Минфин - Курсы валют Украины

Установить
kingcity
Зарегистрирован:
27 декабря 2015

Последний раз был на сайте:
17 августа 2022 в 00:56
kingcity — "Будь собою, інші ролі зайняті" – Оскар Уайльд
принциповий тунеядець
25 марта 2021, 19:13

Чекаєм нових крадіжок з карт ?

Щойно стихла історія з крадіжками коштів з карт ПУМБа та ще кількох банків. Схоже, назріває нова.

Якщо вірити автору, то й контактний номер телефону не рятує.

"На власній сторінці в Інстаграм у сторіс відомий тернопільський бізнесмен, власник видавництва «Заза Принт» і Західноукраїнської книжкової фабрики Артур Карпюк розповів, як шахраї зняли з його рахунків усі гроші ще й відкрили кредит на його ім'я.

«Якимось чином зловмисники заволоділи моїм номер мобільного телефону „Київстар“, який до речі на контракті, отримали смс на мій номер телефону, через який я зараз записую це відео, ввійшли в систему „Мій Київстар“, не зрозуміло як, і включили перереєстрацію на інший номер телефону, зайшли в ситему „Приват 24“, почистили усі мої картки, більше того відкрили ще кредит на 32 тис грн., -відзначив Артур Карпюк»."

Більше тут:

https://ternopoliany.te.ua/zhittya/56803-znialy-vsi-hroshi-i-vidkryly-kredyt-kyivstar-ta-pryvatbank-pochystyly-ternopilskoho-biznesmena-na-kruhlenku-sumu-video#

Просмотров: 311, сегодня — 0
Следить за новыми комментариями

Комментарии - 44

+
+15
Rebel
Rebel
25 марта 2021, 20:40
#
Потрібне незалежне розслідування і висновки.
+
0
kingcity
kingcity
25 марта 2021, 21:21
#
Безперечно
+
+15
Qwerty1999
Qwerty1999
25 марта 2021, 20:48
#
Уязвимость протокола сотовых сетей ОКС-7 (SS7) даёт возможность мошенникам перехватывать и перенаправлять текстовые сообщения на свои мобильные устройства, что позволяет получать ОТР-пароли для входа в интернет-банкинги и для подтверждения проводимых транзакций.
+
0
kingcity
kingcity
25 марта 2021, 21:24
#
Є таке. Навіть і самому не обов`язково в SS7 ломатись — доступ в даркнеті купити можна.

Але є ще один нюанс — крім OTP паролю, потрібен ще пароль для входу в Приват 24.
+
0
Qwerty1999
Qwerty1999
25 марта 2021, 21:47
#
Kingcity
«крім OTP паролю, потрібен ще пароль для входу в Приват 24»

Артур Карпюк не самый простой и рядовой клиент, он владелец издательства и книжной фабрики — поэтому есть большая вероятность, что за ним долго и нудно охотились, получая на клонированный корпоративный номер копии всех смс-сообщений.

Одно время я в своём блоге описывал способ, как узнать номера карт Приватбанка, их баланс и как установить на конкретной карте новый пин-код.
А зная номера карт и их пин-коды без особых проблем можно авторизоваться в Приват24.
+
0
kingcity
kingcity
25 марта 2021, 21:54
#
Qwerty1999

«поэтому есть большая вероятность, что за ним долго и нудно охотились, получая на клонированный корпоративный номер копии всех смс-сообщений.» — допустим. Але тоді виникає питання: чому КС не заблокував клон? Вони це відслідковують і блокують досить швидко, наскільки мені відомо.
+
0
Qwerty1999
Qwerty1999
25 марта 2021, 21:59
#
Вопросов больше чем ответов…

Не достаточно фактической информации…

+
0
kingcity
kingcity
25 марта 2021, 22:07
#
Ну що ж, зачекаєм — може ще якісь факти випливуть…
+
+15
akapello
akapello
26 марта 2021, 12:15
#
Краще б виплила інформація про те, що інцидент розслідувано, заходи здійснено, схему унеможливлено.
+
0
kingcity
kingcity
26 марта 2021, 14:07
#
akapello

Згідний, в ідеалі добре було б так.
Ще б цікаво було дізнатись, власне яку схему вткористовували шахраї.
+
+15
Qwerty1999
Qwerty1999
25 марта 2021, 21:14
#
Kingcity

Кстати, со мной такой финт ушами не пройдет…

Мошенникам кроме «переоформления» номера на контракте надо будет придумать способ завладеть хотя-бы одним из «белых» IP-адресов, прописанных в разделе «безопасность» для ограничения доступа к интернет-банкингу Привата и его мобильному приложению…
А значит, либо обрушить корпоративную сеть предприятия, зазеркалив «белый» IP-адрес в сети другого провайдера (что почти не реально), либо переоформить услугу «выделенный IP-адрес» на одном из контрактных мобильных номеров, не являющихся финансовым, что тоже не такое уже и тривиальное действие…

Так что продолжу спокойно спать по ночам
и не забивать себе голову такими мелочами…
+
0
kingcity
kingcity
25 марта 2021, 21:34
#
Наш постраждалий абонент Київстара, а Київстар більше не надає послугу «Статична IP адреса» для абонентів мобільного зв`язку:

https://kyivstar.ua/uk/mm/news-and-promotions/posluga-statychna-ip-adresa-prypynyaye-svoyu-diyu

Так що йому цей метод захисту недоступний.

А вам солодких снів :).
+
0
Qwerty1999
Qwerty1999
25 марта 2021, 21:49
#
Никто не запрещает регистрировать финансовый номер на контракте на Киевстаре, а статический IP-адрес заказывать для контрактного номера Водафона — благо на многих смартфонах есть возможность использования двух сим-карт.

Казалось бы — мелочь, а довольно удобная. :-)
Ну и многие супер-пупер специалисты даже не способны додуматься до такого простого варианта распределённой защиты своих финансов.

Опять же — не держите все яйца в одной корзине — на финансовый номер нельзя привязывать статический IP-адрес, ведь если мошенник завладеет финансовым номером, то автоматически он получит контроль и над статическим IP-адресом, что не допустимо.
+
0
Qwerty1999
Qwerty1999
25 марта 2021, 22:01
#
На ровном месте «сдал» ещё один мложно определяемый и также сложно ломаемый вариант защиты…

Ничего страшного, надо будет — придумаю ещё варианты…
+
+11
kingcity
kingcity
25 марта 2021, 22:05
#
Qwerty1999

Так, згідний зі всім сказаним.

«Ну и многие супер-пупер специалисты даже не способны додуматься до такого простого варианта распределённой защиты своих финансов.» — я не супер-пупер спеціаліст, але трохи до чогось додумався :). У мене для фінансових додатків використовується окремий смартфон (двосімочний).Фінансовий номер — від одного оператора, інтернет — від іншого. От, щоправда, статична ІР — адреса у мене не підключена.
+
0
Qwerty1999
Qwerty1999
25 марта 2021, 22:18
#
«статична ІР — адреса у мене не підключена.»

Это нужно только для Приват24, а жаль.
Я бы не отказался и по некоторым другим укрбанкам ограничить доступ к их интернет-банкингам с конкретных IP-адресов.
+
0
kingcity
kingcity
25 марта 2021, 22:39
#
І тут погоджусь. На жаль, в жодному іншому інтернет-банкінгу такої можливості немає (принаймні, я не зустрічав). А варто було би її реалізувати. Дієва штука.
+
+11
Qwerty1999
Qwerty1999
26 марта 2021, 7:18
#
Kingcity

Последнее время как-то часто стали соглашаться со мной.
Это вызывает недоумение…
+
+30
akapello
akapello
26 марта 2021, 12:13
#
Для «статичних» користувачів, якім нема чого додати до ваших повідомлень, набагато корисніше, коли ви один одного доповнюєте, а не намагаєтеся довести, хто «правільніший». Дякую вам обом за цю дискусію.
+
+15
kingcity
kingcity
26 марта 2021, 12:24
#
Видно, спокій не для вас — баталій вам не вистарчає :)
А може гляньте з іншого боку — можливо просто характер ваших дописів змінився? :)
Якщо серйозно — проти фактів не попреш, прив`язка до ІР є тільки у Привата, і безпека SS7 давно «шкутильгає», про це багато писали і т.д.
Та й взагалі, технічні теми, вони більш нейтральні, і якби правильніше сказати… більш конкретні чи що.
Я не думаю, що у вас був би привід написати такий коментар, якби мова йшла про деяких політичних діячів, чи про діяльність деяких банків.
Але не хочу ці теми зачіпати — ми вели дискусії по них роками, але кожен залишився при своїй думці. Зміст продовжувати? Немає. Хіба, якщо станеться щось неординарне, переломне, таке, що в корені зможе змінити чиєсь переконання.
Зрештою, мені завжди вистарчало сил визнати чиюсь очевидну правоту, як і власну неправоту.

А взагалі -«ребята, давайте жить дружно», як казав персонаж відомого радянського мультфільму…
+
0
kingcity
kingcity
26 марта 2021, 12:28
#
Qwerty1999

До речі, щодо прив`язки по IP — річ корисна і дієва, але теж не панацея.

Методів дізнатися чужий ІР існує достатньо. А потім підставити чужий ІР — теж не так вже й складно.
+
0
ballistic
ballistic
26 марта 2021, 12:54
#
Кверті, я теж з вами тут згоден :)
+
0
kingcity
kingcity
26 марта 2021, 13:04
#
ballistic, згідні з чим — моя поведінка видається вам підозрілою? :))
+
+11
kingcity
kingcity
26 марта 2021, 13:05
#
akapello

І Вам дякую за інтерес до дискусії і за конструктивне зауваження.
+
0
Qwerty1999
Qwerty1999
26 марта 2021, 13:26
#
Kingcity

Узнать «белый» IP-адрес конечно не составит никаких проблем.
Присвоить его своему смартфону или ноутбуку — тоже нет проблем, а вот поменять инфу в таблицах роутинга своего интернет-провайдера — очень нетривиальная задача.
+
0
ballistic
ballistic
26 марта 2021, 13:27
#
Kingcity, з вами я теж згоден :)
Ніяких заперечень і підозр.

Звичка сперечатись і чубитись приводить до того, шо згода здається чимось підозрілим, а підтримка однієї сторони автоматично вважається наїздом на іншу…
+
0
akapello
akapello
26 марта 2021, 12:29
#
Здається, ми підступаємося до тої критичної межі, коли «просунутість» шахраїв призведе до необхідності повної відмови від дистанційного банкінгу. А користування криптовалютою може стати вдвічі (вдесятеро?) небезпечнішим. Адже, по ній навіть немає жодних матеріальних слідів типу написаних від руки або надрукованих на принтері облікових карток.
Чи не йде до людства епоха деградації на зміну епосі прогресу?
Я зазвичай бачу склянку напівповною, а не напівпорожньою. Та якщо вона стане повністю порожньою, чи лишиться місце для оптимізму?
+
+11
Rebel
Rebel
26 марта 2021, 12:30
#
Не йде. Звичайні ексцеси в період технологічного зламу.
+
+11
ballistic
ballistic
26 марта 2021, 12:53
#
Це вічна боротьба «меча і щита». Технології вдосконалюються з обох сторін, тому якщо виникають перекоси, то вони вирівнюються, що приводить до рівноваги
+
+11
kingcity
kingcity
26 марта 2021, 13:01
#
Я тут бідьше погоджусь з Rebel.

Відмовлятись від дистанційного банкінгу ніхто не буде — банки немало в це вклали, клієнти до цих зручностей теж звикли.
Шахраї і злодії, на жаль, були, є і навряд чи у найближчий час зникнуть.
Науково-технічний прогрес на місці не стоїть — підвищують рівень своєї «просунутості» як банки, так і шахраї. Колись банки грабували за допомогою пістолета чи вибухівки, підроблених документів, печаток і т.д., зараз — зламуючи канали зв`язку, бази даних і т.д. Тобто, протистояння було і буде тривати завжди, мінятись будуть лише методи в залежності від рівня розвитку технологій. Як кажуть, з одного боку, на будь-яку дірку можна накласти заплатку, з іншого — до будь-якого замка можна придумати відмичку… Десь так…
+
+26
kingcity
kingcity
26 марта 2021, 14:00
#
Додам.
Влучно сказав ballistic — «вічна боротьба «меча і щита».
Так воно є і принаймні у найближчий час буде. Але прогрес на місці не стоїть і шляху назад немає.

А щодо криптовалют — це взагалі окрема тема, я їх виключно як інструмент для спекуляцій розглядаю, та й то треба бути готовим втратити все у будь-який момент — там ніхто ні за що відповідальності не несе.
+
+11
kingcity
kingcity
26 марта 2021, 12:30
#
Взагалі, приходить думка, що напевне варто банкам розширювати перелік методів автентифікації - наприклад Google Authenticator використовувати.
+
+11
Qwerty1999
Qwerty1999
26 марта 2021, 16:53
#
kingcity
«приходить думка, що напевне варто банкам розширювати перелік методів автентифікації»


Огорчает, что банки в полной мере не используют уже существующие методы защиты.

Возьмём, например, недавний кейс воровства денег с карт ПУМБа из приложения Монобанк путём р2р-перевода средств без 3DS-подтверждения…

Если бы Монобанк при каждом пополнении своих карт с карт других банков требовал обязательность подтверждения транзакции тем же 3DS — мошенничество было бы не возможным в принципе…

По факту у Монобанка была логическая дыра в безопасности, которая заключалась в следующем:
— при формировании р2р-перевода с карт других банков вводился действительный номер карты и срок действия карты, а также вводился ошибочный CVV-код.
В результате транзакция не доходила до запроса одноразового пароля и вываливалась на сообщении об ошибочном CVV-коде, но сохранялась в приложении как выполненная и отмечалась, что прошла идентификацию 3DS.
Поэтому повторные транзакции проходили в «облегчённом» варианте — без проверки CVV-кода и без подтверждения 3DS.

Ни Гороховский ни другие представители Монобанка не пожелали признать такой функционал глюком, но дважды в течении трёх суток обновляли приложение Монобанк.

Почему менеджмент Монобанка не желает немного усложнить жизнь своим клиентам, введя обязательность 3DS-подтверждения по подавляющему большинству транзакций, кроме р2р-перевода средств между картами, эмитированными одному клиенту Монобанка.
+
+11
kingcity
kingcity
26 марта 2021, 17:57
#
Qwerty1999

«Огорчает, что банки в полной мере не используют уже существующие методы защиты.» - засмучує, звичайно, але разом з тим практика показує, що існуючі методи починають себе вичерпувати.

«Если бы Монобанк при каждом пополнении своих карт с карт других банков требовал обязательность подтверждения транзакции тем же 3DS — мошенничество было бы не возможным в принципе…» — та от власне, що стає можливим. Перехопити СМС стало можливим, а далі… як по маслу.
+
0
kingcity
kingcity
26 марта 2021, 14:04
#
Qwerty1999

Прийшла в голову версія, що шахраї могли і «ліву» фемтосоту використати.
Як ви на це ?
+
0
Qwerty1999
Qwerty1999
26 марта 2021, 16:30
#
kingcity
«шахраї могли і „ліву“ фемтосоту використати


Фемтосоты и пикосоты не реально использовать в мошеннических целях, ведь они подключаются по ethernet-порту к базовой станции оператора и админятся централизовано как и базовые станции. Клиентский доступ к админ-панели не предусмотрен.

Более вероятен вариант установки GSM-репитера достаточно близко к месту проживания жертвы мошенничества, особенно если клиент проживает в частном секторе в пригороде.
А уже с GSM-репитера теоретически можно снять получаемые и отправляемые клиентом смс-сообщения без особых технических проблем.

P. S. К сожалению, наше обсуждение мне больше напоминает ликбез — как украсть деньги
с банковских карт и не попасться…
+
+11
kingcity
kingcity
26 марта 2021, 18:23
#
Так, варіант репітера більш логічний, чомусь я за нього забув. Але і фемтосоту повністю скидати з рахунку не варто — імовірність її використання теж є. Так, вона підключається по ethernet і використовувати може інтернет-канал. Розміри невеликі, можна сховати десь у під`їзді, «ліве» підключення до обладнання якогось провайдера (з тих, шр надають послуги мешканцям будинку) — питання вирішуване.
«Клиентский доступ к админ-панели не предусмотрен» ну-у сказали… Багато що не передбачається виробником обладнання чи розробником ПЗ… Тим не менше робиться.
«К сожалению, наше обсуждение мне больше напоминает ликбез — как украсть деньги с банковских карт и не попасться… » — не знаю, чому у вас виникла така асоціація. Мені здається, що знання методів роботи шахраїв може допомогти людям убезпечитись від їх посягань. Та й ми говоримо лише про загальні речі - мова не йде про технічні подробиці як це зробити. «Попереджений — значить озброєний» — так говорять.
Але ви можете запропонувати своє русло обговорення. Зрештою і до участі в дискусії ніхто нікого не змушує.
+
0
Qwerty1999
Qwerty1999
26 марта 2021, 20:51
#
kingcity
«Так, вона підключається по ethernet і використовувати може інтернет-канал.»

Повторюсь…

Фемтосоты и пикосоты подключаются по ethernet-порту к базовой станции мобильного оператора, а не в сеть интернет к любому провайдеру…

В своё время я сталкивался с установкой БС мобильного оператора в одном из офисных зданий конторы, а также с установкой Picocell в другом офисном здании для улучшения качества приёма сигнала — там не всё так просто как кажется и однозначно оператор не даёт доступ к установленному оборудованию, даже если Picocell куплена за средства заказчика.
Корпус Б С стоит под сигнализацией и опечатывается, круглосуточный мониторинг фиксирует любое отключение питания или пропадание сигнала и в течении 3−5 минут я получал звонок на мобильный с вопросом «что случилось?».
С Picocell вроде бы проще, но любое вмешательство в её работу протоколируется, а значит круг предполагаемых мошенников сужается до нескольких сотрудников конторы, где официально по договору установлена Picocell.

+
0
kingcity
kingcity
26 марта 2021, 22:37
#
Qwerty1999

У мене, на жаль, немає практичного досвіду по роботі з обладнанням мобільного зв`язку. Але зустрічав описи фемтосот, які можуть працювати через інтернет. Як приклад:

https://mobile-review.com/articles/2016/mts-femta-2.shtml

Зверніть увагу:

«для полноценной работы требует подключение к сети Интернет на скорости не менее 1 Мбит/с.»,

«Интегрируется фемтосота в сеть МТС по интернет-каналу»
+
0
Qwerty1999
Qwerty1999
26 марта 2021, 23:16
#
Kingcity
«зустрічав описи фемтосот, які можуть працювати через інтернет.»

Такое тоже возможно…

Только надо учесть одну мелочь — при подключении фемтосоты через публичную сеть интернет, обычно строиться VPN-тунель между фемтосотой и оборудованием мобильного оператора и всё равно у вас будет отсутствовать как доступ к администрированию фемтосоты так и возможность снятия информации с зашифрованного интернет- трафика…

Фемтосота управляется мобильным оператором дистанционно, даже внесение номера телефона в список разрешённых для подключения к фемтосоте номеров телефонов — прерогатива оператора…
Так что ничем они реально не помогут…
+
0
kingcity
kingcity
27 марта 2021, 1:07
#
Qwerty1999

Не маючи досвіду у цій сфері, мені важко стверджувати щось напевне. Але дозволю собі кілька припущень.

Щодо VPN-каналу — погоджусь.
Щодо всього решта:

1. Думаю, що взлом фемтосоти і отримання доступу до адмінпанелі - справа можлива. Здається, колись навіть зустрічалась стаття де про це згадувалось.

Щодо зняття інформації - думаю, що можливим є її отримання після розшифровки, тобто доступ до зашифрованого трафіку і не потрібен.

Повторю, це лише мої припущення.

Щоправда, поза тим стоїть питання — а навіщо морочитись з фемтосотою, якщо використання репітера є ефективнішим і простішим ?

P. S. Знайшов коротеньку замітку про перехоплення GSM трафіку за допомогою фемтосот:

https://vlmi.biz/threads/perexvat-gsm-s-pomoschju-femtosoty.1965/

Ще одна стаття, як фемтосоту у прінтері сховали:

https://itnan.ru/post.php?c=2&p=282162

​​​​​​​Наскільки все це реально — важко сказати…
+
+15
Qwerty1999
Qwerty1999
29 марта 2021, 16:17
#
Последнее общение с инженерами Водафона по вопросу установки дополнительного оборудования для улучшения качества приёма сигнала было осенью 2019 года — тогда Водафон устанавливал ТОЛЬКО Picocell (пикосоты) с обязательным прямым подключением к оборудованию компании (без построения ВПН-туннелей через публичный интернет).

Фемтосоты (англ. Femtocell) украинский Водафон не устанавливает и не подключает к своей сети.
Так что все описанные варианты воровства при помощи фемтосот актуальны ТОЛЬКО для Москвы и других регионов России…
+
+15
kingcity
kingcity
29 марта 2021, 16:40
#
Дякую за цікаву інформацію, я цього не знав.
Хоча наш постраждалий — абонент Київстара, але підозрюю, що Київстар і Lifecell роблять так само.
Отже, цей варіант відпадає.
Як воно було насправді - може колись дізнаємось…




+
0
kingcity
kingcity
29 марта 2021, 11:55
#
До теми: не перевелись ще таланти на зеилі нашій. Їхні би вміння та навики у правильне русло:

https://zaxid.net/ternopilskogo_hakera_pidozryuyut_u_rozrobtsi_naybilshogo_u_sviti_fishingovogo_servisu_n1516496
Чтобы оставить комментарий, нужно войти или зарегистрироваться