Comments 122
Я бы ещё посоветовал двухфакторную аутентификацию сделать через одноразовые ключи, которые в Яндекс.Ключ или Google Authenticator даются, там есть такая возможность. Хотя бы для госуслуг, а то на них очень много функционала понавешано.
Что совершенно не помешает восстанавливать доступ по привязанному к аккаунту номеру телефона. А номер телефона отвязать нельзя, только сменить на другой.
Хоть как то должен спасать контрольный вопрос, который стоит считать паролем для восстановления и генерировать из случайных букв и цифр.
Всмысле? Если указан вход по ключу, можно все равно войти по смс? 0-0
Мошенники делают восстановление пароля, чем тут поможет вход по ключу?
А там при восстановлении пароля OTP не задействуется? Только номер телефона? Вот это номер, если честно
это не просто дыра в безопасности...
Пароль сбросить смогут, но это им не поможет, т.к. ОТР останется.
Если не ошибаюсь, то в том же Гугле, Эппл и Протоне можно указать номер телефона для восстановления доступа. И для такого восстановления не нужна 2fa.
И для такого восстановления не нужна 2fa.
У гугла - нужно. Когда включаешь 2fa оно требует сделать три артефакта доступа. (обычно включая телефон, но можно сделать и по другому).
Если утерял один (пароль или OTP генератор) -- оно спрашивает какой-то другой. Как раз для того, чтобы при восстановлении - оно не вырождалось в один фактор.
В общем - что для входа, что для восстановления будет нужен "два из трех" (или больше) факторов.
Госуслугам и прочим хорошо бы так же поступать.
Проблема в том, что при получении доступа к аккаунту Госуслуг, мошенники сразу ставят ОТР на своё устройство, и отключают аутентификацию по СМС. Если для сброса пароля требовать код ОТР, хозяин сам не сможет оперативно поменять пароль в случае потери доступа.
Проблема в том, что при получении доступа к аккаунту Госуслуг, мошенники сразу ставят ОТР на своё устройство, и отключают аутентификацию по СМС.
Для изменения(да и для входа, собственно) пароля при включенной 2fa нужен и код OTP и еще что-нибудь. Как мошенник доступ-то получил по одному коду?
Но, вообще, это тоже решаемо - но уже весьма неудобно.
Решение - для входа нужно 2 артефакта доступа. А вот для смены/замены этих утерянного - уже 3.
Но тогда нужно иметь 4 артефакта доступа (чтобы при утере одного еще три оставалось) - но где их взять столько?
Для первичной установке все норм, а для замены способа визит с паспортом в МФЦ как 4 вариант, не?
визит с паспортом в МФЦ
Часть народа очень плохо реагирует на предложения визита и хочет удаленный способ восстановления.
По хорошему, государству уже давно пора чипованные карточки (не полноценный ID, а просто карточки) с ключами выпускать и в каждом супермаркете продавать. Чтобы зарегистрировал такую в учетку, в сейф/тумбочку положил - и можешь использовать ее в качестве способа входа. Ни или даже не чипованные а просто скретч-карты.
(это отличается от резервной фразы и кодов тем, что содержимое чипа нельзя продиктовать по телефону, т.е. мошеннику значительно труднее этот способ из человека вытащить - надо физически его как-то вытаскивать)
аппаратный ключ - это без сомнения лучший вариант
аппаратный ключ - это без сомнения лучший вариант
По хорошему, государству уже давно пора чипованные карточки (не полноценный ID, а просто карточки) с ключами выпускать и в каждом супермаркете продавать. Чтобы зарегистрировал такую в учетку, в сейф/тумбочку положил - и можешь использовать ее в качестве способа входа. Ни или даже не чипованные а просто скретч-карты.
Государство когда-то пыталось сделать карту УЭК, в который был ключ для аутентификации на госуслугах. И эта штука потом должна была стать электронным паспортом и заменить бумажный. Но там что-то не получилось.
Но там что-то не получилось.
Не получился полноценный ID/электронный паспорт. Да еще за скинув всю недешевую бюрократию и процедуры, с этим связанные, на банки.
Я же описываю просто карточку с ключем. Анонимную. Даже изначально зашитым, без возможности генерации (криптографы-параноики сейчас поморщатся) и потому дешевую. А привязывается к учетке и человеку она уже самим человеком.
просто карточку с ключем. Анонимную. Даже изначально зашитым, без возможности генерации (криптографы-параноики сейчас поморщатся) и потому дешевую.
Поясните, плз, механизм действия...
Поясните, плз, механизм действия...
Выпускаются чипы (приблизительно такие же, как SIM и банковские). В них прямо на заводе вшиваются ключи доступа. Упаковывается, отсылается в магазины. Они будут дешевые именно потом что механизма генерации ключа в них нет (я подозреваю, что 'настоящие' аппаратные ключи именно из за него такие дорогие).
Форм фактор - 'банковская карта' с дополнительным плоским USB контактом на краю или 'флешка'.
Потом:
Человек идет в магазин, покупает такой. Логинится в учетку сайта (госуслуг или другого). Предъявляет (через NFC или контактный USB) карту "я будут этим пользоваться в качестве фактора входа".
Сайт публичный ключик этого чипа запоминает ну и так далее.
В общем, как обычный аппаратный ключ, только, собственно, ключевая пара сразу на заводе сгенерирована, чтобы все это удешевить.
Главное чтобы потом так не было))
А токен, как для ЭЦП не подойдет для этих задач?
Что-то кажется как изобретение велосипеда
А токен, как для ЭЦП не подойдет для этих задач?
Пойдет. Но они почему-то нездраво дорогие по сравнению с чипами банковских карт и SIM-ок. Мое предположение - потому что слишком много умеют.
Никаких проблем с генерацией нет. Вообще. Но если пара ключей генерируется заранее, значит она известна и может утечь. Так что только генерация. Ничего сложного в генерации пары ключей нет. Может быть, процесс будет долгим, но... Кого волнует, что он займёт несколько минут? Да хоть час: воткнул в USB или специальную читалку, которая, кстати, подключается через ту же шину, запустил процесс и можно заниматься своими делами, пока программа не пискнет, что процесс закончился. Главеное, чтобы карта тянула шифрование сгенерированым ключом. А это тоже не такеи уж большие мощности и время тоже не сильно критично, хотя даже минута, вероятно, будет перебором. Но тут всё зависит от того, в каких условиях и как часто это устройство будет использоваться. В общем, того компьютера, который используется для SIM и банковских карт хватит за глаза.
Поясните, плз, механизм действия...
FIDO U2F
Если регистрировать спецкарту опционально, то точно так же мошенники будут это делать после первого своего входа.
Если регистрировать спецкарту опционально
Так надо настоятельно рекомендовать это делать. Вот как номер телефона добавить 'рекомендуют'.
Первую карту регистрируешь в МФЦ, последующие (для бэкапа, например) только после ввода пароля и предъявления первой карты. Для любых изменений, связанных с аутентификацией предъявление карты обязательно.
То же самое, в обязательном порядке для всех банков.
Если регистрировать спецкарту опционально
Тому, кто отказывается привязывать карту, любые изменения, связанные с аутентификацией только в МФЦ. Но если ты влогинился, разрешить блокировку аккаунта до визита в мфц.
Напомнило - раньше такое было у банка Unicredit. Карточка с закрытым слоем на 40 одноразовых кодов. Применялась как для входа, так и для проведения банковских операций. Активировалась в личном кабинете или приложении по номеру этой карточки. Надо какой-то код (а они требовались рандомно) - стер монеткой и ввел. Банк выдавал до 3-х таких скретч-карт за раз..
Надо какой-то код (а они требовались рандомно) - стер монеткой и ввел.
Это - главный недостаток. Этот код можно продиктовать. Сильно лучше с точки зрения звонков мошенников, когда аутентификатор работает только локально - когда ты его в руках держишь.
Проблема в том, что коды с карты известны заране, а потому так же бодро могут утечь, как и все остальные данные с Госуслуг.
Для изменения(да и для входа, собственно) пароля при включенной 2fa нужен и код OTP и еще что-нибудь. Как мошенник доступ-то получил по одному коду?
На Госуслугах не так. Если включён ОТР, поменять пароль всё равно можно по коду из СМС. Но войти по этому паролю не получится без ОТР. Выше написал для чего так сделано.
На Госуслугах не так. Если включён ОТР, поменять пароль всё равно можно по коду из СМС.
Т.е. пароль - не важен. На самом деле для входа нужны доступ к SMS-кам на телефон и генератор. И смысла тогда его вообще делать?
Я проверял, пароль можно сбросить, но войти по нему без OTP нельзя. А если ты не вошёл, нельзя выключить OTP.
У меня не получилось "взломать" свой акк на Госуслугах.
Я проверял, пароль можно сбросить, но войти по нему без OTP нельзя. А если ты не вошёл, нельзя выключить OTP.
Тут возможен такой сценарий: меняем пароль по коду из SMS и используем его (вместе с генератором) для входа в учетку.
Но получается что пароль вроде бы - лишний. Можно было бы сразу по коду из SMS и OTP коду пускать.
Отличие от сценария "нужно два фактора из трех" в том, что в нем можно пароль (длинный и сложный) записать, положить в тумбочку и использовать его только для смены либо телефона либо OTP, если потеряешь. А входить - именно по SMS и по коду из генератора (одновременно).
С недавних пор на смену типа двухфакторки SMS / OTP и обратно требуется вторая СМС помимо первой для входа
Лучше так, чем в банках, где доступ к аккаунту только по коду из смс и по номеру карты, который не является секретным.
Что такое ОТР?? Гугл говорит, что "организационно-технологические решения"
При включенной OTP двухфакторке, мошенники могут сбросить пароль если узнают код из СМС, но войти без ключа всё равно не смогут.
Да, только что проверил. Запросил сброс пароля, пришла четырёхзначная (!) SMS, после ввода сайт предложил ввести новый пароль. Новый пароль подошел, но потребовался ввод OTP, который не сбросился.
Вывод: OTP даёт пополнительный слой защиты и не сбрасывается при успешном сбросе пароля.
Причём при успешном взломе, мошенники сами включают ОТР, чтобы затруднить восстановление доступа.
получается, что если "2фа" через смс (по-умолчанию у всех, в том числе и у автора топика), то она сбрасывается при смене пароля, а если 2фа через приложение - то нет...
2fa через sms конечно не сбрасывается, но мошенники перехватывают этот второй фактор. OTP перехватить намного труднее.
>>OTP перехватить намного труднее.
это понятно, но вроде у топик-стартера только одна смс уплыла, с помощью которой пароль и восстановили (тк не было задано контрольного вопроса). И с помощью только нового пароля и зашли - уже без получения новых смс. Хотя ведь сейчас 2фа вроде по умолчанию у всех принудительно установлена (пароль+смс)?...
Речь про OTP через аутентикатор или приложение. Через СМС второй фактор не сработает, если уже код назвали. Контрольный вопрос не особо надёжная штука, хотя конечно лучше чем ничего. Но полагаться только на него не стоит, лучше нормальную 2fa иметь, которая не даст мошенникам войти в аккаунт даже если они сбросят пароль.
При регистрации акка на госуслугах надо сразу ставить восстановление пароля с контрольным вопросом, тогда войти в госуслуги можно либо через пароль+смс, либо через контрольный вопрос+смс, но в любом случае надо вбивать самому или называть явно и никакой доступ к смс не поможет мошенникам. Ну и конечно никогда не расшаривать экран, не называть смс, не называть любые персданные, при любых сомнениях звонить родителям. А родителям включать мозг и разруливать.
Сделали бы самозапрет на смену пароля в госуслугах по смс! Если и сделают, то подозреваю лет через 10... Чтобы сделать самозапрет на кредиты и удаленное оформление недвижки, как раз примерно столько потребовалось... Причем этот самозапрет еще надо самому установить! (а по хорошему такое надо включать по умолчанию всем, а уж те кто понимает что это, пускай включает)
А говорили "мошенники не звонят через мессенджеры".
Кто говорил? Не поверите, мошенники звонят даже через звонок входной двери квартиры.
Это, очевидно, отсылка на текущую вопиющую ситуацию с блокировкой иностранных мессенджеров, и даже если тут нет сарказма по отношению к тем, кто утверждает, что на кой ляд блокируют, мол "Вот видите!" - вы ни к месту давите на больной мозоль.
Потому что весь этот поток ограничений и блокировок за последние годы выглядит бесполезным и просто как удобный аргумент. Как звонили, обманывали, воровали - так и будут. И в Максе будут звонить, и никто никого не будет искать и находить (в большинстве случаев, как и сейчас).
Давайте я вам сейчас перезвоню по WhatsApp, вы покажете экран, я подскажу...
Давать доступ к своему устройству кому бы то ни было — это надо уже немножко альтернативно одарённым быть.
Или ребёнком.
(и не доступ, а расшаривание экрана)
(и не доступ, а расшаривание экрана)
«Расшаривание экрана» — это и есть доступ к экрану.
Доступ к экрану - частично да, доступ к устройству - нет. Вы бы там промеж себя разобрались кто из вас о чём говорит )
Доступ к экрану - частично да, доступ к устройству - нет.
То есть экран типа не на устройстве?
То есть экран типа не на устройстве?
Ага. А устройство, типа, у человека, а у человека, типа мозг. Получается, если некто в зеркале увидел отражение экрана телефона, то он получил доступ к мозгу этого человека? Ну-ну.
Не пытайтесь подогнать общепринятые термины под глупость, которую сморозили. Выглядит жалко.
А как ДЕМОНСТРАЦИЯ экрана позволят хоть что-то сделать на целевом компьютере? Вот вообще непонятно - что произошло?
Я тоже долго не понимал, пока до меня не дошло, что демонстрировали экран не компьютера, а телефона (никогда б не подумал, что кто-то в здравом уме может до такого додуматься!), а в момент, когда демонстрация шла, на телефон пришла SMS от Госуслуг (или чего-то там), и таким образом мошенники сами увидели число, и им не пришлось даже кого-то уговаривать его прочитать.
Вот этой информации в статье очень не хватает
Когда-то давно на фрилансе была популярная разводка с тестированием приложения, которое позволяло управлять телефоном. Причём, мошенники даже не скрывали этого. Ведь это было тестирование. Только вот в процессе они просили номер телефона для оплаты на Qiwi, а потом получали пытались перехватить контроль над кошельком, "подсматривая" код из SMS через удалённый доступ.
Схватили паспорт и прибежали в МФЦ.
По моему опыту, сбросить пароль можно прямо из дома, даже если мошенники уже поставили ОТР. Возможно, быстрее было бы заблокировать акк по телефону тех. поддержки, если только до МФЦ не 3 минуты ходу.
Да. Можно звонком в службу поддержки.
Но там блокируют на 2 суток, кажется. Т.к. шел активный этап работы с заявлениями в ВУЗы - решили, что лучше сбегать до МФЦ.
Можно записать как ещё один совет, что если до МФЦ далеко - блокируете по телефону.
Спасибо.
Можно даже без звонка в техподдержку, просто поменять пароль перед тем как бежать в МФЦ. Через ту же самую процедуру с СМС кодом, которой воспользовались мошенники.
Если они не дураки (а скорее всего они не дураки, за ними государство стоит), то сразу поставят контрольный вопрос на восстановление и просто по смс уже не восстановить.
Они не дураки, но пароль по коду из СМС сбросить можно - из собственного опыта. Скорее всего так намеренно сделано на Госуслугах.
Именно так они и сделали.
А мошенник может это звонком сделать?.. заблокировать вам доступ?
Оффтоп. Может, кто подскажет, на что меня пытались развести?
(Стандартно, звонок "Это курьерская доставка Озон, бла-бла-бла, скажите номер заказа из СМС". Были посланы вдаль, естественно. Но вопрос - "куда хотели зайти" - остался. Вроде не госуслуги, там 6 цифр)
Вот, собственно, сама СМС
На заднем плане они должны были громко радоваться, что зашли к вам на госуслуги или что-то такое, вы бы начали нервничать, вам бы позвонил "банк" (из соседней камеры) и предупредил, что на вас оформляют кредит. Примерно такой план, с двойным дном
Это только первый шаг, дальше было бы что то подобное
вы говорите им этот код, на том конце слышите фразу "Ваня работаем, я взломал этого лоха"
вы в панике начинаете бегать в банки, мфц, и т.д. и все блокировать, перевыпускать
через некоторое время вам вам звонит 'товарищЪ майор', и строгим голосом говорит "вас уважаемый взломали, некоторе время назад, ведется расследование, процессуальные действия, назовите код что бы мы наказали мошенников"
Понятно, спасибо. Эх, не довел я до конца... Еще была мысль назвать рандомные 5 цифр... Поприкалывался бы...
Еще была мысль назвать рандомные 5 цифр...
А можно — букв!
Оффтоп. Может, кто подскажет, на что меня пытались развести?
Самое очевидное (необязательно верное) - получить посылку которая пришла на ваше имя. Ее все равно получат так или иначе, но если был использован номер из СМС, то вы - соучастник. CDKShopping это не CDEK Shopping. Нверное у сдэка как и у почты можно узнать есть ли на ваше имя посылка. Если есть, которую вы очевидно не заказывали, решайте сами что делать. Можно не делать ничего, можно заяву ментам попытаться написать, но им оно не надо. Прикольный момент может быть, когда по истечении срока хранения внезапно окажется, что статус посыли - получена, а не отправлена обратно. На мой взгляд в этот момент неплохо бы формально сигнализировать лучше в электронном виде, но без фанатизма, типа - такой вот факт, мопед не мой, дальнейших действий предпринимать не буду.
Работникам приемной комиссии приходится по 100 раз объяснять
Если они сами не могут похлопотать, то организация дисфункциональна и пускай дальше страдают.
Большое спасибо, полезная статья!
Мошенники сейчас на каждом шагу, в самых неожиданных местах появляются. Чем-то напоминают даже креативных менеджеров из OpenAI - людей, которые делают то, чего не было в общем доступе раньше в таком виде, которые могут придумать что-то новое. Только мошенники это делают, Марко говоря, в отрицательном ключе.
ЗЫ. К чему бы это такая реклама вылезла (после статьи) 🧐😉
ЗЫ. К чему бы это такая реклама вылезла (после статьи) 🧐😉
К тому, что вне хабра Вы интересовались темой снаряжения, экипмента, оружия, войны и т.д. Это лишь контекстная реклама, которая будет по вашему профилю показывать тематическое банера у любого партнера, хоть хабр, хоть сайт агенства недвижимости.
П вот тут вы ошиблись. Я абсолютно не интересуюсь военной тематикой. Основное, что посещал последнее время из Хрома, кроме Хабра -
4pda.to, ixbt.com, overclockers.ru, naukatv.ru, windowslatest.com и другие технические и научные ресурсы. Не понял, за что мне наставили минусов, в данном случае реклама вообще не контекстная, в своём комментарии выше имел в виду, что алгоритмы подтянули эту фигню, поскольку вопросы, близкие к военной тематике (когда мошенник подал заявление на контракт) освещались в статье. Например, когда на 4пда (сайте, не форуме) выходит рассказ о новом девайсе, и там упоминаются какие-то запчасти, то в конце статьи вылезает конкретно из реклама, а также реклама устройства, о котором была статья (условно электронная книга на Андроиде с e-ink, и в конце несколько объявлений в виде стандартного баннера, но в фиксированном виде).
К чему бы это
«Ждёт тебя, внучек, дорога дальняя в зону специальную...»
У меня, почему-то, реклама промышленно-энергетического форума в Тюмени. Пойду билеты в Тюмень покупать.
Количество мошенников и спамеров пугает. Радует, что сейчас как-то редко звонят, с года два прям почти каждый день – и службы безопасности банка, и приставы, и товарищи майоры всех ведомственных структур. Но больше всего переживаю за пенсионеров, они в группе риска и таким звонят гораздо чаще, матушка регулярно жалуется.
Эх, вот бы ответственность за мошшенников на ОПСосов переложили, хоть частично. А то у нас все под колпаком, включая мессенджеры, трафик анализируется, а когда по мобильнику звонят с какой-то виртуальной АТС с определенной территории, то провайдер вообще не в курсе, кто же это. И главное, кто такие услуги предоставляет тоже "не знает", кто его услугами пользуется. И нет механизма на это повлиять – да, один номер можно заблокировать, и то на уровне телефона. А почему нельзя заблокировать номер на уровне оператора, почему нельзя заблокировать подсеть или звонки от какого-либо провайдера SIP, или хотя бы вайт / блэк листы.
«Славик из администрации президента».
Славик там больше не работает.
еще весной сказал: «Будь я мошенником — взялся бы за абитуриентов.»
И какие действия были предприняты?
Никакие.
"Ребенок" (17!!! лет) не обладает элементарными навыками безопасного поведения в сети.
Никакие дополнительные меры защиты аккаунта Госуслуг не предприняты. Включение двухфактурной авторизации через приложение и установка контрольного вопроса исключили бы "угон" аккаунта.
Короче, "Пока гром не грянет ..."
Он был предупрежден никому не говорить никакие коды. В основном, все рекомендации сводятся к этому.
Код он и не сказал.
Легко так говорить, пока самого не коснется. На том конце провода тоже не дураки сидят. Они специально ловят людей в нервном или пограничном состоянии, когда теряешь контроль.
Авторизация как раз двухфакторная (если я не ошибаюсь) после ввода пароля приходит СМС. А с контрольным вопросом, да упустили. Я до этого и не знал, что его там задать можно. Сам без него жил.
Авторизация как раз двухфакторная (если я не ошибаюсь) после ввода пароля приходит СМС.
Нет. Именно через приложение использующие TOTP. Типа Google Authenticator, Authy или тот же Яндекс Ключ. Есть как для Android так и для iOS. После таких настроек слить аккаунт это надо очень постараться.
Легко так говорить, пока самого не коснется.
Думаю трудно сейчас найти человека, кого это никогда не касалось.
На том конце провода тоже не дураки сидят.
Да разные бывают. Мне на днях вообще с номера +590 ****** звонили, про замену домофона затирали. А номер этот с кодом Гваделупы. :-)
Тарасы говорят не «из военкомата», а «с военкомата». Это позволяет их безошибочно распознать.
«Завтра вам надо будет прийти на военкомат, в медкомиссию!»
"С Москвы", да. Сейчас вроде как таких мало уже осталось, более прошаренные пошли.
Даже если смосквича закодировать выговаривать «из Москвы» путём гипноза и электротерапии (220 V), он всё равно будет путаться с использованием предлогов «в», «на», «из», «с», «о», «за» в сочетании с другими существительными и именами собственными. Также он будет неправильно склонять числительные, поскольку этому не учат в школе № 404. Это, к счастью, не лечится.
На Ломоносовке абитуриет первое место занял, а вот жизненную "ломоносовку" на первом же вопросе завалил..)
Вот этот совет из чего вытекает (с чем вообще связан) в данном конкретном происшествии? «Совет 4. Договоритесь с ребенком о контрольном вопросе. Даже если «вы» ему звоните со своего номера, своим голосом и спрашиваете любой код — он должен спросить: «А что мы делали прошлым летом?!».»
Чтобы уберечь от других происшествий.
Голос и номер сейчас подменить не сложно.
Ну какие айтишники из МГУ??? Эти программы для поступлений пишут индусы по пятиколенному собподряду ;)
Мне одному видятся нестыковки?
Как при видеозвонки через вотсап можно увидеть смс-ку, пускай даже и всплывающую?
Зачем при "покажи экран" включать трансляцию экрана? Еë, что вот просто так щелчком можно включить на раз?
При чëм здесь МинОбр и смска от госуслуг, абитуриент там зареган? А если для рега, то должна идти плашка "войти через госуслуги" т она совсем незаметна?
А абитуриент правда "стобальник" и у него это первый смартфон в жизни?
Или вся эта бодяга, с давно уже прописными истинами, ну кроме разве бабулькам неизвестным, ради статейки?! Может в пикабушку или дзен, а? Хотя в пикабухе в панамку накидают знвтно)
Там человек в университет так-то только поступает. Ему лет 17-18, скорее всего. Его жизненный опыт намного меньше и более ограничен, чем наш. У него просто ещё не было возможности его получить.
И не смотрел в детстве мультиков.
Его жизненный опыт намного меньше и более ограничен, чем наш.
У него просто ещё не было возможности его получить.
кстати ! есть гениальная бизнес-идея для инфоцыган - тренинг по противостоянию мошенникам.
просто отрабатывать типичные сценарии, но деньги и аккаунты не угонять.
если заказывать для другого человека - сперва обязательно предупредить его, дважды.
первый раз - заказчик, второй раз раз - исполнители (они же и проверят
что первое предупреждение было).
вот и будет безопастное получение жизненного опыта.
кто возьмется реализовывать - мне 2% от выручки.
Это, похоже, как раз про этот случай:
Мошенники нашли новый способ взлома "Госуслуг" через сведения об образовании
— Здравствуйте мошенники, это абитуриент, вам сказать код из СМС? — Нет, спасибо, мы сами