Банк-клиент ВТБ: спасайсь, кто может, Закономерный результат использования небезопасного софта Опции

Уж сколько раз твердили миру: банк-клиентская система только под Windows и IE -- это потенциальная дыра в машину и показатель наплевательского отношения отделов ИТ и безопасности банка к клиентам. В ответ слышалось: "что за враньё, фантастика, виндовс -- самая безопасная система, IE -- самый безопасный браузер" и т.д.

Увы, не враньё. Коммерческие банки через это уже прошли, настала очередь госбанков.

Я сам не являюсь клиентом банка ВТБ, однако иногда приходится разгребать завалы на машинах, на которых стоит ВТБшный банк-клиент. Это в своём роде гениальная по идиотизму конструкция: локальный прокси с криптозащитой, который берёт на себя обмен с сервером банка, подсовывая ослу уже расшифрованную информацию от имени локалхоста. Ни с какими нормальными обозревателями он работать не умеет, фильтровать вредоносный трафик возможных расширений осла тоже не умеет. С ключами на флэшках работает на уровне 1990-х, требуя, чтобы ключевая флэшка устанаввливалась в систему всегда с одной и той же буквой. Утилита резервного копирования ключей не работает и т.п. -- в общем, полный набор совыковых удовольствий.

Короче говоря, проверяю работу одной из таких машин после вылова флэшечного вируса, захожу на сайт ВТБ и вижу следующий текст (это копипаста):

Внимание, важно!


Уважаемые клиенты!



В настоящее время в сети Интернет распространяется опасный вирус, который поражает браузер MS Internet Explorer. Вирус передает злоумышленникам секретную информацию (логины, пароли, ключи ЭЦП и др.), необходимую для доступа в системы ДБО и позволяет им получить удаленное управление компьютерами пользователей через сеть Интернет. Получив доступ в систему ДБО, мошенники осуществляют попытки списания средств со счетов в пользу подставных организаций, при этом тщательно скрывают следы своей деятельности, искажая информацию на страницах браузера. Пользователь может не увидеть подложного документа.



Чтобы не оказаться в такой ситуации, Банк рекомендует выполнить следующее:



Обновить конфигурационный файл программы Inter-PRO с официального ресурса СЗРЦ http://www.szrc.vtb.ru, загрузив его по ссылке в разделе «Корпоративный бизнес ⇒ Система "Клиент-ТелеБанк" ⇒ Программное обеспечение» или со стартовой страницы системы

Проверить надстройки в MS Internet Explorer. Удалить неиспользуемые и неподписанные (издатель не известен). Особое внимание обратить на модули в группах «загруженные»;

Убедиться в наличии на компьютере установленного антивирусного программного обеспечения с регулярным обновлением и он-лайн защитой;

Не оставлять включенным в компьютер устройства хранения ключей ЭЦП, если вы не работаете с системой (если нет активной сессии);

При работе в сети Интернет игнорировать любые попытки установки программного обеспечения (надстройки, активные сценарии, модули и т.п.), если они инициированы не Вами;

По возможности ограничить доступ с компьютера, который используется для работы с системой ДБО на другие ресурсы Интернета (в идеале аппаратно);

Поднять уровень безопасности MS Internet Explorer до «выше среднего». Запретить установку и запуск неподписанных элементов ActiveX;

При обнаружении любых аномалий в работе системы: искажение информации на страницах, затруднение входа в систему, получение информации от антивирусных систем о сторонних вмешательствах, появление незнакомых сообщений и прочих отклонений от штатной работы компьютера и системы ДБО, незамедлительно поставьте в известность сотрудников банка, собственные службы информационной безопасности и всех владельцев ключей ЭЦП в организации.



Напоминаем, что Вы можете совершенно бесплатно подключить SMS-аутентификацию в отделениях банка. Данный сервис существенно повышает безопасность работы в системе.



Любые вопросы по выполнению указанных рекомендаций вы можете адресовать специалистам службы технической поддержки банка по телефонам (812) 324-2034, 8-800-700-2034





Надеемся на понимание и участие.

С уважением, Служба технической поддержки.







--------------------------------------------------------------------------------





В целях обеспечения безопасности при работе с системой дистанционного банковского обслуживания "Клиент-Телебанк", просим Вас внимательно ознакомиться со следующей информацией:



Сотрудниками Банка не осуществляются телефонные звонки в адрес Клиентов с указаниями о необходимости обновления Системы, а также по вопросам изменения режимов работы.

Любая информация о необходимости выполнения каких-либо обновлений Системы на стороне Клиента или проводимых Банком работах размещается централизованно на страницах Системы в разделе информационных сообщений.

В случае если Вам поступит звонок, с указаниями выполнить какие-либо действия, связанные с работой Системы, его следует проигнорировать и по возможности незамедлительно проинформировать о данном факте Банк.



По всем возникающим вопросам, связанным с работой Системы, необходимо обращаться только по телефонам службы поддержки пользователей Системы, указанным в Договоре и на информационных ресурсах Банка.







