Комиссар лондонской полиции советует не возмещать жертвам хакеров убытки
Устаревшее программное обеспечение во многих случаях является причиной взлома компьютеров частных лиц или организаций. В частности, это актуально для браузеров — устаревшие версии такого ПО уязвимы для атак хакеров. Именно поэтому британские банки и правительство предлагают отключать клиентов с устаревшей версией браузера от онлайн-банкинга.
В последнее время в Великобритании участились случаи взлома аккаунта клиентов банков, причем причина взлома — именно устаревшее ПО на клиентском ПК. Глава полиции Лондона даже посоветовал банкам не возмещать (или возмещать только частично) средства пострадавшим по своей вине клиентам. По его словам, возвращать таким клиентам средства — все равно, что «вознаграждать за плохое поведение», поскольку сами жертвы поленились обновить антивирусное ПО и установить надежный пароль.
Правда, сразу внедрить подобное решение банки не смогут, реализация его будет включать несколько этапов.
Изначально ПО клиента банка, подключившегося к онлайн-сервису, будет анализироваться банком. Если программное обеспечение будет признано устаревшим, появится предложение обновиться. На данном этапе анализироваться будет версия браузера и антивирусного ПО. Если же клиент не среагирует, его могут отключить от ряда банковских сервисов. На последнем этапе предлагается вовлечь в проект операторов связи, которые смогут изолировать клиентов, чьи ПК поражены зловредным ПО. Либо же банки просто будут отказывать клиентам, которые потеряли свои средства из-за устаревшего ПО, в компенсации убытков.
Основная идея в этом случае — дать понять пользователям, что они отвечают за собственную безопасность, а не кто-то другой, будь то банки или полиция.
Устаревшее программное обеспечение во многих случаях является причиной взлома компьютеров частных лиц или организаций. В частности, это актуально для браузеров — устаревшие версии такого ПО уязвимы для атак хакеров. Именно поэтому британские банки и правительство предлагают отключать клиентов с устаревшей версией браузера от онлайн-банкинга.
В последнее время в Великобритании участились случаи взлома аккаунта клиентов банков, причем причина взлома — именно устаревшее ПО на клиентском ПК. Глава полиции Лондона даже посоветовал банкам не возмещать (или возмещать только частично) средства пострадавшим по своей вине клиентам. По его словам, возвращать таким клиентам средства — все равно, что «вознаграждать за плохое поведение», поскольку сами жертвы поленились обновить антивирусное ПО и установить надежный пароль.
Правда, сразу внедрить подобное решение банки не смогут, реализация его будет включать несколько этапов.
Изначально ПО клиента банка, подключившегося к онлайн-сервису, будет анализироваться банком. Если программное обеспечение будет признано устаревшим, появится предложение обновиться. На данном этапе анализироваться будет версия браузера и антивирусного ПО. Если же клиент не среагирует, его могут отключить от ряда банковских сервисов. На последнем этапе предлагается вовлечь в проект операторов связи, которые смогут изолировать клиентов, чьи ПК поражены зловредным ПО. Либо же банки просто будут отказывать клиентам, которые потеряли свои средства из-за устаревшего ПО, в компенсации убытков.
Основная идея в этом случае — дать понять пользователям, что они отвечают за собственную безопасность, а не кто-то другой, будь то банки или полиция.
Поделиться с друзьями
qwerty1023
ПриватБанк уже так делает в Приват24, проверяется строка юзерагент браузера. «Защита» обходится правкой юзерагент.
unlor
Юникредит — тоже уже полтора месяца как https://www.unicredit.ua/img/Table_UO_ua.png
Насчет обхода не знаю, нет желания экспериментировать.
Saenco
Вы не совсем правильную таблицу разместили.
Xaliuss
Не знаю, заходу на уникредит с последней версии огнелиса, вс' работает нормально, предупреждений нет. ЧЯДНТ?
Saenco
Если вы про систему для физических лиц, то там все работает нормально, а вот если для юридических — то мы узнаем, что в новых браузерах отключена Java…
Xaliuss
Да ситуация для физлиц и юрлиц разная. С клиент-банком для юрлиц знаком только по приватбанку. Там не так давно отказались от Java, и вместо неё ставят специальную криптопрограмму. Работает намного лучше, быстро и без глюков (десятка, огнелис). Java создаёт просто много проблем, в тех вебсервисах, которые её активно используют дофига глюков и багов.
lexx_v11
Тот, кто умеет править юзерагент, не нуждается в подобной опеке со стороны банка.
betrachtung
1. Получаем контроль над устаревшим браузером жертвы
2. Ставим расширение, позволяющее менять юзерагент
3. Прикидываемся последней версией
4. ???
5. PROFIT
lexx_v11
Идея в том, чтобы клиент банка сразу обновил свой браузер, а не ждал, пока хакер его взломает.
betrachtung
Да нет, идея-то верная и хорошая, но клиент же может подцепить зловреда ещё до входа на сайт банка. Я к тому, что одного лишь юзерагента мало, уж больно это просто обходится.
Xaliuss
Ну так основная идея в том, чтобы у подавляющего большинства клиентов стоял нормальный браузер, и такой подход сработает. Усложнение проверок не даст существенных бонусов по безопасности и может негативно сказаться на многих пользователях.
steelshade
Правильно, никто же не придет в банк с претензией, что они отдали деньки сотруднику который был одет в их форму (как в случае с фишлинками)
servermen
Как интересно звучит! Кстати видел статью по jquery на эту тему: https://habrahabr.ru/post/150690/
А есть ли действительно возможность определять какой антивирус стоит у посетителя сайта? Сейчас гуглил, но решения не нашел и похоже, что этим никто не интересуется.
navion
Антивирус никак не определить, в ентерпрайзе это делают установкой агента, но банкам такое не позволят.
OnelaW
Я конечно плохо знаю банковскую ит-кухню мелкобританцев, но меня заинтересовала новость с другой стороны. Вот например у на запретят подобное. Это что тогда половина банк-клиентов которые с костылями напилены под ие6. Будут не валидны?
Suvitruf
И хорошо.
Alexey2005
Хорошо бы ещё все организации отключились от банков с устаревшими версиями банк-клиентов, которые в XXI веке до сих пор не запускаются без IE. А то до сих пор есть такие замечательные банки, банк-клиенты которых, например, IE 5 (именно 5!) требуют…
OnelaW
Медсанчасти, казначейства органов исполнения наказаний. Казначейства областных департаментов. далее по списку. Если будет такое у нас.
В мелкобритании вероятность не ровна нулю если будет отключен хоспис или иное социальное учреждение.
Saffron
Ну так и не научились читать документацию. Столько лет пользуются вебом, и не знают, что это стандарт, а не платформа. Ходить и обрабатывать сайты могут каким угодно софтом. Хотите вместо веба сделать очередную джаву? Зачем трудиться, одна уже есть — возвращайтесь к ней. А ещё лучше сразу продавайте специализированное устройство для связи с банком, потому что ПК по своей сути не надежён.
eugzol
В Британии ещё не изобрели двухфакторную авторизацию что ли? Почему взлом БРАУЗЕРА вдруг стал такой проблемой?
Saffron
Двухфакторная авторизация используется для подтверждения операций. Чувствительные данные, например, можно снять напрямую с браузера.
Isopropil
Так полноценные браузеры ведь самостоятельно обновляются! А если уж заботиться о безопасности — так все ИЕ вообще запретить надо.