Что Нейва мутит воду?

Позвонили намедни, говорят, если проводить платежи через всемирную сеть Интернет, то платеж может быть перехвачен, реквизиты платежа подменены, и платеж уйдёт в другое место.
Для этого они предлагают какую-то штуку за 1900 р., которая спасет от этого.
К ней еще прилагается какая-то карта за 600 р. с которой никакой платеж не может быть перехвачен злоумышленниками.

На сайте и на форуме Нейвы смотрели: там вообще никаких слов нет про эту чудесную штуку.

Что за хрень?

освященные переводы. 365-65-65. не пакля :ultra:

Видимо, речь про это
http://www.neyvabank.ru/uslugi/corp/49/

Нейва настолько всемирно развитый банк что киберпреступники всего мира массово пишут ПО для перехвата платежек, дабы безмерно обогатить себя.
ЗЫ Всяко первым на этот месте (по подменам и перехватам в виду массовости) должен был быть сбер а не местнячковая нейва

На первом месте по числу атак это системы интернет-банкинга от разработчика Бифит, как самые распространённые среди российских банков, и под них есть специализированные вирусы. Беда в том что всё чаще вирусы не просто ищут на компе пользователя ЭЦП в конкретном каталоге под конкретную систему интернет-банка, а дают возможность преступникам полностью управлять заражённым компьютером и похищать секретную информацию с достаточно высокой долей интеллекта. Так что "не распространённость" используемой системы интернет-банкинга немного облегчает жизнь, но реальной защитой для клиента сейчас это не является.

Решение, которое предложила "Нейва", это возможность клиенту обеспечить клиенту безопасное хранение ключей ЭЦП на защищённом носителе (чип карты Visa Crypto) и возможность контролировать реквизиты подписываемого ЭЦП платежа в доверенной среде. И если для безопасного хранения ЭЦП есть различные решения и они достаточно широко распространены (теже токены), то возможность контроля за реквизитами подписываемого документа пока есть и у ограниченного числа банков. А между тем вирусы, которые позволяют преступникам при отправке платёжного поручения на подпись ЭЦП скрытно подменить реквизиты, уже существуют - человек работает в системе интерне-банка им думает что подписывает документ в адрес своего контрагента, а в банк реально уходит платёжка на перечисление денег на реквизиты преступников. Так что возможность контролировать подписываемые документы в доверенной среде становится реально необходимым элементом комплекса защиты клиента при работе в системах интернет-банкинга. К сожалению видимо сотрудники в офисах банка не могут квалифицированно объяснить клиенту суть возможных угроз и как предлагаемое решение повышает безопасность клиента.

А в чём проблем примитивно прислать СМС пароль с пояснением кому и сколько переводите?
Проблема абсолютно снимается тогда с вопроса,а стоимость СМС ки для банков в районе 10 копеек! :ultra:

т.е. подписать платёжку ЭЦП, отправить в банк, банк её ставит на обработку и отправляет SMS для вторичного подтверждения, ждём когда клиент отправить подтверждение с отправленным SMS-кодом и после этого уже оплачиваем платёж?
в принципе рабочий вариант, но для бухгалтера юр.лица даже с десятком платежей в день ИМХО будет хлопотно, да и SMS всё-таки не самый надёжный и бесперебойный канал обмена информацией - наверное в качестве бесплатной для клиента альтернативы Visa Crypto + SafeTouch можно организовать, всё равно рано или поздно банки будут вынуждены отказаться от работы с простой ЭЦП на незащищённом носителе и массово переводить клиентов на более продвинутые схемы обеспечения безопасности

Да, но ваш вариант совсем для параноиков. Тем более, что проблема в принципе надуманная, примерно в 90% случаях проблем - то, что клиенты не следят за своими ключами и размещают их тупо на том же компе с ИБ. Который собственно и представляет угрозу компрометации ключа.

В предложенном Нейвой решении клиент как раз не сможет разместить свои ключи на компе с ИБ. К сожалению я не верю, что сознательность и грамотность клиентов в вопросах информационной безопасности резко массово возрастёт - более эффективный путь когда банки начнут предлагать клиентам услуги, которые изначально исключают риски из-за "безалаберных" действий клиента.

согласен. но те кто запараноил, врядли удовлетворяться только одной "штучкой". Хотя те кто дует на холдное, уже имеет самый дешевый простенький чмошненький нетбук с которого лазит ТОЛЬКО в банки.
Так как имея доступ более чем 10 банков и плюс в каждом по несколько клиентов всяко безопасней юзать такую узконазначенную железяку. С отдельно выделенным каналом.
Для юзера же с ОДНИМ банком - может будет удобней этот девайс с кнопкой.

[quote], уже имеет самый дешевый простенький чмошненький нетбук с которого лазит ТОЛЬКО в банки.
Так как имея доступ более чем 10 банков и плюс в каждом по несколько клиентов всяко безопасней юзать такую узконазначенную железяку. С отдельно выделенным каналом.
Для юзера же с ОДНИМ:
Наверное так оно и кажется, теоретически вроде безупречно, кащалось бы выход, но есть одно но: как передавать данные из и в корпоративную бухгалтерскую систему? На бумажке? тогда да - безопасно(или почти)Ю на дискете-флэшке-DVD? - уже не Айс, уже запросто можно вредоноса притащить, а если через сеть, то вредонос уже сам придет-не спросит.
Та что идея хорошая, но с оговорками, а Сейф-точ работает без оговорок,
ну если тот кто смотрит в окошечко сего дивайса ворон не считает а внимательно смотрит, что подписыват.
Другой вопрос как подписать сим дивайсом штук 100 платежек - сцуко муторно получится....

ОГА. Самый технологичный банк - сбер! Косяки с устаревшими сигнатурами 5-тысячных купюр яркий пример технологической скорости. :lol:

дак про то и речь, если ломать то уж неповоротливого монстра.. :-D

ну никто не спорит что всё возможно. Так же придет время - сэмулируют и Сейф-точ, был бы профит...Так что в моем случае флэха с единсвенным файлом 1с_to_kl.txt вполне прокатывает

С пакетным подписанием узкое место получается - или подписывать по одной платёжке и контролировать реквизиты каждой, либо оптом подписывать весь пакет без контроля реквизитов.

Что скажет уважаемый epv по поводу латвийского варианта?
Интернет-банком Swedbank активно пользуется наибольшее количество пользователей в Латвии – более 570 000. У каждого из этих пользователей есть возможность без предварительного посещения филиала банка подключаться к интернет-банку Swedbank с помощью eID карты и пользоваться всеми его возможностями (оплачивать счета, производить перечисления, заключать новые договоры и пр.). Из средств технического обеспечения для этого необходимо иметь считыватель смарт-карт, а также установить в компьютер программное обеспечение :ultra: