Мошенничество с Интернет-Банками. Как не попасться?

Личные впечатления и находки. Как сделать жизнь выгодной и удобной.
Аватара пользователя
Pershing
Сообщения: 1985
Зарегистрирован: 24 авг 2012, 00:54
Откуда о нас узнали: ggggh

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение Pershing » 12 май 2013, 14:40

Серой, говоришь?
Серу применяют для производства серной кислоты, вулканизации каучука, как фунгицид в сельском хозяйстве и как сера коллоидная — лекарственный препарат. Также сера в составе серобитумных композиций применяется для получения сероасфальта, а в качестве заместителя портландцемента — для получения серобетона.

http://ru.wikipedia.org/wiki/%D1%E5%F0%E0
И что?
Разрушай предубеждения и мифы!
Поверь на слово, дело полезное! :yes:
Изображение
Умирать мне рановато. Ещё куча дел не сделано!
11..11..11
Сообщения: 588
Зарегистрирован: 28 фев 2013, 22:05
Откуда о нас узнали: Banki
Откуда: Питер

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение 11..11..11 » 12 май 2013, 14:49

Першинг писал(а):Также сера в составе серобитумных композиций применяется для получения сероасфальта, а в качестве заместителя портландцемента — для получения серобетона.


Дело говоришь :hi: В асфальт их закатать :claping:
Аватара пользователя
Pershing
Сообщения: 1985
Зарегистрирован: 24 авг 2012, 00:54
Откуда о нас узнали: ggggh

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение Pershing » 12 май 2013, 14:57

Вот не любишь ты работников тяжёлого умственно-физического труда! Нехорошо это!

Ты хочешь на халяву - положил свои миллионы - и лежи на печи!

А люди работают! Сам же говорил - трудятся, не покладая рук!
Умирать мне рановато. Ещё куча дел не сделано!
11..11..11
Сообщения: 588
Зарегистрирован: 28 фев 2013, 22:05
Откуда о нас узнали: Banki
Откуда: Питер

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение 11..11..11 » 12 май 2013, 15:25

Першинг писал(а):Вот не любишь ты работников тяжёлого умственно-физического труда! Нехорошо это!

Ты хочешь на халяву - положил свои миллионы - и лежи на печи!

А люди работают! Сам же говорил - трудятся, не покладая рук!


Так я же Глас Божий :girl_angel: Аки Моисей спустился я с Синая, увидел, что сотворили люди и ужаснулся этих злодеяний. Взываю к ним: разбейте Золотого Тельца обнала и занимайтесь в симбиозе с банками богоугодным долом ростовщичества :write: А те обнальщики, что не покаются, до смерти в нищете бродить будут по пустыне, так и не достигнув Землю Обетованную, текущую молоком и медом :hospital:
Аватара пользователя
Pershing
Сообщения: 1985
Зарегистрирован: 24 авг 2012, 00:54
Откуда о нас узнали: ggggh

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение Pershing » 12 май 2013, 15:45

Дети! А давайте дружно позовём:
Моисей!!!!
Выходи!
Да вот же!
Изображение
И другой тут. Тему обещал!
Обманул!!!
Умирать мне рановато. Ещё куча дел не сделано!
Fosfoniy
Сообщения: 665
Зарегистрирован: 21 мар 2013, 13:42
Откуда о нас узнали: hgfsdvshgavcgvhgascv

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение Fosfoniy » 13 май 2013, 10:34

Новый, дерзкий вид мошенничества на миллионы долларов обнаружен в Екатеринбурге

Известный екатеринбургский адвокат Дмитрий Загайнов рассказал Интермонитору о принципиально новом виде мошенничества на миллионы долларов.
До сих пор в криминальной практике такое не встречалось. Судебная система использована жуликами «втемную», причем предельно дерзко и цинично.

Преступникам, личности которых пока не установлены, удалось получить доступ к данным вкладчиков одного из известных в Екатеринбурге банков, имеющих филиальную сеть в соседних регионах. В распоряжении мошенников оказались паспортные данные, имена и суммы вкладов частных лиц. Аферисты выбрали тех, у кого вклады составляли от миллиона долларов в рублевом эквиваленте и выше.

Жулики зарегистрировали в Екатеринбурге фирму-однодневку в форме Общества с ограниченной ответственностью. Затем они оформили фиктивные договоры займа с вкладчиками банка, причем сумма этого фиктивного займа до копейки совпадала с суммой банковского вклада.

После этого аферисты обратились в суд от имени фирмы-однодневки с требованием взыскать долг с физического лица, одним росчерком пера ставшего «должником» фальшивой компании.

Оборона мошенников была эшелонированной. Так, в исковом заявлении были указаны верные паспортные данные вкладчиков, но вот адреса были выдуманными, причем екатеринбургскими (хотя на самом деле вкладчики проживали в областях, соседних со Свердловской). А еще в документах фигурировали телефоны «должников».

