Sberbank اليوم هي واحدة من أكثر العلامات التجارية المذكورة فيما يتعلق "بالتحول" الجديد: رقمي ، مصرفي ، عالمي. أتذكر كيف بدأت هذه الشركة قبل 10 سنوات في جذب عدد كبير من متخصصي تكنولوجيا المعلومات المؤهلين تأهيلا عاليا إلى حالتها. منذ ذلك الحين ، تغير الكثير ، وأصبح متخصصو تكنولوجيا المعلومات أكثر انتقائية في اختيار صاحب العمل. تأتي خدمات جديدة من مختبرات سبيربنك واحدة تلو الأخرى. وفي السعي وراء "راحة" المستخدم ، غالبًا ما لا يتم إخفاء المزالق فحسب ، بل أيضًا الجبال الجليدية ، التي يمكن في مرحلة ما أن تغرق أي شركة بشكل قانوني. خاصة إذا كانت تحتفظ بأموالك.
سنقوم اليوم بتحليل 3 أمثلة لأخطاء تقنية المعلومات الفادحة التي يبدو أنها تكمن على السطح وكان من المستحيل ارتكابها. لكن سبيربنك تمكن من القيام بذلك ، متعثرا فجأة.
مثال 1. الإخطارات المصرفية عبر البريد الإلكتروني
كثير منا لديه مثل هذا البريد الإلكتروني ، والذي نستخدمه في عمليات التسجيل المختلفة وغيرها من الرسائل غير المرغوب فيها. عادةً ما أذهب إلى مثل هذا الصندوق كل 2-3 أشهر (الصندوق نفسه يعيش منذ 1999) ، نظيفًا وقريبًا حتى أوقات أفضل. ولكن في أحد الأيام لاحظت وجود رسائل في مجلد البريد العشوائي نيابة عن سبيربنك. قرأ موضوع الرسالة المعنى "تقرير عن بطاقة Visa * 0612 للفترة من xx.xx.xx إلى yy.yy.yy". من الواضح أنه كان هناك الكثير من المحتالين مؤخرًا (سنتحدث عن هذا في مقال منفصل بعد قليل) الذين يستفيدون من اسم بنك كبير. لكن هذه الرسالة اهتمت بي.
المرسل كان Sberbank من روسيا newreport_card@sberbank.ru. بعد فحص الرؤوس ، أدركت أن الرسالة ليست تصيدًا احتياليًا - فالمرسل بالفعل هو سبيربنك. نظرًا لأنني لم أحصل على بطاقة * 0612 مطلقًا ، فقد تعرفت على نوع التقرير الذي أرسله لي سبيربنك.
Return-path: <newreport_card@sberbank.ru>
Received-SPF: pass (mx268.i.mail.ru: domain of sberbank.ru designates 194.186.207.37 as permitted sender) client-ip=194.186.207.37; envelope-from=newreport_card@sberbank.ru; helo=email1.sberbank.ru;
Received: from email1.sberbank.ru ([194.186.207.37]:59268)
by mx268.i.mail.ru with esmtp (envelope-from <newreport_card@sberbank.ru>)
id 1jlnqp-0002hE-LG
for @MAIL.RU; Thu, 18 Jun 2020 09:16:40 +0300
Received: from ceroklis8.smtp.sbrf.ru (10.34.224.1) by
CAB-VSP-EDG1002.sigma.sbrf.ru (10.44.254.2) with Microsoft SMTP Server id
15.0.1497.2; Thu, 18 Jun 2020 09:16:39 +0300
Received: from smtp.sberbank.ru (localhost [127.0.0.1])
by ceroklis8.smtp.sbrf.ru (Postfix) with ESMTP id 40501480
for <@MAIL.RU>; Thu, 18 Jun 2020 09:16:39 +0300 (MSK)
Received: from ceroklis8.smtp.sbrf.ru
by 127.0.0.1
for <@MAIL.RU>;
Thu Jun 18 09:16:39 2020إذا قلت إنني فوجئت بما رأيته ، فلا تقل شيئًا. أنا س ***** ل. أرسل لي سبيربنك بكل جدية تقريرًا عن البطاقة المصرفية لشخص آخر يشير إلى الاسم والعائلة والحرف الأول من اللقب مع جميع المعاملات المدينة / الدائنة والمبالغ والأرصدة النقدية في بداية ونهاية الفترة والتقسيم إلى نقدي وغير نقدي وإحصاءات أخرى.
