безопасность

Службы безопасности банков и мобильных операторов такое ощущение, что вообще не работают.

Всем привет!

В начале хотел написать ответ в этом посте, но потом понял, что тема намного шире и решил запилить ветку.
В общем, наверное, я Америки не открою, но расскажу, что происходит глобально, может кому-то будет полезно, потому как немного в теме последних трендов банковского законодательства, но оно лишь отражает суть: за нашими данными, любыми, охотятся все кому не лень и в России уже существует законопроект, принятый в первом чтении, (или вот Расширен состав сведений, размещаемых в единой биометрической системе) одни из многих, который будет позволять торговать нашими данными ЛЕ-ГАЛЬ-НО. Просто сейчас, пока все уперлось в детали — «обезличивание», «оператор», «хранение», итп. и процесс немного забуксовал. То есть ОПСОСы, банки, интернет-магазины (эти особенно ратовали), соц.сети, клиентские карты супермаркетов, разные «анкеты» у докторов, итд, итп, т.е. все собирают данные, чтобы их продать. Да за ту же биометрию банкам будет капать бабло (

( Читать дальше )

Всем привет.
В начале года писал статью про ВТБ. Банк втихаря отменил двухфакторную идентификацию в приложении на телефоне, оставив один фактор, т.е. вход лишь по коду из смс. Функция «запрета изменения пароля без посещения банка», которая осталась висеть, по наследству, в новом личном кабинете ВТБ не используется когда заходишь не через сайт, а через банковское приложение.
Вот тот пост: smart-lab.ru/blog/676495.php
     Но не суть.
После просмотра десятков постов на банки.ру пришел к выводу, что единственным способом защитить себя — установить пин на сим карту и перевыпустить ее у виртуального оператора, аффилированного с банком (ТинькоффМобайл, СберМобайл, да их же ВТБ мобайл), а не в салоне большой четверки (МТС, БИЛАЙН, МЕГАФОН, ТЕЛЕ2).
Смысл в том, что, по идее, в банке мошеннику трудней перевыпустить сим карту по доверенности или левому паспорту, чем в ларьке обычного оператора.

Проношу прощения, я сильно заблуждался.
И именно

( Читать дальше )

Привет! 💋

Qualys — ведущий поставщик облачной платформы, предоставляющей решения в области информационных технологий It- безопасности. Компания  обладает одной из крупнейших в отрасли баз знаний о сигнатурах уязвимостей. Все обновления безопасности производятся в режиме реального времени. Qualys уже установила стратегические партнерские отношения с ведущими поставщиками облачных услуг, такими как Amazon Web Services, Microsoft Azure и Google Cloud Platform. Более чем 19 000 активных клиентов в более чем 130 странах. 

Набор решений в области ИТ, безопасности позволяет клиентам: 1) определять и управлять своими ИТ-активами в локальной среде, на конечных точках, в облаке и мобильных средах; 2) собирать и анализировать большие объемы данных по ИТ-безопасности; 3) обнаруживать уязвимости и определять их приоритетность; 4) рекомендовать и реализовывать меры по исправлению положения.


Облачная платформа компании #QLYS предоставляет клиентам уникальные преимущества:

( Читать дальше )

Сама по себе экосистема проектов DeFi выглядит интересно, однако их взрывная популярность показала, что их участники могут потерять деньги. Инвесторам нужно оценивать риски, которые возникают в случае вложения в автоматизированные блокчейн-системы.

В продолжение нашего предыдущего поста, у DeFi существуют несколько потенциальных точек риска.

3. Зависимость от сторонних алгоритмов

Инвесторам стоит с осторожностью относиться к DeFi проектам, которые позволяют заводить капитал в одной криптовалюте, а выводить в других коинах на выбор. Само наличие такой возможности указывает на существование алгоритма, который определяет, сколько инвестору можно вывести иных криптоактивов. Уязвимостями именно в таких алгоритмах чаще всего пользуются злоумышленники при взломах. 

Например, атака на Pickle Finance была сложной и запутанной. Хакер задействовал сложную цепочку действий, создавая поддельные инструменты и хранилища. В результате Pickle Finance, использующий дополнительные сервисы, был взломан. Показательно, что возможности таких сложных атак невозможно определить в ходе аудита безопасности. 

( Читать дальше )

Платформы DeFi, в том числе известные и уже зарекомендовавшие себя,  по-прежнему подвержены взломам и атакам, даже несмотря на пройденные аудиты безопасности. О том, почему это происходит, и как можно защитить свои активы в новых проектах, рассказывает технический директор CEX.IO Дмитрий Волков.

В конце апреля стало известно, что EasyFi потерял $6 млн в результате атаки хакеров, а в феврале 2021 Yearn.Finance был нанесен ущерб в $11 миллионов. Однако эти события — не единственные примеры компрометации проектов DeFi, в результате которых люди теряли деньги. Общий объем урона от подобных атак можно оценить лишь примерно, но за 2020 год он точно превышает 1,5 миллиарда долларов США, а количество громких взломов исчисляется десятками.

