Герман Греф: 3-4% хакеров достигают целей при атаке на клиентов Сбербанка

«Да, мы ... гордимся тем, что нас, Сбербанк, ни разу не взломали. Вы произнесли очень важный термин, ... у нас очень нелюбимый, — это “социальный инжиниринг”. Честный ответ: наши клиенты не защищены. Делаем ли мы достаточно для того, чтобы наши клиенты были защищены? Нет, не достаточно ... из недели в неделю повторяются одни и те же цифры: 96-97% решенных вопросов по киберпреступности, 3-4% — это то, когда киберпреступники достигли своей цели. Не против нас. ... Легче ли нам от того, что проникли не в наши системы, а проникли в кошелек наших клиентов? Конечно, не легче», — сказал глава банка Герман Греф на Международном конгрессе по кибербезопасности, передал RNS.

В 2016 году Сбербанк попросил квалифицировать киберпреступления ради денег как кражи, а не как мошенничество. Пострадавшие от онлайн-банкинга россияне в 81% случаев проигрывают банкам в суде, подсчитала RTM Group в 2017, в том же году «Ведомости» обратили внимание, что Сбербанк и Apple так и не смогли решить проблему с полномочиями голосового помощника Siri. Сотрудникам издания удалось попросить Siri перевести деньги через SMS-банкинг на заблокированном iPhone через службы Сбербанка и их конкурентов из «Тинькофф». С прошлого года Сбербанк настаивает на принудительном страховании от киберрисков (а дочка банка такие страховки продаёт), но спроса на этот продукт нет.

Добавить 10 комментариев

  • Ответить

    Социальный инж…. перевыпустить sim слить бабло. Взломать/инфицировать смартфон послать команды на номер 900. Вся идея с номер 900 огромная дырка и фиг что с ней сделаешь, да же если захочешь. Но виноват будешь ты, потому что россосийское правосудие бессмысленно и беспощадно и встанет на сторону банка.

  • Ответить

    >>это «социальный инжиниринг»

    От «инжинирингов» не продохнуть. А простые очевидные решения принять — мозгов (?) не хватает. Когда-то, во времена «смит энд вессонов», банки были твердынями, а сейчас — какие-то цифровые желе.

  • Ответить

    Но виноват будешь ты

    виноват будет тот, кто действовал не по инструкции. сбер просто грамотно обложился инструкциями, и если вы их не выполнили и у вас что-то сперли — это сугубо ваши проблемы. отсюда и такой низкий процент.

    превращенная форма сути ИБ — распределение ответственности.

  • Ответить

    это потомушто они не применяют сквозные технлогии. А если и применяют — то недостаточно сквозные. А надо совсем сквозные, ка например с недавно кирдыкнувшимся кольцом банков. Там гдето на трлиилон дыра. При этом никто не задержан, а все с деньгаме улетели благополучно кто куда.
    После этого — в самый раз провести сурьезную конференцию по кибер и бибербезопансости — чисто для отвода глаз. И расказать про заботу о безопаности, о том, наскока передовые мы в этой области, аж в ООН подали свои инициативы.
    Сквозные технологии.

  • Ответить

    Поэтому и ломают пользователей регулярно. А низкий % из-за большого количества клиентов с маленьким количеством бабла на фоне не самой худшей безопатности — не интересны мошенникам студенты, пенсионеры и бюджетники. А номер 900 это дыра размером с ворота.

  • Ответить

    Поэтому и ломают пользователей регулярно. А низкий % из-за большого количества клиентов с маленьким количеством бабла на фоне не самой худшей безопатности — не интересны мошенникам студенты, пенсионеры и бюджетники.

    я думаю что низкий % это игры со статистикой. например, процент краж, которые сберу таки пришлось компенсировать клиентам, а не как обычно «вы сами виноваты».

    мошенникам не интересно, бабушка или студент, главное деньги. а расцветающие то тут то там мошеннические схемы поразительным образом включают в себя как один из элементов сберовскую карту, привязанную к номеру. а если карты нет, мошенники предлагают пойти в сбер и завести её (sic!). низкий процент, ага.

    А номер 900 это дыра размером с ворота.

    безопасность = 1 / удобство.
    посмотрим еще, куда выстрелит их биометрия по лицу и голосу.

  • Ответить

    >> посмотрим еще, куда выстрелит их биометрия по лицу и голосу.
    Как регулярно теряющий голос с утра в прохладную погоду — смотрю с лютым недоверием.

    >> мошенникам не интересно, бабушка или студент, главное деньги.
    А вот эта вы зря. Мошенники начали атаковать swift и сами банки — атака сложнее в разы, но плюшек резко больше. И конкуренции среди мелких мошенников нет.

    >> безопасность = 1 / удобство.
    я не знаю таких рептилойдов, которым удобно пользовать sms командами. Приложение на смартфон это да.

  • Ответить

    я не знаю таких рептилойдов, которым удобно пользовать sms командами. Приложение на смартфон это да.

    когда появился номер 900, не у всех еще были смартфоны однако. лично слышал совет «сделай перевод смской, это просто». это был мобильный банк для всех слоев населения с любыми телефонами. а сейчас видимо логика такая что «работает система, зачем трогать?»

  • Ответить

    Сбер — дыра дырявая.
    Про этот 900 вообще треш и угар. Хочу опцию «быстрый платёж» отключить, открываю «руководство пользователя», отправляю NULL на 900. Приходит СМС о том что опция отключена. Ну ок, проходит пара дней, от сбера смс-ка «Вам подключена бесплатная опция быстрый платёж».
    Ну бить-колотить, я его в дверь, а он в окно.
    Далее. Настроил в Сберонлайне два шаблона на перевод на свой счёт на я-деньги (подтвердил шаблоны в КЦ), запретил все иные платежи без подтверждения в КЦ.
    Ссылка на редактирование к шаблонов исчезла.
    Заходим по старой ссылке на редактирование и редактируем поле «кошелёк получателя» как хочется. хоть на свой, хоть на чужой.
    После редактирования шаблон остаётся подтверждённым.
    Буква «Б» в слове сбербанк значит не «безопасность», а «безалаберность».

    Я себе не представляю как так происходит. Кто те аналитики которые не подумали про редактирование подтверждённого в КЦ шаблона, кто те руководители кто им на это не указал, кто те специалисты по ИБ кто это согласовывал, кто те специалисты по ИБ которые смотрят на это и глазками хлопают?

    Слежу за этой фичей два с половиной года. Писал письма на спец ящик на сайте, реакция равна НУЛЮ. Точнее тому самому NULL из инструкции по отключению быстрого платежа.

    3−4% это конечно кошмар. Из 100 3 атаки достигает цели.

Для добавления комментария войдите или зарегистрируйтесь.