Ответить в теме

Тема - успер) Ой, сколько можно всего рассказать. Есть мошенничество на каждом шагу, в такой стране живем((

Сообщение от zak1c

в первые слышу, что банк предлагает разные варианты

Некоторые банки предлагают варианты. Некоторые - механически навязывают.

Сообщение от zak1c

не проще один токен и в него несколько ключей?

Проще. Но если у банка прописано в документах, что юрлицо заключает ДБС, потом оформляет ДБО и получает защищённый носитель - то банк будет свои документы исполнять. Иначе получится бордель в учёте и так далее. Отсюда имеем связку токенов. Я же и говорю про механическое навязывание.

Сообщение от Demin

Далеко не все клиенты с этим соглашаются и считают риски неоправданно завышенными.

в первые слышу, что банк предлагает разные варианты =)

Сообщение от Demin

ИБ - это процесс, а не разовое действие.

полностью согласен

Сообщение от Demin

Он получает связку токенов

не проще один токен и в него несколько ключей?

Сообщение от zak1c

большая часть банком используют двух/трёх факторную аутентификацию

БОльшая часть банков предлагает клиентам воспользоваться двух-трёх-факторной идентификацией. Далеко не все клиенты с этим соглашаются и считают риски неоправданно завышенными. До того, как их не клюнет. После инцидента ИБ таковые клиенты начинают использовать весь арсенал защиты, в большинстве случаев даже избыточный.
Моя позиция такова - навяливание клиентам механически всех мер ИБ практически ничего не даёт - тому есть примеры. ИБ - это процесс, а не разовое действие, и без понимания необходимости контроля этого процесса клиенту не поможет ничего. Именно поэтому - на мой взгляд, я его никому не навязываю! - необходимо применять хотя бы 4-5 типовых моделей, особенно для крупных банков... Механические меры приводят как раз к их отторжению. Пример - защищённые носители. Открыл счёт - получил ruToken, e-Token или другой носитель. А если приходит группа из 5-10 организаций? Он получает связку токенов, делает из них ожерелье и начинает танцевать вокруг костра.

Demin, большая часть банком используют двух/трёх факторную аутентификацию
=> даже если на машину клиента-жертвы закинуть червя, то платежи никакие не сделаешь

Сообщение от zak1c

пользуются ошибками в обмене между криптосервером и сервером приложений дбо
таким образом для совершения той или иной операции достаточно указать "правильный адрес"

Это Вы описали одну из менее встречающихся схем. Я описал наиболее распространённую. Есть ещё и другие, которые мы здесь с Вами не привели.
Распространённые бэкдоры, тырящие ЭЦП, закрываются бОльшей частью антивирусов на раз-два.

Demin, как раз отсутствием антивирусом не пользуются, а пользуются ошибками в обмене между криптосервером и сервером приложений дбо
таким образом для совершения той или иной операции достаточно указать "правильный адрес" и денежки тю-тю =)

Сообщение от Старый ворчун

угу.
а остальные на легальной - которая точно так же состоит из дырок чуть более, чем наполовину

Если под "дыркой" понимать включённого "Удалённого помощника" и отсутствие антивируса и файрволла на компе без обновлений ОС с, мягко говоря, конфиденциальной информацией - то "горбатого только могила исправит". Но в этом случае я не понимаю удивления.
А результаты проводимых нами ради интереса сравнительных тестов (палёнка-лицензионка) оказались весьма характерными и показательными.

Но это ещё фигня! А вот когда на бухгалтерский комп ставится RAdmin (или что-то аналогичное) для удобства обновления 1С или Консультанта - выше моего понимания... И удивление не менее искреннее... Тут, конечно, не поможет никакая лицензия на винды - только лоботомия.

Сообщение от Demin

Действительно, какая неожиданность! Уж лет этак 5 как минимум все банки по всем каналам активно трубят об информационной безопасности, а по статистике 2/3 клиентов до сих пор на палёной винде,

угу.
а остальные на легальной - которая точно так же состоит из дырок чуть более, чем наполовину.

Сообщение от Индрек

а я думал, что СМС-подписи надёжнее

Нет. Технически следующие дыры:
- возможность утраты телефона
- возможность клонирования телефона
- возможность долгого получения (или вообще неполучения) одноразового пароля по сетям ОПСОСов
- вообще много сопутствующих факторов, которые снижают в целом стабильность функционирования системы - поломка телефона, недостаточность денег на счёте, разряд батареи, etc.
В этом смысле OTP-токен как специализированное устройство намного предпочтительнее.

Сообщение от Анжелика Ник

у нас в Ярославле говорят несколько случаев было.. вируса поймали.. а дискетку с ключами в компе держали.. ну а далее дело техники создание фиктивной платежки и отправка ее в банк. а комп на это время просто зависает.

Ярославль в этом смысле не исключение из всей России. К нам опера приезжали из Красноярска - хакера нашли, на его рабочем компе порядка 250 ЭЦП было, причём порядка 30 успешных случаев.

Сообщение от angelboy

ИП сказал что его данные украли и открыли счет, без его ведома, в общем, не причем.

Ага. Значит, уголовное дело на банк. Банк встаёт в позу - какого ляда, он приходил сам. И идёт ИП паровозом. МВД просто не хочет работать, вот и всё... Хотя это в чистом виде тема БЭПовская.

Сообщение от Индрек

а я думал, что СМС-подписи надёжнее ))

если телефон не смартфон

Заявление в ПО и в банк подавали бестолку. ИП сказал что его данные украли и открыли счет, без его ведома, в общем, не причем.
СМС информирование подключено было, но не сработало. На это и давили в претензиях к банку. Деньги не вернули, до суда не доводили.

