14 ноября, среда 10:31
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Мошенничество с системой денежных переводов

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Мошенничество с системой денежных переводов

    Коллеги, кто-нибудь сталкивался с новым видом мошенничества с использованием ситем денежных переводов - Migom, Contact, Blizko и т.п., когда от имени банка отправляются переводы, в короткий промежуток времени (2-3 часа) средства снимаются (в т.ч. в странах Балтии), а когда сводят кассу, выясняется, что средства в кассу банка не вносились?

  • #2
    С явными случаями не сталкивался, но когда делали проверку систем ДП, поняли, что там простор для этой темы велик!

    Во первых стОит обратить внимание на организацию парольной защиты при использовании этих систем. Во-вторых - очевидные технические дыры, например, в БД старого клиента системы Анелик зачастую используется пароль по умолчанию админа БД..

    Комментарий


    • #3
      Skotobaza,

      откуда инфа такая? у вас/знакомых в банке произошло или из других источнегоф? если из других в студию пожалуйста. системы ДП организованны по-разному.

      Комментарий


      • #4
        Вообще то в перечисленных системах ключик ЭЦП используется, то есть за пределами банка практически никак не отправишь. А внутри банка... проще деньги сообщнику выдать - так же при своде кассы обнаружат и...

        Комментарий


        • #5
          Коллеги. Проблема реально существует. Выявлены несколько случаев мошеничества. По репутационным причинам фигурантов не называю. Злоумышленники в течение нескольких дней (в выходные) совершили несколько переводов, в т.ч. в страны Балтии, от имени Банка. В течение нескольких часов деньги были сняты. Сперва подумали на кассиров, но при выяснении обстоятельств, оказалось, что преступные действия с их стороны маловероятны. Скорее всего, был похищен ключ Банка к системе переводов. В связи с данной ситуацией вопрос: как уберечься от подобных рисков? Ведь кассир в данном случае может отправить перевод на намного большую сумму, чем имеет в кассе, а потом попросить сообщника снять деньги.

          Комментарий


          • #6
            Интегрировать с АБС. В АБС настраивать лимиты. По ключам и паролям все обычно - требования.

            Комментарий


            • #7
              Skotobaza,

              тут ведь дело вот в чем - чтобы ответить нужно знать как организованна система. известны случаи, когда молодые да ранние, да еще и очень умные вожди забивают на штатное функционирование системы и, например, предлагают ключ банки прикрутить на сервак, чтобы не кассиры своей персонифицированной ЭЦП-ой подписывали платежи, а тулза какая-нить через одну дырку! - если это так, то нужно матрицу доступофф - кто мог скомуниздить, т.е. имел доступ к ентому месту, кто уволнялсо ф последнее время, кто уволнялсо обиженным и вообще как это место, где живет ключ банка защищено. ну и, конечно, никто не отменял рыть логи. все зависит от реализации системы.

              Комментарий


              • #8
                Сообщение от Skotobaza Посмотреть сообщение
                Коллеги. Проблема реально существует. Выявлены несколько случаев мошеничества. По репутационным причинам фигурантов не называю. Злоумышленники в течение нескольких дней (в выходные) совершили несколько переводов, в т.ч. в страны Балтии, от имени Банка. В течение нескольких часов деньги были сняты. Сперва подумали на кассиров, но при выяснении обстоятельств, оказалось, что преступные действия с их стороны маловероятны. Скорее всего, был похищен ключ Банка к системе переводов. В связи с данной ситуацией вопрос: как уберечься от подобных рисков? Ведь кассир в данном случае может отправить перевод на намного большую сумму, чем имеет в кассе, а потом попросить сообщника снять деньги.
                Разные есть подходы.

                1. У нас делали упор на dual control, когда операционистка вбивает проводку, но деньги уходят только после того, как контролер сверит реестр поатежей с первичкой. В этом случае вы точно знаете, что деньги перевел не кассир. Если клиентский АРМ системы мгновенных платежей таколе не позволяет, стоит подумать - а нужна ли вам такая система платежей.

                2. В ситуации, когда вы не знаете точно, каким именно способом выполнен перевод, я бы рекомендовал менять ключи.

                Комментарий


                • #9
                  malotavr, 1. У нас делали упор на dual control, когда операционистка вбивает проводку, но деньги уходят только после того, как контролер сверит реестр поатежей с первичкой. В этом случае пропадает основная "фишка" переводов - срочность. Или в кассе должно сидеть 2 человека? Один принимает, другой отправляет?
                  я бы рекомендовал менять ключи. Первое, что сделали.

