^
SaAnVi.Ru музыкальные пародии / смешное
фотоприколы / банная / фотообои
мои минусовки: HiFi / LoFi
политота / компота / житота / сцылки
блог / думы
рецензии на фильмы
избранные минусовки
фотоотчёты
Don't speak Russian?В избранноеПодпискаРейтингАктивностьПоддержатьКЖП

последние запросы

Яндекс поискпоиск Яндекса по сайту

  
нафигатор
*Музыка
Приколы, пародии, ремиксыПесенки-чудесенкиПриколы (прочее)Авторский инструменталАвторские песниМинусовки (HiFi)Минусовки (LoFi)Минусовки (избранное)СаундтрекиZX SpectrumMIDI
 
*Фото, рисунки
ПриколыБаннаяКарикатурыЖивотныеБелкиНасекомыеНебоЦветы, растенияПриродаКрасноярскРазноеФотоотчётыТрансляцииОбои (1280x1024)Обои (1680x1050)Обои (FullHD)СтокМоё
 
*Чтиво
СмешноеРецензии на фильмыОбзорыЗвукСофт, комп, инетФотоСлова к песнямРецептыРазноеОчумелые ручкиФинансыИстории моей жизниОт других авторовПолитотаКомпотаЖитотаСцылки
 
*Программы
Battle Ship DeLuxePut The BlockPrometeusNetZhopSpectrAnsDCAD
 
*Рингтоны
 
*Рейтинги
ОбщийМузыкаМинусовкиФотоСтатьиБлог
 
*Об авторе и сайте
АвторыЧаВоКонтактыБлогДумыАктивностьЮзерыКЖПСсылкиХостингКартаПоддержать сайтГорячие поклонники

 

блогЪ
одномоментные думы
последняя трансляция

20.08.2018 минералка

13.08.2018 МегаФОН: как я начал платить втрое больше "своими руками"

12.08.2018 ООО "Энергоучёт": очередной развод

06.08.2018 муляжи, кузнечик, бзден

03.08.2018 Вестник РОИ - 19

25.07.2018 Миша, ягоды

24.07.2018 Пенсияпатриоты

18.07.2018 ВРПВ: бензин, автомобиль, медовуха, BOFH

16.07.2018 музыка

07.07.2018 Яндекс индексирует документы Google Docs с паролями

весь блог >>

 

подпишизь

RSS новости RSS комментарии
ВКонтакте Facebook Канал YouTube LiveJournal

 

щотчики
Рейтинг@Mail.ru
Яндекс.Метрика
EC: 817

MTOPUP: воровство денег с карт

 

 

Вы попали на страницу личного блога не по ссылке с авторского сайта. Примите во внимание, что это мой персональный блог и я выражаю здесь свои мысли, с которыми у вас может наблюдаться несогласие. В случае крайнего несогласия, огромная просьба покинуть ресурс. Спасибо.

 

опубликовано:  18.02.2014  <весь блог>


Вчера у довольно известного сетевого православного деятеля Андрея Кураева спёрли деньги с карты VISA. Я всегда интересуюсь безопасностью карточек, поскольку и сам вовлечён по уши в это дело. Сам Кураев прокомментировал это довольно туманно - мол, опубликовал номер карты для пожертвований (только номер, ничего более). И всё - "взломали". В комментариях тут же появились "иксперты" из числа тех, которые кричат, что на кредитках можно держать только пять рублей, "иначе хацкерыЪ всё сымутЪ". Я провёл некоторое расследование и установил, в чём дело.

Выяснилось, что у "Билайна" существует печально известный сервис BEELINE MTOPUP, позволяющий пополнить свой сотовый через карту. Когда я посмотрел на его реализацию - волосы встали дыбом. Привязать карту к номеру сотового можно без CV-кода. Такого я ещё в жизни не видел. Нужны только номер карты и дата окончания срока! Дальнейшая проверка идёт через сервис "Мобильный банк" у Сбербанка - с карты снимается небольшая сумма до 10-ти рублей, с двумя знаками после запятой (например, 9.32). Кстати, так и не понял, только со Сбербанком такая фигня или нет (должны же быть у других банков свои подобные сервисы) - но по поиску случаев пиздинга денег MTOPUP завязан почему-то только со Сбербанком. Итак, после снятия этой мелкой суммы на телефон, связанный с картой, приходит отчёт о снятии, и остаётся ввести эту сумму в окно подтверждения MTOPUP.

На первый взгляд, всё не так уж плохо и непонятно, как можно воспользоваться этим "сервисом" для воровства, даже зная номер карты. Ведь ещё понадобятся expiry date и сумма снятия, которые злоумышленник ниоткуда взять не может. Я не знаю точных принципов реализации сервиса, но в случае, если количество попыток ввода информации не проверяется (а почему бы и нет, если уже имеется очевидная криворукость) - подобрать эти данные проще простого. Expiry date - с пару десятков запросов, и тысяча запросов на угадывание трёхзначной суммы снятия (похоже, что сильно меньше, поскольку сумма эта вертится возле 10-ти рублей). Плёвое дело. Судя по всему, какой-то анти-брутфорс у "Билайна" всё же имеется, иначе случаев взлома было бы значительно больше. Но и без всякого брутфорса мошенники нашли оригинальный способ облапошивать людей, которые опубликовали номер карты для перевода пожертвований. То есть, мы снова имеем дело с социальной инженерией (здесь я облегчённо, хотя и не очень, вздохнул).

Мошенник связывается c жертвой и сообщает, что хочет перевести деньги. Для перевода, как он говорит, к номеру карты нужна ещё дата окончания срока (в некоторых банках это действительно так; мне и самому переводили, нахрена им дата - неясно). Затем сообщает, что сейчас переведёт "небольшую сумму для проверки", забивая номер карты и дату в MTOPUP. Жертве на телефон приходит SMS о снятии суммы подтверждения, а мошенник выведывает её под предлогом "ну вот я перевёл". Очень легко запариться и не заметить, что это СНЯТИЕ, а не ПЕРЕВОД (если жертва всё же начинает колебаться, мошенник тут же заговаривает зубы какой-нибудь лажей). Полагаю, с традиционной беспечностью граждан во всех подобных вопросах, не заметит подвоха 90%. Финита ля комедия, у мошенника есть все данные и несколькими транзакциями он снимает всю сумму, имеющуюся на карте - и моргнуть не успеешь.

В связи с этой ситуацией, у меня назрело два основных вопроса. Первый вопрос: как подобный "сервис" вообще мог появиться и как он до сих пор существует, судя по всему, несколько лет? Второй вопрос: тому же Сбербанку ещё не надоело возвращать средства обманутым (а он возвращает, судя по отзывам)?

Для себя уяснил, что нельзя публиковать никакие данные карты вообще. Не ровен час, какие-нибудь идиоты придумают сервис, где вообще ничего не нужно будет для снятия, кроме номера. А банки вроде Сбера будут хлопать ушами и считать, что всё очень хорошо.

 

©2014, Анатолий Савенков

комментариев: 7
dummy

просмотров:
1105
глас народа:
+22 / -0
+зачёт    -незачёт

голос будет учтён
в рейтинге

 

 

Комментарии

 

1  Миша   гость18.02.2014 12:25
Тема очень злободневная, особенно когда поголовно стараются перевести на зарплатные пластиковые карты. У меня к счастью идёт на сберкнижку. Правда там свои тараканы. Так что лучше, если официозно - на банковский счёт. Спасибо автору за пост.
2  SaAnVi   tzar18.02.2014 12:29
Самое смешное, что при правильном использовании банковские карты весьма и весьма безопасны. Но всегда найдутся "разработчики", которые изговняют любой нормальный сервис и создадут проблемы всем. Куда банки смотрят - не пойму.
3  cyberpunk   свой человек18.02.2014 19:48
спасибо Анатолий за анализ. лишний раз убеждаюсь в человеческой беспечности (это про соц-инженерию)ну и криворукости некоторых сервисов. работаю со Сбером и Ростелекомом но так и не приемлю всевозможные смс-провокации. мобил-банк только для контроля состояния счёта.
4  SaAnVi   tzar19.02.2014 06:08
Думаю, подобные "сервисы" больше виноваты, чем люди. Таких разработок просто не должно быть, это против здравого смысла - пропускать одну из стадий авторизации...
5  SaAnVi   tzar19.02.2014 11:31
> лишний раз убеждаюсь в человеческой беспечности (это про соц-инженерию)

Тут всё построено на том, что просто не ожидаешь даже возможности такой "реализации". :) Ведь на первый взгляд, никаких сверхсекретных данных не сдаёшь. Всем вроде известно, что секретными должны быть CV и пин-код...
6  Месяцев   гость23.02.2014 21:04
Предпочитаю всю жизнь наличные
карточек никогда не заводил
7  SaAnVi   tzar24.02.2014 05:50
Карточки это удобно, но повальная малограмотность населения в технологиях... Да каких там, ёптамать, технологиях - никаких технологий знать не надо, голову только на плечах надо иметь.

 

↑ к началу комментариев    ↑↑ к началу страницы

 

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

* Ваше имя/ник:
E-mail:
* Комментарий:
(до 1024 символов)
введите две первые цифры из четырёх: 9671 

 

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.

 

  

 

новостя
18.08.2018
фотоприкол: фирменная Надежда
07.08.2018
банная: пивушка
31.07.2018
статья: Герметик для дерева
29.07.2018
фотоприкол: Слава Китаю
21.07.2018
ZX music: Прекрасное далёко
20.07.2018
фотосет: Усть-Мана
15.07.2018
статья: Деление диска надвое: сакральный смысл
11.07.2018
фотоприкол: каратель
10.07.2018
статья: ZyXEL Keenetic: проблема с USB-модемами
06.07.2018
история: Аккумуляторы от ноутбуков
все новости >>

 

популярЪ

1. чтиво: Тёплый ламповый звук и сферический винил в вакууме

2. Фирменная Надежда. Фото: R666.

3. чтиво: Как я клиенту компьютер собирал

4. музыкальная пародия: Винда

5. фотосессия: Озеро-парк "Емельяновское" (Семирадское)

6. чтиво: RUCELF UPI-400-12-EL: лучше, чем ничего

7. чтиво: ZyXEL Keenetic: проблема с USB-модемами

8. чтиво: Как удалить "Интернет Цензор" с паролем

9. чтиво: Отключение ненужных служб Windows

10. музыкальная пародия: Барак Обама

весь TOP >>

 

последния каменты

1. блог: муляжи, кузнечик, бзден

2. блог: минералка

3. Фирменная Надежда. Фото: R666.

4. блог: МегаФОН: как я начал платить втрое больше "своими руками"

5. блог: ООО "Энергоучёт": очередной развод

6. блог: WOT, Fantozzi, FAIL

7. чтиво: Как удалить "Интернет Цензор" с паролем

8. музыкальная пародия: Айфончик

9. блог: Пенсияпатриоты

10. чтиво: Деление диска надвое: сакральный смысл

 

голо-сувание
Ваше текущее отношение к Олимпийским играм?
Голосовать или смотреть результаты на сайте KrasOpros.Ru
все опросы >>

 

сейчас на сайте
гости: 9

статистика за 10 минут
юзеры >>
изображениезакрыть