28 февраля, воскресенье 21:43
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Оцените идею

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Оцените идею

    В настоящий момент сижу на Магнитогорской конференции, откуда собственно и пишу.

    Вчера был очень "ударный день", рассматривалось мошенничество в ДБО. Много интересного, суть которого, если сказать мягко "все плохо и вряд ли станет лучше в обозримом будущем".


    Есть идея, как сделать эффективную борьбу с мошенничеством в ДБО для "клиент банка с толстым клиентом".

    Прошу идею оценить.

    1. Устанавливается лимит платежки, после которого платежки требуют дополнительного подтверждения. Например, 500 тыс. руб. Для платежек с меньшей суммой ничего не меняется. Это делается через "личный кабинет". (карантин)
    2. Создается "личный кабинет на сайте банка". Ногами не пинайте, здесь имеется ввиду раздел на сайте, который я сейчас придумал (см. п3), а не те, которые и так есть сейчас.
    3. Личный кабинет в контексте пункта 2 представляет собой раздел с очень ограниченным функционалом. Там нельзя добавлять платежки, нельзя их менять, нельзя их удалять. Можно только дополнительно подтвержать, для целей прохождения.
    4. Подтверждение происходит через "устройство генерации одноразовых паролей". Причем это устройство с клавиатурой (а не с 1 кнопкой).

    Как это работает.
    После подписания платежек банк клиент на стороне банка их разбирает. Все, что 500 тыс и дороже, идут на карантин. Клиенту при этом высылается по емайлу ссылка для подтверждения. Клиент, получив ссылку, входит в "личный кабинет" (тот, что я прописал в п.3). В качестве аутентификации можно использовать имеющуюся ЭЦП. Последнее обстоятельстов не очень важно, можно хоть вообще без аутентификации, другое дело, что нужно обеспечить безопасность в том смысле, чтобы одни клиенты не видели плажек других.

    Там он видит платежки, которые реально пришли в банк (ситуацию с фишингом я опишу ниже). В свое устройство (с клавиатурой) вводит 2 разных числа - первое, которое сгенерировано системой одноразовых паролей, второе - ИНН получателя (он числовой).
    В ответ вводит пароль, сгенерированный генератором одноразовых паролей. Если пароль введен правильно, то платежка считается подтвержденной и идет в АБС. Если нет, то нет.

    Что произойдет в случае с фишингом.
    Даже если у нас "хуже некуда" и вместо нашей платежки ушла "не наша", попала на карантин, пришла неправильная ссылка и мы видим, "что типа все правильно, надо подтверждать".... Мы подтверждаем, основываясь на 2-х числах, первое - сгенерировано системой генерации одноразовых паролей (его можно перехватить), второе ИНН (он типа правильый). Даже если система перехватит наш ответный пароль, который мы ввели из токена генерации одноразовых паролей. ПЛАТЕЖКА НЕ ПРОЙДЕТ.

    Фокус в том, что на правильном сайте банке, где неправильная платежка лежит на карантине, ИНН получателя неправильный.

    И ответ системы генерации одноразовых паролей, одним из аргументов которого является ИНН, не пройдет как подтвержение в системе "личный кабинет".

    А вот какой должен был бы быть пароль для платежки с неправильным ИНН, никто не знает.

    Прошу оценить идею.

    P.S. На стенде компании Бифит на магнитогорской конференции стоит макет системы с генерацией одноразовых паролей. Но у них одноразовый пароль используется для аутентификации пользователя при входе в интернет банк. Не знаю, подтвержаются ли у них генератором одноразовых паролей платежки, но тут возможен фишинг.

  • #2
    Добавлю аргументы еще:
    1. Договор с клиентом меняется не существенно.
    Он все равно несет ответственность за все платежки, другое дело что за счет дополнительного подтверждения банк может платежки останавливать.
    И в этом случае банк освобождается от ответственности за непроведенный платеж.
    2. Устройство генерации одноразовых паролей стоит "терпимых" денег (десятки долларов), оплачивается каждым клиентом самостоятельно.
    3. Для тех клиентов, кто не хочет - ничего не меняется.

    Комментарий


    • #3
      1) ИНН необязательно для заполнения.
      2) это хорошо, если у банка активный сайт. А если только толстый Клиент-Банк и только информативный сайт? Весь алгоритм переделывать, вкладывать деньги и прочее.

      Мне кажется, когда ДБО толстое и реально он-лайновое, то клиент просто всегда может видеть все платежи свои. Просто дабавьте, что у таких-то клиентов, суммы свыше такого-то только с двумя подписями.

      Бух отправляет со своем ЭЦП, а первое лицо переподписывает своей ЭЦП те платежи, что уже в банке ожидают 2 подпись.
      Конечно, можно своровать все ключи и пароли к ним, но 100% защиты нет.
      IK Soft

      Комментарий


      • #4
        Если крупные клиенты, у которых платежек по 500 тыс может быть под сотню в день, не удобно и будет потверждать это все. Как сделанно в одном банке. Платежи до определенной суммы с ЭЦП, свыше ЭЦП+одноразовые пароли, конечно не 100% но зато удобно, если платежи по 10 рублей не надо одноразовые пароли вводить.

