Про Кредит Европа Банк

Про Кредит Европа Банк
<div class="MsoNormal" style="text-align: justify;">Наконец-то у меня дошли руки посмотреть интернет-банк турецкого Кредит Европа Банка. Это особенно вовремя в виду наличия слухов о возможной его продаже на фоне обострения Российско-турецких отношений.</div><div class="MsoNormal" style="text-align: justify;">Пост будет кратким. Я сразу обратил внимание на то, что для получения доступа в ИБ нужно самостоятельно зарегистрироваться. Для регистрации, в том числе, нужно вбить пин-код от полученной карты!<span style="color: #999999;"> (ну что делаем фейковый вебсайт и собираем номера и пины?)</span> Такого я раньше не встречал. Как не встречал и то, что цифры на виртуальной клавиатуре отображаются рандомно. Более того они даже меняются после нажатия каждой цифры. </div><div class="separator" style="clear: both; text-align: center;"><a href="https://2.bp.blogspot.com/-b1InvHD_STY/VuGnDmnShVI/AAAAAAAAGRA/zXiQgy2m1VM/s1600/1CEB_registr.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="128" src="https://2.bp.blogspot.com/-b1InvHD_STY/VuGnDmnShVI/AAAAAAAAGRA/zXiQgy2m1VM/s320/1CEB_registr.jpg" width="320" /></a></div><div class="MsoNormal" style="text-align: justify;"><br /></div><div align="center" class="MsoNormal" style="text-align: center;"><v:shapetype coordsize="21600,21600" filled="f" id="_x0000_t75" o:preferrelative="t" o:spt="75" path="m@4@5l@4@11@9@11@9@5xe" stroked="f"> <v:stroke joinstyle="miter"> <v:formulas> <v:f eqn="if lineDrawn pixelLineWidth 0"> <v:f eqn="sum @0 1 0"> <v:f eqn="sum 0 0 @1"> <v:f eqn="prod @2 1 2"> <v:f eqn="prod @3 21600 pixelWidth"> <v:f eqn="prod @3 21600 pixelHeight"> <v:f eqn="sum @0 0 1"> <v:f eqn="prod @6 1 2"> <v:f eqn="prod @7 21600 pixelWidth"> <v:f eqn="sum @8 21600 0"> <v:f eqn="prod @7 21600 pixelHeight"> <v:f eqn="sum @10 21600 0"> </v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:formulas> <v:path gradientshapeok="t" o:connecttype="rect" o:extrusionok="f"> <o:lock aspectratio="t" v:ext="edit"></o:lock></v:path></v:stroke></v:shapetype><v:shape id="_x0000_i1025" style="height: 166.5pt; width: 417pt;" type="#_x0000_t75"> <v:imagedata o:title="1CEB_registr" src="file:///C:Userslena2AppDataLocalTempmsohtmlclip101clip_image001.jpg"></v:imagedata></v:shape></div><div class="MsoNormal" style="text-align: justify;">При входе в ИБ пароль также предлагается вводить на виртуальной клавиатуре, также с меняющими цифрами.</div><div class="separator" style="clear: both; text-align: center;"><a href="https://3.bp.blogspot.com/-yJnLCG85l_g/VuGnIbhjmMI/AAAAAAAAGRE/1hUjm_Xdbuc/s1600/2CEB_login.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://3.bp.blogspot.com/-yJnLCG85l_g/VuGnIbhjmMI/AAAAAAAAGRE/1hUjm_Xdbuc/s320/2CEB_login.jpg" width="250" /></a></div><div class="MsoNormal" style="text-align: justify;"><br /></div><div align="center" class="MsoNormal" style="text-align: center;"><v:shape id="_x0000_i1026" style="height: 273.75pt; width: 215.25pt;" type="#_x0000_t75"> <v:imagedata o:title="2CEB_login" src="file:///C:Userslena2AppDataLocalTempmsohtmlclip101clip_image002.jpg"></v:imagedata></v:shape></div><div class="MsoNormal" style="text-align: justify;">После самостоятельной регистрации получаем ограниченный доступ в ИБ. <i><span style="color: grey; mso-themecolor: background1; mso-themeshade: 128;">У Вас доступ только к меню просмотра. Для проведения Финансовых операций необходимо подписать Заявление на присоединение к Договору Дистанционного банковского обслуживания в Отделении Банка.