Этот текст написан нашим постоянным читателем, которому было что рассказать на актуальную тему — безопасность платежей и мошеннические схемы, связанные с электронными платежами, распространенные в Украине. Уверены, она будет полезна всем нашим посетителям.

Электронные платежи: как не стать жертвой мошенников

Автор: skazka.mk.ua, 07 ноября 2014, 00:00

Легко ли сегодня лишиться денег? Бумажных – легко! А легко ли сегодня потерять деньги в популярной ныне безналичной форме? Еще легче. Да-да, завладеть вашими бумажными деньгами сегодня куда сложнее, нежели вторгнуться в безналичную сферу: записи на счетах банков, операторов связи и прочих новых форм расчетов при всех возможных видах шифрования данных, передающихся по защищенным каналам связи. И самое слабое звено в этой цепи – живой человек на любом неавтоматизированном этапе. И, к сожалению, как правило, этот самый человек именно вы. Вы, закрученный круговоротом повседневной жизни и часто выполняющий некоторые важные в т.ч. и финансовые операции «в фоновом» режиме т.е. практические не задумываясь действуя по привычному поведенческому шаблону, редко критически осмысливая возможные отклонения в знакомых процессах, а иногда, чего уж там, просто игнорируя необычные события. К сожалению, такова реальность сегодня.

Электронные платежи: как не стать жертвой мошенников

Обычный человек сегодня информационно нагружен в неделю сильнее, чем его предок из средних веков за всю жизнь. При этом информационный навес зачастую становится неактуальным очень быстро и процесс выходит на кольцевую дорогу для нового витка, что притупляет целенаправленное критическое восприятие. Это плохо. Но не лучше обстояли дела еще совсем недавно, когда средний человек был достаточно сильно зациклен на рядовом для себя типе задач и это настолько входило в привычку, что критическое мышление часто засыпало глубоким и ровным сном. Именно этим пользуются люди, которые избрали себе профессией направление, четко описанное во всех уголовных законах мира – мошенники, которые для завладения чужим пользуются злоупотреблением доверием и прямым обманом, а помогает им зачастую сам человек.

Немного отвлечемся от густых красок сумрачного начала и обратимся к истории, кино и литературе. В известном сатирическом романе Владимира Войновича «Москва-2042» можно встретить такие строки:

«Очередь была недлинная - человек шестьдесят, не больше. Пожилой сержант в дырявой гимнастерке и с красной повязкой на рукаве стоял у входа и дырявил компостером протягиваемые ему бумажки серого цвета.

Справедливости ради надо сказать, что очередь двигалась довольно быстро. Люди один за другим совали сержанту с повязкой свои бумажонки, он делал дырку, люди входили внутрь. Когда моя очередь приблизилась, я пошарил в кармане, но не нашел в нем ничего, кроме случайно завалявшегося обрывка газеты "Зюддойче цайтунг" шестидесятилетней давности. Я сложил этот обрывок вдвое и сунул сержанту, который не глядя его продырявил.
Довольный тем, что мои социалистическо-капиталистические уловки все еще успешно действуют, я вошел внутрь».

 Я сложил этот обрывок вдвое и сунул сержанту, который не глядя его продырявил

Юмор понятен. Действуя по укоренившемуся в сознании шаблону страж критически не рассмотрел подаваемый документ, машинально выполнив свою функцию. Но это литература и юмор период конца СССР. Похожая ситуация была обыграна в фильме «Железнодорожный романс», где герой путешествовал меняя приписные номера «своего» вагона и это никем не замечалось т.к. не выходило за рамки шаблона. Классика СССР, касающаяся темы, «Старики-разбойники».

Электронные платежи: как не стать жертвой мошенников-2

Теперь же, перед непосредственным переходом к сути поднятого вопроса, предлагаю немного прикоснуться к уже немного пыльной, но тем не менее истории одного из самых известных хакеров своего времени Кевина Митника. (Возможно, Вы никогда и не слышали это ФИО, но, тем не менее, это достаточно знаковая фигура периода широкого внедрения технологий в повседневную жизнь и, соответственно, не совсем штатного их использования третьими лицами в своих часто не совсем законных целях. Соответствующую статью можно для ознакомления посмотреть на Википедии). Этот человек был очень успешен в том, что в своей книге «Искусство обмана» он назвал «социальной инженерией», а говоря попросту – возможностью манипулируя человеком получить от него необходимое без каких-либо грубостей. Обратимся к первоисточнику.

Электронные платежи: как не стать жертвой мошенников-3«Однажды во время поездки в автобусе я понял, что вся защита купленных мной автобусных билетиков от подделки основывалась на уникальной модели бумажного дырокола, которым водитель отмечал на билете день, время и маршрут. Знакомый водитель, отвечая на мои тщательно сформулированные вопросы, сказал мне, где можно достать этот дырокол. Предполагается, что со своим билетом вы можете пересесть на другой автобус и продолжить поездку в том же направлении, но я выработал метод, как можно проехать куда угодно совершенно бесплатно. Для начала я отправился в автобусный парк за чистыми билетами. Мусорные корзины у автобусного терминала всегда переполнены книгами с целой половиной неиспользованных билетов, которые водители выкидывали в конце маршрута. При помощи дырокола я мог наделать из чистых билетов своих собственных маршрутов и отправиться путешествовать в любую точку, куда ходили автобусы Л.А.»

