Безопасность банковских операций и платежей через Интернет

translator:

Буратин доили и будут доить - из того, что на моей памяти, сначала их обували всевозможные МММ, Хопер-инвесты и Властилины, потом кидали валютные менялы, потом им провели интернет - появились нигерийские письма, американские женихи, форекс-кухни... теперь у лохов стали массово появляться банковские карты... такшта не надо делать из мухи слона...

ЗЫ Применительно к процитированному вы точно такой же "Буратино", не больше, не меньше ...

Pashka:

Вот регистрация через МСИ как раз на руку злоумышленникам

А собственно почему? Поясните...

Pashka:

люди далекие от ИБ (даже не имеющие ИБ) про нее могут не знать

Другими словами это люди-держатели банковских карт, не пользующиеся ИБ? Так? Пенсионеры или кто это?

ЗЫ Видимо это те, кто толпами стоит в очереди в БеларусБанк, чтобы заплатить за услуги ЖКХ ... ну и конечно именно они представляют наипервейший интерес для злоумышленников, ибо у них денег на счетах завались

shuravi89:

translator:

Буратин доили и будут доить - из того, что на моей памяти, сначала их обували всевозможные МММ, Хопер-инвесты и Властилины, потом кидали валютные менялы, потом им провели интернет - появились нигерийские письма, американские женихи, форекс-кухни... теперь у лохов стали массово появляться банковские карты... такшта не надо делать из мухи слона...

Ещё раз внимательно читаем статью

Насколько мы понимаем исходя из полученной информации, мошенники получают данные карточек, когда наши люди платят в интернете на разных неблагонадежных сайтах, — рассказал на условиях анонимности топ-менеджер одного из белорусских банков. — Данные карточек где-то вводятся, где-то обрабатываются и каким-то образом становятся доступны мошенникам. Понятно, что есть крупные сайты, которые дорожат своей безопасностью и инвестируют туда деньги. А какие-то простенькие и дешевые тратить деньги на такие меры не хотят. Поэтому возможность утечки существует. Каким конкретно образом и где это происходит, пока трудно сказать. Если бы мы знали, то уже дали бы советы клиентам, чего стоит избегать.

ЗЫ Применительно к процитированному вы точно такой же "Буратино", не больше, не меньше ...

Позволю себе не согласиться
Еще раз внимательно читаем то, что цитируем:

Насколько мы понимаем исходя из полученной информации, мошенники получают данные карточек, когда наши люди платят в интернете на разных неблагонадежных сайтах, — рассказал на условиях анонимности топ-менеджер одного из белорусских банков. — Данные карточек где-то вводятся, где-то обрабатываются и каким-то образом становятся доступны мошенникам. Понятно, что есть крупные сайты, которые дорожат своей безопасностью и инвестируют туда деньги. А какие-то простенькие и дешевые тратить деньги на такие меры не хотят. Поэтому возможность утечки существует. Каким конкретно образом и где это происходит, пока трудно сказать. Если бы мы знали, то уже дали бы советы клиентам, чего стоит избегать.

Что и требовалось доказать. Буратины такие буратины...

Лично являюсь клиентов 12 банков РБ в смысле в какой-то момент имел или имею их карты, депозиты и расчетные счета. Во всех из них у меня есть интернет-банкинг... И шота мне нихто не звонит рассказать как с моего счета уводят деньги...

RET_FRAN:

Pashka,

RET_FRAN, это в какой интернет-банкинг можно попасть без пароля или смс на телефон?

Обращаем внимание на "или" , а затем читаем написанное тут
В какой интернет-банкинг? В РБ более 25 банков - огласите весь список банков, где в Интернет-банкинг можно попасть только путем ввода кода из пришедшей на телефон СМС

RET_FRAN, из ваших простыней и отсылок, совершенно непонятно какую мысль вы пытаетесь донести, что конкретно вас беспокоит.

Можно ли попасть в интернет банк и увести деньги без СМС на телефон? Да, можно, например БНБ (есть и другие), нужно знать логин, пароль на вход, пароль для подтверждения операции. Если все эти данный клиент слил, то кто он тогда?

Можно ли попасть в интернет банк только через СМС на телефон? Да, можно. Попробуйте зарегистрироваться в ИБ через МСИ или восстановить доступ к ИБ практически в любом банке: потребуются личный номер и смс на зарегистрированный на клиента телефон. А, например, в МТБ достаточно только зарегистрированного на клиента номера телефона и смс на этот номер

translator:

shuravi89:

А вашего согласия никто и не требует - ну никак не поверю,

Ваша вера мне тоже глубоко параллельна

Это не вера, а 100%-е убеждение

translator:

shuravi89:

вы не совершили НИ одной CNP-транзакции через Интернет, а это вовсе и НЕ Интернет-Банкинг а всяческие АЛИ-подобные сайты / платёжные аггрегаторы

Конечно совершал. У меня для этого есть отдельная карта

Отдельность вашей карты никак не гарантирует компрометацию её данных ...

translator:

shuravi89:

приведите пример "благонадёжного" сайта ...

airbnb.com

А теперь приведите скриншот (фрагмент) с этого сайта, который объективно (а не субъективно) доказывает вашу правоту ...

translator:

Со своей стороны мне кажется вы не можете не понимать, что любой мало-мальски грамотный человек знает, куда смотреть, чтобы понять уровень благонадежности сайта

Frog_:

И 3Д тут ни причем

Вы к тому что никто не может гарантировать что даже с сайта, условно говоря, защищённого 3D-Secure ДДК так или иначе не утекут злоумышленникам??? С этим посылом согласен, НО конкретная транзакция именно на сайте, защищённом 3D-Secure гарантирует плательщику его собственную подконтрольность (транзакцию подтверждаю или не подтверждаю) через 3D-Secure код ...

ЗЫ Ну а на примере российского Сбера всё может обстоять и гораздо проще - ДДК сливает в даркнет конкретный сотрудник Сбера, прикрываясь личными мотивами ...

Обращаю внимание на такой способ хищения денежных средств со счетов клиентов банков как заражение смартфонов/компьютеров клиентов банков вирусами
Pashka,

Можно ли попасть в интернет банк и увести деньги без СМС на телефон? Да, можно, например БНБ (есть и другие), нужно знать логин, пароль на вход, пароль для подтверждения операции. Если все эти данный клиент слил, то кто он тогда?

Что такое "клиент слил"? А если "логин, пароль на вход, пароль для подтверждения операции" были украдены мошенниками с использованием вируса?

Можно ли попасть в интернет банк только через СМС на телефон? Да, можно.

Например, отсюда

Как работает вирус
Раньше вирусы для Android умели только демонстрировать на зараженном устройстве поддельные окна для ввода данных карты и перехватывать СМС-сообщения с кодом подтверждения транзакции, говорится в докладе. Новый вид зловредных программ появился в 2019 году: теперь они могут автоматически переводить деньги со счета жертвы через банковское мобильное приложение, установленное на смартфоне, на счет злоумышленника.
«Функциональные возможности новых троянов под Android практически приблизились к троянам-банкерам (вид вируса, который крадет данные учетных записей электронных банковских систем, систем электронных платежей, пластиковых карт пользователей этих услуг и отправляет злоумышленнику. — РБК). Они рассчитаны на массовое заражение и максимальную капитализацию бизнеса своих операторов

Как с этим бороться? Предложу такие меры.
1. Использовать различные устройства для а) получения SMS с кодом и б) ввода содержащегося в полученной SMS кода. Например, для получения SMS с кодом используется мобильный телефон, а для ввода содержащегося в полученной SMS кода - стационарный ПК/ноутбук.
2. Для получения SMS с кодом, который затем вводится в Интернет-банкинге на сайте банка, использовать кнопочный мобильный телефон без наличия операционной системы в нем («привязать» Интернет-банкинг к номеру такого мобильного телефона).
3. Желательно использовать самый простой кнопочный мобильный телефон без возможности подключения к Интернету, хотя о случаев хищения денежных средств клиентов банков, которые использовали кнопочный мобильный телефон без операционной системы в нем, но с возможностью подключения к Интернету, не читал.
4. На стационарном ПК с Windows иметь антивирус с обновленными антивирусными базами, а пришедший на мобилу код из SMS вводить с использованием экранной клавиатуры

shuravi89,

Перехват SMS происходит посередине (а где же ему быть как не посередине) между Банком и Клиентом

Где быть - см. выше:

Раньше вирусы для Android умели только демонстрировать на зараженном устройстве поддельные окна для ввода данных карты и перехватывать СМС-сообщения с кодом подтверждения транзакции,

А насчет "посередине" - это абстрактное заявление

shuravi89, такие выводы противоречат реальной практике - см. ссылку выше про вирусы

Они рассчитаны на массовое заражение и максимальную капитализацию бизнеса своих операторов

29 ноября 2019 - В оглушительных успехах мошенников виновата низкая финансовая грамотность населения