Recent posts
Tag: #jusanapps · 4 posts
Posted Dec 12
Наглядный пример бессмысленности запрета доступа к банковскому приложению на основании проверки наличия установленных подозрительных приложений. Сначала устанавливаем приложение Anydesk, позволяющее удалённо управлять iPhone'ом. Его наличие не вызывает подозрений приложения Jusan как для физических, так и для юридических лиц. Устанавливаем приложение RealVNC и при помощи небольшой хитрости также спокойно получаем доступ к обоим банковским приложениям Jusan. Потом делаем то же самое без хитрости и видим, что Jusan для физлиц нас больше не пускает, чего не скажешь про приложение для юрлиц. Наверное первых руководителей и главных бухгалтеров компаний сложнее развести. А хитрость очень простая и легко повторимая, выполняется штатными средствами iOS. В случае с мошенничеством даже не увеличится количество шагов для того, чтобы провести жертву. Как это выглядит со стороны? Jusan Bank, под видом выполнения требований АРРФР, создал проблемы законопослушным гражданам не создав особых сложностей мошенникам. По крайне мере это справедливо для iPhone. Выводы делайте сами 🙂 #jusanapps
Hashtags
Posted Dec 11
В кулуарах совершенно справедливо заметили: критикуешь — предлагай. Предлагаю: 1. АРРФР разъяснить банкам второго уровня о недопустимости блокировки функционала по оказанию дистанционных услуг банка в случае отсутствия обнаружения факта удалённого управления устройством клиента и/или приложением банка. 2. Подпункт 2 пункта 160 изложить в следующей редакции: «2) блокировку функционала по оказанию дистанционных услуг банка, организации в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы устройства, на котором оно выполняется;». 3. Добавить подпункт 2-1) в пункт 160 в следующей редакции: «2-1) блокировку функционала по оказанию дистанционных услуг банка, организации в случае обнаружения факта удалённого управления устройством, на котором оно выполняется и/или обнаружения факта удалённого управления самим приложением;». 4. Добавить подпункт 3-1) в пункт 160 в следующей редакции: «3-1) уведомление клиента о наличии потенциально опасных приложений, установленных на устройсте клиента без блокировки функционала по оказанию дистанционных услуг банка, организации;». UPD: 5. Государственным органам и организациям принять к сведению, что борьба с мошенничеством исключительно при помощи информационной безопасности неэффективна и может привести и негативным последствиям в отношении законопослушных граждан. Мошенничество — явление социальное и борьба с ним не должна ограничиваться техническими средствами. Соответственно, и бороться с ним должны не технари. #jusanapps
Hashtags
Posted Dec 10
Продолжаем разговор. Есть Постановление Правления Национального Банка Республики Казахстан от 27 марта 2018 года №48 «Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах»: https://adilet.zan.kz/rus/docs/V1800016772 В требованиях есть вот такая норма: 160. Мобильное приложение обеспечивает: 2) блокировку функционала по оказанию дистанционных услуг банка, организации в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления; Здесь нет однозначного понимания, что такое процесс удалённого управления (не даётся определение термина, может быть понят как непосредственно само удалённое управление либо как функция, допускающая удалённое управление). Ну и не ясно, удалённое управление чем/кем? Мобильным приложением, устройством, клиентом банка? Кроме того, получается, банки должны запретить использование своих мобильных приложений на всех iPhone, начиная с версии iOS 18, т.к. там появилась встроенная возможность удалённого доступа к iPhone c Mac. Пожалуй, напишу жалобу, что требования не исполняются. 🙂 Ну и вишенка на торте. Глава 10 этого документа, куда входит пункт 160, была добавлена постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 17.10.2023 №75 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования), т.е. действует уже более года. Тут даже не знаю, что думать про Jusan и АРРФР. Почему не знаю? Потому что одну мою жалобу на Jusan АРРФР, по моему мнению, спускает на тормозах. Но это уже совсем другая история. #jusanapps
Hashtags
Posted Dec 10
Хотел посмотреть, хватит ли мне денег на закуп продуктов к Новому году, а тут такое. Приятно, конечно, что банк думает о своих вкладчиках, которых разводят мошенники, но почему за счёт меня? И причём тут приложение, которое не установлено на моём телефоне? Кажется, придётся удалить приложение банка, ведь приложения Vnc на телефоне нет. UPD: тут в кулуарах говорят, что это банк якобы выполняет требование регулятора (АРРФР). Если так, то это, получается, государство обо мне так заботится, а не отдельный банк? Придётся удалять приложение государства?) UPD2: тут подсказывают, что следуя требованиям регулятора, нужно вообще запретить банковские приложения на iPhone, начиная с iOS 18, т.к. там появилась встроенная функция удалённого управления и считывания экрана. #jusanapps
Hashtags