Вроде все просто, но зачем же тратить свой талант на мелочи? И Кевин приводит другой полярный пример:

«Какая самая большая угроза безопасности ваших деловых активов? Ответ прост – это социальный инженер – нечестный фокусник, который заставляет вас смотреть на его левую руку, пока правой ворует ваши секреты. Этот персонаж часто так дружелюбен и любезен, что вы благодарны за то, что с ним столкнулись.

Однажды в 1978 году Рифкин заглянул в помещение банка для телеграфных переводов с табличкой «только для авторизованного персонала», в котором служащие каждый день получали и отправляли трансферты в несколько миллиардов долларов. Он работал с этой компанией по контракту и занимался разработкой системы для резервного копирования данных из этого помещения на случай, если когда-нибудь произойдёт сбой их главного компьютера. Эта роль давала ему доступ к процедурам передачи трансфертов, включая возможность наблюдать, что делали служащие банка для совершения операций. Он узнал, что служащие банка, уполномоченные на передачу трансфертов, каждое утро получали тщательно охраняемый код, используемый при осуществлении запросов. В телеграфном помещении работали некоторые служащие, которые не утруждали себя попытками запомнить новый код, изменявшийся каждый день. Они записывали код на кусочек бумаги и клали его куда-нибудь в поле зрения.

В этот особенный ноябрьский день Рифкин зашёл в это помещение со специальным визитом. Он хотел взглянуть на этот кусочек бумаги. Зайдя в комнату, он немного повозился со своей работой, удостоверившись, что система резервного копирования правильно работает с основной системой. Тем временем он незаметно прочитал и запомнил код на прилепленном кусочке бумаги. Несколько минут спустя он вышел. Как он позже рассказывал, он чувствовал себя, словно выиграл лотерею. Покинув комнату около 3-х часов по полудню, он направился прямиком к платному таксофону в мраморном холле здания, в который опустил монету и набрал номер помещения для трансфертов. Затем он сменил шляпу, трансформируясь из Стенли Рифкина, банковского консультанта, в Майкла Хансена, служащего Международного Отдела банка. Согласно одному из источников, разговор происходил следующим образом:

«Привет, это Майк Хансен из международного», сказал он молодой женщине, которая подняла трубку.
Она запросила офисный номер. Эта была стандартная процедура, и он был к ней готов: «286» ответил он.
Девушка ответила: «ОК, ваш код?»

Рифкин говорил, что в этот момент его переполненное адреналином сердцебиение «поднялось до максимальной точки». Он медленно ответил: «4789». Затем он дал инструкции для перевода: «ровно 10 миллионов 200 тысяч долларов» для Компании Ирвин-Траст в Нью-Йорке в качестве кредита в Банк Wozchod Handels в Цюрихе, Швейцария, в котором у него уже был открыт счёт.

Затем девушка ответила: «ОК, готово. Сейчас мне нужен внутриофисный номер». Сердце Рифкина ёкнуло, это был вопрос, которого он не ожидал, кое-что ускользнуло из его внимания во время подготовки. Но он решил оставаться в роли, действуя как будто всё было нормально, и спокойно ответил без всякого замешательства: «Дай проверить, я перезвоню тебе позже». Он опять сменил шляпу и позвонил в другое отделение банка, в этот раз, представляясь работником из помещения для трансфертов. Он получил нужный номер и опять позвонил девушке.
Она приняла номер и сказала «Спасибо»

В книге описано куда больше занимательных сюжетов, в которых люди добровольно рассказывали правильно представившемуся человеку вполне солидные технические и промышленные секреты, доступ к которым в теории для обычного человека должен быть закрыт, а так же о том, как вполне себе секретные сведения можно получить путем пристального изучения вполне открытых источников (например, обычного мусора). И хотя Митник сегодня по меркам мошенников представляет собой добродушную окаменелость третичного периода, тем не менее, для нашей цели осознание сути его подхода к работе с людьми крайне важно.

Технологии обмена информацией в нашей жизни занимают сегодня околоцентральную позицию. От банального почтового ящика на бесплатном сервисе в сети до солидных систем удаленной банковской авторизации. Получение незаконного доступа к бесплатному емейлу грозит минимум похищением вашей переписки, а максимум…. А максимум зависит от того что именно из Ваших активов сегодня тем или иным способом использует вашу электронную почту. Интернет кишит предложениями о взломе социальных сетей, почтовых сервисов и даже подзабытой сегодня ICQ. Викиликс вообще публикует целые охапки документов, неосмотрительно помещенных в почтовые ящики людей самих разных профессий! (проект отчета рейтинговых агенств).

Получение незаконного доступа к бесплатному емейлу грозит минимум похищением вашей переписки

В глазах рядового пользователя такой взломщик минимум шаман, а как же обстоит дело на практике? На практике же часто у вполне солидных людей можно увидеть адрес электронной почты типа elena1992@что-то.com уже по этим данным, зная город, человека можно попытаться идентифицировать в социальных сетях и поискать там ответы на вопросы, которые используют для восстановления паролей: девичья фамилия матери, кличка кошки, любимый цвет. 65535 ведер т.е. попыток и Дуремар осушит озеро вариантов Тортилы и Золотой ключик у нас в кармане, если конечно виртуальная Елена не использовала один из самых популярных паролей и тем самым не облегчила жизнь Дуремару.

