Comments 221
А альфа банк стал продвигать услугу «возврата украденных денег», за деньги. На вопрос имеют ли они право не возвращать деньги и в чем вообще смысл этой услуги, сказано было что, просто в кратчайшие сроки вернут деньги. А их карты с индивидуальным дизайном, а тарифы по умолчанию… Мутная конторка, рашн бизнес 2.0.
А почему не имеют права? Они же, извините, не виноваты в том, что юзеры такие ра***яи. Вполне законный отъем денег.
Они виноваты в том, что не отследили подозрительной активности мошенников — раз, не предупредили юзеров после первых случаев — два, не сделали https обязательным — три
То что не предупредили и https не сделали — виноваты. Но сами знаете — мошенники тоже не дремлют, всегда найдется лазейка либо в технологиях либо в социальной инженерии. Как пример WebMoney — уж столько защит понаставили, что захочешь не залогинишься и все равно уводят бабло.
С какого перепугу там нет https? только он и есть.
И предупреждают они постоянно.
И предупреждают они постоянно.
Ну я не юзер этих банков, не могу сказать. Писал со слов очевидцев :)
HTTPS тоже бывает разный — образно говоря, синий и зеленый, по цвету кнопки Favicon в FireFox. Первый удостоверяет подлинность сайта (домена), с которым установлено соединение, второй удостоверяет организацию, которая владеет доменом, с которым установлено соединение. Собственно, изменение цвета кнопки или адресной строки должо было насторожить (в IE должен быть включен SmartScreen Filter).
У Альфа-банка только через https — три.
Альфа спамит постоянно про то что надо читать, что написано в СМС, и вообще — два.
Никакой «подозрительной активности мошенников» нет, если чёткие инструкции перевести деньги злоумышленникам — раз.
В соглашениях с платёжными системами чётко прописано, что подтверждение доступа при помощи персональных паролей означает, что операции совершил сам пользователь и несёт далее полную ответственность за них.
Платёжные системы деньги возвращают только при наличии страховки или при успешном задержании средств. Так-то.
Альфа спамит постоянно про то что надо читать, что написано в СМС, и вообще — два.
Никакой «подозрительной активности мошенников» нет, если чёткие инструкции перевести деньги злоумышленникам — раз.
В соглашениях с платёжными системами чётко прописано, что подтверждение доступа при помощи персональных паролей означает, что операции совершил сам пользователь и несёт далее полную ответственность за них.
Платёжные системы деньги возвращают только при наличии страховки или при успешном задержании средств. Так-то.
Объясняю.
При предоставлении услуги банк ОБЯЗАН предупредить клиента о всех существенных недостатках услуги в соответствие с ЗоЗПП.
То, что деньги могут внезапно исчезнуть, даже если клиент предпринял все необходимые меры безопасности (работающий drweb) — очевидно, существенный недостаток услуги. Собственно, клиент даже не был предупрежден о том, что должен проверять hosts перед входом в интернет-банк.
В таком случае, ущерб, нанесенный клиенту вследствие непредоставления полной информации об услуге, обязан возместить банк.
При предоставлении услуги банк ОБЯЗАН предупредить клиента о всех существенных недостатках услуги в соответствие с ЗоЗПП.
То, что деньги могут внезапно исчезнуть, даже если клиент предпринял все необходимые меры безопасности (работающий drweb) — очевидно, существенный недостаток услуги. Собственно, клиент даже не был предупрежден о том, что должен проверять hosts перед входом в интернет-банк.
В таком случае, ущерб, нанесенный клиенту вследствие непредоставления полной информации об услуге, обязан возместить банк.
С чего это вдруг?
Банк тут не виноват никак.
Банк тут не виноват никак.
В том, что деньги сперли — не виноват.
В том, что не предупредил, что деньги могут спереть — виноват.
В том, что не предупредил, что деньги могут спереть — виноват.
В чём его вина конкретно? Он не ваша мама чтобы следить за каждым вашим шагом.
Бреш в безопасности не банка, а вашей головы. У банка с безопасностью всё хорошо. В МММ или напёрстки вы сами деньги отдаёте.
Бреш в безопасности не банка, а вашей головы. У банка с безопасностью всё хорошо. В МММ или напёрстки вы сами деньги отдаёте.
Вы читать умеете?
Следить не обязан. ПРЕДУПРЕДИТЬ и указать необходимые средства защиты, причем ДО подписания договора — обязан.
Следить не обязан. ПРЕДУПРЕДИТЬ и указать необходимые средства защиты, причем ДО подписания договора — обязан.
> все необходимые меры безопасности
> (работающий drweb)
Ну-ну. С чего вы взяли, что работающий Dr.Web — это «все необходимые меры безопасности»?
Уверен, даже разработчики Dr.Web не рискнут дать гарантии, что их продукт защитит в 100% случаев от любых угроз информационной безопасности, включая все существующие и созданные в будущем вирусы/черви/трояны, а также включая халатность пользователя в вопросах безопасности и самостоятельный запуск им от имени админа вредоносного кода.
> (работающий drweb)
Ну-ну. С чего вы взяли, что работающий Dr.Web — это «все необходимые меры безопасности»?
Уверен, даже разработчики Dr.Web не рискнут дать гарантии, что их продукт защитит в 100% случаев от любых угроз информационной безопасности, включая все существующие и созданные в будущем вирусы/черви/трояны, а также включая халатность пользователя в вопросах безопасности и самостоятельный запуск им от имени админа вредоносного кода.
Речь не о достаточности/недостаточности дрвеба для защиты.
А о том, что банк не предупредил клиента о необходимости защищаться и не указал, как.
А о том, что банк не предупредил клиента о необходимости защищаться и не указал, как.
Банк не может и не должен предупреждать юзера о всех возможных уязвимостях в безопасности используемого клиентом софта. Не будет же банк преподавать всем азы безопасности при работе в интернете.
Это всё равно, что требовать от банка, чтобы они говорили своим клиентам: «Мойте руки перед едой. Соблюдайте правила гигиены.». Это всё общие принципы, которым должны следовать пользователи сами, независимо от банка. Это не забота банка отслеживать политики безопасности всех клиентов во всех ОС.
Это всё равно, что требовать от банка, чтобы они говорили своим клиентам: «Мойте руки перед едой. Соблюдайте правила гигиены.». Это всё общие принципы, которым должны следовать пользователи сами, независимо от банка. Это не забота банка отслеживать политики безопасности всех клиентов во всех ОС.
> Банк не может и не должен предупреждать юзера о всех возможных уязвимостях в безопасности используемого клиентом софта.
Обратите внимание на весьма знаменательно для России судебное решение: клиент Райффайзена смог отсудить у банка похищенные с его карточки деньги (http://pavel-yegorov.livejournal.com/).
Линия обвинения именно такая: банк не предупредил меня о существовании скиммеров, я честно исполнял всё предписанное мне договором, но деньги увели. Банк знал о такой возможности, но не предупредил меня при подписании договора. Разбираться в том, что такое скиммер, как он работает я не обязан.
Здесь логика ТОЧНО такая же. Банк предоставил услугу управления счетом через интернет, не предупредив, что злоумышленник может украсть деньги даже при соблюдении пользователем оговоренных в договоре правил безопасности.
Какая разница между ситуацией «клиент засунул карточку в банкомат, где был скиммер» и «клиент залогинился на компьютере, где был троян»?
Обратите внимание на весьма знаменательно для России судебное решение: клиент Райффайзена смог отсудить у банка похищенные с его карточки деньги (http://pavel-yegorov.livejournal.com/).
Линия обвинения именно такая: банк не предупредил меня о существовании скиммеров, я честно исполнял всё предписанное мне договором, но деньги увели. Банк знал о такой возможности, но не предупредил меня при подписании договора. Разбираться в том, что такое скиммер, как он работает я не обязан.
Здесь логика ТОЧНО такая же. Банк предоставил услугу управления счетом через интернет, не предупредив, что злоумышленник может украсть деньги даже при соблюдении пользователем оговоренных в договоре правил безопасности.
Какая разница между ситуацией «клиент засунул карточку в банкомат, где был скиммер» и «клиент залогинился на компьютере, где был троян»?
Разница в том, что банкомат принадлежит банку и банком (или сторонней организацией, но по заказу банка) обслуживается, а компьютер — нет.
Банкомат может принадлежать любому другому банку, Вы не знали?
Да, знал.
И отвечать за него будет банк-владелец в конечном итоге.
Ну, в идеале, как в реальности — я не в курсе, увы.
И отвечать за него будет банк-владелец в конечном итоге.
Ну, в идеале, как в реальности — я не в курсе, увы.
В реальности, разумеется, владелец банкомата ни за что отвечать не будет. И непонятно, почему должен.
Потому что владелец услугу предоставляет, деньги зарабатывает этим «общественным» банкоматом. Если комп в интернет-кафе стоит, то за вирусы на нем и убыток от них интернет-кафе и отвечает. В идеальном случае, опять же.
А если комп личный, то и спрос только с хозяина.
Банк может в этой ситуации пойти навстречу. И, если пойдет, заработает себе плюс в карму. Но это только добровольное решение банка.
Знать про вирусы и скиммеры конечно же никто не обязан. И буква закона, судя по приведенному вами блогу (спасибо, кстати, занимательная история, знакомлюсь с интересом), на стороне не знающего. Но увы, вирусы, скиммеры, СПИД, гопники в темных переулках и куча всякой другой нечисти — объективная реальность. Как мне кажется, знать заранее и стараться не допускать или потом доказывать свое право на не знание в суде — личный выбор каждого.
А если комп личный, то и спрос только с хозяина.
Банк может в этой ситуации пойти навстречу. И, если пойдет, заработает себе плюс в карму. Но это только добровольное решение банка.
Знать про вирусы и скиммеры конечно же никто не обязан. И буква закона, судя по приведенному вами блогу (спасибо, кстати, занимательная история, знакомлюсь с интересом), на стороне не знающего. Но увы, вирусы, скиммеры, СПИД, гопники в темных переулках и куча всякой другой нечисти — объективная реальность. Как мне кажется, знать заранее и стараться не допускать или потом доказывать свое право на не знание в суде — личный выбор каждого.
> Но увы, вирусы, скиммеры, СПИД, гопники в темных переулках и куча всякой другой нечисти — объективная реальность.
Между скиммерами и гопниками в переулке есть некоторая разница.
Скиммеры тебе не страшны, пока ты не заключил договор с банком. А вот гопники могут отжать ценные вещи независимо от того, заключал ты с кем-то договор или нет.
Если заключение договора несет с собой риски, о которых ты ранее ничего не знал, — банк ОБЯЗАН тебя об этом предупредить.
В 90% случаев жертвы данного трояна вообще не знают о существовании hosts и возможности подменить страничку в браузере. Заявления в стили «дураки, надо быть внимательными» в данном случае не работают — я подробно писал об этом в посте «О мостах, телекомах и цене ошибки» habrahabr.ru/blogs/ui_design_and_usability/102627/
Между скиммерами и гопниками в переулке есть некоторая разница.
Скиммеры тебе не страшны, пока ты не заключил договор с банком. А вот гопники могут отжать ценные вещи независимо от того, заключал ты с кем-то договор или нет.
Если заключение договора несет с собой риски, о которых ты ранее ничего не знал, — банк ОБЯЗАН тебя об этом предупредить.
В 90% случаев жертвы данного трояна вообще не знают о существовании hosts и возможности подменить страничку в браузере. Заявления в стили «дураки, надо быть внимательными» в данном случае не работают — я подробно писал об этом в посте «О мостах, телекомах и цене ошибки» habrahabr.ru/blogs/ui_design_and_usability/102627/
Выполняя вполне стандартные и тривиальные действия, можно легко за свою ошибку заплатить полмиллиона кровных рубликов, а то и больше. Как по мне, упавший с такого моста человек не «сам виноват», а это строители — то ли мудаки, то ли хозяева салона ритуальных услуг.
Но альфа в каждой смс предупреждает: «Пожалуйста проверяйте адрес интернет-банка», не сообщайте одноразовый пароль НИКОМУ, даже сотрудникам банка.
предпринял все необходимые меры безопасности != работающий drweb
Эмм… Так в альфа-клике вход идет через одноразовый пароль на смс.
Видимо выманивают эти пароли. Я просто указал, что изменён не только сайт Телебанка, но и Альфа-Клика. Чтобы его пользователи были тоже на стороже. Как именно там обманывают — мне не ведомо…
от MiM это не спасает. Клиент логинится на фейковый сайт, отправляет запрос. Запрос злоумышленники обрабатывают и меняют на свой. Приходит код — его человек передаёт злоумышленнику.
Без адекватной chap-авторизации с внешним токеном нормально защитить не получится. Причём токен должен авторизовывать не только банк, но и транзакцию. Грубо говоря, человек должен видеть сумму и назначение платежа перед нажатием на токене кнопки «угу».
Без адекватной chap-авторизации с внешним токеном нормально защитить не получится. Причём токен должен авторизовывать не только банк, но и транзакцию. Грубо говоря, человек должен видеть сумму и назначение платежа перед нажатием на токене кнопки «угу».
Да, но там код не только для входа — операции тоже подтверждаются кодами, присылаемыми по sms, включая назначение и сумму платежа.
UFO just landed and posted this here
И опять самое слабое звено – человеческая глупость и невнимательность.
Расчет на самые запущенные случаи. Массовым не станет. Единичные случаи, далее освещение в массах, и даже эти товарищи станут читать, что написано в смс-ке.
Кроме того, в альфа-клике вывесили на главную:
и переделали текст одноразовых СМС для более четкого акцентирования на сумме и назначении платежа.
Кроме того, в альфа-клике вывесили на главную:
и переделали текст одноразовых СМС для более четкого акцентирования на сумме и назначении платежа.
Уже очень давно они начали предупреждать о таком мошенничестве.
Эти мошенничества с Альфабанком и ВТБ24 начались ещё в сентябре этого года.
Вот, например, статья об этом от 1 октября: marker.ru/news/2132
Тогда же Альфабанк стал рассылать своим клиентам по СМС предупреждения, чтобы при работе с Интернет-банком внимательно смотрели, куда подключаются, и внимательно читали СМС с временными кодами. И рекомендации о повышении внимательности также вывешивались у них при входе в инет-банк.
Вот, например, статья об этом от 1 октября: marker.ru/news/2132
Тогда же Альфабанк стал рассылать своим клиентам по СМС предупреждения, чтобы при работе с Интернет-банком внимательно смотрели, куда подключаются, и внимательно читали СМС с временными кодами. И рекомендации о повышении внимательности также вывешивались у них при входе в инет-банк.
UFO just landed and posted this here
Логичнее было бы воровать так:
1. дождаться, когда пользователь будет за что-то кому-то платить
2. подменить платёжную инструкцию на перевод денег Пупкину
3. ждать ввода одноразового пароля в расчёте на то, что пользователь не прочитает внимательно текст SMS и просто введёт пароль.
Вполне действенно было бы, учитывая, что пользователь получит SMS именно тогда, когда её ждёт. Сомнений в подлинности может не возникнуть.
1. дождаться, когда пользователь будет за что-то кому-то платить
2. подменить платёжную инструкцию на перевод денег Пупкину
3. ждать ввода одноразового пароля в расчёте на то, что пользователь не прочитает внимательно текст SMS и просто введёт пароль.
Вполне действенно было бы, учитывая, что пользователь получит SMS именно тогда, когда её ждёт. Сомнений в подлинности может не возникнуть.
Токен от mim не спасет если а) машина зараженна б) не правильно настроено по токена на клиенте.
Да, поэтому единственное чего наверное стоит бояться — это потери телефона или только симки.
Пф… А что вы ожидали от платформы windows?
В линукс системах есть такой же файл /etc/hosts, безусловно, для редактирования оного нужны рут права, но дырок с эскалацией привилегий известно немало, и отсутствие подобных зловредов обусловлено низким процентом линукса на ПК.
З.Ы. Я сам линуксоид, но это к сожалению факт.
З.Ы. Я сам линуксоид, но это к сожалению факт.
А в виндах >= vista разве файл hosts не доступен только админу? даже когда под админом сидишь (денвер ставил видил лично) винда говорит что такая то программа хочет поменять файл хостов, разрешить?
Я уже достаточно долго на linux, семерку не застал, а виста никогда и не нравилась :) Последнее, что юзал — XP. Поэтому точнее не скажу.
Да, всё так. Доступен только админу и системе. Пользователю (которым будет даже админ под UAC) только для чтения.
Некоторые просто на автомате тыкают на ОК, лишь бы непонятное окно закрыть поскорее.
:-D ну и поделом… Не, честно, таких не жалко
Это лишь говорит о низкой культуре пользователя, чем и пользуются мошенники.
Вообще большая часть граждан постсоветского пространства относятся к информации с неким пренебрежением, от чего сами же и страдают, и дело не тольок в мошенниках, но и в том, что при таком отношении к информации невозможно ее эффективно использовать, отсюда и проблемы, и не тольок с банками, а вообще по жизни.
Вообще большая часть граждан постсоветского пространства относятся к информации с неким пренебрежением, от чего сами же и страдают, и дело не тольок в мошенниках, но и в том, что при таком отношении к информации невозможно ее эффективно использовать, отсюда и проблемы, и не тольок с банками, а вообще по жизни.
Более того, многие эникейщики при настройке компов юзверям отключают UAC в принципе, «чтобы не мешал», ато вылазиют всякие окошки.
1. Нужно раздобыть актуальный local root exploit. Десктопные дистрибутивы имеют автообновление, а дырки вида «local root exploit» латаются весьма оперативно.
2. Вредоносный код опять-таки нужно еще дотащить до целевой машины. Хорошо если там окажется ssh, смотрящий голым портом в интернет и юзер vasya с паролем 123, но это как-то маловероятно.
Но низкий процент линукса на ПК, конечно, играет свою роль: среди сотен миллионов статистически легче найти пару тысяч дебилов, инстинктивно давящих на «да», «окей», «разрешить», чем среди сотен тысяч зачастую гиканутых пользователей альтернативной ОС.
2. Вредоносный код опять-таки нужно еще дотащить до целевой машины. Хорошо если там окажется ssh, смотрящий голым портом в интернет и юзер vasya с паролем 123, но это как-то маловероятно.
Но низкий процент линукса на ПК, конечно, играет свою роль: среди сотен миллионов статистически легче найти пару тысяч дебилов, инстинктивно давящих на «да», «окей», «разрешить», чем среди сотен тысяч зачастую гиканутых пользователей альтернативной ОС.
Линукс-пользователи безумно рады, что в их рядах есть такой тролль, как ты.
Начиная с висты для каждый действий с системными файлами винда предупреждает, и спрашивает — а вам это точно надо…
Тоже самое делает и Макос (запрашивает пароль), и Linux (говорит нет прав, а значит, начинаешь пробовать sudo)
Так что, проблема не в виндовс, а в хомяках которые сидят на ней. Раньше я тоже сидел только под правами админа, но после висты, я понял что это не нужно, хотя в висте UAC очень сильно раздрожал по началу, и после ХР было не привычно тыкать ок.
В семерке сделано все более грамотно. + встроенный defender + антивирус + включенные апдейты — делают ос практически безопасной, как и МакОС, и Линукс…
Так что — если у вас вирус — не сидите под админом. и не отключайте UAC
Тоже самое делает и Макос (запрашивает пароль), и Linux (говорит нет прав, а значит, начинаешь пробовать sudo)
Так что, проблема не в виндовс, а в хомяках которые сидят на ней. Раньше я тоже сидел только под правами админа, но после висты, я понял что это не нужно, хотя в висте UAC очень сильно раздрожал по началу, и после ХР было не привычно тыкать ок.
В семерке сделано все более грамотно. + встроенный defender + антивирус + включенные апдейты — делают ос практически безопасной, как и МакОС, и Линукс…
Так что — если у вас вирус — не сидите под админом. и не отключайте UAC
UFO just landed and posted this here
Нет. Антивирусные компании не обещают защиты от вирусов, более того, согласно лицензионному соглашению они не обязаны их обнаруживать. Грубо говоря, антивирус — подобие шамана. Камлать-камлает, а поможет или нет становится ясно после смерти падишаха.
Вряд ли можно было бы получить компенсацию, там же юристы договор составляли, все такие моменты оговорены скорее всего. Главное что банк вернул деньги.
На банки.ру есть подобные отзывы, у людей стоял NOD32, тоже не помог.
На банки.ру есть подобные отзывы, у людей стоял NOD32, тоже не помог.
у меня стоит на отдельной виртуальной машине все финансовые программы — доступ к клиент-банку, доступ к вебмани и пр.
на этом компьютере на подозрительные сайты не хожу, в самих клиент-банках включена защита по-максимуму
антивирус — это скорее «психологическое» спокойствие, у меня он не стоит
на этом компьютере на подозрительные сайты не хожу, в самих клиент-банках включена защита по-максимуму
антивирус — это скорее «психологическое» спокойствие, у меня он не стоит
Виртуальной машине? А запускаете Вы ее из рабочей системы?
ну да, а как еще?
просто в виртуальной машине в принципе никуда «налево» не хожу, поэтому антивирус особо не нужен
вот думаю, что надо бы для полной уверенности сделать аналогичную машину на linux'e, только вот, имхо, не все клиент-банки смогут заработать
надо пробовать
просто в виртуальной машине в принципе никуда «налево» не хожу, поэтому антивирус особо не нужен
вот думаю, что надо бы для полной уверенности сделать аналогичную машину на linux'e, только вот, имхо, не все клиент-банки смогут заработать
надо пробовать
Проснифить трафик это не помешает (при заражении основной системы). Да и от кейлоггеров, думаю, не спасет. Но вот с подменой хостов так просто не получится.
Имхо надо наоборот, для «Грязных» сайтов завести виртуальную машину, а «чистые» юзать на хосте. Ну и не запускать подозрительного софта на хосте.
У меня для таких целей издавна есть старенький нетбук Lenovo S10. Там стоит XP и только финансовый софт. То есть никакой everyday activity там нет в принципе, оттуда не посещаются сайты. Только webmoney, банк-клиенты и тд. Никаких флэшек зараженных и прочего. Пока, тьфу-тьфу, полет нормальный.
И кстати на отдельную машину все это изначально было перемещено даже не из-за вирусной угрозы, а потому что webmoney проявляла нездоровый интерес к тому, что установлено на машине, включая железо, софт и т.д. Мониторить и блокировать все что она там пыталась отслеживать было лень, поэтому ей на откуп была отдана пустая машина, которая в итоге и стала полностью «финансовой».
И кстати на отдельную машину все это изначально было перемещено даже не из-за вирусной угрозы, а потому что webmoney проявляла нездоровый интерес к тому, что установлено на машине, включая железо, софт и т.д. Мониторить и блокировать все что она там пыталась отслеживать было лень, поэтому ей на откуп была отдана пустая машина, которая в итоге и стала полностью «финансовой».
В рекомендациях какого-то банка (не вспомню название сейчас) как раз предлагалось завести себе отдельный нетбук и использовать его только и исключительно для проведения платежей. Учитывая цену какой-нибудь eee в наше время- это будет явно дешевле, чем один раз попасться и затем тратить время, деньги и нервы на разборки с банком.
Да, можно! Просто не покупать их продукт. В итоге они недополучат деньги (это должно быть массовым) ну дальше вы в курсе.
Антивирусники не умеют предсказывать будущее. Они защищают от известных на данный момент вирусов а не от новых или неизвестных еще программе.
Конечно нет, лицензионное соглашение такого не позволит. Но автор топика похоже ссзб так как видимо у него не стояла опция защиты модифицирования hosts.
Альфа-клик работает только по https. Так что нужно просто следить за протоколом.
UFO just landed and posted this here
Если пользователь раньше заходил, то у него уже есть сертификат. Соответственно, на новый (который не очень то похож на правильный) браузер будет ругаться.
Но неграмотность пользователей только на руку злоумышленникам, к сожалению :-(
Но неграмотность пользователей только на руку злоумышленникам, к сожалению :-(
UFO just landed and posted this here
мало того, что на самоподписанные сертификаты браузеры ругаются, так ведь сертификат еще должен подтвержать, что мы действительно на click.alfabank.ru. С этим ведь уже не получится у злоумышленника справиться?
уверен, полно и других подозрительных моментов, помимо httsp. Жаль, сайт уже прикрыли — хотел посмотреть сам, какие смс присылают, с какого номера и т.п.
смски наверняка приходят обычные от альфабанка
насколько я понял, злоумышленники показывают фейковую форму, принимают логин/пароль, передают его в альфабанк и ждут от вас одноразовый пароль.
насколько я понял, злоумышленники показывают фейковую форму, принимают логин/пароль, передают его в альфабанк и ждут от вас одноразовый пароль.
Но на любой перевод денег тоже приходит смска, где указанна сумма перевода и назначение перевода.
При заходе в альфабанк принимают одноразовый пароль от входа и говорят чего-то неправильно необходимо пройти повторную авторизацию. В это время приходит вторая смс, но уже для потдверждения платежа.
Ага, и там написано перевод на сумму 90000 рублей на счет Васе Пупкину. А вы на радостях его вводите.
Именно. Число людей которые невнимательно читают информационные сообщения велико. Пример банкоматы того же альфа-банка, он иногда предлагает оформить потребительские кредиты при снятии наличных. Был свидетелем как одна женщина средних лет не понимала чего-то он говорит что на счету 15000 рублей, а ведь было 30000! Всё от того что она не внимательно прочитала сообщение в котором альфа-банк предлагал потребительский кредит на 15000 руб.
UFO just landed and posted this here
Вообще конечно защита должна быть на совести банка, тем более 2 месяца уже такая схема действует, можно было что-то предпринять.
Ввести расчёт мат ожидания к примеру — если 5 лет человек обычно переводил по 300-500 руб на телефон и так же по мелочи, а тут хочет сделать 3 перевода по 50 тыс на счёт другого клиента в телебанке, то это будет явно видно.
Мошенники обычно пользуются одной схемой — один пароль на вход, если деньги на карте а не счету — то ещё один на перевод с карты на счёт, и потом максимально возможным платежом (50 тыс внутри клиентов ТБ) переводы на свой счёт, пока не кончатся деньги или переменные коды.
Зная это, можно что-то предпринять, причём на стороне банка.
Ввести расчёт мат ожидания к примеру — если 5 лет человек обычно переводил по 300-500 руб на телефон и так же по мелочи, а тут хочет сделать 3 перевода по 50 тыс на счёт другого клиента в телебанке, то это будет явно видно.
Мошенники обычно пользуются одной схемой — один пароль на вход, если деньги на карте а не счету — то ещё один на перевод с карты на счёт, и потом максимально возможным платежом (50 тыс внутри клиентов ТБ) переводы на свой счёт, пока не кончатся деньги или переменные коды.
Зная это, можно что-то предпринять, причём на стороне банка.
Вот не надо этого бреда. Я, например, получал зарплату на карточку, покупал с неё только продукты по мелочи, а всё остальное копилось на машину. А жили мы на зарплату жены.
В конце концов я накопил нужную сумму, выбрал машину (б/у), начал переводить деньги продавцу — и тут бац, алгоритм какого-то вшивого программиста-недоумка говорит мне «нельзя». Вы понимаете, что я сделаю и с банком, и с этим идиотом-программистом?
В конце концов я накопил нужную сумму, выбрал машину (б/у), начал переводить деньги продавцу — и тут бац, алгоритм какого-то вшивого программиста-недоумка говорит мне «нельзя». Вы понимаете, что я сделаю и с банком, и с этим идиотом-программистом?
Ну зачем сразу «нельзя» и «идиота-программиста». Все чуть аккуратнее. Операция не отклоняется, а переводится на ручное подтверждение оператором. Оператор звонит из банка на телефон, который банку известен, и спрашивает, вы ли это. В договоре с банком обычно прописаны сроки отправки платежей. И это явно не real-time, так что здесь даже никаких нарушений не будет.
Примерно так делают процессинговые центры многих банков, если вы снимаете деньги абы где или в несколько приемов.
Примерно так делают процессинговые центры многих банков, если вы снимаете деньги абы где или в несколько приемов.
в liveCD windows тоже такой проблемы не будет. так что смысл здесь не в том, что линукс/виндовз/макось, а в том, что система гарантированно чистая (liveCD)
А всего лишь достаточно следовать 4 пунктам указанных на telebank.ru.
Причем там выделено,
Причем там выделено,
2.В случае неправильного ввода переменного кода не вводить код со следующим порядковым номером. Если первая попытка входа в систему не удалась, при каждой повторной попытке входа система должна запросить переменный код с тем же номером, что и при первой попытке.
Не понятно одно — как были получены 5 одноразовых кодов.
В телебанке явно, не однократно и навяячего пишут — что никогда не спрашивают следующий однаразовый код если операция завершилась не успешно!
Мораль простая — не вводите следующий одноразовый пароль в телебанке, если операция завершилась не успешно.
И все этого одного правила хватит, чтобы обезопасить свои деньги.
И пофигу на остальные правила.
В телебанке явно, не однократно и навяячего пишут — что никогда не спрашивают следующий однаразовый код если операция завершилась не успешно!
Мораль простая — не вводите следующий одноразовый пароль в телебанке, если операция завершилась не успешно.
И все этого одного правила хватит, чтобы обезопасить свои деньги.
И пофигу на остальные правила.
Поясните, плз, почему этого хватит?
Вот ситуация: вы открываете Телебанк (попадаете на фейковый), при входе вводите код, злоумышленники тем временем логинятся в ваш реальный аккаунт. Оформляете какой-либо перевод, вводите код. Злоумышленники делают то же самое только на другие данные получателя.
И все операции будут успешно завершены с первого раза.
Вот ситуация: вы открываете Телебанк (попадаете на фейковый), при входе вводите код, злоумышленники тем временем логинятся в ваш реальный аккаунт. Оформляете какой-либо перевод, вводите код. Злоумышленники делают то же самое только на другие данные получателя.
И все операции будут успешно завершены с первого раза.
Злоумышленики знают что выводить в фейковом телебанке чтобы пользователь ничего не заподозрил? Да они прямо на фейковом списке счетов спалятся.
… после _первого_ же перевода в почту падает уведомление о том, какая операция была осуществлена, пользователь хватается за голову и звонит в банк.
Ессно рано или поздно пользователь заметит обмен. Но его денежки то уже будут выведены через банкомат. Я думаю это происходит практически мгновенно.
Не «рано или поздно», а практически мгновенно. Время перевода денег между счетами ТБ (и уж тем более — внешней операции) больше.
Это не важно. Они снимут деньги прежде чем вы дозвонитесь до банка. Ну и не IT-шники не проверяют почту каждые пару минут.
Гугль проверяет почту сам, айтишник тут не нужен. Но это мелочи.
А в реальности у телебанковских операций есть лимиты, кстати.
(а еще у телебанка есть интерпро, кстати).
Хотя, не спорю, решение Альфы с кодами подтверждения мне тоже нравится… если бы только не означало тот факт, что для работы в интернет-банке мне нужен работающий телефон, а это далеко не всегда так.
А в реальности у телебанковских операций есть лимиты, кстати.
(а еще у телебанка есть интерпро, кстати).
Хотя, не спорю, решение Альфы с кодами подтверждения мне тоже нравится… если бы только не означало тот факт, что для работы в интернет-банке мне нужен работающий телефон, а это далеко не всегда так.
У меня такая же ситуация. Альфой пользоваться не могу, потому как телефон давно сменился, а посетить офис для его замены не могу. Переменные коды для ВТБ24 тоже скоро закончатся, а получить новые опять же не смогу (не в России). Плюс в втб каждые полгода виртуальная виза экспайрится, что тоже ужасно не удобно.
Думаю удобнее был бы механизм генерации одноразового ключа на телефоне (как енум у вебманей).
Думаю удобнее был бы механизм генерации одноразового ключа на телефоне (как енум у вебманей).
«Думаю удобнее был бы механизм генерации одноразового ключа на телефоне (как енум у вебманей). „
Ну и чем это отличается от любого другого токена? Да ничем.
Основная ценность реализации альфабанка в том, что код четко привязан к транзакции и пользователь видит, для какой транзакции этот код запрошен.
Ну и чем это отличается от любого другого токена? Да ничем.
Основная ценность реализации альфабанка в том, что код четко привязан к транзакции и пользователь видит, для какой транзакции этот код запрошен.
В енуме так же.
Значит, ему нужно соединение с сервером. Значит, для работы в интернет-банке нужен доступ с телефона в интернет.
Возвращаемся к сценарию альфаклика, только с несущественными изменениями.
Возвращаемся к сценарию альфаклика, только с несущественными изменениями.
Ошибаетесь, енум клиенту не нужен доступ в интернет. Процесс генерации одноразового кода привязанного к именно этой транзакции происходит полностью в оффлайне.
А откуда в оффлайне данные о транзакции, простите?
Или там сценарий с хешированием транзакции частным ключом клиента? Так тогда будьте добры сыграть во всю положенную игру с ключевыми парами, что тоже не подарок нифига.
Или там сценарий с хешированием транзакции частным ключом клиента? Так тогда будьте добры сыграть во всю положенную игру с ключевыми парами, что тоже не подарок нифига.
За информацию спасибо большое. А защита у попавшихся теперь одна — заява о фроде в СКП.
Не давичи как вчера лечили это страшный «вирус» который подменял странички одноклассников. В общем ответ на это один нечего сидеть под администратором, сами себе буратины!!! hosts обычный пользователь (или программа запущенная с его правами) переписать не может. Я бы еще проверил far'ом на предмет скрытых файлов, тамже и автозагрузку(msconfig) на предмет постороннего софта который после перезагрузки может восстановить чудесные hosts. А вообще пользуйте linux. Вероятность попасть конечно есть, но она все больше сводится к человеческому фактору…
Вообще говоря в Windows (особенно без обнов) есть не один и не два способа получения ограниченной учёткой административных прав (да и в линукс наверняка есть, но нас мало и мы нищеброды, что с нас брать, если даже на ось денег нет :) ). Так что «я не сижу под администратором» сродни «у меня антивирус со свежими обновлениями» — просто самоуспокоение
>> А вообще пользуйте linux.
Еще лучше не пользуйтесь компьютером вообще, ибо если ручки с не стандартными изгибами, то и linux не спасет…
Еще лучше не пользуйтесь компьютером вообще, ибо если ручки с не стандартными изгибами, то и linux не спасет…
Можно вопрос…
Почемы вы вводили 5 раз другой переменный код для входа в Телебанк, даже после звонка «сотрудника» банка?
Объявление о подобных ситуациях (ввод другого переменного кода) ВТБ вывешивает уже очень долгое время при каждом открытии страницы логина, красное такое. Неужели вы ни разу не видели его?
Почемы вы вводили 5 раз другой переменный код для входа в Телебанк, даже после звонка «сотрудника» банка?
Объявление о подобных ситуациях (ввод другого переменного кода) ВТБ вывешивает уже очень долгое время при каждом открытии страницы логина, красное такое. Неужели вы ни разу не видели его?
Фуфло какое-то. Являюсь пользователем Альфаклика
Мошенникам как минимум нужно знать мой сотовый телефон, который я прописал при заключении договора, чтоб отправить мне смс с кодом.
в Вэб части он никак не светится, то есть либо явно инсайдерская инфа, обиженного админа.
Либо кого-то правда умного, который имеет доступ к БД банка, но тогда нафига ему мои переменные коды которые отправляет ИХ сервер с определённого номера, если он уже имеет доступ к БД банка?
абсурд по моему, с приколом втб и картой переменных кодов да такое можно провернуть, да выманил 5кодов у лоха, у клика всё сложнее.
Сервер А-клика генерит смс отправляет мне, я в течении минуты должен его ввести.
чтоб транзакция прошла, смс содержит код + назначение платежа, а именно «Оплата с карты на Мобильный телефон 890691111 в сумме 100р. для продолжения этой операции введите код: хххххх»
То есть я даже зайдя на фейковый сайт при попытку сделать операцию получу СМС, на другую операцию, это явно меня остановит, будь даже я блондинкой.
Мошенникам как минимум нужно знать мой сотовый телефон, который я прописал при заключении договора, чтоб отправить мне смс с кодом.
в Вэб части он никак не светится, то есть либо явно инсайдерская инфа, обиженного админа.
Либо кого-то правда умного, который имеет доступ к БД банка, но тогда нафига ему мои переменные коды которые отправляет ИХ сервер с определённого номера, если он уже имеет доступ к БД банка?
абсурд по моему, с приколом втб и картой переменных кодов да такое можно провернуть, да выманил 5кодов у лоха, у клика всё сложнее.
Сервер А-клика генерит смс отправляет мне, я в течении минуты должен его ввести.
чтоб транзакция прошла, смс содержит код + назначение платежа, а именно «Оплата с карты на Мобильный телефон 890691111 в сумме 100р. для продолжения этой операции введите код: хххххх»
То есть я даже зайдя на фейковый сайт при попытку сделать операцию получу СМС, на другую операцию, это явно меня остановит, будь даже я блондинкой.
Я уже писал выше, что не знаю как именно в АльфаКлике, просто указал что там тоже подменяется сайт. Как именно, какие смс и с каким содержанием они присылают я не знаю.
Что касается данных, то им были известны ФИО, сотовый и даже рабочий телефон (звонили на рабочий ещё).
Что касается данных, то им были известны ФИО, сотовый и даже рабочий телефон (звонили на рабочий ещё).
UFO just landed and posted this here
UFO just landed and posted this here
Когда я совершаю какую-то операцию в Клике, то мне сначала нужно нажать кнопку «получить пароль»я НЕ получу пароль раньше или позже, только как нажал.
После чего приходит смс
«Подтвердите оплату Мобильной связи на сумму 100 RUR за номер +79011111111. Пароль:xxxxxx»
Хотите сказать, что вместо оплаты мобильной платы я получу СМС
«Перевод на счёт Сбербанка на счёт 1111111111? На сумму 150 000р. пароль:1111111»
и на радостях введу этот пароль?
После чего приходит смс
«Подтвердите оплату Мобильной связи на сумму 100 RUR за номер +79011111111. Пароль:xxxxxx»
Хотите сказать, что вместо оплаты мобильной платы я получу СМС
«Перевод на счёт Сбербанка на счёт 1111111111? На сумму 150 000р. пароль:1111111»
и на радостях введу этот пароль?
Попадая на сайт мошенника, вы вводите свой логин и пароль, эту информацию получают злоумышленники, и они делают попытку логина с этими данными на сайте «Альфа-клика», если попытка удачная, вам приходит СМС с кодом, который вы опять же, вбиваете на сайте злоумышленника. Таким образом, негодяи входят в вашу учётную запись.
Другое дело, что при транзакции в СМС идёт подробная информация о платеже, поэтому тут уж совсем на лохов рассчитано.
Но есть ещё один метод, когда сам сайт злоумышленника выступает в роли некоторой прокси-страницы, которая будет открывать аналогичную страницу «Альфа-клика», и при переводе денег просто подменит информацию и сумму, и если не прочитать внимательно СМС с данными транзакции, а просто ввести код, то деньги благополучно утекут.
Другое дело, что при транзакции в СМС идёт подробная информация о платеже, поэтому тут уж совсем на лохов рассчитано.
Но есть ещё один метод, когда сам сайт злоумышленника выступает в роли некоторой прокси-страницы, которая будет открывать аналогичную страницу «Альфа-клика», и при переводе денег просто подменит информацию и сумму, и если не прочитать внимательно СМС с данными транзакции, а просто ввести код, то деньги благополучно утекут.
UFO just landed and posted this here
Наверное, вы никогда не были в роуминге с ушедшим в минус телефоном и желанием заплатить за этот самый телефон через альфа-клик. Чтобы заплатить нужен альфаклик, чтобы зайти в альфклик нужно заплатить. Вот такая вот грустная рекурсия.
UFO just landed and posted this here
Несколько лет назад МТС не доставлял входящие СМС-сообщения при нулевом балансе.
Поэтому в такой ситуации оплатить свой телефон через интернет-банк было нереально.
Но потом они перестали страдать такой фигнёй, и входящие СМС с временными кодами стали приходить даже при нулевом/отрицательном балансе.
Поэтому в такой ситуации оплатить свой телефон через интернет-банк было нереально.
Но потом они перестали страдать такой фигнёй, и входящие СМС с временными кодами стали приходить даже при нулевом/отрицательном балансе.
Забавно, что год или полтора спустя Альфа «забывает» старые пароли, которые раньше запрещала устанавливать, т.к. они уже якобы использовались, и преспокойно принимает их снова при плановом изменении :))))
Да не все в порядке с безопасностью в альфе. Или все уже забыли историю примерно двухлетней давности, когда пара мошенников сделали себе поддельных доверенностей, по ним получили у мобильных операторов новые сим-карты и спокойно увели кучу денег со счетов?
Вопросы вида «откуда они узнали пароли и номера телефонов» оставлю за кадром, ибо подробностей той истории уже не помню.
Вопросы вида «откуда они узнали пароли и номера телефонов» оставлю за кадром, ибо подробностей той истории уже не помню.
сейчас Альфабанк отслеживает номер симкарты, и если она сменилась — смс не пошлет
UFO just landed and posted this here
не знаю как точно, вот что сам банк пишет:
Уважаемый Клиент,
право Банка запрашивать и получать от компании-оператора сотовой связи информацию о замене SIM-карты или данных, подтверждающих замену SIM-карты номера телефона сотовой связи Клиента, указанного в Анкете Клиента\в Анкете-Заявлении, установлено п.п. 11.3.27 Договора о комплексном банковском обслуживании физических лиц в ОАО «АЛЬФА-БАНК» (далее — Договор).
Пунктом 11.2.18. Договора установлена обязанность Клиента немедленно уведомлять Банк о смене SIM-карты номера телефона сотовой связи Клиента, указанного в Анкете Клиента/в Анкете-Заявлении, обратившись в Отделение Банка. При этом, согласно условиям п.11.3.28 Договора, Банк вправе ограничить/приостановить доступ Клиента к Интернет Банку «Альфа-Клик» с момента получения от компании-оператора сотовой сети информации о замене SIM-карты или данных подтверждающих замену SIM-карты номера телефона сотовой связи Клиента, указанного в Анкете Клиента\в Анкете-Заявлении, до момента получения Банком уведомления Клиента, путем обращения в Отделение Банка, о замене SIM-карты номера телефона сотовой связи Клиента, указанного в Анкете Клиента\в Анкете-Заявлении.
С учетом перечисленных положений Договора, указанные Вами действия Банка правомерны и в полной мере соответствуют условиям Договора.
Для регистрации новой SIM-карты Вам необходимо обратиться в ДО/ККО Банка. При себе необходимо иметь паспорт, телефон и активную SIM-карту.
Поверьте, Банком принимаются максимально возможные меры для сохранения Ваших денежных средств и защиты их от возможного мошенничества.
Мы стремимся развиваться и двигаться вперед, поэтому всегда открыты для Ваших замечаний и предложений.
К сожалению, при обращении в телефонный центр действительно бывают очереди, руководство предпринимает максимально возможные меры для их снижения. В ближайшее время ситуация с дозвоном должна улучшиться.
Поверьте, исправность работы банкоматов постоянно отслеживается технической службой. При выявлении любого сбоя в работе вышеуказанных технических устройств, проблема решается в ближайшее время. Получить информацию о работоспособности банкомата Вы можете по тел.: 8-800-2000-000 (для регионов России, бесплатный).
Мы постараемся сделать все от нас зависящее, чтобы Вам удобно было пользоваться нашими продуктами и услугами.
Приносим искренние извинения за причиненные неудобства и надеемся на дальнейшее сотрудничество.
С уважением,
Елена Соломатина,
гл. специалист отдела обработки электронных запросов
Дирекции по обслуживанию Клиентов
ОАО «Альфа-Банк»
Уважаемый Клиент,
право Банка запрашивать и получать от компании-оператора сотовой связи информацию о замене SIM-карты или данных, подтверждающих замену SIM-карты номера телефона сотовой связи Клиента, указанного в Анкете Клиента\в Анкете-Заявлении, установлено п.п. 11.3.27 Договора о комплексном банковском обслуживании физических лиц в ОАО «АЛЬФА-БАНК» (далее — Договор).
Пунктом 11.2.18. Договора установлена обязанность Клиента немедленно уведомлять Банк о смене SIM-карты номера телефона сотовой связи Клиента, указанного в Анкете Клиента/в Анкете-Заявлении, обратившись в Отделение Банка. При этом, согласно условиям п.11.3.28 Договора, Банк вправе ограничить/приостановить доступ Клиента к Интернет Банку «Альфа-Клик» с момента получения от компании-оператора сотовой сети информации о замене SIM-карты или данных подтверждающих замену SIM-карты номера телефона сотовой связи Клиента, указанного в Анкете Клиента\в Анкете-Заявлении, до момента получения Банком уведомления Клиента, путем обращения в Отделение Банка, о замене SIM-карты номера телефона сотовой связи Клиента, указанного в Анкете Клиента\в Анкете-Заявлении.
С учетом перечисленных положений Договора, указанные Вами действия Банка правомерны и в полной мере соответствуют условиям Договора.
Для регистрации новой SIM-карты Вам необходимо обратиться в ДО/ККО Банка. При себе необходимо иметь паспорт, телефон и активную SIM-карту.
Поверьте, Банком принимаются максимально возможные меры для сохранения Ваших денежных средств и защиты их от возможного мошенничества.
Мы стремимся развиваться и двигаться вперед, поэтому всегда открыты для Ваших замечаний и предложений.
К сожалению, при обращении в телефонный центр действительно бывают очереди, руководство предпринимает максимально возможные меры для их снижения. В ближайшее время ситуация с дозвоном должна улучшиться.
Поверьте, исправность работы банкоматов постоянно отслеживается технической службой. При выявлении любого сбоя в работе вышеуказанных технических устройств, проблема решается в ближайшее время. Получить информацию о работоспособности банкомата Вы можете по тел.: 8-800-2000-000 (для регионов России, бесплатный).
Мы постараемся сделать все от нас зависящее, чтобы Вам удобно было пользоваться нашими продуктами и услугами.
Приносим искренние извинения за причиненные неудобства и надеемся на дальнейшее сотрудничество.
С уважением,
Елена Соломатина,
гл. специалист отдела обработки электронных запросов
Дирекции по обслуживанию Клиентов
ОАО «Альфа-Банк»
UFO just landed and posted this here
Подтверждаю!
Тоже клиент Альфы и ее Клика. Так у меня одноразовые пароли не спрашивают только если я деньги со своего счета на свой же счет перекидываю. При любой операции, выводящей деньги за пределы моих счетов, требуется одноразовый пароль. Первый пароль — при входе, второй (другой ессно) — при переводе или оплате счета. Кстати, даже для перевода денег на счет в Яндекс.Деньгах тоже требуется одноразовый пароль, т.к. пусть счет и мой, но все же в другой системе.
Тоже клиент Альфы и ее Клика. Так у меня одноразовые пароли не спрашивают только если я деньги со своего счета на свой же счет перекидываю. При любой операции, выводящей деньги за пределы моих счетов, требуется одноразовый пароль. Первый пароль — при входе, второй (другой ессно) — при переводе или оплате счета. Кстати, даже для перевода денег на счет в Яндекс.Деньгах тоже требуется одноразовый пароль, т.к. пусть счет и мой, но все же в другой системе.
Кстати, запрос одноразового пароля при входе в Альфа-клик можно отключить.
Настройки — Мой профиль — снять галку Вход по одноразовому паролю: [v]
После этого вход в инет-банку будет просто по паре логин/пароль, без СМС-кода.
Но для изменения любых настроек и для совершения операций внешнего перевода по-прежнему будет требоваться временный код из СМС.
Настройки — Мой профиль — снять галку Вход по одноразовому паролю: [v]
После этого вход в инет-банку будет просто по паре логин/пароль, без СМС-кода.
Но для изменения любых настроек и для совершения операций внешнего перевода по-прежнему будет требоваться временный код из СМС.
Это я знаю. Но отключать не буду. Безопасность лишней не бывает. Тем более, если вопрос касается не просто компа, а уже кошелька.
ух ты, здорово, спасибо! а то меня этот пароль при логине давно уже из себя выводит. когда просто надо посмотреть состояние счета. а раз для переводов всегда присылается смс-пароль, то для логина он и не нужен.
Интересно, что операции перевода со счета на счет с конвертацией также не требуют одноразового пароля. Так что таким образом, перекидывая деньги со счета на счет, можно подарить часть суммы банку. Это конечно не мошенничество как таковое, но ввести в раздражение владельца счета можно :)
Я в телебанке сертификаты себе заказал. Теперь и переменные коды при авторизации работают и когда что-то совершаешь в телебанке, то требуется подпись сертификатом. Ну и под админом в системе не работаю, только под пользователем с ограниченными правами. А на файл hosts снесены права на запись для всех пользователей, только чтение.
> А на файл hosts снесены права на запись для всех пользователей, только чтение.
Этот шаг лишний. Т.к. это ничуть не безопаснее дефолтного состояния системы.
По умолчанию файл hosts могут редактировать только администраторы.
Т.е. вирус/троян, запущенный админом или захвативший его привилегии, может внести в hosts какие-то злонамеренные изменения.
А после вашего изменения прав доступа… файл hosts по-прежнему могут редактировать только администраторы.
Т.е. вирус/троян, запущенный админом или захвативший его привилегии, может сначала захватить владение файлом (а любой администратор это может), потом настроить как владелец права доступа к нему, ну и потом всё так же злонамеренно отредактировать его.
Этот шаг лишний. Т.к. это ничуть не безопаснее дефолтного состояния системы.
По умолчанию файл hosts могут редактировать только администраторы.
Т.е. вирус/троян, запущенный админом или захвативший его привилегии, может внести в hosts какие-то злонамеренные изменения.
А после вашего изменения прав доступа… файл hosts по-прежнему могут редактировать только администраторы.
Т.е. вирус/троян, запущенный админом или захвативший его привилегии, может сначала захватить владение файлом (а любой администратор это может), потом настроить как владелец права доступа к нему, ну и потом всё так же злонамеренно отредактировать его.
Ну это уже сложный вирус, я думаю, что тут все проще и рассчитано на обычных пользователей, которые уже работают в системе с правами администратора. Ну можно еще убрать из прав доступа пользователей из группы администраторов и сделать отдельную учетную запись, только ее можно делать все изменения и тогда уже стандартные пользователи из группы администраторов ничего не смогут сделать.
Оу, я не спец, потому спрашиваю: а так можно? Снести все права и всем только на чтение? Ну, я имею в виду, не повлияет ли это на ОС? Вроде никто никогда hosts не правит из системных компонентов… Не замечал по крайней мере.
Еще можно задействовать атрибуты файловой системы — тогда при желании даже root не сможет модифицировать и ничего удалить. А еще можно настроить SELinux… На самом деле вариантов куча.
Ну, SELinux на Винде нет.
А вот права с hosts снять можно.
А вот права с hosts снять можно.
Раз вирус редактирует hosts, значит у него есть админские права.
А значит ничто ему не помешает вернуть себе права на этот файл перед его редактированием.
А значит ничто ему не помешает вернуть себе права на этот файл перед его редактированием.
2 Toseter, YoungSkipper & theOnlyBoy:
На сайте мошенников напоминания не было. Было похоже действительно на какой-то сбой, как будто переменной код ввёл, уже входит в телебанк, но что-то сбойнуло. Ну бывает, почему нет, поэтому ввели.
Сейчас кажется действительно глупо, но на тот момент даже не придали значения.
На сайте мошенников напоминания не было. Было похоже действительно на какой-то сбой, как будто переменной код ввёл, уже входит в телебанк, но что-то сбойнуло. Ну бывает, почему нет, поэтому ввели.
Сейчас кажется действительно глупо, но на тот момент даже не придали значения.
Дык писали же уже об этом на Хабре:
habrahabr.ru/blogs/browsers/105837/#comment_3320133
А меры защит тут самые простые:
— убедиться, что подключаешься с использованием SSL (по https://);
— убедиться, что сертификат при этом валидный;
— внимательно читать СМСки с временными паролями.
habrahabr.ru/blogs/browsers/105837/#comment_3320133
А меры защит тут самые простые:
— убедиться, что подключаешься с использованием SSL (по https://);
— убедиться, что сертификат при этом валидный;
— внимательно читать СМСки с временными паролями.
главная мораль которую почему то забыли написать, это читать пришедшие от альфабанк смски, вних написано для чего пароль, и если там написано «dlya perevoda deneg» или «oplata uslugi», при том что вы ждете для входа, то стоит подумать ;)
> 1. Будьте внимательны, лучше сами проверяйте hosts
Вы в курсе, что в Windows путь к файлу hosts может быть изменен?
Вот проверяете вы файл
и видите, что там всё красиво, лишних и левых записей нет.
А на самом деле системный ресолвер в этой системе для разрешения имён использует файл, допустим:
вместо дефолтового:
Вы в курсе, что в Windows путь к файлу hosts может быть изменен?
Вот проверяете вы файл
%SystemRoot%\system32\drivers\etс\hostsи видите, что там всё красиво, лишних и левых записей нет.
А на самом деле системный ресолвер в этой системе для разрешения имён использует файл, допустим:
%SystemRoot%\hosts, в котором прописана куча левой гадости. А всё потому, что в системном реестре прописан параметр:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DataBasePath = "%SystemRoot%"вместо дефолтового:
DataBasePath = "%SystemRoot%\System32\drivers\etc"Странно ещё, что не все подобные вирусы, добавляющие записи в hosts, меняют путь к используемому hosts-файлу. Видимо, их тоже не слишком грамотные школьники пишут.
Думаю что школьники-вирусописатели вышестоящий комментарий взяли на заметку и сказали дружно спасибо камраду xn__p2a =)
ну как бы спасибо, не знал о подмене подобной.
В Win7 видимо исправили эту оплошность прописано значение %SystemRoot%\System32\drivers\etc
Файл hosts доступен для записи только админу. Вероятнее всего, никто не менял разрешения на нем, чтобы править его от простого пользователя. То есть, скорее всего, был произведен запуск трояна от админа. И чего, собственно, хотеть в данной ситуации?
Мораль: не работать под админом.
Мораль: не работать под админом.
UFO just landed and posted this here
Дулепов, вы не знаете, что делает файл hosts?
Он неисполняемый, поэтому он ничего не делает. Инфа 100%
UFO just landed and posted this here
UFO just landed and posted this here
Кстати, одно время, где-то в начале 2009-го года (хотя точно сказать не могу), IE ругался, что у Альфа-Клика сертификат просроченный :)))))))) А так оно и было :)
Имя есть, факт на лицо :)
так про сертификат и пишите, а то вводите в заблуждение потенциальных пострадавших от вируса.
увидев предупреждение о сертификате наиболее продвинутые пользователи позвонят в банк, а другим «надо срочно заплатить за .....», и будут кликать, пока не попадут в банкинг.
Он не виноват, что вы не смотрите, что отображается в строке броузера
так про сертификат и пишите, а то вводите в заблуждение потенциальных пострадавших от вируса.
увидев предупреждение о сертификате наиболее продвинутые пользователи позвонят в банк, а другим «надо срочно заплатить за .....», и будут кликать, пока не попадут в банкинг.
UFO just landed and posted this here
Хорошая привычка, но
Даже самый опытный в чем-либо человек остается человеком, со всеми вытекающими от сюда человеческими факторами.
Ну, тут же профессионалы сидят, верно?Если бы мне это сказал кто-нибудь из отдела информационной безопасности, я бы предложил его уволить.
Даже самый опытный в чем-либо человек остается человеком, со всеми вытекающими от сюда человеческими факторами.
как вариант — используйте локальный прокси-сервер, чтобы файл hosts шел лесом
А еще в Windows7 и unix чтоб изменить этот файл нужны админские права.
Вы какую ОС используете?
Вы какую ОС используете?
На сайтае VTB24 передвходом висит текст:
Настоятельно рекомендуем вам при входе в систему «Телебанк»/«Телеинфо» выполнять следующие требования:
1. На первом экране вводить только логин и пароль. Переменный код следует вводить строго на экране, который появляется после правильного ввода логина и пароля.
2. В случае неправильного ввода переменного кода не вводить код со следующим порядковым номером. Если первая попытка входа в систему не удалась, при каждой повторной попытке входа система должна запросить переменный код с тем же номером, что и при первой попытке.
3. Не вводить номер вашей банковской карты и ее CVC/CVV-код. Система никогда не запрашивает эти данные.
4. Убедиться, что установлено безопасное соединение с сайтом системы (в случае входа с помощью защищенного соединения), т.е. адресная строка начинается с https:// и при этом отсутствует сообщение об ошибке сертификата.
Если при входе в систему «Телебанк»/«Телеинфо» вы заметите какие-либо несоответствия стандартным запросам системы, не вводите никаких данных и обратитесь в Службу поддержки.
В общем, елси все прочитать и делать правильно, граблей насобираешь существенно меньше…, только вот как как всегда, читать начинаешь уже после того, как грабли найдены
Настоятельно рекомендуем вам при входе в систему «Телебанк»/«Телеинфо» выполнять следующие требования:
1. На первом экране вводить только логин и пароль. Переменный код следует вводить строго на экране, который появляется после правильного ввода логина и пароля.
2. В случае неправильного ввода переменного кода не вводить код со следующим порядковым номером. Если первая попытка входа в систему не удалась, при каждой повторной попытке входа система должна запросить переменный код с тем же номером, что и при первой попытке.
3. Не вводить номер вашей банковской карты и ее CVC/CVV-код. Система никогда не запрашивает эти данные.
4. Убедиться, что установлено безопасное соединение с сайтом системы (в случае входа с помощью защищенного соединения), т.е. адресная строка начинается с https:// и при этом отсутствует сообщение об ошибке сертификата.
Если при входе в систему «Телебанк»/«Телеинфо» вы заметите какие-либо несоответствия стандартным запросам системы, не вводите никаких данных и обратитесь в Службу поддержки.
В общем, елси все прочитать и делать правильно, граблей насобираешь существенно меньше…, только вот как как всегда, читать начинаешь уже после того, как грабли найдены
Самый прикол будет чуть позже. Вот смотрите, многие используют коммуникаторы, подсоединяют их иногда к своим компам, таким образом формируя возможность заразить сам коммуникатор.
Представляете, что вирус подсматривает или предлагает вам ввести постоянный пароль, сам вводит его на сайт, сам получает СМС на ваш коммуникатор, сам его отправляет по адресу и вводит для сайта банка.
Т.е. вы даже можете ничего не знать. Никаких СМС не видеть.
ENUM-аутентификация тоже не поможет. CAPTCHA сам злоумышленник распознает. Остаётся только внешнее автономное устройство для генерации разовых паролей.
Представляете, что вирус подсматривает или предлагает вам ввести постоянный пароль, сам вводит его на сайт, сам получает СМС на ваш коммуникатор, сам его отправляет по адресу и вводит для сайта банка.
Т.е. вы даже можете ничего не знать. Никаких СМС не видеть.
ENUM-аутентификация тоже не поможет. CAPTCHA сам злоумышленник распознает. Остаётся только внешнее автономное устройство для генерации разовых паролей.
UFO just landed and posted this here
А может злоумышленников и не было?
Есть такой бот — Zeus. Он сам такое умеет. Прям в риалтайме :)
Есть такой бот — Zeus. Он сам такое умеет. Прям в риалтайме :)
Такое мошенничество проявляется не только с описанными выше системами, но и другими крупными проектами — теми же социальными сетями. Один раз видел hosts в винде, так там около 60 «левых» строчек было.
> Если человек сомневается, вводить ли повторно пароль, то через некоторое время ему звонит «сотрудник банка», и
> говорит что проблема с системой решена и можно попробовать зайти снова.
Откуда у «сотрудника банка» ваш номер телефона?
> говорит что проблема с системой решена и можно попробовать зайти снова.
Откуда у «сотрудника банка» ваш номер телефона?
Простите, а причем тут Альфа?
До такой ерунды как одноразовые пароли в открытом виде и с не ограниченным сроком жизни могли додуматься только такие мега монстры колхозности ВТБ и Сберыч.
До такой ерунды как одноразовые пароли в открытом виде и с не ограниченным сроком жизни могли додуматься только такие мега монстры колхозности ВТБ и Сберыч.
Забаньте автора, чтобы разбирался сначала в том, что пишет.
Нет проблемы описаной в Альфа-Банке
Нет проблемы описаной в Альфа-Банке
Это проблема не банка. Это необразованность автора статьи.
Странно, Drweb при сканировании проверяет hosts и сообщает, если тот изменен.
тсс, расположение файла hosts можно изменить в реестре (но анити- и вирусы об этом еще не знают) так что юзайте для безопасности пока вирусописатели не узнали.
Я уже когда-то про это упоминал, но всё-таки повторюсь. У меня зараза подменяла hosts на другой файлик с именем host2, который, в свою очередь, был не виден штатными средствами типа dir или просмотр проводником. Зараза хуки ставила на системные вызовы, ответственные за работу с реестром и с файловой системой. Так что в реестре подмена hosts не была видна и файлик host2 в том же каталоге что и hosts тоже был не виден. Ситуацию описал вот тут www.g0l.ru/blog/n2482
Sign up to leave a comment.
Мошенничество в системах Телебанк и Альфа-Клик