за деньги на расч.счете банк ответственности не несет !!!

:lol: :lol: :lol: вирус нужен чуть по моднее и все.


Если коротко то да. банк имеет полное право и даже скорее обязан исполнять платежки подписанные вашей эцп, сохранность эцп - ваша забота, это по закону, ( и собственно правильно т.к. иначе все бы от своих платежек отказывались и говорили это не я ее подписывал).
Но нормальный банк предложит дополнительные меры защиты, правда если злоумышленник их обойдет и подпишет платежку вашей эцп то все равно отвечаете вы. Не может банк отвечать за ваш комп куда вы суете токен или где храните эцп.
В этом отношении для клиента бумажные платежки рулят, т.к. если удастся доказать что платежка поддельная и подпись не ваша, то виноват будет банк. В случае же с эцп ее не подделывают ее крадут или используют без кражи с вашего же ПК.

Если еще короче - легче всего подделать или украсть эцп сотрудникам банка. Картина маслом:
- Ну чё седня унас? Этот без токена и на смс не подписался, с него тыщ 500 сдернем!
- А у этого че? с токеном? Ну давай 200 тыр., мелочь, но приятно!
потому что:
1) Сохранность эцп - забота клиента.
2) Банк не отвечает материально 8( за доверенные ему деньги
3) Милиция не хочет и не может расследовать такие случаи
4) Если уж менты сильно пристанут можно им дать немного из наворованных с лохов денег
5) Лохи не перестанут нам деньги тащить, потому что их гос-во обязывает открыть счет в банке, чтоб работать
Да бандюгам в 90-е и присниться такое счастье не могло!!!
Меня лично не дерет как банк сохранит мои деньги, я не спец в этом, пусть делают 10 паролей, криптобиблиотеки загружают, проги специальные, их дела. Но если мошенники смогли все стырить и использовать. Значит отдай банк деньги!

Борьба с таким вирусом очень проста, нужно вытаскивать токен из компьютера, когда заканчиваете работать с интернет банком.
запретит посещать порносайты.....
:-)

Автору читать договор об использовании ЭЦП.

+ заявление в милицию о попытке мошенничества, тем более есть данные конечного получателя
а если динамический ip?


ЭЦП + смс с одноразовым паролем на вход и при платеже новому контрагенту (в исключения можно добавить платежи в бюджет и платежи постоянным поставщикам)
PS. надеюсь Нейва сделают такое ;-)

[Сообщение изменено пользователем 03.03.2011 02:16]

У НЕЙВЫ давно уже есть возможность такая с одноразовыми ключами. Причем такую возможность можно использовать\неиспользовать по желанию трудящихся.

Михаил (Muxeu) уже все, в принципе, растолковал.

Чтобы не было опасных заблуждений о том, что где-то что-то невозможно, хочу пояснить следующее:
защитить информацию от копирования невозможно в принципе. Если информация может быть прочитана, значит она может быть скопирована. Создать затруднения в копировании можно, полностью исключить - нельзя.

Теперь вернемся к изначальному вопросу - про ЭЦП. Дабы не путаться в понятиях "ЭЦП", "секретный/закрытый ключ ЭЦП", "открытый/публичный ключ ЭЦП", "сертификат открытого ключа ЭЦП", "сертификат на средство ЭЦП", "лицензия на деятельность в области защиты информации" и т.д. желающим разобраться лучше ознакомиться с федеральными законами "Об электронной цифровой подписи" и "О лицензировании отдельных видов деятельности".

Итак, банк обязан выполнять распоряжения клиента по действиям с его (клиента) счетом. Они могут быть подписаны собственноручной подписью клиента (для юрлиц - 1 или 2 подписями уполномоченных должностных лиц, плюс заверены печатью). Допускается использование аналогов собственноручной подписи (ГК РФ, статьи 160-3, 434-2).

ЭЦП является аналогом собственноручной подписи (АСП). Причем, единсвенным АСП, обладающим свойством "неотрекамемости", возникающим вследствие того, что секретный ключ ЭЦП известен только владельцу. Сответственно, генерировать его он должен только лично, и ответственность за хранение его в тайне несет только он, и никто другой.
Никакой банк, хоть с СМС, хоть без оной не может подделать ЭЦП клиента, поскольку не имеет секретного ключа клиента.

Теперь вспоминаем тезис про копирование информации. Ключ мы держим не в голове, это таки набор байтов в компьютере. Компьютер вещь не идеальная - там могут водиться вирусы/трояны, там могут лазить нелояльные коллеги, дети и другие родственники. Соответственно, не исключается возможность его копирования. Можно защитить ключ паролем (зашифровать его на пароле во время хранения). Но перед использованием он все равно должен быть расшифрован и будет находиться в памяти компьютера в открытом виде. Если в компьютере живет вирус/троян, у него есть техническая возможность ключ утащить. А также записать пароль, который вводится с клавиатуры. И пользоваться этим для подписания документов (платежек) от имени клиента на любом другом комьютере.

Чтобы это затруднить, придумали фильтрацию по адресам компьютеров, СМС-уведомления о поступлении подписанного документа и токены. Токен - это такой микро-компьютер, внутри которого генерируется ключ ЭЦП и никогда оттуда не выходит. Набоборот, платежка из "большого" компьютера отдается в токен, внутри токена рассчитывается ЭЦП и возвращается обратно. Скопировать ключ невозможно в принципе - потому что его в принципе невозможно прочитать.
Красиво и безопасно?
Не торопитесь ;-)
Если на компьютере живет вирус, то кто ему мешает в тот момент, когда токен вставлен в компьютер, подсунуть ему на подпись свою платежку? Или модифицировать вашу (на экране будете видеть одно, а подпишется токеном и уйдет в банк совем другое)?
Правильно, никто.

Таким образом, единственной адекватно-безопасной схемой защиты при удаленном взаимодействии является только сочетание ЭЦП (крайне желательно - с хранением ключей на токене) и дополнительной аутентификации (например, при помощи OTP - one time passwords - одноразовых паролей). ЭЦП дает банку гарантии, что подпись действительно от клиента и документ не искажен, а OTP обеспечивает защиту клиента на случай, если у него ключ ЭЦП все-таки угнали. Причем, канал доставки OTP не должен быть тем же самым, по которому получается услуга интернетбанкинга, иначе это "ключ под ковриком".
Все остальное - "игра в одни ворота", и кто-то остается подставленным. И с "голой" ЭЦП ключи таскают, и в системах с одними только кодиками у клиентов деньги угоняют.

Если у клиента нет осознания, что безопасность - это не какая-то "обертка", которую ему банк дал за деньги, а процесс, в котором он является активным участником, то безопасности у него не будет.

Блин, это же уголовщина!
Я бы заяву в прокуратуру написал, пусть разбираются - кто этот человек.

Ну вот! Теперь все даже мне понятно! :-)

А о чем писать в прокуратуру-все равно они отправят на доследование в управление К -а там заявление тихо потеряется-это раз...
Во вторых - Банк поступил правильно-ЕСЛИ клиент не соблюдает никаких мер безопасности ( ну например-та же IP фильтрация - значит это его проблемы).
В третьих - Банк не отвечает за сохранность ключей клиента хранящихся у него ( утеря ключей -копирование , не лицензионное ПО зияющее дырами устаревшие сигнатуры антивируса).
По -моему- клиент должен сказать спасибо банку что его платеж вовремя заметили и приостановили а не кричать на всю деревню -какой плохой банк и как все плохо в этом мире...

мне все понятно, мне не понятна безответственность банка
Он не в силах обеспечить безопасность, т.к.:
1. Токен взламывается вирусом
2. IP фильтрация не поможет, т.к. действия могут быть инициированы с моего компьютера без моего ведома, т.е. эцп с моего IP это тоже реально
3. СМС-оповещение, человек практически не может находится у телефона и обрабатывать смс постоянно в течении дня, это не возможно физически
4. Остальная электронная защита, которая должна работать, у них не работает, что видим на моем примере.
И при всем этом банк не отвечает за деньги. Т.е. я отдаю свои деньги, а
взять их может кто захочет, и мне не возместят ущерб. И это прописано в договоре. На таких условиях ни кто не согласится держать деньги в банке !!! Зачем тогда нужен банк. Он не может исполнить свою основную функцию - сохранность денег.

Противоречие вот тут:




Достаточно запретить банку выполнять распоряжения от вашего имени и сохранность обеспечена. ;-)

может хватит уже нести бред?

по всему вышесказанному можно оветить:

1. Токен достаточно проблематично взломать вирусом -а чтобы его не взломали -клиент должен соблюдать ОДНО простое условие- актуальные антивирусные базы.
2. Банк не в силах отвечать за персонал клиента который использует ЭЦП, за детей родственников клиента которые имеют доступ к ЭЦП клиента и которые могут например скопировать ключи и подписать платеж.
Защита работает-т к Банк вовремя заметил платеж совонился для уточнения информации и проистановил.



С вашей стороны тоже получается не все так хорошо если у Вас произошла компрометация ЭЦП-следовательно все проблемы начались с Вас- что вы хотите в таком случае?

Откажитесь от интернет банка, скажите что будете приходить ножками.
Ну и чтобы там Вам сетчатку глаза сканировали перед отправкой каждой платежки с бумаги. :cool:

я можно тоже резюмирую?
Из всего вышесказанного ARTistка:
1. Несанкционированного списания не произошло, благодаря бдительности
банка
2. ARTistка отказалось от мер безопасности, которые предложил
банк при работе с "Интернет - банком"
3. ARTistка утверждает, что за несоблюдение ЕЮ условий договора и
условий эксплуатации Интернет-Банка, ответственность обязан нести банк.
4. ARTistка утверждает, что ЭЦП могут подделать сотрудники банка
и она готова это продемонстрировать.
5. ARTistка уверена в невозможности компрометации своего компьютера. (наличии вирусов и т.д.)

Грубо говоря, при отсутствии у клиента стандартных мер безопасности, банк все равно предотвратил хищение средств.
ARTistка не устраивает реакция банка (в лице безопасности) на инцидент?

Я и говорю!



от слова "править", изменять, а



от слова "хранить". Процессы принципиально разные. И претензии не к "хранению", а именно к "правке". ;-)

Не к тому функционалу требования предъявляются. Нужно от чего то отказаться :-)

Значит, Вы все-таки не поняли.
Абсолютно, 100% безопасен только компьютер с отсоединенным шнуром питания, вынутым и уничтоженным диском и расстрелянными пользователями, имевшими когда-либо доступ к информации.
Все остальные варианты, теоретически, могут быть опасными. Но есть понятие "практической достаточности" принятых мер защиты, когда затраты на их преодоление выше потенциальных выгод.

В рассматриваемом случае, предлагается:
0. Использовать антивирус и содержать компьютер в чистоте.
1. Фильтрация по IP - закрывает угрозу использования краденного ключа с другого компьютера.
2. Хранение ключа в токене - закрывает угрозу копирования ключа
3. СМС-информирование (и/или доп. кодики) - закрывает угрозу того, что когда токен подключен к компьютеру, живущий в компьютере вирус отдаст токену на подпись "левую" платежку.

Т.е. банком продуман и предложен комплекс мер, достаточно адекватно защищающих от угроз.
Когда токен лежит в кармане, можн обыть спокойным - никто никуда не идет. Когда токен вставлен в компьютер и вдруг приходит СМС о создании документа (надеюсь, в эти периоды времени реально обеспечить наличие под рукой мобильного?), который Вы не создавали - документ можно аннулировать.
Однако:

Про антивирус - данных нет. Но раз Вы утверждаете, что 100% никому ключ не давали, то "угнать" его мог только вирус.

Более того, банк заметил "нетипичную" платежку и перезвонил Вам, перед тем, как ее исполнять, хотя по закону и договору, поскольку под ней стоит Ваша подпись (точнее - АСП) банк не обязан был переспрашивать.

Кто в этой ситуации безответственный - Вы или банк?

С такой позицией можно порекомендовать лишь вообще не пользоваться услугами банков. Намеренно не предлагаю перейти на бумажные платежки, потому как с современным уровнем техники там все подделать гораздо проще, чем в электронном виде.


Например, честный поставщик товаров/услуг, с которым таким образом рассчитались по договору.
А вообще, думаете в прокуратуре, отделе К и т.д. сидят люди, которые ничего не понимают в оперативной работе? Ну, придут туда - счет открыт на бомжа, получены ключи ЭЦП и карта. Даже если этого бомжа найти (что вряд ли), то он расскажет, что сделал это за бутылку, ключ с паролем и карту с ПИН-кодом сразу отдал. Юридически - он несет ответственность. Но с него ничего не взять.

Полу-ОФФ. Вот интересно, когда народ хочет открыть счет фирме с директором-"номиналом", а банк как-то противодействует, возмущению этим фактом нет предела. А когда угоняют деньги, наоборот, возмущается, что деньги отогнали на счет фирмы-помойки с директором-бомжом и реально никого не найти.

Активно слежу за новостями, поэтому - да, я так думаю:-)


Пусть хотя бы этот счет заблокируют.

на каком основании? есть постановление суда?

По Вашей логике это все равно что автомобиль с водителем упал с 15-ти метровой высоты. В результате чего сработали подушки безопасности, но они не предотвратили причинение вреда здоровью водителя. А значит производитель автомобиля не обеспечил безопасность, заявленую по всяким там международным правилам и стандартам и прочего чего там он заявлял в рекламе по поводу самого безопасного автомобиля.
А может не надо сигать с 15-ти метровой высоты? Может быть просто необходимо соблюдать рекомендации банка по безопасному использованию систем ДБО!?

1. У меня стоит антивирус и обновляется каждый день.
2. В чистоте компьютера от вирусов я не уверена, так же как и банк не может быть уверен в полной чистоте своих компьютеров, но почему я рискую своими деньгами, а банк не рискует ни чем?
3. Утверждаю - банковским работникам на много легче провернуть мошенничество со счетом, чем кому бы то ни было, это логично.
4. В договоре с банком нет пункта, где написано, что при моем отказе от токена, смс оповещения и ip фильтрации с банка снимается всякая ответственность и другой защиты моих денег в банке не предусмотрено вообще.
5. Я хочу, чтоб воровство с моего счета были совместные проблемы банка и милиции. И если выясняется, что это именно мошенники, минуя всю систему безопасности (которую к стати банк обещает без токенов смс и прочая) похитили деньги с моего счета. Банк обязан их вернуть, т.к. это их защита несовершенна, не могут защитить, пусть страхуют от таких "редких случаев" как они выражаются, но деньги возвращают !!!
А они утверждают, что после передачи эцп, они НЕ НЕСУТ НИКАКОЙ ОТВЕТСТВЕННОСТИ ! За что я им деньги плачу? За то что мои деньги нахрдятся у них в банке они мне должны платить!
В общем кто знает - есть банк который по договору в случае мошенничества третьих лиц несет ответственность и возмещает убытки ? Меня не устраивает, что в любой момент могут обчистить счет и никто за это не ответит.

автору в ладоши надо хлопать внимательному банку, а она...
причом продолжает стоять, извините, на своем..
ээээээээээээх, осталась операционистка без коньячка.. в следующий раз, наученная горьким опытом, тупо пропустит платежку и все..


:-D

по-моему, и щас не поздно, поручение-то подписано :-D

Человек явно не адектватен. О каком возврате может идти речь если платеж остановили.
А банку и вправду стоит пару раз утроить "показательную порку" таких вот клиентов-и пропиарить это ВЕЗДЕ - чтобы все остальные учли опыт предыдущих... По опыту точно могу сказать что даже если клиент подаст в СУд на БАнк то его процент выиграть дело стремилтельно близится к нулю т к любой юрист докажет что ЭЦП достоверна-следовательно -документ можно признать подлинным ( для Artisitki упомянем - МАТЕМАТИЧЕСКИ доказано что ЭЦП подделать невозможно..)

Вот как то странно Вы рассуждаете....
Ваша ЭЦП, а это есть аналог собственноручной подписи, стоит под документом. Банк обязан испольнить поручение.

А вот если ключи от дома невидимо от Вас скопируют. Ответственность будет нести производитель замков чтоли, или установщик двери???



Вчитайтесь в свои слова. Кто Вам возместит убытки за действие 3-х лиц??? Да еще и при мошеничестве.
Нет такого банка.
Пользуйтесь услугами страховой компании, если уж так рассуждаете.