Банк-клиент ВТБ: спасайсь, кто может, Закономерный результат использования небезопасного софта |
|
Здравствуйте, гость ( Вход | Регистрация )
Банк-клиент ВТБ: спасайсь, кто может, Закономерный результат использования небезопасного софта |
19.6.2011, 15:50
Сообщение
#1
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Уж сколько раз твердили миру: банк-клиентская система только под Windows и IE -- это потенциальная дыра в машину и показатель наплевательского отношения отделов ИТ и безопасности банка к клиентам. В ответ слышалось: "что за враньё, фантастика, виндовс -- самая безопасная система, IE -- самый безопасный браузер" и т.д.
Увы, не враньё. Коммерческие банки через это уже прошли, настала очередь госбанков. Я сам не являюсь клиентом банка ВТБ, однако иногда приходится разгребать завалы на машинах, на которых стоит ВТБшный банк-клиент. Это в своём роде гениальная по идиотизму конструкция: локальный прокси с криптозащитой, который берёт на себя обмен с сервером банка, подсовывая ослу уже расшифрованную информацию от имени локалхоста. Ни с какими нормальными обозревателями он работать не умеет, фильтровать вредоносный трафик возможных расширений осла тоже не умеет. С ключами на флэшках работает на уровне 1990-х, требуя, чтобы ключевая флэшка устанаввливалась в систему всегда с одной и той же буквой. Утилита резервного копирования ключей не работает и т.п. -- в общем, полный набор совыковых удовольствий. Короче говоря, проверяю работу одной из таких машин после вылова флэшечного вируса, захожу на сайт ВТБ и вижу следующий текст (это копипаста): Цитата Внимание, важно! Короче: уважаемые господа клиенты, деньги у нас в банке тырят только в лёт, мы ничего поделать не можем, разбирайтесь со своей виндой сами, а клиенты для нормальных ОС нам религия писать не позволяет (поскольку сертифицированных криптопакетов от КриптоПро сейчас разве что для хурда нет, да и то пока). Пересадить на не подверженного взлому явского клиента из только что купленного Банка Москвы не позволяет ну уж не знаю что -- жаба слоновая или природная ненависть к клиентам, что ли.Уважаемые клиенты! В настоящее время в сети Интернет распространяется опасный вирус, который поражает браузер MS Internet Explorer. Вирус передает злоумышленникам секретную информацию (логины, пароли, ключи ЭЦП и др.), необходимую для доступа в системы ДБО и позволяет им получить удаленное управление компьютерами пользователей через сеть Интернет. Получив доступ в систему ДБО, мошенники осуществляют попытки списания средств со счетов в пользу подставных организаций, при этом тщательно скрывают следы своей деятельности, искажая информацию на страницах браузера. Пользователь может не увидеть подложного документа. Чтобы не оказаться в такой ситуации, Банк рекомендует выполнить следующее: Обновить конфигурационный файл программы Inter-PRO с официального ресурса СЗРЦ http://www.szrc.vtb.ru, загрузив его по ссылке в разделе «Корпоративный бизнес ⇒ Система "Клиент-ТелеБанк" ⇒ Программное обеспечение» или со стартовой страницы системы Проверить надстройки в MS Internet Explorer. Удалить неиспользуемые и неподписанные (издатель не известен). Особое внимание обратить на модули в группах «загруженные»; Убедиться в наличии на компьютере установленного антивирусного программного обеспечения с регулярным обновлением и он-лайн защитой; Не оставлять включенным в компьютер устройства хранения ключей ЭЦП, если вы не работаете с системой (если нет активной сессии); При работе в сети Интернет игнорировать любые попытки установки программного обеспечения (надстройки, активные сценарии, модули и т.п.), если они инициированы не Вами; По возможности ограничить доступ с компьютера, который используется для работы с системой ДБО на другие ресурсы Интернета (в идеале аппаратно); Поднять уровень безопасности MS Internet Explorer до «выше среднего». Запретить установку и запуск неподписанных элементов ActiveX; При обнаружении любых аномалий в работе системы: искажение информации на страницах, затруднение входа в систему, получение информации от антивирусных систем о сторонних вмешательствах, появление незнакомых сообщений и прочих отклонений от штатной работы компьютера и системы ДБО, незамедлительно поставьте в известность сотрудников банка, собственные службы информационной безопасности и всех владельцев ключей ЭЦП в организации. Напоминаем, что Вы можете совершенно бесплатно подключить SMS-аутентификацию в отделениях банка. Данный сервис существенно повышает безопасность работы в системе. Любые вопросы по выполнению указанных рекомендаций вы можете адресовать специалистам службы технической поддержки банка по телефонам (812) 324-2034, 8-800-700-2034 Надеемся на понимание и участие. С уважением, Служба технической поддержки. -------------------------------------------------------------------------------- В целях обеспечения безопасности при работе с системой дистанционного банковского обслуживания "Клиент-Телебанк", просим Вас внимательно ознакомиться со следующей информацией: Сотрудниками Банка не осуществляются телефонные звонки в адрес Клиентов с указаниями о необходимости обновления Системы, а также по вопросам изменения режимов работы. Любая информация о необходимости выполнения каких-либо обновлений Системы на стороне Клиента или проводимых Банком работах размещается централизованно на страницах Системы в разделе информационных сообщений. В случае если Вам поступит звонок, с указаниями выполнить какие-либо действия, связанные с работой Системы, его следует проигнорировать и по возможности незамедлительно проинформировать о данном факте Банк. По всем возникающим вопросам, связанным с работой Системы, необходимо обращаться только по телефонам службы поддержки пользователей Системы, указанным в Договоре и на информационных ресурсах Банка. Дополнительные меры защиты: Учитывая информацию о попытках неправомерного получения персональных данных (логинов, паролей и секретных ключей электронно-цифровой подписи (ЭЦП)) пользователей систем дистанционного банковского обслуживания путем заражения компьютера вредоносными программами, СЗРЦ ОАО Банк ВТБ рекомендует пользователям системы дистанционного банковского обслуживания "Клиент-Телебанк", в целях снижения рисков несанкционированного доступа к системе, заключить дополнительное соглашение к Договору о порядке обмена и приема к исполнению банком электронных документов с использованием Системы "Клиент-Банк" на предоставление одной из двух (на выбор) услуг по дополнительной защите: аутентификация пользователей в системе "Клиент-Банк" с помощью одноразовых кодов доступа, передаваемых через SMS-сообщения. В случае подключения данной услуги после прохождения стандартной процедуры регистрации в системе "Клиент-Телебанк" (ввод имени пользователя и пароля) на мобильный телефон пользователя передается SMS-сообщение с разовым кодом доступа, необходимым для работы в системе. Данная услуга предоставляется в рамках текущего сопровождения системы без взимания дополнительной платы; USB-ключ MS-Key с функцией невозможности изъятия из него записанной ключевой информации. Данная услуга оплачивается отдельно в соответствии с действующими тарифами банка. Обращаем Ваше внимание, что согласно условиям Договора о порядке обмена и приема к исполнению банком электронных документов с использованием системы ДБО "Клиент-Банк" ответственность за сохранность ключа ЭЦП и отсутствие доступа к нему третьих лиц возложена на владельца ключа. Дополнительные меры защиты и рекомендации клиентам о необходимости соблюдения мер безопасности при использовании системы доступны на официальном ресурсе СЗРЦ http://www.szrc.vtb.ru в разделе «Корпоративный бизнес ⇒ Система "Клиент-ТелеБанк" ⇒ Средства защиты, используемые в системе» Вот такая реклама банка, господа. Делайте выводы. |
|
|
Текстовая версия | Сейчас: 22.9.2024, 15:40 |