                  Комментарий


                  • #10
                    Сообщение от Skotobaza Посмотреть сообщение
                    ...
                    я бы рекомендовал менять ключи. Первое, что сделали.
                    Поменять хорошо, но лучше поменять так, что бы невозможно было ключи скопировать. Токены например использовать...

                    Комментарий


                    • #11
                      Сообщение от Skotobaza Посмотреть сообщение
                      malotavr, 1. У нас делали упор на dual control, когда операционистка вбивает проводку, но деньги уходят только после того, как контролер сверит реестр поатежей с первичкой. В этом случае пропадает основная "фишка" переводов - срочность. Или в кассе должно сидеть 2 человека? Один принимает, другой отправляет?
                      Не пропадает. Реализовано это примерно так.

                      Кассир (их в отделении несколько) принимает нал и заводит транзакцию. Параллельно операционистки уже по другим операциям тоже заводят проводки. Все проводки, требующие валидации, потоком попадают закрепленному за отделением бэкофис-менеджеру (обычно сидит в том же отделении). Он сверяет транзакции с первичкой и валидирует. Задержки в обработке практически нет.

                      Комментарий


                      • #12
                        Сообщение от malotavr Посмотреть сообщение
                        Не пропадает. Реализовано это примерно так.

                        Кассир (их в отделении несколько) принимает нал и заводит транзакцию. Параллельно операционистки уже по другим операциям тоже заводят проводки. Все проводки, требующие валидации, потоком попадают закрепленному за отделением бэкофис-менеджеру (обычно сидит в том же отделении). Он сверяет транзакции с первичкой и валидирует. Задержки в обработке практически нет.
                        Фишка в том, что если украсть ключик ЭЦП и знать пароль, то по некоторым системам ДП отправить можно например из интернет-кафе.

                        Комментарий


                        • #13
                          Сообщение от IgorL Посмотреть сообщение
                          Фишка в том, что если украсть ключик ЭЦП и знать пароль, то по некоторым системам ДП отправить можно например из интернет-кафе.
                          Ага. Поэтому, когда принимается решение использовать такие системы, неплохо задаться вопросом - а оно нам такое нужно?

                          Комментарий


                          • #14
                            Сообщение от malotavr Посмотреть сообщение
                            Ага. Поэтому, когда принимается решение использовать такие системы, неплохо задаться вопросом - а оно нам такое нужно?
                            Нужно/не_нужно определяет бизнес, если на этом можно заработать, почему не использовать? Другой вопрос, что все правильно нужно сделать по безопасности (ключи в индивидуальных токенах, выдаваемых под персональную ответственность, пароли сложные и меняются), то ИМХО, не опасней других систем.

                            Комментарий


                            • #15
                              И ещё более стоит задаться вопросом "а оно нам нужно?" при возникновении мысли об интеграции систем таких переводов с АБС.
                              Когда делают "коннектор" АБС с платёжной системой, позволяющий делать переводы прямо из АБС, то (бывает без пристального внимания ИБшников), что ключ от платёжной системы либо воткнут в сервер АБС (физически), либо валяется в открытом виде на жёстком диске АБС.
                              В этом случае к ключу имеют доступ многие, включая операторов резервного копирования.
                              В общем, опасные это вещи - интеграция, автоматизация...

                              Комментарий


                              • #16
                                Сообщение от sunny Посмотреть сообщение
                                И ещё более стоит задаться вопросом "а оно нам нужно?" при возникновении мысли об интеграции систем таких переводов с АБС.
                                Когда делают "коннектор" АБС с платёжной системой, позволяющий делать переводы прямо из АБС, то (бывает без пристального внимания ИБшников), что ключ от платёжной системы либо воткнут в сервер АБС (физически), либо валяется в открытом виде на жёстком диске АБС.
                                В этом случае к ключу имеют доступ многие, включая операторов резервного копирования.
                                В общем, опасные это вещи - интеграция, автоматизация...
                                А как же с транспортной машиной? Там ведь тоже интеграция? А с банками корреспондентами?
                                Вообще интеграция позволяет избежать массы проблем, включая ошибки оператора (отправит вместо 0,2К 20К, а с контролем 202 счета так не получится). Вопросы с хранением подписи и её проставлением в любом случае должны быть решены - никто не заставляет подписи держать в доступном месте.

