Плохой Пример — HSBC

Итак, чтобы получить доступ к логин-форме онлайн-банкинка надо ввести замысловатый «Internet Banking ID» (рис. 1). Конечно, ни один нормальный хомо-сапиенс не в состоянии запомнить что-то из серии IB2894871987, а у поля формы, увы, отчего-то решили ампутировать фунцию автозаполнения. Но не суть, ибо если иметь при себе номер хотя бы одной кредитной карточки привязаной хотя бы к одному вашему счёту — то восстановить «Internet Banking ID» можно за пару секунд.

После того, как мы успешно указывает этот незамысловатый и сложно-запоминающийся ID открывается поп-ап окно с логин формой для инет-банкинга (рис. 2). Добрых 2/3 из тех немногочисленных посетителей, кто проявил достаточно упорства дабы дойти до этой формы вдруг падают со стула их глаза укатываются под стол. Вау, как это афигенски безопасно — введите вашу дату рождения и три цифры от пин-кода! Видно инженеры где-то прочитали про key-loggers и подумали, что ежели спрашивать только часть пина, то полную его версию злоумышленник никогда не узнает. Странно, что эти гении не подумали, что логгеры нажатия клавишь обычно работают месяцами (и уже несколько лет, как они делают скриншоты веб-страниц и аплодят их по ftp), а посему узнать весь пин — вопрос времени и терпения «злого хацкера».

Вот, собственно, и всё. Всё что нужно для полного контроля чьих-то финансов. Ввели эти данные и у нас полный доступ ко всем счетам (рис. 3). Оттуда уже можно нехитрым нажатием клавишь быстренько (если потратить пару часов на то, чтобы разобраться в интерфейсе) перевести все деньги в офшор и свалить туда же, дабы потягивать коктейльчик на песчаном пляже. И где тут, простите, безопасность? Имея чуть-чуть мозгов и времени можно легко узнать и дату рождения «жертвы» и его/её Banking ID и пин код. Кто виноват? Что делать? Убивать! Увольнять! В ссылку!

Nota Bene: Что, кстати, забавно, так это то — что в HSBC используется такая же система верификации личности при телефонном банкинге.

Средний Пример — Barclays

Барклай банк, сука — большой и богатый. Помнится в далёком прошлом их инженеры безопасноти читали у нас в универе пару лекций о том, как они афигенски сделали инет-банкинг. Жаль, что уже тогда — не впечатлило. Давайте посмотрим по-ближе.

Итак, опять два шага для того, чтобы попасть в чрево финансовых транзакций. Опять пресловутый «Banking ID» (рис. 4), который, к счастью, сохраняется в форме и не требует специальной тренировки извилин для последующего восстановления (нафиг он тогда нужен вообще?).

Далее следует второй шаг аутенфикации (рис. 5), где от нас уже не требуют даты рождения, однако нужно ввести пин-код для доступа в онлайн банкинг И выбрать несколько букв из дроп-даунов из нашего пароля. Несомненно, в Барклайе виски в IT дивизии пока херачат меньше чем в HSBC. Однако, всё равно херачат. Конечно, тут безопасность чуть выше, чем у первого «больного», однако от key-loggers это нас всё равно не спасает (хоть и даёт им приличный прирост в головной боли). Ввели все данные и, эврика, «мы вошли» (рис. 6)!

Не буду заострять внимание на том, что интерфейс тут хоть и красивее, но ничем не лучше чем у верого «пациента». Опять нужно добрых пол-часа дабы разобраться как перевести бабки на какой-то другой счёт. Ах, как страшно жить™! Убивать! Увольнять! В ссылку!

Хороший Пример — BA-CA

Ладно, что это я всё о больших и богатых банках? Лучше расскажу и покажу хороший пример, разработаный маленьким и бедным банком — Bank Austria / Credit Anstalt.

Итак, логин проходит в один шаг (ура-ура-ура), в форму достаточно ввести восьмизначный ID и пин (рис. 7) и, о эврика, они запоминаются броузером, а потому помнить нам их в будущем вообще не обязательно! Более того, форма логина находится на сплеш-странице банка (чего нельзя сказать про прочих «больных», ибо там надо обладать талантом поиска информации сродним с Google роботом).

Но-но! Но где же тут безопасность? Где аутенфикация? А вот где — для любой операции в инет-банкинге BA-CA нужно вводить одноразовый PIN. Список таких кодов присылают по почте в виде нехитрого письма с кучей цифр (в нём около 100 кодов). При любой операции требует её «подтвердить» — система запрашивает «любой PIN начинающийся на 42» (он и будет в письме всего один). Вводим цифры. Таким образом транзакция «подписана» (юридически верно) а так же защищена от любых технологических фриков, ибо все подписи одноразовые и доступны только в физическом виде. То, что у BA-CA просто отменный интерфейс в системе (рис. 8) — про это я лучше просто промолчу.

Немножко Цифр

• HSBC IT R&D — 190 сотрудников в хед-оффисе (сколько по миру — боюсь представить)
• Barclays IT R&D — 170 сотрудников в хед-оффисе (по миру явно многим больше)
• BA-CA — 7 сотрудников в хед-оффисе (R&D в бранчах не проводится вообще)

Well, who's da biatch 'ere?