Це не "взлом клієнт-банка", це взлом конкретного комп'ютера в конкретній організації. Винний в першу чергу її сисадмін. З другого боку, організації, що тримають на своїх рахунках мільйони треба довбати свій банк, на отримання апаратних засобів захисту.
Бу-га-га!!! Там даже в каментах понято кто хоть раз сталкивался с системой КБ и хоть отдаленно представляет как это работает
Я сталкивался, я представляю. Ничего нереально не увидел. А каменты - да, куда ж без экспердов фб. Но тут дело добровольное: кому информация полезная - возьмет на заметку и даст инструкции казначейству и ит, а кому попистеть - для этого есть более перспективные темы кмк..
В ответ на: Aleksandr Sokolenko Не верю. А флешку с ключами они тоже выкрали? А смс подтверждение операции. Что и телефон выкрали тоже? Чес это все.
Как то так. Слабоватенький ПЕАР МВД.
Как же кумарят эти горе-эксперды. Ну какое млять смс-подтверждение - это ж не иб физ.лица. Или есть компании, бухам которых каждую платежку нужно по телефону подтвердить
З.Ы. РАботаю с КБ 2х юриков. Прекрасно подтверждаются куча платёжек СМСками. Тело просто с андроидом иметь надо, открываешь диалог и вводишь все пришедшие.
В ответ на: Aleksandr Sokolenko Не верю. А флешку с ключами они тоже выкрали? А смс подтверждение операции. Что и телефон выкрали тоже? Чес это все.
Как то так. Слабоватенький ПЕАР МВД.
Как же кумарят эти горе-эксперды. Ну какое млять смс-подтверждение - это ж не иб физ.лица. Или есть компании, бухам которых каждую платежку нужно по телефону подтвердить
есть такое аж бегом зачем далеко ходить - в привате том же, и пользуются юрлица в том числе, где директор любит все платежи контролировать лично на уровне отправления
Chmln 22.07.2016 12:12 пишет: есть такое аж бегом зачем далеко ходить - в привате том же, и пользуются юрлица в том числе, где директор любит все платежи контролировать лично на уровне отправления
От размеров компашки зависит, наверное. Представь 2 десятка КБ и многие сотни платежей, какие там смс-ки...
Apec 22.07.2016 12:05 пишет: ну СМС - ладно. А флешка?
Не знаю, возможно токена вообще не было, возможно его украли/скопировали, возможно бух в сговоре был.. это уже детали. Я просто выложил информацию к размышлению/действию для всех, кому это может быть полезно.
Apec 22.07.2016 12:07 пишет: З.Ы. РАботаю с КБ 2х юриков. Прекрасно подтверждаются куча платёжек СМСками. Тело просто с андроидом иметь надо, открываешь диалог и вводишь все пришедшие.
Для ЧП наверное это работает, а для большого бизнеса - это жесть. Если юр.лиц 50 штук и пару сотен платежей в день
есть такое аж бегом зачем далеко ходить - в привате том же, и пользуются юрлица в том числе, где директор любит все платежи контролировать лично на уровне отправления
но история в целом такая себе )))
Системные компании с автоматизированным казначейством работают немного по-другому
Chmln 22.07.2016 12:12 пишет: есть такое аж бегом зачем далеко ходить - в привате том же, и пользуются юрлица в том числе, где директор любит все платежи контролировать лично на уровне отправления
От размеров компашки зависит, наверное. Представь 2 десятка КБ и многие сотни платежей, какие там смс-ки...
так это понятно но в таких компаниях директора (которым смски и приходят в привате, к примеру) такой фигней не маются
но в таких компаниях директора (которым смски и приходят в привате, к примеру) такой фигней не маются
Тогда кто кому рабинович? Надо правильно распределять функции в компании и делегировать полномочия по распоряжению счетом.
А можно конкретнее - "правильно" это как? А то некоторые компании с миллиардными оборотами годами не могут внедрить нормальное казначейство, чтобы минимизировать операционную бюрократию но при этом закрыть большинство рисков, не особо раздувая штат. А тут оказывается нужно всего лишь "правильно распределить и делегировать"
vasikk 22.07.2016 13:38 пишет: А то некоторые компании с миллиардными оборотами годами не могут внедрить нормальное казначейство, чтобы минимизировать операционную бюрократию но при этом закрыть большинство рисков, не особо раздувая штат
Может, какую ссылку умную дашь, почитать? Реально интересно (не моё направление, но там полный п....ц)
vasikk 22.07.2016 11:53 пишет: Или есть компании, бухам которых каждую платежку нужно по телефону подтвердить
Шаришь Есть. Приват и Укрсиб телефоном подтверждают. В Укрсибе как вариант - usb-ключ
Такое было с 2011-2012 году. Тогда из всей авторизации был ключ, сгенеренный в банке и пароль к нему и банки не мониторили нестандартные операции клиента.
vasikk 22.07.2016 11:53 пишет: Или есть компании, бухам которых каждую платежку нужно по телефону подтвердить
Шаришь Есть. Приват и Укрсиб телефоном подтверждают. В Укрсибе как вариант - usb-ключ
я больше скажу, у нас к примеру, после одного инцидента несколько лет назад, по компаниям с крупными оборотами все, кроме зарплат бумажными платежками возится в банк )))))
Может, какую ссылку умную дашь, почитать? Реально интересно (не моё направление, но там полный п....ц)
Не знаю таких - каждый набивают шишки самостоятельно ) Можно попробовать на какой-то тематический семинар сходить или у установщиков (типа Инталев) обратится - пару вариантов они подкинут. У меня за плечами почти 10-летний опыт управления казначейством в нескольких крупных компаниях - гемор тот еще, как настроить процесс, чтобы и собственники/топы спали спокойно и бизнес не страдал от бюрократии. Баланс каждая компания ищет самостоятельно )
я больше скажу, у нас к примеру, после одного инцидента несколько лет назад, по компаниям с крупными оборотами все, кроме зарплат бумажными платежками возится в банк )))))
я больше скажу, у нас к примеру, после одного инцидента несколько лет назад, по компаниям с крупными оборотами все, кроме зарплат бумажными платежками возится в банк )))))
И бух на деревянных счетах балансы подбивает?
не, до этого не дошло, но периодически угрожаю им подарить счеты )))) вместе с финдиром ))))
Может, какую ссылку умную дашь, почитать? Реально интересно (не моё направление, но там полный п....ц)
Не знаю таких - каждый набивают шишки самостоятельно ) Можно попробовать на какой-то тематический семинар сходить или у установщиков (типа Инталев) обратится - пару вариантов они подкинут. У меня за плечами почти 10-летний опыт управления казначейством в нескольких крупных компаниях - гемор тот еще, как настроить процесс, чтобы и собственники/топы спали спокойно и бизнес не страдал от бюрократии. Баланс каждая компания ищет самостоятельно )
а какие задачи/функции у казначейства в частной компании? всегда не мог понять, кто такие казначеи, в банках часто проскакивало - казначей, казначей )))
Вместе с "советами" сразу пишите опыт работы в казначействе, годовой оборот компании и количество обслуживаемых юр.лиц )
А опыт работы по другую сторону (т.е. в банке и конкретно на теме расчетного обслуживания корпоративных клиентов, а еще точнее на теме клиент-банка) считается? Тогда где-то тысяч 10 суммарно будет. Хотя если убрать "двойники" в разных банках, то все равно тысячи 3-4 останется.
Daugava 22.07.2016 11:31 пишет: Це не "взлом клієнт-банка", це взлом конкретного комп'ютера в конкретній організації. Винний в першу чергу її сисадмін.
+многа. Если и взломали, то комп бухгалтера, и ключи сперли, а не "взломали клиент-банк".
ЗЫ. Интересно, когда же начнут наконец security token использовать, из которого приватный ключ для подписи фиг достанешь? А не складывать файлы на флэшку, откуда их скопировать не сложнее, чем с винта.
vasikk 22.07.2016 11:53 пишет: Или есть компании, бухам которых каждую платежку нужно по телефону подтвердить
Шаришь Есть. Приват и Укрсиб телефоном подтверждают. В Укрсибе как вариант - usb-ключ
Такое было с 2011-2012 году. Тогда из всей авторизации был ключ, сгенеренный в банке и пароль к нему и банки не мониторили нестандартные операции клиента.