DeFi — это относительно новый и весьма популярный подход к организации блокчейн-проектов, получивший активное развитие буквально за последние пару лет. Отличительная особенность DeFi — это полная автоматизация и открытый исходный код.  Инвесторов, готовых вкладывать деньги в DeFi,  привлекает отсутствие человеческого фактора: они уверены, что никто из основателей проекта не сможет украсть деньги по злому умыслу, потому что управление организовано по строго определенному алгоритму. Однако эта прозрачность часто создает лишь ощущение надежности, которое может оказаться ложным. 

( Читать дальше )

Друзья и коллеги часто задают мне вопросы о безопасности хранения средств на брокерских счетах. А я даже не знаю, что ответить, потому что сам плохо разбираюсь в этом. Позвал в гости профессионала. Представляю вам Ярослава Бабина, руководителя отдела анализа защищенности веб-приложений компании Positive Technologies.

Ярослав Бабин, Руководитель отдела анализа защищенности веб-приложений Positive Technologies.

Чем занимается ваша организация?

Мы работаем в сфере кибербезопасности, создаем инновационные продукты, сервисы и решения, которые помогают компаниям и предприятиям, в частности, финансового сектора, выявлять и нейтрализовать реальные бизнес-риски, которые могут возникать в их IT-инфраструктуре.

( Читать дальше )

Советую к просмотру.

Как-то очень в «тему» лег выпущенный доклад ЦБ РФ «ОСНОВНЫЕ ТИПЫ КОМПЬЮТЕРНЫХ АТАК В КРЕДИТНО-ФИНАНСОВОЙ СФЕРЕ В 2019–2020 ГОДАХ» — решил консолидировать тезисно то, что мне показалось важным. Рекомендую для прочтения сам доклад.

• Спрос на конфиденциальные данные клиентов, используемые для преодоления порога недоверия клиентов банков, привел к резкому увеличению рынка незаконно полученных баз данных финансовых организаций и услуг по «пробиву» счетов клиентов. Весь рассматриваемый период был отмечен резонансными утечками как из финансовых, так и из других организаций, не относящихся к числу поднадзорных Банку России.
• Другой важной тенденцией  года стало продолжение многолетнего снижения количества наиболее опасных целевых атак на информационную инфраструктуру финансовых организаций, вплоть до их почти полного прекращения. Массовые рассылки вредоносных программ типа Cobalt Strike и Silence, привлекавших особое внимание индустрии информационной безопасности в прошлые годы, по спискам адресов сотрудников почти прекратились. Редкие результативные взломы привели к весьма незначительному по сравнению с прошлыми годами ущербу.
• Также почти полностью прекратились атаки на устройства банковского самообслуживания. При этом имеющиеся в распоряжении Банка России данные позволяют сделать предположение о появлении как минимум одной группы атакующих, сосредоточившихся на квалифицированном взломе финансовых мобильных приложений.
• Несмотря на эффектный, публично освещаемый уход из этого бизнеса операторов ряда хорошо известных программ, их общее количество по всему миру не уменьшилось. Однако именно от финансовых организаций стало поступать существенно меньше сообщений о выявлении шифровальщиков.

( Читать дальше )

На наших телефонах сейчас огромное количество ценной, закрытой информации, в том числе финансовой.

Рассмотрим прецедент. Телефон потерян или украден.

Надеюсь пароль на телефоне установлен? Не установивших единицы и они настоящие камикадзе.

Далее не менее ценная часть — SIM-карты. Из телефона их можно достать и вставить в другой. На SIM-карту приходят коды подтверждения. Если одновременно потеряны банковские карты – то дело совсем плохо (хотя иногда банки возбуждаются при смене телефона). Ну и поскольку сейчас очень много информации о клиентах банков, брокеров, мобильных провайдеров слито, при получении злоумышленником SIM-карты, шанс потерять деньги велик.

Помните ли вы PIN-коды своих SIM-карт? Если да, то отлично.
При перезагрузке на вашем телефоне появляется запрос
Введите PIN-код. Осталось 3 попытки.

Если нет:

Новая симка имеет PIN-код по умолчанию типа 0000 или 1234. И находится в режиме – не спрашивать PIN-код при включении телефона.

( Читать дальше )

Банки попросили доступ к базам МВД с данными о водительских правах, чтобы оказывать финансовые услуги по этому документу. Такое предложение содержится в заключении Национального совета финансового рынка (есть у «Известий») на законопроект о расширении упрощенной идентификации граждан. Его уже поддержали в ЦБ и крупнейших кредитных организациях. Их представители считают, что обмен валюты и оформление микрозаймов по водительскому удостоверению упростит жизнь клиентам и расширит возможности по оказанию банковских услуг. Вместе с тем степень защиты прав, как документа, слабее, чем у паспорта, отмечают эксперты.

Законопроект о расширении перечня документов для упрощенной идентификации банковских клиентов за счет водительских прав внесен в Госдуму в феврале 2021 года. Для проверки подлинности водительского удостоверения предлагается дать организациям, которые имеют право проводить упрощенную идентификацию, безвозмездный доступ к информационным системам МВД, где содержатся данные об этих документах. Об этом говорится в заключении Национального совета финансового рынка (НСФР) на соответствующую законодательную инициативу (есть у «Известий»).

( Читать дальше )