2014 dxdy logo

Научный форум dxdy

Математика, Физика, Computer Science, Machine Learning, LaTeX, Механика и Техника, Химия,
Биология и Медицина, Экономика и Финансовая Математика, Гуманитарные науки




Начать новую тему Ответить на тему На страницу 1, 2, 3, 4, 5, 6  След.
 
 Как меня, тёртого калача, мошенники провели в Интернете
Сообщение05.04.2020, 16:09 
Заслуженный участник
Аватара пользователя


01/08/06
3131
Уфа
Надеюсь, этот пост будет кому-либо полезен. Ну или хотя бы развлечёт.

Что касается разнообразных мошенничеств через Интернет, я считаю себя человеком искушённым. Как, думаю, и многие из вас. Поэтому буду вести повествование от второго лица, чтобы полнее передать чувства, которые испытал я. Потому что мне недавно таки посчастливилось стать жертвой интернет-мошенничества, и знаете, я так толком и не понял, где ж это я прокололся, чего мне нужно было и чего не нужно было делать!
TL;DR: выводы в конце текста.

Итак, действие первое. Представьте себе, что у вас есть ребёнок, хотя пусть даже взрослый человек — близкий родственник, плохо разбирающийся "во всяких гаджетах".
И вот вы этому человеку покупаете смартфон для использования по прямому назначению, с сим-картой оператора сотовой связи (далее — ОпСоСа) в придачу.
А может быть, даже просто кнопочный телефон. А может быть, даже и не вы покупаете, а другой родственник СИМ-ку на свой паспорт оформляет (это здесь тоже не важно).
Но вы, как единственный тыжпрограммист в семье, присматриваете за счётом этого телефона, следите, чтобы подопечный не подключал всякие подписки и т.п., и, в частности, вовремя пополняете счёт.
Для этого вы заходите в личный кабинет клиента ОпСоСа (вы прекрасно знаете, как противостоять фишингу, безопасно хранить пароль, зачем нужен протокол HTTPS и всё такое прочее), проверяете детализацию, всё OK, ну и там есть такая удобная кнопочка "Пополнить счёт".
Вы также прекрасно осведомлены, что ОпСоС на безопасности собаку съел, и пользоваться этой кнопкой почти так же безопасно, как аналогичной кнопкой в онлайн-банке, только здесь у вас есть гарантия, что вы не перепутаете номер.
Согласитесь, пока вроде бы всё по правилам? Идём дальше.
Ввод номера банковской карты, срока действия и секретного кода. Вы в курсе, что это чувствительная информация, но всё равно спокойны. Может быть, даже знаете, что эта информация передаётся по особо секретным протоколам, настолько упоротым, что ОпСоС даже не получает эти данные, только спецоператор платежей — реальный монстр в области информационной безопасности.
На этом месте особо продвинутые могут начать что-то подозревать и пенять: "Чего ж ты, мамкин хакер, виртуальную карточку-то не завёл, с нулевым балансом, на которую непосредственно перед операцией переводится в точности сумма платежа?"
Частично согласен, здесь уже с натяжкой можно сказать, что я облажался. Теперь я даже могу с некоторой уверенностью сказать, что так и нужно делать.
Но! Есть, например, такая штука, как автоплатёж по порогу баланса, знаете, да? Если вдруг ребёнок случайно позвонит в Лимпопо, и у него баланс уйдёт в минус, на счёт автоматически приходит сотня-другая рублей. Ребёнок, слава богу, не остаётся без связи, а на ваш телефон приходит СМС о списании, и вы сразу можете начать разбираться. Но это не работает, если на карте постоянно 0.
Продолжаем. По умолчанию стоит галочка "Сохранить карту для дальнейшего использования". Тут вариантов нет, если вы хотите "автоплатёж по порогу баланса", то нужно сохранить. Но, может быть, вы просто сохраняете для удобного использования: безопасно же!
Но на самом деле вы уже проиграли.

Действие второе. Происходящее полностью без вас.
Ребёнок, как водится, активно общается в соцсетях (может быть, не по этому телефону, а по компьютеру), и в один прекрасный момент к нему "стучится" хороший знакомый. На самом деле аккаунт собеседника взломан, а от его лица выступает матёрый специалист в области социальной инженерии.
Описывать разговор в подробностях не буду, вы всё это примерно знаете. Будь вы на месте ребёнка, вы бы с лёгкостью раскусили персонажа. Но вас на сцене нет!
Конец немного предсказуем: злоумышленник через СМС-коды получает доступ к личному кабинету клиента ОпСоСа, видит там сохранённую карту и использует её по своему усмотрению в пределах лимита дневных операций ОпСоСа, который довольно велик — 15000 рублей.
В роли черепа коня, короткой кольчужки, или, если угодно, гвоздя, которого в нужный момент не оказалось в кузнице, выступает отсутствие подтверждения операций по протоколу 3-D Secure. ОпСоС не посылает на ваш телефон предложение ввести подтвердждающий код, и проводит платёж без него (а ваш банк позволяет ему так сделать)!

Действие третье. Проснувшись на следующий день, вы решаете проверить банковский счёт и обнаруживаете сюрприз. Некоторое время может уйти на то, чтобы понять, что произошло, но пусть это удаётся сделать довольно быстро.
Вы обращаетесь в банк, блокируете карту, пишете заявление на возврат средств (надежды мало), также обращаетесь к ОпСоСу, а он вообще не при делах: всё авторизовано (хотя без 3-D Secure!), обращайтесь в правоохранительные органы.
Предположим, что вам не лень обращаться в МВД, сумма-то немаленькая. На этом месте драма начинает понемножку превращаться в комедию. Кто у нас расследует мошенничества в Интернете? Управление «К»! А как к нему обратиться? Ну, учитывая, что местом преступления является виртуальное пространство, наверное, в этих ваших интернетах к нему на его же сайте и нужно обращаться?
«Л» — Логика. Получив ваше обращение (со всеми необходимыми выписками в электронном виде), ведомство начинает его рассматривать. Как подобает солидному учреждению: чинно, обстоятельно, как деды рассматривали. Не проходит и месяца, как вас по месту жительства вызывают к следователю районного УВД (несмотря на всеобщий карантин), чтобы написать (от руки, конечно же) заявление. Хорошо, что вы догадались распечатать и взять с собой документы, которые уже прикладывали в электронном виде: в ходе передачи дела до районного уровня дошла только информация (разумеется, бумажною почтою) о том, что некто, проживающий по такому-то адресу такого-то числа обращался с заявлением о мошенничестве.

Продолжение следует, хотя некоторые выводы можно сделать уже сейчас:
1. Учите детей всем правилам Интернет-безопасности, которые сами знаете, с пелёнок.
2. Не сохраняйте нигде данные карт, на которых могут быть существенные для вас суммы.
3. Если вы решили обратиться в правоохранительные органы по поводу мошенничества в Интернете, распечатывайте всю нужную информацию (можете также взять с собой на флешке) и сразу идите с ней в районное УВД по месту жительства.

Приглашаю желающих откорректировать/пополнить этот список и вообще поделиться мнениями о ситуации.

