Безопасность

1) Мне вот интересно, чем и о чём думают люди, мало того, что засвечивающие в интернете содержимое своих счетов, то есть сами нарушающие тайну, которую по крайней мере обязаны хранить банки и брокеры, так ещё и иные различные персональные данные заодно?

2) Ещё интереснее, чем думают люди, которые в настоящее время и почти с момента появления всяких сервисов на сайтах типа госуслуг толпами ломанулись оставлять там огромную массу персональных данных, да ещё и привязывать их к своим электронным почтам, не заведённым специально для этого, а используемым везде?

3) И чисто риторический вопрос… вот что и в каком количестве должно ещё случиться, чтобы люди начали наконец уже устанавливать на свои устройства антивирус (да хоть и касперского — не самый плохой, кстати, если «железо» не «из музея»), определитель номеров (ну хотя бы яндекса) и т.д., не говоря уж о использовании только обновляемых версий андроида/винды, ну или переходе на линукс..?

Службы безопасности банков и мобильных операторов такое ощущение, что вообще не работают.

Всем привет.
В начале года писал статью про ВТБ. Банк втихаря отменил двухфакторную идентификацию в приложении на телефоне, оставив один фактор, т.е. вход лишь по коду из смс. Функция «запрета изменения пароля без посещения банка», которая осталась висеть, по наследству, в новом личном кабинете ВТБ не используется когда заходишь не через сайт, а через банковское приложение.
Вот тот пост: smart-lab.ru/blog/676495.php
     Но не суть.
После просмотра десятков постов на банки.ру пришел к выводу, что единственным способом защитить себя — установить пин на сим карту и перевыпустить ее у виртуального оператора, аффилированного с банком (ТинькоффМобайл, СберМобайл, да их же ВТБ мобайл), а не в салоне большой четверки (МТС, БИЛАЙН, МЕГАФОН, ТЕЛЕ2).
Смысл в том, что, по идее, в банке мошеннику трудней перевыпустить сим карту по доверенности или левому паспорту, чем в ларьке обычного оператора.

Проношу прощения, я сильно заблуждался.
И именно

Сама по себе экосистема проектов DeFi выглядит интересно, однако их взрывная популярность показала, что их участники могут потерять деньги. Инвесторам нужно оценивать риски, которые возникают в случае вложения в автоматизированные блокчейн-системы.

В продолжение нашего предыдущего поста, у DeFi существуют несколько потенциальных точек риска.

3. Зависимость от сторонних алгоритмов

Инвесторам стоит с осторожностью относиться к DeFi проектам, которые позволяют заводить капитал в одной криптовалюте, а выводить в других коинах на выбор. Само наличие такой возможности указывает на существование алгоритма, который определяет, сколько инвестору можно вывести иных криптоактивов. Уязвимостями именно в таких алгоритмах чаще всего пользуются злоумышленники при взломах. 

Например, атака на Pickle Finance была сложной и запутанной. Хакер задействовал сложную цепочку действий, создавая поддельные инструменты и хранилища. В результате Pickle Finance, использующий дополнительные сервисы, был взломан. Показательно, что возможности таких сложных атак невозможно определить в ходе аудита безопасности. 

Платформы DeFi, в том числе известные и уже зарекомендовавшие себя,  по-прежнему подвержены взломам и атакам, даже несмотря на пройденные аудиты безопасности. О том, почему это происходит, и как можно защитить свои активы в новых проектах, рассказывает технический директор CEX.IO Дмитрий Волков.

В конце апреля стало известно, что EasyFi потерял $6 млн в результате атаки хакеров, а в феврале 2021 Yearn.Finance был нанесен ущерб в $11 миллионов. Однако эти события — не единственные примеры компрометации проектов DeFi, в результате которых люди теряли деньги. Общий объем урона от подобных атак можно оценить лишь примерно, но за 2020 год он точно превышает 1,5 миллиарда долларов США, а количество громких взломов исчисляется десятками.

DeFi — это относительно новый и весьма популярный подход к организации блокчейн-проектов, получивший активное развитие буквально за последние пару лет. Отличительная особенность DeFi — это полная автоматизация и открытый исходный код.  Инвесторов, готовых вкладывать деньги в DeFi,  привлекает отсутствие человеческого фактора: они уверены, что никто из основателей проекта не сможет украсть деньги по злому умыслу, потому что управление организовано по строго определенному алгоритму. Однако эта прозрачность часто создает лишь ощущение надежности, которое может оказаться ложным. 

Друзья и коллеги часто задают мне вопросы о безопасности хранения средств на брокерских счетах. А я даже не знаю, что ответить, потому что сам плохо разбираюсь в этом. Позвал в гости профессионала. Представляю вам Ярослава Бабина, руководителя отдела анализа защищенности веб-приложений компании Positive Technologies.

Чем занимается ваша организация?

Мы работаем в сфере кибербезопасности, создаем инновационные продукты, сервисы и решения, которые помогают компаниям и предприятиям, в частности, финансового сектора, выявлять и нейтрализовать реальные бизнес-риски, которые могут возникать в их IT-инфраструктуре.

• Спрос на конфиденциальные данные клиентов, используемые для преодоления порога недоверия клиентов банков, привел к резкому увеличению рынка незаконно полученных баз данных финансовых организаций и услуг по «пробиву» счетов клиентов. Весь рассматриваемый период был отмечен резонансными утечками как из финансовых, так и из других организаций, не относящихся к числу поднадзорных Банку России.
• Другой важной тенденцией  года стало продолжение многолетнего снижения количества наиболее опасных целевых атак на информационную инфраструктуру финансовых организаций, вплоть до их почти полного прекращения. Массовые рассылки вредоносных программ типа Cobalt Strike и Silence, привлекавших особое внимание индустрии информационной безопасности в прошлые годы, по спискам адресов сотрудников почти прекратились. Редкие результативные взломы привели к весьма незначительному по сравнению с прошлыми годами ущербу.
• Также почти полностью прекратились атаки на устройства банковского самообслуживания. При этом имеющиеся в распоряжении Банка России данные позволяют сделать предположение о появлении как минимум одной группы атакующих, сосредоточившихся на квалифицированном взломе финансовых мобильных приложений.
• Несмотря на эффектный, публично освещаемый уход из этого бизнеса операторов ряда хорошо известных программ, их общее количество по всему миру не уменьшилось. Однако именно от финансовых организаций стало поступать существенно меньше сообщений о выявлении шифровальщиков.

На наших телефонах сейчас огромное количество ценной, закрытой информации, в том числе финансовой.

Рассмотрим прецедент. Телефон потерян или украден.

Надеюсь пароль на телефоне установлен? Не установивших единицы и они настоящие камикадзе.

Далее не менее ценная часть — SIM-карты. Из телефона их можно достать и вставить в другой. На SIM-карту приходят коды подтверждения. Если одновременно потеряны банковские карты – то дело совсем плохо (хотя иногда банки возбуждаются при смене телефона). Ну и поскольку сейчас очень много информации о клиентах банков, брокеров, мобильных провайдеров слито, при получении злоумышленником SIM-карты, шанс потерять деньги велик.

Помните ли вы PIN-коды своих SIM-карт? Если да, то отлично.
При перезагрузке на вашем телефоне появляется запрос
Введите PIN-код. Осталось 3 попытки.

Если нет:

Новая симка имеет PIN-код по умолчанию типа 0000 или 1234. И находится в режиме – не спрашивать PIN-код при включении телефона.