Комиссар лондонской полиции советует не возмещать жертвам хакеров убытки



Устаревшее программное обеспечение во многих случаях является причиной взлома компьютеров частных лиц или организаций. В частности, это актуально для браузеров — устаревшие версии такого ПО уязвимы для атак хакеров. Именно поэтому британские банки и правительство предлагают отключать клиентов с устаревшей версией браузера от онлайн-банкинга.

В последнее время в Великобритании участились случаи взлома аккаунта клиентов банков, причем причина взлома — именно устаревшее ПО на клиентском ПК. Глава полиции Лондона даже посоветовал банкам не возмещать (или возмещать только частично) средства пострадавшим по своей вине клиентам. По его словам, возвращать таким клиентам средства — все равно, что «вознаграждать за плохое поведение», поскольку сами жертвы поленились обновить антивирусное ПО и установить надежный пароль.

Правда, сразу внедрить подобное решение банки не смогут, реализация его будет включать несколько этапов.

Изначально ПО клиента банка, подключившегося к онлайн-сервису, будет анализироваться банком. Если программное обеспечение будет признано устаревшим, появится предложение обновиться. На данном этапе анализироваться будет версия браузера и антивирусного ПО. Если же клиент не среагирует, его могут отключить от ряда банковских сервисов. На последнем этапе предлагается вовлечь в проект операторов связи, которые смогут изолировать клиентов, чьи ПК поражены зловредным ПО. Либо же банки просто будут отказывать клиентам, которые потеряли свои средства из-за устаревшего ПО, в компенсации убытков.

Основная идея в этом случае — дать понять пользователям, что они отвечают за собственную безопасность, а не кто-то другой, будь то банки или полиция.
Поделиться с друзьями
-->

Комментарии (22)


  1. qwerty1023
    25.05.2016 19:08

    ПриватБанк уже так делает в Приват24, проверяется строка юзерагент браузера. «Защита» обходится правкой юзерагент.


    1. unlor
      26.05.2016 00:00

      Юникредит — тоже уже полтора месяца как https://www.unicredit.ua/img/Table_UO_ua.png
      Насчет обхода не знаю, нет желания экспериментировать.


      1. Saenco
        26.05.2016 12:59

        Вы не совсем правильную таблицу разместили.

        Вот более корректная
        image


        1. Xaliuss
          26.05.2016 13:05

          Не знаю, заходу на уникредит с последней версии огнелиса, вс' работает нормально, предупреждений нет. ЧЯДНТ?


          1. Saenco
            26.05.2016 21:10

            Если вы про систему для физических лиц, то там все работает нормально, а вот если для юридических — то мы узнаем, что в новых браузерах отключена Java…

            Пруф


            1. Xaliuss
              26.05.2016 21:54

              Да ситуация для физлиц и юрлиц разная. С клиент-банком для юрлиц знаком только по приватбанку. Там не так давно отказались от Java, и вместо неё ставят специальную криптопрограмму. Работает намного лучше, быстро и без глюков (десятка, огнелис). Java создаёт просто много проблем, в тех вебсервисах, которые её активно используют дофига глюков и багов.


    1. lexx_v11
      26.05.2016 02:23

      Тот, кто умеет править юзерагент, не нуждается в подобной опеке со стороны банка.


      1. betrachtung
        26.05.2016 08:26
        -1

        1. Получаем контроль над устаревшим браузером жертвы
        2. Ставим расширение, позволяющее менять юзерагент
        3. Прикидываемся последней версией
        4. ???
        5. PROFIT


        1. lexx_v11
          26.05.2016 16:09

          Идея в том, чтобы клиент банка сразу обновил свой браузер, а не ждал, пока хакер его взломает.


          1. betrachtung
            27.05.2016 03:51

            Да нет, идея-то верная и хорошая, но клиент же может подцепить зловреда ещё до входа на сайт банка. Я к тому, что одного лишь юзерагента мало, уж больно это просто обходится.


            1. Xaliuss
              27.05.2016 09:43

              Ну так основная идея в том, чтобы у подавляющего большинства клиентов стоял нормальный браузер, и такой подход сработает. Усложнение проверок не даст существенных бонусов по безопасности и может негативно сказаться на многих пользователях.


  1. steelshade
    25.05.2016 19:32

    Правильно, никто же не придет в банк с претензией, что они отдали деньки сотруднику который был одет в их форму (как в случае с фишлинками)


  1. servermen
    25.05.2016 21:18

    Правда, сразу внедрить подобное решение банки не смогут, реализация его будет включать несколько этапов.

    Изначально ПО клиента банка, подключившегося к онлайн-сервису, будет анализироваться банком. Если программное обеспечение будет признано устаревшим, появится предложение обновиться. На данном этапе анализироваться будет версия браузера и антивирусного ПО.

    Как интересно звучит! Кстати видел статью по jquery на эту тему: https://habrahabr.ru/post/150690/
    А есть ли действительно возможность определять какой антивирус стоит у посетителя сайта? Сейчас гуглил, но решения не нашел и похоже, что этим никто не интересуется.


    1. navion
      25.05.2016 23:46

      Антивирус никак не определить, в ентерпрайзе это делают установкой агента, но банкам такое не позволят.


  1. OnelaW
    25.05.2016 21:49

    Я конечно плохо знаю банковскую ит-кухню мелкобританцев, но меня заинтересовала новость с другой стороны. Вот например у на запретят подобное. Это что тогда половина банк-клиентов которые с костылями напилены под ие6. Будут не валидны?


    1. Suvitruf
      26.05.2016 07:22
      +2

      И хорошо.


  1. Alexey2005
    25.05.2016 21:49
    +2

    Хорошо бы ещё все организации отключились от банков с устаревшими версиями банк-клиентов, которые в XXI веке до сих пор не запускаются без IE. А то до сих пор есть такие замечательные банки, банк-клиенты которых, например, IE 5 (именно 5!) требуют…


    1. OnelaW
      25.05.2016 22:03

      Медсанчасти, казначейства органов исполнения наказаний. Казначейства областных департаментов. далее по списку. Если будет такое у нас.

      В мелкобритании вероятность не ровна нулю если будет отключен хоспис или иное социальное учреждение.


  1. Saffron
    25.05.2016 23:49

    Ну так и не научились читать документацию. Столько лет пользуются вебом, и не знают, что это стандарт, а не платформа. Ходить и обрабатывать сайты могут каким угодно софтом. Хотите вместо веба сделать очередную джаву? Зачем трудиться, одна уже есть — возвращайтесь к ней. А ещё лучше сразу продавайте специализированное устройство для связи с банком, потому что ПК по своей сути не надежён.


  1. eugzol
    26.05.2016 05:22
    +1

    В Британии ещё не изобрели двухфакторную авторизацию что ли? Почему взлом БРАУЗЕРА вдруг стал такой проблемой?


    1. Saffron
      26.05.2016 11:40

      Двухфакторная авторизация используется для подтверждения операций. Чувствительные данные, например, можно снять напрямую с браузера.


  1. Isopropil
    27.05.2016 11:04

    Так полноценные браузеры ведь самостоятельно обновляются! А если уж заботиться о безопасности — так все ИЕ вообще запретить надо.