15 октября, понедельник 20:00
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Интернет-банкинг, размер бедствия?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Интернет-банкинг, размер бедствия?

    Коллеги,

    наткнулся на такую вот новость:
    "Свердловской области еженедельно за последние два месяца похищается до 2 млн рублей с использованием системы «Интернет-банк»."

    Какие есть мнения по этому поводу?

  • #2
    Мое мнение, чего это злодеи так четко прям на Свердловской области сконцентрировались? уж не течет ли инфо из банка самого? (это если принять на веру версию МВД о причинах). Полно безответственных клиентов (не только ведь они в Свердловской области), у которых ключи на жеском диске и пароля нет, чтоб не напрягало вводить постоянно.

    Комментарий


    • #3
      Сообщение от griboff Посмотреть сообщение
      Коллеги,

      наткнулся на такую вот новость:
      "Свердловской области еженедельно за последние два месяца похищается до 2 млн рублей с использованием системы «Интернет-банк»."

      Какие есть мнения по этому поводу?
      И чего? Вот если б НЕ воровали - то-то б я удивился!
      Да вот недавно была история как простой машинист метро свиснул из банка Москвы кажется 30 или 35 миллионов. Тоже по банк-клиенту.

      Комментарий


      • #4
        Сообщение от Berrimor Посмотреть сообщение
        Да вот недавно была история как простой машинист метро свиснул из банка Москвы кажется 30 или 35 миллионов. Тоже по банк-клиенту.
        Там не такая ситуация была, у него, кроме доступа к своему счету, был доступ к ссудному счету банка, т.е. имела место скорее ошибка оператора.

        Если от имени клиента кто-то куда-то перевел деньги, на сколько это является проблемой для банка?

        Комментарий


        • #5
          Сообщение от griboff Посмотреть сообщение
          Какие есть мнения по этому поводу?

          Статья практически ни о чем! бред, сотруднеги К паходу сами не фтыкают о чем пишут. "кодом электронной подписи" "Либо код пишется на бумаге, которая приклеивается к монитору компьютера" "«Троянец» считывает информацию с компьютера фирмы"
          это вааще о чем? все-таки это ЭЦП или пасс? какой софт интернет-банка? НИ А ЧЁМ!
          пострадавшим фирмам бежать ф суд и судитсо, быстренько!

          Комментарий


          • #6
            Сообщение от griboff Посмотреть сообщение
            Про банк москвы ты прав - вина автоматизаторов или программеров.

            Если от имени клиента кто-то куда-то перевел деньги, на сколько это является проблемой для банка?
            для банка это является проблемой, если он корява договор составил и не учел при внедрении системы аспектов ИБ (если вообще учитывал).

            хорошо бы если бы сейчас в суд народ побежал. я бы с удовольствием понаблюдал, прецедентофф почти нет, законодательство в этом месте ваааще дырявое, про что я уже не однократно шумлю (

            Комментарий


            • #7
              Сообщение от griboff Посмотреть сообщение
              Коллеги,

              наткнулся на такую вот новость:
              "Свердловской области еженедельно за последние два месяца похищается до 2 млн рублей с использованием системы «Интернет-банк»."

              Какие есть мнения по этому поводу?
              Проблема очень актуальная, хотя статья написана человеком, далеким от этих вопросов (что понял, то и написал). Схем увгода средств много, некоторые из них используются уже лет 8. Принцип один и тот же - создать условия, при которых банк примет платежное поручение с криптографически корректной ЭЦП, но с нарушением правил проверки подлинности. Причина, по которой это возможно - не только клиент безалаберно относится к защите своих ключей (почти всегда), но и банк (иногда) - к процедуре генерации ключей и хранения свидетельств.

              Пример (приводил на семинаре сотрудник УБЗИ МГТУ): некто А обращается в банк с заявлением на перевыпуск ключей ЭЦП фирмы Б (потреряли дискету). Предъявляет комплект документов - паспорт, доверенность и т.п. Перевыпускаются ключи, через час проходит платеж, еще через час фирма Б звонит в техподдержку - Клиент-Банк забраковывает платежи. Выясняется - платежи подписаны старым ключом, предыдущий платеж они не инициировали, заявление на перевыпуск ключей не делали, А не имеет к ним никакого отношения (и вообще уже два года как похоронен), паспорт и доверенность поддельные. Итог - банк возмещает неправомерно списанную сумму.

              Бывают ситуации, когда ключ действительно утекает (если он на дискете, админу не проблема его скопировать). В этом случае фирма теряет деньги, но доказать ничего не может.

              Комментарий


              • #8
                malotavr
                Спасибо за пример!
                Выясняется - платежи подписаны старым ключом, предыдущий платеж они не инициировали, заявление на перевыпуск ключей не делали
                В смысле новым ключом, перевыпущенным?

                Комментарий


                • #9
                  Сообщение от griboff Посмотреть сообщение
                  В смысле новым ключом, перевыпущенным?
                  Нет, старым. Запрос на выпуск нового ключа делается мошенниками, о существовании этого запроса фирма ничего не знает и пытается пользоваться старым ключом. Банк не принимает старый ключ, и с этого начинается разбор полетов. Выясняется, что банк обработал платеж, подписанный новым, неправомерно выпущенным ключом, и это вина банка (приняли фальшивые документы, ЭЦП не может считаться подлинной).

                  Комментарий


                  • #10

                    я конечно, ничего не хочу сказать - но чо-та дядька вас поднае....л из МГТУ. если это выпуск сертификата плановый, то по закону, есессьна! УЦ имеет право выпустить новый сертификат - только после получения запроса на сертификат в электронном виде PKCS#7 в качестве подписываемых данных используется запрос на сертификат ключа подписи в формате PKCS#10, ЭЦП осуществляется на действующем закрытом ключе пользователя УЦ. если это смена внеплановая - то по регламенту, сначала должен быть анулирован старый сертификат подписи (по заявлению, соответствующим образом заверенным!, т.е. подпись ответственного лица+печать организации) - если у них в УЦ не выполняют регламентные работы УЦ и 1-ФЗ - мля, дык это их трабла! а еще, если мы говорим про банк, есть банковская карточка, где указано хто рук организации, хто бух, их подписи, печать и т.д. а еще я что-то не помню, чтобы они, в МГТУ, так оперативно шлепали сертификаты!!!

                    malotavr, наабманул тебя дядька из МГТУ - не верь ему, он плахой!

                    Комментарий


                    • #11
                      Сообщение от xell Посмотреть сообщение
                      я конечно, ничего не хочу сказать - но чо-та дядька вас поднае....л из МГТУ.
                      Коллега, выбирайте, пожалуйста, выражения.

                      Сообщение от xell Посмотреть сообщение
                      если это выпуск сертификата плановый, то по закону, есессьна! УЦ имеет право выпустить новый сертификат - только после получения запроса на сертификат в электронном виде PKCS#7 в качестве подписываемых данных используется запрос на сертификат ключа подписи в формате PKCS#10, ЭЦП осуществляется на действующем закрытом ключе пользователя УЦ.
                      С какого перепугу? Закон вообще не говорит, что ЭЦП должно реализовываться в рамках спецификаций PKCS (хотя эти стандарты хорошо на этот закон ложатся). УЦ обязан выпустить новый сертификат, если клиент обратился к нему с запросом в установленной этим УЦ форме. Более того, регламент УЦ должен предусматривать возможность выпуска нового сертификата в случае утери старого ключа, иначе такая пустяковая проблема заблокирует возможность обслуживания данного клиента.

                      Сообщение от xell Посмотреть сообщение
                      если это смена внеплановая - то по регламенту, сначала должен быть анулирован старый сертификат подписи (по заявлению, соответствующим образом заверенным!, т.е. подпись ответственного лица+печать организации)
                      Именно это в данном сценарии и было сделано. Было заявление, заверенное субъектом А, была доверенность, согласно которой А имеет право заверять подобные документы. При расследовании оказалось, что и доверенность, и паспорт на имя А - подделки, которые сотрудник банка не распознал.

                      Сообщение от xell Посмотреть сообщение
                      есть банковская карточка, где указано хто рук организации, хто бух, их подписи, печать и т.д.
                      Речь не об МГТУ, а об ордном из банков. УБЗИ анализирует все случаи мошенничеств подобного рода и активно сотрудничает с правоохранительными органами в качестве консультанта.

                      Сообщение от xell Посмотреть сообщение
                      malotavr, наабманул тебя дядька из МГТУ - не верь ему, он плахой!
                      На моей поляне меня обмануть сложно

                      Комментарий


                      • #12
                        Сообщение от malotavr Посмотреть сообщение
                        Именно это в данном сценарии и было сделано. Было заявление, заверенное субъектом А, была доверенность, согласно которой А имеет право заверять подобные документы. При расследовании оказалось, что и доверенность, и паспорт на имя А - подделки, которые сотрудник банка не распознал.
                        В доверенности должны были быть три реквизита: подпись первого лица, главбуха, печать организации, которые есть на банковской карточке.
                        Если сотрудник банка их не сравнивал, то злоумышленник мог точно так же и с платёжным поручением прийти, сразу, т.к. на нём должны были быть те же три реквизита...
                        Мы, кстати, обычно, кроме доверенности, ещё и письмо от организации (о причине смены ключей), за подписью первого лица в комплект документов, требуемых для перегенерации ключей включали.

                        Комментарий


                        • #13
                          Сообщение от SNAK Посмотреть сообщение
                          В доверенности должны были быть три реквизита: подпись первого лица, главбуха, печать организации, которые есть на банковской карточке.
                          Если сотрудник банка их не сравнивал, то злоумышленник мог точно так же и с платёжным поручением прийти, сразу, т.к. на нём должны были быть те же три реквизита...
                          Мы, кстати, обычно, кроме доверенности, ещё и письмо от организации (о причине смены ключей), за подписью первого лица в комплект документов, требуемых для перегенерации ключей включали.
                          Еще раз - предусмотренные договором ДБО реквизиты были. Просто они были поддельными. Допускаю, что без специальных знаний работник банка не смог бы обнаружить подделку (я, например, не смогу отличитть поддельную подпись от настоящей даже при плохом с точки зрения криминатлиста качестве подделки).

                          у банка было много способов предотвратить подобное - сопроводительное письмо, контролный звонок и т.п., просто на тот момент банк не осознавал важности этого вопроса.

                          Комментарий


                          • #14
                            Сообщение от malotavr Посмотреть сообщение
                            у банка было много способов предотвратить подобное - сопроводительное письмо, контролный звонок и т.п., просто на тот момент банк не осознавал важности этого вопроса.
                            Именно по этому такие конкретные примеры так полезны.
                            Учиться лучше на чужих ошибках...

                            Комментарий


                            • #15
                              Сообщение от malotavr Посмотреть сообщение

                              При расследовании оказалось, что и доверенность, и паспорт на имя А - подделки, которые сотрудник банка не распознал.

                              значит сотрудники банка виноваты в том что не заметили, а УЦ в том, что не проверили.

                              Комментарий


                              • #16
                                Очень плохо, что такие случаи не получают оглазки ( - это было бы очень полезно

                                Комментарий


                                • #17
                                  Сообщение от xell Посмотреть сообщение
                                  Очень плохо, что такие случаи не получают оглазки ( - это было бы очень полезно
                                  Да случаев когда по вине сотрудников происходит какое-то ЧП и кражи, я думаю, каждый сможет привести немало.
                                  Когда я работал в одном о-очень крупном банке, у нас мужик тоже спер много бабла, предварительно положив сеть, так что кассир не могла проверить правильность получаемой им суммы (бумажку, по которой он получал, он подделал).
                                  Банк ессно, про это рассказывать нигде не стал - репутация пострадает.

                                  Комментарий


                                  • #18
                                    Сообщение от Berrimor Посмотреть сообщение
                                    Да случаев когда по вине сотрудников происходит какое-то ЧП и кражи, я думаю, каждый сможет привести немало.
                                    даже я бы хотел сказать инциденты связанные именно с применением ЭЦП. вааще бесит наше законодательство в этом месте. вот скоро мошеннеги научатся этим пользоваться - и будем мы бедные (

                                    Комментарий


                                    • #19
                                      даже я бы хотел сказать инциденты связанные именно с применением ЭЦП. вааще бесит наше законодательство в этом месте
                                      Конкретно данный случай скорее связан с подделкой печатей и бумажных документов, чем с подделкой ЭЦП. А таких фактов хватало и раньше.
                                      Вот кража (копирование) дискеты банк-клиента из дисковода у секретарши (бухгалтера) из компа (они обычно оттуда не достаются до замены новыми), отправка N-ной суммы со счета клиента - это реальная угроза. И напрямую связана с ЭЦП. Часто у клиентов и 1-я и 2-я подпись в 1-х руках. В лучшем случае - в ящике стола.

                                      Комментарий


                                      • #20
                                        Сообщение от surfer Посмотреть сообщение
                                        Конкретно данный случай скорее связан с подделкой печатей и бумажных документов, чем с подделкой ЭЦП. А таких фактов хватало и раньше.
                                        дыг, вот где бы нарыть какую-нить прицендентную базу? вот было бы интиресно.
                                        коллеги, а мож кто где-нить слышал краем глаза такие ситуевины? поделитись плизз. ) (про банк-москвы думаю уже давно фсе знають). эта инфа реально нужна для учета в работе. ))

                                        Комментарий


                                        • #21
                                          Сообщение от surfer Посмотреть сообщение
                                          Вот кража (копирование) дискеты банк-клиента из дисковода у секретарши (бухгалтера) из компа (они обычно оттуда не достаются до замены новыми), отправка N-ной суммы со счета клиента - это реальная угроза. И напрямую связана с ЭЦП. Часто у клиентов и 1-я и 2-я подпись в 1-х руках. В лучшем случае - в ящике стола.
                                          Дык и дискеты уже красть не нужно, давно уже троянцы "подтянулись":
                                          http://www.bifit.com/ru/company/press/vazhno2.html
                                          Что ещё раз подтверждает, что безопасность - понятие комплексное.

                                          Комментарий

                                          Пользователи, просматривающие эту тему

                                          Свернуть

                                          Присутствует 1. Участников: 0, гостей: 1.

                                          Обработка...
                                          X