О виновности жертв

Правовед

добавить в избранное

О виновности жертв

Прочитали: 12553 Комментариев: 96 Рейтинг: 94

3 октября 2018

К чему приводит невнимательность:

Согласно сообщениям в чешской прессе, двое «хакеров» получали доступ к чужим аккаунтам, подбирая простые пароли.

Чешское подразделение телеком-провайдера Vodafone пытается возложить всю полноту ответственности на жертв взлома. Чешское издание Idnes.cz пишет, что оператор даже отправлял коллекторов к некоторым своим клиентам, чтобы заставить тех возместить украденное хакерами.

Сами жертвы, между тем, утверждают, что понятия не имели о том, что им при продаже установили пароль 1234, или что существовал какой-либо онлайновый магазин по продаже услуг Vodafone. Представители провайдера признали, что кто-то из работников компании мог устанавливать конечным клиентам простой пароль, но те всё равно должны были озаботиться собственной безопасностью и сменить пароль на более надёжный.

http://safe.cnews.ru/news/top/2018-09-07...

Как так получилось? Договоры нужно читать! Но не станем искать требования регуляторов в Чехии – вот требования Банка России:

4.2. Для снижения банковских рисков, которые связаны с недостаточной защитой от ВК (вредоносный код) клиентских АРМ систем ДБО (операционного, правового, стратегического, риска потери деловой репутации (репутационного риска) и риска ликвидности), кредитной организации рекомендуется:

4.2.1. Разработать, утвердить уполномоченным органом управления кредитной организации и при необходимости пересматривать требования по организации и осуществлению клиентами - пользователями систем ДБО защиты от ВК клиентских АРМ систем ДБО*(3) (далее - требования по защите от ВК клиентских АРМ систем ДБО), а также порядок подтверждения выполнения клиентами - пользователями систем ДБО указанных требований по запросу кредитной организации*(4).
4.2.2. Изложить требования по защите от ВК клиентских АРМ систем ДБО в договорах (соглашениях), предметом которых является предоставление клиентам услуг ДБО (далее - договоры), а также в эксплуатационной документации на системы ДБО и в памятках, передаваемых клиентам при заключении договоров.
4.2.3. При внесении кредитной организацией изменений в состав и содержание требований по защите от ВК клиентских АРМ систем ДБО информировать клиентов об этом и вносить соответствующие изменения в ранее заключенные договоры и эксплуатационную документацию на системы ДБО.
4.2.4. При изменении порядка подтверждения выполнения клиентами требований по защите от ВК клиентских АРМ систем ДБО вносить соответствующие изменения в ранее заключенные договоры.
4.2.5. Предусматривать в договорах положения, в соответствии с которыми кредитная организация не несет ответственность в случаях финансовых потерь, понесенных клиентами в связи с нарушением и (или) ненадлежащим исполнением ими требований по защите от ВК клиентских АРМ систем ДБО, а также включать в договоры описание процедур разрешения споров, возникающих в связи с компрометацией аутентификационной и идентификационной информации, используемой клиентами для доступа к системам ДБО (логины, пароли, биометрическая информация и тому подобное) и (или) с нарушениями в работе клиентских АРМ систем ДБО, в том числе являющимися следствием воздействия на клиентские АРМ ВК.

https://www.garant.ru/products/ipo/prime/doc/70526030/

Короче: договор банка с клиентом должен описывать меры по защите. «Кредитная организация не несет ответственность в случаях финансовых потерь, понесенных клиентами в связи с нарушением и (или) ненадлежащим исполнением ими требований по защите», а на случай если клиент не исполняет требования или вообще не читал договор – требуется «включать в договоры описание процедур разрешения споров», возникших в том числе после «воздействия на клиентские АРМ ВК».

А вот – первый случайно попавшийся банковский документ:

Банк настоятельно рекомендует придерживаться приведенных ниже правил:

Использовать SMS-подтверждения. Сервис позволяет подтверждать суммы платежных документов отправляемых Клиентом.
Использовать IP-фильтрацию - дополнительный сервис, запрещающий пользование ключами ЭП на компьютерах вне вашего офиса. IP-фильтрация позволяет быть уверенным в том, что информация, передаваемая в банк, будет обработана только в случае совпадения IP-адреса передающего компьютера с IP-адресом клиента, хранящимся в базе данных банка;
Не допускать использования «пустых» или простых паролей, например 123456, qwerty, для всех учетных записей, имеющих право входа в Windows. Осуществлять периодическую смену паролей, рекомендуемая частота смены паролей -1 раз в месяц;
Ограничить доступ к компьютерам, используемым для работы с;
При обслуживании компьютера ИТ-сотрудниками, обеспечивать контроль над выполняемыми ими действиями;
На компьютерах, используемых для работы с Системой, исключить посещение Интернет-сайтов сомнительного содержания, загрузку и установку нелицензионного программного обеспечения и т.п. По возможности, полностью запретить все соединения (входящие и исходящие) с сетью Интернет, разрешив только доступ к необходимым ресурсам;
Использовать только лицензионное программное обеспечение, обеспечив автоматическое обновление системного и прикладного программного обеспечения;
Применять на рабочем месте лицензионные средства антивирусной защиты, обеспечив возможность автоматического обновления антивирусных баз, а также еженедельную полную антивирусную проверку;
Применять на рабочем месте специализированные программные средства безопасности: персональные файрволы, антишпионское программное обеспечение и т.п.;
Осуществлять антивирусную проверку любых файлов и программ, загружаемых из сети Интернет, полученных по электронной почте или на внешних носителях (дискеты, флеш-накопители, CD/DVD и др.);
Проводить полную антивирусную проверку после любых действий внештатных IT-специалистов или других сотрудников, выполнявших операции на компьютере, используемом для работы с системой. Например, решение технических проблем: подключения к сети Интернет, установки или обновления бухгалтерских и информационно-правовых программ;
Не допускать работу под учетной записью Windows, имеющей права администратора. Необходимо использовать учетную запись с ограниченными правами в операционной системе Windows, установленной на компьютере;
Запрещать использование любых средств удаленного (дистанционного) доступа, которые обычно используется IT-специалистами для удаленной поддержки. Заблокировать возможность использования таких средств с помощью файрвола (программного и/или аппаратного);
При возникновении подозрений на несанкционированное использование Секретных ключей ЭП или наличие в компьютере вредоносных программ – обязательно заблокировать ключи ЭП;
Если Вы заметили проявление необычного поведения программного обеспечения ... или какие-то изменения в интерфейсе программы – позвонить в Банк и выяснить, не связаны ли такие изменения с обновлением версии программного обеспечения. Если нет – заблокировать ключи ЭП.

Все вменяемо, логично, ничего сверхсложного. Тем более что добрая половина требований выполняется за счет установки и настройки современного антивируса.

Еще вариант:

Используйте компьютер только для целей осуществления электронных платежей в системе ДБО Банка. Разрешите доступ с компьютера в сеть Интернет только на необходимые для работы IP-адреса (сервер системы ДБО Банка, серверы обновления операционной системы, антивируса и т.п.). Ни в коем случае не используйте компьютер, с которого осуществляется работа в системе ДБО, для развлечений и Интернет-серфинга, не посещайте сайты сомнительного содержания (наибольшие источники распространения вредоносных программ).
Используйте на компьютере с системой ДБО только лицензионное программное обеспечение, что снижает риск «взлома» (например, операционных систем, пакетов для офисной работы и т.п.). Своевременно устанавливайте все обновления на операционную систему.
Используйте современное лицензионное антивирусное программное обеспечение, которое имеет режим постоянного файлового мониторинга, контролирует сетевой трафик, электронную почту. Своевременно обновляйте антивирусные базы.
Установите пароль на доступ к компьютеру. Желательно установить на рабочий стол «экранную заставку» со временем блокировки экрана не более 5 минут после окончания работы (т.е. если ответственный сотрудник не работает за компьютером более 5 минут - компьютер включает «экранную заставку»), которую можно разблокировать только после ввода пароля.
Используйте для повседневной работы только пользователя с ограниченными, минимальными полномочиями. Не работайте на компьютере с правами Администратора.
Административные полномочия в операционной системе следует использовать только Системным Администраторам для решения задач администрирования или для установки и настройки операционной системы и программного обеспечения.
Ограничьте доступ к компьютеру, с которого осуществляется подключение к системе ДБО Банка: компьютер установите в недоступном для посторонних лиц месте, в закрываемом на ключ помещении.
Отключите режим автозапуска на сменных носителях (CD, флеш-накопителях и т.п.). Всегда проверяйте посторонние сменные носители на отсутствие вирусов и иных вредоносных программ, а также свои флеш-накопители, если они подключались к другим компьютерам.
Не устанавливайте на компьютер системы удаленного управления, не разрешайте подключения к компьютеру как к удаленному рабочему месту.
Не устанавливайте и не сохраняйте подозрительные файлы, полученные из ненадежных источников, скачанные с неизвестных web-сайтов, присланные по электронной почте, полученные в телеконференциях. Такие файлы лучше немедленно удалять. В случае необходимости загрузки файла убедитесь, что он проверен антивирусом.

Прочие рекомендации

При ошибке и (или) сбое в работе аппаратно-программного обеспечения системы ДБО, которые могут привести к нарушению целостности данных в информационном контуре системы, обязательно позвоните в банк и убедитесь, что не произошло несанкционированного использования системы ДБО.

Тоже ничего нелогичного и сверхсложного!

Перед установкой и настройкой системы «Клиент-Банк» на рабочем месте Уполномоченного лица Клиента необходимо установить и настроить средства антивирусной защиты. Приобретение, установка и настройка данных средств осуществляется Клиентом самостоятельно. Антивирусное программное обеспечение должно быть настроено на ежедневное обновление его баз данных, текущий и не реже 1 раза в неделю полный контроль рабочего места Клиента на наличие вирусов и других вредоносных кодов

Банк не несет ответственности за ущерб, возникший ... в связи с нарушением и(или) ненадлежащим исполнением Клиентом требований по антивирусной защите своего рабочего места, а также в результате несанкционированного доступа к информации Клиента, возникшего не по вине Банка

Настоящим договором устанавливается, что до Клиента доведена информация о возможных рисках получения несанкционированного доступа к защищаемой информации

Банк не несет ответственность за последствия, возникшие в результате того, что Клиент не предоставил информацию, либо предоставил неполную информацию

Банк не несет ответственности за последствия, возникшие в результате того, что Клиент не ознакомился с сообщениями, переданными Банком посредством системы «Клиент-Банк» в порядке и в сроки, установленные Договором

Все логично.

А вот банк обязан:

4.2.6. Организовать консультирование клиентов - пользователей систем ДБО по вопросам защиты от ВК на постоянной основе с использованием телефонной связи, web-сайтов, электронной почты и тому подобное (прежде всего клиентов - пользователей систем ДБО, использующих сеть Интернет).
4.2.7. Организовать информирование клиентов - пользователей систем ДБО кредитной организации о новых разновидностях ВК, угрожающих безопасности клиентских АРМ систем ДБО, способах защиты от их воздействия и устранения последствий такого воздействия.

https://www.garant.ru/products/ipo/prime/doc/70526030/

Так что если есть проблемы с вирусами – смело можете обращаться в банк. Обязаны помочь!

#ДБО #взлом #пароль #законодательство

Антивирусная правДА! рекомендует

Читайте договоры и выполняйте их требования. Если что – виноваты будете вы.
Не забывайте о безопасности. Ваши деньги должны остаться у вас, не правда ли?

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

a13x Собкор
16:54:19 2018-10-10

Договоров, к сожалению, слишком много. Надо нанимать человека или заводить в своей семье такого, который бы все договора, заключаемые по жизни изучал. А на такого личного юриста могут положиться только люди с хорошим достатком.

alex-diesel Собкор
17:36:10 2018-10-05

@Любитель_пляжного_футбола,
15:02:10 2018-10-05

Да огромное количество подобных примеров. И что толку читать договора? Эти подлянки (формально честные и законные) предусмотрены у всех банков, а совсем без банковских услуг уже бывает весьма неудобно. Поэтому я и писал, что частный клиент не буквальный, но во многом заложник у банка. И мне очень трудно заставить себя им сочувствовать. Все что у них сопрут хакеры, они обязательно сдерут с клиентов, так или иначе, без премий и золотых парашютов себя не оставят.

Любитель пляжного футбола Собкор
15:03:23 2018-10-05

@kozinka.ru, понравилась ваша история про 25 пельменей. :)))

Любитель пляжного футбола Собкор
15:02:10 2018-10-05

@alex-diesel, да, вот в моём банке активно рекламировался один продукт, карта дебетовая, с нехилым ПГО, что можно было получать на остаток д/с 12% (или более, уже не помню). А буквально спустя два-три месяца поменяли условия, проценты теперь начисляются при движении средств на карте на определённую сумму в течение месяца, и исходя из этого уже начисляется определённый процент в зависимости от суммы. А люди ведь брали ту карту, учитывая условия на момент её приобретения, да и годовое обслуживание немалое оплатили, а тут раз тебе. И узнали об этом не сразу, да и не для этого приобреталась эта карта, нелепица какая-то, потрать десять тысяч в месяц, тогда получишь максимальный процент. Нет чтобы просто деньги лежали на карте. Ну а дальше больше, потом и процентную ставку понижали, через каждые несколько месяцев. По-моему, это просто завуалированный обман клиентов. А с точки зрения закона не придерёшься, ведь в условиях прописано, что они могут меняться. Вот так.

b_ice
14:41:26 2018-10-04

Защита любого рабочего места в первую очередь в руках пользователя, затем системного администратора, затем компании и только потом еще через много "затем.." в ответственности поставщика услуги, будь то информационный ресурс или ДБО.
Очень жаль что будут существовать пользователи, продолжающие игнорировать простые но "писаные кровью" советы и искать на кого-бы возложить вину.

МЕДВЕДЬ
13:20:33 2018-10-04

Большое спасибо за подробную инструкцию.

DrKV Собкор
11:28:01 2018-10-04

Бабушка поспорила с Семой, что он не съест 25 ее пельменей на то, что он уберет в квартире...
И вот Сема доедает 24-й пельмень, а 25-го в тарелке нет...
Это все, что надо знать о составлении договоров.

alex-diesel Собкор
07:50:40 2018-10-04

@Любитель_пляжного_футбола,
21:13:46 2018-10-03

Именно! Это типовые банковские(и не только банковские) хитрости. Поэтому умиляют авторитетные советы, внимательно читать и соблюдать все требования договора.

а с другой стороны, критиковать систему защиты и ответственности банк-клиент отдельно от вообще банковской сферы и банковских правил...
а проблемы банков и правил отдельно от экономики и законодательства вообще...
а экономику и законодательство отдельно от...

ka_s
07:13:16 2018-10-04

@kozinka.ru, Спасибо! Не знал. Репутация банка восстановлена!

Lenba
23:54:11 2018-10-03

Парадокс - жертва виновата

I23
23:49:04 2018-10-03

Выполняйте требования договоров и всё будет в ажуре

Zserg
23:42:16 2018-10-03

"Спасение утопающих..."

Littlefish Собкор
23:41:54 2018-10-03

@kva-kva, "Договоры очень неприятно и сложно изучать :)"
Начинаешь читать предложение вроде всё понятно, но когда подходишь к концу предложения уже забываешь что было в начале.

Littlefish Собкор
23:39:04 2018-10-03

Можешь идти с этим в банк (с)

I46
23:30:11 2018-10-03

Хакерам нас не достать, ведь с нами Dr.Web!

vla_va
22:12:39 2018-10-03

Много чего должен простой человек многим "партнерам"

Lia00 Собкор
22:06:11 2018-10-03

каких только договоров не бывает...

Dvakota
21:49:45 2018-10-03

Деньги в банку и закопать, поглубже !Потом забыть где закопал !

В...а
21:46:15 2018-10-03

Сомневаюсь, что в банке радостно встретят с моими проблемами в таком случае

Геральт Собкор
21:38:02 2018-10-03

Читать договоры и выполнять условия-это конечно нужно.

kva-kva
21:22:45 2018-10-03

Договоры очень неприятно и сложно изучать :)

Любитель пляжного футбола Собкор
21:13:46 2018-10-03

@alex-diesel, 09:24:58 2018-10-03

В банке, где я работал, в условиях договора прописывалось, что клиент обязан отслеживать изменения в условиях самостоятельно, на сайте или на информационных стендах в отделении банка. И что банк не обязан уведомлять клиента об изменениях. Полагаю, такая практика и в других банках. Думаю, лишь единицы это делают, и об изменениях многие уже узнают постфактум, когда это их непосредственно коснётся. Обязали бы банки, чтобы они уведомляли клиента об изменениях хотя бы по email. Незатратно для банка будет. А так банкам выгодно, чтобы клиенты невовремя узнавали об изменениях.

Любитель пляжного футбола Собкор
20:55:58 2018-10-03

@Biggurza, красиво вы завернули: «Меняй пароли с фазами Луны!»

Правда, намучаешься менять пароли каждый месяц, это уж для очень серьёзных организаций. Или для очень важных паролей.

mk.insta
20:52:31 2018-10-03

"Читайте договоры и выполняйте их требования" - лучше золота слова!

Любитель пляжного футбола Собкор
20:49:02 2018-10-03

Логично, надо читать договоры, а коли подписал, то будь добр, соблюдай условия, иначе пеняй на себя. В случае мошенничества по независящим от клиента причинам банк обязан возместить ущерб, но если клиент сам создал все условия для мошенников, то сам и виноват.

orw_mikle
20:28:12 2018-10-03

Договор нужно читать всегда, перед тем как подписывать.

Сергей
20:02:12 2018-10-03

К сожалению, договора очень часто бывают не очень понятными.

Шалтай Александр Болтай Собкор
19:48:46 2018-10-03

Людоед спрашивает у жертвы: — Как тебя зовут? — А сейчас—то вам на что? — Для меню!

Damir Собкор
19:32:59 2018-10-03

Как всегда -инструкции понятные, но не выполняются , а потом ищем виноватых.

Дмитрий
19:28:20 2018-10-03

Спасибо за рекомендации! И в договорах бывает все запутанно.

znamy
19:15:30 2018-10-03

У сбера есть такая дополнительная опция,если получаешь новую карту,предлагают за деньги защиту вашей карты.

Альфа
19:05:17 2018-10-03

Иногда внимательное прочтение договора спасает от больших проблем!

Влад
18:35:22 2018-10-03

Приходилось встречать деятелей с паролями 1234,договоры читать нужно, особенно то что прописано мелким шрифтом

Татьяна
18:19:31 2018-10-03

Действительно, договор нужно читать! Спасибо за напоминание!

La folle
18:18:43 2018-10-03

Действительно, читать нужно внимательно!

stavkafon
17:58:53 2018-10-03

Доверяй но проверяй.

Sasha50 Собкор
16:19:43 2018-10-03

Ни один банк не несет ответственности за ваши украденные через компьютер или смартфон деньги.

Sasha50 Собкор
16:16:59 2018-10-03

Мне понравилось про чехов: что клиенты "...всё равно должны были озаботиться собственной безопасностью и сменить пароль на более надёжный". В большинстве случаев никто ни чего не меняет.

Toma
16:14:47 2018-10-03

Да уж, читать договора не все любят. Спасибо за рекомендации!

jennywren
15:55:16 2018-10-03

Спасибо Доктору за полезную статью. Дальнейшего развития и процветания!

Alex_1774
15:33:55 2018-10-03

Всё, что связано с деньгами, требует особого внимания.

TV
15:11:41 2018-10-03

Не любит никто читать договора, все надеются на "авось".

RIBok
15:00:41 2018-10-03

И как бы всё логично и правильно в рекомендациях банков, но: а) они рассчитаны на корпоративных клиентов, едва ли "домашний" пользователь потянет покупку еще одного ПК и набора ПО исключительно для работы с банком б) рекомендации эти подходят именно для ПК, а не мобильных устройств (с которых в системах ДБО работает огромное число клиентов-физиков) в) сотрудники "зеленого" банка (и не только), в погоне за выполнением плана, очень любят установить на смартфон клиента мобильное приложение, естессно, факт наличия антивируса/или живности на устройстве их не интересует.

razgen Собкор
14:55:07 2018-10-03

Приходилось быть свидетелем, когда при оформлении кредита заемщики в первую очередь волновались и беспокоились об одобрении для них запрашиваемой суммы кредита. При этом все предлагаемые на подпись листы договора подписывали не читая, надеясь на добропорядочность банка, а главное боясь задать какой нибудь лишний вопрос - а то вдруг откажут.

Вячeслaв Собкор
14:48:57 2018-10-03

@eaglebuk, сочувствую. Эта гонка версий операционных систем - просто кошмар какой-то.

eaglebuk
14:29:40 2018-10-03

"@eaglebuk, а почему нельзя будет подписывать если XP? Обновление версий или приказ какой?"

@Вячeслaв, с 1 января Крипто-про нужен не ниже версии 4.0, а она официально не работает на Windows XP - там только 3.9 максимум. Пробовали обновлять 3.9 до 4.0, некоторые клиент-банки работают, некоторые перестают работать, пришлось возвращать 3.9. Такие же требования у СБИС++ - "С 1 января 2019 года запрещено формирование электронной подписи с помощью ключей ЭП ГОСТ P 34.10-2001. Вам необходимо перейти на использование ключей ЭП ГОСТ P 34.10-2012." Так что грядёт обновление систем, только что ставить - непонятно. Компьютеры старые, поставишь Windows 7 или 8.1 - ещё какое-то время поработать можно будет, но основная поддержка уже закончилась. Windows 10 как-то страшно ставить, я сам её не очень уважаю и не люблю настраивать, а пользователи так вообще ругают за непонятность.

anatol
14:15:10 2018-10-03

Внимательно,не торопясь, изучать договоры,осмотрительно вести себя в сети и,конечно, надежный антивирус - например Доктор Веб

Masha
13:51:56 2018-10-03

Интересный выпуск! Спасибо за рекомендации!

Ruslan
13:44:07 2018-10-03

"...Следи за собой! будь осторожен!.." Спасибо за выпуск!

Денисенко Павел Андреевич
12:50:45 2018-10-03

Люди виноваты в том, что подписывают договор не прочитав его (до конца). А потом удтверждают, что типа читали его.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

О виновности жертв

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей