Мошенничества, обман, спам и пиратство в интернете. Логотип BezObmana.Com

Мошенничества, обман, спам и пиратство
Статьи о мошенничестве, обмане, спаме, пиратстве и электронной коммерции

  Главная   Статьи   Новости   Поиск   О проекте   Контакт   Карта сайта
 
СТАТЬИ ОБ ЭЛЕКТРОННОЙ КОММЕРЦИИ

Как пользователи делают вашу рекламу

Пятый клик фальшивый

Разрыв шаблона, или Дело о похищенном сервере

В деле нижегородских кардеров доказано 394 эпизода

wwwиртуальная афера

Биржевые роботы: циничные и коварные

Машинный король

Перечень предметов запрещённых к ввозу в определённые страны мира

Мечты и страхи начинающего биржевого спекулянта

Что такое стартап?





Для сотрудничества по размещению рекламных материалов у нас на сайте предлагаем вам связаться с нами с помощью e-mail(а) указанного на странице "Контакты". Кроме того вы можете связаться с нами случае заинтересованности в тематическом обмене ссылками с нами или для любых других вариантов сотрудничества или взаимного обмена рекламой с нашим ресурсом.


Нам интересны также предложения размещению рекламных материалов на паритетной основе, как на специально выделенных для этого страницах так и на главной странице нашего проекта.

Мошенничества, обман, спам и пиратство в интернете. Предыдущая страница предыдущая страница

Как украсть миллион

После того, как я опубликовал прошлую колонку про RBK Money, некто, представившийся как "постоянный читатель" обвинил меня в отзыве, что я "наехал" на RBK Money, "чтобы заметили". Да, полноте! RBK Money и так хорошо заметна, и моя колонка вряд ли сделает ее еще заметнее.

После того, как я опубликовал прошлую колонку про RBK Money, некто, представившийся как "постоянный читатель" обвинил меня в отзыве, что я "наехал" на RBK Money, "чтобы заметили".

Да, полноте!

RBK Money и так хорошо заметна, и моя колонка вряд ли сделает ее еще заметнее.

А вообще то, "постоянный читатель", если он действительно "постоянный", должен знать, что RBK Money далеко не первая система, на которую я "наехал". И не последняя.

Да и не "наехал" вовсе, а "обозначил недостатки и просчеты". Это не наезд, а выполнение журналистского долга. Ведь то, о чем я писал, имеет место быть? Имеет! Можно спорить относительно того, недостаток ли это, просчет ли это, но против существования описанных реалий поспорить нельзя.

Я получил много писем, где оппоненты убеждают меня в том, что снижения безопасности платежных систем, о котором я пишу в последнее время - фикция! Что никакого снижения нет! Что, отказавшись от традиционных "банковских" средств идентификации клиентов в пользу простейших логина-пароля, современные платежные системы не снизили свою безопасность, а всего лишь приблизили к себе пользователей. Что идентификация при помощи пары логин-пароль вполне надежна.

Ну что на это ответить?

А хотите я сейчас прямо у вас на глазах взломаю что-нибудь супернадежное, защищенное только логином и паролем?

Ну конечно не по настоящему взломаю, без криминала, но во вполне реальном демо-режиме.

В качестве основы для "взлома" возьмем самое слабое звено, через которое происходит 99% всех "взломов", а именно - "человеческий фактор".

Тут ведь вот какая загвоздка: когда система защищена одновременно и техническими средствами и "человеческим фактором", то если человеческий фактор сломается, останутся технические средства. А в паре логин-пароль никаких технических средств нет, только голый человеческий фактор.

Итак, располагайтесь поудобнее и смотрите.

Но повторить не пытайтесь. Подобные трюки выполняются лишь профессионалами.

Да, и, кроме того, вам не будут известны тонкости, которые в статье по вполне понятным причинам, не упомянуты.

Для начала выберем объект взлома. Вот, например, Ситибанк кажется мне вполне подходящим кандидатом. И контора серьезная, и изо всех средств защиты интернет банкинга – только логин с паролем.

Когда-то Ситибанк в качестве логина просил ввести номер карты, а в качестве пароля – ее пин-код. Потом спохватился и отказался от этой практики. Думал, что так поднял безопасность. Наивный!

Теперь выберем метод взлома. Возьмем самый простой и доступный – фишинг. Он неоднократно и подробно описывался в тысячах публикаций. Но, как показывает практика, специалисты служб безопасности банков и платежных систем таких публикаций не читают.
Теперь о человеческом факторе.

Человеку, как известно, свойственно ошибаться. Вот набирает он доменное имя в строке браузера, да и, нет-нет, ошибется. То буковку пропустит, то поменяет местами соседние буквы слова. То промахнется и пальчиком на клавиатуре не по той буковке шлепнет. Очень часто, например, вместо I бьют по O. Или вместо E по A.

А это ой как не безопасно для банка! Представьте, что будет, если злоумышленник на таком ошибочном домене разместит точную копию настоящего сайта банка. Какие возможности для жульничества открываются, аж голова кругом идет!

Поэтому все статьи по фишингу рекомендуют в целях безопасности регистрировать вместе со своим доменным именем все "похожие" имена. Чтобы хакерам не достались.

Проверяем, как обстоят дела с этим у русского Ситибанка.

citibnk.ru – свободно
citibnak.ru – свободно
citibakn.ru – свободно
cotibank.ru – свободно

Как хорошо, что это заметил я, а не хакеры. А потому, дабы ни у кого из читателей не возникло соблазна проделать то, о чем я напишу дальше, я эти домены сейчас займу.

То есть, как честный человек и добросовестный гражданин, я выполню ту работу, которую должна была выполнить служба безопасности банка, но по каким-то причинам не выполнила.

А вот если бы я был нечестным человеком, я бы проделал следующее.

На каждом из этих доменов я бы разместил точную копию сайта Ситибанка. Клиенты, которые ошиблись в наборе домена, и думали бы что попали на настоящий сайт Ситибанка, вводили бы у меня свои логины и пароли для онлайнового банкинга. Мое программное обеспечение запоминало бы эти логин с паролем, после чего посетители перенаправлялись бы на настоящий сайт Ситибанка, на страницу с сообщением об ошибке при вводе пароля. Клиент указывал бы логин и пароль заново, и попадал бы уже в настоящий банкинг Ситибанка. Все выглядело бы вполне естественно, и никаких подозрений у клиента не возникло бы.

Сперев таким образом достаточное количество клиентских логинов и паролей, я бы не спеша прогулялся по клиентским счетами и выбрал относительно небольшое количество тех, где лежат крупные суммы. Часть этих крупных сумм я бы, с соблюдением некоторых мер предосторожности, перевел бы куда-нибудь в такое место, которое вроде как не существует для мировой фемиды, но, в то же время, обладает вполне реальными банками, включенными в мировую банковскую систему. Ну, скажем, куда-нибудь в Турецкое Государство Северного Кипра. Потом бы на эти деньги безналично купил бы каких-нибудь ликвидных ценных бумаг или облигаций на предъявителя. И уже потом анонимно обратил бы их в деньги.

Да, чуть не забыл.

Все бы это я проделал, выехав предварительно в какую-нибудь южную густонаселенную страну и, выйдя в Интернет с украденного мобильника с чужой симкой, который можно без особых проблем купить в любой точке мира.

Вот вам и логин с паролем...

Что говорите? Платежные пароли?

Многие системы, и RBK Money в том числе, просят ввести для подтверждения транзакции дополнительный "платежный" пароль, отличный от "входного"? И его таким образом не украдешь?

Да полноте!

Хотите узнать как это сделать?

Ask me how!

Disclaimer. Для тех, кто захочет обвинить меня в том, что я учу ломать банки, сообщаю, что вся опубликованная информация получена из открытых источников. В частности, с сайта самого Ситибанка.

http://www.moneynews.ru

Мошенничества, обман, спам и пиратство в интернете. Предыдущая статья  Предыдущая статьяСледующая статья  Мошенничества, обман, спам и пиратство в интернете. Следующая статья
Мошенничества, обман, спам и пиратство в интернете. Информационная часть

Ещё 5 статей на тему "Разное о электронной коммерции"


Юлия Богданова, ”Венчурная фабрика”: ”Один из десяти венчуров становится успешным”

Почему Нью-Йорк? Или азы биржевой торговли

В чем заключается основное преимущество работы в интернете

Как начать свой бизнес в интернете

Что ждет социальные сети?

Все статьи на эту тему ...



Комментарии к статье: " Как украсть миллион"


Ваше имя:


Комментарий:


Введите код изображенный на картинке:
 



  Rambler's Top100