Таки немного в казначействе шарю, с 2007 в нем барахтаюсь ) Вы говорите поверхностные очевидные для меня вещи, но поверьте для больших компаний проблема стоит намного серьезнее, чем вам кажется. Контроль любого (в т.ч. платежного) процесса можно забюрократизировать до абсурда (вон, некоторые бумажные платежки с подписями собственников в банки до сих поря возят - хотя и не подозревают, что это наверное самый опасный с точки зрения рисков вариант ) - вопрос в том, не пострадает ли от этого эффективность бизнеса. Казначейство не должно тормозить операционные процессы, а наоборот - ускорять и делать их прозрачными и контролируемыми.
я больше скажу, у нас к примеру, после одного инцидента несколько лет назад, по компаниям с крупными оборотами все, кроме зарплат бумажными платежками возится в банк )))))
И бух на деревянных счетах балансы подбивает?
не, до этого не дошло, но периодически угрожаю им подарить счеты )))) вместе с финдиром ))))
vasikk 22.07.2016 15:04 пишет: (вон, некоторые бумажные платежки с подписями собственников в банки до сих поря возят - хотя и не подозревают, что это наверное самый опасный с точки зрения рисков вариант )
а какие задачи/функции у казначейства в частной компании? всегда не мог понять, кто такие казначеи, в банках часто проскакивало - казначей, казначей )))
Ой, если задаете такие вопросы - оно вам и не надо, и слава Богу
Вместе с "советами" сразу пишите опыт работы в казначействе, годовой оборот компании и количество обслуживаемых юр.лиц )
А опыт работы по другую сторону (т.е. в банке и конкретно на теме расчетного обслуживания корпоративных клиентов, а еще точнее на теме клиент-банка) считается? Тогда где-то тысяч 10 суммарно будет. Хотя если убрать "двойники" в разных банках, то все равно тысячи 3-4 останется.
Нет, не считается. Для банка это стандартный процесс, для компании - не всегда.
ЗЫ. Интересно, когда же начнут наконец security token использовать, из которого приватный ключ для подписи фиг достанешь? А не складывать файлы на флэшку, откуда их скопировать не сложнее, чем с винта.
Нормальные компании, которые обслуживаются в нормальных банках уже давно это сделали. Но даже использование токенов не убирает риск на 100%.
vasikk 22.07.2016 15:04 пишет: (вон, некоторые бумажные платежки с подписями собственников в банки до сих поря возят - хотя и не подозревают, что это наверное самый опасный с точки зрения рисков вариант )
в чем опасность?
А что проще сделать - намухлевать с бумажкой (подделать подпись дира, подсунуть ему левую платежку, подмахнуть у него чистый листик и т.д.) или ковыряться с техникой и программами?
vasikk 22.07.2016 15:04 пишет: (вон, некоторые бумажные платежки с подписями собственников в банки до сих поря возят - хотя и не подозревают, что это наверное самый опасный с точки зрения рисков вариант )
в чем опасность?
А что проще сделать - намухлевать с бумажкой (подделать подпись дира, подсунуть ему левую платежку, подмахнуть у него чистый листик и т.д.) или ковыряться с техникой и программами?
это зависит от культуры обращения с одним и с другим все тот же пресловутый "пароль на мониторе" и 12345
а подмахивание чистых листиков вообще отдельная большая история
а какие задачи/функции у казначейства в частной компании? всегда не мог понять, кто такие казначеи, в банках часто проскакивало - казначей, казначей )))
Ой, если задаете такие вопросы - оно вам и не надо, и слава Богу
это был вопрос для личного общего развития, так сказать
ЗЫ. Интересно, когда же начнут наконец security token использовать, из которого приватный ключ для подписи фиг достанешь? А не складывать файлы на флэшку, откуда их скопировать не сложнее, чем с винта.
Нормальные компании, которые обслуживаются в нормальных банках уже давно это сделали. Но даже использование токенов не убирает риск на 100%.
USB-токены - далеко не всегда выход и решение проблем. По опыту - у нас в компании были компы бухов, на которых одновременно были установлены и функционировали 8-12 разных клиент-банков. Можете представить, чтобы у них у каждого в компах торчал ворох этих токенов, а самое главное - чтобы оно всё годами работало и не глючило? А глюки рано или поздно будут, или USB-порт, или сам токен накроется. И, как обычно, это у бухов бывает - "за 15 минут до крайнего срока уплаты" очередного налога и т.п. Так что только несколько-уровневая система подтверждений платежей (казначейство, упоминаемое выше), тем более что практически все банки поддерживают наложение подтверждающей подписи ("+1" к указанным в карточке подписей организации) на платежи (для работы казначейства).