</span></i> Кто бы это знал когда получал карту. Банку минус.</div><div class="MsoNormal" style="text-align: justify;">А вот в самом ИБ я с удивлением обнаружил выполненное требования из 382-П об идентификации клиента банка перед предоставлением ему доступа к ДБО путём фильтрации по <span lang="EN-US">IP</span>-адресам. В других банках я пока подобных реализаций не встречал. Молодцы, ставлю плюсик.</div><div class="separator" style="clear: both; text-align: center;"><a href="https://1.bp.blogspot.com/-EFRX1TNMsas/VuGnOCad6bI/AAAAAAAAGRI/vhLl1vFnPAU/s1600/3CEB_ip.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="96" src="https://1.bp.blogspot.com/-EFRX1TNMsas/VuGnOCad6bI/AAAAAAAAGRI/vhLl1vFnPAU/s320/3CEB_ip.jpg" width="320" /></a></div><div class="MsoNormal" style="text-align: justify;"><br /></div><div class="MsoNormal" style="text-align: justify;"><v:shape id="_x0000_i1027" style="height: 141pt; width: 467.25pt;" type="#_x0000_t75"> <v:imagedata o:title="3CEB_ip" src="file:///C:Userslena2AppDataLocalTempmsohtmlclip101clip_image003.jpg"></v:imagedata></v:shape></div><div class="MsoNormal" style="text-align: justify;">Привожу определение из 382-П:</div><div class="MsoNormal" style="text-align: justify;"><span style="font-size: 9.0pt; line-height: 115%;">Идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления переводов денежных средств, которой в зависимости от технической возможности является IP-адрес, MAC-адрес, номер SIM-карты, номер телефона и (или) иной идентификатор устройства.<o:p></o:p></span></div><div class="MsoNormal" style="text-align: justify;">Спускаемся ниже в геоблокировки. Они уже есть во многих банках, однако здесь турки пошли дальше и включили… Антарктиду. Я конечно понимаю, что вдруг императорские пингвины зайдут там с планшета, впрочем они заодно и узнают, что у банка нет приложений для мобильных устройств. Однако получилось прикольно. Ставлю банку еще один плюсик.</div><div class="separator" style="clear: both; text-align: center;"><a href="https://4.bp.blogspot.com/-jnR8A_q5HnI/VuGnTrxBi6I/AAAAAAAAGRM/rJwkJZSBNPw/s1600/4CEB_strany.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="78" src="https://4.bp.blogspot.com/-jnR8A_q5HnI/VuGnTrxBi6I/AAAAAAAAGRM/rJwkJZSBNPw/s320/4CEB_strany.jpg" width="320" /></a></div><div class="MsoNormal" style="text-align: justify;"><br /></div><div class="MsoNormal" style="text-align: justify;"><v:shape id="_x0000_i1028" style="height: 114.75pt; width: 467.25pt;" type="#_x0000_t75"> <v:imagedata o:title="4CEB_strany" src="file:///C:Userslena2AppDataLocalTempmsohtmlclip101clip_image004.jpg"></v:imagedata></v:shape></div><br /><div class="MsoNormal" style="text-align: justify;">Однако с точки зрения удобства всё сделано очень плохо. У меня ушла куча времени на то, чтобы въехать как правильно менять пароль, так как мне заблокировали доступ после 3-х неверных попыток ввода пароля. Я уверен обычный пользователь будет долго выполнять этот квест. А там еще есть приписка, что менять пароль надлежит раз в 45 дней. Поэтому все плюсы перечеркиваю одним большим минусом.</div>
Alt text

Евгений Шауро

Блог специалиста по информационной безопасности