Автор Тема: Личный опыт и рекомендации на его основе  (Прочитано 6522 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Kazarang

  • Мастер
  • *****
  • Сообщений: 1617
  • Криминальный репортер
    • Награды
Обещанные советы по информационной безопасности, накопленные за 16 лет работы сначала в ИБ, а потом в расследовании разнообразных мошенничеств. Примеры будут общего плана, но все они так или иначе отражают реально происходившее и оплачены кровью чьими-то деньгами, причём отнюдь не добровольно.
 
Термины и сокращения.
ИБ- информационная безопасность
ОПСОС- оператор сотовой связи
ДКБО- договор комплексного банковского обслуживания
ОТР- One-time password, одноразовый пароль.
 
Безопасность это не состояние, а процесс. Помните об этом при прочтении и далее в своей жизни.
 
Как можно утянуть деньги со счёта? Путей, в общем-то три- интернет-банк, мобильный банк, банковская карта. Разные случаи типа поддельных нотариальной доверенности, судебного решения или паспорта существуют, но рассматривать их не будем, это всё же не то чтоб экзотика, а целенаправленная атака на конкретного человека.
 
Банковская карта.
Для начала азбучные истины. Просто чтоб устаканиться в терминах и общаться в рамках единых понятий. Карта- не ваша собственность, это собственность банка. Так что владелец карты банк, а вы- держатель карты. Средства списывают не с карты, а со счёта, к которому карта привязана, таким образом, карта это средство доступа к счёту. Из этого следует что? Правильно, со счёта, к которому карта не привязана, с помошью оной карты средства вывести нельзя. Откладываете деньги в финансовую подушку или на что-то копите? Откройте счёт без карты, переводите на него накапливаемое и не храните на карточном счёте сверх необходимого. В случае компрометации карты больше чем есть на карточном не выведут, а бескарточный недоступен для онлайн-операций и покупок в магазинах. Раньше можно было открыть пополняемый депозит и хранить деньги на нём, а его не было видно даже через банкомат, сечас же банки позволяют управлять депозитами через банкоматы, так что ни-ког-да не сообщайте пин-код кому бы то ни было. Никому вообще. Были случаи, когда, например, детишки знали пин и снимали деньги. Братья, сёстры, мужья, жёны и т.д. Понятное дело что банк вам эти средства не возместит. Если уж кому-то, допустим ребёнку, периодически нужно пользоваться картой- ну так оформите на него дополнительную карту к счёту и установите лимит. А пин-код никогда и никому. Писать его карте тоже не надо. Если трудно запомнить- смените пин на что-то запоминающееся, но не на дату рождения себя/ребёнка или там свадьбы, а, например, на дату важного ваc праздника (религиозного, день вашей профессии, ДР друга). Писать задом наперёд (не 1234, а 4321) тоже не надо, то что банк, увидев таким образом введёный пин, поймёт что совершается преступление и карту заблокирует- городская легенда. Потому что пин-коды (как и пароли) в банках не хранятся*, банк их не знает и поймёт он только то что пин введён неправильно и не более того.
Особо отмечу способ вывода средств со счёта без звонков- компрометация карты в торговых точках. Снять дамп карты (как правило у старых с магнитной полосой), закатать дамп на "белый пластик" и использовать. Лично у меня было такое в Белоруссии, но мне вовремя отзвонились и я перевёл карту в пиновый режим (любая операция требует ввода пина, а операции через инет отбиваются, оффлайновые тоже не работают) и потом с удовольствием наблюдал попытки списать средства. Потом перевыпустил карту, когда надоело. Доступно, сразу скажу, далеко не всем.
*корректнее сказать "не должны храниться", а то знавал я один банк где они хранились в текстовом файле. Впрочем, банка того больше нет.
 
