Banks online security, part deux

[ny_quant]

Начало тут. Загадочное поведение банковской интернет-вохры там блестяще объяснил malyj_gorgan.

Сегодня меня не пустил на порог Citibank. В отличие от прошлого раза, пароль я вводил руками (выучил за 25 лет, каюсь) и никакой ошибки не получил. Сайт, не говоря худого слова, просто возвращал меня на страницу авторизации. Всё то же самое из анонимного окна сработало без проблем. Возможно, объяснение окажется сходным. Но как-то совсем уж круто, что в обычном окне зайте вообще больше нельзя.

Повбивав бы.

Comments

[spamsink.livejournal.com]

Блестящие объяснения там удалены, насколько можно судить.

[ny-quant.livejournal.com]

Да, к сожалению. Надеюсь, он меня простит если я повторю здесь ключевой момент: если работаешь в анонимном окне, то сразу попадаешь в другое decision tree.

[dmitrykondr2017.livejournal.com]

Я так в один из моих гугловских аккаунтов недавно еле смог войти. После корректного логина/пароля стал требовать то проверочный код из смс, то код из резервного email (если правильно помню). Я их вводил, но всё равно дальше не пускало. Вышло очень странное окно: типа попробуйте зайти с устройства, с которого заходили ранее, или подключитесь к wi-fi сети, к которой подключались ранее

Решил проблему заходом через режим инкогнито

[quakestop.livejournal.com]

Вообще-то это уже не звоночек, а набат - что пора менять браузер и/или систему.

Но хозяин барин.

[ny-quant.livejournal.com]

На что именно пора менять Хром непонятно. И где гарантия, что под Линуксом не будет та же фигня или ещё хуже?

[sydorov47.livejournal.com]

Разбираться надо.
Но я бы серьезно проверил свою систему и браузер в первую очередь.
Кто-то в браузере живет и отпугивает банк.
Попробуйте отрубить все плагины т.п..

[ny-quant.livejournal.com]

Так точно. Отрубил плагины и оно таки заработало. И шо мне с того в практическом смысле? Плагины-то стоят для моего удобства. Но хорошо, что загадка опять так легко разъяснилась. Открыть анонимное окно несложно, просто достали малость.

Оффтопик: по почте пока ничего не получил ;)

[sydorov47.livejournal.com]

В практическом смысле это значит, что какой-то из плагинов "высокорисковый" - скорее всего связан с жуликами.

Offtopic: Купил, приготовил, и забыл... Бегу на почту!

[ny-quant.livejournal.com]

Хорошая догадка, один из плагинов действительноно логика все же непонятна. Если этот плагин действительно ворует пароли, то (1) он их давно уже украл; (2) надо было бы не отфутболивать меня назад, а сказать что их волнует.

Главное чтоб не потерялось :)

[malyj-gorgan.livejournal.com]

Вставлю свои два цента, как разрекламированный ыксперд :)
Украден имеено ваш пароль или нет -- алгоритм не волнует. Алгоритм волнует значение feature variable типа risky_plugins_present=true. Это если мы говорим о manual fraud detection алгоритме.
Кроме того, независимо от ML-алгоритма отсекания злоумышленников-обманщиков, которые действуют вручную, у Сити, скорее всего работает параллельный механизм блокирования ботов/скриптов. Который, если ничего не поменялось, скорее всего не МЛ, а базируется на регулярно обновляемом наборе "правил". Если в последнее время был всплеск automated traffic от браузеров с вот таким плагином, то, оно могло проникнуть в этот ruleset.
Это два наиболее вероятных сценария того, что произошло, если только за последний год там не выдумали чего-нибудь совсем нового (вряд ли, некому было выдумывать)

[ny-quant.livejournal.com]

Что именно волнует алгоритм я понимаю. Непонятно почему он просто возвращает меня обратно к логину, вместо того чтобы конструктивно объяснить что пошло не так. Чего этим можно добиться кроме как потока звонков от очумевших кустомеров в службу поддержки?

[malyj-gorgan.livejournal.com]

Это-то как раз понятно: алгоритм-то не сам блокирует, а вписывает рекомендацию в следующий http request.
Самый простой и действенный метод — не пропускать POSTы или PUTы, разрешая GETы. Сервер просто не знает, что туда уже влогнулись, да и все.

[ny-quant.livejournal.com]

Насчет "уже влогнулись" не понял. Меня же отфутболили.

[malyj-gorgan.livejournal.com]

В смысле, что была попытка логина. хттп запрос, с зашифрованным в ём логином/паролем просто туда не доходит, сервер искренне считает, что пользователь продолжает подгружать логин-страничку.
Т.е., сервер, который присылает юзеру инфу, он не знает, что юзер заблокирован, потому как блокируют по пути.

[ny-quant.livejournal.com]

А, теперь понял. Но ведь так было делать необязательно, правда? Можно же было дать серверу знать, что что-то пошло не так и дать ему возможность послать нужную информацию клиенту?

[malyj-gorgan.livejournal.com]

Disclaimer: я свечку не держал, а если бы и держал (т.е., если бы знал, как конкретно работает защита в Сити) права рассказывать бы не имел. Но чаще всего оно работает именно так.
Если это third party defense, то просто не пропустить запрос тупо проще, соответственно, реже ломается, дешевле і т. д.

[ny-quant.livejournal.com]

Правильно говорят, что простота хуже воровства.

[malyj-gorgan.livejournal.com]

Хуже-не хуже -- дешевле
Если траффик не блокировать а рераутить (*), то надо больше мощности бекенда (дороже), плюс, сложнее процедура -- тоже дороже, а еще, дольше. Более медленный сайт >> клиенты уходят >> теряются деньги, более быстрый сайт >> банк чаще обманывают >> теряются деньги. Обычная оптимизация (там больше факторов, не только скорость)

(*) Перечитал предложение, понял, что уродую русский язык. Но не раскаиваюсь, а делаю это с чуйством глубокого мстительного удовлетворения :)

[aklepatc.livejournal.com]

Простая догадка...
За конструктивные объяснения в этой, нашей американской жизни можно заработать разные жизненные сложности.

Почему конторы не говорят кандидатам за что их забраковали?

"Объяснить" достаточно часто значит "подставиться". Можно развить сюжет и придумать, почему "приоткрывать окно" в логику fraud detection алгоритм — спорная идея.

[ny-quant.livejournal.com]

Не допускать клиентов к их родным денежкам без объяснения причин - тоже спорная идея.

[aklepatc.livejournal.com]

Согласен.

Может быть подход типа: our reasons/logic is somewhat fishy so let the customer (if they are legit) call support. А на поддержке сидит какой-то Вася, кот. совсем "ни уха, ни рыла"...

Не говоря уж про то, что нюансы работы системы, вообще, никто, кроме программиста, не разумеет.

[ny-quant.livejournal.com]

Вася стандартно говорит, что надо почистить кэш, потом ребут, а потом - "не шмогла" и передает на следующий уровень пока кто-то не догадается про анонимное окно. Слова "плагин" в этих переговорах пока что не встречалось.

[aklepatc.livejournal.com]

Ага. Типичный бардак большого бизнеса.

[brmail]

Ну вот, у меня в том году было такое:
https://brmail.dreamwidth.org/358007.html
В прошлом замечательный банк etrade, к сожалению их купили морган-стенли и он день отодня становится хуже.
И непонятно к кому от них убегать.

[ny-quant.livejournal.com]

Весело. И чем кончилось?

[brmail]

Естественно само ничего не исправилось. Выжидал полные сутки. После второго звонка, с висением на холде и музыкой быстро, буквально за 10 минут все включили. Но без звонка никто палец о палец не ударил. Все отправленные документы не профукали, типа ложечки нашлись , но осадочек.

[ak-47.livejournal.com]

Интересно получается. Логин по уровню танцев с бубном уже сравнила с посылкой мейлов. С нового мейл сервера невозможно ничего послать. Надо месяц обивать пороги разных контор, чтобы сервер внесли в разные тайные списки доверенных адресов и организаций. И то время от времени будут сюрпризы, вот как с неработающим логином.

При этом спам как был, так и есть. Счета как взламывали, так и взламывают. Что-то пошло не так.

[malyj-gorgan.livejournal.com]

За спам не скажу, а количество automation traffic растет как на дрожжах с ростом доступности облачных ресурсов. И state-supported бот-сетей. Посмотреть на логи попыток логнуться на любой большой банк или бизнес — волосы дыбом от количества и разнообразия входящей гадости. Которая, зараза, постоянно мутирует: вчера это миллионы запросов из частных айпи под Чайна Мобайл, сегодня -- сотни левых ASNов, зарегистрированных на ФИО-стайл бизнесы в российской глубинке (буквально, может попатстся ISP типа "chastnyi predprinimatel Igor Konstantinovich Kostenkov" из какого-нибудь пгт Хрензтаткаково района Томской области). Хуже чем микробы против антибиотиков, право.
Боюсь представить себе, сколько за это платит тот же Сити или Чейз, если попытки защитить небольшой сайт какого-нибудь мелкого кредит юниона уже сейчас стоят сотни тысяч в год (умей они защититься сами, они бы хрен платили) і эта стоимость (as in cost, not price) только растет.

[ak-47.livejournal.com]

По-моему это какой-то путь в никуда. Такими темпами в один момент стоимость борьбы с этим мусором перевесит стоимость ведения собственно бизнеса. Тогда начнут появляться хипстеркие банки: приходите лично в отделение и заполните бумажки руками (пером из чернильницы, само собой).

[malyj-gorgan.livejournal.com]

В борьбе брони и снаряда иногда выигрывают снаряды.
Ничего умнее таких туповатых сентенций я на эту тему сказать не могу. Когда я работал непосредственно в этой индустрии, у меня были хорошие дни, когда я дума, что надежда есть, и плохие, когда понимал, что рано или поздно сгниет все. С тех пор перешел индустрию параллельную, но некоторая visibility сохранилась. Плохих дней стало немного больше.

[sydorov47.livejournal.com]

К написаному malyj_gorgan добавить нечего.

[brmail]

Ну, теперь можно плагины по одному включать, чтобы понять какой именно не понравился ситибанку.
Если это какой то конкретный плагин, можно поискать почему он не нравится банку.

Еще можно в качестве альтернативы завести отдельно какой либо браузер, ну хоть вот такой — https://classic.waterfox.net/
Никаких плагинов туда не ставить — пользовать как есть, чисто для захода в банки-онлайн

[ny-quant.livejournal.com]

Уже вычислил какой, собс-но сразу догадался: 5 из 6 у меня стандартные, а один с левой резьбой. Почему именно тоже в общем понятно, но практической пользы мне от этого понимания нет.

Я еще недавно вообще Хромом не пользовался. Работал в Pale Moon и всё было путём. А потом многие сайты, особенно банков но не только, работать там перестали. Так что заводить еще один браузер, который в любой момент может стать бесполезен, мне лень. Проще открыть анонимное окно.

[polkovnik-isaev.livejournal.com]

Склоняюсь к мнению, что проблема на вашей стороне, скорее всего с браузером. Я постоянно захожу через Хром на сайты всяческих банков, включая Сити, все логины и пароли сохранены в Хроме и заполняются автоматически, руками я набираю только код для 2 step verification.

[ny-quant.livejournal.com]

А как у вас с плагинами?

[polkovnik-isaev.livejournal.com]

Это, которые Chrome extensions? У меня их очень мало установлено, штук 6 где-то.

[ny-quant.livejournal.com]

Вот и у меня 6. Но один из них Ситибанку не нравится.

[brmail]

Чисто ради интереса — какой именно?

[ny-quant.livejournal.com]

У меня нет секретов от коллектива. Вот этот:

https://gitlab.com/magnolia1234/bypass-paywalls-chrome-clean