Leif Gram: Mr. Fix

Безопасность

Недавно morfizm приглашал обсудить, у кого как реализована компьютерная безопасность: air gap, вооруженная охрана консолей, одноразовые предоплаченные анонимные телефоны и проч. Я сказал, что ничего подобного не имею, потому что все убытки в нашей американской действительности уже согласились покрывать банки-эмитенты платежных средств.

Так, да не так: Man sues T-Mobile for allegedly failing to stop hackers from draining his cryptocurrency account.

Фундаментально, вот почему биткоин не может стать деньгами, а вовсе не из-за волатильности доллара: у нас, благодаря NSA, не существует ни аппаратной, ни программной, ни организационной милитаризированной криптографии. Соответственно, никто не будет рационально хранить в биткоинах больше, чем готов отдать на благотворительность.
Непонятно, в чем тут особенность биткоина.
С таким же успехом другие мошенники, завладев телефонным номером, сменят пароль доступа к обычному банковскому счету.
В смысле - завладев возможностью получать СМС для этого номера на свой аппарат.
Ну не знаю, мой банк вообще не посылает никаких СМС никуда. И делать там особенно нечего, разве баланс посмотреть или заплатить за электричество.
В России множество банковских операций проводятся с помощью подтверждения по СМС в качестве двухфакторной аутентификации. Восстановление забытого пароля тоже делается через посылку СМС на известный номер владельца счёта.
Поэтому характерным видом мошенничества является перевыпуск сим-карты на номер другого человека.

У Гугла это тоже одна из возможностей.
В России да, особенно впечатляет, как они пользуются свифтом прямо на сети из обычного аккаунта. Мне для этого надо идти на прием примерно к директору банка.
Это удивительным образом поправилось недавно. Веллс Фарго теперь разрешает с сайта переводить, я уже пару раз попробовал - работает. Да, не больше 5000 в день, не больше 10000 в месяц, но и то хлеб. Конечно, отмывать так деньги медленно, но курочка по зернышку клюет. И да, был поражен, что они подтверждения требуют ответом на СМС с телефона. Наверняка, русские программисты делали.
Для меня улучшение. ПОтому что помимо повседневного отмывания денег (для которого эта штука слабо годится) я еще периодически перевожу деньги родственникам в Россию (да, сальвадорцы и прочие дримерс используют для этого Маниграм). И меня регулярные визиты в банк к вице-президентам, которые эту форму видят первый раз в жизни уже изрядно забодали.

А почему ухудшение?
Потому защитить-то это невозможно. Придет неизвестно кто и переведет неизвестно куда, а тогда уже не откатишь.
А, ну это понятно. С другой стороны, взломать счет с помощью фишинга можно и без всяких этих штучек и потом тоже ведь не откатишь. То есть, сильно эта штука безопасность не нарушила, она как была средненькая так и осталась. Ну, и я ведь тоже не первый день замужем, перевожу со счета, на котором лежит только минимально необходимая сумма.
Если межбанковский перевод - то, пожалуй, ничего. Внутри банка можно переводить другим клиентам. Но вот есть еще одна удобная штука - Bill Pay. Чтобы ей воспользоваться, нужно зарегистрировать получателя. А потом ему заплатить. Этот получатель технически может быть кем угодно, ему либо переводят деньги как например оплата кредитных карт или просто аналогом электронного чека, то есть, обычный чек. И вот тут, как я понимаю, можно сделать все что угодно. Да, будут приходить извещения, что ваш счет оплачен. Но если у меня украли доступ, то и почту можно сменить, а дальше процедура сбора костей может затянуться надолго.

Это я просто к тому, что дыр и сегодня достаточно, СВИФТ конечно это все делает еще более проблематичным, но несильно. Но визиты в банк к клеркам, которые свою фамилию вбить не могут, удручают еще больше. Это как старушка-вахтерша на входе в режимное предприятие.
Ну, надежда тут на то, что bill pay новому частному лицу - это бумажный чек, который пойдет ему в конверте по почте, и он должен будет его еще только через несколько дней депозитировать.
Да, верно. Но я помню, когда Веллс Фарго его ввел 2 года назад, двухфакторной верификации у них еще не было. Я еще подумал, что вот украдут у меня пароль, заведут получателя, и почту мою подменят. И буду я сидеть блаженно ни о чем не подозревая. Пока все денежки не переведут. Но я пользуюсь Минтом, а он все изменения на счету быстро отслеживает, так что я все узнаю сразу.

А вот лет 15 назад какие-то левые приятели дочери, которых она привела ко мне домой после вечеринки, украли у меня со стола пару чеков из книжки. Украли правильно, с конца, то есть, я не заметил. И попытались взять 4000. То есть, взяли, мне пришлось потом с этим разбираться. Их нашли и привлекли, но в принципе это сильно не отличается от того, что выше.
+1

У нас в Канаде в нашей деревне садишься в машину, едешь в головной оффис (поскольку в местном все напутают), берешь на всякий случай бумаги с прошлого перевода ( а то напутают и там) ....
Не, свифтом (которым за бугор валюту переводить) нигде в России нельзя воспользоваться без визита в банк ногами, насколько я знаю. То есть, вбить заявку можно на сайте, но потом все равно придется идти ногами, может быть клерк меньше времени потратит разве что, если ты сам уже все вбил.
А вот внутрироссийские переводы в рублях можно делать онлайн, да.

Чтобы кто попало не перевел мои деньги, лично я и использую физический генератор паролей. Тогда телефон мне уже не нужен (что тоже хорошо, потому что в поездке его могут украсть или я его потеряю, а до возвращения в России востановить не смогу). Нужен пароль к сайту банка (он в голове), генератор паролей, любая моя карта (она вставляется в генератор) и пин от нее (он в голове). Злоумышленникам потребовалось бы украсть у меня и генератор, и карту, и как-то узнать пин от нее, и таки иметь еще мою сим-карту - чтобы восстановить пароль к сайту.
А что за генератор паролей? Я только RSA SecurID знаю. Его в банке выдают?
Да, выдают в банке.
Такая штуковинка вроде маленького калькулятора с экранчиком и клавиатурой. В нее вставляешь карту с чипом, вводишь пин карты, набираешь несколько групп цифр, зависящих от транзакции (сайт банка говорит, что набрать), и получашь на экранчике код подтверждения. То есть этот код зависит от транзакции и от данных с чипа моей карты. Код вбивается на сайте для подтверждения транзакции.
Звучит как научная фантастика. Типа рассказов людей, ездивших в Америку.
Жене такой в Ситтбанке все время выдавали для ее бизнес-счетов. Она его исправно теряла, ей сразу давали новый. Я когда первый раз увидел, тоже подумал, что это из фильмов Кубрика.
> Злоумышленникам потребовалось бы украсть у меня и генератор, и карту, и как-то узнать пин от нее, и таки иметь еще мою сим-карту


То бишь встретить вас в темном углу ?



Edited at 2018-02-06 05:58 pm (UTC)
В темном углу у меня не будет с собой генератора паролей :)
А без него даже при всем желании я ничего не переведу.
Как раз с биткойнами все просто и привычно, как с золотом: записываешь на флешку, кладешь в сундук и закапываешь во дворе.
Я не умею записывать на флешку таким способом, чтобы гарнтировать, что у меня остались обе копии.
(Anonymous)
Можно использовать Live CD. Он не пишет ничего на харддрайв. Стартуете операционную систему с диска, создаете кошелек, переписываете адрес на бумажку, а пароль (или 12 слов или что там требуется для воссоздания кошелька в следующий раз) на флешку. Или тоже на бумажку, которую в сундук. Вытаскиваете диск, выключаете компьютер. В этот момент вся информация, кроме той, что на бумажках-флешке, исчезает.
(Anonymous)
Смотря что вам надо. Если просто создать новый кошелек, для получения биткойнов, то в сеть вам выходить не надо. Выходить надо будет тому, кто вам биткойны пошлет (по созданному вышеуказанным образом адресу). Еще надо будет выйти, чтобы убедиться, что биткойны пришли, то есть транзакция включена в блокчейн. Но это уже после перезагрузки компьютера, т.е. когда секретная информация останется только у вас на бумажке/флешке.