Инет-банк на компьютере.
Прежде всего пользуйтесь им на доверенном компьютере. Доверенный это который вам знаком и вы хотя бы в общих чертах знаете что он себя представляет. Понятно что не все разбираются в компьютерах и операционных системах и уж тем более не специалисты по ИБ, но всё же не надо для инет-банка использовать компьютер в игровом клубе, интернет-кафе, компы друзей/знакомых и так далее. Иногда бывает надо, что называется, до зарезу и вариантов нет, но тогда хотя бы потом с доверенного поменяйте пароль. Чаще всего доверенным можно считать компьютер дома (он ваш, всё равно вы никуда не денетесь) и на работе, где предусмотрены специалисты по ИТ и ИБ, они в меру своего разумения и квалификации риски минимизируют. Впрочем, я насмотрелся на специалистов ИТ в организациях. У организации вывели средства, надо обследовать комп, на котором используется инет-банк. Разумеется, приходит админ, растопыривает пальцы "у нас всё чисто, я вот такой антивирус установил и ваще я гарантирую, я вам не лох какой-нибудь". Ну ок... Прошу поставить с сайта Майкрософт ProcessExplorer, чтоб не я, а он своими ручками поставил и не говорил потом что это я трояна подсадил. Через некоторое время тыкаю носом- вот в памяти твой антивирус, а вот это- троян, оба работают и ничуть друг другу не мешают. Бывали случаи что троян после своего чёрного дела удалялся, но тогда всегда находились однозначные следы. Случаев таких у меня было- десятками. Так что путём обычной бытовой логики оцените ваш рабочий комп- если у вас на организацию из десяти человек бегает один парнишка или вообще приходящий сын главбуха, то скорей всего рабочий комп доверенным считаться не может.
Ну а домашний комп...

Антивирусы.
Следуейте тривиальному совету- установите антивирус. Да, я знаю что завсегда найдутся люди, которые с презрением скажут что они и без него прекрасно живут. Правда, у таких деньги крали я и у них находил трояны. Они думали что они знают, а на деле только думали что знают.
Опять же всегда найдётся кто-то, кто скажет что вот этот антивирь гуано, а вот этот круть. И наоборот. Специальная олимпиада на этот счёт не утихвает и бесконечна. Прошу спецолимпиаду не устраивать, я всего лишь рассказываю о своём опыте, ваши мнения никак мою статистику не исправят, это слепок жизни. Из своего опыта, могу сказать что я анализировал компы физиков и юриков с весьма впечатляющим спектром антивирусов (важно- не ударьтесь в ошибку выжившего). Среди потерпевших на их компах были такие запомнившиеся мне (а это для моей работы важно) антивирусы как NOD32 ломанный- много, Avast-много, Avira- много, Symantec- 2, Norton antivirus- 1, Каспеского какой-то древнючей версии с тех пор необновляемый-1, экзотическая для наших краёв Panda- 2; предустановленный на ноуты TrendMicro- много- причём для почтовых шлюзов весьма неплохой по тем временам, особенно на As\400; Eset с десяток). Общий счёт- порядка двух сотен. Я не знаю как вывод написать так чтоб это не выглядело предвзято и упаси боги рекламой.
У антивирусов есть функция "безпасные платежи"- используйте её. Тогда браузер для инет-банка запускается в "песочнице", в защённой антивирусом области. Это не исключит, но минимизирует риски.
Рекомендовать не ходить по злачным ресурсам не буду, нынче это уже не актуально. Неоторое время назад в новостоной портал рано утром встроили скрипт, загружающий трояна на компьютеры, с которых на портал зашли. Обычный новостной портал, а несколько десятков тысяч компом заразились. Так что- антивирус.
« Последнее редактирование: 26 Декабрь 2020, 01:32:44 от Kazarang »
Вот что, ребята. Пулемёт я вам не дам.




Kazarang

  • Мастер
  • *****
  • Сообщений: 1617
  • Криминальный репортер
    • Награды
Мобильный банк, т.е. тот который у вас в смартфоне.
Я им не пользуюсь, он у меня отключён. Потому что я считал и считаю это ересью от ИБ. Ведь в чём смысл ОТР? В том что операции в банке и получение ОТР производятся разными устройствами, если одно скомпрометировано, то другое нет и злоумышленник либо не сможет вывести средства и ему придётся прибегать к социальной инженерии, звоня с попытками выманить или заставить ввести ОТР*. Или компрометировать оба устройства, а уже не так просто и логичней использовать для целевой атаки на конкретного человека. В случае же смартфона у вас и приложение банка и ОТР на одном устройстве. Подцепите "правильного" трояна (они есть для Android) и привет горячий деньгам. Случаи были, немного, но были. Я ими не занимался, подробностей не знаю. В общем, решать вам. Как вариант обезопаситься можно предложить для мобильного банка иметь отдельный смартфон или симку для получения смс с ОТР воткнуть в какой-нибудь тупой кнопочный телефон  (снова здравствуй, Nokia 3310). Ну или хотя бы антивирус поставьте. Я не утверждаю мобильный банк это очень опасно, но привыкайте риски минимизировать, хакерская мысль не стоит на месте, и многое из того что происходит сейчас раньше было очевидно далеко не всем, например, первые иногда инет-банки внедрялись без ОТР, потом с ОТР, но без проверки IMSI и т.д.
*есть одна разновидность трояна семейства Carberp, которая подменяла платёжные реквизиты незаметно для пользователя и деньги вместо Иванова улетали Петрову. Но в смс от банка указываются реквизиты реальные, так что внимательно читайте что банк прислал вместе с ОТР! Но эта разновидность использовалась преимущественно для вывода средств со счетов организаций да и конструировать такого трояна надо под конкретный инет-банк.
Снова отмечу как снимать средства без звонков- по схеме компрометации устройства с мобильным банком, одновременно являющемся средством получения ОТР.
 