                                Комментарий


                                • #17
                                  Я ж не говорю, что не надо ничего интегрировать, а надо только дифференцировать
                                  Просто надо делать всё аккуратно. В случае с АБС там задача очень нетривиальная.

                                  Комментарий


                                  • #18
                                    Сообщение от IgorL Посмотреть сообщение
                                    Нужно/не_нужно определяет бизнес, если на этом можно заработать, почему не использовать? Другой вопрос, что все правильно нужно сделать по безопасности (ключи в индивидуальных токенах, выдаваемых под персональную ответственность, пароли сложные и меняются), то ИМХО, не опасней других систем.
                                    Он и определяет
                                    У нас так банк клиент для физиков внедрялся, на парольной аутентификации. Бизнес на риски посмотрел, сказал - не, нам такого счастья не надо.

                                    Комментарий


                                    • #19
                                      sunny,

                                      Когда делают "коннектор" АБС с платёжной системой, позволяющий делать переводы прямо из АБС, то (бывает без пристального внимания ИБшников), что ключ от платёжной системы либо воткнут в сервер АБС (физически), либо валяется в открытом виде на жёстком диске АБС.

                                      Просто надо делать всё аккуратно. В случае с АБС там задача очень нетривиальная.

                                      золотые слова! особенно обидно бывает, когда безопасность про такие вот мегасистемы (да еще собранные на коленках, даже без малейшей документации) узнает в последний момент.

                                      Комментарий


                                      • #20
                                        Skotobaza, теперь могу сказать, что сталкивалась. Судя по всему, умыкнули пароль/ключи, и отправили платеж из инет-кафе. Что затейливо, платежная система, выдала мне внутренний айпи адрес машины, с которой прошел платеж, но не может назвать внешний - нет такой информации.
                                        Чем больше связей, тем меньше степеней свободы.

                                        Комментарий


                                        • #21
                                          Чернушка
                                          Это Вас так всеми любимый Мигом порадовал? на самом деле BSS БК, который они используют, умеет писать и другие логи, которые содержат как раз внешний IP клиента.
                                          Я словно лист на ветру, посмотри как я лечу...

                                          Комментарий


                                          • #22
                                            да, что еще хотелось сказать.
                                            К сожалению, хранение ключей на классическом токене никакая не панацея. Возможность копирования криптоконтейнера никто не отменял. Токены с неизвлекаемыми ключами - пока экзотика.

                                            Про персонализацию ключей ЭЦП - тоже не всегда возможно. Народ болеет, болеют дети, отпуска и т.д. сотрудников приходится переводить.
                                            Я словно лист на ветру, посмотри как я лечу...

                                            Комментарий


                                            • #23
                                              Mc`Sim, нет. К Мигому еще не подключились.
                                              Чем больше связей, тем меньше степеней свободы.

                                              Комментарий


                                              • #24
                                                Сообщение от Чернушка Посмотреть сообщение
                                                Mc`Sim, нет. К Мигому еще не подключились.
                                                везет 8).
                                                больше Мигом я нелюблю только WU.
                                                Я словно лист на ветру, посмотри как я лечу...

                                                Комментарий


                                                • #25
                                                  Чернушка,
                                                  Что затейливо, платежная система, выдала мне внутренний айпи адрес машины, с которой прошел платеж, но не может назвать внешний - нет такой информации.

                                                  боюсь, что даже если бы он был - то мало чем помог бы! ибо,
                                                  - существует куча способов подмены ИП, прокси и т.д.
                                                  - такие платежные системы и иже с ними в нашем гондурасе никак не регламентированы законодательно.
                                                  - для наших высокоуважаемых, оперативных и справедливых органов суммы меньшее круглых круглых лямофф вааще не интересны.


                                                  Mc`Sim,
                                                  К сожалению, хранение ключей на классическом токене никакая не панацея. Возможность копирования криптоконтейнера никто не отменял.

                                                  дело не в копировании криптоконтейнера, а в возможности тыренья ключа, когда он в ОП кампутира находится.

                                                  Про персонализацию ключей ЭЦП - тоже не всегда возможно. Народ болеет, болеют дети, отпуска и т.д. сотрудников приходится переводить.

