Новости платежных технологий

16.07.2018

ОБЗОР СОБЫТИЙ В НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЕ

ОБЗОР СМИ

 

Ключевые показатели российского финансового рынка демонстрируют устойчивость

Пересмотр ожиданий по нормализации денежно-кредитной политики Федеральной резервной системы США и обострение рисков глобального протекционизма привели в июне 2018 года к усилению рыночной напряженности в странах с формирующимися рынками. В то же время выход нерезидентов с рынка государственного долга России был умеренным и не оказал заметного влияния на устойчивость ключевых показателей российского финансового рынка, отмечается в  июньском выпуске  «Обзора рисков финансовых рынков».

В условиях дальнейшего роста стоимости валютного финансирования увеличивается актуальность ограничения валютных рисков в странах с формирующимися рынками. Банк России на фоне возобновления роста валютного кредитования в отдельных отраслях повысил коэффициенты риска по кредитам в иностранной валюте для юридических лиц, выданным с 1 июля 2018 года.

При этом в настоящее время сохраняется отставание темпов девалютизации обязательств банковского сектора от темпов девалютизации активов. Банк России проводит регулярный мониторинг уровня валютизации обязательств и при необходимости может использовать изменение нормативов обязательных резервов по обязательствам в иностранной валюте, отмечается в обзоре.

Начиная с июньского выпуска «Обзор рисков финансовых рынков» будет публиковаться ежемесячно. Такая периодичность позволит улучшить степень информированности участников рынка о текущих тенденциях на российском финансовом рынке и своевременно оповещать о факторах, которые могут оказывать влияние на оценку рыночных рисков.

Обзор дополнительно содержит статистические данные по отдельным сегментам российского финансового рынка, включая денежный рынок, рынок ценных бумаг и рынок деривативов.

Банк России

 

Биометрические данные россиян пройдут двойную проверку

Биометрические данные россиян будут проходить двойную проверку на соответствие требованиям к шаблонам, чтобы избежать ошибок и необходимости повторного снятия. Для этого используют специальный модуль «Ассистент», встроенный в единую биометрическую систему (ЕБС), и Библиотеку контроля качества (БКК). «Ассистент» проверит кадр до, а БКК — после снятия фото, пишут «Известия».

Модуль проверит не только основные характеристики изображения (повороты, размер, разрешение), но и качество картинки: смазанность, затемненность, засвеченность в момент фотографирования. Кроме того, в модуль заложена логика проверки состояния рта: улыбка, нейтральное положение или рот закрыт сторонним предметом. А также состояния глаз: открыты, закрыты, прикрыты или глаза закрыты сторонним предметом, пояснили изданию разработчики ПО из компании VisionLabs.

Помимо этого модуля у банков есть БКК, которая проверяет качество кадра, но уже после снятия фото.

«Ассистент» используют еще не все банки, однако в тестовой выборке проверку не прошли около 30% фотоизображений, отметили в VisionLabs. Самые распространенные ошибки связаны с неправильным наклоном головы: определить отклонение в 5—8 градусов можно только аппаратными средствами.

Напомним,  ЕБС начала работу в России с 1 июля. Идентификация проходит по изображению лица и голосу. Гражданин должен пройти процедуру очно в банке, после этого услуги можно получать удаленно, причем в любой кредитной организации. Сейчас биометрические данные собирают только 20 финансовых организаций, которые получили на это право.

Скорее всего, система в конечном своем варианте будет построена таким образом, что для идентификации хватит звонка с обычного смартфона, говорят эксперты. При этом клиент, прошедший биометрическую идентификацию, может открыть счет в любом банке. С экономической точки зрения это позволит финансовым организациям комплексно снизить себестоимость услуг.

Известия

 

81% платежей и переводов в Сбербанке клиенты совершают в цифровых каналах

Доля платежей и переводов, совершаемых в цифровых каналах Сбербанка, достигла 81%. Общее количество платежей и переводов в первом полугодии 2018-го составило 3,5 млрд штук, за год их количество увеличилось на 28%.

Объем P2P-переводов (person-to-person) Сбербанка в первом полугодии 2018-го составил 7,9 трлн рублей, увеличившись на 43% по сравнению с аналогичным периодом прошлого года. За полгода клиенты Сбербанка совершили более 1,4 млрд переводов — это на 67% больше, чем годом ранее. Самым популярным способом совершения переводов P2P является «Сбербанк Онлайн» и его приложение (76%).

Одним из важнейших проектов первого полугодия стал запуск в июле 2018 года совместного сервиса Сбербанка и Тинькофф Банка, который позволяет переводить средства между клиентами банков по номеру мобильного телефона с помощью мобильных приложений.

За первое полугодие 2018 года клиенты совершили через каналы Сбербанка платежей (ЖКХ, телекоммуникационные услуги и бюджетные платежи) на сумму более 1,2 трлн рублей. За год этот показатель увеличился на 16%. Чаще всего такие платежи клиенты банка совершают самостоятельно в цифровых каналах (57%). Одним из важных направлений платежного бизнеса Сбербанка является развитие сервисов, которые позволяют клиентам экономить время и поручить банку выполнение регулярных рутинных операций. В 2018 году каждый пятый платеж за ЖКХ был проведен при использовании «Автоплатежа». А более 10 млн человек ежемесячно получают СМС с информацией о новых выставленных счетах, для оплаты которых достаточно отправить код подтверждения на номер 900.

В 2018 году Сбербанк запустил возможность безналичной оплаты услуг в окнах МФЦ Москвы — этот сервис позволяет оплатить пошлины и совершить другие платежи сразу при оформлении документов. В течение 2018 года Сбербанк продолжит тиражирование сервиса в других регионах России.

Теперь в мобильном приложении «Сбербанк Онлайн» на платформе Android можно посмотреть полную информацию о своих штрафах: о дате, месте, статье, сумме штрафа, сроке оплаты, а также, как правило, фото нарушения. В ближайшее время функционал будет доступен для пользователей смартфонов на платформе iOS.

Сбербанк развивает систему выставления счетов «БРИС ЖКХ»: более 750 тыс. квитанций формируется ежемесячно. Сервис позволяет поставщикам коммунальных услуг, а также управляющим компаниям эффективно и быстро совершать расчеты начислений для населения.

«Бизнес платежей и переводов стабильно растет в течение последних лет. Основная причина наших результатов — ориентация на потребности клиентов и стремление предложить лучшие сервисы, которыми приятно и удобно пользоваться. Опираясь на доверие наших клиентов, совместно с ними мы сформировали и продолжаем формировать новые привычки перевода денег и оплаты услуг. Миллионы операций ежедневно уже совершаются без посещения отделений банка в наших цифровых каналах — в мобильном приложении и при помощи «Автоплатежа», а также нового сервиса выставления счетов «Смарт-счета», — прокомментировал директор дивизона «Платежи и переводы» Сбербанка Игорь Мамонтов.

Banki.ru

 

СМИ: Центробанк РФ расследует публикацию исходного кода вируса для атак на банки

Российский Центробанк сообщил, что проводит проверку после публикации в открытом доступе исходного кода вредоносного программного обеспечения, которая может спровоцировать новую волну кибератак на банки, передает Reuters.

Как поясняется, неизвестные опубликовали архив с файлами под названием Pegasus, в котором содержится исходный код трояна, на сайте pastebin.com, который позволяет любому человеку анонимно публиковать исходный код какого-либо программного обеспечения. Помимо исходного кода в архиве содержится информация о контактных данных и должностях сотрудников десятков российских банков, в том числе Сбербанка, Промсвязьбанка и Металлинвестбанка. В нескольких файлах также приводится описание того, как обходить банковскую систему по противодействию атакам и как устроена схема передачи платежей через автоматизированное рабочее место клиента Банка России.

«Банк России в курсе данной ситуации и проводит необходимые мероприятия», — сообщил ЦБ в ответ на просьбу о комментарии, не раскрыв деталей.

Источник в ЦБ сказал Reuters, что значительная часть информации в выложенном архиве устарела, однако подразделение FinCERT Банка России, которое занимается анализом кибератак и дает рекомендации другим финансовым учреждениям, проводит «точечную работу с теми банками, информация о которых есть в выложенном архиве».

Представитель Промсвязьбанка сообщила Reuters, что банк проводит проверку этой информации и «в достаточной степени защищен и работает в тесном контакте с ЦБ по повышению информационной безопасности». Сбербанк и Металлинвестбанк пока не ответили на просьбы о комментарии.

Публикация архива может облегчить для хакерских группировок подготовку к атакам на банки и заражение их систем и, как следствие, привести к новой волне кибератак, говорят эксперты.

«Архив содержит достаточно большой объем инструментов и инструкций по реализации атак, который достаточно легко может быть активирован и использован злоумышленниками. Сам факт публикации кода, действительно, делает его доступным для широкой группы разных хакерских группировок, что увеличивает вероятность атаки», — сказал директор центра мониторинга и реагирования на кибератаки Solar JSOC Владимир Дрюков.

«Лаборатория Касперского» сообщила, что знает об утечке исходного кода вредоносного софта, который известен под именами Pegasus, Ratopak или Karamanak. «Утечка исходного кода теоретически может облегчить злоумышленникам возможность заражать банки, однако кража денег все равно требует много планирования и усилий. Другими словами, мы вряд ли незамедлительно услышим о новых киберинцидентах, которые спровоцировала эта утечка», — говорится в комментарии компании.

По ее данным, «временные метки позволяют предположить, что код был создан в 2015—2016 годах. Вирусописатели определенно являются русскоговорящими, а их целью были финансовые организации в России».

В долгосрочной перспективе различные киберпреступники пользуются доступным исходным кодом и создают на его основе новые модификации вредоносного ПО, пояснила «Лаборатория Касперского».

В мае 2017 года более 500 тыс. компьютеров были заражены вирусом WannaCry, который зашифровывал на них данные и требовал выкуп в биткоинах за дешифровку. Президент Microsoft Брэд Смит в блоге компании утверждал, что WannaCry был создан на основе украденного кибероружия Агентства национальной безопасности США, данные о котором публиковала хакерская группировка Shadow Brokers в 2016 году, а затем Wikileaks.

В феврале 2016 года Symantec сообщала о масштабной фишинговой кампании с использованием вредоносного ПО Ratopak, которое после заражения компьютера проверяло языковые настройки и начинало работать, если пользователь установил русский или украинский языки. Троян позволял делать снимки рабочего стола, перехватывать нажатия клавиш и закачивать произвольные файлы. С декабря 2015 года по февраль 2016 года с помощью этого ПО были атакованы шесть российских банков, утверждала Symantec.

По данным FinCERT, в 2017 году на банки в России было совершено 11 успешных атак, в ходе которых было похищено 1,15 млрд рублей. Всего за прошлый год организация зафиксировала 240 попыток проведения кибератак.

В июне московский суд отправил за решетку шестерых хакеров, которые похитили около 12,5 млн рублей со счетов клиентов российских банков.

Reuters

 

Дикий рынок. Криптовалютный бизнес готовится к регулированию

Рынок криптовалют перешел на новую стадию — меньше разговоров и хайпа, но больше дела.  За первое полугодие 2018 года по разным источникам в мире было проведено 915 ICO-проектов, в ходе которых было собрано $5,8 млрд инвестиций. По данным  исследования  PwC, речь идет о почти $13,7 млрд (учитывая TON и EOS) при 537 размещениях.

В таких условиях появление новых финансовых институтов в блокчейн-отрасли вполне оправдано и ожидаемо. В конце июня стало известно, что на российский рынок выходит новый игрок — криптовалютный инвестиционный банк Hash, созданный выходцами из платежного сервиса Qiwi. Эффективность его работы как лакмусовая бумажка должна будет показать зрелость криптоинвестиционной отрасли и готовность ее к регулированию.

Эволюция криптосообществ

Современные условия рынка, нормативные акты, предписания и настроения регуляторов, необходимость работы с институциональными инвесторами диктуют новые подходы при работе с инвесторами. Появление криптовалютных инвестбанков было лишь вопросом времени. Основная их задача — решение проблемы привлечения институциональных инвестиций, жертвуя децентрализацией во благо эффективности, в отличие от привычной нам модели криптофандрайзинга.

Предшествовали же инвестбанкам такие сообщества как акселераторы и пулы инвесторов. Весной 2017 года проходил первый токенсейл одного из акселераторов, нацеленных на работу с блокчейн-стартапами — Starta Accelerator, базирующийся в Нью-Йорке проект с русскими корнями. Затем в поле зрения русскоговорящего сообщества появился Hub от Waves.

Основная роль акселераторов — помочь молодым стартапам выстроить основные бизнес-процессы и подготовить их к первому раунду инвестиций. Условия сотрудничества различаются, но в основном оговаривается процент в доли владения стартапа. В сравнении с криптоинвестиционным банком у акселераторов более широкий функционал и комплексный подход. Но они также преимущественно работают с институциональными и венчурными квалифицированными инвесторами.

Несколько позже, летом 2017 года, родились и инвестиционные пулы как альтернатива венчурным инвестициям и эволюция первоначального ICO. Инвестпулы решали проблемы минимального порога входа в инвестирование стартапа для неквалифицированного инвестора, а также снижение рисков потери сбережений и диверсификации инвестиционного портфеля в рамках ограниченного бюджета.

Корни инвестиционных криптовалютных пулов лежат в середине 2000-х годов. Их прародители — совместные покупки (СП) в интернете, когда онлайн-магазины продавали вещи либо с некоторой скидкой ИП либо работали только с ИП. В это время и возникли СП, подразумевающие под собой сбор заказов предприимчивыми коммерсантами на онлайн-форумах с последующей выдачей этих заказов по ценам ниже рыночных, но выше закупочных. Другой особенностью СП было то, что в такой кооперации можно было приобрести вещи, недоступные в розничной торговле.

Криптопулы выросли из криптотрейдинговых каналов в Telegram и появились приблизительно год назад, когда новички, не успевшие заработать сотни и тысячи процентов с проектов 2016 — начала 2017 годов, были увлечены повальным интересом к ICO, но не имели достаточно средств, чтобы входить одновременно в несколько проектов в качестве инвесторов.

Пиком популярности криптопулов стало ICO Telegram. С тех пор пулы значительно расширили свой функционал, начав предлагать аналитику имеющихся ICO-проектов, продвижение проектов на локальных, региональных рынках и прочее. Раскрученные Telegram-каналы имеют все необходимое (в первую очередь, лояльную многотысячную аудиторию с деньгами), чтобы в настоящий момент заменить собой PR/IR-агентства, а также выступать в качестве эскроу, гарантов, аналитических агентств и др. Единственное, чего им не хватает, — признания со стороны крупного инвестиционного бизнеса и диалога с государственными институтами.

Места хватит всем

Каким будет рынок криптовалют в ближайшем будущем? Развитие рынка упирается в законодательные инициативы и принимаемые законы, действия регуляторов. Безусловно, с «большими деньгами» станут работать финансовые институты, имеющие опыт привлечения финансирования. Но проектов, которые будут им интересны с точки зрения прогнозируемой рентабельности, окажется не так много, а конкуренция будет высокой.

Подавляющее же большинство проектов, выходящих на ICO, собирают от нескольких сотен тысяч до нескольких миллионов долларов, из которых содержать целый банк на комиссионные явно недостаточно, а браться за большое количество проектов означает потерять в качестве. Такие проекты скорее всего останутся с частными инвестиционными пулами и это будет их идейным преимуществом. Предполагаю, что и крупные стартапы, нацеленные на «100+» кампании, также продолжат привлекать средства от неквалифицированных инвесторов из тех же соображений до тех пор, пока регуляторы не ограничили им такие возможности.

Сейчас мы наблюдаем плавный переходный период от «дикого», лишенного регулирования рынка ICO к рынку с понятными и прозрачными правилами. И в этот период рождение гибридных проектов необходимо для мягкой трансформации. В итоге, при достаточном развитии законодательной базы и увеличения интереса со стороны традиционных банков, различия между криптоинвестбанками и традиционными банками сотрутся.

Forbes Russia

 

Монеты для государства. Когда появятся криптодоллары и криптоевро

Кому-то интересно играть на высоковолатильном рынке, кто-то предпочитает долгосрочные фиатные инвестиции. Появление монет, привязанных к государственным валютам, решает эту потребность. Все говорит о том, что рынок, наконец, дорос до такого шага.

Развитие блокчейн-технологий и смарт-контрактов привело к появлению огромного количества новых токенов. Понимание того, что токенизировано может быть буквально все — от бананов до недвижимости — пришло не сегодня, но теперь эта идея активно воплощается в жизнь. Еще недавно самой проработанной технологией были токены Ethereum, но теперь число проектов, развивающихся в этом направлении, значительно выросло: это протокол Tari в сети Monero, Stellar, Neo.

На базе блокчейна были созданы также сеть IOTA Qubic и операционная система EOS. Вероятно, это одно из наиболее революционных применений технологии, которое может перевернуть современные представления об интернете и привести к появлению интернета версии web 3.0.

В то же время, рост количества запросов на прямой обмен цифровыми активами послужил новым толчком для развития децентрализованных бирж. Их разнообразие — следствие распространения смарт-контрактов. Интерес к обмену криптовалют на фиатные деньги, уже проявляют институциональные  инвесторы.

За последние полгода появился ряд новых проектов на Stablecoin — крипто-монетах, которые привязаны к курсу международной фиатной валюты. Это реализация запроса сторонних инвесторов, которые устали от волатильности биткоина и ищут «тихой гавани», стараясь при этом сохранить возможности, которые открывает перед ними крипто-сообщество. В определенном смысле Stablecoin — это результат кластеризации инвесторов. Кому-то интересно играть на высоковолатильном рынке, кто-то предпочитает долгосрочные фиатные инвестиции. Появление монет, привязанных к государственным валютам, решает эту потребность.

С другой стороны, все говорит о том, что рынок, наконец, дорос до такого шага. Еще пару лет назад было невозможно себе представить, чтобы крипто-стартап мог зайти в правительство и приступить к созданию совместного проекта. Это и противоречило философии крипто-мира, и вряд ли вызвало бы какой-то энтузиазм со стороны государственного аппарата.

Этот тренд еще только набирает обороты, и рынок еще должен выработать правила реализации подобных затей, чтобы, скажем, не повторять путь USDT, привязанной к доллару США, которая не отличается прозрачной концепцией и имеет конфликты с американскими регуляторами. Но почва, на которой эти проекты будут расти, уже подготовлена.

В будущем легальные крипто-доллар, крипто-евро или крипто-йена позволят привлечь на рынок большое количество новых инвесторов, что в конечном счете приведет к упрощению и легализации цифровых валют. Сама по себе концепция Stablecoin является новым финансовым инструментом для самого широкого круга пользователей. И динамика развития этого сегмента рынка лишь подтверждает существование пользовательского интереса.

Регулирование

Внимание государств к технологии блокчейн стало очевидно еще полгода-год назад. Примеры Bitfinex и USDT служат наглядным доказательством. Интерес со стороны SEC — американского регулятора — в конечном счете повышает безопасность инвесторов и гарантирует, что компания не будет бесконечно «печатать» деньги.

Второй плюс регуляторной активности государств на рынке крипто-валют — расширение возможностей институциональных инвесторов и, как следствие, приобретение криптовалютами статуса полноценного инвестиционного актива.

Наконец, сам рынок основных цифровых монет становится чище. Для инвесторов невозможность отмыть незаконно полученные средства через крипто-биржи может стать решающим фактором при выборе площадки для размещения своих активов.

Еще один важный тренд — преодоление пользовательского недоверия к технологии блокчейн и ее реализации. Запрет на рекламу цифровых монет в Facebook продиктован тем, что в течение всего прошлого года появилось несчетное число IСO-проектов, ставящих своей целью лишь сбор денег. Зачастую они не были подкреплены дальнейшим развитием идеи, а после заработка компании, фактически, становились банкротами.

Преодолеть такого рода недоверие непросто. Однако, уже сейчас существенно вырос порог выхода на рынок ICO-инвестиций. Если раньше было достаточно лишь представить красивый сайт, то теперь инвесторы требуют подробного описания проекта, его проработки, обширной медиа-поддержки, присутствия в команде людей, которые имеют репутацию в сообществе. Это разговор про открытость и прозрачность проектов — те постулаты, вокруг которых изначально строился блокчейн. То есть его естественная эволюция и очищение от махинаторов и мошенников. Они, конечно, продолжат пытаться собрать деньги на волне «хайпа» и задорных описаний токена, однако уже сейчас инвесторы утратили интерес к таким проектам.

Доверие

Другой важный вопрос — вопрос безопасности. Взломы таких площадок как Bancor, Bitconnect, Coincheck и других бирж подорвали кредит доверия инвесторов, но и стимулировали появление новых средств защиты. Биржи ввели двухфакторную аутентификацию для вывода средств со своего кошелька. Некоторые кошельки, работающие с сетью Etherium, предоставили возможность работы оффлайн, когда транзакция в подписанном виде отправляется вообще с другого компьютера. Все эти средства работают, только вряд ли смогут свести процент мошенничества к абсолютному нулю.

