Безопасность банковских операций и платежей через Интернет

ew3, здесь все просто, авторизация через МСИ спрашивает отдать разрешение на чтение информации из базы, а там все паспортные и контактные данные владельца ИН, если Белстат не раскошелился на https с проверенным сертификатом, то данные идут в открытую, и любой хакер между пользователем и белстатом мог перехватить их и потом продать базу собранной инфы с паспортными данными и телефонами. А поскольку тут просто банки, мог быть тупо слив из МСИ, возможно там приходила пометка типа обращение белстата и прочее, у банков есть доступ к ней для чтения КИ, каждое обращение к ней фиксируется и видно в истории клиента.

ew3:

Frog_, мне интересно как с помощью паспортных данных чужому человеку можно оформить кредит в банке если оператор в здравом уме и соображении?

я вас умоляю, если симку можно взять у диллера, для операторов ввели видеозапись, то что мешает взять и сразу рассрочку на айфон на эту симку? Нарисовать ксерокопию, и придумать сказку про паспорт на визе, а очень нужно.

ew3:

Как правильно заметил Белстат в ответе, что паспортные данные гражданина в переписи не задействованы.

А что в этой фразе вам не понравилось? Что есть паспортные данные:

1. ФИО,
2. Дата рождения,
3. Орган выдавший паспорт,
4. Когда выдан,
5. Срок действия,
6. Серия,
7. Номер,
8. Прописка

Ну а ключевым идентификатором в переписи через МСИ был идентификационный номер ...

Frog_:

если Белстат не раскошелился на https с проверенным сертификатом, то данные идут в открытую, и любой хакер между пользователем и белстатом мог перехватить их и потом продать базу собранной инфы с паспортными данными и телефонами

Речь надо понимать шла о переписчике с планшетом? Если так, то каким боком он к этой ветке? Здесь фигурирует скорее тематика электронной переписи через МСИ ...

ЗЫ Ну и тут БелСтат писал про https

Frog_:

Причем здесь здравый ум и соображение, и особенно банки, речь шла о кредите или рассрочке, взятой на чужие паспортные данные, таких историй в России полно, у нас меньше.

Можно подробнее хотя бы об одной, где я пришел с листиком от ксерокса и взял 2 айфона дабы девочка ЗП + премию получила?

Frog_:

shuravi89, прочитайте ссылку именно речь про интернет перепись

И что там не так? shuravi89, указал что гарантировалось безопасное соединение.

shuravi89:

Мой скриншот как раз таки был про переписчиков с планшетами ...

Ну я очень сомневаюсь что в моем случае с механизмом переписи без переписчиков оно было не защищенное.

Все что вам надо знать о безопасности банковских операций и платежей через Интернет

— Как сделать внедряемые банками ИКТ надежными с точки зрения кибербезопасности?
— Абсолютной безопасности нет и быть не может, потому что все системы уязвимы. Это всегда вопрос баланса интересов безопасности и интересов бизнеса, который я называю бегунком. Этот бегунок можно максимально сдвинуть в сторону безопасности: покажите паспорт, права, пройдите процедуру видеоидентификации — только так банк вас обслужит. Или сделать абсолютно закрытую систему, в которую доступ не получит никто. Но где гарантия, что при таком раскладе бизнес получит прибыль? Поэтому многие банки внедряют открытые для большого числа пользователей продукты, в которых безопасности практически нет.
...
— Киберстрахованием можно снять риски, потому что у нас в стране действует принцип нулевой ответственности. Физические лица не несут никаких издержек, все деньги им возвращают банки, если, конечно, человек сам не отдал карточку или реквизиты
И далее: «Устройство пользователя заражается трояном, реквизиты становятся доступными злоумышленнику, и деньги переводятся на подконтрольные хакеру счета» - это относится к «человек сам отдал реквизиты»?
...
— Расскажите о преступных «трендах» и как специалисты по ИБ на них отвечают?
— Последний тренд в Беларуси — хищения у юридических лиц. По сути, это та же схема, по которой совершались преступления против физических лиц года два назад. Устройство пользователя заражается трояном, реквизиты становятся доступными злоумышленнику, и деньги переводятся на подконтрольные хакеру счета. Этот тренд понятен: юрлица интереснее — там денег больше. Интересно, что в России подобных хищений стало меньше, там банки стали внедрять системы технического отсечения кибератак. Незаметно для пользователя специальный софт в онлайн-режиме собирает его поведенческую аналитику, техническую информацию и подсвечивает операции, имеющие признаки мошеннических. Если я буду вводить ваш пароль, я сделаю это определенным образом, отличным от вашего. Или если постоянно выхожу с белорусского IP, а сейчас использую украинский — любое отклонение от нормы система воспринимает как маркер и сигнализирует об угрозе, если таких маркеров несколько.

Хакеры присылали поддельные счета и перехватывали управление клиент-банком

Схема выглядела примерно так: на электронный адрес юрлица или ИП приходит письмо якобы от существующего или потенциального контрагента. В письме по какой-либо причине (предоставление копии договора, сверки по счетам и т. п.) предлагали перейти по ссылке или открыть прикрепленный файл.
При открытии файла или переходе по ссылке компьютер жертвы заражался вредоносным ПО, открывая мошенникам возможность удаленного доступа к ПК или предоставляя данные для входа в «клиент-банк», систему интернет-банкинга и так далее.
Злоумышленник имел возможность получить реквизиты для входа в систему, а также пароль от носителя с ключом электронной цифровой подписи. Состояние зараженного компьютера рядовой пользователь мог и не отследить.
Затем мошенники формировали платежные поручения на списание средств со счета юрлица и направляли их на исполнение в банк. Обычно в качестве получателя платежа указывали физическое лицо. В это время на компьютере могла отображаться заставка, информирующая об обновлении операционной системы.

Что делать, если мошенники оформили кредит на ваше имя

– Паспортные данные могут выяснять с целью получения доступа к МСИ – межбанковской системе идентификации, которая дает последующий доступ в интернет-банкинг.

Да. Зачетно кто то веселится. Интересно почему ведется народ. Ведь от звонков за версту фуфлом отдает?

Банковские мошенники продолжают атаковать белорусов. У минчанки украли со счета 6 тысяч долларов

«Позвонили на мобильный якобы работники банка, обратились по имени-отчеству. Сказали, что я стала жертвой мошеннических операций и чтобы отменить перевод с моего счета, должна сказать паспортные данные», — рассказывает минчанка Марина (имя изменено по просьбе героини истории). Девушка, хоть и не без сомнений, продиктовала данные паспорта и карты — на счету была маленькая сумма. Но мошенники вошли в ее личный кабинет и украли деньги не с карты, а с банковского депозита. Там было 6 тысяч долларов.
...
— Мне показалось это подозрительным, но меня сбило с толку то, что звонившие знали мою фамилию и имя, а также номер карты. Я особо не переживала, потому что на карте у меня была маленькая сумма, — продолжает пострадавшая. — Но, как оказалось, мошенники влезли в мой личный кабинет, добрались до моего долгосрочного депозита, перевели его на карту и полностью сняли. Я осознаю, что сглупила. Но кто же знал, что эти данные дадут доступ к моим депозитам. В банке не предусмотрено лимита для снятия крупных сумм, для снятия денег с долгосрочного депозита не нужно личное присутствие его владельца с документами.
К безопасности денег, хранящихся в банке, у девушки есть вопросы. «Фактически злоумышленник, завладев парольными данными от личного кабинета, которые можно выведать обманным или иным путем, имеет доступ ко всем твоим сбережениям, а не только к карте», — говорит она.
— Когда смекнула, что что-то тут не так, я попыталась перезвонить в настоящий колл-центр банка, чтобы отменить все транзакции. Но операторы не поднимали трубку в течение получаса. Тогда мне пришлось взять такси и поехать в банк лично, но, конечно, уже было поздно, — подытожила Марина. — В банке намекнули, что добровольное разглашение конфиденциальных данных карт снимает с них всю ответственность. Оно и понятно. Но все равно сам факт, что столько пострадавших в одном банке, мне кажется, говорит о том, что банковская защита хромает. Никому в банке не показалось странным многократное порционное снятие денег по 2000 рублей — именно так у меня их снимали. Могли бы мониторить такое при помощи компьютера и хотя бы звонить клиенту для уточнения, он это снимает или не он.

Ай-яй-яй!!! Не может такого быть!!!
Из обсуждения статьи:

Главный вопрос. Откуда мошенники знают имя, отчество, телефон и номер карты?

ew3:

RET_FRAN:

Главный вопрос. Откуда мошенники знают имя, отчество, телефон и номер карты?

От верблюда. Я навскидку припомнил 3-4 места где я лично светил своим паспортом и всеми данными и это были далеко не банковские учреждения.

Номер карты вы тоже в этих 3-4 местах светили???

ЗЫ В статье нет НИ СЛОВА о том, что потерпевшая сама добровольно продиктовала номер карты. Всё что у неё спросили применительно к её карте был 3D-secure код ...

ew3:

shuravi89:

Номер карты вы тоже в этих 3-4 местах светили???

Как связка паспортные данные и номер карты позволяет снять деньги с банковского счета? Поделитесь механизмом.

А я разве где-то писал про эту связку? Вопрос лично к вам расшифровывается так - какие ещё данные (кроме паспортных) лично вы светили в упомянутых вами 3-4 местах и были ли среди них данные вашей карты? На всякий случай вот ваша цитата:

ew3:

Я навскидку припомнил 3-4 места где я лично светил своим паспортом и всеми данными и это были далеко не банковские учреждения.