нагадаємо,запуск першої в Україні веб версії Приват24 відбувся у 2001 році. Авторизацію в системі та проведення платежів клієнти ПриватБанку підтверджували за допомогою одноразових SMS-паролів, і ПриватБанк одним із перших у світі почав використовувати цю технологію».
«Одни из первых в мире», ага. Прям как юные дигитализаторы из Минцифры. Без преувеличения выдающиеся возможности СМС-аутентификации недавно испытала на себе некая жительница Кременчуга. Пока она пребывала в Италии, неизвестные переоформили на себя её номер, после чего набрали на него десяток кредитов в МФО, ещё одном очаге настоящих инноваций. Таких историй каждый месяц происходит уже не сотни, а тысячи.
Деструктивный потенциал «е-документов» Минцифры привлекает к себе всё большее внимание. На днях злопыхатели разразились очередным пасквилем, в котором указывают на популярность «е-документов» у наиболее своеобразной, если не сказать сильнее, части финансовых учреждений: «На веб-сторінці Партнери, які підтримують Дію Міністерства та комітету цифрової трансформації України наведено повний перелік компаній з кредитування, які приймають Дію: Miloan, CCLoan, Mister Cash, Tengo, Moneyveo, Ломбарди “Скарбниця”, ШвидкоГроші (онлайн)«.
«Цікаво, що Moneyveo на відміну від BankID та інших способів ідентифікації — мобільному застосунку «ДІя» поки що повністю не довіряє (мабуть щось знає про КСЗІ) та вимагає при оформленні кредитів додатково до шерінгу цифрових документів ще й фотографувати обличчя і паспорт позичальників», — обращают внимание недоброжелатели. Действительно, с чего бы не доверять е-паспорту? Это же документ, обладающий юридической силой, да? «Да, но нет».
The post (Не)доверенные коммуникации first appeared on Mediasat.