Мошенники отправляли в суд телеграммы, в которых писали, что они признают долг и… просят рассмотреть иск в их отсутствие, так как в суд идти им некогда. В некоторых случаях суд звонил по телефонам «должников», указанным в документах, чтобы удостовериться в их существовании. По этим телефонам «должники» отвечали то же, что было написано в телеграммах: что они признают долг и просят рассмотреть иск в их отсутствие.

На основании фальшивых договора займа и телеграммы с признанием долга и просьбой рассмотреть иск без должника, суды выносили решение о взыскании долга. Юристы (которых, по мнению людей, знакомых с обстоятельствами дела, могли использовать «втемную») шли к судебным приставам и требовали возбуждения исполнительного производства и взыскания денег.

Тут у жуликов был расчет на вступившие с 1 января 2013 года поправки к правилам ведения исполнительного производства. По новым правилам, Пристав имеет право снять деньги со счета в безакцепнтом порядке, и немедленно после их ареста, тогда как ранее между арестом счета и взысканием проходило определенное время.

Все описанные события происходили при полном неведении владельца вклада.

План злоумышленников был сорван, исключительно благодаря бдительности Службы Безопасности банка, которая, увидев попытку списания крупных сумм (пусть и по решению суда) позвонила реальным вкладчикам и уточнила – в курсе ли те что происходит.

Разумеется, те были не в курсе, а в шоке и обратились в полицию. В настоящее время полицейские ГУ МВД по Свердловской области активно ищут преступников и проводят экспертизы документов. В интересах следствия, мы не разглашаем название банка, фирмы, с которой работали преступники и данные потерпевших.

Однако считаем необходимым призвать к бдительности, в первую очередь, службы безопасности российских банков, которые, де-факто, оказались единственным рубежом на пути к гигантскому хищению средств вкладчиков. Ведь пока преступники на свободе, никто не знает, где в данный момент рассматриваются подобные иски к «нерадивым заемщикам» от частной лавочки, существующей лишь на бумаге.
http://www.intermonitor.ru/novyj-derzki ... erinburge/
11..11..11
Сообщения: 588
Зарегистрирован: 28 фев 2013, 22:05
Откуда о нас узнали: Banki
Откуда: Питер

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение 11..11..11 » 13 май 2013, 20:21

Fosfoniy писал(а):Новый, дерзкий вид мошенничества на миллионы долларов обнаружен в Екатеринбурге


Во. А некоторые говорят, что вклады без доступа к ИБ находятся в полной безопасности :jokingly:

P.s. Интересно, кто в случае подобного хищения в итоге оказался бы крайним? Банк, явно, не при чем: исполнение решения суда дело святое. Клиент, вроде, как тоже. Да и суд действовал по закону :stars:
raskolnikov_rodion
Сообщения: 138
Зарегистрирован: 28 апр 2013, 21:57
Откуда о нас узнали: asdfghij

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение raskolnikov_rodion » 14 май 2013, 01:48

11..11..11 писал(а):P.s. Интересно, кто в случае подобного хищения в итоге оказался бы крайним? Банк, явно, не при чем: исполнение решения суда дело святое. Клиент, вроде, как тоже. Да и суд действовал по закону :stars:
Правильно заданный вопрос должен содержать ответ. Если посмотрим внимательно-внимательно на новость, то взгляд непременно должен зацепиться за эту фразу:
удалось получить доступ к данным вкладчиков одного из известных в Екатеринбурге банков
А дальше все просто: получить доступ как? Два пути. Первый - сторонняя атака, взломали сервер банка, слили базу. Банк не обеспокоился надежной защитой на уровне IT. Второй - у злоумышленников была "крыса" в банке, через прикормленного сотрудника и поимели данные. Банк обратно виноват - не доработала СБ при проверке работников. И возможно опять IT-дыра, из-за которой сотруднику, не уполномоченному на обслуживание VIP-клиентов, удалось получить доступ к их персональной и финансовой информации.
11..11..11
Сообщения: 588
Зарегистрирован: 28 фев 2013, 22:05
Откуда о нас узнали: Banki
Откуда: Питер

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение 11..11..11 » 14 май 2013, 02:11

raskolnikov_rodion писал(а):
11..11..11 писал(а):P.s. Интересно, кто в случае подобного хищения в итоге оказался бы крайним? Банк, явно, не при чем: исполнение решения суда дело святое. Клиент, вроде, как тоже. Да и суд действовал по закону :stars:
Правильно заданный вопрос должен содержать ответ. Если посмотрим внимательно-внимательно на новость, то взгляд непременно должен зацепиться за эту фразу:
удалось получить доступ к данным вкладчиков одного из известных в Екатеринбурге банков
А дальше все просто: получить доступ как? Два пути. Первый - сторонняя атака, взломали сервер банка, слили базу. Банк не обеспокоился надежной защитой на уровне IT. Второй - у злоумышленников была "крыса" в банке, через прикормленного сотрудника и поимели данные. Банк обратно виноват - не доработала СБ при проверке работников. И возможно опять IT-дыра, из-за которой сотруднику, не уполномоченному на обслуживание VIP-клиентов, удалось получить доступ к их персональной и финансовой информации.


