Pull to refresh

Comments 22

Когда у соцсети ВКонтакте было длинное доменное имя, был сайт vikontkate (его больше нет). Сразу и не заметишь, если ссылку пришлют.
Звучит на первый взгляд здраво, но… лично я не верю, что все, что они делают — во благо нам.
Эти люди, в лучшем случае, стремятся к компромиссу, то есть всем на зло делают, но у нас ведь не такой случай?)

Вспомнилась история с педофилом, который поставлял оборудование для слежки за пользователями (http://www.leonidvolkov.ru/p/119/). И знаете, мне не даёт покоя деятельность лиги безопасного интернета. Был однажды на образовательном форуме, где на одной из секций выступали эти субчики. Они активно продвигали идею контроля за интернетом, в том числе всё, что касается поиска и запрета детской порнографии. И столько рвения и святого гнева в их словах. Страшнее всего, когда вышел один школьник, который с пеной у рта (не шучу) продвигал ещё более радикальные идеи (вот оно, настоящее развращение — развращение ума!).


Так вот, чтобы запретить страницу с неподобающим содержимым, её надлежит найти, и занимаются этим сотрудники лиги. Представьте себе, что может быть идеальнее укрытия, чем выйти в авангард и намеренно искать порнографию, прикрываясь вполне разумным объяснением. Но сперва-то они её найдут и посмотрят, не так ли?

Ну а никто и не говорит про всё. Конкретно вроде нет очевидных способов подгадить.
>> зашел на поддельную страницу, например, Сбербанка и ввел там свои персональные данные, после чего номер его кредитки утек к мошенникам
— Это когда на сайте Сбербанка вводят номер кредитки…
И как на основе персональных данных утекает номер кредитки который пользователь не вводил?
сбербанк онлайн, там есть возможность регистрации и там нужно вводить номер кредитной карты (по крайней мере, так было раньше)
В недавнем квесте получении пластиковой карты от сбербанка:
— Заявление в банк
— Получение пластиковой карты в банке.
— Пластиковая карта вставляется в банкомат для получение логина пароля Сбербанка Онлайн. На квитанции есть логин, пароль, адрес сайта
— В Сбербанке Онлайн пластиковая карта уже указанна, т.к. привязка карты к логину была при генерации пользователя.

Я понимаю ситуацию так — Пострадавший заходит на левый сайт, совершает там покупку с вводом реквизитов карты, при оплате появляется окно с логотипом банка и полями для ввода номера и прочих реквизитов. Но это не открытие пользователем сайта Сбербанка с самого начала.

Двухфакторную идентификацию никто не отменял. При совершении операций через сбербанк онлайн и с картами сбербанка при совершении покупок через интернет магазины приходят SMS при входе и для подтверждения платежей.

Им бы бороться с угоном денег с пластиковых карт именно борьбой с самими мошейниками, а не с интернетом.
У сбербанка есть форма регистрации карты и создание нового аккаунта, причём уже привязанную карту можно так зарегистрировать. У моего друга так пытались карту угнать, но там был глупый развод, где просили сказать код из СМС, 2 раза причём: идин на перепривязку, другой на вход в сбербанк онлайн. Так что тут хватает простой социальной инженерии, без фишинга.
Ссылка на форму регистрации
Не помню точно где, но несколько раз встречался, что деньги просто молча списываются и все. По-моему овервотч от близзард как раз покупал. Тупо ввел номер карты у них на сайте и все, никаких СМС, ничего, просто бабки списались. Поэтому покупки делаю только с левой карты, на которой красть нечего.
Стараюсь не пользоваться пластиком если можно оплатить наличкой, примеров мало.
При покупке в интернет сайте российского магазина при оплате Мастером операция проводилась через Яндекс Деньги.
После ввода номера карты, даты действия… от Сбербанка пришла СМС для подтверждения совершения оплаты кодом который нужно было ввести для оплаты.

А банки которыми пользовался, в том числе Сбербанк, списывают деньги в свою пользу без информирования о списании, узнаешь об этом только в выписке за период.
3ds должен поддерживать не только банк, но и мерчант. Если у банка есть 3ds, а у мерчанта нет, то операция пройдет и без ввода кода из SMS. Более того, даже cvv код вводить не всегда обязательно. Например, пару лет назад в cabelas.com транзакция проходила просто по номеру карты и дате действия (имени еще, но в российских банках оно обычно не проверяется, можно хоть DED MOROZ ввести). Однако, к таким транзакциям проявляется повышенное внимание обычно.
не проверяется?
был у меня случай с Альфа-банком и одним тогда-западным сайтом. из-за тупого интерфейса сайта и моих ошибок на оплату ушли данные с совершенно другим именем, даже близко не похожим на то что на карте. Оплата прошла но меньше чем через месяц — перевыпуск карты с новым номером по инициативе банка
>>то операция пройдет и без ввода кода из SMS

ну так то да
3 мая Британский Амазон — Альфа-банк Виза — сумма около 2,5 тысяч рублей — В истории СМС только Покупка Успешна
22 мая Ситилинк — Сбербанк Мастер карт — операция оплаты через Яндекс деньги — сумма около 50 тыс — СМС на совершении операции.

На мой взгляд надо усложнять списание денег с пластиковых карт, требовать подтверждение операций по другим каналам связи если пользователь карты на это пойдет.
Из вчерашнего:

Нейтральное сообщение о розыгрышах держателей карт нескольких банков с возможностью выиграть до 30 тыщ рублей на счет в честь акции. Причем составлены текст и графическое оформление в стиле Сбер-онлайн очень грамотно, без всякого кричащего давления, заставляющего автоматически врубать критическое мышление.

Никакого там: «Вы выиграли много-много бабок!», — а аккуратное: «Акция. Можете поучаствовать и выиграть». Всего-то и надо, что в изображение условной банковской карточки данные вписать.

Адресок еще красивый такой: sberbank-vesna.ru (не сочтите за рекламу, хех).
А если фишинговый сайт проверяет реферер и использует JS? Он же может и не выглядеть фишинговым для бота…
Большинство фишинговых страниц очень тупые (которые я встречал): просто копия страницы авторизации, данные с которой льются на какой-нить form.php, а дальше редирикт на реальную страницу авторизации. Если поискать по названиям файлов можно наткнуться на какой-нибудь logs.php, иногда без пароля.
Ну можно сделать поведение бота максимально похожим (заголовки, разные ip, user-agent и т. п.) на пользовательское, вплоть до использования phantom.js для проверки динамического содержимого. Но тут уже возможна локальная «гонка вооружений», как в случае с вирусами и антивирусами. Вопрос только — кто из сторон насколько станет заморачиваться.
UFO just landed and posted this here
А это и будет вручную. Скорее всего этот робот будет тупо спамить регистраторов, а уже регистраторы будут блокировать (или не блокировать, если в письме ересь какая-то) такие домены.
наступил 2016 год. Ура товарищи некоторые организации, не будем показывать пальцем, научились использовать глобальные репутационные базы урл себе во благо. Это просто сказка.
Также разделегировать такие домены могут авторизованные организации, заключившие договор с КЦ. К таким организациям относятся компания «Лаборатория Касперского», Group-IB, региональная общественная организация «Центр интернет-технологий»(РОЦИТ), Ru-Cert, а также НП «Лига безопасного интернета».


Это не совсем так.
Эти организации НЕ МОГУТ разделегировать такие домены. Разделегировать домен может либо регистратор либо реестр зоны.
Такие организации могут СООБЩИТЬ регистратору доменного имени о обнаруженном нарушении, и уже регистратор ВПРАВЕ прекратить делегирование домена. А может и не прекратить, если такое сообщение в стиле СпамХаусного «там червие!»
Sign up to leave a comment.

Other news