MTOPUP: воровство денег с карт

опубликовано:  18.02.2014  <весь блог>

Вчера у довольно известного сетевого православного деятеля Андрея Кураева спёрли деньги с карты VISA. Я всегда интересуюсь безопасностью карточек, поскольку и сам вовлечён по уши в это дело. Сам Кураев прокомментировал это довольно туманно - мол, опубликовал номер карты для пожертвований (только номер, ничего более). И всё - "взломали". В комментариях тут же появились "иксперты" из числа тех, которые кричат, что на кредитках можно держать только пять рублей, "иначе хацкерыЪ всё сымутЪ". Я провёл некоторое расследование и установил, в чём дело.

Выяснилось, что у "Билайна" существует печально известный сервис BEELINE MTOPUP, позволяющий пополнить свой сотовый через карту. Когда я посмотрел на его реализацию - волосы встали дыбом. Привязать карту к номеру сотового можно без CV-кода. Такого я ещё в жизни не видел. Нужны только номер карты и дата окончания срока! Дальнейшая проверка идёт через сервис "Мобильный банк" у Сбербанка - с карты снимается небольшая сумма до 10-ти рублей, с двумя знаками после запятой (например, 9.32). Кстати, так и не понял, только со Сбербанком такая фигня или нет (должны же быть у других банков свои подобные сервисы) - но по поиску случаев пиздинга денег MTOPUP завязан почему-то только со Сбербанком. Итак, после снятия этой мелкой суммы на телефон, связанный с картой, приходит отчёт о снятии, и остаётся ввести эту сумму в окно подтверждения MTOPUP.

На первый взгляд, всё не так уж плохо и непонятно, как можно воспользоваться этим "сервисом" для воровства, даже зная номер карты. Ведь ещё понадобятся expiry date и сумма снятия, которые злоумышленник ниоткуда взять не может. Я не знаю точных принципов реализации сервиса, но в случае, если количество попыток ввода информации не проверяется (а почему бы и нет, если уже имеется очевидная криворукость) - подобрать эти данные проще простого. Expiry date - с пару десятков запросов, и тысяча запросов на угадывание трёхзначной суммы снятия (похоже, что сильно меньше, поскольку сумма эта вертится возле 10-ти рублей). Плёвое дело. Судя по всему, какой-то анти-брутфорс у "Билайна" всё же имеется, иначе случаев взлома было бы значительно больше. Но и без всякого брутфорса мошенники нашли оригинальный способ облапошивать людей, которые опубликовали номер карты для перевода пожертвований. То есть, мы снова имеем дело с социальной инженерией (здесь я облегчённо, хотя и не очень, вздохнул).

Мошенник связывается c жертвой и сообщает, что хочет перевести деньги. Для перевода, как он говорит, к номеру карты нужна ещё дата окончания срока (в некоторых банках это действительно так; мне и самому переводили, нахрена им дата - неясно). Затем сообщает, что сейчас переведёт "небольшую сумму для проверки", забивая номер карты и дату в MTOPUP. Жертве на телефон приходит SMS о снятии суммы подтверждения, а мошенник выведывает её под предлогом "ну вот я перевёл". Очень легко запариться и не заметить, что это СНЯТИЕ, а не ПЕРЕВОД (если жертва всё же начинает колебаться, мошенник тут же заговаривает зубы какой-нибудь лажей). Полагаю, с традиционной беспечностью граждан во всех подобных вопросах, не заметит подвоха 90%. Финита ля комедия, у мошенника есть все данные и несколькими транзакциями он снимает всю сумму, имеющуюся на карте - и моргнуть не успеешь.

В связи с этой ситуацией, у меня назрело два основных вопроса. Первый вопрос: как подобный "сервис" вообще мог появиться и как он до сих пор существует, судя по всему, несколько лет? Второй вопрос: тому же Сбербанку ещё не надоело возвращать средства обманутым (а он возвращает, судя по отзывам)?

Для себя уяснил, что нельзя публиковать никакие данные карты вообще. Не ровен час, какие-нибудь идиоты придумают сервис, где вообще ничего не нужно будет для снятия, кроме номера. А банки вроде Сбера будут хлопать ушами и считать, что всё очень хорошо.

©2014, Анатолий Савенков

комментариев: 7

по годам: 2005 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020

Комментарии

1  Миша гость	18.02.2014 12:25
Тема очень злободневная, особенно когда поголовно стараются перевести на зарплатные пластиковые карты. У меня к счастью идёт на сберкнижку. Правда там свои тараканы. Так что лучше, если официозно - на банковский счёт. Спасибо автору за пост.
+0

2  SaAnVi tzar	18.02.2014 12:29
Самое смешное, что при правильном использовании банковские карты весьма и весьма безопасны. Но всегда найдутся "разработчики", которые изговняют любой нормальный сервис и создадут проблемы всем. Куда банки смотрят - не пойму.
+0

3  cyberpunk свой человек	18.02.2014 19:48
спасибо Анатолий за анализ. лишний раз убеждаюсь в человеческой беспечности (это про соц-инженерию)ну и криворукости некоторых сервисов. работаю со Сбером и Ростелекомом но так и не приемлю всевозможные смс-провокации. мобил-банк только для контроля состояния счёта.
+0

4  SaAnVi tzar	19.02.2014 06:08
Думаю, подобные "сервисы" больше виноваты, чем люди. Таких разработок просто не должно быть, это против здравого смысла - пропускать одну из стадий авторизации...
+0

5  SaAnVi tzar	19.02.2014 11:31
> лишний раз убеждаюсь в человеческой беспечности (это про соц-инженерию) Тут всё построено на том, что просто не ожидаешь даже возможности такой "реализации". :) Ведь на первый взгляд, никаких сверхсекретных данных не сдаёшь. Всем вроде известно, что секретными должны быть CV и пин-код...
+0

6  Месяцев гость	23.02.2014 21:04
Предпочитаю всю жизнь наличные карточек никогда не заводил
+0

7  SaAnVi tzar	24.02.2014 05:50
Карточки это удобно, но повальная малограмотность населения в технологиях... Да каких там, ёптамать, технологиях - никаких технологий знать не надо, голову только на плечах надо иметь.
+0

↑ к началу комментариев    ↑↑ к началу страницы

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.