Сачков (Group-IB) продал «Сбербанку» защиту на 45 млн рублей

Развитие событий: ЦБ сообщил, что у российского банка хакеры увели 100 млн рублей (1 декабря)

«Сбербанк» приобрёл решение Secure Bank от Group-IB для сервисов «Сбербанк Онлайн» и «Сбербанк Бизнес Онлайн». Оно отслеживает вирусы у клиентов и не пропускает сомнительные операции. Сумма годового контракта составила 45 млн рублей в год. Об этом пишет «Коммерсантъ» со ссылкой на свои источники, в Group-IB подтверждают факт сотрудничества, но не комментируют детали.

Согласно информации на сайте «Сбербанка», системой онлайн-банка пользуются 30 млн физлиц, 18 млн используют мобильное приложение, а в «Сбербанк Бизнес Онлайн» 1 млн юрлиц. По словам представителя «Сбербанка», озвученным в ноябре, в прошлом году в банке было зафиксировано 80 000 несанкционированных списаний денежных средств клиентов, убытки банка выросли в 2,7 раза и составили 1,1 млрд руб. При этом количество хищений с помощью вирусов ежемесячно растет на 2,9%.

Secure Bank также используют и другие отечественные банки — «Открытие» и «Альфа-банк», «Росевробанк» тестирует решение. С другой стороны, источники «Коммерсанта» называют Secure Bank «сырым продуктом», который «в настоящее время не может обеспечить надлежащую защиту без серьезной доработки».

Иванов, GridGain: Если бы наш софт был проприетарным, то «Сбербанк» и Apple не стали бы с нами работать

Добавить 43 комментария

  • Ответить
    Vladimir Seleznev LatCard AS

    Вот интересный момент, банки готовы на все, только бы не вводить нормальную двуфакторную аутентификацию. Вводят только там где регулятор обязывает, и то стоят до конца против, а потом вводят эрзац, типа SMS-кода.

  • Ответить

    Ну почему же, тот же Росбанк в свое время вводил для юрлиц двухфакторную аутентификацию по логину-паролю и eToken PASS, без всяких богомерзких СМС. Правда, разок пришлось столкнуться с тем, что нагенерированный токеном ключ не подходил, но потом выяснилось, что всему виной было баловство с нажиманием кнопки генерации «просто так», из-за чего сбилась синхронизация с сервером.

  • Ответить

    Ну надо же, на дворе 2016-ый год, а в Сбербанке как всегда внезапно узнали, что есть вирусы и мошенники, которые уводят бабки у людей, и надо срочно что-то делать, и как всегда — через одно место.

    Всем с самого начала было понятно, что смс-подтверждение было дырявым как решето, и 80 тыс незаконных списаний — это только то, что сберовцы признали. В реальности сколько знаю случаев увода денег через мобильный банк или СБОЛ — только одному вернули деньги, да и то не Сбер, а АСВ, потому что деньги увели с вклада. И это крупнейший банк России, тьфу.

    Реально все можно было починить, с самого начала внедрив нормальную двухфакторную аутентификацию по eToken PASS. Но это же сберовцы, они не ищут легких путей, поэтому сперва они внедрили потенциально незащищенную схему мобильного банка с по умолчанию включенной функцией «Быстрые платежи», потом ограничили размер быстрого платежа до 8 тыр (при этом пользователю функцию регулирования размера этого самого быстрого платежа так и не дали и о наличии и потенциальной опасности этой функции не сообщая), сейчас внедряют сомнительную систему для отлова сомнительных операций, а в перспективе подсадят всех на биометрию.

    И весь этот геморрой только для того, чтобы не давать пользователям OTP-токены, которые отрежут 99% сомнительных операций вирусов и мошенников. Складывается ощущение, что большинство разработчиков вирусов и мошенники — сами же сберовцы, иначе никак нельзя объяснить, зачем банк велосипедит мутные схемы вместо того, чтобы дать пользователю реально независимый фактор.

  • Ответить

    1. Вы представляете сколько будет стоить платить операторам за СМС на каждую операцию или логин?
    2. Сколько будет стоить раздать каждому еТокены и как обучить бабушек и дедушек ими пользоваться?

  • Ответить
    Vladimir Seleznev LatCard AS

    Прекрасно. В среднем, 1−3 цента СМС. Бабушки разбираются с токенами в 10 раз лучше чем с любым мобильным аутентификатором. Стоимость при сберовских объемах 3 евро раз в пять лет.

  • Ответить

    1. Нет. Можете проверить купив СМС трафик оптом, сразу обозначив, что будете перепродавать банкам.
    2. На Ваш взгляд, почему с активным переводом платежей в терминалы в структуре отделений появилось столько митеров-гритеров? А это терминалы - с иконками, большими буквами, местом на экране под длинные подсказки и т. д. и т. п. Розница Сбера чего-то недогоняет и собственными руками решила порезать свои бонусы за опекс? Это уж если забыть про распределение фичерфонов и смартфонов по регионам, возрастам и уровню образования…

  • Ответить

    Какую именно «каждую операцию»? Для розничных продаж смс и не требуется, потому что у вас и так есть надежный фактор — пинкод, и содержимое вашей черепной коробки всяко защищено лучше, чем сигнализация SS7 в сетях сотовых операторов и уж тем более у вас её не украдут.

    А вот для подтверждения операции через СБОЛ или МБ потребитель так и так платит за смс, так какая разница, что отправлять — код из банка или код с токена? Тем более, что никакой разницы — прочитать код из смс или прочитать код из коробочки нет, и второй случай даже проще — достаточно нажать кнопку — и вуаля, и не надо тыкаться по менюшкам.

    Что же касаемо цены — в розницу токен стоит 1400, Сбер вполне в состоянии купить партию по 800−900 и даже дешевле. Раскидать сумму на два года — и вы увидите сумму 30 рублей в месяц. МБ стоит 60 рублей, за вычетом половины банковских смс и плюсования цены аренды токена — получится та же сумма.

    При этом потребитель будет гораздо более защищен, нежели чем в случае с смс. Подрезалам станет гораздо труднее увести деньги с карты, просто своровав телефон и выведя 8 тыр через Киви, потому что придется красть еще и токен. Вирусам будет просто нереально увести бабки, даже если логин-пароль СБОЛ скомпрометирован. И даже в плане смс вида «Это СБ, мы заметили мошенническую операцию, назовите код из смс» мошенникам придется несколько сложнее.

    Но вместо того, чтобы предложить клиенту реально более высокий уровень защищенности, сбер занимается профанацией в расчете на дурачка, кося под европейский уровень и при этом ведя дела так, как будто на дворе все еще 90-ые. На банки.ру тысячи гневных отзывов о том, как украли телефон и увели бабки, как узнали логин-пароль и без всяких смс вылизали весь счет, и много всякого такого. А сбер плевать хотел, «мы разберемся» — и тишина.

  • Ответить

    1. Да ладно. Мы же про стоимость, а не про себестоимость? Все можно, но на что будут жить посредники? А они тут живут неплохо. (Хотя может Сбер конкретно и отжал. У меня таких возможностей никогда не было).
    2. Потому что когда что-то делаешь, надо понимать что, для кого и зачем. А не следовать модным трендам. Если у тебя ядерная аудитория пенсионеры за 80, то зачем тебе вообще мобильный банк? В Сбере этого понимания не было и нет. Даже и не пытаются догонять. Им это не нужно вообще. Эффективный менеджмент Сбера — ввести плату за кассовое обслуживание, и показать рекордную прибыль. А на мой взгляд, там гритеры в первую очередь, потому что софт Сбера на терминалах говнище непонятное вообще, даже человеку с двумя высшими образованиями.

  • Ответить

    1. Прекрасная бизнес-идея. Вы можете вложить свои деньги и устроить пилот на условиях revenue sharing если не со Сбером, то уж с каким-нибудь большим региональным банком точно. Наймете девочек и/или мальчиков и они попробуют это продать за отдельные деньги где-нибудь в Кемерово. Я без иронии, если верите и готовы вложить свои деньги, то на revenue sharing договориться с каким-нибудь банком — как пить дать.
    2. Сбер ввиду космических з/п имеет возможность нанимать лучших людей с рынка. В частности, розничная команда, ИМХО, лучшая на рынке. Вам не приходило в голову, что если они что-то делают вот так, то альтернативные варианты были посчитаны и есть какие-то серьезные причины, почему была выбрана именно эта опция?

  • Ответить

    Напомню, что чуть ли не первые пол года после релиза МБ в нем авторизационная смс требовалась только ОДИН раз на ПОДКЛЮЧЕНИЕ.

    Миллионы рублей на этой теме вытащили у пользователей на андроид помойках, которые качали левые apk файлы со всяких «бесплатные игры без смс».

    Миллионы рублей был выкачены из пенсионеров под видом «вам пришел код авторизации на получение индексации к пенсии, продиктуйте пожалуйста…"

    Это не просто говно, это ультрадырявое говно, репутация которого уже никакой антивирус не спасет.

    Если Вам вдруг внезапно понадобилась карточка в Сбере (и вы не ИП), то подумайте 100 раз, прежде чем рисковать своими деньгами в этой помойке, когда есть десяток других альтернатив с качественными приложениями, нормальными процентами по депозиту и т. п.

    Рекомендую читать БанкиРу, там и на форуме и в отзывах чуть ли не ежедневно всплывают новые методы кидания на бабки граждан владельцев сберовских карт и счетов.

  • Ответить
    Vladimir Seleznev LatCard AS

    1. Я не в РФ. Там где я у все токены. Даже у пенсионеров за 80. Как и интернет-банк уже лет 10 стандарт. Проблем нет. Что мне СМС? Для другого нужны были, со всеми провайдерами говорил, и с аггрегаторами — со всеми. Бог им всем судия, но «сотрудничество» тут не является приемлемой концепцией.
    2. Я знаю людей из Сбера, конечно же. Многих лет 20 уже. Свое мнение оставляю при себе. Но «лучший на рынке» там вряд ли применимо. Про их бизнес-процессы, целеполагание, корпоративную культуры и ценности говорить тут не буду. И вообще умолкаю.

  • Ответить

    >2. Сбер ввиду космических з/п имеет возможность нанимать лучших людей с рынка.

    Это вам бабка с лавки сказала? А я вот в курсе ЗП некоторых девелоперов Сбера. И они даже с премиями и доп зп получают в среднем по рынку, те же Тинькоф или Альфалаб платят больше, не говоря уже о буржуйских представительствах банков и ИТ компаний.

  • Ответить

    1а. Я тоже про стоимость. Для клиентов-бизнесов. Себестоимость СМС для операторов — величина умозрительная.
    1б. Нет, Вы просто не знакомы с тарифами операторов на СМС трафик для разных бизнес-применений. Поэтому Вы проецируете экспириенс в своей конкретной области на другую. А это предполагает implicit assumtion, что в этой другой области дела обстоят так же. А это assumption — вовсе не факт.
    2. Хороший или плохой софт — я не Сбер, комментировать не буду. Но то, что объективные и измеримые результаты проекта перевода клиентского обслуживания в ДБО в Сбере самые лучшие — уж поверьте. Распределение времени гритеров можно легко выяснить потусовавшись в «прихожей» несколько часов в нескольких отделениях.
    3а. Операционистам зарплаты за эти операции платят или нет? ИМХО если Вы понесли какие-то расходы, то вполне «общечеловечески» справедливо за них деньги брать. Нет?
    3б. На Ваш взгляд, если комиссия за платежи была бы так важна для прибыли Сбера, то не глупо ли инвестировать столько денег в терминалы и в обучение людей ими пользоваться? Вроде бы, если Вы на чем-то зарабатываете кучу денег, то глупо пилить сук, на котором сидишь? Да еще попутно неся немалые расходы.

  • Ответить

    Я — не Сбер. Комментировать не могу. Вы не хотите прийти на какой-нибудь Speakers Night в Сколково и сказать конкретные кейсы Герману Оскаровичу. Поверьте, он действительно болеет за банк и уж постарается, чтобы дырки были исправлены.

