[image]

Хакеры и взломы...

 
1 4 5 6 7 8 16

Voennich

аксакал

U235> С подменой платежки? Элементарно. Ты сам все введешь :)
Взлом приложений?
Т.е. не разовое использование дыры в ПК + невнимательности юзера, а именно взлом с возможностью дальнейшего использования без юзера.
?
   51.0.2704.8451.0.2704.84

Voennich

аксакал

ahs> А VPN разве запрещает терминальный доступ? Просто ещё один этап защиты от подмены сертификатов, адресации и т.д.
а зачем там именно VPN, какой нибудь контроллирующий публикацию терминала сервис и всё.

ahs> Аналогично. Доступ к почте из браузера всегда предусмотрен и всегда менее удобен, чем клиент. Почту, кстати, во всех знакомых конторах в итоге сделали без токенов - на волне выдачи корпоративных смартфонов и планшетов.
Опыт показывает, что как только народу закручивают безопасность до уровня "неудобный" они в собственных коммуникациях начинают использовать какой нибудь yandex / google и только для начальства пишут письма через корп.
В т.ч. всякие консультанты из Биг4
   51.0.2704.8451.0.2704.84
+
-
edit
 

U235

координатор
★★★★★
Voennich> Взлом приложений?
Voennich> Т.е. не разовое использование дыры в ПК + невнимательности юзера, а именно взлом с возможностью дальнейшего использования без юзера.
Voennich> ?

Какая-то странная у тебя классификация. Делают то, что работает. Если есть права менять файлы, меняют файлы, в том числе - и файлы с исполняемым кодом банк-клиента. Если можно устанавливать троянские приложения и свои драйвера - устанавливают. Есть возможность перенаправить соединение на свою страничку - пользуются ей. Вариантов много как со встраиванием в код собственно банк-клиента, или его подменой, на машине пользователя, так и без него.
   47.047.0
+
+1
-
edit
 

ahs

старожил
★★★★
Voennich> а зачем там именно VPN, какой нибудь контроллирующий публикацию терминала сервис и всё.

Зачем мудрить с сервисами, когда VPN поднимается в два счёта?


Voennich> Опыт показывает, что как только народу закручивают безопасность до уровня "неудобный" они в собственных коммуникациях начинают использовать какой нибудь yandex / google и только для начальства пишут письма через корп.

Ну не знаю, мне было удобно со всеми системами, с которыми работал. Кроме двух онлайн-CRM :)

Voennich> В т.ч. всякие консультанты из Биг4

Да что там говорить, некоторых и мсофис не устраивает, делают презенташки онлайн с планшета и хранят в айклауд, а потом у всех заинтересованных лиц есть оригинальные презентации со стратегиями. Одни "европейцы" вообще расшарили выгрузки баз по ЦФО на майлдиске, вся страна ржала... Что еще раз подтверждает, что никакими токенами полностью застраховаться все равно нельзя.
Такие вещи лечатся битьем по рукам при попытке пользоваться чем либо, кроме корпоративных средств (грешен, для обхода тупых спамфильтров несколько раз пользовался личной почтой, но только по открытым консультативным вопросам). В моём московском офисе народ штрафуют за незакрытую крышку ноутбука или незаблоченый десктоп на время обеда. Политика "Чистого стола".
   51.0.2704.8151.0.2704.81

Voennich

аксакал

ahs> Зачем мудрить с сервисами, когда VPN поднимается в два счёта?
При поднятом VPN трафик с ПК по самому определению VPN начинает маршрутизироваться в сеть предприятия.
Понятно, что можно сделать отдельный защищенный сегмент(ы) и принять прочие меры безопасности, но какой смысл вообще делать дыру в заборе, запускать внутрь, а потом огораживать, если можно просто "выставить в окошко" только тот, сервис что можно.