 Профиль  
                  
 
 Re: Как меня, тёртого калача, мошенники провели в Интернете
Сообщение05.04.2020, 17:20 
Аватара пользователя


13/02/18
1070
Україна, село
Я не понял смысла, зачем для детей карточки с деньгами? Просто не давайте денег и все. Сообщение с подтверждением может не придти (мне часто не приходило если проблемы со связью), или его мог ребенок удалить, понял что случилось, свалив таким образом все на оператора.
А вообще меня тоже обманывали в интернете, вот например с последнего позвонили якобы с банка, по украинской разговаривали, кучу кодов там каких-то говорили, и знали что моя карточка там почти заблокированная, и что я пополнил (вообще-то на копейки по сути, то что осталось с денег за оренду годовую паев) чтобы не заблокировали, и это продолжалось минут сорок, я реально не знал обман это или нет, а потом приходит СМС с кодом, а там в нем написано: "Не передавайте никому этот код."; а тот представитель банка говорит: "Назовите пожалуйста код."; а я ему: "Так в инструкции сказано что не передавайте никому?", ну и так далее, минут еще пять, а потом он меня выругал, причем русским матом и бросил трубку...

 Профиль  
                  
 
 Re: Как меня, тёртого калача, мошенники провели в Интернете
Сообщение05.04.2020, 17:22 
Аватара пользователя


11/06/12
10390
стихия.вздох.мюсли
4. Всегда и везде платить наличными. В наше время это уже кое-где сложно, а где-то даже считается подозрительным, но это единственный способ обеспечить безопасность.
(Уточнение, если кто будет спорить: можно и в интернет-магазинах платить наличными, и из Али товары оплачивать.)

 Профиль  
                  
 
 Re: Как меня, тёртого калача, мошенники провели в Интернете
Сообщение05.04.2020, 17:23 
Аватара пользователя


13/02/18
1070
Україна, село
Aritaborian

Это не способ обеспечить безопасность а бред.

 Профиль  
                  
 
 Re: Как меня, тёртого калача, мошенники провели в Интернете
Сообщение05.04.2020, 17:25 
Аватара пользователя


11/06/12
10390
стихия.вздох.мюсли
frostysh, обоснуйте, пожалуйста, ваше мение.

 Профиль  
                  
 
 Re: Как меня, тёртого калача, мошенники провели в Интернете
Сообщение05.04.2020, 17:31 
Заслуженный участник
Аватара пользователя


01/08/06
3131
Уфа
frostysh в сообщении #1451611 писал(а):
Я не понял смысла, зачем для детей карточки с деньгами? Просто не давайте денег и все.
Так я и не даю, это даже не обсуждается! Я оплачиваю счёт их телефона, сам, со своей карточки, никому её не показываю даже.

 Профиль  
                  
 
 Re: Как меня, тёртого калача, мошенники провели в Интернете
Сообщение05.04.2020, 17:39 


21/05/16
4292
Аделаида
worm2 в сообщении #1451587 писал(а):
злоумышленник через СМС-коды получает доступ к личному кабинету клиента ОпСоСа

А это как? Пытается сменить пароль, что ли? Почему же код для сброса пароля тогда на телефон ребенка приходит?

 Профиль  
                  
 
 Re: Как меня, тёртого калача, мошенники провели в Интернете
Сообщение05.04.2020, 17:47 


07/08/14
4231
Если сбер, то могут по ID+социальная инженерия получить полный доступ к счету. Причем код СМС на ваш телефон придет с номера 900 - достаточно его сказать мошеннику и всё.

 Профиль  
                  
 
 Re: Как меня, тёртого калача, мошенники провели в Интернете
Сообщение05.04.2020, 17:49 
Заслуженный участник
Аватара пользователя


01/08/06
3131
Уфа
kotenok gav в сообщении #1451622 писал(а):
А это как? Пытается сменить пароль, что ли? Почему же код для сброса пароля тогда на телефон ребенка приходит?
Ну да. В норме вы входите в личный кабинет, пользуясь паролем, и сам телефон ребёнка вам не нужен. Но в ситуации, когда пароль забыт, нужен физический доступ к телефону. Стандартный путь таков: пароль можно изменить, введя код подтверждения, который присылается СМСкой на номер абонента. Есть ещё вариант: на телефоне набирается USSD-команда, в ответе приходит пароль. В любом варианте, так как телефон физически у ребёнка, то всё проходит мимо вас.

 Профиль  
                  
 
 Re: Как меня, тёртого калача, мошенники провели в Интернете
Сообщение05.04.2020, 18:11 
Аватара пользователя


13/02/18
1070
Україна, село
Aritaborian

Во первых какая же безопасность если все платить наличными? Подойдут и ограбят легко, физически, если все платить наличкой рано или поздно такое случится, хотя наверное вероятность меньше чем как ограбят виртуально. Во вторых, в эру электронных денег все платить наличными просто тупо неудобно нереально причем иногда даже не выгодно, например при оплате наличкой на службах доставки еще надо платить за пересыл денег назад.

worm2

Как вообще можно использовать карту видя токо ее номер? А CVV2-код? Она же на ваш мобильный прицеплена, соответственно вам на телефон должно подтверждение приходить.

 Профиль  
                  
 
 Re: Как меня, тёртого калача, мошенники провели в Интернете
Сообщение05.04.2020, 18:27 


21/05/16
4292
Аделаида
worm2 в сообщении #1451627 писал(а):
Но в ситуации, когда пароль забыт, нужен физический доступ к телефону

Так а почему в качестве проверочного телефона выбран именно телефон ребенка, а не ваш?

 Профиль  
                  
 
 Re: Как меня, тёртого калача, мошенники провели в Интернете
Сообщение05.04.2020, 18:29 
Заслуженный участник


27/04/09
28128
А там вроде никак не укажешь, куда слать пароль — это же не банк какой-нибудь, а сам оператор, и они «логично» могли решить, что ни на какой другой номер слать не нужно. Действительно, в массе случаев это резонно, но вот мы видим теперь, что это резонно лишь как умолчание, тогда как когда я в последний раз заходил в личный кабинет того же ***, я там настройки слать на другой номер не видел.

 Профиль  
                  
 
 Re: Как меня, тёртого калача, мошенники провели в Интернете
Сообщение05.04.2020, 18:37 
Аватара пользователя


11/06/12
10390
стихия.вздох.мюсли
frostysh в сообщении #1451632 писал(а):
Подойдут и ограбят легко
Где как. Меня ни разу не грабили. И, насколько я могу судить, обстановка у нас в городе ну как бы ни разу не грабежательная.
frostysh в сообщении #1451632 писал(а):
Во вторых, в эру электронных денег все платить наличными просто тупо неудобно нереально причем иногда даже не выгодно, например при оплате наличкой на службах доставки еще надо платить за пересыл денег назад.
Тупо неудобно нереально невыгодно это только для вас.

 Профиль  
                  
 
 Re: Как меня, тёртого калача, мошенники провели в Интернете
Сообщение05.04.2020, 19:19 
Аватара пользователя


13/02/18
1070
Україна, село
Aritaborian

А ладно, черт с ним. Может и так, и Вы правы. Но мне идея всюду наличкой все ровно не нравится.

 Профиль  
                  
 
 Re: Как меня, тёртого калача, мошенники провели в Интернете
Сообщение05.04.2020, 19:27 
Аватара пользователя


01/11/14
1906
Principality of Galilee
Aritaborian в сообщении #1451614 писал(а):
Всегда и везде платить наличными.
Это было бы идеально, но...
Aritaborian в сообщении #1451614 писал(а):
В наше время это уже кое-где сложно, а где-то даже считается подозрительным
Это печально, но это так. Недавно был в Швеции, в стольном граде Стокгольме. Так там даже во многих кафешках висят объявления "Наличные не принимаем". Даже за кофе с булочкой какие-то 45 крон (это около 4 евро) не берут, нехристи. Ссылки на то, что ты иностранец, их не волнуют.
А дальше будет только хуже.

 Профиль  
                  
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 76 ]  На страницу 1, 2, 3, 4, 5, 6  След.

Модератор: Модераторы



Кто сейчас на конференции

Сейчас этот форум просматривают: CDDDS, Mikhail_K


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group