ОБЗОР СМИ
Банковские карты могут заменить льготные удостоверения
Ассоциация «Финтех» разрабатывает внедрение уникальных идентификаторов россиян с информацией о положенных им льготах на банковские карты или SIM-карты.
Разработка должна заменить различные льготные удостоверения. Данные ID позволят россиянам получать скидки в магазинах, аптеках и других местах, где при совершении покупок просят предоставить документы, подтверждающее льготы.
Как заявил «Известиям» источник в ЦБ, в настоящее время решается вопрос о том, куда лучше записывать идентификатор — на карты банков или мобильных операторов.
«Возможность использования единого идентификатора или иного инструмента цифровой идентификации для быстрого и удобного получения услуг гражданами сейчас прорабатывается», — сообщили газете в пресс-службе Банка России.
В России могут ввести уникальные идентификаторы граждан для получения скидок и льгот
Каждому россиянину хотят присвоить уникальный идентификатор, в который будет «зашита» дополнительная информация о льготах — например, член многодетной семьи, пенсионер. По ID в магазинах и аптеках они смогут получить скидки. Такой вопрос в настоящее время прорабатывает «Финтех» при Центробанке, пишут «Известия».
«Возможность использования единого идентификатора или иного инструмента цифровой идентификации для быстрого и удобного получения услуг гражданами сейчас прорабатывается, — рассказали в пресс-службе ЦБ. — После определения подходов к взаимодействию существующих систем цифровой идентификации, реализуемых как в государственном, так и частном секторе, можно будет определить механизмы дистанционного получения финансовых услуг, а также защиты от рисков, связанных с их применением».
По данным издания, вопрос, куда именно «зашить» ID (на банковскую или сим-карту), в настоящее время решается. Обе карты оформляются по паспорту, и, соответственно, на них проще добавить информацию о льготах. В настоящее время вместо ID используются различные удостоверения. Например, у пожилых людей есть пенсионное удостоверение, которое подтверждает их статус.
Руководитель направления аудита финансовых организаций Digital Security Андрей Гайко уверен, что логичнее записать ID на банковские карты.
«Этот способ является самым надежным, — пояснил эксперт. — Причем не важно, к какой платежной системе будет принадлежать эта карта. Программа может быть реализована на базе карт «Мир». Менее надежным вариантом кажется запись ID на сим-карты. Наиболее распространенный вариант мошенничества в этом случае — повторный выпуск симки. Обычно злоумышленники обращаются в салон сотового оператора и там через подкуп сотрудника делают дубликат карты».
Некоторые эксперты предположили, что не нужно вводить для россиян новые идентификаторы. По сути, сейчас функции ID уже выполняет СНИЛС, и его номер можно «зашить» в сим- или банковскую карту.
Visa: Россия стала лидером по платежам с помощью телефонов
Россия занимает первое место в мире по количеству операций через систему Android Pay, которая позволяет расплачиваться в магазинах, прикладывая смартфон к терминалу, заявила гендиректор Visa в России Екатерина Петелина.
А если учитывать платежи через Apple Pay, то Россия занимает третье место после США и Великобритании и намного обгоняет остальные рынки, добавила Петелина.
Для безопасности при платежах смартфон генерирует специальный код, или токен, который подменяет собой номер карты, а злоумышленник, если и похитит токен, то не сможет повторно его использовать. По числу таких сгенерированных токенов в Visa Россия и входит в первую тройку.
По словам Петелиной, это объясняется развитостью инфраструктуры в России, а также восприимчивостью к инновациям. «Когда я защищала российскую стратегию на ближайшие три года на глобальном правлении и объясняла, почему надо инвестировать в digital и инновации, президент Visa (Альфред Келли-младший) сказал, что эта страна первая запустила человека в космос и, наверное, они (россияне) как-нибудь с инновациями в платежах смогут разобраться, — отмечает Петелина. — В итоге я получила и деньги, и людей».
Внутренний враг: инсайдеры – слабое звено банка
Инсайдеры потеснили внешних злоумышленников в списке главных угроз информационной безопасности. Сотрудники банков сотрудничают с преступниками как добровольно, так и под давлением или в результате элементарного незнания. При этом жертвами обмана, вербовки и шантажа становятся вне зависимости от уровня компьютерной грамотности или позиции в банке.
Согласно данным исследования «СёрчИнформ», с начала 2017 года каждая четвертая кредитно-финансовая организация в России столкнулась с утечкой данных. Причем в 61% случаев конфиденциальную информацию пытались украсть рядовые сотрудники.
Угроза смешанного типа
Внешняя атака, особенно сложная, чаще всего невозможна без участия внутреннего сообщника с легальным доступом к корпоративной инфраструктуре. Чаще всего сотрудники помогают преступникам из меркантильных соображений. Однако пара «хакер – инсайдер» отнюдь не всегда образуется на добровольных началах. Злоумышленники прибегают к методам социальной инженерии, чтобы превратить сотрудника в невольного соучастника преступной схемы. Чаще всего используется фишинг: преступники обманом убеждают жертву перейти по ссылке или открыть вложение к письму, тем самым запустив вредоносное ПО. Кроме того, используется «подмена личности» – преступник действует якобы от имени партнера или известного жертве игрока.
Старый новый фишинг
Два года назад в России стала набирать силу тенденция, в рамках которой киберпреступники атакуют сами банки, а не клиентов. Распространенный вариант атаки – письма с трояном. Пользователь открывает письмо и запускает зараженное вложение, злоумышленник проникает в сеть, получает доступ к корсчету и отправляет платежное поручение.
Фишинг для взлома банковских систем использовала хакерская группировка Anunak, атаковавшая более 50 банков и пять платежных систем в России и странах бывшего СССР. За неполные два года преступники похитили около миллиарда рублей.
Не так давно Сбербанк разослал «учебное» фишинговое письмо от имени Германа Грефа, которое открыли 80% сотрудников. Фокус на фишинге не случаен. Эта техника социального взлома давно известна и хорошо изучена, но все еще востребована у злоумышленников.
Эксперты Google и Калифорнийского университета в Беркли представили итоги исследования, согласно которым фишинг возглавляет тройку наибольших угроз для пользователей. Авторы исследования изучили массив данных, включая учетные записи и пароли, украденные с помощью кейлоггеров, полученные методами фишинга и скомпрометированные в результате утечек. Исследователи пришли к выводу, что вероятность удачного взлома учетной записи жертвы фишинга в 400 раз выше, чем учетной записи случайного пользователя Google.
Опасность фишинга еще и в том, что метод постоянно трансформируется. Команда PhishMe обратила внимание на новую технику атак – селфи с документами. Нестандартная фишинговая кампания была нацелена на пользователей PayPal. Архитекторы атаки вели жертв на поддельный сайт платежной системы и предлагали «верифицировать аккаунт»: предоставить адрес, реквизиты банковской карты и фотографии с удостоверением личности в руках.
Жертвами социальной инженерии и объектами преступных манипуляций сотрудники становятся вне зависимости от уровня компьютерной грамотности или позиции в банке. Еще семь лет назад ИБ-специалист проанализировал базу спам-фильтра своей компании и обнаружил, что «письма счастья» охотно рассылали сотрудники различного ранга. Среди отправителей значились главный специалист отдела учета внутрибанковских операций, финансовый аналитик и замдиректора по экономике и финансам, а среди компаний – ВТБ 24, «Открытие», «ЛУКОЙЛ» и «Газпром». Безобидные, на первый взгляд, «письма счастья» несут скрытую угрозу. С их помощью социальные инженеры прощупывают почву: ищут потенциально ненадежных и легко поддающихся влиянию сотрудников.
Открытая вербовка
Если повлиять на сотрудника нелегко, в ход идут другие методы, с помощью которых мошенники превращают сотрудников банков в сообщников. Например, открытая вербовка. По словам заместителя начальника Главного управления безопасности и защиты информации Банка России Артема Сычева, преступников прежде всего интересуют банковские специалисты, которые в силу должностных полномочий влияют на принятие решений, в том числе и в сфере информационной безопасности.
Согласно отчету о монетизации инсайдерской деятельности в «темном» Интернете, начиная с 2015 года в течение 12 месяцев объем переписки профессиональных мошенников с инсайдерами в «темной» Паутине удвоился. Пик пришелся на конец 2016 года. На досках объявлений ищут кассиров с доступом к данным банковских карт, сотрудников, готовых открыть доступ в IT-систему, или просят назвать имена коллег, которых можно шантажировать. На форумах активно обсуждают инсайдерскую торговлю.
В примерах переписок, приведенных в исследовании, профессиональный мошенник объясняет сотруднику алгоритм действий и обещает семизначную сумму за обеспечение долгосрочного доступа к компьютерам, через которые осуществляется управление учетными записями и обрабатываются банковские переводы.
Легкость, с которой обычные пользователи попадают в «темный» Интернет, означает, что масштабы вербовки будут увеличиваться. Эксперты предупреждают о взрывном росте инсайдерских угроз в ближайшем будущем.
Шантаж
Вербовка сотрудников нередко сопровождается шантажом. Нацеленные на взлом банков мошенники в отличие от классических шантажистов требуют не денежный выкуп, а данные рабочей учетной записи или связку «логин – пароль» от корпоративного почтового ящика.
Компромат мошенники ищут в ранее украденных базах данных и социальных сетях. В Интернете доступны десятки бесплатных парсеров для сбора информации из соцсети «ВКонтакте», включая непубличную личную информацию, лайки, комментарии, членство в закрытых группах, участие в голосованиях, аккаунты в других социальных сетях. Платные версии позволяют узнать еще больше, а стоят от нескольких сотен до нескольких тысяч рублей.
Более изощренный способ заключается в том, чтобы «имплантировать» в ПК жертвы программу-шпион для сбора информации. Первый троян, использующий методы социальной инженерии для сбора компрометирующих сведений, обнаружилиисследователи из Diskin Advanced Technologies в середине 2016 года. Вредоносное ПО распространялось через игровые площадки и сайты «для взрослых». Оказавшись на компьютере жертвы, троян в том числе включал веб-камеру, чтобы записывать видео без ведома пользователя.
Страховка от инсайдеров
Технические средства помогут взять под контроль каналы коммуникации: корпоративную почту, мессенджеры, съемные устройства хранения. Например, на возможную проблему укажет взрывной рост количества сообщений между двумя пользователями, не связанными рабочими отношениями. Сигналом тревоги для службы безопасности станут и попытки сотрудников получить доступ к конфиденциальной информации в обход правил, и регулярное присутствие на рабочем месте в нерабочие часы без веских причин.
Чтобы застраховаться от последствий социальной инженерии, ИБ-специалисты самостоятельно формируют так называемые группы риска. Сотрудники с финансовыми проблемами, алкогольной, наркотической или игровой зависимостью, нелояльным отношением к начальству легче поддаются манипуляциям, потому их действия требуют более тщательного контроля.
В группу риска выделяют и сотрудников, посещающих специализированные ресурсы, например с инструкциями по обходу блокировок или руководством по использованию Tor. Маркерами подозрительного поведения служат поисковые запросы типа «как открыть удаленный доступ к ПК» или «как определить факт контроля».
Помогают предвосхищать инциденты нетехнические средства, в первую очередь – обучение персонала правилам ИБ. Например, после экспериментальной фишинговой рассылки Сбербанк создалобучающую игру для сотрудников. И в течение года количество реагирующих на подобные сообщения снизилось до нескольких процентов.
В финансовой сфере подход к безопасности давно сформировался: банки не жалеют денег на защиту, используют передовые разработки с элементами искусственного интеллекта и машинного обучения, внимательно относятся к актуальным угрозам. Технологии совершенствуются, и обмануть машину становится все сложнее. На этом фоне все отчетливее видно, что самое слабое звено – человек.
Проблема в том, что только 18% компаний (результаты опроса Gartner) реализуют стратегию защиты от внутренних угроз и обнаружения инсайдеров, вольных или невольных. Специалисты рекомендуют воспитывать культуру поведения пользователей, обучать сотрудников правилам информационной безопасности и настаивать на последовательном исполнении корпоративной политики.
Во время обучения и тестирования системы на сопротивляемость «социальному взлому» важно учитывать одну важную деталь. «Просвещая» пользователей о методах работы хакеров, следует избегать разглашения внутренних ИБ-практик. Чем меньше сотрудник знает о способах защиты, тем защита эффективнее. Пользователю просто нечего будет сообщить злоумышленнику как добровольно, так и под давлением.
Ethereum стал партнером первой московской блокчейн-коммуны
В московском здании 30-х годов на Шаболовке состоялось открытие блокчейн-коммуны. Одним из первых партнеров совместного проекта Внешэкономбанка и «МИСиС» стала организация Ethereum Foundation, в число резидентов также вошли стартапы Bitfury и Waves, сообщается в официальном пресс-релизе.
«В общественном корпусе здания будет центр блокчейн-компетенций и цифровых трансформаций. Это тысяча квадратов многофункционального образовательного пространства, где люди из ИТ-индустрии будут вести тинейджеров с разным бэкграундом. Тинейджеры будут реализовывать свои кейсы, у них нет страха — системного, корпоративного, еще какого-то, и это открывает перед менторами большие возможности», — сказал сооснователь «Теорий и практик» Аскар Рамазанов.
Как говорится в сообщении, зона для коворкинга позволяет вместить до 500 рабочих мест компаний-разработчиков блокчейн-продуктов. В офисе предусмотрены доступ к высокоскоростному интернет-каналу, современное кафе и переговорные комнаты.
«Центр блокчейн-компетенций Внешэкономбанка и НИТУ «МИСиС» размещается в пространстве дома-коммуны, который был восстановлен в 2016 году по первоначальным чертежам архитектора И. С. Николаева. Главная площадка блокчейн-коммуны — Hack Space, открытое и легко трансформируемое пространство для проведения питч-сессий, хакатонов, митапов, конференций и семинаров», — говорится в пресс-релизе.
Напомним, в конце прошлого года Внешэкономбанк заявил, что готов инвестировать в развитие блокчейна в России и активизировал усилия по внедрению этой технологии. Кроме того, в октябре 2017-го председатель банка Сергей Горьков сообщил о создании департамента тинейджеров в Центре блокчейн компетенций. На той же неделе организация подписаласоглашение о долгосрочном партнерстве с Ethereum Foundation.
Глава «Лаборатории Касперского» рассказал о собранных за 2017 год вирусах
«Лаборатория Касперского» ожидает, что в этом году соберет информацию о более чем 90 млн вредоносных программ, заявил основатель и глава компании Евгений Касперский.
«Двадцать лет тому назад, когда я основал компанию в 1997 году, в тому году мы зафиксировали около 500 вредоносных программ. Через десять лет, в 2007 году, в нашей коллекции было более двух миллионов вирусов. В этом году мы ожидаем, что будет более 90 миллионов вредоносных программ, приложений, скриптов, документов и так далее. 90 миллионов в течение года», — заявил Касперский, выступая на Всемирной конференции по Интернету.
Он рассказал, что в настоящее время в вирусной базе компании более 500 млн уникальных файлов.
«Это большие данные. Каждый день мы собираем более 300 тысяч новых вредоносных программ. Я думаю, что во время этой конференции будет около одного миллиона новых компьютерные вирусов. Это масштаб проблемы. К сожалению, это глобальная, масштабная проблема», — добавил он.
Все, что вы хотели знать о видах карт «Мир», но боялись спросить
Несмотря на то что основная доля держателей карт «Мир» — бюджетники, национальному пластику есть что предложить и другим клиентским сегментам. Банки.ру изучил, какие виды карт «Мир» и какие бонусы по ним представлены на рынке для клиентов, самостоятельно открывающих карту.
Что в имени тебе моем
Первые банки начали выпускать карты «Мир» еще в конце 2015 года. За это время продуктовая линейка претерпела серьезные изменения. Сейчас эмитентами карт «Мир»выступают уже 146 банков, а количество предлагаемых ими видов карт от национальной платежной системы в совокупности превышает несколько сотен.
Согласно данным из базы Банки.ру, сейчас на рынке представлено как минимум 300 дебетовых карт «Мир». Эта цифра в том числе включает в себя предложения для бюджетников и зарплатников.
В большинстве своем карты «Мир» представлены в классическом варианте, то есть как самые простые «дебетовки» с небольшой платой за годовое обслуживание — от нуля до нескольких тысяч рублей в зависимости от статуса карты. Самые дорогие классические карты «Мир» обычно предполагают наличие дополнительных бонусов на них — кобрендовой программы лояльности или одновременного начисления процентов на остаток по счету вместе с возвратом по cash back за покупки по карте. Первый год обслуживания нередко бесплатный. Также не будет взиматься плата за обслуживание карты «Мир» при соблюдении ряда указанных условий. Годовое обслуживание зарплатных карт в превалирующем большинстве случаев оплачивает работодатель.
Следует отметить, что даже классические карты «Мир» подразделяются на несколько видов.
