SaAnVi.Ruпародиифотоприколыбаннаяполитотакомпота вкладка меню  житотасцылкиблогдумырецензиипоржатьфотоотчёты
^
SaAnVi.Ru
музыкальные приколы
фотоприколы / банная
политота / компота
житота / сцылки
блог / думы
рецензии на фильмы
тексты на поржать
фотоотчёты
Don't speak Russian?В избранноеПодписка РейтингАктивностьПоддержать

последние запросы

Яндекс поискпоиск Яндекса по сайту

нафигатор
*Музыка
Приколы, пародии, переделкиПесенки-чудесенкиПриколы (прочее)Авторский инструменталАвторские песниМинусовки (HiFi)Минусовки (LoFi)Минусовки (избранное)СаундтрекиZX SpectrumMIDI
 
*Фото, рисунки
ПриколыБаннаяКарикатурыЖивотныеБелкиНасекомыеНебоЦветы, растенияПриродаКрасноярскРазноеФотоотчётыТрансляцииОбои (1280x1024)Обои (1680x1050)Обои (FullHD)СтокМоё
 
*Статьи
СмешноеРецензии на фильмыОбзорыЗвукСофт, комп, инетФотоСлова к песнямРецептыРазноеОчумелые ручкиЯндекс.ДиректФинансыИстории моей жизниДомостроениеОт других авторовПолитотаКомпотаЖитотаСцылкиВопросы по компьютеруВопросы по звуку
 
*Программы
Battle Ship DeLuxePut The BlockPrometeusNetZhopSpectrAnsDCAD
 
*Рингтоны
 
*Рейтинги
ОбщийМузыкаМинусовкиФотоСтатьиБлог
 
*Об авторе и сайте
АвторыЧаВоКонтактыБлогДумыАктивностьЮзерыКЖПСсылкиХостингКартаПоддержать сайтГорячие поклонники

 

блогЪ
одномоментные думы
последняя трансляция

26.03.2020 Новости коронавируса

23.03.2020 днище, налоги, реклама

20.03.2020 Вестник РОИ - 25

17.03.2020 Что надо исправить в России

16.03.2020 word, навеяло, глюк

15.03.2020 ВРПВ: вера, евровидение, коронавирус

11.03.2020 ВРПВ: картинки, алкоголь, доллар, Конституция

09.03.2020 цены, бэкап, кризис

06.03.2020 Явные проколы в ПДД

03.03.2020 Кроилово ведёт к попадалову. Некроилово - туда же.

весь блог >>

 

подпишизь

RSS новости RSS комментарии

MTOPUP: воровство денег с карт

опубликовано:  18.02.2014  <весь блог>


Вчера у довольно известного сетевого православного деятеля Андрея Кураева спёрли деньги с карты VISA. Я всегда интересуюсь безопасностью карточек, поскольку и сам вовлечён по уши в это дело. Сам Кураев прокомментировал это довольно туманно - мол, опубликовал номер карты для пожертвований (только номер, ничего более). И всё - "взломали". В комментариях тут же появились "иксперты" из числа тех, которые кричат, что на кредитках можно держать только пять рублей, "иначе хацкерыЪ всё сымутЪ". Я провёл некоторое расследование и установил, в чём дело.

Выяснилось, что у "Билайна" существует печально известный сервис BEELINE MTOPUP, позволяющий пополнить свой сотовый через карту. Когда я посмотрел на его реализацию - волосы встали дыбом. Привязать карту к номеру сотового можно без CV-кода. Такого я ещё в жизни не видел. Нужны только номер карты и дата окончания срока! Дальнейшая проверка идёт через сервис "Мобильный банк" у Сбербанка - с карты снимается небольшая сумма до 10-ти рублей, с двумя знаками после запятой (например, 9.32). Кстати, так и не понял, только со Сбербанком такая фигня или нет (должны же быть у других банков свои подобные сервисы) - но по поиску случаев пиздинга денег MTOPUP завязан почему-то только со Сбербанком. Итак, после снятия этой мелкой суммы на телефон, связанный с картой, приходит отчёт о снятии, и остаётся ввести эту сумму в окно подтверждения MTOPUP.

На первый взгляд, всё не так уж плохо и непонятно, как можно воспользоваться этим "сервисом" для воровства, даже зная номер карты. Ведь ещё понадобятся expiry date и сумма снятия, которые злоумышленник ниоткуда взять не может. Я не знаю точных принципов реализации сервиса, но в случае, если количество попыток ввода информации не проверяется (а почему бы и нет, если уже имеется очевидная криворукость) - подобрать эти данные проще простого. Expiry date - с пару десятков запросов, и тысяча запросов на угадывание трёхзначной суммы снятия (похоже, что сильно меньше, поскольку сумма эта вертится возле 10-ти рублей). Плёвое дело. Судя по всему, какой-то анти-брутфорс у "Билайна" всё же имеется, иначе случаев взлома было бы значительно больше. Но и без всякого брутфорса мошенники нашли оригинальный способ облапошивать людей, которые опубликовали номер карты для перевода пожертвований. То есть, мы снова имеем дело с социальной инженерией (здесь я облегчённо, хотя и не очень, вздохнул).

Мошенник связывается c жертвой и сообщает, что хочет перевести деньги. Для перевода, как он говорит, к номеру карты нужна ещё дата окончания срока (в некоторых банках это действительно так; мне и самому переводили, нахрена им дата - неясно). Затем сообщает, что сейчас переведёт "небольшую сумму для проверки", забивая номер карты и дату в MTOPUP. Жертве на телефон приходит SMS о снятии суммы подтверждения, а мошенник выведывает её под предлогом "ну вот я перевёл". Очень легко запариться и не заметить, что это СНЯТИЕ, а не ПЕРЕВОД (если жертва всё же начинает колебаться, мошенник тут же заговаривает зубы какой-нибудь лажей). Полагаю, с традиционной беспечностью граждан во всех подобных вопросах, не заметит подвоха 90%. Финита ля комедия, у мошенника есть все данные и несколькими транзакциями он снимает всю сумму, имеющуюся на карте - и моргнуть не успеешь.

В связи с этой ситуацией, у меня назрело два основных вопроса. Первый вопрос: как подобный "сервис" вообще мог появиться и как он до сих пор существует, судя по всему, несколько лет? Второй вопрос: тому же Сбербанку ещё не надоело возвращать средства обманутым (а он возвращает, судя по отзывам)?

Для себя уяснил, что нельзя публиковать никакие данные карты вообще. Не ровен час, какие-нибудь идиоты придумают сервис, где вообще ничего не нужно будет для снятия, кроме номера. А банки вроде Сбера будут хлопать ушами и считать, что всё очень хорошо.

 

©2014, Анатолий Савенков

комментариев: 7

просмотров:
1328
глас народа:
+26 / -0
+зачёт    незачёт

голос будет учтён
в рейтинге

▶ Понравилось? Поддержи! ◀
 

 

Комментарии

 

1  Миша
гость
18.02.2014 12:25
Тема очень злободневная, особенно когда поголовно стараются перевести на зарплатные пластиковые карты. У меня к счастью идёт на сберкнижку. Правда там свои тараканы. Так что лучше, если официозно - на банковский счёт. Спасибо автору за пост.
2  SaAnVi
tzar
18.02.2014 12:29
Самое смешное, что при правильном использовании банковские карты весьма и весьма безопасны. Но всегда найдутся "разработчики", которые изговняют любой нормальный сервис и создадут проблемы всем. Куда банки смотрят - не пойму.
3  cyberpunk
свой человек
18.02.2014 19:48
спасибо Анатолий за анализ. лишний раз убеждаюсь в человеческой беспечности (это про соц-инженерию)ну и криворукости некоторых сервисов. работаю со Сбером и Ростелекомом но так и не приемлю всевозможные смс-провокации. мобил-банк только для контроля состояния счёта.
4  SaAnVi
tzar
19.02.2014 06:08
Думаю, подобные "сервисы" больше виноваты, чем люди. Таких разработок просто не должно быть, это против здравого смысла - пропускать одну из стадий авторизации...
5  SaAnVi
tzar
19.02.2014 11:31
> лишний раз убеждаюсь в человеческой беспечности (это про соц-инженерию)

Тут всё построено на том, что просто не ожидаешь даже возможности такой "реализации". :) Ведь на первый взгляд, никаких сверхсекретных данных не сдаёшь. Всем вроде известно, что секретными должны быть CV и пин-код...
6  Месяцев
гость
23.02.2014 21:04
Предпочитаю всю жизнь наличные
карточек никогда не заводил
7  SaAnVi
tzar
24.02.2014 05:50
Карточки это удобно, но повальная малограмотность населения в технологиях... Да каких там, ёптамать, технологиях - никаких технологий знать не надо, голову только на плечах надо иметь.

 

↑ к началу комментариев    ↑↑ к началу страницы

 

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

* Ваше имя/ник:
E-mail:
* Комментарий:
(до 2048 символов)
введите две первые цифры из четырёх: 6302 

 

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.

 

  

 

ВКонтакте Facebook Яндекс.Дзен Канал YouTube Soundcloud
 
Яндекс.Метрика Top.Mail.Ru
EC: 602
новостя
29.03.2020
статья: Компьютер: ремонт на дому или в мастерской
26.03.2020
фотоприкол: как казаки компьютер собирали
23.03.2020
рецензия: Удивительное путешествие доктора Дулиттла
18.03.2020
рецензия: Джуманджи: Новый уровень
13.03.2020
статья: RSS: незаслуженно умирающая технология
12.03.2020
авторский инструментал: Легко
09.03.2020
статья: Опасности смартфонов
04.03.2020
статья: Правила использования аккумуляторов
03.03.2020
обзор: Гейзер 1ПФД
26.02.2020
статья: Весёлый кулер
все новости >>

 

популярЪ

1. статья: Тёплый ламповый звук и сферический винил в вакууме

2. Как казаки компьютер собирали. Фото: R666.

3. статья: Файл подкачки на SSD

4. статья: Весёлый кулер

5. музыкальная пародия: Винда

6. рецензия: Удивительное путешествие доктора Дулиттла (Dolittle)

7. статья: Что выгоднее организациям: приходящий компьютерный мастер, или..

8. статья: RUCELF UPI-400-12-EL: лучше, чем ничего

9. авторский инструментал: Легко

10. статья: Мошенники по ремонту компьютеров

весь TOP >>

 

последния каменты

1. блог: днище, налоги, реклама

2. Как казаки компьютер собирали. Фото: R666.

3. блог: Quantum System: смешной развод

4. слова к песне: Жвачка

5. музыкальная пародия: Жвачка

6. блог: Новости коронавируса

7. блог: Что надо исправить в России

8. рецензия: Удивительное путешествие доктора Дулиттла (Dolittle)

9. блог: Asus Eee PC 900: мобильность и полноценность

10. блог: пожелтело, пончики, квас

 

нынче на сайте
R666 (1)

гости: 2

статистика за 10 минут
юзеры >>
изображениезакрыть
dummy