Социальная инженерия.
Это набор техник манипуляций чтоб заставить вас сделать то что нужно мошенникам. Полагаю, все знают что это такое. Если нет- лучше уж сходите в Википедию, там подробно изложено.
Очень широкая область, постоянно пополняемая новыми приёмами. Сначала это "мама, я сбил человека", потом "мне для перевода вам денег за товар нужны ваша одежда и мотоцикл номер карты, срок её действия и цифры с оборотной стороны карты", потом "это СБ банка, на ваш счёт идёт атака, для отмены операций скажите коды, которые будут приходить на ваш телефон" и так далее, несть им числа. Потому нет смысла описывать их все, а вот некоторые правила запомнить стоит, благо они в том или ином виде есть у них на сайте.
0. Всегда быть готовым что вам могут позвонить с "разводом". На той стороне работают или грамотные специалисты или обычные люди, но по скрипту, составленному грамотными специалистами. Времени на подготовку и обкатку у них много, там всё отточено. Просто будьте готовы к этому как готовы не переходить улицу на красный свет.
1. Вы доверили деньги банку. Без вашего распоряжения в соответствии с ГК и Законом о банковской деятельности банк не может совершить перевод средств. Вашим распоряжением явлются собственноручно подписанное платёжное поручение; операция с помощью банковской карты, подтверждённая известным только вам пин-кодом (напомню- банк пин-кода не знает); электронное платёжное поручение (операция через инет-банк и мобильный банк), подписанное аналогом собственноручной подписи, в данном случае ОТР (не будем углубляться в законы, надеюсь, мне и так поверят).
2. Банк, вопреки утверждениям в инете, иногда всё же звонит клиенту. В банках (не распишусь за все, но за крупные вполне) есть фрод-мониторинг, который отслеживает нехарактерные для конкретного клиента операции и при подозрении на мошенничество клиенту таки звонит. Подразделение в разных банках относится к разным службам, где к СБ, где-то к ИТ, где-то к операционой службе, в общем момент чисто организационный и ни на что не влияет. Надо понимать и принять что хоть фрод-мониторинг может очень многое, но он не может распознать всё. Через крупный банк проходят тысячи транзакций в секунду, автоматика, сколь ни будь продуманы её алгоритмы (хотя они постоянно дополняются на примерах реальных мошенничеств), не может распознать всё, мошенник хитёр ведь он с этого кормится, это его хлеб и его жизнь. Ну а то что попадает на разбор оператору (а вот там они в отличие от колл-центров вполне грамотны) отбивается 99%. Уж поверьте человеку, принимавшему участие в основании такого подразделения.
3. Банк никогда не спрашивает при исходящем от него звонке ваше кодовое слово. Оператор, как правило (опять же за всех не распишусь) его не знает, да банку при исходящем и по правилам это ему не надо.
4. Банк никогда не спрашивает любые реквизиты карты, ему не надо, банк их знает.
6. Банк никогда не просит называть какие-либо коды из смс.
7. Банк никогда не оперирует пониями "на ваш счёт идёт атака и вам надо...". Во-первых это чушь собачья, а во-вторых атака это личная половая драма банка (см. п. 1).
8. Если вы не понимаете что происходит, понимаете что не понимаете что происходит, при любых подозрениях и дискомфорте- сообщите что вы ничего никуда ничего не переводили* и прервите звонок. И звоните в банк. И вообще если банк от вас что-то просит сообщить- прервите разговор. Банк может только спросить вы ли делали операцию, не более того.
8. Не ведитесь на номер. В современности номер звонящего можно подставить любой.
*когда я поймал у потерпевшего один из первых "штаммов" трояна Carberp, я специально заразил им тестовый комп и зашёл с этого компа в свой инет-банк. Буквально через минуты 3-4 мне позвонили (тогда ещё телефонные номера клиентов в инет-банке не маскИровались и мошенники легко их вычисляли), как обычно попытались развести, на что, поваландав им мозги, я ответил "молодой человек, пока вы это учили- я это преподавал". Меня матюгнули и отлючились.