ЗЫ. Интересно, когда же начнут наконец security token использовать, из которого приватный ключ для подписи фиг достанешь? А не складывать файлы на флэшку, откуда их скопировать не сложнее, чем с винта.
Нормальные компании, которые обслуживаются в нормальных банках уже давно это сделали. Но даже использование токенов не убирает риск на 100%.
Ну если умыкнуть токен с паролем "password", то конечно.
А так, я тебе тайну открою - ни одна технология не убирает риск на 100%. Потому что стойкость к взлому любой технологии нивелируется ректальным криптоанализом. Одного или нескольких человек - это уже детали. Но, использование правильных технологий позволяет снизить риск до минимума.
ЗЫ. Больше всего в этой сказке понравилось, что мошенники зарегистрировали ТОВку на свои имена, и о том, что пользоваться своими IP-адресами не стоит, даже не догадывались. Очень правдоподобно
это был вопрос для личного общего развития, так сказать
Ну, если коротко: казначейский функционал есть смысл выделять отдельно, когда бухгалтер большую часть времени начинает проводить занимаясь платежами и вообще работая с банками или же для снижения рисков (забрать у бухгалтерии возможность проводить самостоятельно платежи). Обычная функция казначея/казначейства - платежный цикл (месячное кассовое планирование, создание и/или контроль авторизация заявок на оплату, формирование электронных платежей, выгрузка в клиент-банк); работа с кредитным/залоговым портфелем (получение, сопровождение кредитных и документарных операций); операции с валютой; управление ликвидностью; управление офшорными компаниями/операциями и т.д. Ясное дело, что для компании с годовым оборотом пару млн где собственник человек-оркестр, который никому не доверяет, смысла в этом нет, а вот для растущей системной компании с оборотами больше 100 млн - это необходимость.
А так, я тебе тайну открою - ни одна технология не убирает риск на 100%. Потому что стойкость к взлому любой технологии нивелируется ректальным криптоанализом.
А что проще сделать - намухлевать с бумажкой (подделать подпись дира, подсунуть ему левую платежку, подмахнуть у него чистый листик и т.д.) или ковыряться с техникой и программами?
это зависит от культуры обращения с одним и с другим все тот же пресловутый "пароль на мониторе" и 12345
а подмахивание чистых листиков вообще отдельная большая история
При прочих равных нагреть контору носящую бумажки в банк, намного легче чем ту, которая хоть как-то автоматизировала процесс
это был вопрос для личного общего развития, так сказать
Ну, если коротко: казначейский функционал есть смысл выделять отдельно, когда бухгалтер большую часть времени начинает проводить занимаясь платежами и вообще работая с банками или же для снижения рисков (забрать у бухгалтерии возможность проводить самостоятельно платежи). Обычная функция казначея/казначейства - платежный цикл (месячное кассовое планирование, создание и/или контроль авторизация заявок на оплату, формирование электронных платежей, выгрузка в клиент-банк); операции с валютой; управление ликвидностью; операциями и т.д. Ясное дело, что для компании с годовым оборотом пару млн где собственник человек-оркестр, который никому не доверяет, смысла в этом нет, а вот для растущей системной компании с оборотами больше 100 млн - это необходимость.
мерси за объяснение
только вот
В ответ на: работа с кредитным/залоговым портфелем (получение, сопровождение кредитных и документарных операций);управление офшорными компаниями/
При прочих равных нагреть контору носящую бумажки в банк, намного легче чем ту, которая хоть как-то автоматизировала процесс
если при прочих равных имеется в виду высокий уровень культуры обращения с техникой, особенно со стороны безопасности, у пересичного бухгалтера - то где их взять таких ))))
В ответ на: работа с кредитным/залоговым портфелем (получение, сопровождение кредитных и документарных операций);управление офшорными компаниями/
это как-то выбивается из ряда
У всех по разному. Я работал в компании, где казначейство делилось на три подразделения: платежи, кредиты, офшоры, в каждом из которых по десятку людей работало Были и такие где все это тянул один человек
Там просто подразделение управленческого учета, похоже, объединено с казначейством. Хотя сопровождение операций - это бэкофис.
Управленка и бюджетирование - это совсем другая история, к казначейству точно не имеющая (как минимум прямого) отношения. Хотя в зависимости от потребностей и желаний в любом подразделении компании можно разложить функциональный пасьянс индивидуально.
В ответ на: работа с кредитным/залоговым портфелем (получение, сопровождение кредитных и документарных операций);управление офшорными компаниями/
это как-то выбивается из ряда
У всех по разному. Я работал в компании, где казначейство делилось на три подразделения: платежи, кредиты, офшоры, в каждом из которых по десятку людей работало Были и такие где все это тянул один человек
Там где я сталкивался - ведение офшоров и операций по ним - УУ, бюджетирование план - УУ. Платежи и наличка (в т.ч. офшоры), фактический кэшфлоу - казначейство, сопровождение договоров (в т.ч. и кредитов, но без офшоров) - бэкофис.
alt402 22.07.2016 15:02 пишет: ЗЫ. Интересно, когда же начнут наконец security token использовать, из которого приватный ключ для подписи фиг достанешь? А не складывать файлы на флэшку, откуда их скопировать не сложнее, чем с винта.
Я тебя умалаю, бухгалтеры втыкивают этот токен и забывают о нем на годы, юдивляясь "А я вытящиля эту флешечку и ффсе...", а имея "флешечку" воткнутой на момент атаки - похер, то ли там ключики в папке, ло ли токен.
Колись давно, здається ще в кінці 90-х в НБУ вкрали 80 млн.грн. Після того ключі там носили на шиї, ланцюжок з шиї не знімали навіть коли вставляли ключ в комп.
В ответ на: Aleksandr Sokolenko Не верю. А флешку с ключами они тоже выкрали? А смс подтверждение операции. Что и телефон выкрали тоже? Чес это все.
Как то так. Слабоватенький ПЕАР МВД.
Как же кумарят эти горе-эксперды. Ну какое млять смс-подтверждение - это ж не иб физ.лица. Или есть компании, бухам которых каждую платежку нужно по телефону подтвердить
Это было пару лет назад. Мы тогда считали, что токены и СМС-подтверждения - это для дураков. НО так было до одного дня . Даже при наличии нормальных админов мои бухгалтера умудрились запустить троян и слить пароли к клиент-банку каким-то аферистам, которые распилили лям и раскидали его 5-ю платежами по разным счетам на разные юрлица. Все случилось в пятницу ближе к концу рабочего дня. Благодаря чуду и быстрой реакции удалось откатить платежи и вернуть то, что не удалось откатить путем переговоров с банками. Заявление в милицию написали сразу, хотя нам сказали, что вернуть по закону нереально и они ничего не могут сделать, но заявление вы напишите, как и написали других надцать потерпевших в тот же день. В итоге сами нашли и сами вернули. Заявление затерялось в дебрях кабинетов. Рад, если таки наша милиция научилась решать такие преступления. Сейчас страхеримся всеми возможными вариантами и бдим в том числе по поводу новой схемы, когда по поддельным нотариальным документам меняют директора и тот начинает исполнять
Да, большинству кажется, что такие вещи происходят где-то в другой далекой галактике )
4matic 28.07.2016 21:19 пишет: Благодаря чуду и быстрой реакции удалось откатить платежи и вернуть то, что не удалось откатить путем переговоров с банками.
А можно подробнее, какой был порядок действий? Если не секрет..
По опыту общения с пользователями кл-б все очень печально на самом деле с безопасностью, но стиль изложения - смесь лепета блондинки с потугами произвести впечатление тинейджера..
vasikk 29.07.2016 11:35 пишет: Да, большинству кажется, что такие вещи происходят где-то в другой далекой галактике )
4matic 28.07.2016 21:19 пишет: Благодаря чуду и быстрой реакции удалось откатить платежи и вернуть то, что не удалось откатить путем переговоров с банками.
А можно подробнее, какой был порядок действий? Если не секрет..
Я уже и не помню как минимум по двум причинам: потому что это было достаточно давно (я плохое стараюсь забывать ), потому что в тот момент все были в а#уе - был миллион и нет его. Помню, что в течение первого часа обратились и в милицию (на проспекте Правды) и в свой банк в службу безопасности и в банки, куда ушли деньги, а потом напрягали банки-получатели тем, что ща придут злые милиционеры и раком поставят весь банк - вы же знает, им только повод нужен. Я уже не помню, выходили ли на аферистов или нет - врать не буду. Но нам сказали, что если бы мы волну подняли в понедельник, а не в пятницу, то шансы были бы практически нулевые.
alt402 22.07.2016 15:02 пишет: ЗЫ. Интересно, когда же начнут наконец security token использовать, из которого приватный ключ для подписи фиг достанешь? А не складывать файлы на флэшку, откуда их скопировать не сложнее, чем с винта.
Я тебя умалаю, бухгалтеры втыкивают этот токен и забывают о нем на годы, юдивляясь "А я вытящиля эту флешечку и ффсе...", а имея "флешечку" воткнутой на момент атаки - похер, то ли там ключики в папке, ло ли токен.
Совсем не то же самое. Ключики из папки можно скопировать и этого никто не заметит, пока деньги не пропадут, а воспользоваться можно через некоторое время с любого компа. Токен же нужно использовать на месте и только тогда, когда он подключен. А если его спереть, то пропажа обнаружится при первом же платеже. Понятно, что и токеном можно воспользоваться удаленно, только это сильно сложнее, чем скопировать пару файлов с флешки.
alt402 22.07.2016 15:02 пишет: ЗЫ. Интересно, когда же начнут наконец security token использовать, из которого приватный ключ для подписи фиг достанешь? А не складывать файлы на флэшку, откуда их скопировать не сложнее, чем с винта.
Я тебя умалаю, бухгалтеры втыкивают этот токен и забывают о нем на годы, юдивляясь "А я вытящиля эту флешечку и ффсе...", а имея "флешечку" воткнутой на момент атаки - похер, то ли там ключики в папке, ло ли токен.
Совсем не то же самое. Ключики из папки можно скопировать и этого никто не заметит, пока деньги не пропадут, а воспользоваться можно через некоторое время с любого компа. Токен же нужно использовать на месте и только тогда, когда он подключен. А если его спереть, то пропажа обнаружится при первом же платеже. Понятно, что и токеном можно воспользоваться удаленно, только это сильно сложнее, чем скопировать пару файлов с флешки.
вот поєэому токен должен быть прибит гвоздями к дупе бухгалтера - на смарт-карте должна быть rfid-метка для допуска на предприятие, тогда бухгалтер на сможет уйти из кабинета, не забрав токен. ну и смс-подтверждение в параллель, а лучше токены с экраном для подтверждения - могу продать особо заинтересованным ))
не угадал - это ОТП-токены, т.е. по сути те же смс - для них дыра заложена в подмене сайта/приложения на липовую страницу, т.е. бух видит, что подписывает то, что нужно, а на самом деле подписывает другое. таким способом умыкнули много денег как на раше, так и у нас)), но никто ж не признается. отп самый ненадежный в плане взлома способ. вот такой токен со стандартным механизмом наложения ЭЦП с возможностью подтверждения транзакции. но дорого но убедить бизнес купить такой девайс просто нереально(( им проще прописать правила в договоре, что клиент всегда неправ в случае чего
owner_kiev 05.08.2016 22:47 пишет: не угадал - это ОТП-токены, т.е. по сути те же смс - для них дыра заложена в подмене сайта/приложения на липовую страницу, т.е. бух видит, что подписывает то, что нужно, а на самом деле подписывает другое.
Ни разу не специалист с точки зрения именно технологий, но среди токенов/смарт-карт/сертификатов и их комбинаций довелось как-то в одном москальском банке пользоваться токеном со следующим принципом работы: начиная с некой согласованной с банком суммы для того, чтобы получить пароль для подписания, нужно было не просто ввести на токене его начальный пароль, а последовательно вводить комбинацию из начального пароля токена, номера счета получателя и суммы платежа. Для облегчения жизни получателей можно было добавлять в доверенный список (по вышеуказанной процедуре) и подписывать платежи в упрощенном режиме.
owner_kiev 05.08.2016 22:47 пишет: не угадал - это ОТП-токены, т.е. по сути те же смс - для них дыра заложена в подмене сайта/приложения на липовую страницу, т.е. бух видит, что подписывает то, что нужно, а на самом деле подписывает другое.
Ни разу не специалист с точки зрения именно технологий, но среди токенов/смарт-карт/сертификатов и их комбинаций довелось как-то в одном москальском банке пользоваться токеном со следующим принципом работы: начиная с некой согласованной с банком суммы для того, чтобы получить пароль для подписания, нужно было не просто ввести на токене его начальный пароль, а последовательно вводить комбинацию из начального пароля токена, номера счета получателя и суммы платежа. Для облегчения жизни получателей можно было добавлять в доверенный список (по вышеуказанной процедуре) и подписывать платежи в упрощенном режиме.
это отп-токены, но представь себе буха с бесконечным количеством платежей?
owner_kiev 05.08.2016 22:47 пишет: не угадал - это ОТП-токены, т.е. по сути те же смс - для них дыра заложена в подмене сайта/приложения на липовую страницу, т.е. бух видит, что подписывает то, что нужно, а на самом деле подписывает другое.
Ни разу не специалист с точки зрения именно технологий, но среди токенов/смарт-карт/сертификатов и их комбинаций довелось как-то в одном москальском банке пользоваться токеном со следующим принципом работы: начиная с некой согласованной с банком суммы для того, чтобы получить пароль для подписания, нужно было не просто ввести на токене его начальный пароль, а последовательно вводить комбинацию из начального пароля токена, номера счета получателя и суммы платежа. Для облегчения жизни получателей можно было добавлять в доверенный список (по вышеуказанной процедуре) и подписывать платежи в упрощенном режиме.
это отп-токены, но представь себе буха с бесконечным количеством платежей?
Ну так в теории доверенный список получателей со своими отдельными лимитами (а основная масса контрагентов стабильна) и/или лимит по сумме для обычного подписания сильно облегчает жизнь. Но на практике бухи с такой системой все равно стабильно тормозили с платежами. Тяжело у них было с творческим подходом к использованию технологий.
Ни разу не специалист с точки зрения именно технологий, но среди токенов/смарт-карт/сертификатов и их комбинаций довелось как-то в одном москальском банке пользоваться токеном со следующим принципом работы: начиная с некой согласованной с банком суммы для того, чтобы получить пароль для подписания, нужно было не просто ввести на токене его начальный пароль, а последовательно вводить комбинацию из начального пароля токена, номера счета получателя и суммы платежа. Для облегчения жизни получателей можно было добавлять в доверенный список (по вышеуказанной процедуре) и подписывать платежи в упрощенном режиме.
это отп-токены, но представь себе буха с бесконечным количеством платежей?
Ну так в теории доверенный список получателей со своими отдельными лимитами (а основная масса контрагентов стабильна) и/или лимит по сумме для обычного подписания сильно облегчает жизнь. Но на практике бухи с такой системой все равно стабильно тормозили с платежами. Тяжело у них было с творческим подходом к использованию технологий.
история похожа на пиар. ну или крадуны были дилетантами. либо инсайдер, либо купили взломаный комп. это надо быть полным д-бом, чтобы вот так вот втупую среди рабочего дня "начали закрываться окна". ну и касательно незатейливого вывода средств - фейспалм лютый. а вот история 4matic вполне себе реальна. и среагировали грамотно. ну, как грамотно, сделали максимум по ситуации. а вообще у нас не редкость, что в конторах с вполне себе (много)миллионными оборотами бухгалтера родом из союза и с кантупером на вы, и вместо грамотной политики безопасности - эникей или "айтиотдел" на копеечной зарплате.
hoopoo 04.09.2016 18:43 пишет: история похожа на пиар. ну или крадуны были дилетантами. либо инсайдер, либо купили взломаный комп. это надо быть полным д-бом, чтобы вот так вот втупую среди рабочего дня "начали закрываться окна". ну и касательно незатейливого вывода средств - фейспалм лютый. а вот история 4matic вполне себе реальна. и среагировали грамотно. ну, как грамотно, сделали максимум по ситуации. а вообще у нас не редкость, что в конторах с вполне себе (много)миллионными оборотами бухгалтера родом из союза и с кантупером на вы, и вместо грамотной политики безопасности - эникей или "айтиотдел" на копеечной зарплате.
история одна из многих, как это не печально, просто наши банки о них втупую молчат, чтобы не светиться. по поводу одминов, то чем больше компания, тем жлобистее. вчера мне один партнер звонил: компания на западенщине, оборот просто громадный, одмин был.. один..уволился - тупо не платили денег. при том, что реально в такой компании необходимо было не просто обеспечить глобальную безопасность данных топов - там все надо было держать под контролем во всей компании. в итоге вообще без одмина