Попытки взлома систем "Клиент-Банк"

+ Додати
    тему
Відповісти
на тему
Перелік фінансових компаній, які були під підозрою в шахрайстві. Фінансові піраміди та лохотрони в Україні. Все, що пов'язано з фінансовими схемами, націленими на обман довірливих учасників.
  #<1234>
Повідомлення Додано: П'ят 05 бер, 2010 10:41

stefes написав:Я перерыла весь Интернт, таких прецендентов в Украине не нашла, а это значит....?

А это значит, что большинство клиентов и банков, оказавшись в данной ситуации, предпочитают договариваться "неформально", не вынося сор из избы, что неизбежно при официальном расследовании и может привести, в наших условиях, к "потере лица" банка.
Уменя подозрение, что основная масса, как и я до взлома клиент-банка, не читала договор. "Это же стандарт, вся Украина так работает, а другие же умнее меня".

Совершенно напрасно. Документы читать нужно, тем более - договора. Вы, как бухгалтер или руководитель предприятия - это должны понимать лучше кого бы то ни было.
sergio1969
 
 
Повідомлення Додано: П'ят 05 бер, 2010 12:04

2stefes
ИМХО Вы пытаетесь бороться с последствиями, а стоило бы начать с причин. Я не специалист в юридических вопросах, вопросах заключения договоров с банками. Однако считаю пункт договора который снимает все претензии с банка в случае наличия ЕЦП клиента под документом справедливым.
Аргументация:
1. Банк не обязан за Вас контролировать "чистоту" рабочего места, настройки операционной системы, и т.д. Банк предоставляет сугубо финансовые услуги.
2. Банк предлагает клиенту использовать устройство - защищенное хранилище ключа, с которого закрытый ключ достать невозможно. Без ключа злоумышленник не в силах сформировать ЕЦП. Использовать токен или практически не защищенный файл - выбор клиента.

Т.е. причина - компьютерная безграмотность. Это не относится лично к Вам, в любой уважающей себя компании есть за это дело ответственный.

Поставьте клиент-банк на ВЕРНО настроенную, хорошо защищенную операционную систему. Используйте  устройство с защищенным хранилищем ключей. И естественно НИКОМУ и НИКОГДА не передавайте это устройство. Не в силах контролировать intranet/internet - используйте в качестве канала связи с банком модемный пул банка и не подключаейте этот ПК ни к чему кроме модема. Ни одна зараза не прорвется!

З.Ы. Сразу отвечу, я не являюсь работником банка.
ak
 
 
Повідомлення Додано: П'ят 05 бер, 2010 13:41

ak написав:1. Банк не обязан за Вас контролировать "чистоту" рабочего места, настройки операционной системы, и т.д.

Не столько даже "не обязан", сколько "не в состоянии и не имеет полномочий на это" - я бы сформулировал это так.
Банк предоставляет сугубо финансовые услуги.

И некий канал передачи данных, который при соблюдении определенного набора требований, которые банкам не мешало бы детализировать подробно, кстати - способен обеспечить приемлемый уровень безопасности.
Т.е. причина - компьютерная безграмотность.

Скажем так, построить универсальную и абсолютную систему защиты невозможнов принципе. Но минимизировать риски, соблюдая определенные правила - вполне реально. Главное - знать об этих рисках и осознавать все последствия тех или иных реакций на них.
sergio1969
 
 
Повідомлення Додано: Вів 09 бер, 2010 09:56

Есть ли теоретическая возможность, что фишеры будут атаковать со стороны банка?
Есть ли теоретическая вероятность в непорядочности сотрудника банка?
stefes
 
 
Повідомлення Додано: Вів 09 бер, 2010 10:46

stefes написав:Есть ли теоретическая возможность, что фишеры будут атаковать со стороны банка?

Если мы говорим именно о классическом "фишинге", то преступники могут выдавать себя, в той или иной форме общения,тем или иным способом, за сотрудников банка, или же, от имени банка просить Вас загрузить какую-то программу, перейти на какую-то интернет-страницу, и т.д., и т.п. Для этого в договорах на обслуживание, как правило, имеется раздел, в котором оговорены способы связи клиента и банка, а также, возможно, оговорен список информации, который банк не может в принципе запрашивать у клиента, и список действий, которые банк заведомо не будет просить исполнить клиента.
Есть ли теоретическая вероятность в непорядочности сотрудника банка?

Смотря о чем мы говорим. Можно допустить, что программисты банка, войдя в сговор с менеджментом и сотрудниками безопасности, могут создать копию клиент-банка, отследить движение средств и затем ограбить клиента. Но, как Вы понимаете, это уже достаточно масштабный сговор. Вероятность которого исключать нельзя, разумеется. Опять же, это- не единственная возможность, и ее также нельзя исключать. Но, опять же, в банке нет ключа клиента, которым подписываются документы, а без его копии, насколько я понимаю, отправить платеж от имени клиента невозможно...И т.д., и т.п.
sergio1969
 
