27 декабря 2015
Последний раз был на сайте:
25 апреля 2024 в 09:15
-
Патріот України
48 лет, Львів
-
kiraks
Киев
-
Бедный папа
124 года, Крыжополь
-
Алексей Валко
42 года, Киев
-
Valent
Киев
-
viktory2001
18 лет
- 25 марта 2021, 19:13
Чекаєм нових крадіжок з карт ?
Щойно стихла історія з крадіжками коштів з карт ПУМБа та ще кількох банків. Схоже, назріває нова.
Якщо вірити автору, то й контактний номер телефону не рятує.
"На власній сторінці в Інстаграм у сторіс відомий тернопільський бізнесмен, власник видавництва «Заза Принт» і Західноукраїнської книжкової фабрики Артур Карпюк розповів, як шахраї зняли з його рахунків усі гроші ще й відкрили кредит на його ім'я.
«Якимось чином зловмисники заволоділи моїм номер мобільного телефону „Київстар“, який до речі на контракті, отримали смс на мій номер телефону, через який я зараз записую це відео, ввійшли в систему „Мій Київстар“, не зрозуміло як, і включили перереєстрацію на інший номер телефону, зайшли в ситему „Приват 24“, почистили усі мої картки, більше того відкрили ще кредит на 32 тис грн., -відзначив Артур Карпюк»."
Більше тут:
|
30
|
- 09:16 Венеция будет взимать плату за въезд в город
- 09:00 Какую криптовалюту купить после халвинга Биткоина: топ монет с перспективами
- 08:00 Официальный курс: НБУ снова укрепил гривну на 11 копеек
- 24.04.2024
- 20:01 Главное за среду: в США окончательно одобрили помощь Украине, в бюджет поступил транш от ЕС на 1,5 млрд евро
- 19:46 В контексте эмиссии биткоин окончательно стал дефицитнее золота — эксперты
- 17:30 Курс валют на вечер 24 апреля: евро на межбанке вырос на копейку
- 16:18 Инвесторы DOGE покупают эти новые мемные криптовалюты
- 15:52 Объем поступлений наличных денег в кассы банков за январь-март вырос на 4,8%
- 14:33 Binance сожгла почти 2 млн BNB на $1,17 млрд
- 14:13 Tether будет замораживать USDT-адреса, связанные с подсанкционными лицами
Комментарии - 44
Але є ще один нюанс — крім OTP паролю, потрібен ще пароль для входу в Приват 24.
«крім OTP паролю, потрібен ще пароль для входу в Приват 24»
Артур Карпюк не самый простой и рядовой клиент, он владелец издательства и книжной фабрики — поэтому есть большая вероятность, что за ним долго и нудно охотились, получая на клонированный корпоративный номер копии всех смс-сообщений.
Одно время я в своём блоге описывал способ, как узнать номера карт Приватбанка, их баланс и как установить на конкретной карте новый пин-код.
А зная номера карт и их пин-коды без особых проблем можно авторизоваться в Приват24.
«поэтому есть большая вероятность, что за ним долго и нудно охотились, получая на клонированный корпоративный номер копии всех смс-сообщений.» — допустим. Але тоді виникає питання: чому КС не заблокував клон? Вони це відслідковують і блокують досить швидко, наскільки мені відомо.
Не достаточно фактической информации…
Згідний, в ідеалі добре було б так.
Ще б цікаво було дізнатись, власне яку схему вткористовували шахраї.
Кстати, со мной такой финт ушами не пройдет…
Мошенникам кроме «переоформления» номера на контракте надо будет придумать способ завладеть хотя-бы одним из «белых» IP-адресов, прописанных в разделе «безопасность» для ограничения доступа к интернет-банкингу Привата и его мобильному приложению…
А значит, либо обрушить корпоративную сеть предприятия, зазеркалив «белый» IP-адрес в сети другого провайдера (что почти не реально), либо переоформить услугу «выделенный IP-адрес» на одном из контрактных мобильных номеров, не являющихся финансовым, что тоже не такое уже и тривиальное действие…
Так что продолжу спокойно спать по ночам
и не забивать себе голову такими мелочами…
https://kyivstar.ua/uk/mm/news-and-promotions/posluga-statychna-ip-adresa-prypynyaye-svoyu-diyu
Так що йому цей метод захисту недоступний.
А вам солодких снів :).
Казалось бы — мелочь, а довольно удобная. :-)
Ну и многие супер-пупер специалисты даже не способны додуматься до такого простого варианта распределённой защиты своих финансов.
Опять же — не держите все яйца в одной корзине — на финансовый номер нельзя привязывать статический IP-адрес, ведь если мошенник завладеет финансовым номером, то автоматически он получит контроль и над статическим IP-адресом, что не допустимо.
Ничего страшного, надо будет — придумаю ещё варианты…
Так, згідний зі всім сказаним.
«Ну и многие супер-пупер специалисты даже не способны додуматься до такого простого варианта распределённой защиты своих финансов.» — я не супер-пупер спеціаліст, але трохи до чогось додумався :). У мене для фінансових додатків використовується окремий смартфон (двосімочний).Фінансовий номер — від одного оператора, інтернет — від іншого. От, щоправда, статична ІР — адреса у мене не підключена.
Это нужно только для Приват24, а жаль.
Я бы не отказался и по некоторым другим укрбанкам ограничить доступ к их интернет-банкингам с конкретных IP-адресов.
Последнее время как-то часто стали соглашаться со мной.
Это вызывает недоумение…
А може гляньте з іншого боку — можливо просто характер ваших дописів змінився? :)
Якщо серйозно — проти фактів не попреш, прив`язка до ІР є тільки у Привата, і безпека SS7 давно «шкутильгає», про це багато писали і т.д.
Та й взагалі, технічні теми, вони більш нейтральні, і якби правильніше сказати… більш конкретні чи що.
Я не думаю, що у вас був би привід написати такий коментар, якби мова йшла про деяких політичних діячів, чи про діяльність деяких банків.
Але не хочу ці теми зачіпати — ми вели дискусії по них роками, але кожен залишився при своїй думці. Зміст продовжувати? Немає. Хіба, якщо станеться щось неординарне, переломне, таке, що в корені зможе змінити чиєсь переконання.
Зрештою, мені завжди вистарчало сил визнати чиюсь очевидну правоту, як і власну неправоту.
А взагалі -«ребята, давайте жить дружно», як казав персонаж відомого радянського мультфільму…
До речі, щодо прив`язки по IP — річ корисна і дієва, але теж не панацея.
Методів дізнатися чужий ІР існує достатньо. А потім підставити чужий ІР — теж не так вже й складно.
І Вам дякую за інтерес до дискусії і за конструктивне зауваження.
Узнать «белый» IP-адрес конечно не составит никаких проблем.
Присвоить его своему смартфону или ноутбуку — тоже нет проблем, а вот поменять инфу в таблицах роутинга своего интернет-провайдера — очень нетривиальная задача.
Ніяких заперечень і підозр.
Звичка сперечатись і чубитись приводить до того, шо згода здається чимось підозрілим, а підтримка однієї сторони автоматично вважається наїздом на іншу…
Чи не йде до людства епоха деградації на зміну епосі прогресу?
Я зазвичай бачу склянку напівповною, а не напівпорожньою. Та якщо вона стане повністю порожньою, чи лишиться місце для оптимізму?
Відмовлятись від дистанційного банкінгу ніхто не буде — банки немало в це вклали, клієнти до цих зручностей теж звикли.
Шахраї і злодії, на жаль, були, є і навряд чи у найближчий час зникнуть.
Науково-технічний прогрес на місці не стоїть — підвищують рівень своєї «просунутості» як банки, так і шахраї. Колись банки грабували за допомогою пістолета чи вибухівки, підроблених документів, печаток і т.д., зараз — зламуючи канали зв`язку, бази даних і т.д. Тобто, протистояння було і буде тривати завжди, мінятись будуть лише методи в залежності від рівня розвитку технологій. Як кажуть, з одного боку, на будь-яку дірку можна накласти заплатку, з іншого — до будь-якого замка можна придумати відмичку… Десь так…
Влучно сказав ballistic — «вічна боротьба «меча і щита».
Так воно є і принаймні у найближчий час буде. Але прогрес на місці не стоїть і шляху назад немає.
А щодо криптовалют — це взагалі окрема тема, я їх виключно як інструмент для спекуляцій розглядаю, та й то треба бути готовим втратити все у будь-який момент — там ніхто ні за що відповідальності не несе.
«приходить думка, що напевне варто банкам розширювати перелік методів автентифікації»
Огорчает, что банки в полной мере не используют уже существующие методы защиты.
Возьмём, например, недавний кейс воровства денег с карт ПУМБа из приложения Монобанк путём р2р-перевода средств без 3DS-подтверждения…
Если бы Монобанк при каждом пополнении своих карт с карт других банков требовал обязательность подтверждения транзакции тем же 3DS — мошенничество было бы не возможным в принципе…
По факту у Монобанка была логическая дыра в безопасности, которая заключалась в следующем:
— при формировании р2р-перевода с карт других банков вводился действительный номер карты и срок действия карты, а также вводился ошибочный CVV-код.
В результате транзакция не доходила до запроса одноразового пароля и вываливалась на сообщении об ошибочном CVV-коде, но сохранялась в приложении как выполненная и отмечалась, что прошла идентификацию 3DS.
Поэтому повторные транзакции проходили в «облегчённом» варианте — без проверки CVV-кода и без подтверждения 3DS.
Ни Гороховский ни другие представители Монобанка не пожелали признать такой функционал глюком, но дважды в течении трёх суток обновляли приложение Монобанк.
Почему менеджмент Монобанка не желает немного усложнить жизнь своим клиентам, введя обязательность 3DS-подтверждения по подавляющему большинству транзакций, кроме р2р-перевода средств между картами, эмитированными одному клиенту Монобанка.
«Огорчает, что банки в полной мере не используют уже существующие методы защиты.» - засмучує, звичайно, але разом з тим практика показує, що існуючі методи починають себе вичерпувати.
«Если бы Монобанк при каждом пополнении своих карт с карт других банков требовал обязательность подтверждения транзакции тем же 3DS — мошенничество было бы не возможным в принципе…» — та от власне, що стає можливим. Перехопити СМС стало можливим, а далі… як по маслу.
Прийшла в голову версія, що шахраї могли і «ліву» фемтосоту використати.
Як ви на це ?
«шахраї могли і „ліву“ фемтосоту використати.»
Фемтосоты и пикосоты не реально использовать в мошеннических целях, ведь они подключаются по ethernet-порту к базовой станции оператора и админятся централизовано как и базовые станции. Клиентский доступ к админ-панели не предусмотрен.
Более вероятен вариант установки GSM-репитера достаточно близко к месту проживания жертвы мошенничества, особенно если клиент проживает в частном секторе в пригороде.
А уже с GSM-репитера теоретически можно снять получаемые и отправляемые клиентом смс-сообщения без особых технических проблем.
P. S. К сожалению, наше обсуждение мне больше напоминает ликбез — как украсть деньги
с банковских карт и не попасться…
«Клиентский доступ к админ-панели не предусмотрен» ну-у сказали… Багато що не передбачається виробником обладнання чи розробником ПЗ… Тим не менше робиться.
«К сожалению, наше обсуждение мне больше напоминает ликбез — как украсть деньги с банковских карт и не попасться… » — не знаю, чому у вас виникла така асоціація. Мені здається, що знання методів роботи шахраїв може допомогти людям убезпечитись від їх посягань. Та й ми говоримо лише про загальні речі - мова не йде про технічні подробиці як це зробити. «Попереджений — значить озброєний» — так говорять.
Але ви можете запропонувати своє русло обговорення. Зрештою і до участі в дискусії ніхто нікого не змушує.
«Так, вона підключається по ethernet і використовувати може інтернет-канал.»
Повторюсь…
Фемтосоты и пикосоты подключаются по ethernet-порту к базовой станции мобильного оператора, а не в сеть интернет к любому провайдеру…
В своё время я сталкивался с установкой БС мобильного оператора в одном из офисных зданий конторы, а также с установкой Picocell в другом офисном здании для улучшения качества приёма сигнала — там не всё так просто как кажется и однозначно оператор не даёт доступ к установленному оборудованию, даже если Picocell куплена за средства заказчика.
Корпус Б С стоит под сигнализацией и опечатывается, круглосуточный мониторинг фиксирует любое отключение питания или пропадание сигнала и в течении 3−5 минут я получал звонок на мобильный с вопросом «что случилось?».
С Picocell вроде бы проще, но любое вмешательство в её работу протоколируется, а значит круг предполагаемых мошенников сужается до нескольких сотрудников конторы, где официально по договору установлена Picocell.
У мене, на жаль, немає практичного досвіду по роботі з обладнанням мобільного зв`язку. Але зустрічав описи фемтосот, які можуть працювати через інтернет. Як приклад:
https://mobile-review.com/articles/2016/mts-femta-2.shtml
Зверніть увагу:
«для полноценной работы требует подключение к сети Интернет на скорости не менее 1 Мбит/с.»,
«Интегрируется фемтосота в сеть МТС по интернет-каналу»
«зустрічав описи фемтосот, які можуть працювати через інтернет.»
Такое тоже возможно…
Только надо учесть одну мелочь — при подключении фемтосоты через публичную сеть интернет, обычно строиться VPN-тунель между фемтосотой и оборудованием мобильного оператора и всё равно у вас будет отсутствовать как доступ к администрированию фемтосоты так и возможность снятия информации с зашифрованного интернет- трафика…
Фемтосота управляется мобильным оператором дистанционно, даже внесение номера телефона в список разрешённых для подключения к фемтосоте номеров телефонов — прерогатива оператора…
Так что ничем они реально не помогут…
Не маючи досвіду у цій сфері, мені важко стверджувати щось напевне. Але дозволю собі кілька припущень.
Щодо VPN-каналу — погоджусь.
Щодо всього решта:
1. Думаю, що взлом фемтосоти і отримання доступу до адмінпанелі - справа можлива. Здається, колись навіть зустрічалась стаття де про це згадувалось.
Щодо зняття інформації - думаю, що можливим є її отримання після розшифровки, тобто доступ до зашифрованого трафіку і не потрібен.
Повторю, це лише мої припущення.
Щоправда, поза тим стоїть питання — а навіщо морочитись з фемтосотою, якщо використання репітера є ефективнішим і простішим ?
P. S. Знайшов коротеньку замітку про перехоплення GSM трафіку за допомогою фемтосот:
https://vlmi.biz/threads/perexvat-gsm-s-pomoschju-femtosoty.1965/
Ще одна стаття, як фемтосоту у прінтері сховали:
https://itnan.ru/post.php?c=2&p=282162
Наскільки все це реально — важко сказати…
Фемтосоты (англ. Femtocell) украинский Водафон не устанавливает и не подключает к своей сети.
Так что все описанные варианты воровства при помощи фемтосот актуальны ТОЛЬКО для Москвы и других регионов России…
Хоча наш постраждалий — абонент Київстара, але підозрюю, що Київстар і Lifecell роблять так само.
Отже, цей варіант відпадає.
Як воно було насправді - може колись дізнаємось…
https://zaxid.net/ternopilskogo_hakera_pidozryuyut_u_rozrobtsi_naybilshogo_u_sviti_fishingovogo_servisu_n1516496