Как украсть миллион

Поделиться

После того, как я опубликовал прошлую колонку про RBK Money, некто, представившийся как «постоянный читатель» обвинил меня в отзыве, что я «наехал» на RBK Money, «чтобы заметили». Да, полноте! RBK Money и так хорошо заметна, и моя колонка вряд ли сделает ее еще заметнее.

После того, как я опубликовал прошлую колонку про RBK Money, некто, представившийся как «постоянный читатель» обвинил меня в отзыве, что я «наехал» на RBK Money, «чтобы заметили».

Да, полноте!

RBK Money и так хорошо заметна, и моя колонка вряд ли сделает ее еще заметнее.

А вообще то, «постоянный читатель», если он действительно «постоянный», должен знать, что RBK Money далеко не первая система, на которую я «наехал». И не последняя.

Да и не «наехал» вовсе, а «обозначил недостатки и просчеты». Это не наезд, а выполнение журналистского долга. Ведь то, о чем я писал, имеет место быть? Имеет! Можно спорить относительно того, недостаток ли это, просчет ли это, но против существования описанных реалий поспорить нельзя.

Я получил много писем, где оппоненты убеждают меня в том, что снижения безопасности платежных систем, о котором я пишу в последнее время — фикция! Что никакого снижения нет! Что, отказавшись от традиционных «банковских» средств идентификации клиентов в пользу простейших логина-пароля, современные платежные системы не снизили свою безопасность, а всего лишь приблизили к себе пользователей. Что идентификация при помощи пары логин-пароль вполне надежна.

Ну что на это ответить?

А хотите я сейчас прямо у вас на глазах взломаю что-нибудь супернадежное, защищенное только логином и паролем?

Ну конечно не по настоящему взломаю, без криминала, но во вполне реальном демо-режиме.

В качестве основы для «взлома» возьмем самое слабое звено, через которое происходит 99% всех «взломов», а именно — «человеческий фактор».

Тут ведь вот какая загвоздка: когда система защищена одновременно и техническими средствами и «человеческим фактором», то если человеческий фактор сломается, останутся технические средства. А в паре логин-пароль никаких технических средств нет, только голый человеческий фактор.

Итак, располагайтесь поудобнее и смотрите.

Но повторить не пытайтесь. Подобные трюки выполняются лишь профессионалами.

Да, и, кроме того, вам не будут известны тонкости, которые в статье по вполне понятным причинам, не упомянуты.

Для начала выберем объект взлома. Вот, например, Ситибанк кажется мне вполне подходящим кандидатом. И контора серьезная, и изо всех средств защиты интернет а – только логин с паролем.

Когда-то Ситибанк в качестве логина просил ввести номер карты, а в качестве пароля – ее пин-код. Потом спохватился и отказался от этой практики. Думал, что так поднял безопасность. Наивный!

Теперь выберем метод взлома. Возьмем самый простой и доступный – фишинг. Он неоднократно и подробно описывался в тысячах публикаций. Но, как показывает практика, специалисты служб безопасности банков и платежных систем таких публикаций не читают.

Теперь о человеческом факторе.

Человеку, как известно, свойственно ошибаться. Вот набирает он доменное имя в строке браузера, да и, нет-нет, ошибется. То буковку пропустит, то поменяет местами соседние буквы слова. То промахнется и пальчиком на клавиатуре не по той буковке шлепнет. Очень часто, например, вместо I бьют по O. Или вместо E по A.

А это ой как не безопасно для банка! Представьте, что будет, если злоумышленник на таком ошибочном домене разместит точную копию настоящего сайта банка. Какие возможности для жульничества открываются, аж голова кругом идет!

Поэтому все по фишингу рекомендуют в целях безопасности регистрировать вместе со своим доменным именем все «похожие» имена. Чтобы хакерам не достались.

Проверяем, как обстоят дела с этим у русского Ситибанка.

citibnk.ru – свободно

citibnak.ru – свободно

citibakn.ru – свободно

cotibank.ru – свободно

Как хорошо, что это заметил я, а не хакеры. А потому, дабы ни у кого из читателей не возникло соблазна проделать то, о чем я напишу дальше, я эти домены сейчас займу.

То есть, как честный человек и добросовестный гражданин, я выполню ту работу, которую должна была выполнить служба безопасности банка, но по каким-то причинам не выполнила.

А вот если бы я был нечестным человеком, я бы проделал следующее.

На каждом из этих доменов я бы разместил точную копию сайта Ситибанка. Клиенты, которые ошиблись в наборе домена, и думали бы что попали на настоящий сайт Ситибанка, вводили бы у меня свои логины и пароли для онлайнового банкинга. Мое программное обеспечение запоминало бы эти логин с паролем, после чего посетители перенаправлялись бы на настоящий сайт Ситибанка, на страницу с сообщением об ошибке при вводе пароля. Клиент указывал бы логин и пароль заново, и попадал бы уже в настоящий банкинг Ситибанка. Все выглядело бы вполне естественно, и никаких подозрений у клиента не возникло бы.

Сперев таким образом достаточное количество клиентских логинов и паролей, я бы не спеша прогулялся по клиентским счетами и выбрал относительно небольшое количество тех, где лежат крупные суммы. Часть этих крупных сумм я бы, с соблюдением некоторых мер предосторожности, перевел бы куда-нибудь в такое место, которое вроде как не существует для мировой фемиды, но, в то же время, обладает вполне реальными банками, включенными в мировую банковскую систему. Ну, скажем, куда-нибудь в Турецкое Государство Северного Кипра. Потом бы на эти деньги безналично купил бы каких-нибудь ликвидных ценных бумаг или облигаций на предъявителя. И уже потом анонимно обратил бы их в деньги.

Да, чуть не забыл.

Все бы это я проделал, выехав предварительно в какую-нибудь южную густонаселенную страну и, выйдя в Интернет с украденного мобильника с чужой симкой, который можно без особых проблем купить в любой точке мира.

Вот вам и логин с паролем…

Что говорите? Платежные пароли?

Многие системы, и RBK Money в том числе, просят ввести для подтверждения транз дополнительный «платежный» пароль, отличный от «входного»? И его таким образом не украдешь?

Да полноте!

Хотите узнать как это сделать?

Ask me how!

Disclaimer. Для тех, кто захочет обвинить меня в том, что я учу ломать банки, сообщаю, что вся опубликованная информация получена из открытых источников. В частности, с сайта самого Ситибанка.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь

Похожие обзоры

ЭПС и SMS

Мы уже привыкли к тому, что российские IT-компании с...

Преступность в интернете стала вполне реальной

Преступность в интернете стала вполне реальной. Румынских интернет-хулиганов малолеток...

Электронная торговля в 2007: ОТРАСЛИ

Для этого обзора мы выбрали сегменты интернет-розницы, в которых,...

Почему Нью-Йорк? Или азы биржевой торговли

Задача трейдера – извлечь деньги из окружающей среды. Практически...

У Mail.ru появится двойник в украинском Интернете – под доменом Mail.ua будет расположен новый почтовый сервис

По словам А. Ольшанского, президента компании "Интернет Консалтинг Групп",...

Рынок терминальных платежей: Банки готовы занять место агентов

Возникшее осенью 2007 года противостояние участников рынка мгновенных платежей...
spot_img