11 Февраля, 2014

Слабое место – телефон

Евгений Шауро
Телефон де-факто является универсальным средством подтверждения входа в интернет банк и финансовых операций в нем. Анализ типовых мошеннических схем показывает, что для успешного вывода денег необходимо и достаточно копии SIM-карты и инсайда в банке. По сравнению с телефоном, OTP-гаджеты имеют очевидный недостаток – представляют лишний хлам. Представьте, что интернет-банков у вас не один, а десять и таскать полные карманы погремушек весьма утомительно. В качестве компромисса можно использовать крайне надежный SMS-фон Nokia 3310. Попробуйте на него словить последний троян. 

Помимо SMS банки уже давно используют весь арсенал средств для подтверждения значимых действий клиентов:
-          чек банкомата;
-          лист А4;
-          скретч-карта;
-          idкарта
-          токен;
-          криптокалькулятор (токен с картой);
-          файл-сертификат;
-          мобильное приложение;
-          и пока диковинный Google Authenticator.

Пока случаи мошенничества носят единичный характер виноватым будет всегда клиент. Далеко не каждый доводит битву с банком до поражения последнего. Чтобы не быть всегда виноватым предлагается использовать следующие превентивные меры безопасности:
-          стараться не использовать мобильный телефон для получения кодов;
-          использовать уникальные логины, пароли и кодовые слова для разных банков;
-          хранить деньги на вкладах, не позволяющих on-lineпереводы;
-          протестировать адекватность и безопасность банка прежде, чем иметь дело с ним.
Что же неплохо протестировать в банке:
-          восстановление "забытого" логина, пароля, кодового слова;
-          смену номера мобильного телефона;
-          блокировку и разблокировку доступа в ИБ;
-          блокировку и разблокировку банковской карты (при возможности).

А вообще, как и везде, здесь напрашивается скоринговый подход: выписываете важные для вас опции, эманируете над ними, после чего вычисляете результат. Те банки, которые прошли ваш фильтр доверия, и используете в повседневной жизни. 
или введите имя

CAPTCHA
Anonymous
19 Февраля, 2014
Интересно, особенно про "проверки" банков) - стараться не использовать мобильный телефон для получения кодов; Можно пожалуйста уточнить, что имеется ввиду? SMS? Google auth.? проч.
0 |
  • Поделиться
  • Ссылка
Шауро Евгений
19 Февраля, 2014
Да, сейчас многие банки предлагают альтернативу SMS-кам. Её я и предлагаю использовать.
0 |
  • Поделиться
  • Ссылка
Шауро Евгений
19 Февраля, 2014
Типовые схемы хищения денег всегда рассчитаны на массовую аудиторию. Обычно шаг влево или шаг вправо и уже получается ступор. Зачем делать еще один шаг, если с одними SMS-ками клиентов тьма. Также как в случае с сигнализациями на машинах.
0 |
  • Поделиться
  • Ссылка
26 Февраля, 2014
- хранить деньги на вкладах, не позволяющих on-line переводы; похоже на отрубание головы как средство от головной боли - скретч-карта; это отвал башки по удобству и к тому же там где я это видел - платная. Кстати, у меня ещё один критерий - сайт банка и наличие вменяемой техподдержки. Сберовский, например, сайт под Linux/Chrome коряво отображает сообщения об ошибках (равно как и билайновский), а отсутствие вменяемой техподдержки - гарантия того, что исправлено это в ближайшее время не будет. Впрочем, последний критерий отсеивает вообще все крупные конторы: способы сбора претензий, жалоб и т.д. полностью исключают возможность указать на ошибку.
0 |
  • Поделиться
  • Ссылка