  • Ответить

    А казачок-то, похоже, засланный. Потому как сколько раз я был в офисах СБ — постоянно натыкался на полный непрофессионализм, начиная от «Ой, зачем вам это надо» до «Подождите, я сейчас позвоню в Москву, узнаю, как это делается» (и это говорил начальник оперзала!). Ну и такой момент — несмотря на всю грамотность политики, космические зарплаты, высокие стандарты качества, просчет всех альтернативных вариантов и блаблабла, блаблабла — каждые полгода меняется как минимум половина операционистского состава, «помогальщицы» так вообще каждый месяц новые. А банки.ру так и ломятся отзывами от «щасливых» работников, как правило — бывших, которые с огоньком рассказывают, как «хорошо» им работалось, какое «чудесное» руководство, какие «мудрые» планы.

  • Ответить

    Из всего что я знаю про СБТ, а разрабы сидят в СБТ, то это нужно приложить недюжинные усилия, чтобы перейти на в СБТ на «среднюю по рынку зп с премиями». Да и в Сбер тоже. Из всплывающих в голове опций — может человек советовался со знакомыми из Сбера и они сформировали его ожидания, а пошел в результате в СБТ? Они на разных формах компенсации сидят.

  • Ответить

    1. Надеюсь, что у нас через какое-то количество лет тоже у всех будут. Пока — нет. А процесс обучения новым технологиям такого количества населения требует больших денег. Еще раз, надеюсь, что лет через пять-семь тоже будут. Это бы всем жизнь упростило.
    2. Сбер — разный.
    3. Я думаю лучшее мерило — это объективные показатели. Например время обслуживания в отделениях нового формата. Процент операций через ДБО. Это очень сложные вещи на таких объемах. А у Сбера сейчас самые лучшие показатели. Невзирая на Кемерово.

  • Ответить
    Vladimir Seleznev LatCard AS

    Не вижу ни одной причины для того чтобы куда-то ходить и что-то доказывать Герман Сергеичу. Зачем, в самом деле? Время все покажет и расставит по своим местам.

  • Ответить

    Хоть я и не Владимир, но тут на самом деле много схем.

    Сообщить код — на самом деле далеко не самая распространенная схема, на нее мало кто ловится. Самая распространенная — вирусы. Скачал аппликуху, та отправила смс на 900 вида «ТЕЛ 9xxxxxxx 8000», перехватила смс от сбера, отправила код подтверждения. Все, дальше с того номера через киви деньги выводятся на карту моментум, оформленную на какого-нибудь бомжа, снимается в ближайшем банкомате — и все, до свидания. Чуть реже подрезают телефон или находят потерянный, делают все то же самое.

    Иногда все еще интереснее. Пропадают деньги, при разбирательстве в отделении выясняется, что кто-то вошел в СБОЛ, оформил перевод, подтвердил операцию через СМС. При этом на сам телефон никаких смс не приходит (даже кнопочный), т.е. налицо либо перехват смс на уровне сотового оператора, либо мутные делишки в сбере.

    OTP на то и OTP, что его невозможно перехватить, и даже если перехватил — толку от него все равно никакого. И в отличие от кода смс, который можно подправить или даже нарисовать в базе, код токена просто так не воткнешь, ибо HMAC+SHA1.

  • Ответить

    1. Пойду схожу к Пеарщегам Сбера. А то стараюсь, пишу многа букаф и все забесплатно :)))
    2. Поверьте, я бесконечно далек от идеализации Сбера. Просто, на мой взгляд, Вы недооцениваете сложность этой махины. ИМХО корректнее сравнивать прогресс Сбера не с банком в 20 отделений, а с РЖД. Вот тогда это даст правильную перспективу кто куда продвинулся за эти годы.

  • Ответить

    Вот именно, что болеет за банк, а не за клиентов, которые благодаря его чудачествам на букву «м» потеряли кто 500 рублей, а кто и 500 тыс (знаю и о таких случаях). И в подавляющем большинстве случаев (в том числе и с 500 тыс) сбер отделывается стандартной отпиской «это вы все сами виноваты». И ладно бы там СБ — но Сбер вставляет палки в колеса даже полиции и, ссылаясь на банковскую тайну, не дает возможности расследовать хищение средств. Единственное, на чем поднялась эта быдлоконтора — на зарплатных проектах, без всего этого им с таким уровнем сервиса не светило бы место даже в топ-10, а так крупнейший банк, но как был быдлоконторой, так и остался.

  • Ответить

    Еще раз, мне кажется самый лучший тест — делайте такой вот бизнес и продавайте банкам. На revenue sharing точно продадите. А так это на уровне давайте всем гражданам России раздадим по бесплатному сертификату на полет на Марс. Им же хорошо будет? Да кто ж поспорит, что неплохо.

  • Ответить

    Корректнее сравнивать не с РЖД, а с другими банками в топе. Например, открыть банки.ру, раздел «Народный рейтинг» и узреть, что средняя оценка столь прогрессивного банка — 1.57, в то время как у всех остальных банков из топ-10 — от 1.7 до 2.4. Вот такой прогресс, вот такие высокооплачиваемые высококлассные специалисты.

  • Ответить

    В общем давайте говорить прямо, а не иносказательно. Бизнес по раздаче токенов будет убыточный. Потому что платить люди за это не хотят и не будут. ВИПам это безусловно важно, а вот обычному среднему россиянину — это совсем не сдалось. Я думаю, что есть в России банки, которые дают аутентификацию по токену. И ничего не мешает людям перейти на обслуживание туда. Но поскольку банк — это тоже бизнес, то так или иначе с клиентов денюжку за это берут. Где-то прямо, где-то зашито в тарифах, но берут. Поэтому то, что хочется — это чтобы тарифы, как у Сбера, филиальная и банкоматная сеть, как у Сбера, но с бесплатным токеном.

  • Ответить

    Зачем мне делать какой-то бизнес для revenue sharing? Это сбер озаботился безопасностью клиентов, но вместо того, чтобы внедрять реально более эффективную модель безопасности, как это уже сделали Росбанк, Газпромбанк, Юниаструм, ВУЗ-банк и прочие, велосипедит какую-то чушь, что вызывает резонные подозрения касательно адресатов этих 1.1 млрд руб.

  • Ответить

    Что значит «убыточный», «не хотят и не будут»? Люди платят по 60 рублей за смс-подтверждения, будут платить те же 60 рублей за аренду токена. Бытовому среднестатистическому россиянину это не сдалось, потому что он просто не знает ни масштабов воровства через Сбер, ни о существовании такой вещи, как OTP. Если бы Сбер, заботясь о содержимом счетов клиентов, предложил такую фичу и хотя бы намекнул, насколько это безопаснее, чем смс — за токенами стояли бы очереди. Но вместо решения проблем Греф только и занимается тем, что расставляет костыли.

  • Ответить
    Vladimir Seleznev LatCard AS

    90% зарплатников, кстати, сразу снимают все свою зарплату в банкомате, в _твердой_ уверенности что иначе их деньги украдут. спасибо эффективный Сбер!

  • Ответить

    Имеется ввиду, что для ИП условия и возможности в Сбере вполне приятные относительно некоторых других «охреневших» банков.

    Но для физ лица — это потенциальное наличие дыры в кармане. Ребята все делают в правильном направлении, но машина слишком большая и слишком медленная.

    Пол года не могли сделать авторизационные смс на операции внутри МБ, это вообще как? По умолчанию включенный МБ, из-за чего тысячи пенсионеров и любителей халявы лишились денег, потому что банально не знали ни о каком МБ.

    Теперь пытаются побороть трояны, которые перехватывают все смс…

  • Ответить
    Владимир Мяу и компания

    Подскажите пожалуйста, кто в теме, это «решение» означает, что Сбер насильно заставит всех пользователей СБОЛ установить на свои компьютеры и телефоны свой антивирус, или что? Что-то я прошерстил глазами статью на Комерсе и на сайте IB и ничего навскидку не понял.

  • Ответить

    Да что уж там… Похолодало вот вчера в МСК. Не иначе Сбер виноват — на морозе скрюченными пальцами тяжелее ПИН набирать. Проще разным лихим парням ловить :) Я имею в виду, что Вы берете какой-то объективно верный факт и прицепляете к нему совсем неверную интерпретацию причины. Она просто kitchen logic разбивается на раз-два…

Для добавления комментария войдите или зарегистрируйтесь.