25 самых популярных в мире паролей по итогам 2013 года выглядят примерно так (в скобках указано место в 2012 году):

  1. 123456 (2)
  2. password (1)
  3. 12345678 (3)
  4. qwerty (5)
  5. abc123 (4)
  6. 123456789 (новый)
  7. 111111 (9)
  8. 1234567 (13)
  9. iloveyou (11)
  10. adobe123 (новый)
  11. 123123 (16)
  12. admin (новый)
  13. 1234567890 (новый)
  14. letmein (7)
  15. photoshop (новый)
  16. 1234 (новый)
  17. monkey (6)
  18. shadow (18)
  19. sunshine (14)
  20. 12345 (новый)
  21. password1 (25)
  22. princess (новый)
  23. azerty (новый)
  24. trustno1 (12)
  25. 000000 (новый)

Ну как? Ничего не узнаете? Конечно, пароли типа dfcz или cthutq сюда не попали т.к. это кириллические слова, набранные латиницей, но тем не менее таких тоже много.

Но вернемся к Елене. Подобрать пароль Елены простым перебором, конечно, можно и в зависимости от сложности пароля и квалификации подбирающего (конечно же квалификации по автоматизации этой задачи т.к. вручную это никто давно не делает) на это уйдет какое-то время, но этого можно избежать, если сама Елена поможет взломщику, установив простой пароль, записав его где-то или необдуманно сболтнув кому-то в задушевной беседе с новым вежливым знакомым в соцсети, отвечая на выверенные вопросы (помните про дырокол и билеты!). Это зачастую куда более простой способ вторжения в почту, нежели подбор (поботанить эту тему можно здесь), т.к. иногда подбор недоступен – например после 5 неправильных попыток ввода пароля сервис допускает 6-ю попытку через 30 минут, 7-ю через час).

Для любопытных экспериментаторов предлагаю оценить стойкость Ваших паролей вот тут. Там те, кого в школе дразнили, троллят тех, кто когда-то дразнил. Итак, доступ к почте Елены получен. И сколько нам открытий чудных готовит этот ящик. Тут тебе и соцсети, и банковские выписки и много еще чего интересного. Восстанавливай пароли к любому сервису, который зарегистрирован на почту Елены и делай что хочешь. А ведь часто по бесплатным сервисам идет и корпоративная почта, и личная переписка, частные фото, откровения с подружками….и прочая весьма интересная бижутерия.

А ведь часто по бесплатным сервисам идет и корпоративная почта, и личная переписка

Например, если Елена бухгалтер, там может оказаться и посланный для «скорости и удобства» ключик для клиент-банка предприятия. Да много чего там может быть зачетного и феерического. Пример, конечно, утрированный, но тем не менее он кричит, что если уж Вы пользуетесь бесплатными почтовыми сервисами, то старайтесь как-то скрывать личную информацию, пригодную для однозначной Вас идентификации т.к. при умелом ее использовании это ключ, который может стоить дорого.

Терпеливый читатель уже готов написать в комментах, что все вышеизложенное это бородатый баян и все солидные сервисы давным-давно используют двухфакторную и многофакторную модель идентификации пользователя и будут правы лишь отчасти. Действительно используют, но пока далеко не все. И даже если таковая доступна, то пользуется ей тоже не каждый клиент, если только это не интернет-банкинг и пользование предусмотрено в принудительно порядке, но об этом ниже.

Итак, что же такое двухфакторная идентификация. По сути это система из 2 уровней проверки пользователя перед доступом. На первом уровне клиент вводит обычный логин (его надо знать!) и/или пароль (обычно называется аутентификация по многоразовому паролю т.е. обычному паролю, который меняют нечасто) после чего система предлагает пройти второй этап и он бывает различным по форме, но сводится к подключению физического электронного ключа (вроде флешки) или вводу одноразового пароля, который ожидает система от вас. Этот пароль может быть сгенерирован специальными устройствами (часто они называются «электронный токен авторизации», более подробно вот тут), но для рядового пользователя прижилась двухфакторная система авторизации, где вторым фактором является ввод пароля, высланного на номер телефона пользователя в виде SMS. Эта система хорошо знакома по некоторым программам интернет-банкинга, так же используется платежными системами технология, имеющая название 3D-secure.

Существует и многофакторная система, она расширяется новыми этапами проверки, например биометрическими: отпечаток пальца был массово доступен как средство идентификации уже 10 лет назад в телефонах Pantech GI100 (iPhone внезапно не первопроходец, но и планшет, ради справедливости стоит заметить, еще чуть ранее был представлен Microsoft, что не помешало успешно внедрить свои продукты Apple, на самом деле биометрические сенсоры довольно часто использовались в КПК и смартфонах на Windows Mobile — примечание редакции), радужная оболочка глаза, голос. Казалось бы – пробить систему двухфакторной проверки личности удаленного пользователя либо технически сложно, либо дорого (конечно не для СБУ – эти умеют многое и игрушки у них электронные бывают лучше, чем у Бэтмена да и сам стандарт GSM уже давно легко прослушивается хоть недешевым, но доступным оборудованием), либо без физического контакта с владельцем номера нельзя (уголовный кодекс, однако). Но не все так просто. Криминология уже описывает относительно новые способы вторжения в Ваши финансы.

