Адрес для входа в РФ: exler.wiki
У ЦБ РФ сносит крышу
ЦБ РФ намерен обязать банки, предоставляющие клиентам удаленное обслуживание, получать для их идентификации сведения об IP- и МАС-адресах.
Проект указания ЦБ РФ о внесении изменений в Положение Банка России от 19 августа 2004 года N262-П "Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" опубликован сайте ЦБ РФ.
Согласно проекту документа, предполагается дополнить перечни сведений, получаемых в целях идентификации физических и юридических лиц, а также индивидуальных предпринимателей, сведениями об IP- и МАС-адресе (IP- и МАС-адресах), посредством которых они осуществляют доступ к банковскому счету, открытому в кредитной организации, с целью совершения операций по нему в рамках заключенного кредитной организацией с данным клиентом договора, предусматривающего его обслуживание с использованием технологии дистанционного доступа к банковскому счету, включая интернет-банкинг. (Отсюда.)
Они что - с дуба рухнули? Какой-то начальничек услышал волшебные слова "IP-адрес" и "MAC-адрес", после чего выдал вот эту бредятину? А ничего что я захожу на онлайновые банкинги с нескольких десятков IP-адресов, которые к тому же постоянно меняются, и с нескольких десятков устройств с самыми разнообразными MAC-адресами?
Ну и, кроме того, что им даст знание MAC-адреса моего устройства? И как они узнают MAC-адрес моего устройства при моем удаленном доступе? Да никак не узнают. Его знает только мой провайдер.
А так это весьма симптоматично, когда дружно хают непроверенную новость.
1) В случае поимки мошенников, совершавших кражи со счетов клиентов совпадение найденных у мошенников компов с MAC адресами, будет весомым доказательством в их виновности. Это как отпечатки пальцев, их можно стереть, как и изменить MAC адрес, но не каждый раз их будут менять.
2) Системы Банка-клиента для юр. лиц весьма статичны, и изменение хотя бы одного параметра, уже должны привести к пометке операционисту, более тщательнее проверить платеж. Если же, при стандартных платежах изменились два параметра, то думаю операционист обязан убедиться, путем звонка клиенту, он ли отправляет платежку
3) В небольших городах кол-во банков ограничено и различные предприятия имеют счета в одном и том же банке. Система может распознать, если доступ к разным счетам происходил с одинаковой пары MAC+IP. Это скорее всего говорит о мошенниках.
Скажу так, по пунктам 2 и 3 у нас работает система и показала свою эффективность. А как получить MAC я писал наверху в комментах.
1) В случае поимки мошенников, совершавших кражи со счетов клиентов совпадение найденных у мошенников компов с MAC адресами, будет весомым доказательством в их виновности. Это как отпечатки пальцев, их можно стереть, как и изменить MAC адрес, но не каждый раз их будут менять.
MAC как отпечатки пальцев - это в юмор. Во-первых, не все NIC имеют MAC (но при этом иметь назначенный набор IP), во-вторых, в системе может ботаться несколько NIC (и это не обязательно несколько сетевух), в-третьих, у некоторых NIC могут MAC генерироваться при старте адаптера. Расскажите теперь об отпечатках?
Не менее забавно будет послушать как вы будете себя вести на ноде кластера.
2) Системы Банка-клиента для юр. лиц весьма статичны, и изменение хотя бы одного параметра, уже должны привести к пометке операционисту, более тщательнее проверить платеж. Если же, при стандартных платежах изменились два параметра, то думаю операционист обязан убедиться, путем звонка клиенту, он ли отправляет платежку.
Обычно так и происходит: бухгалтер видит, что в очередной раз в банке зависли поручения, и звонит своему операционисту. Я так понимаю, к "отмазкам" добавился MAC адрес.
Скажу так, по пунктам 2 и 3 у нас работает система и показала свою эффективность. А как получить MAC я писал наверху в комментах.
И можете привести число отказов реальным мошенникам?
В целях идентификации клиента, установления и идентификации выгодоприобретателя кредитной организацией осуществляется _сбор_ сведений и документов, предусмотренных приложениями 1 - 3 к настоящему Положению.
Сведения о клиенте, выгодоприобретателе фиксируются в анкете (досье) клиента в соответствии с перечнем, приведенным в приложении 4 к настоящему Положению.<В приложении 4 идет ссылка на приложения 1-3>
Именно в эти приложения 1-3 и предлагается включать ip адрес. Идентификация, согласно закону, это всего лишь установление сведений о клиенте. Банк будет обязан помимо того что установить, как тебя зовут, установить, с какого адреса ты обращаешься через сеть. Письмо, кажется, действительно всего лишь о том, что банки теперь будут обязаны хранить логи доступа к их системам дистанционного обслуживания. Ни про какую _привязку_ к ip я там нигде не нашел.
Я наивно предполагаю, что ни хозяин блога, ни комментаторы (за редким исключением), не читали ни Положения ни изменений в Положение, которые вносятся. Тут простой принцип - не читал, но осуждаю.
Это, видимо, родилось в мозгу технического гения, думающего, что электронная подпись - это надо бумажку отсканировать с подписью и в bmp-файлике с высоким разрешением прислать 😄
Надо ему еще рассказать, по-большому секрету, что как ip-адрес, так и mac-адрес сменить элементарно. Гуглить можно начинать с "сменить mac адрес средствами windows".
Чтобы узнать чужой MAC вовсе не обязательно тырить чужой ноут или телефон, и даже "хакать" его не нужно. Можно легко узнать MAC-адреса всех компьютеров в одной сети, например в обычном публичном wi-fi, достаточно просто подключиться к ней. Или узнать MAC'и всех коллег, которые используют интернет банк со своих рабочих компов. Дальше подсмотрел через плечо пароль, и вперед, тырить бабки 😉
Ну а если пароль от интернет-банка украл троян, то получить вместе с ним и MAC ему ничего не мешает.
Так что безопсности для клиентов банка эта мера не добавляет.
На мой взгляд смысл один - при конфискации устройства можно сравнить его MAC с логами банка и таким образом получить ДОКАЗАТЕЛЬСТВА, что именно с использованием этого устройства переводились c "отмываемого" счета деньги.
Для такого использования не нужна никая привязка MAC к счету в банке через SMS, а только запись в логе банка.
Но сменить MAC в компьютере элементарно, так что расчет на лохов... И среди отмывателей их тоже много 😉
Смутно представляю вообще смысл затеи. Допустим, зловред А получает от зловреда Б бабло на счет, оформленный на мертвого пингвина Цэ, к которому А имеет доступ через посредников. Причем Б тоже делает перечисления через мертвых пингвинов. И пингвинов этих может быть целое стадо. Каким образом помогут ЦБ маки и ипы? Ну найдут они горку мертвых пингвинов, дальше что? Похоронят?
------------
Кстати, цитата в тему с Баша.
Проект размещен на сайте ЦБ для публичной экспертизы «в целях выявления положений, способствующих созданию условий для проявления коррупции». Электронный адрес, куда сообщить о выявленной коррупционной составляющей, указан. Осталось дело за малым: грамотно изложить, в чем Вы видите коррупционную составляющую и направить обращение на указанные адрес. Сделайте этот шаг, если уверены в своих словах.
Потрясающе. А по ФИО эту информацию, конечно, узнать никак нельзя...
слова "вирутальный" они тоже не знают cудя по всему
Вот я сегодня весь день, читая новости отмечаю этот праздник:
сначала это - http://www.rbcdaily.ru/2012/10/09/media/562949984891633
потом это - http://lenta.ru/news/2012/10/10/limits/
Теперь вот еще и ЦБ РФ отметился.
но имитация бурной деятельности удается на славу. ну и попилить трошки удастся.
А искать смысл в чиновничьем бреде, это дело бесполезное....
Шэкарно! Надо этому кретину-начальнику рассказать еще и о динамических айпишниках. Пусть покумекает.
Ну, откровенно говоря, логи на стороне прова о том кому какой IP был выделен в какое время хранятся, это однозначно. Так что с этим проблем быть не должно.
Шэкарно! Надо этому кретину-начальнику рассказать еще и о динамических айпишниках. Пусть покумекает.
Я думаю, что такую сложную информацию он уже не переварит.
===
Эта... Может, у них был семинар по обмену опытом, и они там пили неделю? Ну, тогда скоро жди новостей от ПейПэла.
Обязательно. Большой брат следит за тобой 😄
"Экспертные заключения направлять в Департамент финансового мониторинга и валютного контроля на E-mail: ksa3@cbr.ru с 9 по 16 октября 2012 года."
Вот и выскажетесь, не дайте злу свершиться и исполните свой гражданский долг 😄
Процесс общения можно осветить в блоге 😉
А уж если я террорист и НЕ ХОЧУ (!!! это важно!) засветиться, то я это сделаю. В чём выгода? А вот люди которые перечисляют деньги на РосПил скорее всего просто честные и наивные люди, которые шифроваться не будут, тут-то и наступит всеобщее счатье.
Каким образом БАНК может обязать моего провайдера (например, испанского) выдавать мой MAC-адрес?
Алекс созрел, выдайте ему пулемет
Ага, и пострадают невинные жители Калейи. 😉
Э... Так эти логи ведутся по определению.
Константин Игоревич: И MAC адреса тоже хотят видеть. Бред конечно но вполне выполнимо по моему, чисто технически.
По-моему, нет. Вот захожу я на ваш сайт - получите мой MAC-адрес? Не получите.
Кроме того, я в роутере могу выставить любой MAC-адрес. И что это им даст? 😉