Документов : 25395, Книг : 1254, Новостей : 650, Вопросов/Ответов : 1046/1019, Бизнес-терминов : 33446, Статей : 2830, Объявлений : 66, Банков : 1063
ГлавнаяСделать стартовойДобавить в избранное
УЧ.СТ.ЦБ:   8.25%|МРОТ:   4331

Типовые образцы договоров, документов и других деловых бумаг, своды законов и кодексов, сборник нормативов и стандартов, каталог бизнес-планов и идей, рейтинг банков России


г. Москва
« 13 »  Декабря  20 19 г.

Реклама

Новости

  Алексей Тимченко: «Активное участие предпринимателей Приморья в профильных исследованиях бизнеса – залог более грамотных управленческих решений в экономике региона»
Отражение мнения предпринимателей в различных социологических исследованиях – важнейший аспект работы по построению эффективных моделей экономики, в том числе и на региональном уровне. Это может помочь существенно улучшить бизнес-климат в регионе...



  Украина раскрыла план реинтеграции Донбасса
Премьер-министр Украины Алексей Гончарук рассказал об утвержденном сценарии реингтеграции неподконтрольных. По словам главы правительства, он заключается в дипломатическом урегулировании. Гончарук также добавил, что необходимо двигаться к миру,...



  Фонд госимущества продал три объекта за 108,5 млн гривен
В Кабмине ведется работа по приватизации 415 объектов. Фото: facebook.com/PMHoncharuk Украина получит 108, 5 млн гривен от продажи Фондом государственного имущества трех крупных объектов государственной собственности. Об этом в фейсбуке сообщил...



  Видео: Армия Порошенко: пропаганда и реальность
Видео: Армия Порошенко: пропаганда и реальностьПетр Порошенко любит хвастаться мощью украинской армии, называя ее «сильнейшей в Европе», но в это же самое время солдаты «самой патриотичной армии» гниют в окопах.



  Суд приговорил к реальным срокам ещё двух фигурантов «московского дела»
Мещанский суд Москвы вынес обвинительные приговоры фигурантам «московского дела» Руслану Лесных, Максиму Мартинцову и Александру Мыльникову. Двое из них получили наказание в виде реальных сроков.



  Разбор Банки.ру: три карты для путешественников
Сравниваем самые популярные карты для среднего класса для путешественников по количеству заявок на Банки.ру: All Airlines Тинькофф Банка, Travel Rewards Райффайзенбанка и « Карта хозяина » Россельхозбанка. Выезд за рубежи России вносит...




Архив новостей

«Июль, 2019»
ПнВтСрЧтПтСбВс
1234567
891011121314
15161718192021
22232425262728
293031    

Наши кнопки и ссылки

Размести на своем сайте HTML код с нашей кнопкой
Получить код
Обмен кнопками


Главная :: Новости :: Новости рубрики Банки за 01.07.2019


Новостные рубрики

Бизнес


Политика и законодательство


Экономика и финансы


Новости в мире


Новости образования


Зарубежная пресса


Каталог юридических статей


ООН. Новости


законы, указы


Кредитование


Право


Банки


Здравоохранение




Деловые новости рубрики Банки за 01.07.2019

01.07.2019 00:01 Голосовой помощник Сбербанка может подсказывать мошенникам

Информацию о состоянии счетов клиентов можно получить не только от инсайдера-банкира, который продает их на «черном рынке». «Пробить» данные можно с помощью полезных сервисов, вроде голосового помощника Сбербанка.В редакцию Банки.ру обратился сотрудник оператора связи и рассказал, что обнаружил лазейку, которой могут пользоваться злоумышленники. Узнать баланс карты и последние операции жертвы можно с помощью голосового помощника Сбербанка — достаточно позвонить в банк от имени потенциального клиента-мишени.«Пробиваем» данные без «слива»«Здравствуйте, Ольга Александровна! Это Сбербанк, я ваш голосовой помощник. Я могу решить большинство ваших задач. Просто скажите, чем я могу вам помочь», — говорит услужливая виртуальная сотрудница Сбербанка. Я не Ольга Александровна, но, произнеся слово «баланс», узнаю, что на карте хранится больше 40 тыс. рублей, а после требования «последние операции» — список из последних трансакций своей родственницы. Хотя звонок шел не с телефона клиентки, суммы называются с точностью до копейки и совпадают со свежей выпиской по счету. На этом демонстрационная часть эксперимента заканчивается, и мой собеседник переходит к объяснениям, как такое возможно.«Мы расследовали подозрительный инцидент на нашей сети и наткнулись на то, что человек хотел через нас это делать, пресекли, а потом додумали», — рассказывает сотрудник компании, которая оказывает услуги телефонии. По его словам, мошенники нередко пользуются «облачными АТС», чтобы подменять номер телефона и звонить своим жертвам, выдавая себя за партнеров по бизнесу, поставщиков или сотрудников банков. Обзвон банковских клиентов особенно популярен — в январе «Коммерсант» сообщало всплеске случаев такого мошенничества. Чаще всего жертвами становились клиенты Сбербанка, который лидирует в России по количеству эмитированных карт. Последние истории про взломы могут объясняться в том числе уязвимостями дистанционных сервисов Сбербанка, утверждает собеседник Банки.ру. Мошенник с помощью специальных программ может совершить звонок на один из номеров Сбербанка — он пойдет с телефона злоумышленника, но в кредитную организацию поступит как будто бы с номера жертвы. В этом случае включается голосовой помощник Сбербанка. Сервис называет человека по имени и отчеству и обещает выполнить команды после авторизации. Для этого бывает достаточно назвать последние цифры карты клиента. Заранее «пробив» окончание номера карты, злоумышленник с помощью голосового помощника может узнать баланс карты и последние пять операций по счету человека. Наличие подобного багажа существенно упрощает «обработку» жертвы методами социальной инженерии. Последние схемы мошенничества, описанныев СМИ, как раз предполагали, что злоумышленник для убедительности рассказывает клиенту о состоянии счета и трансакциях. Во многих случаях человек сам по незнанию переводил деньги мошенникам или компрометировал карту.IT-специалист показал, как работает схема, на примере трех карт Сбербанка, принадлежащих разным клиентам. Только в одном случае голосовой помощник для авторизации попросил назвать не последние цифры карты, а код клиента — это была моментальная карта, выпущенная накануне.Уязвимость или нет?В Сбербанке отказались комментировать ситуацию. Там также не ответили, какая доля держателей карт может идентифицироваться в голосовом помощнике только по личному коду. Таким образом, нельзя точно оценить, сколько клиентов кредитной организации можно считать более уязвимыми перед подобным мошенничеством. Зампред Сбербанка Станислав Кузнецов заявил, что специалисты кредитной организации знают о том, что идентификация по последним цифрам карты может нести риски для пользователей сервиса. «Мы внимательно следим за подобного рода рисками и видим, что здесь есть определенного рода риски не то что утечки информации, а получение сведений об остатках карты. В настоящее время идет глубокий анализ, как ужесточить эту ситуацию для того, чтобы иметь большую защищенность на стороне клиента», — сказал Кузнецов на пресс-конференции во время Международного конгресса по кибербезопасности, организованном Сбербанком.Идентификация в сервисах ДБО по последним цифрам карты категорически небезопасна, считает руководитель группы анализа защищенности Solar JSOC «Ростелеком-Солар» Александр Колесов. По его словам, у мошенников есть несколько путей достать такую информацию. «Самый простой способ — получить слип (документ об оплате покупки банковской картой), где обычно указано и имя владельца, и последние цифры карты. Люди редко отдают себе отчет в том, что эти данные могут представлять ценность, и не проявляют никакой осторожности при обращении с ними. Последние цифры карты также можно узнать, сделав потенциальной жертве копеечный перевод по номеру телефона. Наконец, данные карт и привязанные к ним номера телефонов массово и довольно недорого продаются на специализированных форумах в Даркнете», — перечисляет эксперт. Он, впрочем, считает, что в случае с голосовым помощником Сбербанка происходит не идентификация для сервиса ДБО, а идентификация для звонка в техподдержку.Так или иначе, схема позволяет узнать чувствительную информацию, и это опасно, говорит технический директор Qrator Labs Артем Гавриченков. «Это неприемлемая ситуация, поскольку данные об операциях, равно как и данные о балансе счета, — это информация сугубо конфиденциальная. Фактически любой человек, имеющий доступ к минимальному и достаточно простому инструментарию для подделки номеров мобильных телефонов, имеет возможность следить за финансовыми операциями тех, чьи номера телефонов ему известны. Если там не поставлено ограничений по частоте звонков, конечно», — отмечает эксперт. Он подчеркивает, что такой способ сбора данных о клиентах может применяться широко — все процессы из этой цепочки легко автоматизируются.Цифры не в пользу клиентовСогласно исследованию Positive Technologies, в I квартале 2019 года 54% кибератак совершались с целью получения информации. Платежные карты продолжают сохранять ценность для хакеров и мошенников — на них приходится 16% всех украденных данных. Более ранние исследования IT-компании показали серьезные уязвимости финансовых приложений и сервисов. Так, в 2017 году 56% финансовых приложений содержали уязвимости высокого уровня риска. Например, позволяли получать доступ к сведениям, составляющим банковскую тайну клиентов. Тогда же в 48% мобильных банков была выявлена хотя бы одна критически опасная уязвимость. Более половины финансовых клиентских приложений (65%) имели недостатки, связанные с небезопасным хранением данных или недостаточной защитой процесса аутентификации пользователя. Уровень защищенности сервисов растет, но еще не может считаться достаточно высоким, признают IT-специалисты. Это связано как с изобретательностью мошенников, так и с уступками, на которые вынуждены идти банки.«Банки активно пытаются идти навстречу пользователям, внедрять новые вещи, иногда, к сожалению, они не согласовываются с отделом безопасности. Иногда это происходит намеренно: условно говоря, отдел развития продуктов и дополнительных сервисов, получив отказ от отдела безопасности три раза, на четвертый раз постарается их обойти, — объясняет Гавриченков. — Мы не говорим, что это произошло в конкретном случае, но сплошь и рядом бывают такие ситуации, когда при внедрении инновационных технологий, таких как распознавание речи, активно «срезаются углы», в том числе страдает безопасность. У ряда организаций внедрение таких инноваций просто стоит у менеджеров в KPI».Риск использования банковской информации для мошенничества считается высоким. По данным самого Сбербанка, социальная инженерия остается основным методом хищения денег у частных лиц. В 2018 году в России 80% атак на клиентов банков совершались с ее помощью. В 79% случаев жертвы поддаются на уловки и переводят деньги злоумышленникам, говорится в обзоре Treat Zone'19. Правовые рискиМошенничество с помощью методов социальной инженерии практически не оставляет клиентам шансов вернуть деньги на свой банковский счет. Если человек сам совершает операцию или разглашает данные, которые позволяют ее провести, карта считается скомпрометированной. В этом случае кредитные организации не несут ответственности за пропажу средств — подобный пункт считается стандартным для банковских договоров.Согласно пользовательскому соглашению, приложение «Сбербанк Онлайн» предоставляется клиентам as is («как есть»). Банк не несет ответственности практически за любые убытки, полученные при использовании сервиса, «даже если банку было известно о возможности такого ущерба».Это распространенная формулировка, отмечает партнер юридического бюро «Замоскворечье» Дмитрий Шевченко. «Уведомляя о том, что голосовой помощник является лишь техническим средством, не обладающим сознанием и психикой, банк фактически заявляет о том, что понятие «вины» к ситуациям использования этого помощника юридически не применимо», — поясняет юрист. Он сомневается, что в таких спорах пострадавший клиент сможет доказать, что получил ущерб именно из-за уязвимостей голосового помощника или мобильного. Против взлома только плохие приемы«Если в банке применяется биометрическая идентификация по голосу, то такая атака будет бессмысленной», — говорит Колесов, отвечая на вопрос о том, могут ли мошенники пользоваться уязвимостями голосового помощника Сбербанка. Пока этот сервис не предусматривает распознавания клиента по голосу. Сбербанк работает в другом направлении, пояснил зампред кредитной организации Станислав Кузнецов.«Одновременно с другими методами, дополнительными, на стороне распознавания голоса, изучения попыток со стороны мошенников, мы дополнительный комплекс мер приняли, чтобы хеджировать этот риск на уровне наших систем, когда мы понимаем, что с большой вероятностью мошенник запрашивает эти данные», — сказал топ-менеджер. Он уточнил, что речь идет о сборе образцов голосов злоумышленников.Такой подход может использоваться как один из инструментов борьбы с рецидивистами, соглашается Артем Гавриченков. Эксперт, впрочем, сомневается, что это легко сделать. «Я не уверен, что это настолько простая история с точки зрения законодательства, поскольку на это тоже распространяются нормы о хранении и обработке персональных данных. Закона, который бы позволял собирать биометрическую информацию о злоумышленниках без их ведома и передавать их коммерческим банкам, я не припомню», — говорит технический директор Qrator Labs. Обратный механизм защиты — сравнивать голос клиента с ранее сданным образцом — тоже не безупречен. Есть риск, что под видом телефонного опроса злоумышленник попросит человека озвучить нужный набор фраз и цифр и уже потом использует отпечаток голоса.Пока что лучшее, что тут придумано с точки зрения безопасности, — это кодовое слово, считает Гавриченков. Но главный недостаток этого подхода — риск, что клиент просто забудет код. Варианты с СМС-подтверждением или уточнением других данных специалисты по информационной безопасности тоже не считают идеальными. «Тут вообще хороших решений нет. Есть плохие и «так себе», — резюмирует один из собеседников Банки.ру.Юлия КОШКИНА, Banki.ruСтатья носит информационный характер и публикуется с целью предупреждения случаев мошенничества в финансовой сфере.





Открытые вопросы