у нас в Ярославле говорят несколько случаев было.. вируса поймали.. а дискетку с ключами в компе держали.. ну а далее дело техники создание фиктивной платежки и отправка ее в банк. а комп на это время просто зависает..

Сообщение от Demin

А я вот считаю на текущий момент времени самым надёжным средством безопасности OTP-токены.

а я думал, что СМС-подписи надёжнее ))

Сообщение от Индрек

СМС-подписи и СМС-информирование очень удобно. мне нравится.

А я вот считаю на текущий момент времени самым надёжным средством безопасности OTP-токены.

Сообщение от Demin

sms-информирование брать не будем, это нам не надо

СМС-подписи и СМС-информирование очень удобно. мне нравится.
но защитит ли это от мошенников на все 100% ...

Сообщение от angelboy

У нас взломали ЭЦП и украли деньги со счета. Как оказалось мы не первые.

Действительно, какая неожиданность! Уж лет этак 5 как минимум все банки по всем каналам активно трубят об информационной безопасности, а по статистике 2/3 клиентов до сих пор на палёной винде, и к ИБ относятся как к игрушке... Токены - дорого, sms-информирование брать не будем, это нам не надо... А потом, когда петух клюет в беззащитный анус - ох ты, незадачка!

Сообщение от angelboy

И ИП которому эти деньги перевели, все прекрасно знают, но не ищут.

Вы хотели сказать, реквизиты его знают, да? Заявление в МВД подали?

Сообщение от angelboy

все прекрасно знают, но не ищут.

вы написали заявление в правоохранительные органы и в банк?

У нас взломали ЭЦП и украли деньги со счета. Как оказалось мы не первые. И ИП которому эти деньги перевели, все прекрасно знают, но не ищут.

Сообщение от Аноним

ну передают же) и не только у меня на этом месте работы...

Я знаю - и это одна из основных угроз ИБ. А потом возникают вопросы типа как у топикстартера. И удивление...

Сообщение от Demin

Тогда она ДОЛЖНА быть у директора. Её категорически НЕЛЬЗЯ передавать.

ну передают же) и не только у меня на этом месте работы...

автор темы, как дела? ездили в банк? отпишитесь...

Сообщение от Аноним

а если она директорская?

Тогда она ДОЛЖНА быть у директора. Её категорически НЕЛЬЗЯ передавать.

Сообщение от Demin

Строго говоря, Вас тогда должны внести в КОПиОП.

это если личная ЭЦП
а если она директорская? зачем в КОПиОП вносить?

Сообщение от Аноним

я вот тоже не директор и не главный бух, но у меня есть ЭЦП, так как работаю на участке "банк"...

Строго говоря, Вас тогда должны внести в КОПиОП.

Сообщение от Аноним

может это бух простой или главный

Сообщение от Аноним

но у меня есть ЭЦП, так как работаю на участке "банк"

у вас с расч счета спишут пару миллионов вы спокойно будете сидеть и вопросы на форуме создавать? наверное сразу в банк полетите разбираться..

Сообщение от Demin

Я дико извиняюсь - а кто тогда Вы?

такой наезд((
может это бух простой или главный?
я вот тоже не директор и не главный бух, но у меня есть ЭЦП, так как работаю на участке "банк"...

Сообщение от Аноним

Я не ген. дир., но эцп у меня

Вот нравится мне такое начало. Нра-вит-ся. То есть что мы имеем:
1) Вы не учредитель, не гендиректор и вообще не имеете никакого отношения к юрлицу. Но ЭЦП у Вас.
2) Как следствие, имеем прямое нарушение юрлицом пунктов договора о ДБО. Ну, на это всем клиентам плевать до тех пор, пока деньги не украдут. Воспримем как данность.
3) Гендиректор не нужен - он скорее всего уже не правомочен.

Сообщение от Аноним

Например кто-то из сотрудников банка подумал, что типа фирма-однодневка(хотя это не так)

Я дико извиняюсь - а кто тогда Вы? Реальный конечный бенефициар? Тогда всё очень просто - Вас кинул Ваш же гендиректор. Хотя юридически он Вас кинуть не мог - это же его контора, его бизнес. Всё абсолютно правомочно. Вы никто, и вообще лучше не упоминайте о том, что у Вас было ЭЦП, потому что тогда сделаете себе же хуже. Он кинул Вас по пацански - ну тогда это, извините, помойка, и ничто иное.
Но банк не будет снимать деньги с помойки. Даже с помойки. Максимум что может быть - ПОКА - арест.

Нормы о расторжении договоров в одностороннем порядке и списании денежных средств согласно поправкам в 115-ФЗ вступят несколько позже.

Сообщение от Аноним

А в целом такое возможно в наше время или нет?
Или все таки без Ген. директора это невозможно?
В банк поедем в понедельник, надеюсь по крайней мере, но были такие случаи или нет?
Например кто-то из сотрудников банка подумал, что типа фирма-однодневка(хотя это не так), ведем деятельность, платим налоги. И снял средства?

возможны совершенно разные думания сотрудников банка, но на основании этих думаний возможна только блокировка счета, никаких списаний банк самовольно не делает.

Да Вы что? Вы как себе это представляете?
Чего гадать на кофейной гуще? Может Вашу фирму рейдерски захватили и уже втихоря гендира поменяли, а он и ЭЦП сменил

А в целом такое возможно в наше время или нет?
Или все таки без Ген. директора это невозможно?
В банк поедем в понедельник, надеюсь по крайней мере, но были такие случаи или нет?
Например кто-то из сотрудников банка подумал, что типа фирма-однодневка(хотя это не так), ведем деятельность, платим налоги. И снял средства?