Добавить новость
Новости России 
Август 2012
Сентябрь 2012
Октябрь 2012
Ноябрь 2012Декабрь 2012Январь 2013Февраль 2013Март 2013Апрель 2013Май 2013Июнь 2013Июль 2013Август 2013Сентябрь 2013Октябрь 2013
Ноябрь 2013
Декабрь 2013Январь 2014Февраль 2014Март 2014Апрель 2014Май 2014Июнь 2014Июль 2014Август 2014Сентябрь 2014Октябрь 2014Ноябрь 2014Декабрь 2014Январь 2015Февраль 2015Март 2015Апрель 2015Май 2015Июнь 2015Июль 2015Август 2015Сентябрь 2015Октябрь 2015Ноябрь 2015Декабрь 2015Январь 2016Февраль 2016Март 2016Апрель 2016Май 2016Июнь 2016Июль 2016Август 2016Сентябрь 2016Октябрь 2016Ноябрь 2016Декабрь 2016Январь 2017
Февраль 2017
Март 2017
Апрель 2017
Май 2017
Июнь 2017
Июль 2017
Август 2017
Сентябрь 2017
Октябрь 2017
Ноябрь 2017
Декабрь 2017
Январь 2018
Февраль 2018
Март 2018
Апрель 2018
Май 2018
Июнь 2018
Июль 2018
Август 2018
Сентябрь 2018
Октябрь 2018
Ноябрь 2018
Декабрь 2018
Январь 2019
Февраль 2019
Март 2019
Апрель 2019
Май 2019
Июнь 2019Июль 2019Август 2019Сентябрь 2019Октябрь 2019Ноябрь 2019Декабрь 2019Январь 2020Февраль 2020Март 2020Апрель 2020Май 2020Июнь 2020Июль 2020Август 2020Сентябрь 2020Октябрь 2020Ноябрь 2020Декабрь 2020Январь 2021Февраль 2021Март 2021Апрель 2021
12345678910111213
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
Интернет |

(Не)доверенные коммуникации

Почитываю эстонскую прессу, слежу за развитием сюжета о «русской» цифровой преступности в этой стране. Обращает внимание, что журналисты начинают готовить всё более содержательные материалы. В первую очередь речь идёт о том, что массовой аудитории предлагается достаточно полное и понятное описание актуальных угроз.

Вот, например, рассказ о рисках, сопряжённых с бесконтрольным оборотом фотографий удостоверяющих документов.  Приводятся разные случаи с подробными объяснениями чего бояться, а чего — нет. Обращает внимание, насколько отличаются подходы местного  бизнеса к вопросам KYC от украинского, прости господи, финтеха. «В нашей компании подобную проблему (попыток оформления на чужие данные — Р.Х.) предвидели с очень давних времён, и она решена личной идентификацией клиента. Мы идентифицируем людей, которые приходят к нам в офис, а также долгое время сотрудничали с Omniva (почтовой службой — Р.Х.), где клиент должен был лично на месте при сотруднике почты идентифицировать себя. Он предоставлял свой документ, работник почты проверял его действительность и фотографию на нем. Конечно, были попытки обмануть, но бдительные работники почты это пресекали и сообщали нам», – рассказывает Геннадий Кротов из Placet Group OÜ.

Ещё одно значимое отличие — возможность сверки данных удостоверяющего документа с  официальным реестром. В Украине, насколько могу судить, это всё ещё остаётся административным таинством,  недоступным даже для нотариусов и прочих вроде бы специально предназначенных для этого людей.

Очень интересен ещё один материал «МК-Эстония», в котором рассказывается история успешной атаки на банковский счёт некоей дамы. Во-первых, преступники мимикрировали под сотрудников СБ банка, используя подмену телефонного номера. Во-вторых,  они реализовали MITM-атаку с использованием SmartID жертвы. Иными словами, речь идёт о схеме, которую я недавно описывал в своём опусе с критикой очередных новаций Дии.

Наконец,  в-третьих, «все три транзакции вели на украинский электронный кошелек Liqpay, через который преступники оплатили покупки в украинских интернет-магазинах Citrus – 1225,06 евро и Komfi – 2603,21 евро».

Судя по материалам эстонской прессы, не сидят сложа руки и местные правоохранительные органы. В одной из публикаций нашёл видео, в котором полиция сжато, но  достаточно подробно описывает атаки вроде той, от которой пострадала дама из самого первого материала. Стоит заметить, всё таки, что в заметке говорится про номера, всего лишь похожие на номера эстонских банков. Между тем номера, с которых поступали звонки мошенников, были не похожи, а идентичны банковским.

Как бы то ни было, активная просветительская деятельность полиции и СМИ приносит свои плоды. «В Ида-Вирумаа, например, в сентябре полицией было зарегистрировано уже в три раза меньше случаев таких мошенничеств, чем в августе», — пишет Postimees. Чёрт его знает, где это Ида-Вирумаа и что это вообще такое, но тенденция обнадёживающая.

Как видим, в центре внимания находятся проблематика подмены номера и регламенты платёжных систем. Примечетально, что подобные атаки вызывают всё больший интерес в Украине. Недавно давал на сей счёт комментарии для материала UBR, ниже они приведены целиком.

Проблема (не)доверенных коммуникаций

Цифровой транзит украинского общества обуславливает непрерывное увеличение массива общественных отношений — экономических, властных, межличностных, — опосредуемых цифровыми технологиями. Попросту говоря, всё большая часть жизни общества протекает в особого рода цифровом пространстве, цифровой среде.

Очевидно, что цифровая среда должна быть безопасной, то есть должны отсутствовать риски катастрофического ущерба вроде шантажа, кражи имущества или финансовых активов, кражи цифровой идентичности. С другой стороны, эта среда должна вызывать у граждан доверие, уровень наличествующих в ней рисков не должен превращаться в системное препятствие, барьер для реализации интересов и потребностей граждан.

К сожалению, на сегодняшний день архитектура и дизайн абсолютного большинства пользовательских услуг попросту игнорирует либо не учитывает в достаточной степени проблематику безопасности и доверия в цифровой среде, включая уже актуальные и широко распространённые угрозы.

В нынешних условиях обеспечить доверенность каналов общения финансовых учреждений и клиентов можно по-разному. Есть методы более и менее простые, более и менее сложные/дорогие, обеспечивающие большую или меньшую надёжность. Поэтому крайне желательно, даже категорически необходимо получить от регулятора этого рынка — НБУ, — внятные и, желательно, исчерпывающие рекомендации на сей счёт.

Помимо этого ничто не может помешать каждому финансовому учреждению разработать и ввести в дело собственные руководящие документы, причём публичные.

По опыту Украины и соседних стран доверенный характер общения между финансовым учреждением и его клиентом обеспечивается, в порядке возрастания сложности и стоимости соответствующих решений, следующими средствами.

  1. Финучреждение использует для связи один на все случаи жизни единый номер, избегая обычного зоопарка.
  2. Этот номер защищается от подделки (подмены идентификатора) посредством заключения соответствующих соглашений с операторами. Аналогично поступают с СМС.
  3. Финучреждение отказывается от традиционных  общедоступных (внешних по отношению к нему, находящимся вне его контроля) каналов голосовой связи и переходит к использованию собственных VoIP сервисов. Грубо говоря, в Приват24 добавляется функция голосовой связи и любое общение с банком происходить только через него.  У кого нет смартфона, тот находится в зоне повышенной опасности, о чём его прямо предупреждают.
  4. Банк раздаёт своим клиентам аппаратные средства идентификации вроде специальных SIM карт, которые позволяют отправлять абоненту подтверждение полномочий звонящего даже по недоверенному каналу сотрудника. Т.е. при звонке сотрудник банка обязан сообщить пароль, который параллельно высвечивается на телефоне клиента.

В общем, решения есть, вполне надёжные и эффективные, однако не являются бесплатными для финучреждений в отличие от СМС авторизации и прочих костылей.

Двадцать лет сплошных успехов

На контрасте немного мошеннических новостей из родных  палестин. На днях Приватбанк напомнил, что одна из его ключевых инноваций — использование номера мобильной связи как единственного фактора аутентификации, — насчитывает ни много ни мало 20 лет: «Нагадаємо,запуск першої в Україні веб версії Приват24 відбувся у 2001 році. Авторизацію в системі та проведення платежів клієнти ПриватБанку підтверджували за допомогою одноразових SMS-паролів, і ПриватБанк одним із перших у світі почав використовувати цю технологію».

«Одни из первых в мире», ага. Прям как юные дигитализаторы из Минцифры. Без преувеличения выдающиеся возможности СМС-аутентификации недавно испытала на себе некая жительница Кременчуга. Пока она пребывала в Италии, неизвестные переоформили на себя её номер, после чего набрали на него десяток кредитов в МФО, ещё одном очаге настоящих инноваций. Таких историй каждый месяц происходит уже не сотни, а тысячи.

Деструктивный потенциал «е-документов» Минцифры привлекает к себе всё большее внимание. На днях злопыхатели разразились очередным пасквилем, в котором указывают на популярность «е-документов» у наиболее своеобразной, если не сказать сильнее, части финансовых учреждений: «На веб-сторінці Партнери, які підтримують Дію Міністерства та комітету цифрової трансформації України наведено повний перелік компаній з кредитування, які приймають Дію: MiloanCCLoanMister CashTengoMoneyveoЛомбарди “Скарбниця”ШвидкоГроші (онлайн)«.

«Цікаво, що Moneyveo на відміну від BankID та інших способів ідентифікації — мобільному застосунку «ДІя» поки що повністю не довіряє (мабуть щось знає про КСЗІ) та вимагає при оформленні кредитів додатково до шерінгу цифрових документів ще й фотографувати обличчя і паспорт позичальників», — обращают внимание недоброжелатели. Действительно, с чего бы не доверять е-паспорту? Это же документ, обладающий юридической силой, да? «Да, но нет».

The post (Не)доверенные коммуникации first appeared on Mediasat.



Russian.city

Читайте также

Блоги |

Кто умнее дети 20 или 21 века? Исследования МГППУ.

Авто |

На АВТОВАЗе теперь новый шеф-дизайнер

Блоги |

О достоинствах и возможных трудностях дистанционного обучения



News24.pro и Life24.pro — таблоиды популярных новостей за 24 часа, сформированных по темам с ежеминутным обновлением. Все самостоятельные публикации на наших ресурсах бесплатны для авторов Ньюс24.про и Ньюс-Лайф.ру.



Разместить свою новость локально в любом городе по любой тематике (и даже, на любом языке мира) можно ежесекундно с мгновенной публикацией самостоятельно — здесь.