 
Повідомлення Додано: Вів 09 бер, 2010 11:02

То есть фишеры ломают только клиентов, а в голову им не приходит заняться банком (и это не может произойти теоретически), поэтому об обсуждении ответственности банка не может быть и речи? Да и сами программы банков столь совершенны, что и по техническим причинам ничего свершиться не может. Но вы же сами сами говорили, что
"построить универсальную и абсолютную систему защиты невозможнов принципе",- согласна.
Сломали меня - я плачу
Сломали банк - он платит.
В договоре этого нет - за все плачу я.
stefes
 
 
Повідомлення Додано: Вів 09 бер, 2010 12:39

stefes написав:То есть фишеры ломают только клиентов, а в голову им не приходит заняться банком (и это не может произойти теоретически)

Двавйте сразу определимся с терминологией: "фишинг" - это достаточно специализированное понятие, и оно не описывает проблемы, связаннные с системами "Клиент-Банк" полностью. "Фишинг" - может использоваться как отдельный элемент при совершении преступления, но вовсе не обязательно как единственный инструмент.
Так что давайте не будем волей-неволей замыкаться в одной области.
Теперь по взломам в целом:
1. Банк "ломать", конечно, можно, это возможно в теориии, и, при определенных условиях - на практике. Но, в наших условиях, в условиях Украины, в силу причин опять-таки технологического свойства - практически бессмысленно.
2.Даже если преступник получит доступ к сети банка - он не сможет отправить платежку от имени клиента. И тем более - имитировать отправку платежа системой "Клиент-банк". Опять-таки, в силу причин, обусловленных технологией.
3. Гораздо проще "ломать" клиента.
stefes написав:, поэтому об обсуждении ответственности банка не может быть и речи?
Может.
Да и сами программы банков столь совершенны, что и по техническим причинам ничего свершиться не может.

Программы могут не быть совершенны. Но есть ТЕХНОЛОГИЯ ИХ ИСПОЛЬЗОВАНИЯ, разработанная НБУ, и строго им контролируемая. И вот это сочетание техники и технологии позволяет говорить о том, что вероятность взлома именно банка и последующей эксплуатации этого взлома в упомянутых целях - исчезающе мала.
sergio1969
 
 
Повідомлення Додано: Вів 09 бер, 2010 16:37

"Согласно представленному на конференции RSA Conference докладу Федеральной корпорации по страхованию банковских вкладов США (FDIC), в третьем квартале минувшего года ущерб от киберпреступлений, связанных с незаконным переводом денежных средств с банковских счетов, составил 120 миллионов долларов. Отчет FDIC базируется на конфиденциальных докладах американских финансовых организаций, а потому затрагивает все связанные с ними случаи махинаций.

По данным FDIC, почти все эпизоды кражи денежных средств в киберпространстве происходят из-за установки на компьютеры пользователей вредоносных программ. Обычно жертву либо заманивают на вредоносный сайт, либо устанавливают на ее ПК банковский троян, крадущий данные авторизации.

Докладчики подчеркивают, что клиенты онлайновых банковских сервисов слишком сильно уверовали в их надежность, в то время как хакеры продолжают воровать со счетов деньги, несмотря на внедрение финансовыми учреждениями многофакторных систем защиты.

Что касается малого бизнеса, то здесь ситуация еще хуже. Исследователи FDIC отмечают, что условия открытия счетов юридическим лицам не предусматривают выплаты компенсаций в случае причинения мошенниками материального ущерба, поэтому небольшие компании и некоммерческие организации довольно часто теряют весьма значительные суммы. По оценкам FDIC, в третьем квартале небольшие фирмы потеряли в результате мошеннических списаний 25 миллионов долларов."

http://www.xakep.ru/post/51401/
sergio1969
 
 
Повідомлення Додано: Чет 11 бер, 2010 00:01

stefes написав:Есть ли теоретическая возможность, что фишеры будут атаковать со стороны банка?
Есть ли теоретическая вероятность в непорядочности сотрудника банка?


Така сама ймовірність, як на те, що операціоніст внаглу набере платіжку, не маючи на те платіжного доручення клієнта... Така сама, як людина може бути пограбована на вулиці... Зловживання можливі тільки внаглу і обовязково залишать за собою слід розміром із слоненятка :wink:
Знаючи це, яка ймовірніть того, що співробітник буде підставлятися під 100% тюрму?
Betis_ck
Аватар користувача
 
Повідомлень: 1182
З нами з: 15.04.09
Подякував: 1109 раз.
Подякували: 112 раз.
 
Профіль
Повідомлення Додано: Чет 11 бер, 2010 10:02

Betis_ck написав:Зловживання можливі тільки внаглу і обовязково залишать за собою слід розміром із слоненятка

К сожалению, это лишь при отсутсвии мозгов в головах. Если они имеются - то и следы можно запутать.
sergio1969
 
 
  #<1234>
Форум:
+ Додати
    тему
Відповісти
на тему
Зараз переглядають цей форум: Немає зареєстрованих користувачів і 1 гість
Модератори: Ірина_, Модератор

Схожі теми

Теми
Відповіді Перегляди Останнє
4 5886
Переглянути останнє повідомлення
П'ят 02 лют, 2024 10:18
andreis
1480 297606
Переглянути останнє повідомлення
Чет 18 тра, 2023 08:04
Успіх
5 3740
Переглянути останнє повідомлення
Нед 26 гру, 2021 20:30
Igneus
Топ
відповідей
Топ
користувачів
реклама
Реклама