В настоящий момент сижу на Магнитогорской конференции, откуда собственно и пишу.
Вчера был очень "ударный день", рассматривалось мошенничество в ДБО. Много интересного, суть которого, если сказать мягко "все плохо и вряд ли станет лучше в обозримом будущем".
Есть идея, как сделать эффективную борьбу с мошенничеством в ДБО для "клиент банка с толстым клиентом".
Прошу идею оценить.
1. Устанавливается лимит платежки, после которого платежки требуют дополнительного подтверждения. Например, 500 тыс. руб. Для платежек с меньшей суммой ничего не меняется. Это делается через "личный кабинет". (карантин)
2. Создается "личный кабинет на сайте банка". Ногами не пинайте, здесь имеется ввиду раздел на сайте, который я сейчас придумал (см. п3), а не те, которые и так есть сейчас.
3. Личный кабинет в контексте пункта 2 представляет собой раздел с очень ограниченным функционалом. Там нельзя добавлять платежки, нельзя их менять, нельзя их удалять. Можно только дополнительно подтвержать, для целей прохождения.
4. Подтверждение происходит через "устройство генерации одноразовых паролей". Причем это устройство с клавиатурой (а не с 1 кнопкой).
Как это работает.
После подписания платежек банк клиент на стороне банка их разбирает. Все, что 500 тыс и дороже, идут на карантин. Клиенту при этом высылается по емайлу ссылка для подтверждения. Клиент, получив ссылку, входит в "личный кабинет" (тот, что я прописал в п.3). В качестве аутентификации можно использовать имеющуюся ЭЦП. Последнее обстоятельстов не очень важно, можно хоть вообще без аутентификации, другое дело, что нужно обеспечить безопасность в том смысле, чтобы одни клиенты не видели плажек других.
Там он видит платежки, которые реально пришли в банк (ситуацию с фишингом я опишу ниже). В свое устройство (с клавиатурой) вводит 2 разных числа - первое, которое сгенерировано системой одноразовых паролей, второе - ИНН получателя (он числовой).
В ответ вводит пароль, сгенерированный генератором одноразовых паролей. Если пароль введен правильно, то платежка считается подтвержденной и идет в АБС. Если нет, то нет.
Что произойдет в случае с фишингом.
Даже если у нас "хуже некуда" и вместо нашей платежки ушла "не наша", попала на карантин, пришла неправильная ссылка и мы видим, "что типа все правильно, надо подтверждать".... Мы подтверждаем, основываясь на 2-х числах, первое - сгенерировано системой генерации одноразовых паролей (его можно перехватить), второе ИНН (он типа правильый). Даже если система перехватит наш ответный пароль, который мы ввели из токена генерации одноразовых паролей. ПЛАТЕЖКА НЕ ПРОЙДЕТ.
Фокус в том, что на правильном сайте банке, где неправильная платежка лежит на карантине, ИНН получателя неправильный.
И ответ системы генерации одноразовых паролей, одним из аргументов которого является ИНН, не пройдет как подтвержение в системе "личный кабинет".
А вот какой должен был бы быть пароль для платежки с неправильным ИНН, никто не знает.
Прошу оценить идею.
P.S. На стенде компании Бифит на магнитогорской конференции стоит макет системы с генерацией одноразовых паролей. Но у них одноразовый пароль используется для аутентификации пользователя при входе в интернет банк. Не знаю, подтвержаются ли у них генератором одноразовых паролей платежки, но тут возможен фишинг.
Вчера был очень "ударный день", рассматривалось мошенничество в ДБО. Много интересного, суть которого, если сказать мягко "все плохо и вряд ли станет лучше в обозримом будущем".
Есть идея, как сделать эффективную борьбу с мошенничеством в ДБО для "клиент банка с толстым клиентом".
Прошу идею оценить.
1. Устанавливается лимит платежки, после которого платежки требуют дополнительного подтверждения. Например, 500 тыс. руб. Для платежек с меньшей суммой ничего не меняется. Это делается через "личный кабинет". (карантин)
2. Создается "личный кабинет на сайте банка". Ногами не пинайте, здесь имеется ввиду раздел на сайте, который я сейчас придумал (см. п3), а не те, которые и так есть сейчас.
3. Личный кабинет в контексте пункта 2 представляет собой раздел с очень ограниченным функционалом. Там нельзя добавлять платежки, нельзя их менять, нельзя их удалять. Можно только дополнительно подтвержать, для целей прохождения.
4. Подтверждение происходит через "устройство генерации одноразовых паролей". Причем это устройство с клавиатурой (а не с 1 кнопкой).
Как это работает.
После подписания платежек банк клиент на стороне банка их разбирает. Все, что 500 тыс и дороже, идут на карантин. Клиенту при этом высылается по емайлу ссылка для подтверждения. Клиент, получив ссылку, входит в "личный кабинет" (тот, что я прописал в п.3). В качестве аутентификации можно использовать имеющуюся ЭЦП. Последнее обстоятельстов не очень важно, можно хоть вообще без аутентификации, другое дело, что нужно обеспечить безопасность в том смысле, чтобы одни клиенты не видели плажек других.
Там он видит платежки, которые реально пришли в банк (ситуацию с фишингом я опишу ниже). В свое устройство (с клавиатурой) вводит 2 разных числа - первое, которое сгенерировано системой одноразовых паролей, второе - ИНН получателя (он числовой).
В ответ вводит пароль, сгенерированный генератором одноразовых паролей. Если пароль введен правильно, то платежка считается подтвержденной и идет в АБС. Если нет, то нет.
Что произойдет в случае с фишингом.
Даже если у нас "хуже некуда" и вместо нашей платежки ушла "не наша", попала на карантин, пришла неправильная ссылка и мы видим, "что типа все правильно, надо подтверждать".... Мы подтверждаем, основываясь на 2-х числах, первое - сгенерировано системой генерации одноразовых паролей (его можно перехватить), второе ИНН (он типа правильый). Даже если система перехватит наш ответный пароль, который мы ввели из токена генерации одноразовых паролей. ПЛАТЕЖКА НЕ ПРОЙДЕТ.
Фокус в том, что на правильном сайте банке, где неправильная платежка лежит на карантине, ИНН получателя неправильный.
И ответ системы генерации одноразовых паролей, одним из аргументов которого является ИНН, не пройдет как подтвержение в системе "личный кабинет".
А вот какой должен был бы быть пароль для платежки с неправильным ИНН, никто не знает.
Прошу оценить идею.
P.S. На стенде компании Бифит на магнитогорской конференции стоит макет системы с генерацией одноразовых паролей. Но у них одноразовый пароль используется для аутентификации пользователя при входе в интернет банк. Не знаю, подтвержаются ли у них генератором одноразовых паролей платежки, но тут возможен фишинг.
Комментарий