Устройство попало мне в руки и я не смог отказать себе удовольствии посмотреть как все работает. Об итогах изысканий делюсь с сообществом.

Собственно САБЖ. Речь пойдет о системе Банк Клиент iBank2 компании Бифит, поскольку данное устройство заточено на работу в данной системе.



Определяется Windows 7 как устройство "для чтения карт" с названием Trustscreen. Драйвер используется встроенный в windows.

https://s28.postimg.org/7s9bysvql/tr2.jpg



Генерация ключа ни чем не отличается от генерации на etoken.

Вход в БК - тоже.

Сделал платежку и попробовал подписать. Выдается предупреждение:

https://s14.postimg.org/45k6ipki9/tr1.jpg



После нажатия "подписать" система ждет когда на устройстве будет нажата соответсвующая кнопка.

Само устройство показывает следующее:

https://s21.postimg.org/c1vih2ck7/tr3.jpg



Как вы видите все важные реквизиты платежки на экране есть. Пакетной подписи, которая иногда была возможна при работе с etoken - нет.

При наличии такого устройства бухгалтер с высокой вероятностью заметит поддельную платежку.

Можно предположить что при большом кол-ве платежей он не обратит внимание, например на номер счета. Но вряд ли он не обратит внимание и на номер счета и на наименование получателя.

Тем не менее в настройках клиентской части есть вот такой пункт:

https://s28.postimg.org/cwn4098st/tr5.jpg



Меньше 10 поставить нельзя. Однако для женщин в возрасте уменьшение размера выводимого текста может оказаться фатальным и вызвать нажатия на кнопку без надлежащей проверки.

Изображение на экранчике девайса при 10м шрифте довольно существенно уменьшается

https://www.anony.ws/i/2016/03/23/tr619ad2.jpg



Прошу прощение за качество, фиговый из меня фотограф.

Валютные документы не смотрел (счета нет соответствующего), однако думаю схема работы ровно такая же.

Выписки по счету формируются без использования средств аутентификации.

А вот что выдает при формировании письма в банк.

https://s9.postimg.org/7y81wwpin/tr4.jpg



Обратите внимание, что режим подписи - без визуализации.

И вот тут открывается простор для творчества. Поскольку письма отправленное в банк будет официальным документом. Вряд ли в крупном банке, где не работает принцип "know your customer" сотрудник банк позвонит клиенту с дополнительным вопросом - а это точно вы прислали?

Кстати на данный момент в серверной части БК нет возможности включить визуализацию для писем.

Вывод:

1) Траст Скрин весьма сильное средство для защиты от НСД.

2) Некоторый простор для фантазии данное устройство тем не менее оставляет. Достоверный канал общения (когда банк доверяет взломщику как клиенту) может открыть различные перспективы.

PS: Дополнения и предложения приветствуются.

PPS: Картинки не показываются (возможно потому что сайт хочет http) Поэтому дал прямые ссылки на картинки.