Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
Деньги
Личный опыт
AI
Соцсети
Телеграм
Крипто
Право
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Андрей Демчук
Деньги

Новый вид угроз для финансовых услуг

Жизнь и технологии меняются, мы сами шагнули в очень интересный мир, и я хочу обратить внимание банковское сообщество и брокерские сервисы на одну уязвимость, которая с лёгкой руки появилась в связи с принятием «Закона Яровой».

Операторы, согласно закону, наши с вами разговоры «стенографируют» и хранят. Со временем, у всё большего количества людей будут чесаться руки получить доступ к этим данным (тем более, когда они уже «стёрты», согласно регламенту). Интересна будет не та информация, где вы поздравляли с Днём рождения бабушку, а где разговаривали по телефону с оператором call центра банка или брокерской конторы. Оператор, согласно правильным регламентам служб безопасности, тщательно проверяет личность Клиента, уточняет фамилию, номер паспорта, кодовое слово и т.д. Я не работаю в сфере дата-центров, и знать не знаю, как именно хранятся данные, которые сейчас записываются, как настроены резервные копии, насколько они защищены от несанкционированного доступа. Но риск появления их на рынке вполне очевиден. Учитывая, что на наших просторах различные базы продаются очень активно, сложно себе представить, что каким-то магическим образом именно эти данные на 100% защищены.

По сути, все услуги финансовых организаций, которые настраивались для предоставления их по телефону - банкинг, брокерские услуги, становятся уязвимыми. Если представить, что сохраненная база разговоров уйдет на рынок, то злоумышленники смогут получить информацию по счетам Клиента, сменить пин-код банковских карт или заблокировать их, провести сделку по брокерскому счету и т.д. Возможно, что есть банки, с расширенным перечнем услуг по телефону, когда можно проводить переводы на внешние счета (им «повезло» больше всех).

Угроза появления таких прецедентов достаточно серьёзная, и брокерским сервисам, и банковским службам безопасности, как минимум, нужно пересмотреть схему идентификации пользователя по телефону и добавить в неё дополнительные элементы: смс идентификацию, коды с карточки (по старинке), коды в приложении банка, электронные токены и т.д.

Такие методы по крайней мере позволят минимизировать риски неприятных ситуаций как для Клиентов, так и для самих финансовых организаций.

7
29 комментариев