باختصار ، أرسل لي سبيربنك معلومات تشكل سرية مصرفية. تنص المادة 26 من القانون الاتحادي الصادر في 02/12/1990 N 395-1 (المعدل في 27.12.2019) "بشأن البنوك والأنشطة المصرفية" على ما يلي:
, , , , , . , , , , .(لن أقول أي شيء عن تهجئة الأنشطة "العملياتية والاستقصائية" في نص القانون الاتحادي - أولئك الذين يرغبون يمكنهم العثور على النص الكامل للقانون بأنفسهم والاطلاع عليه).
…
, , , - , , , , 9 12 1995 N 144- « - », , , , , , .
على مدار العامين الماضيين ، شاركنا في تدقيق الاتصالات لشركات مختلفة وتحديد نقاط القوة / الضعف في الأعمال التجارية ، والتحقق من صحة العلاقات مع الأطراف المقابلة ، والعثور على الانتهاكات المختلفة والقضاء عليها ، لذلك لدينا فريق قوي إلى حد ما من المحامين الذين يفهمون تعقيدات علاقات تكنولوجيا المعلومات والاتصالات. على وجه الخصوص ، حدود المسؤولية القانونية في مجال أمن المعلومات. أول شيء فعلته هو الذهاب إليهم للتوضيح.
بدأنا في تحليل سبب وكيفية حدوث ذلك ، وما إذا كان البنك هو المسؤول عن هذا الوضع. بادئ ذي بدء ، لقد أولينا اهتمامًا لاسم صاحب الحساب وأصله (يكشف Sberbank نفسه عن هذه المعلومات في التقرير). واكتشفنا وجود تشابه محتمل بين اسم حساب بريدي الإلكتروني وعنوان البريد الإلكتروني للمالك الحقيقي للحساب المصرفي. الفرق في حرف واحد: r و n. إنها متشابهة حقًا عندما تكون مكتوبة بخط اليد.
نفترض خيارين لماذا يمكن أن يحدث كل هذا:
- - قام صاحب الحساب بملء نوع من الاستبيان الإلكتروني ، حيث أخطأ هو نفسه عند إدخال اسمه ؛
- - قام صاحب الحساب بتعبئة نوع من الاستبيان الورقي ، حيث أشار بشكل غير قانوني إلى عنوان بريده الإلكتروني - وأدخل موظف البنك البيانات في النظام بخطأ.
وفي هذه الحالة ، نرى نقاط ضعف في مصممي أنظمة معلومات سبيربنك. عندما يتعلق الأمر بمنطقة حساسة مثل المال ، يجب على البنك أن يتوخى الحذر بشكل مضاعف. عند تصميم معظم أنظمة الترخيص / الإخطار ، ينطلق المطور من "خطأ" المستخدم. لذلك ، كان سبيربنك ، في رأيي ، ملزمًا بتوفير الحاجة إلى التحقق من البريد الإلكتروني الذي تم إدخاله (حتى لو أشار العميل إليه بنفسه) عن طريق إرسال إشعار بالبريد الإلكتروني مع اقتراح لتأكيد البريد الإلكتروني المحدد. هذه ممارسة شائعة ليس فقط مع البريد الإلكتروني ، ولكن مع أرقام الهواتف. علاوة على ذلك ، يجب أن يتم ذلك بالتزامن مع الحساب (حتى لا يتمكن أي شخص آخر عن طريق الخطأ من تنفيذ هذا التنشيط).
وإذا كان في الحالة الأولى ، عندما ارتكب المستخدم نفسه خطأً عند إدخال بريده الإلكتروني ، لا يمكن إلقاء اللوم على سبيربنك إلا بسبب وجود خلل في النظام ، ثم في الحالة الثانية ، يجب التحقيق في كل ما حدث بدقة. بعد كل شيء ، فإن البنك كمؤسسة ائتمانية في هذه الحالة لا يتحمل المسؤولية الإدارية فحسب ، بل المسؤولية الجنائية أيضًا.
لكن تظل الحقيقة - سبيربنك يرسل لي بانتظام بيانات الآخرين ، محمية بالسرية المصرفية... قد يقول أحدهم أنني الآن سأخضع للمساءلة (كما حدث غالبًا في مثل هذه المواقف مع التحقيقات "رفيعة المستوى" في القطاع المصرفي). لكنني أسارع إلى طمأنة الجميع: في هذه الحالة لم أفعل شيئًا من جانبي ، مما أدى إلى إفشاء أسرار مصرفية. يرسل لي البنك نفسه طواعية مثل هذه التقارير. أعتقد أن سبيربنك يجب أن يكون لديه أسئلة من السلطات الإشرافية ، إذا كانت هذه المشكلة يمكن أن تكون ضخمة. لسوء الحظ ، من غير المحتمل أن نعرف عن هذا الأمر.
الاستنتاج الرئيسي من هذه الحالة:
كعميل لـ Sberbank ، قد لا تدرك حتى أن معلوماتك المصرفية "تبدو" خارجية ، إذا فجأة قد يرتكب شخص من موظفي Sberbank خطأ عند إدخال معلومات الاتصال الخاصة بك يدويًا.
إذا اعتقد شخص ما أنه بعد هذه المادة ، فإن خدمة الأمن في سبيربنك ستندفع للتحقق من كل شيء ، والقضاء على جميع أوجه القصور ، والعثور على الجاني (ربما حتى معاقبة) ، ثم هنا يمكنني أن أحبط القراء. على الأرجح ، لن يحدث أي من هذا. لأنه من خلال تجربتي الشخصية ، صادفت حقيقة أن سبيربنك ببساطة لا يحتفظ بسجلات لعمليات التغييرات في حالة بياناتك.
وهنا نأتي إلى الحالة الثانية.
مثال 2. رقم هاتف شخص آخر دون علمك
يعرف الكثير من الناس أنه في سبيربنك ، كل شيء تقريبًا مبني على نظام بيئي برقم هاتف محمول. أعمل في مجال الاتصالات منذ ما يقرب من 20 عامًا. ومنذ عام 2007 ، عندما بدأنا بنشاط في تقديم اتصالات VoIP ، نحذر جميع العملاء بشأن أمان الهاتف ومن الضروري الحصول على الحماية عند التفويض عن طريق رقم الهاتف. كل هذه الألعاب مع التعرف على هوية المتصل والتكامل الدقيق مع أنظمة CRM و ERP أدت إلى ما تحدثت عنه منذ عدة سنوات - عمود الاحتيال عبر الهاتف. على وجه الخصوص ، تمكنت صفحات Habr من لفت انتباه مجتمع متخصصي الاتصالات ومشغلي الاتصالات إلى الاحتيال مع "استنزاف" حركة مرور 8-800 .
لكن اليوم سنتحدث عن حقيقة أنه في أكتوبر 2019 ، عند النظر في إعدادات البيانات الشخصية خلال التحديث القادم لتطبيق Sberbank للهاتف المحمول ، وجدت أن لدي رقم هاتف إضافي في معلومات الاتصال الخاصة بي. من الواضح أنه لا علاقة لي به - لم أشر إليه مطلقًا. في الآونة الأخيرة في الصحافة ، انتبه الكثيرون إلى هذا ، لكن يمكنني القول أن هذه القصة بأكملها مع إضافة الأرقام "الأجنبية" مستمرة منذ عام 2019. وربما حتى قبل ذلك.
دعنا نعود إلى الحساب. بشكل أساسي ، أخذ شخص ما وأضف رقم هاتف شخص آخر إلى بيانات الاعتماد الخاصة بي دون علمي. لقد سحبت جميع مدخراتي من سبيربنك لفترة طويلة (بما في ذلك لأسباب أمنية والعديد من حالات فشل تكنولوجيا المعلومات) ، لذلك لم أشعر بالقلق حقًا بشأن سلامة أموالي المالية. لكن أصبح من المهم بالنسبة لي أن أفهم هذا الوضع حتى النهاية.
المفسد: لم يعترف سبيربنك بالخطأ وقال إنه لا يخزن أي سجلات للتغييرات في بيانات اعتماد العميل.
وبالتالي. أتصل بالمدير الشخصي لـ Sberbank-Premier لإعلامه بوجود ثغرة أمنية في حسابي. تجاهل المدير رسالتي تمامًا (هذه عن الخدمة "المميزة") وأوصى بتقديم طلب مكتوب.
في 10 تشرين الثاني (نوفمبر) 2019 ، أكتب نداء لدعم سبيربنك:
ID « » +7 *** *** **-**. .
, . .
, , .
. , .
- ( ) ID.
أكرر مرة أخرى: أطلب توضيحًا حول من ، وتحت أي ظروف ، أدخل رقم "شخص آخر" في معلومات الاتصال الخاصة بي.
يرجى ملاحظة أنه في الاستئناف الذي قدمته ، أمنع موظفي Sberbank من إجراء أي تغييرات على حسابي.
في 27 نوفمبر 2019 ، أي بعد 17 يومًا (!) من الاستئناف المتعلق بأمان الحساب ، تم تلقي هذه الإجابة. وتم إغلاق الاستئناف.
… № xxxx-yyyy-xxx 10.11.2019 . , +7****** -**-** 2012 . , , , . , . . .
أي ، حتى عام 2019 ، لم أر هذا الرقم في أي مكان ، لكن اتضح أنه كان موجودًا منذ عام 2012. رائعة حقا. والكرز في المقدمة: على الرغم من حظر تغيير بياناتي في سبيربنك دون علمي ، فإن سبيربنك يزيل الرقم "المثير للجدل" من حسابي دون أي إشعار أو موافقة. على الرغم من أن هذه العملية نصحت بالتقدم إلى القسم بجواز سفر.
أكرر مرة أخرى: يقوم موظفو سبيربنك ببساطة بتحرير معلومات الاتصال الخاصة بك المتعلقة بأمان الحساب (تسجيل الدخول لإدارة جميع أموالك) ، دون أي إخطار للعميل.
رداً على هذه الإجراءات ، أنشأت طلبًا آخر:
.
**-**. , . , .
, ! , , , , .
, .
الجواب ببساطة ساحر:
... تمت مراجعة الاستئناف رقم xxx-yyy-zzz بتاريخ 27/11/2019. لقد تركت سابقًا استئنافًا رقم xxx-yyy-zzz عبر Sberbank عبر الإنترنت بشأن انعكاس رقم الهاتف +7 ********** في تطبيق Sberbank عبر الإنترنت للهاتف المحمول. أشرت في الاستئناف إلى أن هذا الرقم لا يخصك. اتخذ البنك إجراءات لاستبعاد هذا الرقم من معلومات الاتصال الخاصة بك. تم إرسال الرد على الاستئناف رقم xxx-yyy-zzz إلى عنوان بريدك الإلكتروني ****@***.*** أو اتصل بمكتب البنك لتلقي الرد. يمكنك إضافة رقم هاتف في تطبيق Sberbank للهاتف المحمول عبر الإنترنت. سبيربنك.
إخراج هذا المثال بسيط للغاية:
لا يمكن لـ Sberbank من جانب واحد فقط تغيير شروط الخدمات المصرفية (خفض سعر الفائدة على الإيداع ، وزيادة سعر الفائدة على القرض - ولكن ليس العكس) ، ولكن أيضًا تغيير إجراءات الوصول إلى أموالك من جانب واحد ، وإضافة / إزالة أرقام الهاتف المحمول للإدارة حساب ولا تقم بتخزين أي سجلات. وفقًا لذلك ، لا تتحمل أي مسؤولية عن أموالك. حسنًا ، أو على الأقل لا تتردد في إخبار العملاء بذلك.
وما يؤدي إليه كل هذا سنتحدث في المقال التالي حيث سنحلل حالات الاحتيال عبر الهاتف. لماذا أثر هذا بشكل خاص على سبيربنك ، على ما أعتقد ، من المواد الحالية أصبح واضحًا للكثيرين. من بين أمور أخرى ، دعنا نتحدث عن Fraud 2.0 - إصدار جديد لم يكتب عنه أحد في وسائل الإعلام حتى الآن. وسيكون هناك الكثير من الأشياء المثيرة للاهتمام.
مثال 3. تغيير رقم الهاتف المستخدم
نتيجة للحالتين الأوليين ، نشأ موقف يواجهه الآلاف من عملاء سبيربنك. كما ذكر أعلاه ، فإن رقم الهاتف المحمول هو الجزء المركزي من الاتصال الكامل بين سبيربنك والعميل. بشكل رسمي ، يكون العميل مسؤولاً عن رقم الهاتف الذي أشار إليه. لكن ما يحدث في الممارسة.
رقم الهاتف ، كما يعلم الكثير من الناس ، لا يخص المشترك أو مشغل الاتصالات. نعم ، هذه خرافة شائعة - أنه إذا كان لديك رقم ، فهناك عقد له ، فأنت مالكه. هذا ليس صحيحا. رقم الهاتف هو مورد محدود تملكه الحكومة. وهو يوجه مشغلي الاتصالات لخدمة هذا المورد. يتلقى المشتركون (المستخدمون) في تصرف مؤقت مجموعة من الأرقام طوال مدة العقد. لا أكثر. في الوقت نفسه ، يمكن استبدال هذه المجموعة من الأرقام ، بموجب القانون الاتحادي "بشأن الاتصالات" ، من جانب واحد بمشترك بضربة واحدة بقلم رئيس وكالة الاتصالات الفيدرالية. الآن تحدث مثل هذه القصص بشكل أقل وأقل ، ولكن في ممارستي كانت هناك عدة حملات لتغيير عدد المشتركين الحاليين ، بما في ذلك الهاتف المحمول. والمشترك ليس بمنأى عن هذه التغييرات. لقد قاموا فقط بتغيير رقمه بإشعار.رقم الهاتف المحمول ، وهو النواة المركزية للعديد من الأنظمة الرقمية. بما في ذلك داخل البنك المحمول.
ومؤخرا نشأ مثل هذا الموقف. قمنا بتدقيق إحدى الشركات ، والتي تستخدم حوالي 2000 رقم لموظفيها: قمنا بتسوية التكاليف ، وخفض التكلفة وتحسينها ، واستردنا الأموال مقابل "الاشتراكات المدفوعة" وغيرها من الخدمات المفروضة من مشغلي الهاتف المحمول. وفي مرحلة ما اكتشفوا أن بعض الأرقام كانت مرتبطة ببنوك الأفراد على الهاتف المحمول. أي أن الموظفين استخدموا هذه الأرقام في وقت سابق ، ثم استقالوا. والآن يستخدمه موظفون آخرون. اتصلنا بالموظفين السابقين. اتضح أنه بعد فصلهم زُعم أنهم غيروا رقم هاتفهم لدخول سبيربنك عبر الإنترنت. وقد فوجئوا بأن الوصول إلى مواردهم المالية ممكن من خلال "الأرقام القديمة". اتضح أنهم عندما مروا بإجراءات "تغيير" الرقم ، لم يتم استبدال الرقم الجديد بالرقم القديم ، بل تمت إضافته فقط.كان القديم لا يزال نشطًا في سبيربنك على الإنترنت.
الآن قام Sberbank بتغيير الإجراء ، ولكن بالنسبة للمستخدمين القدامى ، يظل كل شيء كما هو. وهناك على الأقل عدة عشرات الآلاف من المواطنين (وربما أكثر) ممن لا يعرفون حتى أن المعلومات المتعلقة بأموالهم متاحة لأطراف ثالثة. بعد ربط رقم الهاتف مرة واحدة ، يتوقع البنك أن يبقى إلى الأبد. للأسف ، تظهر الممارسة أن هذا ليس هو الحال.
يمكن القول بالطبع أن هذه مشكلة الناس أنفسهم. لكن انظر إلى كيفية ارتباط الناس الآن بالمنتجات الرقمية ، وخاصة الجيل الأكبر سنًا: بالنسبة لهم يصبح الأمر كله غير مفهوم وغير واضح. إذا كان هناك مسؤولو نظام سابقًا وساعدوا في إعداد جهاز كمبيوتر ، فقد يكون هناك الآن ولادة جديدة لهذه المهنة - أداة مخصصة لبرامج الهواتف الذكية. هذه كلها نكات ، لكن المشكلة مهمة حقًا ، لأنها تؤثر على عدد كبير من المستخدمين. من المستحيل بالفعل عدم استخدام هذه المنتجات. ولكن لا يوجد أيضًا وصف مناسب وتسليم المعلومات حول كيفية استخدامه.
أعتقد أنه ينبغي بدلاً من ذلك إدخال بعض اللوائح التي تحدد إجراءات استخدام أرقام الهواتف المحمولة في المنتجات المصرفية. لا ، أنا لست من مؤيدي التنظيم العالمي. لكن هناك نقاط يجب دراستها بعناية فائقة. وهنا يجب أن يكون هناك عمل مشترك للبنوك ومشغلي الاتصالات والسلطات الإشرافية. لكن يجب أن يكون الحل مناسبًا وعمليًا ومفهومًا لجميع المشاركين. وإلا فإننا سنستمر في مراقبة تكاليف "ملاءمة" المنتجات المصرفية في نمو عدد المخططات الاحتيالية وجرائم الكمبيوتر.
محدث (16 يوليو 13:20):
قرر سبيربنك الذهاب إلى أبعد من ذلك. وبالأمس فقط أرسل لي "تهنئة" بعيد ميلادي. وهذا يعني أنه لم يكن كافيًا بالنسبة له أن ينتهك السرية المصرفية - فقد قرر سبيربنك أيضًا انتهاك القانون الفيدرالي "بشأن البيانات الشخصية" الصادر في 27.07.2006 N 152-FZ. إلى أي مدى سيذهب سبيربنك؟