06.02.2013

Как взломали один банк...

UPDATE : Вопрос частично разрулили. Служба ИБ банка отработала сигнал оперативно. Деньги должны вернуть!

Что-то банковская тема не сдается и постоянно дает о себе знать. Вроде как еще вчера на секции по НПС была активная дискуссия на тему взаимоотношения банка, клиента и регулятора, а тут практическая ситуация ;-) Позвонила знакомая и сообщила, что ее счет в одном крупном банке взломали. Взломали очень интересно. Если дело было действительно так, как она описывала, то это верх разгильдяйства и непрофессионализма тех, кто выстраивал АБС. Ну и к службе ИБ там тоже есть вопросы (если они участвовали в процессе построения системы). Но написать я хотел о другом.

Два факта сопровождали этот взлом. Они интересны именно с точки зрения практической реализации различных требований и рекомендаций по защите ДБО. В частности, упомянутая мной сегодня методичка ЦБ по защите ДБО. В ней, в разделе технологических мер есть такой совет, как установление ежедневного лимита на снятие денег со счета.  Звучит она так "При использовании клиентского рабочего места в режиме минимального уровня защиты должно действовать ограничение на максимальную сумму транзакции, а ряд транзакций могут быть запрещены банком. Суточный объем транзакций также может быть ограничен". Но вот дальше возникает вопрос, а КАК должна быть реализована эта мера? Что должен просить клиент банка при реализации этой меры? Как проверить выполнение этой меры в рамках контроля (надзора)?

В упомянутом выше взломе мошенники действовали просто - первую сумму они сняли в 23.59, а вторую в 00.01. Формально требование суточного лимита соблюдено - 23.59 и 00.01 - это два разных дня. Правда идея суточного лимита все-таки относится к астрономическим, а не календарным суткам. Поэтому банкам стоит настраивать свои системы именно на 24-хчасовой интервал межжу транзакциями, а не на на учет календарных суток. А клиентам уточнять при оформлении данной услуги - как банк учитывает сутки, календарно или астрономически?

Дальше больше. Мошенники на двукратном снятии денег не остановились и пошли в соседний банкомат другого банка. И что же? Они с успехом сняли деньги и там, т.к. суточное ограничение на снятие наличных действовало только для собственной банкоматной сети и не было (почему-то) привязано к самому счету. И вновь совет банкам - привязывать суточные лимиты к счету или даже клиенту целиком, а никак не к банкомату или собственной банкоматной сети. Клиентам же стоит также интересоваться, ограничение действует только в "своих" банкоматах или распространяется на все банки без исключения. Причем обе рекомендации легко проверить на практике.

И тут вспоминается вчерашняя дискуссия на Инфофоруме. Представитель общества по защите прав потребителей говорил, что нужно повышать осведомленность клиентов банков в области ИБ. Представитель HandyBank напротив был уверен, что это все не работает и делает только хуже, создавая у клиентов чувство ложной защищенности. Он наоборот предложил концентрироваться на ловле преступников, а не на давлении регуляторов на банки. Представитель ВТБ говорил, что увеличение требований по ИБ не может идти бесконечно и в какой-то момент встанет дилемма "безопасность или удобство". В качестве примера приводилась африканский кейс, где ввели правило биометрической идентификации по отпечаткам пальцев при снятии денег. Через какое-то время после введения этой меры число мошенничеств перестало снижаться и опять стало расти, как и число инцидентов с отрезанными пальцами. При этом вице-президент ВТБ вскользь бросил идею, что регулятору стоило бы жестко установить минимальный уровень защиты.

Что могу сказать? Все правы и неправы, если посмотреть на упоминаемый мной взлом. Клиенту стоило бы знать, какие вопросы задавать банку при оформлении услуги "суточный лимит". А помочь ему в этом могли бы ролики повышения осведомленности. Но роликов недостаточно. Нужны были разъяснения и требования со стороны регулятора (скорее всего именно ЦБ), как должна была быть реализована данная услуга по суточному лимиту. Простой формулировки как в вышеупомянутой методичке ДИС явно недостаточно. А помимо требований в методику контроля (надзора) должен был быть вставлен соответствующий пункт (что и как проверять). Ну а преступников конечно ловить надо в любом случае. Только вот непросто это в таких кейсах.

6 коммент.:

Turkish комментирует...

Не все-так просто с суточным лимитом. Если ПЦ "свой", то несколько проще, если ПЦ "не свой", то обмен инфой о транзакциях происходит несколько раз в сутки и отследить превышение можно только постфактум, когда это попадет в АБС. Это надо не банкам вкатывать требования, но и на других участников платежных систем.
Ну и какие суточные лимиты? Вы о чем, тут бы клиентов отучить записывать пин на пластике или приклеивать его на бумажке сверху.
Да и кому нужны суточные лимиты как мера безопасности, если сегодня тебе нужно 500 рублей, а завтра может быть покупка на 50 тыс. Граждане (если дать им такую возможность) будут ставить себе максимально возможный, ибо остальное неудобно...

Евгений комментирует...

Я вообще себе с трудом представляю лимит, привязанный к человеку или счету. Очень мало кто может настолько точно спланировать, что например будет тратить только по 15000 тыс. в месяц и все. Ситуации, когда тебе необходимо снять большую часть своих запасов, не так уж редки и что теперь, тянуть с этим несколько месяцев?

Алексей Цветков комментирует...

Взломали, к сожаленью, не банк ... (думал что чего-то интересное прочитаю ;)
И вопросы появились у меня, в основном, не к их ИБшникам, а к потерпевшей ...
Она умудрилась одновременно скомпромитировать карту, а так же, как минимум, логин/пароль к ДБО.
Итак:
1) скимеры работают по потоку, а не по жертве, конечно, она могла быть "одной из" (подмножество "а")
2) Также она стала "одной из" подмножества "b" потерпевших от мошенников по ДБО (не знаю "крупных" банков, которые не используют ЭЦП или отправки подтверждений на мобильники для подтверждения транзакции).

Эти два независымых подмножества пересекаются на той самой единственной жертве, причем мошенники независимо друг от друга пытаются вынести награбленное в одно и то же время ... )) И из-за этого мы вспоминаем про общие лимиты ...

Уверен, что здесь наводка, среди ее самых ближайших знакомых тот самый злоумышленник (или один из них). Учитывая беспечность жертвы никакие средства защиты её от мошенничества не спасут ... Когда ей покажут видео с банкомата она или заберет претензию (заявление) обратно или же будет действительно уголовное дело и среди ее знакомых станет на одного уголовника больше, но от этого никто из нас не застрахован, и ни банки, ни кто-бы то нибыло еще это не изменит се-ля-ви ..(

Алексей Лукацкий комментирует...

Ну тогда страдай от мошенников ;-)

Алексей Лукацкий комментирует...

Алексей, есть банк, который использует платежную карту для доступа ко ВСЕМ счетам через личный кабинет на банкомате. Ко ВСЕМ! Скопировав карту злоумышленник получает доступ ко ВСЕМ счетам с банкомата, а не через ДБО!

Алексей Цветков комментирует...

8-) В этом случае, действительно, есть вопросы и к банку ... )))

П.С. По первоночальной статье казалось, что это вариант "дружественного" фрода или сговора.

П.П.С. Тогда, первый коммент тоже не актуален, т.к. все платежи идут через процессинг, и общие лимиты легко выставляются или своим ПЦ, или уже сторонним.