Банковские коды планируют отправлять в VK Messenger

Банковские коды планируют отправлять в VK Messenger

Банковские коды планируют отправлять в VK Messenger

Банки могут начать присылать коды подтверждения в VK Messenger. На такую альтернативу СМС и пуш-уведомлениям готовы семь крупных финансовых организаций, включая “Сбер”. Безопасники призывают к осторожности.

О том, что российские банки прорабатывают вариант отправки кодов через VK Messenger, написали "Известия". Функциональность отечественного мессенджера позволяет бесплатно отправлять клиентам коды подтверждения, информацию о списании и поступлении средств, выпуске карт. Опция уже доступна в пилотном режиме, заявили в пресс-службе VK.

Проработать альтернативный сценарий готовы “Сбер”, ПСБ, МКБ, Экспобанк, “Хоум Кредит”, Новикомбанк и “Зенит”. В “Сбере” подчеркнули, что уже анализируют необходимость использования дополнительных каналов доставки уведомлений — помимо пушей и СМС.

“Плюсы очевидны — мессенджер позволит оперативно донести важную информацию с минимальными трудозатратами для клиента и банка”, — комментирует новость вице-президент по клиентскому сервису Экспобанка Наталья Верниковская.

Из минусов — необходима всесторонняя оценка защищенности таких каналов связи, подчеркивает топ-менеджер.

В УБРиР, Росбанке и “Абсолюте” отправку уведомлений через VK Messenger не планируют.

“Нужно понимать, что это пока только концепция альтернативного канала взаимодействия с клиентом, — комментирует новость для Anti-Malware.ru Руслан Ложкин, руководитель службы информационной безопасности Абсолют Банка. — Нельзя всех загнать в VK. Кто-то вообще им не пользуется. Можно также использовать в качестве альтернативы Telegram или Госуслуги”.

Безопасник напоминает, что с 1 октября в части переводов в дистанционных каналах начинает действовать новая редакция 683-П.

Согласно изменениям “5.1. Кредитные организации должны обеспечить целостность электронных сообщений и подтвердить их составление уполномоченным на это лицом.

В целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом кредитные организации должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения”.

То есть все СМС, пуш-уведомления или сообщения через альтернативные каналы связи должны быть подписаны усиленной ЭП кредитной организацией, объясняет Ложкин.

Безусловно, для коммуникаций выгодно использовать удобный клиенту канал, но не все платформы соответствуют требованиям информационной безопасности, подтверждают в УБРиР.

О поиске новых каналов для рассылки кодов подтверждения операций задумались после удаления банковских приложений из App Store и Google Play.

У кредитных организаций возникли сложности с отправкой пуш-уведомлений. Стоимость одного СМС составляет 1,5–2 рубля, а цена пуша — 5–20 копеек.

По оценкам Ассоциации банков России, маршрутизация уведомлений в СМС-канал потребует дополнительных 25 млрд рублей в год в масштабах всей банковской системы.

Проблемы с пуш-уведомлениями уже отразились на стоимости информирования. С 1 августа в “Сбере” она выросла на 10 рублей, в ВТБ — на 20, в МКБ — на 40.

“Перед внедрением любой новой технологии банки и другие финансовые организации, конечно же, максимально большое внимание уделяют вопросам безопасности, так как речь идет о критичных данных клиентов”, — говорит директор по консалтингу ГК InfoWatch Ирина Зиновкина.

Опасность в данном случае может быть в потенциальной краже аккаунта человека, например в VK, что может привести к компрометации присылаемых кодов, опасается Зиновкина.

По ее словам, вход в мессенджеры, как правило, осуществляется при помощи двухфакторной аутентификации (например, логин/пароль + код из СМС), что делает учетные записи безопаснее. Эксперт подчеркнула, что риск перехвата сообщения в мессенджерах точно не выше, чем в случае СМС-информирования.

“Интеграция с социальной сетью VK — это связка номера телефона, привязанного к интернет-банку, с номером телефона, зарегистрированного на странице VK”, — объясняет эксперт из Абсолют Банка. — В противном случае у человека может быть несколько аккаунтов”.

То есть, как минимум, этот сценарий должен носить добровольный характер, подчеркивает Ложкин.

К сложным вопросам относятся также восстановление страницы (в том случае, если её взломали или внесли в спам) и смена телефона пользователя.

“Должна быть процедура восстановления страницы с гарантированной идентификацией ее владельца, — объясняет Ложкин. — Кто это будет делать? У VK нет клиентских офисов. Остаются банки. То есть клиент приходит в офис своего банка, подтверждает себя, и банк сообщает VK о положительной идентификации. Такие коммуникации необходимо выстраивать с нуля”.

Сейчас клиент может быстро “перепривязать” к интернет-банку новый номер. В VK процедура смены предполагала доступность старого и нового номера одновременно.

“А если старый номер по каким-то причинам восстановить сейчас невозможно (например, клиент временно уехал за границу)? И это самая сложная часть”, — считает эксперт банка.

СМС не является гарантированным подтвержденным волеизъявлением клиента, на это уже давались разъяснения Верховного суда, напоминает Ложкин. Как и СМС не гарантирует подлинность банка — его может направить кто угодно.

Банк также не гарантирует, что он отправил СМС тому клиенту, которому оно предназначалось. Банк передает информацию на СМС-шлюз, а дальше в цепочку включается оператор связи.

У банка и оператора клиенты персонифицированы с общим параметром — номер телефона. В VK клиенты не персонифицированы, тут могут возникнуть мошеннические схемы.

Чтобы получать СМС, нужно находиться рядом с конкретным номером.

Для VK достаточно один раз привязать страницу к номеру телефона, а дроппер может находиться где угодно.

Использовать VK в качестве альтернативного канала возможно, но такая услуга должна носить добровольный характер и на ограниченные суммы, подводит итог представитель коммерческого банка.

“У данной технологии есть две стороны медали”, — соглашается эксперт “Газинформсервис” Григорий Ковшов.

С одной стороны – это экономия, использование VK мессенджера планируется бесплатным как для клиента, так и для банка. С другой стороны, существуют риски потери чувствительной информации.

Службы безопасности финансовых учреждений и социальной сети VK прорабатывают вопросы безопасности, но в данном случае многое будет зависеть и от самих пользователей.

Оградить свои аккаунты в соцсетях от взлома несложно при соблюдении простых правил:

  • настройка двухфакторной аутентификации
  • использование сложных паролей и смена их каждые 3 месяца
  • игнорирование ссылок, видео и картинок от незнакомых адресатов

Также рекомендуется отключить предпоказ сообщений на заблокированном экране смартфона. Если телефон украдут, злоумышленники не смогут увидеть на экране блокировки входящую информацию.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru