![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
totaltelecomНа днях по просторам Интернета бодрым ураганчиком пронеслись восторги, связанные с Monobank. Самые разные люди нахваливали удобство, современность и непременную инновационность нового детища команды, превратившей в своё время Приватбанк в едва ли не самый продвинутый банк Европы.
Команда банка решила усугубить это положительное впечатление и добавить ещё больше елея. Олег Гороховский похвастался могучими и единственно правильными подходами к обеспечению безопасности клиентов.
Я не первый год (фактически лет десять) наблюдаю за извивами приватбанковской мысли, поэтому сходу задал г-ну Гороховскому вопрос о наличии у них договорных отношений с операторами сетей мобильной связи, на которых они по факту построили свою систему аутентификации пользователей.
Прошли сутки с лишним, ответа всё ещё нет.
Между тем вопрос очень важный, я бы даже сказал краеугольный. Технологии мобильной связи позволяют любому проходимцу разослать SMS, которые будут содержать заветные буквы monobank в имени отправителя и любой, буквально любой набор знаков в теле сообщения. Например, ссылку на фишинговый сайт. Или сразу троян, чтобы не возиться.
Поскольку абсолютное большинство добрых граждан не в курсе этих дивных возможностей, они, не долго думая, и откроют, и загрузят. И тогда в распоряжении злоумышленников окажутся и IMEI устройства, и ID версии приложения, и номера телефона и даже пин. И любую иную информацию, на которую хитроумнейшие гг. Гороховский и Ко попытаются завязать Абсолютно Непробиваемую Защиту. Потому что троян будет видеть и слышать ВСЬО.
Если кто ещё не понял, возможно легко и недорого фальсифицировать SMS, рассылая, например, от вашего имени сообщения, которые будут выглядеть как отправленные вами. При этом у получателя нет никаких, даже теоретически, способов распознать подлог.
Единственные способ предотвратить такого рода кунштюки - просить у операторов связи настроить соответствующим образом спам-фильтры. В частности, проверять источник поступления SMS, содержащих ключевые слова.
Для этого, разумеется, команде Монобанк необходимо заключить соответствующий договор с каждым из операторов мобильной связи. И, натурально, платить им денежку.
И вот в этом месте меня начинают мучать сомнения…
Команда банка решила усугубить это положительное впечатление и добавить ещё больше елея. Олег Гороховский похвастался могучими и единственно правильными подходами к обеспечению безопасности клиентов.
Я не первый год (фактически лет десять) наблюдаю за извивами приватбанковской мысли, поэтому сходу задал г-ну Гороховскому вопрос о наличии у них договорных отношений с операторами сетей мобильной связи, на которых они по факту построили свою систему аутентификации пользователей.
Прошли сутки с лишним, ответа всё ещё нет.
Между тем вопрос очень важный, я бы даже сказал краеугольный. Технологии мобильной связи позволяют любому проходимцу разослать SMS, которые будут содержать заветные буквы monobank в имени отправителя и любой, буквально любой набор знаков в теле сообщения. Например, ссылку на фишинговый сайт. Или сразу троян, чтобы не возиться.
Поскольку абсолютное большинство добрых граждан не в курсе этих дивных возможностей, они, не долго думая, и откроют, и загрузят. И тогда в распоряжении злоумышленников окажутся и IMEI устройства, и ID версии приложения, и номера телефона и даже пин. И любую иную информацию, на которую хитроумнейшие гг. Гороховский и Ко попытаются завязать Абсолютно Непробиваемую Защиту. Потому что троян будет видеть и слышать ВСЬО.
Если кто ещё не понял, возможно легко и недорого фальсифицировать SMS, рассылая, например, от вашего имени сообщения, которые будут выглядеть как отправленные вами. При этом у получателя нет никаких, даже теоретически, способов распознать подлог.
Единственные способ предотвратить такого рода кунштюки - просить у операторов связи настроить соответствующим образом спам-фильтры. В частности, проверять источник поступления SMS, содержащих ключевые слова.
Для этого, разумеется, команде Монобанк необходимо заключить соответствующий договор с каждым из операторов мобильной связи. И, натурально, платить им денежку.
И вот в этом месте меня начинают мучать сомнения…
