Безопасное использование ДБО (читает 1)

[v01k9r]

Предлагаю в данной теме обсудить способы обеспечения безопасности при использовании ДБО.
Например, я для ДБО использую отдельную сим-карту, установленную в простой кнопочный телефон (хотя и там бывают закладки), а сами банковские и брокерские приложения установлены на основном смартфоне (возможно, правильнее для этого использовать отдельный смартфон). Раньше для входа в интернет банк загружался со специальной live-USB с linux (но последнее время забил и захожу с основной винды). Интересно было бы узнать про практический опыт других пользователей.

Ссылки по теме:
Альтернативные решения для дистанционного банкинга - OS Haiku
Windows без антивируса. Очень длиннопост!
Документальный фильм Уязвимость нулевых дней (2016)

 

[dekab1]

1. Отдельный ноут для входа в ИБ и бр счета (квик).
2. Безопасного ДБО в банках давно нет, учитывая что восстановить как логин, так и пароль можно просто по номеру сим карты, перевыпустить которую не составит труда.

3. Банки с крупными вкладами, либо вклады просто перевожу на обслуживание только в офис (Сбер, РСХБ, Газпром) либо просто блокирую ДБО по заявлению (ВТБ, Альфа), если возможности оффлайна нет.

4. Открывая вклады через ИБ, подписывая договор посредством ПЭП, клиент заранее должен быть готов, что при проблемах суд признает данный договор юридически не значимым, в т.ч по ходатайству юриста банка.
Оригинал договора хранится на сервере банка, на руках у клиента копия, которая заверена не должным образом и юр силы не имеет. По сути в суде придется для начала доказать договорные отношения, а уж потом требовать чего то в рамках договора.
Вспоминаем массово сгоревшие и утопленные сервера банков с отозванными лицензиями в 15-16 годах.

5. Все меры описанные вами хороши, но защита всегда отстаёт от взлома. Проще вообще не парится, чем вступать в эту гонку вооружений.
Мне с полгода назад основной телефон заблокировали спам звонками. Пришлось сливать основную симку. За месяц поступило более 1000 звонков с разных номеров. Против лома нет приема.

 

[Jack_the_singer]

восстановить как логин, так и пароль можно просто по номеру сим карты, перевыпустить которую не составит труда.

Ну... это кагбе не совсем так. Для перевыпуска симкарты надо явиться в офис опсоса с паспортом, и соответствовать фотке и т.д.. Не так уж и элементарно, и риск сразу загреметь по уголовке, ещё ничего не украв. Потом... насчет восстановления... ну на примере ГПБ, хотя бы. Способа ровно три, как я понимаю. 1)Знать пароль. Злодей его не знает. И еще и принять смс на свой номер. 2)Ввести данные банк.карты, включая cvv. Злодей их не знает. И снова смс на свой номер. 3)В офисе банка опять же с паспортом.
Ну и в других нормальных банках как-то так же. А те, где можно войти по одному смс... ну это хреново. При том, что всё же и это обойти злодею непросто, потому и названивают они лопухам, выманивая смс-коды.

Проще вообще не парится, чем вступать в эту гонку вооружений.

Золотые слова. Ну, не то, чтобы совсем вообще...
Насчет комп vs смарт - читал мнение (не на заборе), что безопасность современного смартфона выше безопасности компа. Разумеется, с обновлениями и без собственных ошибок.

 

[dekab1]

1. Куча судебной практики, когда симка перевыпускалась либо по доверенности либо по договоренности. Не давно громкая история была, когда у клиента банка, пока он отдыхал в СИЗО, вывели через ДБО бабло с счета.

2. Кому очень надо, все узнают- слитые базы, сотрудники готовые продать вам что угодно, за долю малую и тд.

3. Меня прикалывают ситуации, когда гопники отжимают у терпилы мобилу. При этом не трогают банковские счета. Сейчас практически у каждого человека в телефоне миллионы рублей (в т.ч кредитные), заходи и бери. Носить с собой в кармане миллионы рублей, это высокие риски.

4. Я ноут только для квика в основном использую. С бр счета украсть деньги труднее, чем с банковского - продать бумаги, вывести на банковский счет. Это время.

 

[Jack_the_singer]

Кому очень надо, все узнают

Что узнают? Мой пароль? Он зашифрован, его и админ банка не узнает. Данные карт с кодами? Хренушки это кто узнает так просто. Иначе бы повсеместно воровали бы деньги со счетов без всяких перевыпусков симок.
Насчет перевыпуска симки - если в страшном сне такое и представить, у клиента отрубится телефон. Две симки одновременно работать не могут на сегодняшний день в двух аппаратах. Как раз из соображений безопасности.

Сейчас у практически у каждого человека в телефоне миллионы рублей, заходи и бери

Все банк. приложения защищены коротким паролем или иными мерами. А банки, где доступ можно восстановить по смс... это хреново, но, к счастью, их мало.
А вот держать пластиковые карты в футляре от мобилы, чтобы уж потерять всё сразу и дать злодеям карты в руки - это не айс.

Мне с полгода назад основной телефон заблокировали спам звонками. Пришлось сливать основную симку. За месяц поступило более 1000 звонков с разных номеров. Против лома нет приема.

На самом деле, 30-40 звонков в день можно было попробовать решить антиспамом. Он есть и штатный в андроиде, и в яндексе, и от Касперского. Скорее всего при норм. настройках эти звонки человек бы даже не замечал. По аналогии с почтовым антиспамом.

 

[v01k9r]

1. Куча судебной практики, когда симка перевыпускалась либо по доверенности либо по договоренности. Не давно громкая история же было, когда у клиента банка, пока он отдыхал в СИЗО, вывели через ДБО бабло с счета.

2. Кому очень надо, все узнают- слитые базы, сотрудники готовые продать вам что угодно за долю малую и тд.

Это да, "против лома нет приёма".

3. Меня прикалывают ситуации, когда гопники отжимают у терпилы мобилу. При этом не трогают банковские счета. Сейчас практически у каждого человека в телефоне миллионы рублей (в т.ч кредитные), заходи и бери. Носить с собой в кармане миллионы рублей, это высокие риски.

Забавно, что даже если у вас нет накоплений, то некоторые банки позволяют легко взять кредит через приложение

 

[v01k9r]

Сейчас в каких-нибудь банках еще остались карты с одноразовыми кодами (чтоб не использовать смс)?

 

[Jack_the_singer]

некоторые банки позволяют легко взять кредит через приложение

Только в него ещё надо для этого злодею войти, а без короткого кода в нормальных банках это нереально, и восстановить доступ не смогут.

 

[v01k9r]

Только в него ещё надо для этого злодею войти, а без короткого кода в нормальных банках это нереально.

Да, если мобилу просто "отожмет" гопник. Это вариант скорее для мошенников, которые методами социальной инженерии могут убедить доверчивого пользователя установить программу для удаленного доступа/администрирования, чтоб слить коды, логины/пароли.

Я недавно задумался, что неплохо было-бы иметь возможность дистанционно(через интернет) удались все данные с телефона на случай потери. С другой стороны, такой функционал тоже является потенциальной проблемой

 

[Jack_the_singer]

неплохо было-бы иметь возможность дистанционно(через интернет) удались все данные с телефона на случай потери

Есть что-то такое, у Касперского. Из личного кабинета. Ну, по-крайней мере дистанционно заблокировать и сирену включить на телефоне, по-моему.

 

[UnembossedName]

Пренебрегаю всеми мерами безопасности,
Кроме одной

Все банковские приложения с заметными суммами/оборотами в скрытых, штуки три на случай гопстопа не скрыты.

Ну и в целом инфогигиена, никаких рутований/джейлбрейков/установок из неизвестных источников/своевременное обновление.

И так много времени уходит на менеджмент денег, если еще уделять внимание безопасности на уровне задрот+, то на работу времени не останется, ну а главное пользоваться будет менее удобно.

Но иногда задумываешься об этом, стремно становится.
Но как представлю недистанционные сервисы с налом или кнопочный телефон, на который будут звонить банки в случае чего, а значит надо его носить с собой постоянно. Не, увольте.

 

[UnembossedName]

Да, если мобилу просто "отожмет" гопник. Это вариант скорее для мошенников, которые методами социальной инженерии могут убедить доверчивого пользователя установить программу для удаленного доступа/администрирования, чтоб слить коды, логины/пароли.

Я недавно задумался, что неплохо было-бы иметь возможность дистанционно(через интернет) удались все данные с телефона на случай потери. С другой стороны, такой функционал тоже является потенциальной проблемой

Андроид из коробки имеет такой функционал, однажды при утере телефона лет 5 назад пришлось им воспользоваться.

https://www.google.com/android/find/

 

[Jack_the_singer]

никаких рутований/

Вот плюс стопятьсот, как говорится.

 

[filin]

Сейчас в каких-нибудь банках еще остались карты с одноразовыми кодами (чтоб не использовать смс)?

Авангард, МКБ, ПСБ

Я недавно задумался, что неплохо было-бы иметь возможность дистанционно(через интернет) удались все данные с телефона на случай потери.

Только не телефона, а смартфона с настроенной на нем учетной записью аккаунта. BlackBerry это был штатный функционал из коробки (покойся с миром). Разве сейчас так не умеет андроид и яблоко? Windows Phone 8.1 стирается, не помню уже, но там нужно было что-то типа корпоративного управления. Возможно потом 10 стала таки из коробки поддерживаться для простых смертных. Жаль убили платформу.
ps BlackBerry была крута. Причем настолько, что ей никакой инет нафиг не уперся ни в одно место. Если несколько раз ввести неправильный пароль (по умолчанию не более 10 попыток, и это значение настраивается), то устройство тупо уходит в перезагрузку и запускает глубокий вайп. И пока оно всю файловую систему не покрошит в капусту, никакое выдергивание батареи не поможет юзеру откатить в исходное состояние. Всё что он сможет,- это наблюдать прогресс-бар процесса на экране. Доктор сказал в морг-значит в морг. И я не знаю, умеют ли так современные хипстерские поделки.

 

[v01k9r]

Вот плюс стопятьсот, как говорится.

Почему? Рутануть и прошить официальную LineageOS (но тут нужно сам смартфон подбирать)

 

[UnembossedName]

@v01k9r, почему вы считаете Lineage более безопасной ОС чем те, которые поддерживаются производителем и получают своевременные обновления?

Нет отзывов о взломах? Так неудивительно, ей мало людей пользуются, такую ось ставят задроты, которые в целом осторожнее и подкованнее в вопросах безопасности.

У меня за всю мою длинную жизнь ничего не взламывали и не уводили. Я при этом не эксперт в информационной безопасности, но вообще айтишник, рисков у меня меньше.

 

[Jack_the_singer]

Рутануть

Банк. приложения отказываются работать на телефонах с рутом. Да, их можно обмануть, но речь не о том. А о том, что сделано это не потому, что в Сбере идиоты, а потому, что в Сбере не идиоты.
Вот честно, я, может, тупой совсем, но на хрена лезть в свой андроид с рутом? Не, ну я понимаю, что для ребят с 4pda это просто развлекуха, ну один с телефоном играется, другой вот кешбэк до маразма собирает в ущерб нормальной жизни, третий на тачку глушак ставит такой, чтобы весь город знал, что едет васяпупкин на приоре... Ну а на хрен это надо? За последние пол-года купил 2 новых телефона с андроидом, облазил камеры, raw + adobe lightroom и много ещё чего. Ни разу не почувствовал необходимость в руте. Ни разу! Даже google camera в обход гуглА ставится без рута, хотя я не ставил, при прямых руках достаточно штатной, особенно с raw. На кой хрен этот рут кроме того, чтобы в могиле мобиле покопаться? С повышением рисков безопасности.

 

[v01k9r]

v01k9r, почему вы считаете Lineage более безопасной ОС чем те, которые поддерживаются производителем и получают своевременные обновления?

Нет отзывов о взломах? Так неудивительно, ей мало людей пользуются, такую ось ставят задроты, которые в целом осторожнее и подкованнее в вопросах безопасности.

У меня за всю мою длинную жизнь ничего не взламывали и не уводили. Я при этом не эксперт в информационной безопасности, но вообще айтишник, рисков у меня меньше.

Открытый исходный код, отсутствие встроенного "шпионского" ПО от производителя телефона, если аппарат официально поддерживается Lineage, то обновления на него тоже будут выходить. У меня вроде тоже ничего не взламывали и не уводили (или я просто об этом не знаю )

от честно, я, может, тупой совсем, но на хрена лезть в свой андроид с рутом?

Например, активация Camera2API, доперевод прошивки.

ЗЫ Сам под рутом обычно не сижу , и без явной необходимости не советую.

 

[sles]

установленную в простой кнопочный телефон

Столлман избегает мобильных телефонов и призывает других людей бойкотировать их.

 

[AlekseevIR]

Например, я для ДБО использую отдельную сим-карту, установленную в простой кнопочный телефон (хотя и там бывают закладки)

Вот я уже не раз задавался вопросом и все не могу понять. В чем Ваша схема надежнее схемы, в которой используется обычный смартфон с установленной в него общей симкой для банковских приложений и для общения?