Научный форум dxdy

Надеюсь, этот пост будет кому-либо полезен. Ну или хотя бы развлечёт.

Что касается разнообразных мошенничеств через Интернет, я считаю себя человеком искушённым. Как, думаю, и многие из вас. Поэтому буду вести повествование от второго лица, чтобы полнее передать чувства, которые испытал я. Потому что мне недавно таки посчастливилось стать жертвой интернет-мошенничества, и знаете, я так толком и не понял, где ж это я прокололся, чего мне нужно было и чего не нужно было делать!
TL;DR: выводы в конце текста.

Итак, действие первое. Представьте себе, что у вас есть ребёнок, хотя пусть даже взрослый человек — близкий родственник, плохо разбирающийся "во всяких гаджетах".
И вот вы этому человеку покупаете смартфон для использования по прямому назначению, с сим-картой оператора сотовой связи (далее — ОпСоСа) в придачу.
А может быть, даже просто кнопочный телефон. А может быть, даже и не вы покупаете, а другой родственник СИМ-ку на свой паспорт оформляет (это здесь тоже не важно).
Но вы, как единственный тыжпрограммист в семье, присматриваете за счётом этого телефона, следите, чтобы подопечный не подключал всякие подписки и т.п., и, в частности, вовремя пополняете счёт.
Для этого вы заходите в личный кабинет клиента ОпСоСа (вы прекрасно знаете, как противостоять фишингу, безопасно хранить пароль, зачем нужен протокол HTTPS и всё такое прочее), проверяете детализацию, всё OK, ну и там есть такая удобная кнопочка "Пополнить счёт".
Вы также прекрасно осведомлены, что ОпСоС на безопасности собаку съел, и пользоваться этой кнопкой почти так же безопасно, как аналогичной кнопкой в онлайн-банке, только здесь у вас есть гарантия, что вы не перепутаете номер.
Согласитесь, пока вроде бы всё по правилам? Идём дальше.
Ввод номера банковской карты, срока действия и секретного кода. Вы в курсе, что это чувствительная информация, но всё равно спокойны. Может быть, даже знаете, что эта информация передаётся по особо секретным протоколам, настолько упоротым, что ОпСоС даже не получает эти данные, только спецоператор платежей — реальный монстр в области информационной безопасности.
На этом месте особо продвинутые могут начать что-то подозревать и пенять: "Чего ж ты, мамкин хакер, виртуальную карточку-то не завёл, с нулевым балансом, на которую непосредственно перед операцией переводится в точности сумма платежа?"
Частично согласен, здесь уже с натяжкой можно сказать, что я облажался. Теперь я даже могу с некоторой уверенностью сказать, что так и нужно делать.
Но! Есть, например, такая штука, как автоплатёж по порогу баланса, знаете, да? Если вдруг ребёнок случайно позвонит в Лимпопо, и у него баланс уйдёт в минус, на счёт автоматически приходит сотня-другая рублей. Ребёнок, слава богу, не остаётся без связи, а на ваш телефон приходит СМС о списании, и вы сразу можете начать разбираться. Но это не работает, если на карте постоянно 0.
Продолжаем. По умолчанию стоит галочка "Сохранить карту для дальнейшего использования". Тут вариантов нет, если вы хотите "автоплатёж по порогу баланса", то нужно сохранить. Но, может быть, вы просто сохраняете для удобного использования: безопасно же!
Но на самом деле вы уже проиграли.

Действие второе. Происходящее полностью без вас.
Ребёнок, как водится, активно общается в соцсетях (может быть, не по этому телефону, а по компьютеру), и в один прекрасный момент к нему "стучится" хороший знакомый. На самом деле аккаунт собеседника взломан, а от его лица выступает матёрый специалист в области социальной инженерии.
Описывать разговор в подробностях не буду, вы всё это примерно знаете. Будь вы на месте ребёнка, вы бы с лёгкостью раскусили персонажа. Но вас на сцене нет!
Конец немного предсказуем: злоумышленник через СМС-коды получает доступ к личному кабинету клиента ОпСоСа, видит там сохранённую карту и использует её по своему усмотрению в пределах лимита дневных операций ОпСоСа, который довольно велик — 15000 рублей.
В роли черепа коня, короткой кольчужки, или, если угодно, гвоздя, которого в нужный момент не оказалось в кузнице, выступает отсутствие подтверждения операций по протоколу 3-D Secure. ОпСоС не посылает на ваш телефон предложение ввести подтвердждающий код, и проводит платёж без него (а ваш банк позволяет ему так сделать)!

Действие третье. Проснувшись на следующий день, вы решаете проверить банковский счёт и обнаруживаете сюрприз. Некоторое время может уйти на то, чтобы понять, что произошло, но пусть это удаётся сделать довольно быстро.
Вы обращаетесь в банк, блокируете карту, пишете заявление на возврат средств (надежды мало), также обращаетесь к ОпСоСу, а он вообще не при делах: всё авторизовано (хотя без 3-D Secure!), обращайтесь в правоохранительные органы.
Предположим, что вам не лень обращаться в МВД, сумма-то немаленькая. На этом месте драма начинает понемножку превращаться в комедию. Кто у нас расследует мошенничества в Интернете? Управление «К»! А как к нему обратиться? Ну, учитывая, что местом преступления является виртуальное пространство, наверное, в этих ваших интернетах к нему на его же сайте и нужно обращаться?
«Л» — Логика. Получив ваше обращение (со всеми необходимыми выписками в электронном виде), ведомство начинает его рассматривать. Как подобает солидному учреждению: чинно, обстоятельно, как деды рассматривали. Не проходит и месяца, как вас по месту жительства вызывают к следователю районного УВД (несмотря на всеобщий карантин), чтобы написать (от руки, конечно же) заявление. Хорошо, что вы догадались распечатать и взять с собой документы, которые уже прикладывали в электронном виде: в ходе передачи дела до районного уровня дошла только информация (разумеется, бумажною почтою) о том, что некто, проживающий по такому-то адресу такого-то числа обращался с заявлением о мошенничестве.

Продолжение следует, хотя некоторые выводы можно сделать уже сейчас:
1. Учите детей всем правилам Интернет-безопасности, которые сами знаете, с пелёнок.
2. Не сохраняйте нигде данные карт, на которых могут быть существенные для вас суммы.
3. Если вы решили обратиться в правоохранительные органы по поводу мошенничества в Интернете, распечатывайте всю нужную информацию (можете также взять с собой на флешке) и сразу идите с ней в районное УВД по месту жительства.

Приглашаю желающих откорректировать/пополнить этот список и вообще поделиться мнениями о ситуации.

Я не понял смысла, зачем для детей карточки с деньгами? Просто не давайте денег и все. Сообщение с подтверждением может не придти (мне часто не приходило если проблемы со связью), или его мог ребенок удалить, понял что случилось, свалив таким образом все на оператора.
А вообще меня тоже обманывали в интернете, вот например с последнего позвонили якобы с банка, по украинской разговаривали, кучу кодов там каких-то говорили, и знали что моя карточка там почти заблокированная, и что я пополнил (вообще-то на копейки по сути, то что осталось с денег за оренду годовую паев) чтобы не заблокировали, и это продолжалось минут сорок, я реально не знал обман это или нет, а потом приходит СМС с кодом, а там в нем написано: "Не передавайте никому этот код."; а тот представитель банка говорит: "Назовите пожалуйста код."; а я ему: "Так в инструкции сказано что не передавайте никому?", ну и так далее, минут еще пять, а потом он меня выругал, причем русским матом и бросил трубку...

4. Всегда и везде платить наличными. В наше время это уже кое-где сложно, а где-то даже считается подозрительным, но это единственный способ обеспечить безопасность.
(Уточнение, если кто будет спорить: можно и в интернет-магазинах платить наличными, и из Али товары оплачивать.)

Aritaborian

Это не способ обеспечить безопасность а бред.

frostysh, обоснуйте, пожалуйста, ваше мение.

Так я и не даю, это даже не обсуждается! Я оплачиваю счёт их телефона, сам, со своей карточки, никому её не показываю даже.

А это как? Пытается сменить пароль, что ли? Почему же код для сброса пароля тогда на телефон ребенка приходит?

Если сбер, то могут по ID+социальная инженерия получить полный доступ к счету. Причем код СМС на ваш телефон придет с номера 900 - достаточно его сказать мошеннику и всё.

Ну да. В норме вы входите в личный кабинет, пользуясь паролем, и сам телефон ребёнка вам не нужен. Но в ситуации, когда пароль забыт, нужен физический доступ к телефону. Стандартный путь таков: пароль можно изменить, введя код подтверждения, который присылается СМСкой на номер абонента. Есть ещё вариант: на телефоне набирается USSD-команда, в ответе приходит пароль. В любом варианте, так как телефон физически у ребёнка, то всё проходит мимо вас.

Aritaborian

Во первых какая же безопасность если все платить наличными? Подойдут и ограбят легко, физически, если все платить наличкой рано или поздно такое случится, хотя наверное вероятность меньше чем как ограбят виртуально. Во вторых, в эру электронных денег все платить наличными просто тупо неудобно нереально причем иногда даже не выгодно, например при оплате наличкой на службах доставки еще надо платить за пересыл денег назад.

worm2

Как вообще можно использовать карту видя токо ее номер? А CVV2-код? Она же на ваш мобильный прицеплена, соответственно вам на телефон должно подтверждение приходить.

Так а почему в качестве проверочного телефона выбран именно телефон ребенка, а не ваш?

А там вроде никак не укажешь, куда слать пароль — это же не банк какой-нибудь, а сам оператор, и они «логично» могли решить, что ни на какой другой номер слать не нужно. Действительно, в массе случаев это резонно, но вот мы видим теперь, что это резонно лишь как умолчание, тогда как когда я в последний раз заходил в личный кабинет того же ***, я там настройки слать на другой номер не видел.

Где как. Меня ни разу не грабили. И, насколько я могу судить, обстановка у нас в городе ну как бы ни разу не грабежательная.Тупо неудобно нереально невыгодно это только для вас.

Aritaborian

А ладно, черт с ним. Может и так, и Вы правы. Но мне идея всюду наличкой все ровно не нравится.

Это было бы идеально, но...Это печально, но это так. Недавно был в Швеции, в стольном граде Стокгольме. Так там даже во многих кафешках висят объявления "Наличные не принимаем". Даже за кофе с булочкой какие-то 45 крон (это около 4 евро) не берут, нехристи. Ссылки на то, что ты иностранец, их не волнуют.
А дальше будет только хуже.