Дополнительные меры защиты:



Учитывая информацию о попытках неправомерного получения персональных данных (логинов, паролей и секретных ключей электронно-цифровой подписи (ЭЦП)) пользователей систем дистанционного банковского обслуживания путем заражения компьютера вредоносными программами, СЗРЦ ОАО Банк ВТБ рекомендует пользователям системы дистанционного банковского обслуживания "Клиент-Телебанк", в целях снижения рисков несанкционированного доступа к системе, заключить дополнительное соглашение к Договору о порядке обмена и приема к исполнению банком электронных документов с использованием Системы "Клиент-Банк" на предоставление одной из двух (на выбор) услуг по дополнительной защите:



аутентификация пользователей в системе "Клиент-Банк" с помощью одноразовых кодов доступа, передаваемых через SMS-сообщения. В случае подключения данной услуги после прохождения стандартной процедуры регистрации в системе "Клиент-Телебанк" (ввод имени пользователя и пароля) на мобильный телефон пользователя передается SMS-сообщение с разовым кодом доступа, необходимым для работы в системе. Данная услуга предоставляется в рамках текущего сопровождения системы без взимания дополнительной платы;

USB-ключ MS-Key с функцией невозможности изъятия из него записанной ключевой информации. Данная услуга оплачивается отдельно в соответствии с действующими тарифами банка.

Обращаем Ваше внимание, что согласно условиям Договора о порядке обмена и приема к исполнению банком электронных документов с использованием системы ДБО "Клиент-Банк" ответственность за сохранность ключа ЭЦП и отсутствие доступа к нему третьих лиц возложена на владельца ключа.



Дополнительные меры защиты и рекомендации клиентам о необходимости соблюдения мер безопасности при использовании системы доступны на официальном ресурсе СЗРЦ http://www.szrc.vtb.ru в разделе «Корпоративный бизнес ⇒ Система "Клиент-ТелеБанк" ⇒ Средства защиты, используемые в системе»

Короче: уважаемые господа клиенты, деньги у нас в банке тырят только в лёт, мы ничего поделать не можем, разбирайтесь со своей виндой сами, а клиенты для нормальных ОС нам религия писать не позволяет (поскольку сертифицированных криптопакетов от КриптоПро сейчас разве что для хурда нет, да и то пока). Пересадить на не подверженного взлому явского клиента из только что купленного Банка Москвы не позволяет ну уж не знаю что -- жаба слоновая или природная ненависть к клиентам, что ли.

Вот такая реклама банка, господа. Делайте выводы.

господа клиенты, деньги у нас в банке тырят только в лёт

Деньги тырят у клиентов тех чмошных рассеянских банчиков, руководство которых страдает непроходимой анальной жабой и экономит на копеечном устройстве, генерящем одноразовые сеансовые пароли/подписи. Ах, нуда, его же надо в ФСБ сертифицировать :lol:

Сообщение отредактировал archnae - 19.6.2011, 16:03

Деньги тырят у клиентов тех чмошных рассеянских банчиков, руководство которых страдает непроходимой анальной жабой и экономит на копеечном устройстве, генерящем одноразовые сеансовые пароли/подписи. Ах, нуда, его же надо в ФСБ сертифицировать :lol:

Неужели эта сертификация дороже Банка Москвы?! :o

И, опять же, невзламываемая банк-клиентская система Банка Москвы в руках ВТБ -- ну почему не использовать её, написав маршрутизатор для запросов на операции?!

Ей-Богу, мистика это. Умом Расею не понять и шилом общим не измерить...

ну почему не использовать её, написав маршрутизатор для запросов на операции?!

А почему в РФ все трындят и трындят о национальной платежной системе, которая через какие-то 20 лет за какие-то 4% комиссионных предоставит россиянскому обывателю то, что в Европе уже лет 50 (а в штатах - 150) доступно любому совершеннолетнему практически бесплатно - обыкновеннейший банковский текущий счет, с которого можно (фанфары!!!) совершить любую (вообще любую) легальную финансовую транзакцию?

А в РФии это доступно только юрлицам, только для транзакций с другими юрлицами и за нехилую денежку.

archnae Совок-с, сударь... Въевшийся на генетическом уровне...

И, как выясняется, очень заразный для других - не исключено, что, посмотрев на российский опыт, в цывилизованных странах обывателям крылышки тоже пооборвут мальца...

посмотрев на российский опыт, в цывилизованных странах ...

покрутят пальцем у виска и скажут "загадочная русская душа" (в переводе - "ну и идиоты же").

посмотрев на российский опыт, в цывилизованных странах ...

покрутят пальцем у виска и скажут "загадочная русская душа" (в переводе - "ну и идиоты же").

...пока кто-то из них, бапки посчитав, не скажет: "а русские-то... хммм.. мдааа...", и это будет началом очередного наступления капитала на права трудящихся...

банк-клиентская система только под Windows и IE

специально для баранов: телебанк работает в ФФ 1.0, ФФ3, в Опере.
Для баранов опять же: в ВТБ для телебанка есть своего рода защита - специальная карточка с набором кодов, которые подтверждают действие в телебанке. Таким образом если у вопящего барана украдут логин и пароль на телебанк, то воспользоваться без такой карты не получится. По умолчанию эта защита включена.

Как же надоели кретины-бараны... еще один фееричный пук в лужу, так же как с "мс и облачка, про загружают червячка"...

банк-клиентская система только под Windows и IE

специально для баранов: телебанк работает в ФФ 1.0, ФФ3, в Опере.

специально для особо гуглоэрудированных баранов: та версия, которая в корпоративном банк-клиенте ВТБ в СПб, работает только в ИЕ. В лисе её даже с хаками не завести.

Для баранов опять же: в ВТБ для телебанка есть своего рода защита - специальная карточка с набором кодов, которые подтверждают действие в телебанке. Таким образом если у вопящего барана украдут логин и пароль на телебанк, то воспользоваться без такой карты не получится. По умолчанию эта защита включена.

специально для особо гуглоэрудированных баранов: в Северо-Западном расчётном центре такой защиты по умолчанию нет. Что есть не по умолчанию -- см. выше.

Как же надоели кретины-бараны... еще один фееричный пук в лужу, так же как с "мс и облачка, про загружают червячка"...

как же надоели особо гуглоэрудированные кретины-бараны... зашли на московский сайт и подумали, что так во всей России, и пошли убеждать людей, что чёрное, которое перед ними на бумаге, это белое...

Тоша, ты сидишь в Москве -- и консультируй московских пользователей тем, что ты нашёл в Инете, пока тебе голову не расшибут наконсультированные тобою. А в Питер -- приезжай, ознакомься на месте, потом трынди на форумах.

консультируй московских пользователей тем, что ты нашёл в Инете

ты идиот и не лечишься.
[attachment=51183:attachment]

бараньезам уже не раз говорилось что нужно быть "в теме" прежде чем срывать покровы. С "мс облачка загружают червячка" ты обосрался, здесь тоже.

консультируй московских пользователей тем, что ты нашёл в Инете

ты идиот и не лечишься.
бараньезам уже не раз говорилось что нужно быть "в теме" прежде чем срывать покровы. С "мс облачка загружают червячка" ты обосрался, здесь тоже.

тоша, что ты болен, понятно уже три года. Как всегда -- оооо, зашёл, увидел не то, сбегал, посмотрел -- аааа, "они бараны"! А то, что ты не всё знаешь, тебе и в голову не приходит. Ты не в теме относительно того, как работает ВТБ с корпоративными клиентами в Питере,-- и не вкручивай мозги. А меня с кузиной (о её конторе речь) ты не пытайся убедить в том, что карточки дают, когда про них у нас пока и не слышали.

А от новости, что из-за описанных проблем она и её коллеги сваливают с телебанка на терминалку через диалапный модем, тебя у ж совсем наизнанку вывернет. А это так, увы.

Я не в теме, как ВТБ работает

точно подмечено, бараньез

Я не в теме, как ВТБ работает

точно подмечено, бараньез

ты не в теме, козлонедокопипастер

приезжай в питер, посмотри, потом трынди

она и её коллеги сваливают с телебанка на терминалку через диалапный модем

а у меня пинпад есть - тебя от этого порвет.
а еще ты сказал полную херню, но тебя от этого не порвет, иммунитет.

а у меня пинпад есть - тебя от этого порвет.

вместо того, чем обычно меряются? Да ты уникум, тоша :o

а еще ты сказал полную херню, но тебя от этого не порвет, иммунитет.

тебя уже порвало -- и пинпад показался

тош, ты реально талант

и пинпад показался

какой настырный баран попался...
[attachment=51184:attachment]

а пока ситуация такова - баран желтопрессит и аппелирует рассказками "знакомых сестры брата". Другие имея на руках нечто большее чем сплетни почему-то с ним спорят. Наверное это ошибка, не надо спроить с баранами, особенно любящими посплетничать и поблеять.

и пинпад показался

какой настырный баран попался...

ооо, тоша показал самое сокровенное -- на тонком шнуру, граждане, пожалуйста не оторвите, будет бобо

а пока ситуация такова - баран желтопрессит и аппелирует рассказками "знакомых сестры брата". Другие бараны, имея на руках нечто большее чем сплетни, почему-то с ним спорят.

Небараны, не побывав на месте, не спорили бы, даже имея на руках то, чем обычно меряются. Тем более с теми, у кого расчётный счёт и ключи.

Наверное это ошибка, не надо спроить с баранами, особенно любящими посплетничать и поблеять.

Да, ошибка, тош. Не надо блеять о траве в горах, стоя на равнине, а ты блеешь перед теми, кто сейчас в горах. Инет тебя обманул, Тош. Впрочем, привычно™.

я выше говорил что твой словесный понос не излечим?

я выше говорил что твой словесный понос не излечим?

тош, вылечись сам. Сначала от центропупства, потом от блудословия. Когда вылечишься -- обсуждай других.

ладно, продолжай изливаться и вешать лапшу окружающим