«Да, мы ... гордимся тем, что нас, Сбербанк, ни разу не взломали. Вы произнесли очень важный термин, ... у нас очень нелюбимый, — это “социальный инжиниринг”. Честный ответ: наши клиенты не защищены. Делаем ли мы достаточно для того, чтобы наши клиенты были защищены? Нет, не достаточно ... из недели в неделю повторяются одни и те же цифры: 96-97% решенных вопросов по киберпреступности, 3-4% — это то, когда киберпреступники достигли своей цели. Не против нас. ... Легче ли нам от того, что проникли не в наши системы, а проникли в кошелек наших клиентов? Конечно, не легче», — сказал глава банка Герман Греф на Международном конгрессе по кибербезопасности, передал RNS.
В 2016 году Сбербанк попросил квалифицировать киберпреступления ради денег как кражи, а не как мошенничество. Пострадавшие от онлайн-банкинга россияне в 81% случаев проигрывают банкам в суде, подсчитала RTM Group в 2017, в том же году «Ведомости» обратили внимание, что Сбербанк и Apple так и не смогли решить проблему с полномочиями голосового помощника Siri. Сотрудникам издания удалось попросить Siri перевести деньги через SMS-банкинг на заблокированном iPhone через службы Сбербанка и их конкурентов из «Тинькофф». С прошлого года Сбербанк настаивает на принудительном страховании от киберрисков (а дочка банка такие страховки продаёт), но спроса на этот продукт нет.
Добавить 10 комментариев
Социальный инж….. перевыпустить sim слить бабло. Взломать/инфицировать смартфон послать команды на номер 900. Вся идея с номер 900 огромная дырка и фиг что с ней сделаешь, да же если захочешь. Но виноват будешь ты, потому что россосийское правосудие бессмысленно и беспощадно и встанет на сторону банка.
>>это “социальный инжиниринг”
От «инжинирингов» не продохнуть. А простые очевидные решения принять — мозгов (?) не хватает. Когда-то, во времена «смит энд вессонов», банки были твердынями, а сейчас — какие-то цифровые желе.
виноват будет тот, кто действовал не по инструкции. сбер просто грамотно обложился инструкциями, и если вы их не выполнили и у вас что-то сперли — это сугубо ваши проблемы. отсюда и такой низкий процент.
превращенная форма сути ИБ — распределение ответственности.
это потомушто они не применяют сквозные технлогии. А если и применяют — то недостаточно сквозные. А надо совсем сквозные, ка например с недавно кирдыкнувшимся кольцом банков. Там гдето на трлиилон дыра. При этом никто не задержан а все с деньгаме улетели благополучно кто куда.
После этого — в самый раз провести сурьезную конференцию по кибер и бибербезопансости — чисто для отвода глаз. И расказать про заботу о безопаности, о том, наскока передовые мы в этой области, аж в ООН подали свои инициативы.
Сквозные технологии.
Поэтому и ломают пользователей регулярно. А низкий % из-за большого количества клиентов с маленьким количеством бабла на фоне не самой худшей безопатности — не интересны мошенникам студенты, пенсионеры и бюджетники. А номер 900 это дыра размером с ворота.
я думаю что низкий % это игры со статистикой. например, процент краж, которые сберу таки пришлось компенсировать клиентам, а не как обычно «вы сами виноваты».
мошенникам не интересно, бабушка или студент, главное деньги. а расцветающие то тут то там мошеннические схемы поразительным образом включают в себя как один из элементов сберовскую карту, привязанную к номеру. а если карты нет, мошенники предлагают пойти в сбер и завести её (sic!). низкий процент, ага.
безопасность = 1 / удобство.
посмотрим еще, куда выстрелит их биометрия по лицу и голосу.
>> посмотрим еще, куда выстрелит их биометрия по лицу и голосу.
Как регулярно теряющий голос с утра в прохладную погоду — смотрю с лютым недоверием.
>> мошенникам не интересно, бабушка или студент, главное деньги.
А вот эта вы зря. Мошенники начали атаковать swift и сами банки — атака сложнее в разы, но плюшек резко больше. И конкуренции среди мелких мошенников нет.
>> безопасность = 1 / удобство.
я не знаю таких рептилойдов, которым удобно пользовать sms командами. Приложение на смартфон это да.
когда появился номер 900, не у всех еще были смартфоны однако. лично слышал совет «сделай перевод смской, это просто». это был мобильный банк для всех слоев населения с любыми телефонами. а сейчас видимо логика такая что «работает система, зачем трогать?»
Сбер — дыра дырявая.
Про этот 900 вообще треш и угар. Хочу опцию «быстрый платёж» отключить, открываю «руководство пользователя», отправляю NULL на 900. Приходит СМС о том что опция отключена. Ну ок, проходит пара дней, от сбера смс-ка «Вам подключена бесплатная опция быстрый платёж».
Ну бить-колотить, я его в дверь, а он в окно.
Далее. Настроил в Сберонлайне два шаблона на перевод на свой счёт на я-деньги (подтвердил шаблоны в КЦ), запретил все иные платежи без подтверждения в КЦ.
Ссылка на редактирование к шаблонов исчезла.
Заходим по старой ссылке на редактирование и редактируем поле «кошелёк получателя» как хочется. хоть на свой, хоть на чужой.
После редактирования шаблон остаётся подтверждённым.
Буква «Б» в слове сбербанк значит не «безопасность», а «безалаберность».
Я себе не представляю как так происходит. Кто те аналитики которые не подумали про редактирование подтверждённого в КЦ шаблона, кто те руководители кто им на это не указал, кто те специалисты по ИБ кто это согласовывал, кто те специалисты по ИБ которые смотрят на это и глазками хлопают?
Слежу за этой фичей два с половиной года. Писал письма на спец ящик на сайте, реакция равна НУЛЮ. Точнее тому самому NULL из инструкции по отключению быстрого платежа.
3-4% это конечно кошмар. Из 100 3 атаки достигает цели.
>>3−4% это конечно кошмар. Из 100 3 атаки достигает цели.
Именно так.