ahs> Ну не знаю, мне было удобно со всеми системами, с которыми работал. Кроме двух онлайн-CRM :)
Я про то, что если (условно) закрутить безопасность вокруг корп. почты или месенджера или портала, например 2-х факторная авторизация + сделать каждую операцию контроллируемой, то юзеры забьют и будут просто использовать для обмена информацией gmail, skype, и googledocs (условно).

ahs> ...В моём московском офисе народ штрафуют за незакрытую крышку ноутбука или незаблоченый десктоп на время обеда. Политика "Чистого стола".
Вопрос простой - есть ли действительно то, что требует таких усилий для защиты или это просто "много ресурсов у ИБшника"?
   51.0.2704.8451.0.2704.84
RU Клапауций #17.06.2016 16:35  @U235#17.06.2016 05:56
+
-
edit
 

Клапауций

координатор
★★☆
U235> Через SMS запрашивается подтверждение транзакции и присылается одноразовый код подтверждения.

В корпоративной системе? это что-то новое...
   
+
-
edit
 

ahs

старожил
★★★★
Voennich> Вопрос простой - есть ли действительно то, что требует таких усилий для защиты или это просто "много ресурсов у ИБшника"?

Да, поверь, оно того стоит :)
   37.0.2049.037.0.2049.0
+
-
edit
 
U235> Хранить ключи доступа и ЭЦП к такой системе на обычных носителях - это за гранью добра и зла.
cогласен

> Надо бить пользователей фэйсом об тэйбл, чтоб ключевые носители постоянно подключенными к ПК не держали и втыкали их только когда необходимо заверить электронный документ. А так же чтоб не работали на компьютерах под учетками с админскими правами, ибо это царский подарок для хакеров.
Ни первое ни второе ты не добьешься.
Регулярно вижу, что даже крупное начальство держит флешки или карты с эл.подписью постоянно воткнутыми. Даже уходя из кабинетов. Столь же регулярно вижу коммерсов, что все свои пин-коды для подтверждения эл.подписи готовы раздавать каждому встречному-поперечному.
И ограничивать себе права - этого никто не делает. Только корпоративная политика с обещаниями жестких анальных кар с ознакомлениями с приказами под подпись несколько снижают число попыток обойти ограничения прав и притащить флешку с фоточками-музычкой-прочим хламом и возможно вирусами, и требовать, чтоб она "работала" на рабочей машине.

U235> Все описаные методы взлома, кстати, явно из арсенала охотников за банк-клиентами взяты, видимо действует какая то переквалифицировавшаяся из этого бизнеса группа
Так если система защиты та же - зачем изобретать лисапед?
   26.026.0
+
-
edit
 
U235> На том, что я привел, можно на собственном экране устройства просмотреть подписываемый документ. Дополнительная защита от подмены подписываемого документа. А то ты можешь думать что подписываешь один документ, а хакеры подсунут устройству на подпись другой
у нас тоже e-token и safesign

Elektroninis.lt

Legalus parašas internete // www.elektroninis.lt
 

iPasas.lt - Tapatybės nustatymas internete

iPasas.lt tapatybės nustatymo paslaugos internete, asmens identifikavimas skaitmeniniu sertifikatu ir elektroninės bankininkystės priemonėmis, elektroninio parašo paslaugos, autentifikavimas // www.ipasas.lt
 

В принципе, если скомпрометировать жабу, то возможно.. Бо всё происходит в её апплетах.. При этом вполне принимаются версии вплоть до 6. Более того, на некоторых осях некоторые карточки только с шестой и работают. Что удручает, поскольку не только безопасность, но и необходимость параллельно держать на машине жабы с 6 по 8 с разными апдейтами - это уже потенциальный глюкодром.
   26.026.0
LT Bredonosec #17.06.2016 21:38  @D.Vinitski#16.06.2016 14:35
+
-
edit
 
D.Vinitski> Пароль взломать невозможно, ибо он однократно генерируется токеном. Можно попробовать захватить контроль над сервером, что ещё проблематичней, и вмешаться в процесс синхронизации (ну, да, и ещё выслать смс-код подтверждения операции :) )
а пароль никто не крадет.
Речь о возможности подмены страницы с передачей вашей подписи для подписания другого документа. Нечто вроде МИТМ атаки.
Вы точно также вводите, подписываете, подтверждаете, но не тот документ, который думаете.
Да, это сложно.
Но не фантастика. Это наиболее традиционный способ воровства бабла при наличии всех этих инструментов у банка.
   26.026.0
LT Bredonosec #17.06.2016 21:41  @Vоеnniсh#16.06.2016 18:33
+
+1
-
edit
 
Voennich> Извини, но по моему ты про каких то "терминаторов" пишешь.
и это пишет человек, который заявлял, что когда-то был аж начотдела айти на какой-то фирме?
мдя..
   26.026.0
RU Voennich #18.06.2016 08:27  @Bredonosec#17.06.2016 21:41
+
+1
-
edit
 

Voennich

аксакал

Bredonosec> и это пишет человек, который заявлял, что когда-то был аж начотдела айти на какой-то фирме?
Могу повторить - представить себе целенаправленную массовую "охоту" за физическими лицами с перехватом двухфакторной авторизации и подменой содержимого банковских операций, крайне затруднительно.
Юридические (бухгалтера или сотрудники фин. учереждений) - вопрос открытый.
И не был, а есть.
Усилия (хоть по нападению, хоть по защите) должны быть соразмерны результату.
   51.0.2704.10351.0.2704.103
+
-
edit
 

U235

координатор
★★★★★
Voennich> Могу повторить - представить себе целенаправленную массовую "охоту" за физическими лицами с перехватом двухфакторной авторизации и подменой содержимого банковских операций, крайне затруднительно.

Я описал выше технологию: обычный фишинг с помощью вирусов. Инсталировавшийся в системе троян сам отрапортует хозяину о перспективном для взлома компьютере. Ну а начиненные троянами файлы просто выкладываются на файлопомойки, порносайты, соцсети и прочие активно посещаемые народом места, или рассылаются по почте. Так что раскинуть сеть поиска подходящих машин в масштабе целой страны несложно.
   47.047.0

Voennich

аксакал

U235> Я описал выше технологию: обычный фишинг с помощью вирусов. Инсталировавшийся в системе троян сам отрапортует хозяину о перспективном для взлома компьютере. ...
Это шаг "подготовительный"
Вопрос в "реализации" или если хочешь "монетизации"
Или тебе известны массовые случаи когда (варианты)
1. эти самые трояны далее автоматически и массово подменяют передаваемые в банк "платёжки" на "нужные", а юзеры этого не замечают и спокойно подтверждают транзакции?

2. взлом происходит одновременно на двух устройствах синхронно и "троян" автоматически подтверждает несанкционированную транзакцию перехватом кода банка с телефона?

Т.е. не целенаправленная атака на отдельно взятый субъект типа такого
А массовый и автоматизированный процесс?

Ты же пишешь(начиная отсюда), что SMS (или токен) в виде "второго уровня" не даёт достаточной защиты для массового использования и нужно приобретать "хардварные" системы?
Я правильно понимаю утверждение?
   51.0.2704.10351.0.2704.103
RU спокойный тип #18.06.2016 12:17  @Vоеnniсh#18.06.2016 08:27
+
-
edit
 

спокойный тип
Спокойный_Тип

старожил
★★
Voennich> Могу повторить - представить себе целенаправленную массовую "охоту" за физическими лицами с перехватом двухфакторной авторизации и подменой содержимого банковских операций, крайне затруднительно.

ну вот мне приходит сообщение по СМС
"Конфиденциально, код подтверждения 1234, операция перевод на счёт 407028108300091ххх сумма хххх руб. По вопросам звоните в банк ..... 8800...
"
там длинный номер расчётного счёта, вполне реально если чуть изменить то перевести на другой, я отличия не замечу - пока не пойму через несколько дней что деньги не пришли

условно найти уязвимость Z-DAY, засеять ботнетом компы так что бы деньги при отправке уходили не туда (причём взять "длинные" переводы, типа квартплаты, которые не видны сразу на "той" стороне - пополнение мобильного сразу спалится например)
в момент икс запускаем (вечером пятницы после обеда) (когда заражено достаточно) и собираем несколько дней на счёт, потом снимаем бабки и привет
главное что бы несколько тысяч транзакций (а лучше хотя бы сотню тысяч) успеть перенаправить - вполне себе тогда игра будет стоить свеч

ps ну вообще конечно с такого уровня талантом можно и чесно денег заработать и больше...или банкоматную сеть сломать что бы они наличку повыплёвывали, всё таки физики не самый удобный объём - этот как стричь мышей вместо овец
   47.047.0
RU Voennich #18.06.2016 13:41  @спокойный тип#18.06.2016 12:17
+
-
edit
 

Voennich

аксакал

с.т.> "Конфиденциально, код подтверждения 1234, операция перевод на счёт 407028108300091ххх сумма хххх руб. По вопросам звоните в банк ..... 8800...
с.т.> там длинный номер расчётного счёта, вполне реально если чуть изменить то перевести на другой, я отличия не замечу - пока не пойму через несколько дней что деньги не пришли
1. как насчёт контрагента? так и пишется "сумма ХХХ МТС" или "счёт зачисления ххххххххххх, БИК ххххххх, ЗАО контрагент. пароль для подтверждения ..."
2. т.е. "стырить" можно только столько же, сколько клиент переводил/платил?
ибо врядли ты будешь подтверждать сумму, если не собирался платить?

с.т.> ...причём взять "длинные" переводы, типа квартплаты, которые не видны сразу на "той" стороне
ещё одно ограничение, да?

ещё один момент - типовые "переводы"
"платёж стандартный" - контрагента выбираем из списка банка(или заранее введенного шаблона), вводим сумму, платим. банк присылает "согласование" со стандартной инфой, обмануть непросто(фактически нужно знать график платежей и создать "похожих" под каждый шаблон).
"платёж нестандартный" - контрагента ищем по реквизитам. в момент "найдено", реквизиты подставляются в интерфейс (и как я думаю в сессию). получается, что злоумышленник
- либо должен одновременно открыть две сессии от имени "ламера", одну на поиск информации, вторую "стырить бабло"
- либо должен иметь собственную систему поиска контрагентов по банковским реквизитам

с.т.> главное что бы несколько тысяч транзакций (а лучше хотя бы сотню тысяч) успеть перенаправить - вполне себе тогда игра будет стоить свеч
ого "фантазии".
сколько человек(физики) пользуются онлайн платежами?
сколько в месяц делают онлайн платежей?
сходу нашел только такой отчёт

сколько за викенд платежей? миллион-два-десять?.
сколько устройств заражено? 10%? (какой нибудь касперски уже начнёт по всем каналам рассказывать) 1%? 0.1%?

сколько транзакций будут соответствовать профилю "легко спрятать"? несколько тысяч в лучшем случае?

сколько реально "лоханется"?

итого то, с чего я начал
"Извини, но по моему ты про каких то "терминаторов" пишешь.
Им обычные ламеры-юзеры (те, которые невнимательно СМС-ки читают) совершенно не сдались.
"
=
с.т.> ps ну вообще конечно с такого уровня талантом можно и чесно денег заработать и больше...
не стоят "ламеры-физики" таких усилий
   51.0.2704.10351.0.2704.103
Это сообщение редактировалось 18.06.2016 в 14:05
RU спокойный тип #18.06.2016 20:57  @Vоеnniсh#18.06.2016 13:41
+
+1
-
edit
 

спокойный тип
Спокойный_Тип

старожил
★★
с.т.>> "Конфиденциально, код подтверждения 1234, операция перевод на счёт 407028108300091ххх сумма хххх руб. По вопросам звоните в банк ..... 8800...
с.т.>> там длинный номер расчётного счёта, вполне реально если чуть изменить то перевести на другой, я отличия не замечу - пока не пойму через несколько дней что деньги не пришли
Voennich> 1. как насчёт контрагента? так и пишется "сумма ХХХ МТС" или "счёт зачисления ххххххххххх, БИК ххххххх, ЗАО контрагент. пароль для подтверждения ..."


=)) Я тебе РЕАЛЬНЫЙ ДОСЛОВНЫЙ ТЕКСТ СМСКИ ПРИВЁЛ от одного австрийского банка клиентом которого являюсь

Voennich> 2. т.е. "стырить" можно только столько же, сколько клиент переводил/платил?
Voennich> ибо врядли ты будешь подтверждать сумму, если не собирался платить?

само собой :D

с.т.>> ...причём взять "длинные" переводы, типа квартплаты, которые не видны сразу на "той" стороне
Voennich> ещё одно ограничение, да?
Voennich> ещё один момент - типовые "переводы"
Voennich> "платёж стандартный" - контрагента выбираем из списка банка(или заранее введенного шаблона), вводим сумму, платим. банк присылает "согласование" со стандартной инфой, обмануть непросто(фактически нужно знать график платежей и создать "похожих" под каждый шаблон).

чёто ты не о том...вон выше реальная СМСка, по моему шаблону конечно в банк клиенте...какие типовые переводы , ты о чём?


Voennich> "платёж нестандартный" - контрагента ищем по реквизитам. в момент "найдено", реквизиты подставляются в интерфейс (и как я думаю в сессию). получается, что злоумышленник
Voennich> - либо должен одновременно открыть две сессии от имени "ламера", одну на поиск информации, вторую "стырить бабло"
Voennich> - либо должен иметь собственную систему поиска контрагентов по банковским реквизитам

это всё возможно...при наличии соотвествующих Z-Day уязвимостей и не такое случатся
ну...сходи на IT Sec road show как оно след раз в Москве будет...я пару раз ходил...там очень интересные вещи показывают...

у меня просто не сохранились презентации, там про Зеус подобные малвари и их кастомизацию под заказчика было написано, за вполне разумную сумму можно было много интересных ништяков купить и некоторое время необнаруживается антивирями и IDSками...

Топ 10-ботнетов - «Хакер»

Про ботнеты можно говорить долго и упорно. За последние десять лет их появилось столько, что для обзора, наверное, не хватит и всех страниц целого журнала «Хакер». Но даже из всего этого многообразия можно выделить ботнеты, которые выбиваются из общей массы по ряду признаков. // xakep.ru
 

с.т.>> главное что бы несколько тысяч транзакций (а лучше хотя бы сотню тысяч) успеть перенаправить - вполне себе тогда игра будет стоить свеч
Voennich> ого "фантазии".
Voennich> сколько человек(физики) пользуются онлайн платежами?

в планетарном масштабе?

Voennich> сколько в месяц делают онлайн платежей?
Voennich> сходу нашел только такой отчёт
Voennich> сколько за викенд платежей? миллион-два-десять?.
Voennich> сколько устройств заражено? 10%? (какой нибудь касперски уже начнёт по всем каналам рассказывать) 1%? 0.1%?
Voennich> сколько транзакций будут соответствовать профилю "легко спрятать"? несколько тысяч в лучшем случае?
Voennich> сколько реально "лоханется"?
Voennich> итого то, с чего я начал
Voennich> "Извини, но по моему ты про каких то "терминаторов" пишешь.
Voennich> Им обычные ламеры-юзеры (те, которые невнимательно СМС-ки читают) совершенно не сдались."
Voennich> =
с.т.>> ps ну вообще конечно с такого уровня талантом можно и чесно денег заработать и больше...
Voennich> не стоят "ламеры-физики" таких усилий

тут согласен, в целом не стОят (сейчас) но размеры ботнетов уже достигают миллионов зараженных компов


вот прицельно вломить кого-то с жирным онлайн счётом - это вполне рабочая тема


pss и на последок. самая фишка будет когда появятся трояны под смарты (точнее они уже есть но использования для копировани СМС пока не было массового), а то будет технологично - ботнет-клиент получает контроль и над компом и над смартом, потом сам себе даёт подтверждения...нас это ждёт...люди которы этой темой умные..из тупо спама дженериков виагры через "главмед" и черной порнухи 10-12 лет назад - шагают далеко вперёд...
   45.045.0
Это сообщение редактировалось 18.06.2016 в 21:24
RU Voennich #18.06.2016 21:31  @спокойный тип#18.06.2016 20:57
+
-
edit
 

Voennich

аксакал

с.т.> =)) Я тебе РЕАЛЬНЫЙ ДОСЛОВНЫЙ ТЕКСТ СМСКИ ПРИВЁЛ от одного австрийского банка клиентом которого являюсь
Райф небось :) тоже такие есть
А я в ответ сберовскую (который имеет более заметную долю в РФ).
Они пишут контрагентов. И ?

с.т.> чёто ты не о том...вон выше реальная СМСка, по моему шаблону конечно в банк клиенте...какие типовые переводы , ты о чём?
Я имею ввиду, что ты делаешь платёж
- или стандартному контрагенту (service payments в том же райфе)
- или по ранее собственноручно введённому шаблону
- или вбиваешь разовые реквизиты
и злоумышленник должен предугадать все эти случаи и подстроиться эмулируя интерфейс банка ибо разные операции - разные сообщения и т.д.

с.т.> это всё возможно...при наличии соотвествующих Z-Day уязвимостей и не такое случатся
возможно, но стоит ли игра свеч?

с.т.>тут согласен, в целом не стОят (сейчас) но размеры ботнетов уже достигают миллионов зараженных компов
угу. заDOSить совсем дешево стало

с.т.> вот прицельно вломить кого-то с жирным онлайн счётом - это вполне рабочая тема
и перехватить SMS через "своего человека в провайдере"

с.т.>и на последок. самая фишка будет когда появятся трояны под смарты (точнее они уже есть но использования для копировани СМС пока не было массового), а то будет технологично - ботнет-клиент получает контроль и над компом и над смартом,...
первым делом защита - никаких мобильных банк-клиентов и управления счётом со смартфона.
а дальше надо будет думать, может и действительно потребуется всем "брелочками" обзаводиться или как минимум отдельный "сервисный" не-смарт-телефон держать.
   51.0.2704.10351.0.2704.103
CY D.Vinitski #18.06.2016 23:15  @Vоеnniсh#18.06.2016 21:31
+
-
edit
 

D.Vinitski

филин-стратег
★★
.
Voennich> первым делом защита - никаких мобильных банк-клиентов и управления счётом со смартфона.

В банк не набегаешься и в очереди не настоишься. А при небольших суммах, регулярно требующих перечисления со счета, другого способа, кроме интернет-банкинга-то и нет. И контроль за расходами. Просто, держать много не надо.

С брелочком, конечно, а также с паролем на телефоне и на приложении. И с шифрованием трафика.
   51.0.2704.8451.0.2704.84
LT Bredonosec #19.06.2016 04:34  @Vоеnniсh#18.06.2016 08:27
+
-
edit
 
Voennich> Могу повторить - представить себе целенаправленную массовую "охоту" за физическими лицами с перехватом двухфакторной авторизации и подменой содержимого банковских операций, крайне затруднительно.
можете не представлять, но это обычное дело. И физик на том конце или юрик - мало кого колышет. Абы только было чего взять.
Кстати, слегка погуглив, вы и сами наверняка найдёте каких-нить предложений купить "белые" (пустые, без рисунков, только для банкоматов или оплаты по тырнету) кредитки с остатками на счету не менее стольки-то, или иные виды краденых у физ- и юр- лиц денег.
   26.026.0
RU Voennich #19.06.2016 05:25  @D.Vinitski#18.06.2016 23:15
+
-
edit
 