        Комментарий


        • #5
          крыпням клиентам можно поставить канальные шифраторы. Те одноразовые пароли, которые используют банк Интеза и банк Москвы (с 1-й кнопкой), теоретически можно хакнуть с помощью фишинга (пока нет такого фишинга, но дело времени). А вот мой вариант нет.

          Про копеечные платежки - я пишу про 500 тыс. Просто по результатам конференции - количество мошенничества по прогнозам возрастет.

          Комментарий


          • #6
            Ну и что меняется то? Хакеры так же зайдут и подтвердят, причем с рабочей станции клиента, а клиенты (бухи, которые сидят на системе банк-клиент) будут платить через те банки, где заморочек меньше или платежки возить как встарь. Существующих сегодня средств вполне достаточно, при условии того, что клиент их будет использовать именно так, как ему предписали, не оставляя воткнутыми ключи в компьютер (лень же каждый раз перетыкать, а уж если под стол нырять... ) проверяя машинку на вирусы и работая за включенным фаерволом.

            Комментарий


            • #7
              в момент получения банком платежки пользователю посылается СМС с некоторыми реквизитами платежки + одноразовый код, который сгенерен на основе данных платежки. Этим кодом подтверждается платежка, подтвердить этим кодом любую другую платежку невозможно.
              Можно использовать для пачки платежей, но контролировать ясное дело можно только число платежей и общую сумму.

              Для толстого клиента ясное дело не так удобно как для тонкого, но тоже можно.

              Комментарий


              • #8
                GeC, в момент получения банком платежки пользователю посылается СМС с некоторыми реквизитами платежки + одноразовый код, который сгенерен на основе данных платежки. Этим кодом подтверждается платежка, подтвердить этим кодом любую другую платежку невозможно.

                А когда платежек этих посылается под 1000 в день? Интересно, с какого СМС бухи плюнут на это дело?

                Комментарий


                • #9
                  а не дешевле ли ограничить доступ компьютера бухгалтера только на сайт ИБ банка? Делается очень просто, как банках. Выделяется одна машина на отправку документов, в локалку она не подключена, доступ только на 1 сайт ИБ банка..закрывается все usb и вся хрень спец железками, доступ к компьютеру через токкен...все никакой вирус, никакой мошенник ничего не сделает. Затраты компьютер самый простой 10 тыс. руб+железки 200 баксов..вот и вся цена вопроса. Защита будет супер эффективная.

                  Комментарий


                  • #10
                    Сообщение от Д.Богданов Посмотреть сообщение
                    GeC, в момент получения банком платежки пользователю посылается СМС с некоторыми реквизитами платежки + одноразовый код, который сгенерен на основе данных платежки. Этим кодом подтверждается платежка, подтвердить этим кодом любую другую платежку невозможно.
                    А когда платежек этих посылается под 1000 в день? Интересно, с какого СМС бухи плюнут на это дело?
                    Еще более экстремальный пример - холдинг из сотни предприятий, централизованно управляющий платежами, со структурой подтверждения документов бухгалтер предприятия - главный бухгалтер - бюджетный контролер холдинга. СМСы и прочие подобные штучки тут не прокатывают никаким образом.
                    WBR, Александр Турчин

                    Комментарий


                    • #11
                      Сообщение от Шубы Посмотреть сообщение
                      Устанавливается лимит платежки, после которого платежки требуют дополнительного подтверждения. Например, 500 тыс. руб. Для платежек с меньшей суммой ничего не меняется. Это делается через "личный кабинет". (карантин)
                      Если не секрет, что помешает жуликам запулить 2 платежки по 250 тыщ. руб. или даже 10 по 50 тыщ. руб. ?

                      Комментарий


                      • #12
                        Сообщение от troll2180 Посмотреть сообщение
                        а не дешевле ли ограничить доступ компьютера бухгалтера только на сайт ИБ банка? Делается очень просто, как банках. Выделяется одна машина на отправку документов, в локалку она не подключена, доступ только на 1 сайт ИБ банка..закрывается все usb и вся хрень спец железками, доступ к компьютеру через токкен...все никакой вирус, никакой мошенник ничего не сделает. Затраты компьютер самый простой 10 тыс. руб+железки 200 баксов..вот и вся цена вопроса. Защита будет супер эффективная.
                        Ага. Будет. Вы только забыли про главную проблему в безопасности любой организации -пользователей. Тот же бух скажет - я не могу так работать! Мне надо чтобы все было удобно, с моими любимыми окошками, с рюшечками-оборочками, и чтобы платежки из 1С экспортировалось в банк-клиент, а еще у меня тут 10 сотрудников в отделе им тоже это надо, а еще.....
                        И все, прощай безопасность.

                        Комментарий

                        Обработка...
                        X