Итак, обычная ситуация. Вы продаете детское кресло через известный сервис. Публикуете там свой контактный номер телефона, цену и т.п, фотографию кресла в своем Роллс-Ройсе ну или на худой конец Бентли. И вот Вам звонит очень обходительный покупатель. Возможно девушка. Готова купить и просит номер карты куда перевести деньги. После чего Вы ждете оплату. Внезапно на телефон поступают звонки с неизвестных номеров. Вы не успеваете ответить, перезваниваете, но трубку не берут или отвечают что-то невнятное. Потом приходит сообщение о внесении какой-то суммы Вам на счет, но сообщений в день приходит масса и не все их читают сразу.

Электронные платежи: как не стать жертвой мошенников-4

Еще через некоторое время телефон умолкает. Хитрый мошенник уже пришел к оператору и с честным лицом и липовым паспортом просит дубликат якобы его симкарты. Он знает последние контакты, знает когда и какую сумму вносили на счет. И в зависимости от его обаяния (социальная инженерия, мошенничество) или уровня сговора с сотрудником оператора (уголовный кодекс), получает дубликат карты (сложнее, если контракт, но нет ничего невозможного, см. уголовный кодекс). Номер карты ему известен, SMS авторизации придет на полученную только что карту и когда вы поймете, что происходит, то состояние вашего счета будет скорее всего отличаться от ожидаемого вами. Вместе с различными данными об электронной почте, вашей личной информации, почерпнутой из сети и имея копию Вашего номера телефона можно получить вполне осязаемые возможности для различных выгод. 

Это вполне действующая техника, которой с разной степенью отработанности и успеха пользуются современные мошенники и что наиболее в ней опасное, так это тот факт, что практически всю информацию для осуществления деяния злоумышленник имеет в почти свободном, а иногда и вообще в свободном доступе. Практика показывает, что многие крайне беспечно относятся к собственной конфиденциальности и усложнению жизни злоумышленниками, иначе не было бы списка самых популярных паролей, ПИН-кодов, записанных на карте, ключей доступа без шифрования в почте и прочее-прочее.

Относительно новым видом социальной инженерии сегодняшнего дня является использование технической и финансовой неграмотности жертвы вместе с отсутствием у жертвы критического мышления. Так часто мошенники под видом проблем с переводом денег по телефону предлагают человеку прийти к банкомату и быстро указывают на последовательность действий якобы для получения денег, но на самом деле человек, не следя за экраном (а для такого мошенничества используется банкомат со сложным, запутанным или просто некрасивым интерфейсом) деньги не получает, а отправляет злоумышленнику и таких случаев очень много.

В этом же банкомате под видом необходимого Вам могут предложить ввести какой-то номер телефона, к которому вы, сами того не подозревая, привяжете свою карту. Это может звучать очень убедительно! И даже якобы от имени сотрудников какого-то очень солидного отдела вашего банка по безотлагательному для вас делу. Стоит ли говорить, что не стоит выполнять инструкции суть которых не ясна?

Не менее популярно в последнее время мошенничество с предложением под любым благовидным предлогом отправить SMS неясного содержания для якобы подтверждения оплаты. Обычно в таком SMS злоумышленник продиктует управляющие команды по переводу денег как раз ОТ вас ЕМУ. Большинство либо не заподозрит подвоха, либо постесняется признаться в том, что не понимает сути управляющих команд в SMS, хотя это самое время примерять образ вежливого лося и начать спрашивать собеседника, что значит каждая буква и обязательно подвериться у оператора связи либо на его сайте. Также стоит задать себе вопрос — почему ранее вы никогда ничего подобного не далали.

Не менее популярно в последнее время мошенничество с предложением под любым благовидным предлогом отправить SMS неясного содержания для якобы подтверждения оплаты

Но отвлечемся немного от активных действий злоумышленников и обратимся к пассивной форме получения «разведданных» на основе все той же невнимательности пользователей и разучим новое слово – тайпсквоттинг. Бояться слова не нужно. Нужно бояться сути, которая прячется за ним. А суть проста. Давно ли мы подхихикивали над людьми в костюме abibos, плеером panascaniq за рулем атомобиля BYD с логотипом измененном на TOYOTA ? Тайпсквоттинг сводится к регистрации доменов (адресов), которые отличаются от популярных (или конкретно интересующих злоумышленника) на 1-2 буквы. В итоге опечатавшийся в адресе электронной почты адресата пользователь сам вышлет злоумышленникам важные и не очень сведения.

Это может показаться смешным, однако ребятам из крупнейшей компании по изготовлению программного обеспечения (и не только), с помощью которого большинство читает эти строки, было совсем не весело, когда канадский студент веб-дизайнер Майк Роуви (Mike Rowe) решил зарегистрировать себе интернет адрес MikeRoweSoft.com. Дело переросло в судебное разбирательство т.к. видимо слишком многие ошибочно попадали по указанному адресу после его регистрации, но важно другое – серьезность проблемы по существу была признана публично и после этого любая солидная компания пытается скупить практически все доступные адреса, которые хоть как-то отдаленно похожи в написании с их наименованием. (Некогда это породило отдельную волну предварительной регистрации доменов на продажу, но это другая история). По существу злоумышленник в данном случае чем-то напоминает рыбака: он забрасывает сеть в сеть (каламбур получился невольный) и ждет что ему приплывет. Конечно можно попытаться внедриться в список контактов жертвы, отослав какое-то письмо с такого подставного адреса и ждать когда на него придет что-то интересное, а практика показывает, что приходит и без внедрения. Так, например, группа исследователей (или хулиганов) зарегистрировала адреса, похожие на адреса компаний из списка Fortune 500 (крупнейшие в США) и за полгода собрала более 120 000 ошибочных писем с более чем 20 ГБ иногда очень занимательной информации. Материал для сугубо академических целей на английском языке смотреть тут.

