Возможно Вы частично правы, кажется припоминаю одну отсталую страну третьего мира где водятся такие порядки и вообще принято ходить строем. :) В остальном развитом мире такой маразм никому даже в страшных снах не снится.
Да при чем тут бухгалтеры, все пользователи (с доступом на запись) и администраторы всегда под ударом были, и трясли, трясут, и будут трясти их первыми. Никаких отвлекающих маневров не надо.
Я думаю, банк-клиент д.б. аппаратный. Ну, может, и не полностью аппаратный, но это д.б. аппаратный ящик (подключаемый по USB), и он должен подписывать транзакцию цифровой подписью по нажатию кнопки на нём же (не на компьютере!). Т.е. каждую операцию надо подтвердить на этом аппарате.
Правда, остаётся вариант: вирус перехватывает составление платёжки и на экране показывает что надо, а в банк-клиент на подпись отправляет совсем другое.
Именно так они и работают уже не первый год. С тех пор как я узнал про это - стал внимательно читать всю смску с кодом подтверждения транзакции, раньше даже на сумму не глядел, а теперь и с какого счета и на какой и валюта платежа... Береженого бог бережет. (с)
Cимки мало, еще пароль надо знать, да и умершая симка будет весьма более скоростным сигналом, чем что либо. А уж кто может увести у меня и то и другое? Ну разве что girlfriend. Круг сразу сузился до одного человека. :)
Интересно, допускает ли система удалённого банкинга функцию привязки конкретного банк-клиента к IP-адресу? Это существенно затруднит кражу денег при помощи украденного пароля ("пароль" - это и то, что вводит юзер, и то, что хранится на дискете
( ... )
1. Сколько это будет стоить? Клиенты до сих пор совершенно не заботятся о своих деньгах и не реагируют ни на какие доводы получая ключи на флешке вместо е-токена, но экономя при этом рублей 200-400. А вы тут про коробочку, она подороже будет. 2. Привязка к IP, можно кстати и не только к IP, эфективна только в случае кражи ключей и пароля, но неэффективна если компьютер под управлением трояна отправляет платежку.
1. Себестоимость железки - как у обычного роутера. Т.е. от 1'000 до 5'000 рублей.
Если банки сами имеют проблемы от такого воровства (ну, приходится поднимать по тревоге подразделения безопасности), то могут и прогнуть под себя бухгалтеров - например, ввести ограничение "клиенты, не использующие VPN-железяку имени Карпиона, не могут осуществлять операции больше ста тысяч рублей в день" (т.е. мелким клиентам оставить старый вариант, а крупных принудить взять железку). Причём выдать железки можно и за счёт банка.
2. Да, Вы правы. И предложенная мной VPN-железяка тоже работает только против кражи. И эти меры не работают не только против вирусов, но и против вороватого бухгалтера.
Однако, проблема кражи пароля и использования его из другого места тоже актуальна.
Щаз... Себестоимость такой железки будет несколько больше. Этак на порядок. Ибо всякие сертификации и другие бумажки... Даже если они на самом деле не требутся - это не повод их не продать :-)
Comments 57
ню-ню
Reply
Reply
на следующий день в бухгалтерии снимается банковская выписка.
и сразу видно куда ушли деньги.
Reply
Reply
Reply
Reply
(The comment has been removed)
Reply
Например, тут есть про него:
http://habrahabr.ru/company/eset/blog/133173/
Reply
Правда, остаётся вариант: вирус перехватывает составление платёжки и на экране показывает что надо, а в банк-клиент на подпись отправляет совсем другое.
Reply
Reply
(The comment has been removed)
Reply
Reply
2. Привязка к IP, можно кстати и не только к IP, эфективна только в случае кражи ключей и пароля, но неэффективна если компьютер под управлением трояна отправляет платежку.
Reply
Если банки сами имеют проблемы от такого воровства (ну, приходится поднимать по тревоге подразделения безопасности), то могут и прогнуть под себя бухгалтеров - например, ввести ограничение "клиенты, не использующие VPN-железяку имени Карпиона, не могут осуществлять операции больше ста тысяч рублей в день" (т.е. мелким клиентам оставить старый вариант, а крупных принудить взять железку). Причём выдать железки можно и за счёт банка.
2. Да, Вы правы. И предложенная мной VPN-железяка тоже работает только против кражи.
И эти меры не работают не только против вирусов, но и против вороватого бухгалтера.
Однако, проблема кражи пароля и использования его из другого места тоже актуальна.
Reply
Ибо всякие сертификации и другие бумажки... Даже если они на самом деле не требутся - это не повод их не продать :-)
Reply
Leave a comment