ash’s blog

Про секьюрность и банки

Это я не про финансовый кризис, а про кризис в головах :-)

Понятно, что банки должны быть параноидальными в любых вопросах, связанных с защитой операций, вкладчиков и карт. Но избыточное увлечение безопасностью приводит к прямо противоположному эффекту.

В физике понятие температуры можно определить по-разному; и, например, если ее измерять через энергию электронов, находящихся на разных орбитах вокруг ядра атома, то можно получить эффект, когда при сильном нагревании температура становится отрицательной. То же и с секьюрностью в банках.

Вот пара примеров.

У ВТБ-24 есть возможность управлять счетом через интернет, для чего необходимо заключить отельный письменный договор на подключение так называемого «банка клиент-онлайн», подписать его, прочитать инструкцию по генерированию паролей, сгенерировать закрытый и открытый ключи, обменяться ключами с банком, распечатать открытый ключ и подписать его в банке и установить на свой компьютер программу — прокси-сервер, через который должно идти соединение. К этому прилагается дополнительный пароль для входа на сам сайт.

То, что в инструкции указаны ошибочные адреса на сайте, сама инструкция содержит ошибки в тексте, не существует версии прокси-сервера для маков, а техподдержка с ходу отвечает, что под Вистой нельзя устанавливать его в каталог по умолчанию, не проблема. То, что разобраться, как настроить программу, которая не может самостоятельно найти один и тот же файл в двух своих окнах, совсем не проблема.

Проблема наступает, когда забудешь пароль от сайта и захочешь его поменять. Звонишь в техподдержку, тебя спрашивают только ИНН и называют новый пароль.

Cитибанк, известный своим спамерским поведением, при просроченном платеже делает две замечательные с точки зрения секьюрности вещи. Если ты забыл заплатить вовремя, и пошел к банкомату внести деньги, то сделать это не получится, потому что карта оказывается заблокированной (ты же не платил — хрен тебе, а не пользование картой!)

При этом параллельно начинает названивать оператор, который вместо того, чтобы просто сказать: «Чувак, ты забыл про нас» просят назвать свой день рождения. То есть на мобильный телефон звонят с неизвестного тебе номера (который ты не обязан ассоциировать с банком), и просят в целях безопасности (это цитата) назвать дату своего рождения. Если отказываешься, то просят назвать домашний телефон, потом рабочий, потом адрес. После этого предлагают перезвонить по другому номеру, где для вас оставлена информация. Те же методы, которыми пользуются телефонные мошенники, которые звонят и представляются сотрудниками банка.

bank, secure, moscow — 22 октября 2008

Комментарии

vechkasov.ya.ru, 22 октября 2008

Как-раз две недели назад восстанавливал пароль для телебанка ВТБ-24, девушка на том конце провода спрашивала только ФИО и кодовое слово (ну, уже защита), тут же назвала новые реквизиты доступа.

comments powered by Disqus