Поделюсь с Вами как у меня реализована работа с интернет-банком. Для этого у меня есть flash-card на которую установлена операционная система Linux или внешнее загрузочное устройство, с установленном ОС Windows 8.1 Pro Embedded. (Можно просто 8.1 для обычных пользователей) в Этой ОС нет никаких программ, кроме защитных и интернет-банка через WebBrowser. Вход в интернет-банк через смарткарту с паролем только для инициализации самой смарткарты. Т.е двухфакторная авторизация на базе авторизации через Удостоверяющий центр между банком и клиентом. А с Вами, здесь, и просто в Интернете я работаю либо с других компьютеров, либо с другой загрузкой основной ОС. Т.е для работы с интернет-банком у меня своя ОС, только для него.

Это все от того, что у нас предприниматели не знают что такое Информационная безопасность. А специалистам платить не хотят.

ИМХО неплохой вариант защиты - скретч-карта одноразовых кодов, которыми подтверждается каждая операция в Интернет-банке. Коды запрашиваются строго последовательно. В случае разборок с банком на тему: "А вы сами ввели 76-й код для данной операции" можно предъявить карту, где этот 76-й код ещё закрыт. Ну и SMS-информирование об операциях само собой.

Если бы у вас, поступали SMS с одноразовымми паролями на каждую отправляемую платежку, да на ваш мобильник такого не было бы.

44-Кысь >SMS информирование не спасет, тогда уже SMS подтверждение операции, как это сделана в Сбербанк Online. Никакая операция не будет выполнена, пока не придет SMS ответ

По SMS информированию Вы просто по горячим следам поймете что Ваши деньги только что куда-то были переведены "Вами" же

Спасибо всем за участие и советы.Сейчас пока судорожно ищем выход как расчитываться с поставщиками, многие понимают и входят в положение.Так как мы еще те "компьютерные гении", поняла, что есть куча всяких защит, но это чуток позже, сейчас по нулям.

46-Человече >45-Iv > об этом же написал
44-Кысь > скреч карта дает ту же технологию, только менее удобна, чем приход SMS по одноразовому паролю, случаев перехвата и моделирования сообщения из Вашего сотового телефона еще пока не было, хотя и это теоретически уже возможно, но телефон у сотового оператора идентифицируется как минимум по двум параметрам, а вот отправка подтверждения вместо Вас с Вашего же сотового телефона если он не просто обычный телефон а телефон с операционной системой Android, IOS и т.д. возможен, но для этого злоумышленник должен атаковать и Ваш телефон и компьютер, с которого Вы работаете с клиент-банком. Я не слышал еще о таком реальном случае, но теоретически это возможно, поэтому сама надежный вариант это криптографическая защита через смарткарту.

46-Человече > Это само собой. SMS-информирование вторично, первичен одноразовый пароль. Но своевременная SMS "на ровном месте" поможет вовремя поднять тревогу и отстоять свое бабло. Пароль из SMS удобнее, пароль со скретч-карты надежнее. Были преценденты, когда умельцы перехватывали чужие SMS. Особенно Мегафон этим грешил.

49-Человече > Ну вот, написали одно и то же. А с SMS Мегафона действительно была проблема, т.к. можно было переадресовать SMS на другой номер.

48-kvest > вид защиты нужно определять по возможностям Вашего банка, т.е может ли он предоставить ту или иную технологию. Обращайтесь, проконсультирую, применительно к банку я бесплатно

50-Кысь > сомневаюсь что был атакован сотовый оператор, или его сотрудник совершал противоправное деяние, к тому же нужно злоумышленнику еще и знать номер сотового телефона жертвы. Скорее у жертвы были заражены и сотовый телефон и компьютер через который она работала с клиент-банком. Т.е атакующий, который заразил компьютер жертвы, целенаправленно узнал ее № сот. телефона и заразил и сотовый телефон вирусом. Чтобы это исключить для получения подтверждений СМС нужно пользоваться обычным простым телефоном, а не смартфонами с различными операционными системами.

[quote=kvest;39680176]Хочу предупредить, у нас с расчетного счета украли все деньги[/quote]
[quote=kvest;39680176]Будьте бдительны! [/quote]
а что именно нам нужно делать? банк не озвучен, схема кражи денег не описана..что делать нам, как бдить? к чему эта бестолковая по содержанию тема??? поплакаться/потрындеть..пользы ноль

54-ээ ффф сюда иди >Пусть будет для вас бестолковая, а для кого то нет. Когда будет какой то результат, отчитаюсь.

Написал в личку звоните, время дорого

Автор, если можно - название банка в личку. Палить не буду.

ИМХО
таких случаев много, и чем дальше тем больше будет ;-(

из защит :
1. выделить комп только для банка! и все на нем с лицензиями
2. подтверждение операций через одноразовые пароли - это как дополнение к ключам.
3. антивирии и файрволы , хотя но они все что-то да пропускают.
4. не сидеть под админом на этом компе и ничего с ним не делать кроме банка

Когда уже случилось - первым делом не включать самим комп. ВООБЩЕ! а как узнали - сразу тушить питанием.
И желательно сделать физическую копию винта себе.

и я ни разу не слышал чтобы находили ;-(

59-lamerok > и сюда еще добавьте пункт о котором я написал выше - использование смарт-карты вместо пароля для входа в клиент-банк (интернет-банк)

а пункт тушить питание, делать физическую копию винта себе - это суета, долго и маловероятно, что кого-то найдут. С той стороны тоже не делетанты это делают, лучше не допускать, применяя элементарные правила безопасности, перечисленные выше.

В милицию все равно ПРИДЕТСЯ обращаться.
А для экспертизы комп все таки могут изъять.
Если данные оттуда нужны - то нужна копия винта.
Из наблюдений - клиент банк обычно стоит у бухов, в маленьких фирмах на том же компе бухгалтерия. Забрали базу и хана нормальной работе.
Поэтому считаю, что правильно сделанная копия винта нужна.

Я наверное не знаю(вижу) принципиальных отличий юсбтокенов от смарткарт. Все одно оно вставляется в тот же комп. Или мы о разных устройствах говорим.

По мне - хорошое дополнение к ключам - это генераторы одноразовых паролей(смс, отдельное устройство, кусок бумаги, скретч карты и т.д.), т.к. тут уже физический доступ нужен к другим штукам.
Правда опять засада - человек подписывает то, что видит на мониторе. Может смс подпись лучше - т.к. в ней можно и сумму и получателя написать и отсылается оно по другому каналу. И получить контроль одновременно над смс и компом все таки менее реальней, чем только одним компом.

Насколько я понимаю у топикстартера документ уже был сформирован и ждал момента когда вставять ключ и введут пароли для подписей. Причем юзер этого документа не видел, но он был.

И в этом случае смарт карта или юсбтокен ему бы не помогли.
А вот смс код с описанием операции скорее всего помог бы.

62-lamerok >usb - eToken - это смарткарта в формате usb интерфейса.

64-Человече > ну значит мы об одном и том же, разными словами

63-lamerok >вы ошибаетесь, смарткарта содержит не только пароль входа, но и ЭЦП для подписи документа банковской транзакции.
И в данной ситуации кража произошла при отправке платежки с другого компьютера в 19ч, т.к в офисе ТС после 16ч уже никого не было. Если бы была нужна ЭЦП подпись при отправке платежки, то кражи бы не произошло.

66-Человече > давайте попросим у топикстартера чтобы она описала как она подписывает документы

66-Человече > просто подчеркну, что я говорю о одноразовых паролях как дополнение к тем же токенам.
т.е. токены - да нужны

67-lamerok >перечитал топик
у пострадашей были ключики
66-Человече > значит ключики скопировали на другой комп?
или все таки она сама подписала эту платежку на своем компе?

по теме получается, что была компрометация ключей, возможно даже банальная, без внедрения и использования высоких технологий outsiders или insiders.

68-lamerok > согласен, для пароноиков, чтобы не бояться. А так как Вы себе представляете взлом криптографии сертификата ЭЦП, имеющего сертификат ФСБ. Взломов eToken eще не было. Но для пароноиков, а вдруг взломают, пусть пользуются и одноразовыми паролями.

я думаю здесь все-таки была обычная компрометация обычного пароля на вход просто по неосторожности владельцев. Или пароль увел троян. Обычный eToken - решит все проблемы, если банк поддерживает эти технологии аутентификации.

72-Человече >дык авторша пишет что ключи от банка были -
скорее всего это тот же токен.
в случае с бифитом(кажется так софт зовется у БМ)
была схема - на компе ломали банковский модуль внедряя в него гадость. потом делалась отсроченная платежка. юзер заходил в банк своими ключами и паролями, потом делал платежку. но вместо своей и видимой ему на экране платежки он подписывал эту отсроченную. Причем при этом даже баланс счета учитывался.
хотя могу не помнить деталей, возможно там была разовая авторизация тем же токеном. и войдя юзер уже считался авторизованным и платежка автоматом подписывалась. Т.е. сами ключи никто не уводил. был изменен клиентский модуль. но за это изменение все равно отвечает клиент , а не банк.

кстати еще вопрос к топикстартеру
- слили все деньги? или меньше остатка?
и в пределах так сказать обычных ваших объемов операций?

с еТокеn это бы не прокатило, у Бифит, сейчас все серьезнее, они подписывают ЭЦП, не только платежку, но и сами только выдают Рутокены, а также подписывают этой же ЭЦП свой клиент. Т.е при модификации клиента, сервер выдаст ошибку авторизации. Возможно это сделали они после того, как были атаки, о которых Вы написали.

вообще то норм. банк клиенты показывают последние 5 заходов с географией.
токен, да наверное круто, когда у нас в этих пяти заходах нарисовалась Пенза, звонок в банк, блокировка счета, токен был готов за час и больше левых заходов не поступало..)
Хорошо, когда тыбзить нечего..) моя фирма живет слегка в долг и все, что поступает, сразу уходит поставщикам.

по поводу Бифит, мне по поводу моей платежки пришло CMC уведомление в котором указан, № счета, № документа, сумма платежа и идентификатор моего eTokeна. И результат операции. и см. 75-Человече >

74-lamerok >Давно не заходила,слили почти под 0.Написали претензии и заявления куда только можно. Полиция выяснила где зарегистрирован черт и где снял, я понимаю, что найти нереально, сейчас отпишут в костромскую область и на этом все закончится, но посмотрим, что ответит банк.Если честно, в банке я не получила ни одного конкретного ответа, все ответы размазаны, бросают трубку, как только услышат название организации. Всем большое спасибо за советы, сейчас открываем расчетный счет в другом банке, учитывая ваши рекомендации.

78-kvest > здесь нужно выяснить кто виноват, пока я предполагаю, что вина ваша, либо кто-то у Вас пароль увел так называемой "Социальной инженерией", либо халатность в ненадлежащем его хранении, использовании, либо кража с компьютера специальными программами - троянами. Если сумма значительная и Вы готовы этот вопрос оспаривать, то я Вам писал на почту с самого начала, что я мог предложить, но нужно было это делать с самого начала, время то идет. Ваша задача, доказать, что вина банка, если это вина не Ваша. А если Ваша, то думаю, после этой темы, Вы уже будете подходить к вопросу более основательно в другом банке. Нужна если профессиональная помощь, обращайтесь на почту.

У нас недавно тоже чуть не сперли 600 тыс руб. 2 платежками. Сначала я открыла письмо левое, потом комп стал при выключении входить в спящий режим, ну я не обратила внимание, т.к. комп был старый и часто мы его ремонтировали, ну думаю опять глючить начал раз в спящий режим входит,а на следующий день включаю , а он не работает, не включается! В 9 часов утра звонок из банка - Вы отправляли 400 и 200 тыс руб в 7 утра????? Нам повезло , что из банка позвонили, а так ушли бы наши деньги судя по всему с концами, как у автора. У нас банк Кубань-Кредит.

разве можно так беспечно относиться к интернет-банку, защиту ставьте - выше все написано, обращайтесь в email за консультацией, если нужно

после прочтения пп.78 и 80 перешел в режим легкого ок...ения))) ребята, да у нас в стране пока еще жулики столь ленивы и нелюбопытны...)))