                                                  ёкарный бабай, дык по это они и должны быть персонифицырованными и выдаваться под роспись...
                                                  переводами занимаються обычно операционистки или кассиры, схемы замены на случай болезни должны быть известны. правда же? ведь вы, например, кассира на случай болезни не будете подменять специалистом ХОЗУ или там Канцелярии, поваром из столовой? вот и нашлепать персонифицированных ключей для замофф, запечатать их конвертег и покласть в сейфег и в случае ахтунга под роспись выдавать заместителям )

                                                  я уж не говорю о том, что как честные лицензиаты фысыбы, лицензиаты и должны посмтупать.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от xell Посмотреть сообщение
                                                    Чернушка,
                                                    Что затейливо, платежная система, выдала мне внутренний айпи адрес машины, с которой прошел платеж, но не может назвать внешний - нет такой информации.

                                                    боюсь, что даже если бы он был - то мало чем помог бы! ибо,
                                                    - существует куча способов подмены ИП, прокси и т.д.
                                                    - такие платежные системы и иже с ними в нашем гондурасе никак не регламентированы законодательно.
                                                    - для наших высокоуважаемых, оперативных и справедливых органов суммы меньшее круглых круглых лямофф вааще не интересны.


                                                    Mc`Sim,
                                                    К сожалению, хранение ключей на классическом токене никакая не панацея. Возможность копирования криптоконтейнера никто не отменял.

                                                    дело не в копировании криптоконтейнера, а в возможности тыренья ключа, когда он в ОП кампутира находится.

                                                    Про персонализацию ключей ЭЦП - тоже не всегда возможно. Народ болеет, болеют дети, отпуска и т.д. сотрудников приходится переводить.

                                                    ёкарный бабай, дык по это они и должны быть персонифицырованными и выдаваться под роспись...
                                                    переводами занимаються обычно операционистки или кассиры, схемы замены на случай болезни должны быть известны. правда же? ведь вы, например, кассира на случай болезни не будете подменять специалистом ХОЗУ или там Канцелярии, поваром из столовой? вот и нашлепать персонифицированных ключей для замофф, запечатать их конвертег и покласть в сейфег и в случае ахтунга под роспись выдавать заместителям )

                                                    я уж не говорю о том, что как честные лицензиаты фысыбы, лицензиаты и должны посмтупать.
                                                    больше Мигом я нелюблю только WU.

                                                    в WU вы ваааще никогда концов не найдете.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от xell Посмотреть сообщение
                                                      больше Мигом я нелюблю только WU.

                                                      в WU вы ваааще никогда концов не найдете.
                                                      Опасная штука, согласен. Как и любая МПС, SWIFT. Помню SWIFT как-то вообще назвали угрозой национальной безопасности.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от xell Посмотреть сообщение
                                                        боюсь, что даже если бы он был - то мало чем помог бы! ибо,
                                                        - существует куча способов подмены ИП, прокси и т.д.
                                                        - такие платежные системы и иже с ними в нашем гондурасе никак не регламентированы законодательно.
                                                        - для наших высокоуважаемых, оперативных и справедливых органов суммы меньшее круглых круглых лямофф вааще не интересны.

                                                        Сейчас меня уже не волнует - помог или нет. В том смысле, что все указывает на злой умысел. Не ясен механизм реализации, а как следствие - способ защиты.
                                                        Чем больше связей, тем меньше степеней свободы.

                                                        Комментарий


                                                        • #29
                                                          Чернушка
                                                          что до механизма - так бритву Окама никто не отменял. проще всего ключ ЭЦП просто скопировать. Следующей по вероятности механизм - вирус, который "тырит" ключи.

                                                          как защитится - если крипта поддерживает новые токены/рутокены/MsKey - то как раз самое время заложить в бюджет. Здесь громко заявлено, что штатно ключ ЭЦП носитель не покидает - криптопреобразование происходит внутри носителя.
                                                          Я словно лист на ветру, посмотри как я лечу...

                                                          Комментарий


                                                          • #30
                                                            Mc`Sim, да, я тоже пришла к выводу, что тонкое место - ЭЦП. Не было бы нашей ЭЦП под тем документом - ничего бы не получилось у злоумышленника. Разбираюсь теперь с устройством мира ) - по предыдущей технологии ключи лежали на машине отправки, одни на весь филиал. Вот веселуха-то где.
                                                            Чем больше связей, тем меньше степеней свободы.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X