Information Security
Comments 24
0
сам был неприятно удивлен. Хочется верить, что к деньгам они относятся более щепетильно, чем к орфографии
UFO landed and left these words here
+2
Обратите внимание, какая разная реакция на один и тот же вопрос. Чудно (ударение можно ставить как угодно).
+7
Мне кажется хорошей практикой при получении любой подобной почты — уточнять по телефону у банка ее аутентичность.
+31
Используют самую большую дырку в безопасности, все правильно рассчитано. Ту, которая между монитором и креслом.
0
К сожалению человек всегда является слабым звеном любой системы и думаю сей факт не изменить, пока в системе присутствует человек.
+2
сколько раз программное обеспечение было установлено, прежде чем обнаружили, что оно вредоносное?
+1
Неужели за такие деяния нет ответственности по закону? Неужели можно разослать сотни таких дисков незамеченно? И откуда у них адреса клиентов? И почему банки не вводят авторизацию по номекру телефона для таких клиентов например?

Как-то это все странно.

+2
>>И откуда у них адреса клиентов?
история гласит: в ограблении банков всегда участвует кто-то из сотрудников. по сути, это тоже ограбление. возможно, что инфу слил кто-нибудь из недобросовестного персонала
+1
Базу данных с адресами клиентов банка в наш век информационных технологий и засилья сующих нос куда не попадя поисковых систем (ага, еще помноженные на тотальную безграмотность населения) вовсе не проблема достать. Однако, попади, например, к Вам, например, такая БД клиентов банка, смогли бы четко все провернуть? Думаю, что Врядли!

Грамотно провернуть все остальное (включая всякие фирменные конвертики, бланки, диски, и прочие придающие «натуральный колорит» свистоперделки элементы клиент-банковской аттрибутики) — вот тут, очень большое подозрение, что без участия «инсайдера» не обошлось. К тому, же не все клиенты банка пользуются автоматизированными системами «клиент-банк», многие ведь и «по-старинке, платежки в бумажном виде в банк отвозят», злоумышленики это как-то учли? Если это так, то подозрения в «поработавшем инсайдере» уже больше, чем подозрения ;)

А это сильно облегчает дальнейшее расследование. Какой бы банк не был большой (правда, если этот банк, конечно, не банк-монстр, типа Сбербанка, где правая рука не знает что делает левая), круг «подозреваемых в недобросовестности» получается не очень большой, и с каждым из этого «круга подозреваемых» легко может «побеседовать лично» суровый сотрудник Службы Безопасности Банка.

А дальше, учитывая факт, что сотрудники СБ — все бывшие сотрудники органов (умеющие вести задушевную беседу с различным контингентом граждан), если «недобросовестный инсайдер» не является мастером pokerface, он давным-давно уже сдал своих сообщников и они уже в розыске у полиции и интерпола.
+2
>Грамотно провернуть все остальное (включая всякие фирменные конвертики, бланки, диски, и прочие придающие «натуральный колорит» свистоперделки элементы клиент-банковской аттрибутики) — вот тут, очень большое подозрение, что без участия «инсайдера» не обошлось.

Да ну. Здесь-то, как раз никаких проблем. Становитесь клиентом банка и получаете полный комплект образцов для подделки.

>К тому, же не все клиенты банка пользуются автоматизированными системами «клиент-банк», многие ведь и «по-старинке, платежки в бумажном виде в банк отвозят», злоумышленики это как-то учли?

Если у зловредов есть соответствующая база данных, то как раз там это всё и учтено.

>Если это так, то подозрения в «поработавшем инсайдере» уже больше, чем подозрения

Нет. Следы инсайдера (возможно, используемого втёмную) следует искать таки из мест утечки базы данных. Несмотря на вашу уверенность в простоте добывания базы, именно это едва ли не единственное место, где надо что-то ловить.
+1
> Неужели за такие деяния нет ответственности по закону?
Есть, см. УК РФ (целый ряд статей)
> Неужели можно разослать сотни таких дисков незамеченно?
Можно, тем более «незамеченно для кого»? Особенно «вся внешняя мишура» правдоподобна — то легко!
> И откуда у них адреса клиентов?
Могут быть разные источники. Адреса клиентов — как раз самое легкое, их нет никаких проблем достать.
> И почему банки не вводят авторизацию по номекру телефона для таких клиентов например?
В данном, конкретном случае это не поможет.
+2
Так и вспоминается пресловутая «цифровая подпись по-русски», когда к обычному электронному письму между госучреждениями после прихода директивы о необходимости цифр. подписи таких писем стали в аттач прикладывать скан подписи директора.

Юзеры при этом были уверены, что все делается правильно, вот в чем основная дыра.

Слабо верится, что массы пользователей по компаниям когда-нибудь смогут дорасти до включения головы и хотя бы подумают о том, чтобы проверить подлинность обновления даже оффлайново, хотя бы звонком в банк.
-1
В нормальных компаниях это неактуально — никакой пользователь никакие обновления ставить не будет, у него на это и прав-то не хватит. Для обновлений и прочего есть ИТ-отдел.
+2
А что ИТ-отдел?
Если письмо попадет главбуху, который поверит, то дальше последует звонок в ИТ-отдел: «Нам тут обновление принесли — обновите нам, у нас работа стоит».
Сотрудник ИТ-отдела даже разбираться не будет, в большинстве случаев, накатит то что дали и все.
+2
Более того, если вдруг в момент наката такого обновления, параноидальный антивирус вдруг «заподозрит неладное» и завизжит резанной свиньей, накатывающий обновление админ на это просто грустно посмотрит на фирменный диск, матюкнется про себя в сторону «криворуких клиентобанкописак, у которых все через ж*пу», и просто попросит антивирус больше не срывать работу «обновленного клиент-банка» своим визгом. Грустно но факт.
-1
При нормальной организации работы ИТ-отдела, во-первых, письмо придет не буху, а именно в ИТ-отдел/секретарю, который отправит его в ИТ-отдел. Во-вторых, сотрудник ИТ, имеющий должностную инструкцию и положение по ИБ разбираться вполне себе будет, а если бух будет кричать и брызгать слюной — пошлет его писать служебку, в-третьих есть нормально настроенный антивирус, который просто не даст ставить такое «обновление». Кстати, это уже комментатору ниже, пароль на отключение клиента сетевого антивируса эникейщику, бегающему с болванкой никто не даст.
0
В каком-то фильме была ситуация, что нужно по телефону проверить информацию. Типа звонят президенту, а попадают к мошенникам, которые и подтверждают. Так что совет:

> При возникновении подобных ситуаций просим немедленно обратиться в Банк %bankname%.

никак нельзя рассматривать очень серьёзно =)
+1
В каком-то фильме была ситуация, что нужно по телефону проверить информацию. Типа звонят президенту, а попадают к мошенникам, которые и подтверждают.

«День выборов».
Only those users with full accounts are able to leave comments., please.