Ну и советы общего плана.
Старайтесь не использовать номер телефона, который зарегистрирован для инет-банка, для всяких курьеров, инет-магазинов и прочей нечисти, откуда он может уплыть. Благо сейчас почти в каждом телефоне по две симки можно использовать. Т.е. есть номер, известный вам, друзям/родственникам/банку и номер для всего остального. Важно- симка для банка должна быть зарегистрирована на вас, а не на брата/свата/хренпоймикого. Во-первых, случись чего (тьфу-тьфу-тьфу) разбираться будет легче. Во-вторых, единая система проверки данных абонентов (ЕИС ПСА), т.е. банк запрашивает ОПСОСа "этот номер принадлежит А?"- а в ответ "нет" и инет-банк вам заблокируют и потребуют актуализировать данные. Пока не внедрено, но будет.
Сменили паспорт или место регистрации- сразу актуализируйте данные в банках и ОПСОСах. Позволит избежать возможных недоразумений (вообще вы обязаны это делать по ДКБО и договору с ОПСОСом). Периодически заходите в офис своего ОПСОСа и узнавайте какие номера на вас зарегистрированы. Появятся "левые" номера- немедленно закрывайте, заявление вам распечатают прям там и номера отключат. Ибо кем и для чего они используются неизвестно, а если криминал то придут к вам. Оно вам надо?
Занесите номер банка в телефонную книгу телефона, чтоб он всегда был под рукой. Вдруг потеряете карту, а номер-то на ней! А так вы как только обнаружите пропажу сможете позвонить и её заблокировать. Для этого вам потребуется пройти идентификацию, а для этого нужно кодовое слово, так что обязательно помните его. И не надо, как советуют банки, использовать девичью фамилию матери, нынче узнать её совсем не сложно. Пусть это будет лично для вас что-то запоминающееся, что вы точно не забудете (название первого пионерлагеря, название на латыни любимого растения, бренд одежды или кофе, название крейсера, имя меча короля Артура или самурая, включите уже фантазию). Лайфхак- если вы всё же не помните кодовое слово, то позвоните в банк с номера, незарегистрированного в банке (и вот тут вам поможет вторая симка для "мусорных" звонков) и скажите что вы нашли карту с таким-то номером (а имя держателя, то есть своё, вы знаете), банк её заблокирует.
Поскольку я уже посоветовал никогда никому не сообщать пин-код от карты, то будьте последовательны- если вы зарегистрировали в смартфоне с NFC свою карту или привязали её к сервису, то никогда не давайте в бесконтрольное пользование этот смартфон. Ярко запомнился случай когда шестилетнему ребёнку папа дал смартфон поиграться, а тот накупил игр. Или дама из очень северного города зарегила карту на смартфоне двенадцатилетнего сына, а пока она была в командировке тот на дофига денег накормил класс в Бургер-кинге (ну хоть не алкашка или ещё чего похуже).
Если есть возможность включите в телефоне антиспам (есть не во всех) и/или купите услугу антиспам у ОПСОСа (у моего стоит 1 рубль в сутки). Это реально помогает и отсеет часть звонков не только спама, но и мошенников, по крайней мере у меня уже месяца три спама нет. Ставить можно и приложения типа TrueCaller, но будьте готовы к тому что они потребуют доступ к телефонной книге и истории звонков и все контакты сольют к себе на сервер (в облако, как нынче модно). Да, и ваши и всех кто у вас есть в телефонной книге.
 
Да, многое из рекомендуемого мной требует денежных затрат или каких-то неудобств. Но за безопасность надо или платить или расплачиваться. Выбор за вами.

Если что вспомню- дополню.
« Последнее редактирование: 26 Декабрь 2020, 01:22:20 от Kazarang »
Вот что, ребята. Пулемёт я вам не дам.


Olga R.O

  • Мастер
  • *****
  • Сообщений: 1519
  • Криминальный репортер Меценат
    • Награды
Kazarang, Спасибо!
Был у меня случай неприятный в прошлом году. Совершила покупку в интернет-магазине зарубежном примерно на 120$. На следующие сутки ночью с карты началось списание. Тут же из банка позвонили! Ночь ведь.. Муж заблокировал счёт . На следующий день написал заявление в банк. Они успели снять что-то около 8 тыс одним платежом. Банк нам эти деньги вернул( после рассмотрения заявления). А мне пришлось сменит банковскую карту.
В итоге меня это научило держать доп. Карту для любых покупок, а на ней всегда не больше 100 рублей)
По поводу звонков, я всегда знаю что звонят мошенники. Прям им так и говорю. И кладу трубку.
По моим наблюдениям, в этом году они активизировались.


Kazarang

  • Мастер
  • *****
  • Сообщений: 1617
  • Криминальный репортер
    • Награды
Вот что, ребята. Пулемёт я вам не дам.


l84

  • Профи
  • ****
  • Сообщений: 342
    • Награды
Спасибо! Крутая статья!

Откройте счёт без карты, переводите на него накапливаемое и не храните на карточном счёте сверх необходимого.

Счёт без карты может использоваться для транзита + списания по счёту. Идеально - депозит с запретом на снятие. Делаете несколько таких на разные сроки (хоть 12 штук истекающих каждый месяц) и, если денежные средства понадобились, то каждый месяц некая сумма Ваша Вам открывается.

Насчёт симок - виртуальный номер в помощь. VoiP. Довольно удобно, для нечисти можно заиметь номер Уганды или наподобие. Лишний раз Вам звонить на +1111 333 222 7777 никто не станет.


Kazarang

  • Мастер
  • *****
  • Сообщений: 1617
  • Криминальный репортер
    • Награды
Блин, вижу кучу ошибок. Извините, пожалуйста, нет на моём компе проверки типа Word.
У меня только Вин и антивирус платные.
Если есть вопросы- задавайте.
Я подумал что лучше написать часть что я точно знаю, а далее вы спросите и мы уточним
Вот что, ребята. Пулемёт я вам не дам.


Kazarang

  • Мастер
  • *****
  • Сообщений: 1617
  • Криминальный репортер
    • Награды
виртуальный номер в помощь. VoiP

Спасибо, отслеживается на раз.
Что ещё предложите?

И да. Что вы пересылаете по знакомым,- таки читается.
Точно знаю что англичане читают Вотсаап.
Телеграм читается США и Англий
WhatAPP--точно читается. Я несколько раз получал расшифровку WhatsApp
Вот что, ребята. Пулемёт я вам не дам.


l84

  • Профи
  • ****
  • Сообщений: 342
    • Награды
Что ещё предложите?

Вам я не предлагаю ничего.

Для тех у кого в телефоне нет слота для второй симки, или он занят, например, рабочей или картой памяти виртуальный номер это удобный способ избегать смс-рассылок, дурацких звонков и т.д.

Я человек большим людям безынтересный, прятаться не от кого. У меня стояла задача иметь номер той страны, где я буду находиться для всяких мелочей. Такси, пицца, местные он-лайн магазины. Виртуальные номера оказались удобной штукой, которая плавно перекочевала в российскую действительность.

У меня стоит приложение, когда мне нужно, я его включаю, звоню, принимаю звонки и смски, потом выключаю. Самым чудесным образом никакой спам мне не мешает. Стоит это удовольствие по-разному, в зависимости от страны в месяц такой номер обходится 100-200 рублей.


Kazarang

  • Мастер
  • *****
  • Сообщений: 1617
  • Криминальный репортер
    • Награды
У меня стояла задача иметь номер той страны, где я буду находиться для всяких мелочей. Такси, пицца, местные он-лайн магазины. Виртуальные номера оказались удобной штукой

А, вы в этом смыле. Да, удобный вариант.
Вот что, ребята. Пулемёт я вам не дам.


Ornella

  • Новички
  • *
  • Сообщений: 20
    • Награды
Kazarang, спасибо огромное.