Наконец, стоит отметить уход от консенсуса Proof-of-Work — алгоритма защиты от DoS-атак, спам-рассылок и других злоупотреблений. Именно этот консенсус стал причиной грандиозного роста мощностей и потребления энергии майнерами в погоне за прибылью. Теперь блокчейн-сообщество стало рассматривать альтернативные алгоритмы для достижения консенсуса: в первую очередь консенсус Proof-of-Stake, на который планирует перейти Ethereum (в виде гибридной модели вместе с PoW) или Distributed PoS в EOS, где функционирование сети обеспечивает фиксированное количество избираемых сообществом Block producers.

Рынок блокчейн-технологий все еще остается молодым и активно развивающимся рынком. И это предоставляет новым игрокам большие возможности. Вместе с тем, многие тренды свидетельствуют о том, что он набирает мышечную массу не только объемом средств, которые на нем аккумулируются, но и появлением проработанных идей, прозрачных процессов и взвешенных решений. Игроки на этом рынке становятся все более зрелыми, а новые ICO вызывают не бешеный ажиотаж, а разумную оценку потенциала проекта. Однако, путь, который еще предстоит пройти криптовалютному и блокчейн-сообществу, будет долгим.

Forbes Russia

 

Эксперт рассказал о механизме утечки личных данных пользователей с банковских и других сайтов

Проблема с утечкой персональных данных пользователей приобретает все большие масштабы: если раньше этого можно было ждать в основном от мелких интернет-магазинов, то сейчас это актуально и для таких гигантов, как ВТБ, Сбербанк, Департамент транспорта Москвы, агрегаторы авиабилетов и т. п. Об этом говорится в  опубликованном на сайте Rush Agency материале  SEO-специалиста, эксперта по поисковым системам в Rush Agency Павла Медведева, который объясняет, как происходят такие утечки.

В материале приводятся скриншоты с примерами данных, которые можно найти в поисковой выдаче. В том числе это данные трансакций через Сбербанк, электронные билеты РЖД, сканы паспортов, которые можно найти через Единый транспортный портал Москвы.

«На фоне всеобщей истерии в ленте по поводу «Google Документов» и Power Bi я ввел старый запрос 2011 года, чтобы посмотреть, изменилась ли ситуация, и ужаснулся. Раньше проблемы были в основном у мелких интернет-магазинов, сейчас информацию сливают и такие гиганты, как ВТБ, Сбербанк, Департамент транспорта Москвы, агрегаторы авиабилетов и многие другие. Я считаю, это связано с тем, что из-за кризиса многие хорошие специалисты и разработчики переориентировались на Запад и качество кадров в IТ снизилось», — комментирует Медведев.

Он поясняет, что поисковые системы не могут получать доступ к страницам, которые требуют авторизации, и читать оттуда информацию. Но создатели сайтов для удобства доступа пользователей к личным страницам придумали документы с уникальным длинным адресом из случайного набора символов, который невозможно угадать или получить перебором. Такие переходы считаются надежными, но есть много способов, как поисковая система может узнать о ссылке, утверждает автор статьи.

«Например, вы на каком-то полуприватном затерянном на окраинах Интернета форуме, где сидите только вы и пять ваших близких знакомых, поделились этой ссылкой. Поисковые системы регулярно переобходят даже самые малопосещаемые и никому не известные сайты, если они доступны для индексации роботам. Такая ссылка рано или поздно проиндексируется, и страница с личной информацией попадет в индекс», — рассказывает эксперт по поисковым системам. Он напоминает, что в 2011 году был скандал с попавшими в выдачу СМС-сообщениями «МегаФона».

Один из каналов утечки — системы аналитики (счетчики, которые устанавливают на каждой странице сайта для исследования поведения посетителей на нем), следует из материала. Самые популярные в России — «Яндекс.Метрика» и Google Analytics. По словам эксперта, хотя в настройках любого счетчика «Метрики» есть опция запрета автоматической отправки страниц сайта, на которых установлен счетчик «Метрики», на индексацию «Яндекс.Поиску», «приватные страницы все равно попадают в индекс, потому что это один из множества источников данных поисковых систем».

«У Google есть браузер Chrome, у «Яндекса» — «Яндекс.Браузер». На них приходится более 70% всех посетителей. Устанавливая браузеры, вы соглашаетесь с возможной обработкой, отправкой браузером анонимных данных о просмотрах и так далее. То есть это вполне легальный способ собрать большую часть когда-либо просмотренных пользователями страниц. Когда вы скачиваете какую-нибудь бесплатную программу, часто с ней агрессивно навязываются программы и плагины для браузера от поисковых систем, которые многие специалисты расценивают как дополнительный канал для анализа трафика и поведения пользователей», — рассказывает Медведев.

Помимо этого поисковые системы могут покупать анонимизированные данные о трафике, просмотренных сайтах или страницах, как это делает известный сервис SimilarWeb.

«Представьте ситуацию: вы купили авиабилет с вылетом через полгода, вам пришла СМС со ссылкой для просмотра и редактирования информации в «Личном кабинете». Вы перешли на нее в телефоне, проверили и забыли. Тем временем ваш мобильный «Яндекс.Браузер», Android или счетчик метрики сообщил поисковику, что появилась неизвестная ранее страница, робот проверил — страница работает, проиндексировал ее через какое-то время. Потом злоумышленник вбивает в поиск запрос вроде «билет на Бали октябрь изменить бронирование» — попадает в ваш «Личный кабинет», переписывает фамилию на свою и через полгода улетает вместо вас», — приводит специалист пример того, как можно воспользоваться данными (можно представить, что и такие сайты существуют, которые даже не предупредят об изменении и не запросят дополнительное подтверждение или авторизацию, рассуждает он).

«Поисковый робот не знает, персональные ли данные в файле. Коммерческая ли тайна в таблицах с финансовыми показателями, или, наоборот, вы хотели бы делиться этой информацией со всеми. Он переходит по страницам, доступ к которым не закрыт владельцами сайта», — констатирует Медведев.

По его мнению, в сложившейся ситуации 80% вины лежит на владельцах сайтов, которые не обеспечивают должного качества их разработки и оптимизации, а 20% — на поисковиках, которые недостаточно освещают свои механизмы ранжирования и индексации.

«Большинство современных разработчиков считают, что документ, доступный по длинной уникальной ссылке, надежно защищен и никогда не попадет в индекс. Рекомендую представителям поисковых систем больше упоминать на своих профильных конференциях и вебинарах для профессионалов о том, что любая страница, доступная без авторизации, может рано или поздно попасть в индекс», — подчеркивает автор материала.

«Любые чувствительные данные максимально закрывать от посторонних с помощью авторизации», — дает он главную рекомендацию владельцам сайтов. В частности, по его словам, необходимо «запрещать роботам индексировать любую конфиденциальную информацию, причем использовать не только один из рекомендуемых поисковой системой способов, а дублировать, используя все методы защиты, такие как robots.txt, clean-param, meta-noindex».

В числе прочего в статье Медведева указано, что упомянутые домены ВТБ, Сбербанка и Единого транспортного портала Москвы «пренебрегают элементарными требованиями защиты данных: у них даже отсутствует файл robots.txt».

Разработчики поисковиков, по его мнению, должны были бы добавлять в документы, доступные по ссылке, запрет индексации с помощью метатега robots noindex и блокировать доступ поисковых роботов к таким документам, а также выдавать предупреждение при открытии доступа по ссылке: «наличие ссылки только у вас не значит, что о ней никто не узнает, так как множество программ, браузеров, плагинов, счетчиков, скриптов собирают информацию, и только их разработчикам известно, как они ее хранят и куда дальше направляют».

Banki.ru

 

Pegasus подкрался незаметно

Полный пакет программного обеспечения для хакерских атак на банки оказался в интернете

Полный набор программного обеспечения, позволяющего хакеру организовать атаку на российский банк, оказался выложен в открытый доступ в интернете. Архив вредоносной программы Pegasus также содержит контакты специалистов по информационной безопасности нескольких крупных банков. По словам экспертов, и программы, и данные несколько устарели, но могут быть легко обновлены, что может привести к всплеску хищений у кредитных организаций.

Как сообщили “Ъ” участники рынка, в открытый доступ оказался выложен архив, являющийся фактически готовой инструкцией для хакерской атаки на банк. Архив вредоносного программного обеспечения (ВПО) Pegasus примерно неделю назад появился в даркнете (скрытой сети, соединение в которой устанавливается между отдельными лицами, используется, в частности, хакерами), а через несколько дней и в интернете, говорят источники “Ъ”.

По указанному экспертами адресу “Ъ” действительно обнаружил данный архив.

Выложенное ВПО, по словам собеседников “Ъ”, было ранее использовано группировкой Buhtrap при атаке на российские банки. Как ранее сообщала  в своем отчете Group-IB, группировка похитила у российских банков порядка 1,8 млрд руб. По словам руководителя экспертного центра безопасности Positive Technologies Алексея Новикова, сейчас доступ к архиву достаточно легок.

Программы Pegasus дают возможность вывести средства через автоматизированное рабочее место банка—клиента Банка России. Эксперты отмечают, что архив содержит не только необходимый для атаки комплект ВПО, но и подробнейшую инструкцию по его использованию. «Инструментарий, содержащийся в архиве, позволяет совершать атаки с выводом средств через платежную систему Банка России, это комплект образца 2015–2016 годов, то есть немного устаревший,— рассказывает “Ъ” собеседник из банка, входящего в топ-10.— В то же время с разумными усилиями любой прилежный хакер может апгрейдить инструментарий под сегодняшние реалии и совершить атаку». По словам главы управления информбезопасности ОТП-банка Сергея Чернокозинского, опасность зависит напрямую от таланта «вирусописателя»: «Если он доработает ВПО, то получится отличный троян, и вирус будет опасен для любого банка»,— отметил он.

Случаев, когда в открытый доступ выкладывались бы комплекты ВПО для атак на банки, опрошенные “Ъ” эксперты по кибербезопасности вспомнить не смогли.

Между тем доступность широкому кругу лиц даже отдельных компонентов ВПО приводит к хищениям. Господин Новиков приводит  пример выкладывания в публичный доступ исходных кодов ВПО ZEUS, что привело к резкому росту хакерских атак, в том числе успешных, в 2011 году.

Кроме того, выложенный в сеть архив содержит данные о специалистах по информбезопасности нескольких крупных банков, их телефоны. По данным источников “Ъ”, эти сведения также относятся к 2015 году и потому многие из них не актуальны. Например, в базе есть контакты специалистов Сбербанка, в банке на запрос “Ъ” сообщили, что выложенная в сеть база «не содержит данных сотрудников банка». «Однако, как показывает практика OSINT (open source intelligence, разведка на основе открытых источников.— “Ъ”), эти данные не слишком сложно актуализировать и они могут быть использованы для подготовки фишинговых рассылок», — отметил Алексей Новиков.

В Банке России сообщили “Ъ”, что в курсе данной ситуации. По словам участников рынка, 13 июля ФинЦЕРТ (подразделение ЦБ, отвечающее за кибербезопасность) сделал рассылку, посвященную этой угрозе. В ЦБ подтвердили данную информацию, также сообщив, что на сегодняшний день содержащиеся в ней данные малоактуальны и что об угрозе ФинЦЕРТ предупреждал рынок еще в 2016 году.

Коммерсант

 

Сбербанк: часть рабочих мест могут занять роботы

Руководитель лаборатории робототехники Сбербанка Альберт Ефимов сообщил, что часть рабочих мест в кредитной организации могут занять роботы. Это делается в целях увеличения производительности труда.

«Этого (замены части рабочих мест в Сбербанке на роботов. — Прим. ред.) не может не быть, это точно так и будет. Просто мы не делаем роботов для того, чтобы они заменяли людей. Ни при каких условиях мы не будем так делать. Мы делаем роботов, чтобы они увеличивали производительность труда человека. Это две разные задачи», — заявил он.

 «Я дам пример. Предположим, на некотором участке работают три человека, которые обслуживают три большие профессиональные счетно-сортировочные машины для банкнот. Используя коллаборативную робототехнику, мы делаем так, что эти три человека могут обслуживать не три подобных станка, а десять. То есть производительность труда увеличилась, возможности для этих людей увеличились. Иногда бывает большая нагрузка по вечерам, иногда бывают праздники — и люди снимают больше денег из банкоматов, и роботы помогают справиться с увеличенной нагрузкой. Но людей из-за этого не надо сокращать», — добавил он.

Plusworld

 

ОБЗОР МЕЖДУНАРОДНЫХ СОБЫТИЙ

 

В Конгрессе США обсудят будущее криптовалют

Комитет по финансовым услугам при Палате представителей Конгресса США объявил, что уже в следующую среду, 18 июля, на Капитолийском холме  состоится  слушание под названием «Будущее денег: цифровые валюты».

Известно, что мероприятие будут транслировать вживую на сайте ведомства. Однако полный список участников слушания до сих пор остается нераскрытым.

Напомним, ранее президент США Дональд Трамп  подписал  указ о создании рабочей группы, задачами которой, помимо прочего, станет расследование преступлений, совершаемых с использованием биткоина и других цифровых валют.

Forklog

 

American Express будет подтверждать транзакции с помощью блокчейна

Распределенный реестр будет использоваться в качестве дополнительного уровня верификации транзакций в сети American Express

Международная платежная компания American Express (AmEx) подала патентную заявку, согласно которой планируется использовать блокчейн для подтверждения транзакций.

В заявке, поданной в Ведомство по патентам и товарным знакам США, описывается «система, основанная на блокчейне», которая будет получать «подтверждение платежа, включая сумму транзакции и идентификатор продавца».

Кроме того, в патентной заявке подчеркивается роль технологии в сохранении «данных транзакции, данных контракта, данных подтверждения платежа, идентификационных данных и/или другой необходимой информации». Таким образом, возможности подобной системы можно подогнать под самые разные нужды.

Еще одним возможным применением технологии может стать «разблокировка двери отеля или другой арендованной площади с помощью карты (например, карты, использованной для оплаты) и одновременная проверка платежа в блокчейне». Если же расширить систему, то ее можно внедрить «для пропуска клиентов на мероприятия, концерты или в кино без использования билетов».

Отметим, что на данный момент неизвестно, будет ли предлагаемая American Express система размещена в приватной, публичной или корпоративной среде. Тем не менее, в патентной заявке отмечается, что «публичные сети могут увеличить вычислительную способность сети и улучшить безопасность».

forklog.com

 

В Гонконге можно будет заплатить биткоинами через POS-терминалы

Позже устройства Pundi X планируют разместить и в других городах и странах

Индонезийский стартап Pundi X, который намерен построить криптовалютную торговую офлайн-сеть, завершил тестирование своих POS-устройств. К концу августа 5,5 тыс таких терминалов поставят в Гонконг.

Этот шаг стартапа к расширению использования биткоина и других криптовалют для розничных платежей в городских кафе и ресторанах оспаривает позицию валютного ведомства Гонконга. Регулятор считает, что биткоин не является ни средством оплаты, ни электронными деньгами.

Pundi X стремится зарекомендовать себя как «криптовалютный Wal-Mart или 7-Eleven» и пытается построить платежную сеть, позволяющую потребителям платить с помощью различных криптовалют через POS-терминалы. Устройство Pundi X может использоваться с криптовалютной платежной картой, на которой есть биткоины или эфир. Также терминал поддерживает оплату через мобильные кошельки и электронные опции от Visa, MasterCard и Apple Pay.

“Гонконг — идеальное место для тест-драйва перед масштабным запуском, так как тут много туристов, эмигрантов и поклонников технологий” - Зак Чиа, соучредитель и генеральный директор Pundi X

За пределами Гонконга компания Pundi X хочет к 2021 году установить до 100 тыс POS-терминалов.

scmp.com

 

Стало известно, кто профинансирует первый в мире блокчейн-банк

Мальта является оазисом с точки зрения регулирования криптовалютных проектов

Крупнейшая в мире криптовалютная биржа Binance стала инвестором будущего децентрализованного банка, который будет создан на Мальте. По информации Bloomberg, в настоящий момент криптобиржа ждет одобрения со стороны финрегуляторов островного государства.

Отмечается, что банк будет работать в рамках финансовой нормативно-правовой базы Европейского Союза. По словам представителей проекта, банк, основанный на блокчейн-технологии, должен стать первым полностью децентрализованным финучреждением, которое принадлежит крипто-сообществу.

На первоначальном этапе финансировать проект под название Founders Bank будет именно биржа Binance. Сбор средств будет проходить на блокчейн-платформе Neufund, которая займется выпуском токенов проекта.

По данным Binance, продажа токенов «будет проводиться в соответствии с немецкими правилами регулирования в партнерстве с одной из крупнейших бирж Европы», а состоится она — в конце 2018 года.

Подчеркивается, что Binance получит пятипроцентную долю в банке на ряду с другими инвесторами. Текущая предварительная оценка проекта составляет $155 млн. В Binance заявляют, что законодательство Мальты создает «благоприятную среду для блокчейн-проектов».

dailyhodl.com.

 

Стало известно, какая страна стала лидером в области ICO

Некоторые страны хотят упростить требования к проведению ICO

Первичное предложение монет (ICO) продолжают активно проводить многие крипто- и блокчейн-проекты. По данным нового исследования, США стали лидером в этой области, несмотря на нечеткую позицию финрегуляторов.

Согласно отчету, опубликованному организаторами конференции  Crypto Finance Conference, которая пройдет в сентябре текущего года в Калифорнии, 30 из 100 крупнейших на сегодняшний день ICO были проведены в США. На втором месте находится Швейцария с 15 проектами, а на третьем — Сингапур (11 проектов).

“ICO продолжает набирать обороты. В течение первого квартала 2018 года проекты привлекли $6,3 млрд, а это больше, чем за весь 2017 год. Данное исследование будет полезно для следующего поколения проектов. Оно поможет понять, как страны относятся к блокчейн-технологии и криптографии” - Андреа-Франко Штор, глава Crypto Finance Conference 

В исследовании также отмечалось, что ряд государств прилагают все усилия, чтобы ввести в действие правила, которые упростят проведение ICO. В число таких стран вошли Россия, в которой проведено 6 крупнейших ICO, и Эстония, где прошло 4 ICO.

venturebeat.com.

 

Банковский блокчейн-консорциум R3 может выйти на IPO

Состоящий из более чем 200 финансовых учреждений блокчейн-консорциум R3 рассматривает возможность проведения первичного публичного размещения акций, однако окончательное решение по этому вопросу пока не принято. Об этом сообщает Bloomberg со ссылкой на знакомые с ситуацией источники.

По информации издания, компания ведет соответствующие переговоры с юридическими советниками, и потенциальные покупатели, как утверждается, уже заинтересованы в этом предложении.

В силу конфиденциальности переговоров имена источников не разглашаются. Окончательное решение касательно выхода R3 на IPO примет основатель и CEO компании Дэвид Раттер совместно с существующими инвесторами.

«Мы не удивлены этим спекуляциям, учитывая успех [платформы] Corda, но IPO – это не тот путь, который мы рассматриваем сейчас. С самого начала нашей миссией было создание блокчейн-решения для самого широкого бизнес-сообщества, и любое решение мы будем принимать с учетом этой целиактора»,— говорится в официальном заявлении R3.

В состав консорциума входят такие крупные организации, как Intel, Microsoft, US Bancorp, Wells Fargo, Bank of America, ABN Amro Group NV, Barclays, Bain & Co., Bank of New York Mellon Corp и Deutsche Bank AG.

Forklog

 

Хакеры присвоили $10 млн с помощью социальной инженерии

Как хакеры «взламывали» крипто-инвесторов и воровали миллионы

Специалисты по компьютерной безопасности из Лаборатории Касперского обнаружили, что за последний год злоумышленникам удалось заполучить более 21 тыс ETH (около $10 млн) с помощью социальной инженерии. Об этом говорится в пресс-релизе компании.

Согласно информации документа стало известно, что с начала 2018 года мошенники, пытающиеся украсть криптовалюты, спровоцировали более сотни тысяч предупреждений от антивирусов.

Наибольшему риску подвергаются ICO-инвесторы. Злоумышленники используют фишинговые сайты и подставные электронные письма, чтобы заставить жертву перевести криптовалюту на их кошелек. Так, представители ICO-проекта Switcheo сообщили, что мошенники украли более $25 тыс с помощью поддельного аккаунта в Twitter.

Еще один популярный способ мошенничества – «раздача криптовалют». Жертвам обещают выплатить большое количество криптовалюты через некоторое время, если они перечислят незначительное количество цифровых активов на счет мошенникам.

Зачастую для кражи средств используются поддельные аккаунты известных личностей, таких как Илон Маск или основатель Telegram Павел Дуров.

“Успех преступников указывает на то, что они умеют использовать слабости и желания жертвы. Человеческий фактор всегда был самым слабым звеном в кибербезопасности” - Надежда Демидова, ведущий аналитик Лаборатории Касперского

Демидова также отмечает, что шаблоны мошеннических действий постоянно эволюционируют, и защититься от них не так просто. При этом, по ее мнению, сфера криптовалют для преступников весьма привлекательна и прибыльна.

forklog.com.

RSS

Все новости...