Voennich

аксакал

D.Vinitski> В банк не набегаешься и в очереди не настоишься. А при небольших суммах, регулярно требующих перечисления со счета, другого способа, кроме интернет-банкинга-то и нет. И контроль за расходами. Просто, держать много не надо.
Я имел ввиду, что не нужно проводить операцию и получать код подтверждения на одном и том же устройстве.
Если конечно этого(постоянного управления счётом и многократных транзакций) не требует бизнес, тогда:
D.Vinitski> С брелочком, конечно, а также с паролем на телефоне и на приложении. И с шифрованием трафика.
и антивирусами
и личной гигиеной на всех устройствах
...
   51.0.2704.10351.0.2704.103
RU Алдан-3 #19.06.2016 06:05  @Bredonosec#17.06.2016 20:54
+
-
edit
 

Алдан-3

аксакал
★★☆
Bredonosec> Регулярно вижу, что даже крупное начальство держит флешки или карты с эл.подписью постоянно воткнутыми

Это, кстати, имеет б/м простое решение. На USB-шнур впаивается кнопочка типа "дверной звонок". Чтобы подсоединить флешку, надо нажать и подержать кнопочку. Кнопочка вкручивается в боковую стенку начальственного стола. Чтобы нельзя было на неё положить.. толстую книжку или подпереть коленкой :)

Работает даже в таком виде, но если простую механическую кнопку заменить умной "при нажатии подключаем на Х секунд, потом отключаем, чтобы включить снова - надо нажать ещё раз" - будет вообще идеально. Ну, кроме лишней кнопочки :D
   47.047.0
RU U235 #19.06.2016 06:13  @спокойный тип#18.06.2016 20:57
+
-
edit
 

U235

координатор
★★★★★
Voennich>> 2. т.е. "стырить" можно только столько же, сколько клиент переводил/платил?
Voennich>> ибо врядли ты будешь подтверждать сумму, если не собирался платить?
с.т.> само собой :D

Можно нолик к сумме добавить. Прокатит с достаточно большой вероятностью, чтоб это имело смысл делать. О психологии все же не стоит забывать :) В конце концов до сих пор прокатывают разводы "Ваша карточка заблокирована из-за подозрительной операции, позвоните по телефону хххх и сообщите данные карты для разблокировки. СБ Банка. Люблю. Целую" или вообще "Мама! Я в полиции! Меня сажают в тюрьму!!! Дай денег!!!!!". Как говорится в определенных кругах, "Без лоха жизнь плоха" :)
   47.047.0
+
-
edit
 

U235

координатор
★★★★★
Физики с зарплатными картами в основном вотчина кардеров, крадущих данные карт тех или иным способом, и телефонных разводил. Впрочем если у физика жирный счет и большие объемы переводов, то могут и его банк-клиент подломить. Все же главным критерием для хакеров является размер платежки в клиент-банке, а так им без разницы, кого ломать, физика или юрика.

Впрочем нет правил без исключения. Клиентов Сбербанка массово ограбили именно через интернет-банкинг. Там из-за недосмотра разработчиков была дыра позволявшая перевести деньги со счета зная только номер карты, чем и воспользовались злодеи.
   47.047.0
RU Алдан-3 #19.06.2016 06:26  @Bredonosec#17.06.2016 21:38
+
-
edit
 

Алдан-3

аксакал
★★☆
Bredonosec> Нечто вроде МИТМ атаки

Ну ещё на CSRF похоже - паразитирование на уже авторизованном клиенте в гнусных целях. Только выполнено с особым цинизмом - человек не просто используется "в тёмную", а активно вовлечён в процесс.
   47.047.0
1 4 5 6 7 8 16

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru