SaAnVi.Ruпародиифотоприколыбаннаяполитотакомпотажитота вкладка меню  сцылкиблогдумырецензиипоржатьфотосеты ПОДДЕРЖАТЬ
^
Читаешь?
Интересно?
Поддержи.
SaAnVi.Ru
музыкальные приколы
фотоприколы / банная
политота / компота
житота / сцылки
блог / думы
рецензии на фильмы
тексты на поржать
фотосеты
Don't speak Russian?В избранноеПодписка РейтингАктивность Поддержать

последние запросы

Яндекс поискпоиск Яндекса по сайту

нафигатор
*Музыка
Приколы, пародии, переделкиПесенки-чудесенкиПриколы (прочее)Авторский инструменталАвторские песниМинусовки (HiFi)Минусовки (LoFi)Минусовки (избранное)СаундтрекиZX SpectrumMODsMIDIПранк
 
*Фото, рисунки
ПриколыБаннаяКарикатурыЖивотныеБелкиНасекомыеНебоЦветы, растенияПриродаКрасноярскРазноеФотосетыТрансляцииОбои (1280x1024)Обои (1680x1050)Обои (FullHD)СтокМоё
 
*Статьи
СмешноеРецензии на фильмыОбзорыЗвукСофт, комп, инетФотоСлова к песнямРецептыРазноеОчумелые ручкиЯндекс.ДиректФинансыИстории моей жизниДомостроениеОт других авторовПолитотаКомпотаЖитотаСцылкиВопросы по компьютеруВопросы по звуку
 
*Программы
Battle Ship DeLuxePut The BlockPrometeusNetZhopSpectrAnsDCAD
 
*Рингтоны
 
*Рейтинги
ОбщийМузыкаМинусовкиФотоСтатьиБлог
 
*Об авторе и сайте
АвторыЧаВоКонтактыБлогДумыАктивностьЮзерыКЖПСсылкиХостингКартаПоддержать сайт (0%)Горячие поклонники

 

блогЪ
одномоментные думы
последняя трансляция

23.06.2025 упгрейд, реформа, гуглплей

22.06.2025 Водительский ад

16.06.2025 масло, купалово, паранойя

15.06.2025 Интернет уже не тот

09.06.2025 гмыло, мангал, время

02.06.2025 личка, гудбайдипиай, ВК

26.05.2025 вояж, директ, мразота

19.05.2025 йандыкс, куаркоды, кросивое

17.05.2025 ВРПВ: хреновости, Экс-ББ

13.05.2025 "Курьер" и поколения

весь блог ▶
популярные посты ▶

 

подпишизь

RSS новостиНОВОСТИ
RSS комментарииКАМЕНТЫ
ТЕЛЕГАТЕЛЕГА

MTOPUP: воровство денег с карт

опубликовано:  18.02.2014  <весь блог>


Вчера у довольно известного сетевого православного деятеля Андрея Кураева спёрли деньги с карты VISA. Я всегда интересуюсь безопасностью карточек, поскольку и сам вовлечён по уши в это дело. Сам Кураев прокомментировал это довольно туманно - мол, опубликовал номер карты для пожертвований (только номер, ничего более). И всё - "взломали". В комментариях тут же появились "иксперты" из числа тех, которые кричат, что на кредитках можно держать только пять рублей, "иначе хацкерыЪ всё сымутЪ". Я провёл некоторое расследование и установил, в чём дело.

Выяснилось, что у "Билайна" существует печально известный сервис BEELINE MTOPUP, позволяющий пополнить свой сотовый через карту. Когда я посмотрел на его реализацию - волосы встали дыбом. Привязать карту к номеру сотового можно без CV-кода. Такого я ещё в жизни не видел. Нужны только номер карты и дата окончания срока! Дальнейшая проверка идёт через сервис "Мобильный банк" у Сбербанка - с карты снимается небольшая сумма до 10-ти рублей, с двумя знаками после запятой (например, 9.32). Кстати, так и не понял, только со Сбербанком такая фигня или нет (должны же быть у других банков свои подобные сервисы) - но по поиску случаев пиздинга денег MTOPUP завязан почему-то только со Сбербанком. Итак, после снятия этой мелкой суммы на телефон, связанный с картой, приходит отчёт о снятии, и остаётся ввести эту сумму в окно подтверждения MTOPUP.

На первый взгляд, всё не так уж плохо и непонятно, как можно воспользоваться этим "сервисом" для воровства, даже зная номер карты. Ведь ещё понадобятся expiry date и сумма снятия, которые злоумышленник ниоткуда взять не может. Я не знаю точных принципов реализации сервиса, но в случае, если количество попыток ввода информации не проверяется (а почему бы и нет, если уже имеется очевидная криворукость) - подобрать эти данные проще простого. Expiry date - с пару десятков запросов, и тысяча запросов на угадывание трёхзначной суммы снятия (похоже, что сильно меньше, поскольку сумма эта вертится возле 10-ти рублей). Плёвое дело. Судя по всему, какой-то анти-брутфорс у "Билайна" всё же имеется, иначе случаев взлома было бы значительно больше. Но и без всякого брутфорса мошенники нашли оригинальный способ облапошивать людей, которые опубликовали номер карты для перевода пожертвований. То есть, мы снова имеем дело с социальной инженерией (здесь я облегчённо, хотя и не очень, вздохнул).

Мошенник связывается c жертвой и сообщает, что хочет перевести деньги. Для перевода, как он говорит, к номеру карты нужна ещё дата окончания срока (в некоторых банках это действительно так; мне и самому переводили, нахрена им дата - неясно). Затем сообщает, что сейчас переведёт "небольшую сумму для проверки", забивая номер карты и дату в MTOPUP. Жертве на телефон приходит SMS о снятии суммы подтверждения, а мошенник выведывает её под предлогом "ну вот я перевёл". Очень легко запариться и не заметить, что это СНЯТИЕ, а не ПЕРЕВОД (если жертва всё же начинает колебаться, мошенник тут же заговаривает зубы какой-нибудь лажей). Полагаю, с традиционной беспечностью граждан во всех подобных вопросах, не заметит подвоха 90%. Финита ля комедия, у мошенника есть все данные и несколькими транзакциями он снимает всю сумму, имеющуюся на карте - и моргнуть не успеешь.

В связи с этой ситуацией, у меня назрело два основных вопроса. Первый вопрос: как подобный "сервис" вообще мог появиться и как он до сих пор существует, судя по всему, несколько лет? Второй вопрос: тому же Сбербанку ещё не надоело возвращать средства обманутым (а он возвращает, судя по отзывам)?

Для себя уяснил, что нельзя публиковать никакие данные карты вообще. Не ровен час, какие-нибудь идиоты придумают сервис, где вообще ничего не нужно будет для снятия, кроме номера. А банки вроде Сбера будут хлопать ушами и считать, что всё очень хорошо.

 

©2014, Анатолий Савенков

комментариев: 7

просмотров:
1700
глас народа:
+30 / -0
+зачёт    незачёт

голос будет учтён
в рейтинге

▶ Понравилось? Поддержи! ◀
 

 

Комментарии

 

1  Миша
гость
18.02.2014 12:25
Тема очень злободневная, особенно когда поголовно стараются перевести на зарплатные пластиковые карты. У меня к счастью идёт на сберкнижку. Правда там свои тараканы. Так что лучше, если официозно - на банковский счёт. Спасибо автору за пост.
2  SaAnVi
tzar
18.02.2014 12:29
Самое смешное, что при правильном использовании банковские карты весьма и весьма безопасны. Но всегда найдутся "разработчики", которые изговняют любой нормальный сервис и создадут проблемы всем. Куда банки смотрят - не пойму.
3  cyberpunk
свой человек
18.02.2014 19:48
спасибо Анатолий за анализ. лишний раз убеждаюсь в человеческой беспечности (это про соц-инженерию)ну и криворукости некоторых сервисов. работаю со Сбером и Ростелекомом но так и не приемлю всевозможные смс-провокации. мобил-банк только для контроля состояния счёта.
4  SaAnVi
tzar
19.02.2014 06:08
Думаю, подобные "сервисы" больше виноваты, чем люди. Таких разработок просто не должно быть, это против здравого смысла - пропускать одну из стадий авторизации...
5  SaAnVi
tzar
19.02.2014 11:31
> лишний раз убеждаюсь в человеческой беспечности (это про соц-инженерию)

Тут всё построено на том, что просто не ожидаешь даже возможности такой "реализации". :) Ведь на первый взгляд, никаких сверхсекретных данных не сдаёшь. Всем вроде известно, что секретными должны быть CV и пин-код...
6  Месяцев
гость
23.02.2014 21:04
Предпочитаю всю жизнь наличные
карточек никогда не заводил
7  SaAnVi
tzar
24.02.2014 05:50
Карточки это удобно, но повальная малограмотность населения в технологиях... Да каких там, ёптамать, технологиях - никаких технологий знать не надо, голову только на плечах надо иметь.

 

↑ к началу комментариев    ↑↑ к началу страницы

 

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

* Ваше имя/ник:
E-mail:
* Комментарий:
(до 2048 символов)
введите две первые цифры из четырёх: 1614 

 

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.

 

  

 

группа ВКонтакте Telegram Канал RuTube Яндекс.Дзен Канал YouTube
 
Яндекс.Метрика Top.Mail.Ru
EC: 1629
новостя
01.07.2025
статья: ИИ: революция с инволюционным уклоном
25.06.2025
рецензия: Кракен
19.06.2025
рецензия: Новичок
06.06.2025
банная: Круассаньё
02.06.2025
рецензия: Источник вечной молодости
20.05.2025
рецензия: Дроп
14.05.2025
рецензия: Царевна-лягушка
10.05.2025
ремикс: Садово-огородный рэп
07.05.2025
статья: SSD M.2: подвох, которого не ожидаешь
22.04.2025
статья: Компьютерные страшилки
все новости ▶

 

популярЪ

1. статья: ИИ: революция с инволюционным уклоном

2. статья: Тёплый ламповый звук и сферический винил в вакууме

3. статья: RUCELF UPI-400-12-EL: лучше, чем ничего

4. статья: Отключение ненужных служб Windows

5. рецензия: В эфире (On the line)

6. статья: Зачем автомобилю аккумулятор

7. фотосессия: Бурение скважины на воду

8. рецензия: Затерянные

9. музыкальная пародия: Комп налаживается

10. музыкальная пародия: Винда

весь TOP ▶

 

крайние каменты

1. статья: ИИ: революция с инволюционным уклоном

2. блог: упгрейд, реформа, гуглплей

3. блог: Водительский ад

4. блог: Новый почтовый развод

5. блог: Налоги в России выше, чем в Америке

6. блог: Унитазные страсти

7. рецензия: Кракен

8. блог: Искусственный интеллект, и почему он терпит поражение

9. блог: масло, купалово, паранойя

10. блог: Интернет уже не тот

 

на сайте
Садисто (1)

гости: 0

статистика за 10 минут

юзеры ▶
изображениезакрыть
dummy