Когда-то в 2018 году мы запустили с Калугой-Астрал и КриптоПро первую онлайн регистрацию бизнеса с мобильного телефона с мобильной ЭП.

Мы продолжаем это делать) Впереди нас еще ждет КриптоКлюч))

https://banks.cnews.ru/news/line/2025-04-24_bank_uralsib_i_gk_astral

#stcrypt #mydss #криптоключ #verestnikova #дарьядмитриевнаработает

Не только в России мы делаем банкинг безопасным)

Красивое промо из Киригизии вам в телефончики)

https://youtu.be/kUYwAIkJWLE?si=DEUBgUPjpRu4DZf4

#safetech #paycontrol #verestnikova #дарьядмитриевнаработает

Мы получили выписку из положительного заключения ФСБ России на доработанную версию СКЗИ «КриптоПро CSP» 5.0 R3 (5.0 R3+, сборка 13003) по классам КС1, КС2 и КС3.

Ключевыми особенностями обновленной версии «КриптоПро CSP» являются:
🔹поддержка индивидуальных ключевых носителей «РусТокен-Lite-A» и «РусТокен-Lite-AC» при работе СКЗИ под управлением ОС семейств Windows, Linux и FreeBSD;
🔹поддержка версий мобильных ОС — Android 15 и IOS (включая iPadOS) 18;
🔹повышение производительности выполнения криптографических операций при взаимодействии СКЗИ «КриптоПро CSP» с ПАКМ «КриптоПро HSM»

Подробнее о содержании выписки в нашем информационном письме.

Сказ о том, как мы с Т-Банком MS CA меняли

https://www.itsec.ru/articles/importouluchshenie-korporativnogo-centra-sertifikacii-microsoft-ca-v-t-banke

#safetechca

Цифровой рубль еще до конца не запущен, а злоумышленники уже используют этот инфоповод для мошенничества.

Они создают псевдоресурсы «Инвестиционных платформ цифрового рубля» и агитируют вносить «депозиты» сейчас, потому что потом «порог входа будет выше» (что бы это ни значило) 🤷🏻‍♀️

https://tass.ru/ekonomika/23662399

#дарьядмитриевнапредупреждает

Долгое время существовала уверенность, что Microsoft CA "просто есть", успешно решая текущие задачи. После его ухода, когда начали появляться коммерческие аналоги и стремление сделать лучше и безопаснее - стали видны критические проблемы MS CA.

https://www.itsec.ru/articles/5-kriticheskih-uyazvimostej-microsoft-certificate-authority

С гордостью сообщаем о важной вехе: мы получили выписку из положительного заключения ФСБ России по результатам экспертизы тематических
исследований программного комплекса «КриптоПро Ключ» версии 1.0.

КриптоПро Ключ открывает новую эру мобильной подписи, выводя безопасность ее применения на совершенно иной уровень. В основе решения лежит инновационная технология распределенного хранения и использования ключей подписи, которая разрабатывалась специалистами КриптоПро несколько лет.

КриптоПро Ключ — это комплексное решение для безопасного создания электронной подписи, управления сертификатами и выполнения разнообразных криптографических операций. В состав решения входят
инструментарий разработчика (SDK)для мобильных приложений и законченные мобильные приложения на его основе:
одноименное приложение КриптоПро Ключ от компании КриптоПро и приложение КриптоКлюч от компании STCrypt (SafeTech Group).

В дальнейшем пользователи
смогут:

· выпускать неквалифицированные
сертификаты ЭП с идентификацией через Госуслуги;
· выпускать квалифицированные
сертификаты ЭП с идентификацией через ЕБС;
· оплачивать услуги прямо в
приложении.

А ДУЦы смогут получить возможность реализовать выпуск квалифицированной ЭП ЮЛ не на аппаратных токенах, а в мобильном приложении.

Пресс-релиз

#дарьядмитриевнаработает #verestnikova

А ведь и правда страшно звучит....

✨ Мошенники представляются сотрудниками Банка России и предлагают закрыть «международный счет»

Человеку сообщают, что у него есть «международный счет». После этого мошенники требуют его закрыть, в случае отказа — угрожают штрафом. Рассказываем подробности новой схемы:

❓ Как это работает?

🟠 Человек получает электронное письмо с логотипом Банка России. Внутри — ФИО жертвы, якобы официальное уведомление о том, что у нее есть «международный счет» с крупной суммой денег и угроза штрафа, если не закрыть его прямо сейчас.

🟠 Мошенники предлагают помочь вывести деньги и при этом сохранить процентный доход, но с условием: нужен российский банковский счет человека, на котором больше всего денег. Подробности готовы изложить в ответном письме или через мессенджеры.

🟠 В некоторые письма добавляют фишинговую ссылку на сайт, где требуется ввести личные данные и банковские реквизиты якобы для идентификации и закрытия счета. Или на вредоносное ПО, которое автоматически устанавливается на устройство пользователя и предоставляет удаленный доступ к приложениям банков.

🟠 Если человек откажется — будут угрозы не только штрафом, но и арестом имущества или принудительным взысканием с заработной платы. Сведения, которые предоставит жертва, мошенники могут использовать для хищения денег или оформления кредитов и займов.

💠 Как обезопасить себя и близких?

🔘 Запомните: сотрудники Банка России не пишут и не звонят людям и тем более не предлагают совершить какие-либо операции со счетом
🔘 Не отвечайте на такие письма
🔘 Не переходите по ссылкам и не предоставляйте личные и финансовые данные
🔘 Установите антивирус и регулярно обновляйте его
🔘 Если есть сомнения — самостоятельно позвоните в свой банк по номеру с карты или сайта.

А что считать уязвимостями? Кто будет проверять? А несоблюдение некоторых требований законодательства будет считаться уязвимостью?

Очень ждем текст законопроекта, будет крайне интересное чтиво.

https://securitymedia.org/news/banki-pod-pritselom-teper-oni-budut-platit-za-svoi-dyry-v-bezopasnosti.html

#verestnikova #дарьядмитриевнаожидает

Индия признала Альфа-Банк технологическим лидером МИРОВОГО УРОВНЯ ❤🇮🇳

Fintech India Expo — крупнейшее технологическое событие Южной Азии. Там обсуждают всё — от кибербезопасности и криптовалюты до искусственного интеллекта и умных городов.

А ещё — вручают престижную премию Fintech India Innovation Awards. И только что нас признали лучшими сразу в двух номинациях — Global Leader in Fintech и Best Global Use of AI in FinTech.

Это масштабная победа российского финтеха на международном уровне. Гордимся и продолжаем влюбляться в Азию ❤

Редактор канала: настоящая индийская награда — когда вместо статуэтки дарят танец 🕺🏻

@alfabank

🗣 Дарья Верестникова, STCrypt: В зоне наибольшего риска клиенты банков, которые продолжают использовать устаревшие методы подтверждения операций

Дарья Верестникова, генеральный директор STCrypt, автор телеграм-канала «Об ИБ с высоты каблуков», рассказала порталу Cyber Media об актуальной специфике защиты клиентов в банковской отрасли, а также о трендах и мерах, которые могут стать ключевыми для повышения безопасности в ближайшем будущем.

Изначально Госуслуги создавались преимущественно для государственных сервисов: оформление визитов в МФЦ, заявления на документы и пр. Однако сейчас их все больше пытаются интегрировать и в повседневную финансовую жизнь граждан. С помощью Госуслуг можно входить в банковские системы для дальнейшего совершения переводов, получать электронную подпись в Госключ и подписывать договоры на продажу автомобиля, получение сим-карты и многое другое. Если мы хотим продолжать интеграцию государственных сервисов в финансовую жизнь граждан - нужно вводить дополнительные меры защиты, в том числе антифрод системы, отказываться от небезопасных средств аутентификации, таких как смс и вести просветительскую деятельность об опасности разглашения именно этих данных.

https://iz-ru.turbopages.org/iz.ru/s/1852436/natala-ilina-evgenii-gracev-anna-kaledina/ne-dat-vzat-mosenniki-ispolzuut-samozapret-na-kredity-dla-obmana

#verestnikova #дарьядмитриевнапредупреждает

⚡️ В RuStore уже доступно официальное приложение Альфа-Банка для ОС Аврора!

#АврораОС

Помогаем банкам переходить на отечественные платформы)))

#safetech #дарьядмитриевнаработает #verestnikova

И вдогонку на вечер почитать про вирусы и банковские приложения:

https://www.kommersant.ru/doc/7552884

Ну, конечно, вирусы направлены на хищение SMS и пуш-кодов. И они вновь актуальны.

Технический директор SafeTech Павел Мельниченко отмечает, что «антивирусы полезны в качестве средства цифровой гигиены, но малоэффективны против современных вирусов для мобильных платформ и мобильное приложение по управлению деньгами не должно полагаться только на него». В частности, в настоящее время для банковских приложений опасны два типа вирусов: удаленное управление (типа SpyNote) и перехват СМС/пуш-сообщений. Как поясняет господин Мельниченко, SpyNote позволяет управлять телефоном удаленно и любой сервис, вход в который или подтверждение операций основаны на СМС/пуш-сообщениях, может быть взломан с его помощью: «Госуслуги», мобильный банк или инвест-приложения. Поэтому у мошенников нет необходимости взламывать само банковское приложение.

#safetech #paycontrol

#непридуманныеистории

Перед 8 марта мошенники звонят от имени служб доставки цветов. А чтобы подтвердить получение - необходимо назвать код из SMS.

И прощай Госуслуги и деньги на новое платье.

Дамы, будьте, пожалуйста, аккуратнее! Не принимайте букеты от незнакомцев - только от своих любимых мужчин))🌹🌺🌸 А тайные поклонники пусть рассекречиваются))

#дарьядмитриевнапредупреждает

Вот это я понимаю - маскировка.

Интересно, а в нем можно реально вести учет надоя? 🧐

#дарьядмитриевназадумалась

Россельхозбанк замаскировал в Google Play и AppStore от санкций свое приложение под сервис учёта надоев. @banksta

https://www.rbc.ru/business/04/03/2025/67c5f8569a79475be5c7a268

А я правильно понимаю, что теперь не надо притворяться сотрудником банка или МВД, а достаточно «щипануть» карту в баре? Еще можно подтвердить доверенный номер телефона. А пин-код хоть запрашивает?

Очень люблю и уважаю ВТБ, как и другие банки. Но некоторые попытки «упростить клиентский путь» меня сильно пугают…

#дарьядмитриевнавнедоумении

Теперь любой человек (и юрлицо), имеющий аппаратный токен с КЭП (в том числе КЭП ФНС) может стать мобильным!)

В myDSS 2.0 (и скоро в КриптоКлюче) реализована поддержка USB токенов по «проводку» и NFC)А так-же поддержка NFC смарт-карт)

https://safe.cnews.ru/news/line/2025-02-25_safetech_realizoval_podderzhku

#mydss #safetech #stcrypt #verestnikova #дарьядмитриевнаработает

#непридуманныеистории

Очередное сообщение из общедомового/поселкового чата:

"Моей маме поступил звонок на телефон, якобы из управляющей компании, сказали, что завтра будут менять двери в подъезде, спросили сколько магнитных ключей ей заказать, она ответила, предложили заказать запасные, ведь бесплатно. Далее сказали, что у каждой квартиры теперь будет свой код от домофона, общего больше не будет, сейчас он вам придёт. Пришёл? Назовите пожалуйста, чтобы закодировать ваши магнитные ключи.
После того, как она их озвучила, мгновенно поняла, что натворила.

Эти вражены на той стороне трубки, тут же, не положив трубку, между собой стали говорить о блокировке её госуслуг, стоимости недвижимости, которая на ней значится и все её фио, адрес и т.д. Всё это почти скороговоркой. Она бросила трубку.

Сразу вошла в госуслуги - пароль уже поменяли, войти не смогла."

#осторожномошенники

А я только что об этом писала

🏦 ЦБ: почти половина краж с карт связана со SpyNote

Около 40-50% случаев мошенничества с банковскими картами за последние шесть месяцев были совершены с использованием шпионского ПО SpyNote, заявила глава Банка России Эльвира Набиуллина на форуме по кибербезопасности в финансовом секторе.

В связи с этим ЦБ намерен обязать банки усилить защиту их мобильных приложений, пишет «Интерфакс».

«Мы закрываем одну брешь, мошенники тут же находят другие, и мошенничество остается повседневной угрозой, и одной из самых беспокоящих в нашем обществе», — отметила Набиуллина.

❤️ Читайте подробнее на сайте

@frank_media

Сейчас активно распространяются трояны, нацеленные на пересылку смс и пуш уведомлений. А также фишинговые сайты банков и различных маркетплейсов.

В этих сценариях страдают клиенты тех банков, которые так и используют устаревшие технологии подверждения СМС и PUSH-кодов вместо рекомендованных ЦБ средств СКЗИ и электронной подписи. А также клиенты, у которых пытаются украсть учетную запись Госуслуг с целью получения кредитов и займов, подписания документов через Госуслуги.

https://www.kommersant.ru/doc/7515659

#дарьядмитриевнаработает #verestnikova #safetech #stcrypt

Клиенты все чаще оспаривают кредиты, подписанные ПЭП и кодиком из СМС. Хотят даже внести законопроект об обязательном возврате денежных средств клиентам по таким кредитам. И уже все СМИ об этом трубят!

Простая электронная подпись и смс с одной стороны пока еще приравнена к собственноручной, но с другой стороны уже показала свою ничтожность с точки зрения информационной безопасности. СМС (ровно как и пуш) злоумышленник может получить: методами социальной инженерии, с помощью фишинга, программ удаленного доступа или вируса на телефон. Не говоря уже о случаях подмены сим-карт и внутреннего фрода в банках и операторах сотовой связи (ведь код подтверждения знают обе эти стороны). То есть смс сейчас не может защитить клиента от мошенничества несмотря на приравнивание ее к собственноручной подписи.

При этом существуют решения, которые базируются на криптографии, которая встраивается в мобильное приложение клиента. Когда мошенник пытается взять кредит, полтзователю на телефон приходит кредитный договор, который отображается на экране его смартфона и, при согласии с условиями, документ может быть подписан с использованием криптографии в телефоне и электронной подписи. А само подписание дополнительно защищено FaceID или TouchId. В таком сценарии только этот пользователь только со своего конкретного телефона может взять кредит онлайн. То же касается переводов денежных средств на «безопасный счет».

Эта технология позволяет избавить от самых популярных на данный момент атак и значительно сократить мошенничество. Многие банки уже используют данную технологию.

Даже регулятор в лице ЦБ в своем положении 683П говорит о необходимости использования криптографии на стороне клиента, при этом далеко не все готовы отказаться от привычных смс, боясь потерять клиента, а не его деньги. Хотя технология мобильной электронной подписи еще проще в использовании.

https://www.kommersant.ru/doc/7498324

#safetech #verestnikova #дарьядмитриевнаработает

Наш SafeTech CA на замену Microsoft CA с каждым днем становится все популярнее)

У нас появляются новые партнеры, которые хотят с нами плотно работать в этом направлении. А это значит что? Что есть потребность)

https://www.cnews.ru/news/line/2025-02-12_programmnye_produkty_safetech

#safetech #ca

Урааа!!!🔥

Многие делают, но не многие рассказывают как)

myDSS 2.0 (а вскоре и КриптоКлюч) работает с МЧД)

О том, как с этим работать рассказывает ГПБ ЭТП)

https://safe.cnews.ru/news/line/2025-02-11_kvalifitsirovannaya_ep_so

#stcrypt #safetech #verestnikova #дарьядмитриевнаработает

Очередное интересное дело)

Солодовников Е.М. обратился в суд с иском к банку о признании ничтожным кредитного договора от 26 января 2023 года, зачислении суммы кредита в размере 720000 руб.

Все по классике. "Скачайте приложение, введите код, взят кредит, переведите деньги на безопасный счет, снимите в банкомате и т.д.".

Но тут интересно что:
- легитимность электронного документа с простой электронной подписью, содержащего условия, которые названы в законе или иных правовых актах как существенные или необходимые для договоров данного вида, а также все те условия, относительно которых по заявлению одной из сторон должно быть достигнуто соглашение, подтверждается наличием указания в нем лица, от имени которого составлен и отправлен электронный документ.
- предоставляя возможность дистанционного оформления кредитного договора, банк, оказывая соответствующую услугу, должен учитывать интересы потребителя и обеспечивать безопасность дистанционного предоставления услуг. Между тем, представленные ответчиком доказательства направления на мобильное устройство истца кода для введения в мобильном приложении при установленных по делу фактических обстоятельствах направления заявки на оформление кредита и подписания кредитного договора одной подписью сами по себе не свидетельствуют о принятии банком всех необходимых мер для надлежащей идентификации клиента и обеспечения безопасности совершаемых операций.

Банк проиграл, деньги вернули клиенту.

https://7kas.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=doc&number=28237818&delo_id=2800001&new=2800001&text_number=1

#дашавделе #safetech #stcrypt #verestnikova

Официальная рассылка от онлайн школы. О чем это нам говорит? Правильно, о том, что атаки на Госуслуги становятся более массовыми 🤷🏻‍♀️



Уважаемые родители и ученики!

Мы узнали, что мошенники пытаются получить доступ к аккаунтам наших пользователей на Госуслугах, представляясь сотрудниками Фоксфорда.

Будьте внимательны: мы никогда не запрашиваем коды и пароли от ваших учетных записей на портале Госуслуг и других сервисах. Если вы получили подобный запрос, пожалуйста, соблюдайте осторожность и не предоставляйте свои данные.

Также не рекомендуем переходить по ссылкам, полученным в сообщениях или письмах, и загружать любые файлы, которые вам присылают в мессенджерах незнакомые или сомнительные отправители. Это может быть попыткой мошенничества, направленной на кражу ваших личных данных.

Ваше доверие и безопасность — наш приоритет. Если у вас возникли сомнения или вопросы, пожалуйста, обращайтесь в поддержку по официальным каналам связи: ask@foxford.ru и https://t.me/foxford_edu

С заботой,
Домашняя школа Фоксфорд 🧡

Внимание, огненная новость!

Первый банк в России, импортозаместивший Microsoft CA на отечественный технологический корпоративный центр сертификации. Угадайте кто и на чей?))

https://www.tbank.ru/about/news/28012025-t-bank-became-first-bank-in-russian-federation-to-import-technological-corporate-certification-center/

#safetechlab #safetechca