Три старых дыры в безопасности, через которые у программиста украли несколько миллионов рублей
Эта схема стала возможна из-за трёх зияющих дыр в безопасности, на которые я указывал много раз.
1. Страны, из которых есть выдача в США
Дыра первая — страны, из которых есть выдача в США, и сами США. В любой такой стране любого русского могут арестовать, чтобы отправить в американскую тюрьму. Особенно сильно рискуют айтишники (которых в США обычно объявляют хакерами) и деятельные участники политической жизни. Если бы герой истории поехал в Крым, а не в Америку, остался бы на свободе и при деньгах. Если бы он поехал в Иран или в Китай, с ним тоже было бы всё в порядке. Но нет, как будто мёдом тротуары Нью-Йорка намазаны, надо было купить билет именно в это коррумпированное гнездо…
На всякий случай: я ровно ничего не знаю про обвинения, которые предъявили конкретно этому программисту, поэтому я не исключаю реальной его виновности. Однако американская судебная система сейчас настолько политизирована, что верить в справедливость её решений было бы не менее странно, чем верить в истории деревенского дурачка про длинноруких русалок, которые живут в пруду.
В любом случае, грешен программист, или нет, если бы он не полетел развлекаться в США, он бы не сел там в тюрьму.
2. Выдача сим-карт
Сейчас раздобыть дубликат чужой сим-карты довольно просто. Операторы сотовой связи не придают значения проблеме, не считают нужным её решать.
Как законопатить эту дыру, сделав так, чтобы получение чужой сим-карты стало по-настоящему сложным делом, тема для отдельной беседы: многое можно исправить при наличии политической воли за три месяца, но есть некоторые особенности оборота сим-карт, как будто специально придуманные для удобства мошенников.
Операторам сотовой связи, однако, стоило бы законопатить как минимум самые крупные дыры в системе безопасности. И у меня даже есть догадка, почему они так не делают. Полагаю, государство просит операторов не повышать цены на звонки, чтобы не раздражать лишний раз электорат, а взамен на исполнение «просьбы» государство на многие шалости закрывает глаза.
3. Авторизация в банках через пароль и смс
Нормальный банк не должен выдавать клиенту крупные суммы через смс, так как смс вместо клиента может получить любой изобретательный жулик, причём сразу через несколько дыр.
Давно уже придуманы два простых и реально надёжных способа, которыми банк может проверить, что на том конце оптоволокна действительно его клиент. К сожалению, известные мне крупные банки этими способами пренебрегают.
Способ первый — скретч-карты или OTP-токены. Работает это так. Вам надо войти в банк-клиент. Банк запрашивает: «введите код № 33». Вы стираете монетой на куске пластика фольгу над цифрой 33 и читаете одноразовый пароль. Более технологичный вариант — вы нажимаете кнопку на OTP-токене (в виде брелка), и он высвечивает вам пароль на маленьком ЖК-экране. Конечно, и тут у хакеров остаётся небольшой зазор для взлома, однако если банк грамотно всё организует, то хакеру будет дешевле отступиться от затеи — попытаться украсть деньги где-нибудь в другом месте. Кстати, если есть случаи взлома скретч-карт в России, пожалуйста, напишите в комментариях. Лично я пока что о таком нигде не читал.
Способ второй — установка лимитов на операции без личного присутствия. Допустим, в обсуждаемом примере, до 100 тысяч рублей в день, до 300 тысяч в месяц. Тогда мошенники смогли бы нанести на порядок меньший ущерб.
Некоторые скажут: «а ведь банки и сейчас ставят такие лимиты!». Да, действительно, многие банки позволяют поставить ограничение на переводы. Вот только эти ограничения обычно можно снять или в приложении, или по телефону. По телефону попросят кодовое слово, но кодовое слово, опять-таки, можно поменять в приложении.
Кстати, система кодовых слов в банках — один из лучших примеров кривого, небезопасного и враждебного пользователям интерфейса. Кодовые слова нужны раз в несколько лет, поэтому запомнить их решительно невозможно. Сделать одно кодовое слово для всех банков, клиник и так далее нельзя, так как где-то требуют только буквы, где-то обязательно нужны цифры и так далее. Кодовое слово можно выманить у жертвы, спровоцировав звонок в банк в присутствии хакера. Кодовое слово несложно угадать, так как фантазия у большинства пользователей идёт обычно по стандартному пути. Наконец, словарный запас у операторов банков невелик, поэтому редкое слово в качестве пароля не подойдёт: они не смогут правильно записать его на слух.
Почему банки игнорируют все эти очевидные соображения, понятно.
Во-первых, хакеры не являются серьёзной проблемой для банков, так как взломы такого рода относительно редки, и так как банки по умолчанию натравливают на клиента юристов, чтобы за свою беспечность не отвечать.
Во-вторых, банки — крупные и жёстко регулируемые структуры, что делает их бюрократическими болотами. В банках не выживают сотрудники, которые могут встать и сказать: «мы занимаемся ерундой, укрепляя бронированную дверь, но оставляя ключ от двери под ковриком и держа нараспашку окно на первом этаже».
Практические выводы из вышеизложенного следующие.
1. Не надо ездить в страны, из которых есть выдача в США, особенно если вы заняты серьёзными делами, и ваша работа связана с айти.
2. Не надо класть все яйца в одну корзину. Раскидайте ваши деньги по разным банкам, а доступ к банкам — по разным операторам сотовой связи. Подумайте о том, чтобы хранить часть денег не в виде единиц и нулей на обдуваемом всеми ветрами банковском сервере, а в чём-нибудь менее киберпанковском: в физическом золоте, например.
Также при выборе банка уточняйте, есть ли там возможность подключить OTP-токен. В некоторых банках (к сожалению, обычно в маленьких) эта надёжная система есть.