Например, у многих банков отдельно есть «Классическая карта «Мир» и «Дебетовая карта «Мир». Как объяснял в интервью Банки.ру исполнительный директор по розничному бизнесу АБ «Россия» Максим Дружинин, для классической и дебетовой карт «Мир» действуют разные размеры комиссий за годовое обслуживание, перевыпуск, снятие наличных в банкоматах сторонних банков и тому подобные услуги. Также есть различия по ряду дополнительных опций. Например, держатель классической карты может подключить услугу кредитования по карточному счету — овердрафт, тогда как дебетовая карта этой возможности не предусматривает.
В то же время у банка «Центр-инвест» в линейке есть, например, «Народная карта «Мир» и «Универсальная карта «Мир». По словам руководителя направления по взаимодействию с платежными системами банка «Центр-инвест» Дмитрия Павленко, «Народная карта» предполагает стартовый пакет, который дает возможность пользователю в принципе попробовать, что такое карта «Мир», как ею расплачиваться и как с ней работать. Эта карта выпускается бесплатно. «Универсальная карта «Мир» — карта более высокого уровня, она предполагает начисление процентов на остаток по счету, возможность подключения овердрафта. Стоимость ее обслуживания в месяц — 30 рублей.
Ну-ка, карты, встаньте в ряд
Согласно данным базы Банки.ру, сейчас лучшие проценты на остаток по счету по дебетовой карте «Мир» для небюджетников предлагают ВТБ 24, банки «Первомайский» и «Восточный».
Карты «Мир» с самым большим остатком по счету в России
|
Карта |
Банк |
Проценты на остаток |
Годовое обслуживание |
Cash back |
|
ВТБ 24 |
до 10% |
0—2 998 руб. |
есть |
|
|
Банк «Первомайский» |
до 7,5% |
0—708 руб. |
есть |
|
|
Восточный Банк |
до 7,5% |
0—1 089 рублей |
есть |
|
|
Геобанк |
7% |
700/1 000 рублей |
есть |
|
|
Новикомбанк |
7% |
2 000 рублей |
нет |
|
|
Азиатско-Тихоокеанский Банк |
до 7% |
0 руб. |
есть |
|
|
Тинькофф Банк |
6% |
0—1 188 руб. |
есть |
|
|
Банк «Кузнецкий» |
6% |
1 188 руб. (включая выпуск) |
есть |
|
|
Владбизнесбанк |
6% |
590 руб. |
нет |
|
|
Кузнецкбизнесбанк |
6% |
350 руб. (включая выпуск) |
нет |
* Карта выдается жителям Дальнего Востока.
** Карта выдается жителям России старше 50 лет или имеющим документально подтвержденное право на получение пенсии или социальных пособий.
Как правило, дороже всего обходится обслуживание премиальных карт, а первый год обслуживания различных карт «Мир» бесплатен. При этом, как недавно выяснили аналитики Банки.ру, самая доходная карта не всегда самая выгодная.
Есть среди карт «Мир» и карточки с кешбэком (возвратом части суммы от каждой покупки). Если рассматривать карты, которые предполагают начисление cash back на любые покупки и которые доступны всем категориям граждан, то получим, что величина данного бонуса на рынке равняется 0,3—2% от суммы покупки.
Следует отметить, что часть карт «Мир» с остатком по счету одновременно предусматривают кешбэк.
Подходящую вам дебетовую карту «Мир» с бонусом вы можете подобрать на нашем сайте в соответствующем разделе. Некоторые дебетовые карты предполагают возможность оформления овердрафта (своеобразный вид кредита на короткий срок и небольшую сумму).
К некредитным продуктам среди карт «Мир» также относятся prepaid-карты (предоплаченные) и виртуальные карты.
«Предоплаченными называют карты, к которым банковский счет не открывается. Виртуальная карта по своей сути — та же предоплаченная, но не имеет физического носителя, а представляет собой некие реквизиты: номер карты, срок ее действия и код безопасности, с помощью которых можно совершать покупки или производить расчеты через Интернет. Первую виртуальную карту предложил банк «Россия». Предоплаченную карту ПС «Мир» предлагал в свое время банк «Ак Барс», — говорит эксперт по банковским картам Банки.ру Екатерина Марцукова. — Пластиковые и виртуальные предоплаченные карты могут пополняться, при этом установлен максимальный платежный лимит — 15 тысяч рублей, если клиент не проходил процедуру идентификации в банке. Сумма лимита может быть увеличена после идентификации клиента, но не может единовременно составлять более 600 тысяч рублей».
«Забугорные» истории
Вопреки р