На этом фоне вспоминаются периодически появляющиеся в сети новости о якобы утечках разного рода конфиденциальной информации в сеть. И если утечки коммерческих компаний часто являются элементами маркетинговой стратегии (т.е. делаются под строгим контролем правильности «слива»), то преждевременные появления серьезных финансовых отчетов и прогнозов от разных финансовых компаний, которые прямо влияют на рынок, без информации о том, что таковое было результатом кибератак, воспринимается не иначе как ошибка исполнителя, которую вовремя подхватили злоумышленники – e-mail не воробей…. Вы уверены, что отправили свои отчеты именно тому, кому хотели?

Подведем некоторые итоги. Сегодня многое в нашей жизни управляется или связано с электронными сервисами. Часто управление и доступ идет с использованием электронной почты, часто массовой и бесплатной. Благодаря незнанию азов сетевой безопасности владелец может сам оставить в сети (и не только) гору подсказок (а иногда и прямых ключей) как получить доступ к его ресурсам. Низкая техническая подкованность, шаблонность мышления и отсутствие критического взгляда на процессы взаимодействия позволяют грамотному злоумышленнику легко получить контроль над органами управления почтой и даже банковским счетом жертвы, которая сама наивно работает через почту с именем elena1992@что-то.com с паролем qwerty и предоплаченным телефонным номером, скопировать который сегодня вполне реально на подставной паспорт.

Рекомендации

Когда создаете новый профиль почты старайтесь по возможности не допускать прямой себя идентификации по названию ящика и сопутствующей информации. Старайтесь лишний раз свой основной ящик и ящик, на который зарегистрированы любые интернет-сервисы не публиковать в открытом доступе и особенно в явном виде т.е. в полном формате. Если уже приходится это делать, то заменяйте знак @ на слово (гав) и т.п. это позволит сканерам не идентифицировать текст, как адрес почты.

Выбирайте пароль посложнее и старайтесь его иногда менять – недавно сеть взорвалась информацией о миллионах паролей к популярным почтовым сервисам. Проверка показала, что многие из них устарели, но были и действующие. В любом случае миллионы хоть и устаревших, но некогда настоящих паролей это солидная база для анализа.
Для управления доступом к чему-либо по телефону либо заведите себе отдельный номер, который не будет известен широким кругам, либо старайтесь не афишировать свой основной. Очень хорошо, если к Вашему публичному номеру не будет привязан ни один сервис, а управление банкингом и прочими службами будет осуществляться с номера, который вообще никто не знает. Сегодня есть многокарточные телефоны, которые помогают в этом.

Старайтесь никому не передавать свои SIM-карты. Технологии их физического клонирования находятся в широком доступе узких кругов достаточно давно и хотя есть технические средства защиты от этого да и сам процесс клонирования не всегда завершается успешно, тем не менее исключить возможность нелегального физического клонирования симкарты сегодня нельзя.

ВСЕГДА критически относитесь к ЛЮБЫМ попыткам управления вашими действиями третьими лицами кем бы они не представлялись и как бы убедительны они ни были. Если вам пришло электронное письмо с какими-то инструкциями с адресов с именами admin@ root@ webmaster@ и прочих, на первый взгляд солидных источников, если вас беспокоят представители оператора с некими просьбами или инструкциями, если к вам обращается сотрудник вашего (или не вашего) банка — постарайтесь либо самостоятельно посетить представительство структуры обратившегося или как минимум в телефонном режиме верифицировать событие у человека, которого Вы знаете лично.

ВСЕГДА критически относитесь к ЛЮБЫМ попыткам управления вашими действиями третьими лицами кем бы они не представлялись и как бы убедительны они ни были

Я пользуюсь мобильным телефоном более 15 лет и за это время мне ни разу не звонили представители оператора, мне никогда не присылал никаких писем с инструкциями администратор провайдера (только инфописьма или автоинформатор состояния счета), мне никогда не звонили сотрудники банка с просьбами сделать что-то удаленно. Это достаточно грубая форма манипуляций для получения результата здесь и сейчас. Объекты воздействия выбираются когда случайным образом, а иногда и целенаправленно (владелец детского кресла из Бентли хороший объект, денежный, но таких мало). Чем больше вы личных данных засветите в публичном доступе, тем больше вероятность, что вам однажды позвонят или вами заинтересуются.

Кто этим занимается? Вы будете удивлены, но хорошая доля подобного рода мошенничеств проистекает из мест, где у людей со временем проблем нет — из мест лишения свободы, например. Так широко поставлено телефонное мошенничество с утерей документов. Человек, утерявший документы дает объявление в газету. Ему звонят и предлагают вернуть документ за деньги после чего для избежания проблем просят отключить телефон и позвонить с любого другого. Назначается встреча. При этом инициатива назначения места ВСЕГДА остается за утерявшим, но его направляют в область какого-то крупного торгового центра. Распознать мошенничество на этой стадии вообще легко, назначив встречу на несуществующей улице или возле маркета несуществующей сети.

Далее утерявшему предложат перевести деньги с помощью терминала (его же завлекали в любой торговый центр, а там обычно произрастают терминалы) на карту или номер телефона, ну или электронный кошелек. После перевода связь оборвется и тогда станет очевидно зачем звонившие просили выключить телефон из объявления и связаться с ними с любого другого: мошенники отрезают конкурентов, ведь более по объявлению никто не позвонит — это раз, а два – никто не собьет с нужного пути таким звонком утерявшего. Несмотря на то, что в системе исполнения наказаний официально иметь телефоны нельзя, на практике таковые там есть, поэтому любое избегание личного контакта при мошенничестве прозрачно намекает на место нахождения мошенника.

Эти же люди с массой свободного времени часто в беседах в соцсетях целенаправленно добывают информацию о материальном состоянии собеседника, личных данных, планах на отпуск (читай временные рамки отсутствия хозяев дорогих ювелирных украшений с фотографии в соцсети по месту проживания) для дальнейшей передачи «коллегам» на воле. Такая производственная кооперация. Конечно, более крупными мошенничествами занимаются куда более квалифицированные люди, но они, как правило, по мелочи работают редко.  Каждый раз, когда вы устанавливаете новое приложение на свой смартфон всегда обращайте внимание доступ к каким личным данным на смартфоне оно просит, но это уже материал совсем другой публикации.

Помните, современные Остапы Бендеры, знающие «четыреста сравнительно честных способов отъёма денег» не дремлют и широко шагают в ногу с технологиями, умело используя из в своих целях.

Подписывайтесь на наш нескучный канал в Telegram, чтобы ничего не пропустить.

Поделиться

Ваш комментарий
42 комментария
RomireZ ветеран (971 комментарий)
7 ноября 2014 г. 1:29:49 #

Предлагаю ниже вести перепись прочитавших материал от корки до корки:) Статья безусловно интересная, за что автору отдельная благодарность с записью в трудовую (skazka.mk.ua, пароль от трудовой не напомните?), но все же многобукаф (имхо), из-за чего читать пришлось по диагонали.

Вопрос к глубокоуважаемым редакторам. Павел, Сергей, вы ж собирались брать специалиста (полагаю и взяли) по чему-то_там, дабы разгрузить себя от рутины. Ну неужто и теперь некому было прочесть материал перед публикацией? Знаки препинания куда разбежались? Вроде у постоянных авторов наладилось с премодерированием собственных материалов, да и то проскакивают как не копипаст (тут простительно, проблема объективная), так отсутствующие пробелы-запятые. И вот последнее лидерам рынка не простительно, пунктуацию и орфографию умеют проверять даже текстовые процессоры. И да, на МР чисто машинальная описка или копипаст-ошибка попадется раз-два в квартал, у вас же Ctrl+Enter за положняк. Короче, борюсь за повышение качества ресурса, надеюсь на правильные выводы.

Ответить
RomireZ
0
skazka.mk.ua гагаджетоман (2342 комментария)
7 ноября 2014 г. 7:14:41 #

Размер да, согласен, но это лишь часть того, что я хотел изложить и поэтому предполагал, что при утверждении финального варианта будет возможность окончательно вычитать ашибки :)

Ответить
skazka.mk.ua
0
Dmitry V.G. ветеран (693 комментария)
7 ноября 2014 г. 9:24:24 #

Присоединяюсь, статью можно было подсократить. Как минимум - за счет масштабных цитат из книг; достаточно было бы передать суть в двух-трех предложениях, если уж они настолько важны. А так - монументальный труд заслуживающий уважения.

Ответить
Dmitry  V.G.
0
skazka.mk.ua гагаджетоман (2342 комментария)
7 ноября 2014 г. 9:33:53 #

Спасибо. Однако я хотел, чтобы те, кому будет интересно, могли изучить тексты указанных книг целиков.

Ответить
skazka.mk.ua
0
ado старожил (160 комментариев)
7 ноября 2014 г. 1:51:07 #

Тема, поднятая в реферате/статье, правильная. Но абсолютной защиты нет.

Ответить
ado
0
skazka.mk.ua гагаджетоман (2342 комментария)
7 ноября 2014 г. 7:16:42 #

Но можно попытаться снизить вероятность "прямой" атаки т.к. в основном используется управляемость субъекта и низкая осведомленность в современных тонкостях. При этом главное все же внимание !!!

Ответить
skazka.mk.ua
0
ado старожил (160 комментариев)
7 ноября 2014 г. 9:51:46 #

"Грабли" это привычка ;)

Ответить
ado
0
skazka.mk.ua гагаджетоман (2342 комментария)
7 ноября 2014 г. 9:56:24 #

Не соглашусь. Часто люди не задумываются о чем-то, но если они где-то слышали или видели что-то по теме, то в нудный момент могу и вспомнить!

Ответить
skazka.mk.ua
0
gigabait ветеран (560 комментариев)
7 ноября 2014 г. 9:14:18 #

Спасибо, интересная статья. Не всем правда под силу, но это вполне нормально, ибо много букв ;)

Ответить
gigabait
0
skazka.mk.ua гагаджетоман (2342 комментария)
7 ноября 2014 г. 9:34:23 #

Есть такое, но в бумажных книгах их еще больше :)

Ответить
skazka.mk.ua
0
Koball старожил (201 комментарий)
7 ноября 2014 г. 9:14:38 #

Осилил))) на самом деле даже не задумывался над этим )) интуитивно следовал почти всем советам)) круто)) кстати про двухсимные телефоны: иногда даже не думал что у вещей может быть двойное назначение. Ну типа зачем люди покупают на 2 сим телефон? Экономить на связи? Оказывается что не только)) мне кстати тоже никогда не звонили и не пытались развести. Вот незадача)))

Ответить
Koball
0
skazka.mk.ua гагаджетоман (2342 комментария)
7 ноября 2014 г. 9:38:21 #

От трехсимовых читать тут http://gagadget.com/lg-a290/14175-trehsimochnyij-lg-a290-i-eksperimentyi-na-lyudyah/ и скоро будет еще один материал. Спасибо за отзыв.

Ответить
skazka.mk.ua
0
Koball старожил (201 комментарий)
7 ноября 2014 г. 12:07:10 #

О, давно читал эту статью! Отличная. Очень подробно расписано.)))

Ответить
Koball
0
skazka.mk.ua гагаджетоман (2342 комментария)
7 ноября 2014 г. 12:10:38 #

Спасибо. Скоро будет расширение некоторое с применением нового 3симника.

Ответить
skazka.mk.ua
0
Koball старожил (201 комментарий)
7 ноября 2014 г. 21:48:15 #

Крутяк)) Ждемс!!!

Ответить
Koball
0
gigabait ветеран (560 комментариев)
7 ноября 2014 г. 9:23:16 #

Кстати, хотел как то поднять вопрос. Везде ли опсос требует паспорт при замене на микросим,или это только в нашем Зажопинске,и насколько это правомерно,брать паспортные данные?

Ответить
gigabait
0
skazka.mk.ua гагаджетоман (2342 комментария)
7 ноября 2014 г. 9:39:13 #

Думаю везде. Смотреть тут http://zakon4.rada.gov.ua/laws/show/2297-17/print1389952042857030

Ответить
skazka.mk.ua
0
RomireZ ветеран (971 комментарий)
7 ноября 2014 г. 10:04:17 #

Год-полтора назад менял предоплаченную кмевстаровскую симку в столице - не помню чтоб документы требовали, но могу ошибаться.

Ответить
RomireZ
0
skazka.mk.ua гагаджетоман (2342 комментария)
7 ноября 2014 г. 10:10:09 #

Уточните время т.к. закон о защите персональных данных тоже работает не так давно.

Ответить
skazka.mk.ua
0
Maksym Melnishyn читатель (9 комментариев)
7 ноября 2014 г. 13:06:30 #

Проще в любом мобильном салончике за 20грн обрезать симку - заодно останется переходник. И никаких документов.

"...ВСЕГДА критически относитесь к ЛЮБЫМ попыткам управления вашими действиями..."

Ответить
Maksym Melnishyn
0
skazka.mk.ua гагаджетоман (2342 комментария)
7 ноября 2014 г. 13:08:39 #

А если надо наоборот из маленькой сделать большую? Переходник может не сильно и помочь, если криво обрезано.

Ответить
skazka.mk.ua
0
Maksym Melnishyn читатель (9 комментариев)
7 ноября 2014 г. 13:14:17 #

Надо тогда уточнить перед процедурой, насчет качества инструмента. Мне сделали нормально, теперь у меня даже два переходника, с наносим на микросим и с микросим на минисим.

Ответить
Maksym Melnishyn
0
gigabait ветеран (560 комментариев)
7 ноября 2014 г. 13:12:37 #

Угу, я обрезал несколько, без проблем. Но та симка 2006 года, плата большая, мне не советовали ее резать.

Ответить
gigabait
0
skazka.mk.ua гагаджетоман (2342 комментария)
7 ноября 2014 г. 13:17:30 #

Гуглить слово МОЭЛЬ :)

Ответить
skazka.mk.ua
0
Василий Кот читатель (1 комментарий)
7 ноября 2014 г. 9:51:16 #

поучительная статья

Ответить
Василий Кот
0
skazka.mk.ua гагаджетоман (2342 комментария)
7 ноября 2014 г. 9:53:47 #

Спасибо!

Ответить
skazka.mk.ua
0
SMOLA ветеран (808 комментариев)
7 ноября 2014 г. 15:09:50 #

Багато тексту, а по ділу скупо і узагальнено! Дуже мало практичних порад!

Особисто сам стикнувся з проблемою, того що на мій номер телефонує банк в пошуку якогось "унікала" який кожному щось винен! Пакет був куплений і звичайному кіоску, повністю запечатаний, але приніс багато лишніх звязків!

Маючи достут до емейлу, і получивши дублікат сім карти, зловмисник получає доступ до ваших банківських карт, і масси ресурсів, на яких ви зареєстровані! Не маю ніякого сумніву у тому що Google, має доступ до всіх моїх акаунтів і платіжних систем, як би це не було сумно! Багато хто може не погодитись, і запропонувати надіти шапочку з фольги, але зберегти приватність, і не "оголити" доступи у сучасні мережі просто неможливо!

Ответить
SMOLA
0
skazka.mk.ua гагаджетоман (2342 комментария)
7 ноября 2014 г. 19:03:41 #

Надо же как-то вводить в проблему тех, кто о ней пока не задумывался. А что касается неоголоения, то если само оголение неизбежно, то почему бы не делать этого с минимальным риском и осознанно?

Ответить
skazka.mk.ua
0
SMOLA ветеран (808 комментариев)
7 ноября 2014 г. 21:34:53 #

так то я з вами згоден!

Ответить
SMOLA
0
skazka.mk.ua гагаджетоман (2342 комментария)
7 ноября 2014 г. 21:37:06 #

+1

Ответить
skazka.mk.ua
0
wawakss читатель (26 комментариев)
7 ноября 2014 г. 15:43:06 #

Спасибо за статью. В таких вопросах если кто знал, - то напомнить нелишнее, а кто не задумывался - тот много интересного себе почерпнет.

Ответить
wawakss
0
skazka.mk.ua гагаджетоман (2342 комментария)
7 ноября 2014 г. 19:04:19 #

Спасибо за отзыв. Одной статьи тут мало конечно же, но будем двигаться вперед!

Ответить
skazka.mk.ua
0
wawakss читатель (26 комментариев)
7 ноября 2014 г. 15:43:12 #

Спасибо за статью. В таких вопросах если кто знал, - то напомнить нелишнее, а кто не задумывался - тот много интересного себе почерпнет.

Ответить
wawakss
0
intpov читатель (2 комментария)
7 ноября 2014 г. 15:57:40 #

Текст раскритиковали и без меня, к слову хочется добавить: есть мобильные приложения "Поймай мошенника"за вознаграждение 5000 грн. В Приват Банке, приобрести можно зарегистрировавшись агентом и получив карточку кредитно-депозитную "Универсальная "абсолютно бесплатно, по кредиту 55 дней 0% потом 2,9%, по депозиту от 100 грн. начисление каждый месяц 10% годовых, в сети магазинов расчет без комиссии,...: http://agent.privatbank.ua/registration/?ref=40421858

Ответить
intpov
0
skazka.mk.ua гагаджетоман (2342 комментария)
7 ноября 2014 г. 19:06:08 #

Критика лишней не бывает, если по существу.

Ответить
skazka.mk.ua
0
Dreamburner ветеран (609 комментариев)
7 ноября 2014 г. 15:57:55 #

Затем он дал инструкции для перевода: «ровно 10 миллионов 200 тысяч долларов» для Компании Ирвин-Траст в Нью-Йорке в качестве кредита в Банк Wozchod Handels в Цюрихе, Швейцария, в котором у него уже был открыт счёт.

Это перевод из книги? Таких переводчиков нужно вешать (перевести for credit как "в качестве кредита" может только полный ламер в обсуждаемом вопросе, это "для зачисления на счет"). Вообще-то в такую ситуацию не особо верю, так как обычно шла процедура колл-бэка, а после перехода на KTT и на электронную сеть SWIFT-банка такие вещи закончились навсегда.

Что касается подбора паролей: 1) таймауты на неверный логин обычно ставятся на вэб-морду, но не на IMAP/POP3.

2) гораздо легче получить пароль подсадив сниффер/кейлоггер жертве или направив на фишинговый сайт, чем перебирать пароли вручную. Большая часть взломов как раз и относится к реальной работе троянов/вирусов с кейлоггерами/снифферами.

3) Социальная инженерия в действии

Ответить
Dreamburner
0
skazka.mk.ua гагаджетоман (2342 комментария)
7 ноября 2014 г. 19:07:30 #

Книгу я читал давно достаточно и для статьи выдержку взяли из сетевого варианта. Надо будет оригинал привести для сравнения. Спасибо.

Ответить
skazka.mk.ua
0
skazka.mk.ua гагаджетоман (2342 комментария)
7 ноября 2014 г. 19:08:59 #

За баш отдельное спасибо!

Ответить
skazka.mk.ua
0
skazka.mk.ua гагаджетоман (2342 комментария)
8 ноября 2014 г. 6:12:32 #

Rifkin has said that his adrenaline-powered heartbeat "picked up its pace" at this point. He responded smoothly, "4789." Then he went on to give instructions for wiring "Ten million, two-hundred thousand dollars exactly" to the Irving Trust Company in New York, for credit of the Wozchod Handels Bank of Zurich, Switzerland, where he had already established an account.

Ответить
skazka.mk.ua
0
Я робот старожил (453 комментария)
7 ноября 2014 г. 16:59:15 #

«Москва-2042» - шикарный роман. Спасибо, что напомнили о нем!

Ответить
Я робот
0
skazka.mk.ua гагаджетоман (2342 комментария)
7 ноября 2014 г. 19:08:33 #

Во многом не утративший актуальности!

Ответить
skazka.mk.ua
0
skazka.mk.ua гагаджетоман (2342 комментария)
28 ноября 2014 г. 7:44:34 #

UPD

В городе Первомайск на Николаевщине мошенник похитил деньги с банковского счета 37-летней женщины, которая продавала автомобиль через интернет-магазин.

Об этом сообщили в Первомайском городском отделе милиции.

«На одном из интернет-сайтов женщина разместила объявление о продаже автомобиля. Через некоторое время на ее мобильный телефон позвонил незнакомец, который предложил женщине предоставить реквизиты банковской карты для перечисления денег за автомобиль. Обрадовавшись, продавец предоставила информацию, которую у нее спрашивали, но вместо ожидаемого поступления значительной суммы лишилась двух тысяч гривен, которые были на ее банковском счету», - рассказали в милиции.

Ответить
skazka.mk.ua
0