SaAnVi.Ruпародиифотоприколыбаннаяполитотакомпота вкладка меню  житотасцылкиблогдумырецензиипоржатьфотоотчёты
^
SaAnVi.Ru
день без табака
музыкальные приколы
фотоприколы / банная
политота / компота
житота / сцылки
блог / думы
рецензии на фильмы
тексты на поржать
фотоотчёты
Don't speak Russian?В избранноеПодписка РейтингАктивностьПоддержать

последние запросы

Яндекс поискпоиск Яндекса по сайту

нафигатор
*Музыка
Приколы, пародии, переделкиПесенки-чудесенкиПриколы (прочее)Авторский инструменталАвторские песниМинусовки (HiFi)Минусовки (LoFi)Минусовки (избранное)СаундтрекиZX SpectrumMODsMIDI
 
*Фото, рисунки
ПриколыБаннаяКарикатурыЖивотныеБелкиНасекомыеНебоЦветы, растенияПриродаКрасноярскРазноеФотоотчётыТрансляцииОбои (1280x1024)Обои (1680x1050)Обои (FullHD)СтокМоё
 
*Статьи
СмешноеРецензии на фильмыОбзорыЗвукСофт, комп, инетФотоСлова к песнямРецептыРазноеОчумелые ручкиЯндекс.ДиректФинансыИстории моей жизниДомостроениеОт других авторовПолитотаКомпотаЖитотаСцылкиВопросы по компьютеруВопросы по звуку
 
*Программы
Battle Ship DeLuxePut The BlockPrometeusNetZhopSpectrAnsDCAD
 
*Рингтоны
 
*Рейтинги
ОбщийМузыкаМинусовкиФотоСтатьиБлог
 
*Об авторе и сайте
АвторыЧаВоКонтактыБлогДумыАктивностьЮзерыКЖПСсылкиХостингКартаПоддержать сайтГорячие поклонники

 

блогЪ
одномоментные думы
последняя трансляция

31.05.2020 ВРПВ: недельное, князь, ИМ

30.05.2020 Малообразованные столбики

29.05.2020 Святые 90-е

25.05.2020 поплавок, 360TSE, Стрельцов

21.05.2020 ВРПВ: куропатки, порядочность, Palast Orchester, умные

18.05.2020 яйцо, мотылёк, Директ

14.05.2020 Здравствуйте. Вы проживаете в Московской области?..

13.05.2020 Как ВКонтакте меня за авторские права шпынял, да треки мои блочил

12.05.2020 ВРПВ: Лэйн, чипирование, предстояние

11.05.2020 морковка, WiFi, вопрос

весь блог >>

 

подпишизь

RSS новости RSS комментарии

MTOPUP: воровство денег с карт

опубликовано:  18.02.2014  <весь блог>


Вчера у довольно известного сетевого православного деятеля Андрея Кураева спёрли деньги с карты VISA. Я всегда интересуюсь безопасностью карточек, поскольку и сам вовлечён по уши в это дело. Сам Кураев прокомментировал это довольно туманно - мол, опубликовал номер карты для пожертвований (только номер, ничего более). И всё - "взломали". В комментариях тут же появились "иксперты" из числа тех, которые кричат, что на кредитках можно держать только пять рублей, "иначе хацкерыЪ всё сымутЪ". Я провёл некоторое расследование и установил, в чём дело.

Выяснилось, что у "Билайна" существует печально известный сервис BEELINE MTOPUP, позволяющий пополнить свой сотовый через карту. Когда я посмотрел на его реализацию - волосы встали дыбом. Привязать карту к номеру сотового можно без CV-кода. Такого я ещё в жизни не видел. Нужны только номер карты и дата окончания срока! Дальнейшая проверка идёт через сервис "Мобильный банк" у Сбербанка - с карты снимается небольшая сумма до 10-ти рублей, с двумя знаками после запятой (например, 9.32). Кстати, так и не понял, только со Сбербанком такая фигня или нет (должны же быть у других банков свои подобные сервисы) - но по поиску случаев пиздинга денег MTOPUP завязан почему-то только со Сбербанком. Итак, после снятия этой мелкой суммы на телефон, связанный с картой, приходит отчёт о снятии, и остаётся ввести эту сумму в окно подтверждения MTOPUP.

На первый взгляд, всё не так уж плохо и непонятно, как можно воспользоваться этим "сервисом" для воровства, даже зная номер карты. Ведь ещё понадобятся expiry date и сумма снятия, которые злоумышленник ниоткуда взять не может. Я не знаю точных принципов реализации сервиса, но в случае, если количество попыток ввода информации не проверяется (а почему бы и нет, если уже имеется очевидная криворукость) - подобрать эти данные проще простого. Expiry date - с пару десятков запросов, и тысяча запросов на угадывание трёхзначной суммы снятия (похоже, что сильно меньше, поскольку сумма эта вертится возле 10-ти рублей). Плёвое дело. Судя по всему, какой-то анти-брутфорс у "Билайна" всё же имеется, иначе случаев взлома было бы значительно больше. Но и без всякого брутфорса мошенники нашли оригинальный способ облапошивать людей, которые опубликовали номер карты для перевода пожертвований. То есть, мы снова имеем дело с социальной инженерией (здесь я облегчённо, хотя и не очень, вздохнул).

Мошенник связывается c жертвой и сообщает, что хочет перевести деньги. Для перевода, как он говорит, к номеру карты нужна ещё дата окончания срока (в некоторых банках это действительно так; мне и самому переводили, нахрена им дата - неясно). Затем сообщает, что сейчас переведёт "небольшую сумму для проверки", забивая номер карты и дату в MTOPUP. Жертве на телефон приходит SMS о снятии суммы подтверждения, а мошенник выведывает её под предлогом "ну вот я перевёл". Очень легко запариться и не заметить, что это СНЯТИЕ, а не ПЕРЕВОД (если жертва всё же начинает колебаться, мошенник тут же заговаривает зубы какой-нибудь лажей). Полагаю, с традиционной беспечностью граждан во всех подобных вопросах, не заметит подвоха 90%. Финита ля комедия, у мошенника есть все данные и несколькими транзакциями он снимает всю сумму, имеющуюся на карте - и моргнуть не успеешь.

В связи с этой ситуацией, у меня назрело два основных вопроса. Первый вопрос: как подобный "сервис" вообще мог появиться и как он до сих пор существует, судя по всему, несколько лет? Второй вопрос: тому же Сбербанку ещё не надоело возвращать средства обманутым (а он возвращает, судя по отзывам)?

Для себя уяснил, что нельзя публиковать никакие данные карты вообще. Не ровен час, какие-нибудь идиоты придумают сервис, где вообще ничего не нужно будет для снятия, кроме номера. А банки вроде Сбера будут хлопать ушами и считать, что всё очень хорошо.

 

©2014, Анатолий Савенков

комментариев: 7

просмотров:
1344
глас народа:
+26 / -0
+зачёт    незачёт

голос будет учтён
в рейтинге

▶ Понравилось? Поддержи! ◀
 

 

Комментарии

 

1  Миша
гость
18.02.2014 12:25
Тема очень злободневная, особенно когда поголовно стараются перевести на зарплатные пластиковые карты. У меня к счастью идёт на сберкнижку. Правда там свои тараканы. Так что лучше, если официозно - на банковский счёт. Спасибо автору за пост.
2  SaAnVi
tzar
18.02.2014 12:29
Самое смешное, что при правильном использовании банковские карты весьма и весьма безопасны. Но всегда найдутся "разработчики", которые изговняют любой нормальный сервис и создадут проблемы всем. Куда банки смотрят - не пойму.
3  cyberpunk
свой человек
18.02.2014 19:48
спасибо Анатолий за анализ. лишний раз убеждаюсь в человеческой беспечности (это про соц-инженерию)ну и криворукости некоторых сервисов. работаю со Сбером и Ростелекомом но так и не приемлю всевозможные смс-провокации. мобил-банк только для контроля состояния счёта.
4  SaAnVi
tzar
19.02.2014 06:08
Думаю, подобные "сервисы" больше виноваты, чем люди. Таких разработок просто не должно быть, это против здравого смысла - пропускать одну из стадий авторизации...
5  SaAnVi
tzar
19.02.2014 11:31
> лишний раз убеждаюсь в человеческой беспечности (это про соц-инженерию)

Тут всё построено на том, что просто не ожидаешь даже возможности такой "реализации". :) Ведь на первый взгляд, никаких сверхсекретных данных не сдаёшь. Всем вроде известно, что секретными должны быть CV и пин-код...
6  Месяцев
гость
23.02.2014 21:04
Предпочитаю всю жизнь наличные
карточек никогда не заводил
7  SaAnVi
tzar
24.02.2014 05:50
Карточки это удобно, но повальная малограмотность населения в технологиях... Да каких там, ёптамать, технологиях - никаких технологий знать не надо, голову только на плечах надо иметь.

 

↑ к началу комментариев    ↑↑ к началу страницы

 

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

* Ваше имя/ник:
E-mail:
* Комментарий:
(до 2048 символов)
введите две первые цифры из четырёх: 1945 

 

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.

 

  

 

ВКонтакте Facebook Яндекс.Дзен Канал YouTube Soundcloud
 
Яндекс.Метрика Top.Mail.Ru
EC: 653
новостя
27.05.2020
рецензия: Тайлер Рейк: Операция по спасению
24.05.2020
статья: Всё, что нужно знать о тепловых насосах
18.05.2020
статья: Software_Reporter_Tool.exe: очередной "подарок" от Google Chrome
18.05.2020
статья: Нужно ли форматировать SSD
15.05.2020
музыка MODs: Fall from sky
03.05.2020
музыка MODs: Infinity
01.05.2020
статья: Firefox: что-то пошло не так
22.04.2020
статья: Как улучшить интернет на модеме 3G/4G
15.04.2020
музыка MODs: Uralvolga fine
15.04.2020
новый музыкальный раздел: MODs
все новости >>

 

популярЪ

1. статья: Тёплый ламповый звук и сферический винил в вакууме

2. статья: Всё, что нужно знать о тепловых насосах

3. рецензия: Тайлер Рейк: Операция по спасению (Эвакуация, Extraction)

4. статья: Software_Reporter_Tool.exe: очередной "подарок" от Google Chrome

5. музыкальная пародия: Винда

6. статья: Файл подкачки на SSD

7. статья: RUCELF UPI-400-12-EL: лучше, чем ничего

8. статья: Firefox: что-то пошло не так

9. статья: Как удалить "Интернет Цензор" с паролем

10. статья: Отключение ненужных служб Windows

весь TOP >>

 

последния каменты

1. блог: Святые 90-е

2. блог: Малообразованные столбики

3. блог: Новый почтовый развод

4. блог: поплавок, 360TSE, Стрельцов

5. статья: Аналог vs Цифра: бой, которого не было

6. статья: Windows 10: чёрный экран и курсор

7. статья: Всё, что нужно знать о тепловых насосах

8. рецензия: Тайлер Рейк: Операция по спасению (Эвакуация, Extraction)

9. блог: Здравствуйте. Вы проживаете в Московской области?..

10. блог: Как ВКонтакте меня за авторские права шпынял, да треки мои блочил

 

нынче на сайте
SaAnVi (1)

гости: 5

статистика за 10 минут
юзеры >>
изображениезакрыть
dummy