Т.е. банк типа в любом случае виноват бы был и с него деньги бы трясли :rofl: А на каком основании-то? Кому и к какой информации удалось получить доступ к сути данного метода хищения вообще не относится. Да и то что иски подавались на точную до копейки сумму вкладов больше похоже на газетную утку. Вклады частенько с капитализацией. Суммы там были бы вида 35129334.76 руб. Зачем подавать иск именно на такую сумму? Я бы подавал на большую сумму, больше не меньше :yes: В общем, отделяем зерна от плевел и задаемся вопросом, кому иск предъявлять? Если бы банк осуществил переводы во исполнение решения суда, то он абсолютно чист :hospital: Деньги пришлось бы с государства трясти :jokingly:
raskolnikov_rodion
Сообщения: 138
Зарегистрирован: 28 апр 2013, 21:57
Откуда о нас узнали: asdfghij

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение raskolnikov_rodion » 14 май 2013, 02:42

Насчет точной суммы - несомненно вопрос интересный. Нет, сначала скепсис: в 90% случаев такое выявляется не СБ, а как результат какого-то технического сбоя или нештатного прохождения операций. Что могло быть? Вариант в рублях - попался вклад, по которому проходило много операций, в том числе и расходные. И остаток не оправдал ожидания злоумышленников, денег не хватило. Перед тем, как поставить счета на картотеку, с клиентом связались (именно поэтому). Другой вариант не угадать с суммой. Не исключено, что мошенники полезли и в валютные вклады. Курс - штука непостоянная. Если ООО "Ромашка" резидент РФ, то расчеты с другими резидентами-физиками только в рублях. Иск должен быть в рублях. Курс, который применит банк на момент исполнения судебного решения - даже Хазин не предскажет. И с курсом на день исполнения судебного решения Центробанк подвел.

И из-за технической заминки и обратили внимание. А потом конечно все красиво про подвиг СБ рассказать можно.... ;)
raskolnikov_rodion
Сообщения: 138
Зарегистрирован: 28 апр 2013, 21:57
Откуда о нас узнали: asdfghij

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение raskolnikov_rodion » 14 май 2013, 02:45

11..11..11 писал(а):Если бы банк осуществил переводы во исполнение решения суда, то он абсолютно чист
В этом моменте да. То есть ты клонишь к тому, что суд вынес неправосудное решение? Причина? Не в должной мере проверены договора займа, предоставленные истцом? Эдак если суды напугать, то они будут дальше общаться только в таком стиле "принесите справку о том, что эта справка, подтверждающая действительность экспертизы договора, действительна!" А оно запросто так может обернуться.
11..11..11
Сообщения: 588
Зарегистрирован: 28 фев 2013, 22:05
Откуда о нас узнали: Banki
Откуда: Питер

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение 11..11..11 » 14 май 2013, 02:54

raskolnikov_rodion писал(а):
11..11..11 писал(а):Если бы банк осуществил переводы во исполнение решения суда, то он абсолютно чист
В этом моменте да. То есть ты клонишь к тому, что суд вынес неправосудное решение? Причина? Не в должной мере проверены договора займа, предоставленные истцом? Эдак если суды напугать, то они будут дальше общаться только в таком стиле "принесите справку о том, что эта справка, подтверждающая действительность экспертизы договора, действительна!" А оно запросто так может обернуться.


Я хочу сказать, то и сказал в исходной фразе о крайнем. На лицо парадокс: формально никто не виноват, но деньги-то у клиентов были бы списаны по решению суда, так что требовать возврата можно только от государства. А вот на этом пути скорее всего возникло бы много неправосудных решений, возможно потерпевших даже и посадили бы :jokingly:
Аватара пользователя
Pershing
Сообщения: 1985
Зарегистрирован: 24 авг 2012, 00:54
Откуда о нас узнали: ggggh

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение Pershing » 14 май 2013, 04:28

11..11..11 писал(а):Я хочу сказать, то и сказал в исходной фразе о крайнем. На лицо парадокс: формально никто не виноват, но деньги-то у клиентов были бы списаны по решению суда, так что требовать возврата можно только от государства. А вот на этом пути скорее всего возникло бы много неправосудных решений, возможно потерпевших даже и посадили бы :jokingly:

А с какого перепугу посадили бы? Почему потерпевших? У нас вроде за долги не сажают? Или я что-то пропустила?
Или не так поняла?
Я поняла так, что вкладчики стали типа должниками этой ромашки?
А разве о судебном решении не должны ставить в известность?

То, что суд может принять решение без присутствия сторон - это я знаю. Но решение же должно быть донесено до участников?
Умирать мне рановато. Ещё куча дел не сделано!
Аватара пользователя
Pershing
Сообщения: 1985
Зарегистрирован: 24 авг 2012, 00:54
Откуда о нас узнали: ggggh

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение Pershing » 14 май 2013, 04:32

11..11..11 писал(а):На лицо парадокс: формально никто не виноват, но деньги-то у клиентов были бы списаны по решению суда, так что требовать возврата можно только от государства.

Почему у государства? Деньги были списаны не в пользу государства, а в пользу ромашки.
Умирать мне рановато. Ещё куча дел не сделано!
Аватара пользователя
olegb
Сообщения: 96
Зарегистрирован: 29 авг 2012, 21:26
Откуда о нас узнали: Twitter

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение olegb » 14 май 2013, 08:20

У Ромашки денег уже 0. Она пустышка. Как жулики у меня Фишер+Мегаполис. Вот и логичный вопрос, кто будет клыент в случае хищения муллионы возвращать.
А если судебный приказ слепить, без уведомления жертвы...
Вообще золотое дно.
"Какой я на х.. интеллигент, я профессию имею" (С) Лев Гумилев
Fosfoniy
Сообщения: 665
Зарегистрирован: 21 мар 2013, 13:42
Откуда о нас узнали: hgfsdvshgavcgvhgascv

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение Fosfoniy » 14 май 2013, 10:22

Проблема безопасности в UMS: доколе?

Чем дальше, тем больше одолевают ощущения «злоумышленности». Понимаю, что такого быть не должно и не может, но что за череда такая потерь у ни в чем не повинных абонентов? С «левыми» подписками на контент, вроде, кое-как разобрались и даже деньги всем пострадавшим вернули, так теперь банковские проблемы. А там, как показывает опыт, уже не 20 руб. в день за контент, а совсем другие суммы со многими нулями.


Хорошо бы надеяться на то, что затыкание этой конкретной «дырки» означает конец проблем с авангардной системой обработки SMS-сообщений в МегаФоне. Однако в прошлый раз нас тоже уверяли в случайной «однократности» события и принятых мерах, но рецидив случился ровно месяц спустя. Может быть, не стоит продолжать мучить бедную UMS-зверушку, а прибить её сразу и навсегда? А то ведь чревато. В этот раз «на кону» оказалось несколько миллионов рублей, которые чуть-чуть не успели (или частично успели?) украсть, а что будет в следующем эпизоде UMS-сериала? В таких случаях мой покойный папа говорил: «Если эксперимент переходит в экскремент, то важно успеть во-время остановиться». А UMS-эксперимент, судя по всему, уже уверенно вошёл в описанную выше стадию.

Финансовая «неурядица» у вкладчиков «Тинькофф. Кредитные системы»

Эпидемией, конечно, не назовешь, но неприятных случаев хватает. На форуме banki.ru пишут о шести пострадавших, я там читал пять очень похожих отзывов о технически успешных попытках «увести» деньги со счетов. Возможно, шестой отзыв просто не попался на глаза, но схема всё равно одна и та же. Как вы понимаете, далеко, очень далеко не каждый клиент банка пойдет на специализированный форум описывать свои злоключения, так что реальное число столкнувшихся с этой неприятностью известно только специалистам банка. Я оценивать «масштабы бедствия» не рискну, могут быть как десятки, так и сотни вкладчиков.

В качестве «расстановки точек над i». Насколько я понял, сотрудники банка повели себя в этой ситуации форс-мажора очень эффективно и профессионально, вроде никто из вкладчиков финансово не пострадал. Надеюсь, что обошлось и без сердечных приступов, хотя о количестве потерянных нервных клеток можно только догадываться. Счета мошенников, на которые «сливались» ворованные деньги, были заблокированы, операции аннулированы и украденное вкладчикам возвращено. Несмотря на то, что мошеннический «набег» на счета организовали в праздничные дни 3-4 мая. Пострадал ли сам банк (какую-то часть украденного могли успеть обналичить) мы не знаем и вряд ли узнаем, пресс-релизы на такие темы не публикуют.


Ниже — одно из описаний события с небольшими сокращениями. Остальные «отчёты» о произошедшем глобально похожи, хоть и разнятся в деталях и степени эмоциональности.

«Честно говоря, никогда не думал, что стану жертвой наглого мошенничества и кражи денег со счетов. Видимо, надо быть готовым ко всему. Имею (т. е. имел) в ТКС Банке несколько срочных счетов в рублях и один карточный счет. Другими продуктами не пользовался, как расчетный и сберегательный ТКС меня устраивал до сего момента...

4 мая около 18-00, когда я мирно сидел в парикмахерской, мне позвонил сотрудник ТКС Банка и поинтересовался я ли это совершил только, что два перевода через интернет-банк в пользу неких мужчины и женщины. Когда я заверил его, что это был не я и указанные лица мне не знакомы, мне было сообщено, что мои счета заблокированы и начато расследование. Вернувшись домой и перезвонив в банк самостоятельно, мне развернулась следующая картина, которой я ужаснулся. Некто ещё за день до этого, через интернет-банк ЗАКРЫЛ все мои срочные вклады, и на следующий день двумя платежами перевел деньги (несколько сотен тысяч рублей) на счета неких двух физлиц, клиентов ТКС Банка (если несмотря на праздничный день внутренние платежи между клиентами работают, то вероятно средства уже обналичены). Никаких смс и кодов подтверждения мне НЕ приходило (чуть позже понял почему). По факту мошенничества мною была составлена претензия в банк (по телефону и продублирована по электронной почте). Затем я обратился в абонентскую службу своего Мегафона, где выяснил, что вчера "я" якобы поставил переадресацию входящих смс-сообщений на некий неизвестный мне номер. По факту взлома личного кабинета и мошенничества я оставил заявление в службе безопасности сотового оператора.

Предупреждая вопросы: 1) считал себя продвинутым пользователем (видимо напрасно), пароль в интернет банке был средней сложности в соответствие с обычными рекомендациями, нигде больше этот пароль не использовался, с именем и т.п. никак не связан 2) заходил в интернет-банк на телефоне (андроид), из дома и на работе. На домашнем компьютере стоит антивирус и файрволл, на подозрительные сайты стараюсь не ходить, подозрительные файлы не запускаю. На телефоне антивируса не стоит, подозрительные файлы не запускал, специально ставил запрет на смс на короткие номера. 3) Пароль в Сервисе-Гиде Мегафона был числовой (там можно только циферки использовать). Переадресация смс на "левый" номер была сделана не из Сервис Гида, а из дотоле неизвестного мне сервиса - messages.megafon.ru, который использует пароль от Сервис Гида. О подключении переадресации я никак не был уведомлен, никто подтверждения не спрашивал. Пароли, логины и т.п. никому не говорил, нигде не записывал, в браузере не сохранял. Словом, где-то лоханулся наверное, но не вижу, где я был беспечнее среднестатистического клиента банка. <...> Написал заявление в полицию, только домой вернулся... Честно говоря, словно кошмар наяву».


Майские праздники явно оказались горячим временем для IT-специалистов и служб клиентской поддержки банка. Наверняка замучились «ремонтировать» последствия атаки на счета вкладчиков, обзванивать клиентов, отвечать в многостраничных обсуждениях на форумах и одновременно пытаться срочно залатать обнаруженную прореху в защите. «Всё хорошо, что хорошо кончается»? Применительно к банковским мошенническим операциям хорошо то, что и не начиналось. Ибо финансовые последствия могут оказаться разрушительными как для самого банка, так и для его клиентов.


Короткое, но весьма ёмкое «резюме» прорех в безопасности, приведших к «первомайскому катаклизму» на уровне отдельно взятого банка. Насколько я понял, объединенными усилиями конкретную «дырку» заштопали и теперь некоторое время клиенты банка могут спать спокойно. До тех пор, пока мошенники не найдут и не реализуют очередную уязвимость в банковских процедурах управления/верификации и/или в интернет-портале UMS. Или до тех пор, пока в МегаФоне не внедрят очередную инновационную услугу, превращающую индивидуальный и сравнительно безопасный SMS-обмен в потенциально доступный для мошенников интернет-сервис.

Как было сделано

Опубликованный на форуме неофициальный комментарий сотрудника (?) МегаФона:

«Нами проанализированы возможные риски, которые могли привести к подобной ситуации. Все системы МегаФон'а функционируют в штатном режиме, никаких сбоев не происходило. Доступ к сервисам Портал сообщений, UMS и Сервис-Гид располагает достаточным уровнем защиты. Трафик идет по защищенному каналу, подобрать роботом пароль тоже нельзя – существуют механизмы блокировки.

В приведенном случае очевидно, что имелся доступ к реквизитам от интернет-банка и, возможно, номеру банковской карты, так как только в этом случае можно обеспечить доступ к функциями управлениями счетами клиента. Эти данные в SMS банком не сообщаются и в архивах присутствовать не могут.
Если бы злоумышленник получил доступ к учётным данным наших сервисов, то он смог бы только подтвердить операции, сделанные уже из интернет-банка. А доступ к интернет-банку возможен лишь после авторизации в нем с помощью реквизитов интернет-банка.
Реквизиты интернет-банка могли утечь либо в случае, если Клиент сам ими поделился, либо из-за физической уязвимости используемых устройств, содержащих реквизиты (вирусы, утеря, кража, взлом, рут, джейлбрейк)».

Обвинять во всём троянов, джейлбрейки, безалаберность пользователей и т. п. можно. И в очень многих случаях упрёки будут справедливы. Дополнительные уровни защиты и SMS-верификации как раз и создаются для предотвращения всего этого безобразия. В истинных причинах разберутся специалисты, но в данном конкретном случае вполне могли обойтись без всяких троянов и прочих высокотехнологичных «шпионских хитростей».

Например, с месяц назад портал сообщений UMS в МегаФоне пережил довольно масштабный взлом с массовым подключением платных контентных подписок, наш обзор этого события можно почитать здесь. Отсутствие адекватной защиты позволило злоумышленникам «вычислить» пароли простым перебором и получить полный контроль над SMS-перепиской сотен (если не тысяч) абонентов. Добытое было использовано для подключения платных подписок, явно в автоматическом режиме «ковровой бомбардировки». 20 руб. в день с «абонентской души» вряд ли стоили индивидуальной работы с каждым клиентом. После того эпизода ввели защиту от вычисления паролей перебором, всем пострадавшим деньги вернули.

Вопрос в том, был ли определен истинный «масштаб бедствия»? Всем ли «взломанным» клиентам подключили подписки? И какова была дальнейшая судьба попавшей в лапы мошенников обширной базы пользователей с уже «вычисленными» паролями и подключенным без их ведома сервисом UMS? МегаФону следовало как минимум «сбросить» пароли поголовно всем абонентам, но этого сделано не было (сужу по себе). Все мои остальные выводы и размышления могут быть под вопросом, но это - непростительный пофигизм. Или оплаченный злой умысел, пусть служба безопасности разбирается и вникает.

Возвращаясь к теме после короткого «лирического отступления». Ничуть не удивлюсь, если база телефонных номеров МегаФона с паролями в UMS была перепродана криминальным «специалистам» другого профиля и теперь была успешно использована для взлома банковских счетов. Технически, мошенникам требовалось только вычленить из базы вкладчиков банка ТКС по хранящимся на портале SMS-сообщениям с определенного (банковского) номера.

Остальное уже было не очень сложно. Насколько я понял, в некоторых входящих SMS банк присылал номер договора, а этот номер можно было использовать для получения нового пароля для входа в систему Интернет-банк и даже для финансовых операций. При условии отправки команд с телефонного номера клиента банка.

МегаФоновский сервис UMS как раз и предоставляет возможность полного контроля над SMS-перепиской. Все приходящие и ранее полученные сообщения можно читать, еще не полученные - переадресовывать на любой другой телефон и блокировать доставку SMS-сообщений на телефон настоящего владельца счёта. Чтобы человек спал спокойно и зря не переживал за происходящее с его деньгами. Отправлять сообщения в банк «как бы» с телефона хозяина счёта UMS тоже позволяет, увы. Судя по отрывочным комментариям, замечательный UMS-сервис ещё и правильный номер IMSI подставляет или как-то иначе подтверждает «легитимность» отправителя. Спрашивается, зачем нужны таинственные джейлбрейки и трояны, когда и без них всё так хорошо и удобно организовано? Даже номер кредитки не нужно добывать, всё необходимое и без того «под рукой».

Разумеется, это только моя гипотеза, истину знают только специалисты, занимающиеся этой проблемой. Но мы с вами регулярно убеждаемся в том, что самое простое предположение оказывается верным.

Как бороться?

Вот это уж точно вопрос к специалистам банка и оператора, им виднее. Например, среди прочих мер была идея использовать для верификации flash-SMS, которые (кажется) нельзя переадресовывать, которые появляются на экране телефона только на некоторое время и автоматически в памяти телефона не сохраняются, сохранить можно не на всех аппаратах и чаще только вручную.


Беда в том, что отправляемые банком flash-SMS с платежными паролями прекрасно сохраняются в UMS-сервисе МегаФона. По крайней мере, до недавнего времени сохранялись. Это личный опыт, хоть и с другим банком.


Зато при подключенной «услуге» UMS эти же банковские flash-SMS, пройдя через портал UMS, форвардятся на телефон в виде нечитабельной абракадабры, это тоже личный опыт. В итоге забравшийся в ваш UMS-портал мошенник прекрасно прочитает все SMS из банка, в том числе платежный пароль. А вам на телефон придёт загадочное сообщение с гирляндой странных символов. Нормальный человек пожмёт плечами и ничего не заподозрит, на телефон много всякого мусора валится. Удобно, согласитесь.

Вопросы

У систем самообслуживания банков свои заморочки, с ними работают. Но мы здесь обсуждаем операторов связи. Лично мне не хочется «всех собак вешать» на условно-порядочную компанию MegaLabs, но вопросы как-то сами собой возникают. И хотя бы часть этих вопросов считаю необходимым озвучить.

Как могли профессионалы (если они профессионалы) так тупо профукать (поправлено литредактором) открытую настежь дыру для взлома паролей? Или наоборот, очень профессионально не «профукали»?
Для кого именно была разработана и сделана замечательная возможность автоподключения (без ведома пользователя) «услуги» UMS? Можно поименно и без справок из налоговой инспекции.
Какие еще неопознанные «дыры» конструктивно заложены в UMS или иные разрабатываемые компанией «суперсовременные» сервисы? Мне как абоненту очень хотелось бы знать заранее о таких «инновациях».
Резюме

Услугу «SMS-сообщения» пытаются монетизировать все. Оператору эта услуга вообще ничего не стоит, но люди охотно пользуются, значит, пусть платят. Претензий нет, и вопрос не в этом.

Вопрос в том, что банки и многие другие организации рассматривают SMS как абсолютную, надежную и последнюю инстанцию подтверждения имени и личности отправителя. С появлением UMS и аналогичных «прогрессивных» сервисов SMS-валидация гроша ломаного не стоит, но в банках это еще не осознали.

Соответственно, мы с вами теряем деньги (много денег!) и позволяем кому ни попадя читать наши SMS ради... Хороший вопрос. Ради чего? Ради компании, придумавшей «авангардный» сервис и заложившей в него кучу «уязвимостей»? Или ради десятка гиков, любящих отправлять СМС с компьютера? Мне кажется, что в жестоких условиях российской действительности эти «SMS-порталы» нужно беспощадно закрыть. Все и сразу, безоговорочно. Не судорожно искать, кто кому заплатил, и пытаться урвать денег с виновного, а просто закрыть. Точка.


Аналогичный сервис сверстали в МТС, но там изначально побеспокоились о банковских SMS-сообщениях. Дело даже не в этом. Люди верят в SMS-защиту, банки тоже в нее верят. Не надо придумывать программные «костыли» и супер-пупер-защиту. Просто оставьте в покое SMS и не ищите дополнительных «монетизаций» этого сервиса. Вам что, двух-пяти рублей за каждое отправленное сообщение мало? Сделайте уже «единую, супервыгодную цену» 10 руб. за SMS на все номера и успокойтесь. Не надо соревноваться в доставке священного огня из Казани в Москву, просто займитесь своим делом. Для разнообразия.

http://mobile-review.com/articles/2013/ ... ud-3.shtml
11..11..11
Сообщения: 588
Зарегистрирован: 28 фев 2013, 22:05
Откуда о нас узнали: Banki
Откуда: Питер

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение 11..11..11 » 14 май 2013, 13:44

Першинг писал(а):
11..11..11 писал(а):Я хочу сказать, то и сказал в исходной фразе о крайнем. На лицо парадокс: формально никто не виноват, но деньги-то у клиентов были бы списаны по решению суда, так что требовать возврата можно только от государства. А вот на этом пути скорее всего возникло бы много неправосудных решений, возможно потерпевших даже и посадили бы :jokingly:

А с какого перепугу посадили бы? Почему потерпевших? У нас вроде за долги не сажают? Или я что-то пропустила?
Или не так поняла?
Я поняла так, что вкладчики стали типа должниками этой ромашки?
...
Почему у государства? Деньги были списаны не в пользу государства, а в пользу ромашки.


Тут же все очевидно. После того как выяснилось бы, что суд выдал необоснованное указание на списание денег со счета гражданина, потерпевший подает иск к государству на возврат своих денег. Начинает двигаться по инстанциям. Государство в ответ начинает преследовать потерпевшего, "а чо это он такой богатый, больше 30 млн. на вкладе" и в итоге за что нибудь его сажает. +1 бизнесмен к 111 тысячам уже сидящих :hang:

P.s. Древний анекдот близкий по теме:
Вчера столкнулись машины генерала МВД и начальника ФСБ. Виновной была признана машина ГИБДД, прибывшая на место аварии...
Fosfoniy
Сообщения: 665
Зарегистрирован: 21 мар 2013, 13:42
Откуда о нас узнали: hgfsdvshgavcgvhgascv

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение Fosfoniy » 22 май 2013, 15:19

Наверное не совсем сюда, но пусть будет

Facebook и «Вконтакте» на пару разгласят ваш номер телефона

Специалист по безопасности Дмитрий Евтеев в своем блоге обратил внимание на потенциальную проблему с утечкой личной информации через форму восстановления забытого пароля. А именно, таким образом можно узнать личный номер любого пользователя, который зарегистрирован в нескольких сервисах: Facebook, Gmail, «Вконтакте» или других, которые тоже высылают код подтверждения на мобильный телефон.

Номер телефона в международном формате +7(234)5678901 содержит 11 цифр. При восстановлении чужого пароля «Вконтакте» сообщает первые семь цифр номера,

...а Facebook — последние четыре цифры.

Как будто две социальные сети сговорились, чтобы выдать номер целиком.

Получается, что достаточно знать адрес электронной почты пользователя. И если он зарегистрирован в обеих социальных сетях и указал свой номер — то этот личный номер без проблем разглашается любому желающему.

Даже связка аккаунтов «Вконтакте» + Gmail дает хороший результат, потому что Gmail сообщает две последние цифры номера.
В результате остаются неизвестными еще две цифры и получается, что достаточно перебрать всего 100 вариантов.
http://www.xakep.ru/post/60646/
Аватара пользователя
BrendaPeabody
Сообщения: 1534
Зарегистрирован: 21 авг 2012, 23:48
Откуда о нас узнали: ggggg

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение BrendaPeabody » 22 май 2013, 15:31

Сюда, Миш! Очень даже сюда. Важная информация!
Не все об этом задумываются.

Хочу прикрыть ВКонтакте. Там сообщения о якобы взломе приходят раз в месяц...
Надоели. Не заботятся ни фига о безопасности.

Как и пресловутые банкиРу.
Да, кто не понял - я клон Першинг. ))))
Fosfoniy
Сообщения: 665
Зарегистрирован: 21 мар 2013, 13:42
Откуда о нас узнали: hgfsdvshgavcgvhgascv

Re: Мошенничество с Интернет-Банками. Как не попасться?

Сообщение Fosfoniy » 22 май 2013, 16:07

Россия стала лидером в Европе по развитию мошенничества с банковскими картами

22.05.2013 15:41
По данным компании FICO, Россия заняла первое место в Европе по темпам роста убытков от мошеннических операций с банковскими картами в прошлом году – они увеличились на 35% по сравнению с 2011 годом.

По данным компании FICO, Россия заняла первое место в Европе по темпам роста убытков от мошеннических операций с банковскими картами в прошлом году – они увеличились на 35% по сравнению с 2011 годом.
На первом месте по доле от совокупных убытков (29%) расположилась Франция, обогнав прежнего лидера – Великобританию (27%).
Согласно статистике компании Euromonitor International, на Россию пришлось 6% от этих потерь или 91,4 млн евро. При этом в 2006 году в России мошенники получили 12,6 млн евро «доходов» в результате кардинга.
Как прогнозируют аналитики FICO, если динамика сохранится в 2013 году, Россия обгонит Германию. В 2011 году она была на одном уровне с Нидерландами, а уже в 2012 году на 23 млн евро оказалась «впереди» этой страны и догоняет Испанию.
Наряду с другими странами Россия представлена на Карте мошенничества с банковскими картами в Европе, разработанной FICO.
Как сообщает Euromonitor International, совокупные убытки от противоправных действий с банковскими картами в Европе в 2012 году выросли на 6% по сравнению с 2011 годом. Франция, Россия и Великобритания обеспечили 80% этого роста. Наполовину данный результат является «заслугой» Франции, зато в России потери росли быстрее, чем в других рассматриваемых странах, – они увеличились в три раза по сравнению с 2010 годом.
FICO разделяет пять типов мошенничества:
1. Counterfeit Cards – это фальшивые карты, на магнитных полосах которых содержится информация с легально выпущенной карты (имя держателя, номер карты, срок окончания срока ее действия, CVV- и CVC-код)
2. Card Stolen/Lost – украденные/утерянные карты
3. Card Not Present - операции по карте без ее физического присутствия, в частности, оплата виртуальными картами и так далее.
4. Card Stolen/Lost in Post – карты, украденные/утерянные на почте
5. ID Fraud – получение кредитной карты по поддельным (или украденным) документам
ID Fraud – наиболее распространенный тип мошенничества. Этот вид относится именно к мошенничеству, совершаемому в момент выдачи кредита, а все остальные – к транзакционному мошенничеству.
Александр Викулин, генеральный директор Национального бюро кредитных историй (НБКИ):
Кредитование с помощью кредитных карт в России – наиболее интенсивно развивающийся вид кредитования. В 2012 году объемы карточного кредитования выросли более чем на 100%. На 1 апреля 2013 года в России насчитывалось более 19 миллионов действующих кредитных карт (для сравнения: займов на покупку потребительских товаров – 23 миллиона, автокредитов – 2,4 миллиона, ипотечных кредитов – 1 миллион). Средний размер займа, полученного с помощью кредитной карты, – 51 121 руб. Быстрый рост карточного кредитования привлек и для мошенников. На 1 мая 2013 года количество кредитов, по которым не было не одного платежа (то есть с признаками мошенничества), составило 679 тысяч, что на 43% больше, чем на 1 мая 2012 года. Мы отмечаем повышенный интерес банков к современным и эффективным инструментам противодействия мошенничеству. Совместно с компанией FICO в начале 2013 года мы запустили специальный скоринг – FICO® Application Fraud score, который в настоящее время активно используется банками. Активное подключение к процессу противодействия мошенничеству со стороны других кредиторов – средних банков и микрофинансовых организаций – будет способствовать снижению «доходов» мошенников и оздоровлению рынка розничного кредитования.

Источник: ОАО «НБКИ»


Подробнее: http://bankir.ru/novosti/s/rossiya-stal ... z2U1SPUO7V

Вернуться в «Поговорим о банках.»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость