Kik_on

Местные
  • Публикации

    7
  • Зарегистрирован

  • Посещение

О Kik_on

  • Звание
    Новичок

Информация

  • Пол
    Женщина

Посетители профиля

Блок посетителей профиля отключен и не будет отображаться другим пользователям

  1. Райффайзенбанк совместно с сервисом «Яндекс.Деньги» запускает проект по снятию наличных в своих банкоматах без пластиковой карты — снимать деньги клиенты с электронными кошельками смогут по специальному коду, рассказали РБК в Райффайзенбанке и «Яндекс.Деньгах». Это первый подобный проект для обоих участников, пояснили там.Внедрение технологии — «первый шаг» к реализации проекта Райффайзенбанка по «бескарточному» снятию наличных с любых карт и счетов, доступного всем клиентам, пояснил руководитель управления развития отношений с обеспеченными клиентами и некредитных продуктов Райффайзенбанка Дамьен Леклер. По его словам, запуск проекта позволит банку получить репрезентативные данные о спросе на услугу и оценить удобство и другие особенности процесса, чтобы учесть это при развитии сервиса.Реализация сервиса монетизируется за счет доходов от интерчендж комиссий, которые платежные системы выплачивают банку при снятии наличных с карт, ведь несмотря на то, что физически карта не участвует в процессе, технически снятие средств с электронных кошельков «Яндекса» классифицируется как снятие наличных с карты, пояснил Леклер.Как действует технологияЧтобы воспользоваться новой услугой, клиенту надо будет на сайте «Яндекс.Деньги» выбрать раздел «Получение наличных в банкомате без карты», указать сумму снятия (за один раз до 5000 руб.) и ввести одноразовый пароль, который приходит по СМС. Сервис покажет восьмизначный номер, который тоже будет одноразовым, и одновременно отправит его на электронную почту. Дальше в банкомате нужно будет выбрать пункт «Получить наличные без карты», ввести одноразовый восьмизначный пароль, затем пин-код из СМС и только после этого выбрать сумму и забрать деньги. За такое снятие пользователь будет платить комиссию — 3%, но не менее 100 руб. За сутки можно будет снять до 30 тыс. руб., за месяц — до 150 тыс. руб. Сумма должна быть кратна 500 руб.Таким образом, при снятии средств будет действовать двухфакторная авторизация — номер для снятия пользователь видит в самом сервисе, а пароль получает в СМС. «То есть в случае перехвата СМС, у злоумышленника не будет номера снятия, и наоборот», — отмечают в «Яндекс.Деньгах». Если клиент захочет еще раз снять деньги, ему будет необходимо пройти всю процедуру заново. Номер мобильного должен быть привязан к кошельку — операция будет запрещаться тем пользователям, которые привязали номер телефона менее трех дней назад.Не революцияПроект, запускаемый банком и «Яндексом», однозначно новый для рынка, но шаги в направлении отказа от пластиковых карт уже делают и другие банки, говорит основатель и партнер UsabilityLab Дмитрий Сатин. К примеру, клиенты Тинькофф банка могут снимать наличные в банкомате с помощью QR-кода. Идея снятия наличных в банкомате без карты не нова, согласен главный аналитик Российской ассоциации электронных коммуникаций Карен Казарян. По словам эксперта, на современном этапе для банков иметь возможность снятия средств без карты в банкомате — логичная история. В феврале стало известно, что Сбербанк тестирует сервис по снятию наличных с карт с использованием касс магазинов. Возможность запуска подобного сервиса изучает и платежная система MasterСard, которая проводила тесты с несколькими банками, среди которых ВТБ и «Русский стандарт».Двухфакторная авторизация пользователя, предлагаемая Райффайзенбанком и «Яндекс.Деньгами», кажется наиболее защищенной от возможных злоумышленников, отмечает Сатин. Более того, даже если они смогут каким-то образом получить доступ и к СМС, и к номеру восьмизначного пароля, благодаря ограничению на одно снятие в размере до 5000 руб, клиент огражден от риска потерять крупную сумму, говорит эксперт. Что касается защищенности от злоумышленников, предлагаемая технология в целом надежнее обычного снятия с карты, потому что физически клиент не вставляет в банкомат карту, что не дает мошенникам возможности считать ее данные посредством установки устройства считывания магнитной полосы, заключает Казарян.
  2. да действительно как? кто в теме может пояснит?
  3. Что случилось? Исследователи из Мюнстерского университета прикладных наук, Рурского университета в Бохуме и Левенского католического университета обнаружили несколько уязвимостей в почтовых клиентах при шифровании переписки по протоколам S/MIME и OpenPGP. Найденные уязвимости они назвали EFAIL. Из-за них злоумышленники могут расшифровать сообщения, не владея приватным ключом. Исследователи и правозащитная организация Electronic Frontier Foundation призвали временно перестать пользоваться электронной почтой для обмена конфиденциальной информацией. А что это за уязвимости? Для начала надо сказать, что современные почтовые клиенты могут показывать не только простые письма, которые не содержат ничего кроме текста, но и письма с HTML-версткой — по сути, отдельные веб-страницы. Самый простой пример — письма с фотографиями. Именно этой особенностью и могут воспользоваться потенциальные хакеры. Злоумышленник перехватывает зашифрованное сообщение и немного изменяет незашифрованную часть — как будто добавляет туда ссылку на картинку, которую получателю надо загрузить. На самом деле в эту ссылку злоумышленник вставляет всю зашифрованную часть письма. Почтовый клиент (исследование показало, что такая уязвимость есть у многих клиентов — Apple Mail, iOS Mail и Mozilla Thunderbird) сначала расшифровывает секретную часть, а только потом пытается загрузить картинку. Для этого он отправляет запрос к серверу domain.name, который контролирует злоумышленник: но вместо пути к конкретной картинке (например, http://domain.name/image/cat.gif)в запросе содержится весь расшифрованный текст http://domain.name/<исходный текст шифровки>. Получается, что злоумышленник получает на свой сервер секретное письмо в расшифрованном виде. Есть еще другой вариант атаки, который устроен примерно таким же образом, только ссылка на «картинку» внедряется прямо в зашифрованную часть письма. Не понял, так можно расшифровать любое мое письмо? Все зависит от того, меняли ли вы когда-нибудь ключ (или подключ) для шифрования. Если вы этого никогда не делали, вся ваша переписка действительно может оказаться под угрозой. Если же вы когда-то потеряли или просто удалили старый приватный ключ и сгенерировали новую пару, то злоумышленник не сможет получить исходный текст старых писем. Еще раз — это проблема почтовых клиентов? Или стоит отказаться от самих программ шифрования? Уязвимость касается только почтовых клиентов, а не программ шифрования вроде GnuPG. EFAIL не приводит к утечке вашего приватного ключа. Злоумышленник в случае успешной атаки получит только исходный текст зашифрованного сообщения. Для расшифровки каждого нового текста ему нужно организовывать новую атаку. Кроме того, PGP не ограничивается одной только электронной почтой. Например, существуют менеджер паролей pass или система анонимного общения источников с редакциями изданий SecureDrop. Они используют для шифрования приватные ключи PGP, но не подвержены атакам EFAIL. Все почтовые клиенты уязвимы? Нет. По словам исследователей, им удалось обмануть только 10 из 28 почтовых клиентов, умеющих шифровать переписку по протоколу OpenPGP. В случае с протоколом S/MIME успешные атаки удалось провести против 25 из 35 почтовых клиентов. Тогда зачем отказываться от шифрования, если мой почтовый клиент не уязвим? Потому что вы, скорее всего, не можете полностью контролировать ваш круг общения. Зашифрованную переписку можно получить, атаковав не вас, а вашего адресата. Чтобы безопасно шифровать переписку теперь необходимо удостовериться, что весь ваш круг общения тоже использует неуязвимые почтовые клиенты. Что делать, если я параноик? Откажитесь от электронной почты вообще. PGP не шифрует информацию об отправителях с получателями и (за редким исключением) темы писем. То есть злоумышленник или спецслужбы с доступом к вашему почтовому провайдеру смогут восстановить круг общения и примерные темы переписки. Вместо шифрования электронной почты представители Electronic Frontier Foundation предлагают перейти на использование защищенных мессенджеров вроде Signal.