Pull to refresh

Comments 274

Отличная работа! Остаётся теперь передать информацию органам, пусть выполнят свою работу.
Я задумался, а тот, кто взламывает хакера, может тоже быть обвинен во взломе или соучастии? Тем более автор скачал дамп, содержащий данные этих карт. Или это квалифицируется как самооборона?

P.S. Что-то SQL инъекция слишком очевидная. Что если это ложная панель управления?

P.P.S. А что если автор этого сайта хотел подставить gelloiss? Зачем в админке с очевидной инъекцией гордо указывать автора? Если я не путаю, из статьи понятно, что Юрий Искра доказал, что он владелец gelloiss.ru, но не сайта milleniumfilm.ru. (хотя gelloiss создал telegram-чат, можно ли подделать создателя чата?)
По моему тот кто взламывает хакера тоже может быть обвинен. Если например самостоятельно схватить преступника который тебя обокрал вчера, то можно самому сесть по статье за ограничение свободы человека. Взломы должны проводиться лишь соответствующими органами.
Если рассматривать по УК РФ, то там есть нюанс — уголовным преступлением является не любой взлом, а «если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации».

То есть вот сохранять к себе на компьютер дамп сайта не стоило однозначно ни при каких условиях.
UFO landed and left these words here
Люди которые воруют, не делят жертв на своих, чужих, у которых это лишние карманные или последние до следующей зарплаты. Они делят всех на «я и остальные лохи», а времена Робин Гудов давно закончились.

IMHO надо было в киберполицию это все слить.
Если например самостоятельно схватить преступника который тебя обокрал вчера, то можно самому сесть по статье за ограничение свободы человека.
Из постановления Пленума ВС РФ:
Право на задержание лица, совершившего преступление, имеют не только уполномоченные на то представители власти, но и иные лица, в том числе пострадавшие от преступления, или ставшие его непосредственными очевидцами, или лица, которым стало достоверно известно о его совершении. [...] Превышение мер, необходимых для задержания лица, совершившего преступление, влечет за собой уголовную ответственность только в случаях умышленного причинения смерти, тяжкого или средней тяжести вреда здоровью. Если лицу, совершившему преступление, при задержании был причинен вред меньший, чем это предусмотрено в части 2 статьи 114 УК РФ, действия задерживавшего лица не образуют состава преступления.
Нас в этой статье всегда смущал нюанс.
По УК есть презумпция невиновности, до решения суда никакое деяние преступлением не является.
Поэтому сама фраза «задержать лицо совершившее преступление» формально абсурдна, ведь за что бы его не задержали — преступлением это будет только после решения суда.
Несколько не так.
УК РФ, ст. 14.1:
Преступлением признается виновно совершенное общественно опасное деяние, запрещенное настоящим Кодексом под угрозой наказания.

Для признания деяния преступлением не требуется решения суда. Суд определяет виновность обвиняемого в совершении преступления и меру наказания в случае вины.
Но Вы же просто расшифровали термин преступление, доказывать что было совершено «виновно совершенное общественно опасное деяние, запрещенное настоящим Кодексом под угрозой наказания» ака «преступление» все равно надо.

Да и УПК так же думает
УПК РФ Статья 73. Обстоятельства, подлежащие доказыванию

"«1. При производстве по уголовному делу подлежат доказыванию:
»«1) событие преступления (время, место, способ и другие обстоятельства совершения преступления);


А вот полиция (согласно УПК) может задерживать лишь по подозрению в совершении
УПК РФ Статья 91. Основания задержания подозреваемого

»«1. Орган дознания, дознаватель, следователь вправе задержать лицо по подозрению в совершении преступления
Ну так чё получается? Если суд потом докажет, что преступник подозреваемый совершил преступление, то «активистам» — «всем спасибо, все свободны». Если же будет вынесено оправдание, то...?
Зато после решения суда оказывается, что деяние было преступлением всегда, а не стало таковым только что. Иначе абсурдной была бы уже фраза «преступление совершено».
Я задумался, а тот, кто взламывает хакера, может тоже быть обвинен во взломе или соучастии?


Формально — да. Ст. 272 ч. 1 УК РФ, сохранять дамп найденного к себе на компьютер не стоило совершенно точно.

Или это квалифицируется как самооборона?


Самооборона — это когда здоровью или жизни что-то непосредственно угрожает. А в данном случае правильным порядком действий с точки зрения УК примерно любой страны является обращение потерпевших в органы (и очевидная проблема — потерпевшим является тот, у кого деньги уже украли, при этом в силу специфики преступления найти других потерпевших трудно).
Если лицу, совершившему преступление, при задержании был причинен вред меньший, чем это предусмотрено в части 2 статьи 114 УК РФ, действия задерживавшего лица не образуют состава преступления.

То есть я могу задержать воришку и лещами аккуратно его положить на землю до приезда полиции? И мне ничего не будет, если я не сверну ему хобот нечаянно?
Тут существует потенциально крайне неприятная тонкость: если воришка получил вред здоровью средней тяжести при задержании, либо получил этот вред после, но убедил полицию/экспертов, что получил их во время задержания, то вы очень рискуете. Особенно, если воришка выглядит грустно, а окружающим его жалко.
Тут ещё одна тонкость- что посчитают вредом здоровью средней тяжести? Когда мой кум (на тот момент ещё просто коллега) попал в больницу после избиения, на его телесные повреждения «средней тяжести» нельзя было взглянуть без слёз. Но зная наши органы… могут ведь и наоборот перевернуть.
Есть приказ Министерства здравоохранения, устанавливающий «медицинские критерии квалифицирующих признаков тяжести вреда здоровью». Оценку производит судмедэксперт.
Если кратко, то лёгкий вред — нетрудоспособность до 21 дня и потеря до 10% общей трудоспособности.
10% это перманентно или на ограниченный период? Интересно а как можно оценить трудоспособность?
Это перманентно. Оценка производится по специальным таблицам в приложении к тому же приказу. 10% это, например, черепно-мозговая травма, повлекшая за собой значительно выраженные вегетативные симптомы (тремор век и пальцев рук, высокие сухожильные рефлексы, вазомоторные нарушения и др.).
P.P.S. А что если автор этого сайта хотел подставить gelloiss? Зачем в админке с очевидной инъекцией гордо указывать автора? Если я не путаю, из статьи понятно, что Юрий Искра доказал, что он владелец gelloiss.ru, но не сайта milleniumfilm.ru. (хотя gelloiss создал telegram-чат, можно ли подделать создателя чата?)

Такой вариант тоже возможен, но близок к невероятным. Создателя чата подделать невероятно сложно, но можно украсть сам телеграм аккаунт. Сообщения в чате есть как минимум с января, а значит украденный телеграмм аккаунт на сайте более 3х месяцев. (Хотя я то знаю, что он там [на сайте] появился совсем недавно). Напомню, что владелец телеграмм аккаунта разместил маркер на сайте gelloiss.ru

Если продолжить рассматривать маловероятные сценарии, то скорее кто-то много-много лет пытается подставить Юрия: писал от его имени различные сообщения на хакерских форумах, указывая для связи его скайп.
Ну почему сразу подставить Юрия?
Вам знакомо поняте «кража личности»?
Просто кто-то мог взять себе данные реального человека и творить сови делишки…
Ну т накажут ТС по всей строгости закона за взлом, за обман доверчивого мошенника, за добычу персональных данных, приклеют ему же фишинг на основании найденных НА ЕГО компьютере данных банковских карт и иной конфедициальной информации…

Я задумался, а тот, кто взламывает хакера, может тоже быть обвинен во взломе? Или это квалифицируется как самооборона?

Скорее всего, будет квалифицировано как превышение пределов необходимой обороны.

Кажется, добытые незаконно доказательства таковыми не являются. Поэтому привлечь внимание можно, но гарантий никаких нет, хотя наводка знатная.

Мы не в Америке. Но гарантии есть — что сядет обратившийся.
Для начала, посторонние граждане вообще добычей доказательств не занимаются и заниматься не могут. Максимум, что они могут — в соответствии со ст. 140 ч. 1 УПК РФ сообщить «о совершенном или готовящемся преступлении».
Знакомый человек близкий к органам считает, что в виду сложных отношений с Украиной, подозреваемому ни чего не угрожает. Гораздо действенней может оказаться социальное давление, или действия службы безопасности банка (клиенты которого пострадали). В любом случае, без заявлений пострадавших — делу ход не дать.
Я не очень понимаю, как вообще работают мошеннические схемы с выводом денег при онлайн-оплате картами. Разве при оплате картой они не перечисляются со значительной задержкой, во время которой клиент может оспорить платеж? А если много клиентов требуют вернуть деньги, банк должен вообще заблокировать счет. Плюс для снятия денег, наверное, нужно предъявить кучу документов.
А где гарантии того что деньги выводятся на счет? Вот пару месяцев назад, открыл для себя новый вид обналички, скамер после получения данных производит обмен фиата на крипту в обменнике с автообменом. И что сдесь блокировать? Целый блокчейн? Обменник?
А вы пробовали когда-нибудь отменить сделанный платёж? В США это можно сделать в течение месяца. У нас же — только по личному походу в банк и на это отводятся только сутки.
Я пробовал. Купил игру в стиме помеченную что она с русским — но она оказалась с русским только для Windows. Сам стим хотел вернуть фантики на их счету — но я не планировал никаких покупок игр в стиме — поэтому этот вариант меня не устроил. Написал в поддержку карты и приложил переписку со стимом. Деньги вернули за 30 дней. Никакого посещения офиса не потребовалось. Если бы отказались можно было бы вернуть через мастеркард приложив переписку с банком.
Что за банк, если не секрет?
Кажется это была карта «кукуруза». Но более я её рекомендовать не могу.
по другим причинам
1. Как-то у них закончился «процент на остаток» и мне пришлось ехать в другой город, чтобы забрать свои деньги — банк который держал эти деньги не хотел мне удалённо возвращать их на кукурузу (Промсвязьбанк). Естественно на те полгода пока я собирался посетить их офис проценты никто не начислил.
2. Поменял паспорт и их поддержка (через «связной») долго не могла правильно обработать моё заявление — пополнить карту я не мог довольно долго из-за этого.
Купил как-то игру в стиме (с полгода назад), деньги списали. Игра оказалась для виндовз, в поддержке стима завел по шаблону тикет, через день вернули деньги в карту. Давно ваш случай был?
Очень давно — может 3-5 лет назад
Отменял покупку игры в google play. При чем, отменил я ее дня через два, после покупки. Вообще, на кнопку нажал только ради интереса, ибо «как это так, я деньги отдал, игра у меня, а теперь можно обратно вернуть?». Ну и игра удалилась, а деньги вернулись)
Оплатил как-то раз билайновский интернет, деньги почему-то на счёт не пришли (один раз такое было). Да, пришлось сходить лично в банк, но лимита в сутки нет. Написал заявление, через какое-то время деньги вернули. Процедура, строго говоря, не банковская, а платёжной системы (чарджбэк).
Тинькофф мне пару раз возвращал деньги (один раз ошибочно два раза списали в магазине, воторой раз онлайн-мошенники продали левый ключ к игре) по телефонному обращению. Никаких суток и походов в банк.
У меня была ситуация когда Aliexpress по какой-то причине заморозил заказ и аккаунт. Писал в чат Тинькофф, приложил скриншоты — они создали обращение, которое провисело недели две и деньги вернулись. Однако уверенности в том, что это сделал банк, а не сам Али у меня нет, по срокам если честно больше подходит под возврат с Али. Тем не менее такая возможность действительно есть.
Однозначно проблема будет вернуть если перевод был физлицу.
Точно, не подумал об этом.
Была ситуация такого рода. Подруга играет в он-лайн игру и периодически делает покупки. В один момент ей посыпались смс со списанием денег по аналогичной услуге, но она на данный момент не едлала никаких покупок. Ладно хоть денег на этой карте было 2000 руб.
Но ни обращение в гугл, ни в банк не вернули эти деньги. Типа нет доказательств, что эти платежи мошеннические.
Насколько я понимаю в статье речь идет о card2card переводах, а их оспорить довольно таки сложно (хотя несколько лет назад даже закон принимали, по которому в течении суток любую транзакцию можно оспорить). Но техническая возможность у банка есть, например я один раз пытался перевести 30к через card2card, банк сам молча сначала заморозил, а потом отменил транзакцию (правда есть нюанс, c2c сервис принадлежал банку, который выпустил карту отправителя).

А вообще по правилам Visa и MC можно вообще в течении 60 дней или около того вернуть деньги. Это называется чарджбэк. Но процедура достаточно сложная и я не думаю что она распространяется на что-то, кроме операций покупок (а c2c перевод такой операцией не является).
В бантустане этого Юрия Искры «органы» разве что в долю войти могут. Да ещё «звезду хероя» выдать за «подвиг». Хероям слава!
Вот человека заминусовали, а я, как житель Украины, поддержу его слова — с большей вероятностью наши представители правоохранительных органов будут крышевать такой прибыльный бизнес (согласно данных, указанных в статье — 13 тысяч сообщений и 2000 предполагаемых жертв), чем бороться с ним.
К сожалению, таковы реалии нашей страны — зарплата сотрудников киберполиции далека даже от зарплаты джуна в нормальной аутсорс компании, так что выживают, как могут (я не одобряю и не поддерживаю такое положение дел, просто констатирую факт).

Но на счет «звезды хероя» — это, конечно, перебор) Всё будет сделано максимально тихо и незаметно.
UFO landed and left these words here

сдаётся мне, попытка "соскочить" может оказаться дороже продолжения делиться

1. я, как житель Украины, скажу что сайт никаким образом не определяет житель какой страны спалил данные своей карточки.

2. Опять же зарплата сотрудников киберполиции невелика, они тем более не будут разбирать что да как. Но для возбуждения уголовного дела, нужно чтобы в полицию обратился постардавший. Обратится — проведут расследование. А завершенные дела киберполиции очень нужны, тем более такие, где нарушитель не сын очередного депутата.
Но для возбуждения уголовного дела, нужно чтобы в полицию обратился постардавший.
То есть, дело об убийстве не заводится, пока пострадавший не напишет заявления?
Ну если на улице лежит мертвый человек, обычно дело об убийстве сразу не заводится.

Сперва вызывается скорая, а дело об убийстве — если есть подозрение на убийство, а не на инфаркт. Так и тут — киберполиция вообще не знает о существовании сайта.
Я может не совсем корректно сказал, что только пострадавший может обратиться. Но в общем случае да, без пострадавшего будет сложно понять что расследовать.

В конкретном нашем случае, есть контакты с карточек — можно передать их, пусть полиция свяжется.
Он не хакер, а малолетний дебил. Всего его хаки — соц. инженерия. На бутылку
Мне казалось, habrahabr не место для подобных высказываний.
Он не хакер, а малолетний дебил. Всего его хаки — соц. инженерия
Митник вряд ли согласился бы с тем, что «соц.инженерные хаки» это признак дебилизма. Почитайте его «искусство обмана», если не читали.

Обманывать людей уже признак не очень умного человека. А если ты хорош на выдумки того, как именно обмануть, это не показатель ума.

Обманывать людей уже признак не очень умного человека.
А вы умеете обманывать? Нет? Для социальной инженерии тоже знания нужны и на дороге они не валяются. А для того чтобы обманывать умных, нужно быть ещё умнее. К тому же умея защищаться от обманы частично учишься и обманывать
По вашей логике разведчики, актёры и даже врачи не блещут умом?
Хм.На текущий момент, самые крупные в денежном смысле преступления были сделаны при помощи обмана и социальной инженерии.
Обманывать людей уже признак не очень умного человека
Возможно вы имели ввиду что строить свою жизнь на обмане это не совсем умно?
Тогда да, это так. Хорошая репутация это самая хорошая стратегия.
Но! Элементы обмана присутствую везде в какой-то мере, без этого никуда.
Думаю Митник врет напропалую, пытаясь найти брешь в системе безопасности компании которая заказала ему аудит.
>Обманывать людей уже признак не очень умного человека.
Что поделать, если сейчас проще обмануть человека, чем машину?
Вот и выкручиваются как могут, «хакеры».
Хотя, по мне — им таким нужно другое название придумать. Как вам «шулеры»?
Как вам «шулеры»?
Лгуны же! То юзер агент подменят, то под видом ввода команды код возврата перезапишут, то vpn под сайт замаскируют, то пароль себе придумают, то админом представятся, а то и вообще заказчиком!
Я правильно понимаю что хабрасообщество осуждает критику преступлений?
Ваши комментарии не несут смысловой нагрузки, просто эмоции в воздух. Лично мне не очень интересно, что вы думаете об этом человеке. Я вас не минусовал по понятным причинам.
Мальчика назвали хакером, я сказал что он не является хакером. Всё. Словил кучу минусов. (Куча примеров, где в комментах пишут свои эмоции пользователи, и все ок. Но если ты пишешь не про хорошие эмоции — кик. Что ж)
я сказал что он не является хакером.
У этого слова есть несколько смыслов. И смысл который в него вкладывает журналист отличается от смысла, который в него вкладывали системщики из 80. Само по себе слово ничего не значит.
Мальчика назвали хакером, я сказал что он не является хакером.


Он не хакер, а малолетний дебил. Всего его хаки — соц. инженерия. На бутылку

compare string — result false.
Ну да, давайте ещё будем выискивать места, где вместо короткого тире длинное поставилось из-за дрогнувшего пальца и двух минусов подряд в тексте)
Смысл высказываний одинаков, так что true == Thoughts.compare(thoughFirst, thoughSecond);
В том-то и проблема, что смысл тоже разный.
Я правильно понимаю что хабрасообщество осуждает критику преступлений?
Вы считаете что «критикуя преступление» можно писать что угодно и это должно приниматься на ура? Мы Вас не минусовали, но тем не менее считаем что Вы не правы во многом, разберем по пунктам
1) «Он не хакер» — в современной терминологии хакер это «компьютерный злоумышленник», т.е. Вы по сути говорите что он «не компьютерный злоумышленник» Где тут критика? Да пес с ней с критикой, где логика?
2) «Он малолетний» — даже если так, то почему Вы это произносите в негативном ключе, разве есть что-то позорное в том что бы быть малолетним?
3) «дебил» — термин дебил это объективный показатель низкого IQ, условно говоря. У Вас не только нет оснований так заявлять, но и называя его так, Вы косвенно называете людей которых он обманул еще бОльшими дебилами — двойной фэил.
4) «Всего его хаки — соц. инженерия» — это уже писали, но еще раз — соц.инжинерия это тоже хакерство.
5) Мало того, Вы вообще не критикуете преступление, вся Ваша фраза направлена в адрес человека, а не его деяния.
Детям присущ эгоцентризм и правовой нигилизм. Для них упрощение мира до "+" и "-", и отражение его через собственную недоразвитую эмоциональную сферу является наиболее естественной формой реакции вообще на всё.
Не путайте объективную критику и личное осуждение.
Некий (возможно даже хакер?) Кевин Митник, регулярно пользовался социальной инженерией, и даже утверждал, что «от человеческой глупости нет патча».
Особенно забавляет, как он в 2016 на своем сайте писал про свое отношение к «грязным проектам».
image
> свое отношение к «грязным проектам»
Настройка, доработка, установка, копирование
Обычно нормальным людям стыдно такое говорить, а этому нет. Значит он изначально был готов на то, чтобы у кого-то что-то украсть. Плюс очень странно, что он вообще на этом акцентировал внимание, как будто тебя сразу же после публикации каждый день засылают предложениями о работе на черный рынок…
как будто тебя сразу же после публикации каждый день засылают предложениями о работе на черный рынок

Засылают… Ещё как! Сам лично с этим сталкивался. После регистрации на одной фриланс бирже разместил своё резюме, спустя день на почте было около 7-ми писем с предложениями аля «Нужен веб-девелопер для разработки фишинг-сайта» и не сказал бы что ценник сильно отличался от белых проектов, в некоторых случаях даже был меньше
Не очень понятно, Юрику заказали сайт и он его сделал, отдал заказчику и поддерживает,
какие претензии к нему могут быть?
Он ведь не владелец сайта milleniumfilm.ru, а у что там заказчик разместил и для чего использует, не его проблемы.
А это уже «деяния, совершенные группой лиц по предварительному сговору». За них ещё больше дают.
Дело в том, что не просто «группой лиц», а «по предварительному сговору». И сговор это не просто заказ на разработку сайта, а именно сговор с умыслом совершить преступление. Иначе можно было бы сажать всех — производителя компьютера, платного репетитора, хостера и т.д… — всю группу лиц которая хоть как-то участвовала.

Мало того, если подумать, то из поста не следует что сайт мошенник. Просит ввести данные карты? Ну и? А кто при оплате не просит?
Букинг, например, тоже просит ввести цвв у себя на сайте и мало того, данные карт передает отелям прямым текстом. habr.com/en/post/442378
Знаем как минимум 2 реальных агрегатора/поисковика для покупки авиабилетов где сайт поступает так же, просит ввести данные карты у себя на сайте, один тоже телеграмм ботом их отсылает.
ссл сертификата нет? Тоже не признак мошенничества. А то что автора послали на три буквы — опять же, обидно, но не мошенничество.
Т.е. это все конечно bad practice, может быть даже АК за обработку ПД, но никак не УК — в рамках данной доказательной базы.
Вот если бы автор пробил по адресу «кинотеатр» и обнаружил бы что его там нет или что сайт не имеет к нему отношнеие — это был бы аргумент (если кинотеатр реально есть и это его владелец, то в чем нарушение?), опять же не финальный, т.к. для финального необходимо еще доказать материальный ущерб (создатель сайта может отмазаться тем, что он пишет дипломный проект о легковерии идиотов в интернете).

На случай если кто-то бросился писать гневный коммент на тему что мы защищаем мошенника — нет, мы как раз объясняем почему поспешные обвинения могут оказаться пшиком и чуть что развалиться и что надо их строить на более сильной базе.

Что касается возможности притянут ТС за «взлом», то статья 12 и 14 гк в принципе дают ему определённую свободу действий (самозащита прав), т.к. он действовал в целях пресечения правонарушения и не создал дополнительного ущерба.

Ну и отдельно, конечно, поражает то, что все это вообще возможно. Вроде везде проверка паспортов, даже если ты копейки на центы поменять хочешь, к вай-фаю без номера телефона не подсоединиться, а мошенники спокойно заводят какие-то подставные счета, выводят через них деньги и остаются безнаказанными. Как так? Видимо, пока они не финансируют антиправительственные митинги, особого интереса они не вызывают.
Sabubu дело в том., что карточная система изначально пришла из сша/европы, где в случае мошенничества банк/платежная система без проблем возмещает ущерб. Для россии это тоже отчасти работает, только немного через ж-пу, но в принципе через визу/МС вполне можно вернуть мошеннический платеж в возврате которого откажет банк. В общем by design мошенничество никого не парило, т.к. деньги клиентам возвращались.
Еще нюанс в том, что в ряде случаев оплата вообще совершается без участия банка в момент оплаты, т.н. оффлайн платежи. В банк данные об оплате приходят пост-фактум и он его в принципе задержать не может.
И добивает эту ситуацию тот факт, что прием оплаты зависит от мерчанта. Мерчант может его настроить так, что бы никаких лишних проверок не было и даже cvv не требовался. В таких случаях платеж намного легче вернуть, но некоторые мерчанты осознанно идут на такой риск в целях клиентоориентированности (не в целях мошенничества, т.к. штрафы там дикие при большом количестве возвратов, нет смысла).

Как я понимаю, там есть куча способов снять деньги: перевод на счет сотового телефона, вывод через ставки или казино, покупка криптовалют итд.
Угу. Или на авито что-нибудь купить с предоплатой. Мол я сейчас Вам денег на карту скину, а вечером заеду товар заберу. Вы такой радостный что у Вас товар купили, а завтра к Вам маски-шоу за полученный мошенничеством платеж на карту с изьятием компьютера и тыды.
>А кто при оплате не просит?
Ну так-то подавляющие все честные сайты работают через платёжных агрегаторов, поскольку сертифицировать себя для обработки ТАКИХ данных стоит 100500 нефтей.

>Букинг, например, тоже просит ввести цвв у себя на сайте и мало того, данные карт передает отелям прямым текстом. habr.com/en/post/442378
Скажите ещё, что вы пользуетесь этим сайтом для каких-то ещё целей, кроме поиска вариантов отелей?
Мне вот почему-то куда больше доверия к цепочке «поискал на букинге=>нашёл отель=>нашёл сайт отеля=>забронировал номер на сайте отеля». Хотя бы по той простой причине, что в таком случае не будет проблем если синхронизация между букингом и отелем сломана/глючит/тормозит, и от этого букинг продаёт брони на уже заселённые в оффлайне на стойке регистрации номера.

>ссл сертификата нет? Тоже не признак мошенничества.
Но таки верный smell.
Если владелец сайта даже в Let'sEncrypt сертификат себе не может — фтопку.

>И добивает эту ситуацию тот факт, что прием оплаты зависит от мерчанта. Мерчант может его настроить так, что бы никаких лишних проверок не было и даже cvv не требовался.
И таки да, и даже некоторые благотворительные организации таким не брезгуют (пальцем указывать не буду, но столкнулся).

А то, что Юрик размещал объявления о разработке и продаже фишигового сайта, это чистое совпадение. Если он сделал сайт, прекрасно понимая, что он делает и для кого, то претензии к нему есть и ещё какие.
а как это доказать? он как я вижу совсем противоположенное пишет и сам сайт уже выключен и находится на украине, так что до него уже не добраться, потому возможно самое оптимальное для ТС, удалить статью и спрятать подальше следы своей работы, по выводу мошенника на чистую воду.
Выясним, кто создал чат, в который бот отсылает сообщения.

Как видно создатель чата имеет такой же username как и сайт создателя — «gelloiss».
Ну а создатель чата = @gelioss = Юрий, он в переписке не скрывает, что gelloiss.ru — его сайт, а на сайте всего его профили в соцсетях и мессенджерах…

Альтернативная версия какая? Что кто-то был настолько дальновиден, что 4 года назал указал ник и скайп Юрия в объявлении о продаже фишингового сайта, затем создал телеграм-аккаунт с таким же именем и аватаркой, создал с этого аккаунта бота для приёма украденных данных, зарегистрировал ещё один сайт gelloiss.ru, накидал туда ссылок на профили Юрия и ждал годы, пока это вскроется, чтобы подставить Юрия?

Вариант «кибермошенники зачастую умом не отличаются» намного вероятнее.
все может быть, даже и такое, а может купил шаблон 4 года назад и до сих пор клепает на нем сайты сливая все на один чат, Вы серьезно думаете, что там всего один сайт в работе?
Ну а создатель чата = @gelioss = Юрий

Допустим, это identity theft?

Альтернативная версия какая?

А «основная» какая — что человек настолько туп, что наследил где только можно, пользуется одним и тем же аккаунтом для личных дел и грязной работы?
Это к безопасности ТС относился комментарий, а не тому что бы скрыть следы деятельности этих людей, думаю тут вообще партнёрка, эти сайты уже много лет существуют мне сказали и их много разных, сауны, номера. Область поиска клиентов это сайты СЗ в основном.
Если докажут, то да.
А если поленятся, или окажется, что Юра не при чем, то может попасть и ТС.
для романтичного свидания со своей возлюбленной
А вы её хорошо знаете?
Просто это популярная схема развода: девушка знакомится в сети с молодым человеком, убалтывает его пойти в кино и скидывает ссылку на сайт кинотеатра, ну а дальше — ни денег, ни девушки (конечно, на том конце никакая не девушка, а всё тот же мошенник).
Плюс 1. Тоже слышал о таком разводе
Если не рассматривать вариант обращений в правоохранительные органы или банки, есть вариант расшатать систему сбора денег изнутри — например, добавив на сайт подмену пары произвольных цифр в cvc/cvv на случайные (разумеется, в логи и далее «клиенту» должны выдаваться подменённые данные). Тут уже и банки, и клиенты сами прочухают неладное, а кардеры могут заподозрить «вебмастера» в «измене» и разобраться с ним своими методами. Можно ещё регистратору домена отправить жалобу на владельца домена, чтобы тот его забанил и запретил другие домены регить, хоть это может оказаться неэффективно.
У половины таких сайтов «платежные шлюзы» смешные и никакой проверки вводимых данных не осуществляют, ну а дальнейшее сугубо на совести того, кто что в этот шлюз вобьёт.
Подавать случайную инфу — это первое, что приходит в голову. Но атака с передачей всех случайных данных не позволит банкам предупредить клиентов о подозрительных транзакциях по карте. А так, когда номер карты будет реальным, а cvv нет, банки-эмитенты быстро увидят, что что-то не так, и заодно начнут копать сами — не через правоохранительные органы, так через международные платёжные системы.
Я бы в подобном случае поступил бы именно так. У меня был похожий случай несколько лет назад — и я, так сказать, кое-что подправил мошенникам в их системе. Не знаю, что с ними там стало дальше, но через несколько месяцев их ресурсы и аккаунты перестали функционировать.
Вообще, если тут есть граждане Украины, которые не боятся написать заявление в органы, то вполне можно его написать, в стиле «В сети Интернет на сайте… в статье »..." я прочел о возможных признаках преступления — кражи данных банковских карт. Прошу проверить, имело ли место нарушение закона". Написать, конечно, можно и в российские органы, но боюсь, что заграничные коллеги могут потребовать сначала что-нибудь вернуть что-нибудь отжатое в обмен на преследование преступника.

Можно вбросить ссылку на статью в группу университета Вконтакте — пусть подписчики узнают о «талантливом» одногруппнике. Как плюс, теперь ники и логины товарища хорошо гуглятся.

Ну и отдельно, конечно, поражает то, что все это вообще возможно. Вроде везде проверка паспортов, даже если ты копейки на центы поменять хочешь, к вай-фаю без номера телефона не подсоединиться, а мошенники спокойно заводят какие-то подставные счета, выводят через них деньги и остаются безнаказанными. Как так? Видимо, пока они не финансируют антиправительственные митинги, особого интереса они не вызывают.

Как я понимаю, там есть куча способов снять деньги: перевод на счет сотового телефона, вывод через ставки или казино, покупка криптовалют итд.
Собираюсь это сделать, отпишу про результат обращения
Ну и отдельно, конечно, поражает то, что все это вообще возможно.

Что вы… Сложно представить сколько существует интернет-магазинов, которые продают "ничего" за огромные суммы, а платежи проводят через Яндекс.Деньги. Сам однажды попался на такой в предновогодней суете. Купил "ничего" под видом видеокарты. Неладное почуял довольно быстро, спустя 2 дня, когда чисто случайно решил посмотреть сертификат сайта, а он оказывается был выдан накануне. И главное как грамотно всё было спланировано: абсолютно не вызывающий подозрений домен, ssl-сертификат, огромное количество товаров, личный кабинет с историей заказов, техническая поддержка, платежная система яндекса.
Когда я понял, что я — лох, сразу сообщил в яндекс о мошеннической схеме через их платежку со всеми собранными сведениями: о том, что магазин не существует физически, а по указанному адресу расположен совершенно другой магазин; о том, что приложенные свидетельства и документы на сайте вообще не относятся к деятельности магазина, а принадлежат другим юридическим лицам/фирмам.


Ответ яндекса не заставил ждать, он был в духе: "Да, мы видим ваш платёж, но вернуть деньги не можем, т.к. они уже потрачены на приобретение других услуг Яндекса.". После моего обращения в Яндекс, сайт с их платежкой проработал еще несколько недель, а счет мошенников даже не был заблокирован и они преспокойно продолжали принимать платежи (да, я проверял форму ввода данных о карте, она работала). И сколько человек еще было обокрадено, прежде чем счет был заблокирован? Никто этого не узнает.

Жаловаться хостеру и регистратору домена. Возможно, в РосКомНадзор. Заявление в полицию. Все должны знать, куда (кроме них) ещё ушла жалоба. Но это дело хлопотное. Заявление в полицию — это, скорее всего, ещё как минимум пара вызовов для дачи показаний. Нужно быть готовым «дожимать» ситуацию, тратить на это ресурсы.

Вообще же ХОРОШО сделанные клоны магазинов встречаются часто, да. Не знаю, как сейчас — но раньше даже давали ссылку на раздел настоящего магазина в Яндекс.Маркете (типа, смотрите, у нас пять звёзд, ага). Тогда, несколько лет назад, несовпадение доменных имён на основании информации из раздела было неочевидно (да и сейчас можно взять визуально очень похожее).

Я в тот день написал жалобу везде где можно: яндексу, регистратору домена, в РПН, в прокуратуру, в какой-то отдел it-преступлений (точного названия не помню). На счет хостера не помню, скорее всего я на него не вышел.


Заявление в полицию — это, скорее всего, ещё как минимум пара вызовов для дачи показаний

Именно так и было. Меня даже попросили принести 2ндфл, а когда следователь (девушка) увидела зарплату за последний месяц, округлила глаза: "И вы жалуетесь на кражу 10 тысяч рублей?". Реакция меня прям в шок повергла. Т.е. если я когда-то получал нормальную зарплату, то жаловаться на преступников, обобравших меня — это прямо как-то низко с моей стороны.

Т.е. если я когда-то получал нормальную зарплату, то жаловаться на преступников, обобравших меня — это прямо как-то низко с моей стороны.
Просто для них чем больше заявлений — тем больше работы (а если случай непростой, то и конечная статистика ухудшается). При этом их оплата от объёма работы зависит не слишком сильно. Поэтому они к заявителям так и относятся. Но, конечно, Вы всё правильно сделали. Чем больше жалоб — тем больше вероятность того, что преступниками займутся быстрее и основательней (и они меньшему количеству добропорядочных граждан успеют нагадить).

Отечественных хостеров неплохо определяет известный 2ip.ru/guess-hosting

их оплата от объёма работы зависит не слишком сильно

В этом-то и проблема! Ответственность за финансовые преступления должна лежать на тех, кто получает зарплату за то, чтобы эти преступления не совершались.
Не смогли пресечь преступление? Виновны.
Не смогли устранить последствия (найти виновников и вернуть украденное) — виновны дважды.
А то как получается: люди платят налоги, чтобы обеспечить работу всех этих ведомств, созданных защищать нас, а они работу свою не выполняют и зарплату получают исправно и в полном объёме.


больше вероятность того, что преступниками займутся быстрее

Самый первый и ответственный шаг должны были сделать сотрудники безопасности Яндекса, они, когда согласились с тем, что имеются признаки мошенничества, могли приостановить транзакции, но этого не было сделано.


Вообще вся эта система дырявая. Как пример — телефонные мошенники со своими смс-ками "вам зачислено 100 рублей". Когда сообщаешь оператору о мошенничестве, они просто блокируют номер. Всё. Дальше никто ничего не делает.


Почему операторы не инициируют процесс поимки преступника? Ведь мошенник использовал их сервисы. Им проще всего: они уже знают на кого зарегистрирована сим-карта (могут и не знать, да), они могут отследить где примерно карта была активирована, когда была активирована, где была активность этой карты. Могут отследить трафик, проанализировать записи разговоров, посмотреть на какие счета переводились деньги и т.д. и т.п. Во всяком случае они могут не делать всего этого сами, они могут просто передать архив данных в соответствующие органы, но вместо этого они говорят: "Вы можете самостоятельно написать заявление в прокуратуру для возбуждения дела". Но по факту я не являюсь жертвой, ведь я не передал деньги преступнику. С чем я должен обращаться в органы? С тем что меня пытались обмануть, но ничего не вышло. Ну не вышло и не вышло, такое дело даже рассматривать не станут.
Жертва тут — оператор, чьими услугами воспользовались, чтобы осуществлять незаконную деятельность. Но им пофиг, с них не убудет, они свой процентик за переводы получают и ладно. Так быть не должно.
С Яндексом аналогично, только они даже не посчитали нужным вовремя заблокировать счет.

Хостер и регистратор (по крайней мере, reg.ru) будут блокировать сайт только в результате обращения из полиции (из личного опыта).
Ну, SSL-сертификат сейчас, в эпоху Let's Encrypt, не сказать чтобы является критерием подозрительности (если, конечно, он был выдан их CA): перевыпускаются они в штатном режиме достаточно часто. А вот документы магазина проверять не мешает.
Я не сильно разбираюсь в этом, но вроде это был не Let's Encrypt.
Меня яндекс также послал (в полицию), когда мне продали левый ключ от игры, однако удалось вернуть деньги через мой банк (Тинькофф). С тех пор предпочитаю не покупать в онлайн-магазинах, которые принимают оплату через яндекс деньги.
На сайте киберполиции Украины создал обращение о возможном правонарушении со ссылкой на статью. Сомневаюсь конечно что от этого будет какой то толк, но все же.
UFO landed and left these words here
Жадность поставить бесплатный сертификат?

Жадность купить платный. Лень разобраться с let's encrypt.

Включил let's encrypt в панели управления Direct admin.
А есть и такие клованы, только сам шлюз у них смешной слишком.
Сейчас кредитную карту вообще опасно доставать. Чисто случайно нашел в открытом доступе архив видео с камер наблюдений мелкого супермаркета… 3 камеры стояли над кассами и снимали их крупным планом — разрешения камер хватало, чтоб прекрасно видеть номер карты, которой оплачивают покупки а так же имя и прочие данные. И некоторые покупатели крутили ей, когда вставляли в ридер. Так что код тоже прекрасно был видим. Конечно процент таких покупателей весьма невелик — многие платили наличкой, но из любопытства я смог выцепить на видео 4 карты со всеми данными, отсмотрев примерно 3 часа с промотками… Поскольку такие камеры есть везде, почти в любом магазине — это мягко говоря напрягает… хрен его знает, где потом это видео всплывет, ведь оно обычно никак не защищено. Это песец, товарищи ((
А в интернете если где-то плачу — предпочитаю использовать одноразовые виртуальные кредитки.
«крутили ей, когда вставляли в ридер. Так что код тоже прекрасно был видим»

Берется пломбировочная наклейка, наклеивается на код, если просвечивает — дополнительно уже на ней маркером закрашивается место.

Можете даже официанту ее после этого отдать (хотя сейчас уже практически неактуально, они обычно с терминалом приходят), сразу будет видна попытка отклеить, если она, конечно, будет предприниматься.

Я например с момента получения карты, сразу соскреб CVC код и нарисовал вместо него другие цифры.

Дамп есть если только платить магнитной полосой. А её можно и размагнитить.
Чтобы потом приехать в какую-нибудь страну типа Японии и остаться без возможности платить карточкой совсем :-)
Если у вас одна-единственная карта на все случаи жизни, то это, мягко говоря, непредусмотрительно.

Резюме: какер погорел на том, что не настроил let's encrypt на фишинговом сайте )))


Но автору все равно респект. Прочитал с большим удовольствием )

UFO landed and left these words here
А вот интересно, можно им туда honeypot карточек в базу напихать?

Как в известном анекдоте:


  • Давай трахаться?
  • Забей, смотри лучше какого я хакера поймал )))
Вот так обострённое чувство справедливости и человеческая порядочность привели человека на путь white hat. Надеюсь, что «Продолжение следует», как нам сообщил автор.
С таким White Hat может быть очень грустное продолжение (достаточно маловероятное, но реальное): если данные этих карт будут использованы для мошенничества или кражи денег (что особенно неприятно), то влететь может автору: он имел доступ к этим данным, повзаимодействал с ними, сохранил их, плюс искать его может быть проще, чем создателей сайта.
Я так понял, что это украинцы безобразничают?

Штирлитц еще никогда не был так близко к провалу!

еще вчера, через пару часов после публикации этой статьи. Слишком много гневных смс поступило)
Мда, автор…
Улов у тебя — ерши сопливые.
Методы твои — незаконные.
Статейку лучше удали, от греха.
Кулхацкеры и неуловимые аноны негодуют. Однако, дружеский совет остается в силе.
Статья классная и проделана реально хорошая работа, мне нравится)
Но есть один нюанс. Я не создатель и даже не участник этой группы.
Ко мне поступил заказ на zismo.biz, довольно давно, кстати и я его просто выполнил.
Сам заказ был в том, чтобы перенести их сайт с тильды на «свой хостинг» и написать простую админку для публикации фильмов и тп. Никаких карт не было, оплата у них была через яндекс, так что я и не знал, что они мошенники. Бот использовался для оповещений о новых заказах, поставил со своего аккаунта, ибо так было проще.
Все мои переписки с ними сохранились и в случае чего я смогу их показать.
Просто видимо сайт переделали. К тому же, там ссылка на меня была не только в админке, но и на главной. Если тс ее не увидел, то мб и ее убрали.

Если есть какие-то вопросы — пишите, отвечу)
Да. Можете перейти на сайт из поста, для удостоверения в этом)
(Именно с поста, вручную вводить в строку не выйдет)
Принадлежит ли telegram аккаунт gelloiss Вам в настоящее время?
У Вас же это в статье есть. Я просто говорю, что не связан с заказчиками никак кроме «выполнил, установил все и настроил, отдал сайт». Иногда фиксил баги поначалу. Да и я не знал, для каких конкретно целей сайт будет использоваться.
Обвинять меня в краже персональных данных неправильно.
Обвинять меня в краже персональных данных неправильно.

Это еще предстоит выяснить.
Если я правильно Вас понял, то Вы утверждаете, что получали ФИО, номера телефонов, номера банковских карт в свой телеграмм, но не знали для каких целей они используются?
Лично я не получал ничего. Бот, созданный от моего аккаунта, мог отправлять что угодно и кому угодно, т.к. токен был не у одного заказчика.
Сейчас токен сменен и никто ничего от него отправлять больше не будет.
Лично я не получал ничего. Бот, созданный от моего аккаунта, мог отправлять что угодно и кому угодно, т.к. токен был не у одного заказчика.

Хорошо — я вам верю.
Сможете ли убедить автора статьи?
А надо ли? Здесь лучше убедить кого-то другого, т.к. автор статьи явно нарушил несколько статей. Как минимум: pravo.rg.ru/rubrics/question/3446

Если мне надо будет кого-то убедить в своей невиновности, то это точно будет не ТС. Ну и если надо будет, то сделаю) У меня все переписки сохранены с заказчиками. Доступов и сохраненных карт или чего-то подобного тоже нет, так что проблем пока не вижу.
>У меня все переписки сохранены с заказчиками.
А вы сможете неоспоримо доказать при необходимости (не будем обсуждать при какой именно), что все эти сохранённые переписки действительно имели место в реальности?
Да и я не знал, для каких конкретно целей сайт будет использоваться.

Я бы поверил, если бы не диалог в telegram. Уверен, вы прекрасно знали для каких целей используется созданный Вами сайт.
Извините за вид, сохранился только дамп:
dump
Message(id=31, grouped_id=None, from_id=898775249, edit_date=None, message='Короче нужен сайт по «переводу карты на карту без комиссии» естесственно он должен высылать данные карты и код подтверждения мне', to_id=PeerUser(user_id=365019332), entities=[], fwd_from=None, views=None, media=None, post=False, media_unread=False, out=True, date=datetime.datetime(2019, 4, 19, 9, 36, 15, tzinfo=datetime.timezone.utc), silent=False, via_bot_id=None, post_author=None, reply_to_msg_id=None, from_scheduled=False, mentioned=False, reply_markup=None),

Message(id=33, grouped_id=None, from_id=365019332, edit_date=None, message='moneyonline.world/pay/?pay=123\nТипа этого?)) \nДанные в телегу приходят', to_id=PeerUser(user_id=898775249), entities=[MessageEntityUrl(offset=0, length=38)], fwd_from=None, views=None, media=MessageMediaWebPage(webpage=WebPage(id=8004451420650727228, hash=0, photo=None, description='MoneyOnline.com ‒ это платежная система для тех, кто зарабатывает в интернете. Электронный кошелек, прием платежей и вывод денег, денежные переводы. Мгновенная регистрация, выгодные комиссии.', embed_height=None, embed_width=None, document=None, embed_type=None, site_name='MoneyOnline', cached_page=None, url='https://moneyonline.world/pay/?pay=123', display_url='moneyonline.world/ru', duration=None, author=None, embed_url=None, title='MoneyOnline | Электронный кошелек, платежи, прием и вывод денежных средств', type='article')), post=False, media_unread=False, out=False, date=datetime.datetime(2019, 4, 19, 9, 37, 53, tzinfo=datetime.timezone.utc), silent=False, via_bot_id=None, post_author=None, reply_to_msg_id=None, from_scheduled=False, mentioned=False, reply_markup=None),
Не знал.
Со слов заказчика moneyonline, сайт использовался для перепродажи товаров. Т.е. у него заказывали банк. карты, он получал оплату и заказывал дешевле в других местах.
Также и Вы при заказе не уточняли с какой целью Вам нужен сайт. Это не единичный случай, когда люди просят написать какую-то подобную платежку, потому что не могут или не выгодно связываться с официальными, при этом они никого «не кидают на деньги».

В статье Вы обвиняете меня в том, что я лично собирал данные карт, снимал с них деньги и т.д. Но нет, я лишь написал сайт на заказ и все. Вы не нашли никаких реальных мошенников, и даже то, что Вы вышли на меня не позволит найти их, ведь все, что у меня есть — аккаунты телеграмма, два из которых уже удалены.

Вы же не станете обвинять фирму, создавшую интернет магазин, который отправляет, например, подделку? Нет, ведь фирма к этому никакого отношения не имеет.
Также и у меня. При том, после статьи, я сразу отключил бота и он больше не сможет отправлять заказчикам данные, потому что я не хочу быть замешан в этом.
Юрий Андреевич, так ты даже в своем колледже (ХПКК група П-51) внаглую обманываешь преподавателя и сам же это постишь pikabu.ru/story/kak_otvetit_prepodu_ne_vyigovarivaya_ni_zvuka_6639791 или это не ты? Или же ты думаешь что Панченко будет вместо тебя будет отвечать и дальше?

Со слов заказчика говоришь, как то очень быстро «твой» заказчик подчистил сайт…
Лол, давайте сюда еще забавную ситуацию приплетем с колледжа?)))
А Вы никогда не говорили преподавателю, что заболели или проспали, когда на самом деле просто было лень идти? И что, Вы теперь тоже обманщик и будущий преступник? Кстати, это не Кривошеев…

Я отключил бота и заказчик заинтересовался этим, прочел статью. Причину отключения сайта не знаю. Могу предположить, что на него обрушилось большое количество гневных писем.
PCI DSS? Законодательство (украинское тоже) по противодействию отмыванию денег? Как в этих условиях в принципе что-то обналичивать? Неа, не слышал и не думал…
Этот вопрос адресован мне? Если да, то, извини, не понял вопроса.
Парой комментов выше была оплата по яндексу, теперь отправка платёжных данных в телегу

Для каких вообще легальных действий может понадобиться отправка платёжных данных клиента в телегу?

Здесь речь шла о двух разных сайтах.
И я же описал для каких. Ну так мне говорили. Я сильно не расспрашивал. Есть работа, делаю.
Исключения были, когда заранее 100% понимаю, что черная тема.

Для каких вообще легальных действий может понадобиться отправка платёжных данных клиента в телегу?
А что именно Вас тут удивляет?
То что данные уходят в 3rd-party контору? Так это достаточно частая практика, у нас заказы бывают и в скайп посылать и по смс и даже просто в личку на другой форум. Не очень безопасно, но никак не уголовно.
То что данные уходят в открытом виде и полностью, а не перекидывает на оплату на сайт банка сразу? Это тоже частая ситуация, когда процессинг наполовину ручной. Те же агрегаторы продажи авиабилетов или букинг (мы где-то писали выше), они в момент непосредственной покупки у поставщика вводят эти клиентские данные и они им нужны полностью у себя что бы их ввести. Опять же, не очень безопасно, но вряд ли уголовно.

Понимаете в чем штука. Проблема со всеми мошенниками в том, что для своей эффективной деятельности они максимально маскируются под честные методы ведения бизнеса. Поэтому в подавляющем большинстве случаев, если мошенник не идиот, 99% его действий объясняется в рамках сложившейся деловой практики, пусть даже она несколько сомнительна в плане безопасности и белости.

Вы так и не ответили, зачем это нужно.
Если нужно просто хранить данные карты клиента, что бы ему было удобнее — тогда должен быть вопрос, нужно ли сохранять карту


и при этом не нужно хранить (знаю, что это не панацея, но всё же)

Международные платёжные системы очень жёстко регулируют, какие данные и какие их клиенты (зависит от уровня сертификации клиента) могут сохранять. И сохранение ВСЕХ данных карты в открытом виде стоит нереально дорого, и поэтому не применяется честными сайтами (практически все честные сайты пользуются сертифицированными крупными платёжными агрегаторами)
Для хранения данных карты нужна сертификация PCI DSS, просто так по желанию левой ноги это не делается.
Booking.com с отельерами тоже об этом знают, или нет?
Для каких вообще легальных действий может понадобиться отправка платёжных данных клиента в телегу?


В принципе можно придумать такие схемы. Например, дропшиппинг, если дропшиппер очень хочет сэкономить (типа получает заказ, потом с карты клиента на его адрес покупает на Aliexpress). Но что-то я сомневаюсь, что это распространенный сценарий.

… если дропшиппер очень хочет сэкономить, получает заказ и данные кредитки, и потом просто снимает с неё деньги

100% экономия. Но я о том, что можно придумать легальные способы использования данных подобным образом. Они маловероятны, но придумать можно.

Ага.
Но можно уже не придумывать, в соседней ветке выложили скрины, где объект исследования прямо предлагает фишинговые сайты на продажу

А чё теперь на хабре коменты писать может любой, кто просто зарегается?
Видимо и минусить теперь тоже могут, раз за такой вопрос уже минусят )

При Билли Гейтсе такого не было!
Нет, не могут.
А комменты лишь после модерации появляются.
Писать-то могут. Публикует либо автор, либо (вроде как) модератор. Раньше вы бы при желании ничего не написали, и никто бы волшебную кнопку не нажал.
Которая опубликует ваш комментарий для широкой публики, не только автора поста и администрации.
UFO landed and left these words here

Посмотрите на дату. Посмотрите на мой последний визит и вообще время проведенное на том форуме.
Честно, я до этого поста и забыл об этом. На идею меня толкнул одноклассник (Да, я тогда еще был классе в 8), типа пошутить над другом. Потом решил попробовать вдруг получится продать, может кому надо))
Было продано 0 копий, ни один аккаунт не пострадал.

UFO landed and left these words here

Ничего себе шуточки… лет на семь строгого режима или сколько там за изготовление взрывчатых веществ?

UFO landed and left these words here
эх молодо зелено

Гидроперит+фиксаж = много дыма.
Замени на анальгин) Из той же аптеки) Воняет жутко только.
В этом то и прикол)
А реакция начинается после пары-тройки минут на батарее (или в любом другом тёплом месте))
Или минут 15 просто при комнатной температуре :D Эх, школа…
UFO landed and left these words here
Мы их мелко резали и в бумажку, если поджечь то тоже много дыма.

А если в фольгу то и ещё летающего по непредсказуемой траектории.
А если в обёртке из фольги сделать хвостик для выхода дыма\газов, то даже и по достаточно предсказуемой.
Линейки были и треугольники пластиковые из того же материала что и медиаторы. И стоили они на порядок дешевле в пересчете на массу материала.
Но зачем их покупать если можно у одноклассников отжать :) или родителям втереть что такая линейка нужна ибо старая сломалась.
сарказм не прошел :(

Но вообщем у каждого поколения свою «шуточки» на грани фола и не понятны предыдущему.
А в моем детстве селитра свободно продавалась в промтоварах для огородников.

Она и сейчас продаётся, причём именно аммиачная никуда из продажи и не исчезала. Вот калийной некоторое время не было, но сейчас и она продаётся.
Сам заказ был в том, чтобы перенести их сайт с тильды на «свой хостинг» и написать простую админку для публикации фильмов и тп.

Почему опровдания о незаконности есть, а извенений за дыры в коде нет? ヽ(‵﹏´)ノ (┻━┻)
Непростительно ((╬◣﹏◢))

Профиль скрыт из любви к искусству, или автор знаком с другим деаноном?

Неужели в «Харьковском патентно-компьютерный колледже» ничего про защиту от взлома не говорили?
Не до извинений было, сори.
Господи, вопрос про профиль, это вообще что-то забавное. Вам по кайфу все искать обо мне?))
Профиль скрыт, ибо это по дефолту, походу. Ну точно не специально. И вообще я шиккикомори пользовался месяца два максимум, ибо неудобно мне каждый раз помечать какие-то анимешки… Не вижу в этом смысла. Смотрю и смотрю)
Неужели в «Харьковском патентно-компьютерный колледже» ничего про защиту от взлома не говорили?

У нас очень хороший колледж, где преподают лишь современную информацию.
Зачем учить защите в пхп, если можно установить вп, где все уже защитили за тебя?

если можно установить вп
вп — это WordPress?

Чем вам так преподаватели насолили, что вы им тут такую антирекламу делаете? Уже б сказали что прогуливали занятия…
это ведь и была ирония, а все приняли всерьез, лол.
насолил собственно тем, что преподовал вп.
да, вп — WordPress
Вы таки хотели сказать «где все дыры сделали за тебя»?
На WordPress приходится около 75% взломов всех CMS.
У Вас есть опыт взлома WP через его «дыры»?
Справедливости ради скорее всего это из-за его популярности. Там теперь автообновления безопасности есть, так что все не так уж и плохо.
На ваш коммент хочется повесить золотую табличку «Весь уровень подобных учебных заведений в двух фразах».

У нас очень хороший колледж, где преподают лишь современную информацию. Зачем учить защите в пхп, если можно установить вп, где все уже защитили за тебя?
Сначала прочитал как «Латентно-компьютерный колледж». Даже не удивился.

Так открой. Интересно же узнать что смотрят злобные кулхацкеры.

Все это похоже на проведение оперативно-розыскных мероприятий. А вот список органов власти, кто может осуществлять такую деятельность: Органы внутренних дел Российской Федерации, Органы федеральной службы безопасности, Федеральный орган исполнительной власти в области государственной охраны, Таможенные органы Российской Федерации
Служба внешней разведки Российской Федерации.
Все это регламентируется Федеральным законом «Об оперативно-розыскной деятельности»
от 12 августа 1995 года N 144-ФЗ, принятым Государственной Думой 5 июля 1995 года

(в ред. Федеральных законов от 18.07.1997 N 101-ФЗ,
от 21.07.1998 N 117-ФЗ, от 05.01.1999 N 6-ФЗ,
от 30.12.1999 N 225-ФЗ, от 20.03.2001 N 26-ФЗ,
от 10.01.2003 N 15-ФЗ, от 30.06.2003 N 86-ФЗ,
от 29.06.2004 N 58-ФЗ, от 22.08.2004 N 122-ФЗ,
от 02.12.2005 N 150-ФЗ, от 24.07.2007 N 211-ФЗ,
от 24.07.2007 N 214-ФЗ, от 29.04.2008 N 58-ФЗ,
от 22.12.2008 N 272-ФЗ, от 25.12.2008 N 280-ФЗ,
от 26.12.2008 N 293-ФЗ, от 28.12.2010 N 404-ФЗ,
от 21.11.2011 N 329-ФЗ, от 08.12.2011 N 424-ФЗ)
Т.е. автор, своими действиями и публикацией — нарушил все вот это вот вышеперечисленное :)
Смотрим на это с другой стороны. Аноним misery-hacker разместил на хабре статью.
Петр Иванов прочитал и на сайте генпрокуратуры написал обращение «Я, Петр Иванов, прочитал статью „Как я хакера ловил“ по адресу habr.com/ru/post/448810
В статье содержится информация о преступлении.
Прошу провести проверку изложенных фактов.»
Будет ли прокуратуру интересовать личность misery-hacker так чтобы попытаться его найти?
Скорее всего да, т.к. действия Gelloiss еще надо квалифицировать (тем более, что в «свободном общении» он факт умысла отвергает), а вот misery-hacker прямо в полный рост расписал осуществление преступного умысла. И сам умысел "… на блюдечке с голубой каемочкой..." преподнес. Я так и вижу формулировку: "… руководствуясь мотивом мести, из хулиганских побуждений, осознавая противоправность деяния ..."
А что? Заявление от пострадавшего от действий взломщика совсем не нужно?
Нет. Javian очень корректно сформулировал:
Прошу провести проверку изложенных фактов
По действующим нормам о преступлении может сообщить любой гражданин.
Не требуется. УПК РФ ст.21.2:
В каждом случае обнаружения признаков преступления прокурор, следователь, орган дознания и дознаватель принимают предусмотренные настоящим Кодексом меры по установлению события преступления, изобличению лица или лиц, виновных в совершении преступления.
Аналогичная статья есть в КоАП РФ (ст. 28.1.1.1). Заявление требуется только в гражданско-правовых отношениях.
Уголовные дела публичного обвинения (перечень статей есть в УПК) могут возбуждаться без заявления потерпевшего.
Не надо пугать. Для привлечения по любой статье нужно доказать злой умысел, в т.ч. и для привлечения по 272 статье «неправомерный доступ». Это — единственное, за что здесь можно привлечь. Прокурур, если дело дойдет до суда, вспотеет, доказывая злой умысел во фразе «с целью установления личности злоумышленника и пресечения его деятельности, я принялся изучать сайт...». А адвокату всего лишь придется помахать этой статьей, которая ясно говорит, что никакого умысла у misery-hacker не было. Следователь, осознавая всю бесперспективность этой затеи, даже дела открывать не будет, а если и откроет по заявлению, закроет «за отсутствием состава преступления».
и не планировал пугать, а только рассуждал, полагаясь на здравый смысл и некоторое знание системы.
1. очень много зависит от того как происходящее преподнесут в заявлении.
2. много зависит и от ответа самих участников (или их адвокатов). но при этом надо помнить, что на стадии доследственной проверки адвокат может быть только в одном случае: если заранее заключен договор…
3. факт «взлома» ака «несанкционированного доступа к чуствительной информации» через уязвимость к «админке» расписал никто иной как мистери-хакер. причем со всеми подробностями.
зря вы ссылаетесь на «злой умысел», нет такого в подзаконных документах. есть «умысел на совершение противоправных действий», злой он или добрый это уже следствию и суду разбираться. а умысел есть, да с реализацией.
я не «за охотника либо медведя». я против человеческой глупости и незнания норм и правил.
и не думаю, что есть необходимость продолжать, ибо все в руках Богов Великого Рандома.
Но ТС знатно подставился, это факт.
Очень сильно поддержу этот комментарий: как минимум, я был бы рад (относительно), если бы написание фразы «В исследовательских целях», «Для поиска злоумышленника» защищало бы исследователей и энтузиастов. Но боюсь, что в реальности это не так просто.

Отдельный вопрос в следующем: автор явно сначала сделал то, что описано в статье, а потом уже написал ее. Поэтому я подозреваю, что вполне возможно рассуждение вида «Была использована уязвимость в сервисе, получен доступ к данным карт, потом была написана статья, где в целях оправдания себя было указано, что это сделано для поиска злоумышленника.» Понятно, что я почти не верю в реальность того, что написано в кавычках, но в судах и в следственных органах работают другие люди, которые могут воспринять все иначе.
Очень сильно поддержу этот комментарий: как минимум, я был бы рад (относительно), если бы написание фразы «В исследовательских целях», «Для поиска злоумышленника» защищало бы исследователей и энтузиастов. Но боюсь, что в реальности это не так просто.
Зачем нужны эти индульгенции? Взрослые люди и так должны понимать что хорошо, а что плохо.
Аноним misery-hacker разместил на хабре статью.
Не совсем. Если бекапы с сайта успели слить, то есть что копать
Насторожившись, я написал в техподдержку сайта, и мошенники не заставили себя долго ждать — поняв, что я достаточно технически грамотен послали меня на 3 буквы. Конечно, мошенникам нет смысла тратить на меня время, но зачем так грубо? — В любой ситуации нужно оставаться Человеком.

misery-hacker, бекапы уничтожил?
А какими законами РФ регламентируется такая деятельность вне территории РФ и не по отношению к гражданам РФ?
Интересно почитать. Про и дилетант.
Я там вижу раздел «Адреса». Люди вводят свой email? Можно сделать «краудфандинг», разослав эту статью пострадавшим. А они уж сами придумают, как его наказать.
В первую очередь надо предупредить, что карту надо заблокировать.
Да, именно так. И чтобы вообще поменяли всё, что только можно. А то имея часть информации о человеке почти всегда можно на основании этой части собрать ещё. И ещё. И ещё. И так пока, действительно, даже кража личности не станет вполне реализуемой.
И чтобы вообще поменяли всё, что только можно.

ФИО? Вообще, бесит современный мир, где ФИО требуют где попало, а сменить их весьма сложно.
Ну, ФИО, конечно, поменять непросто. Но сейчас некоторые и это ухитряются делать См. недавние новости о всяких-разных личностях, ранее попадавшихся на противоправных действиях, а потом сменивших как минимум фамилию и подавшихся кто куда (некоторые даже в чиновники пролезли). Но если речь о карточках — имеет смысл как минимум перевыпустить карту, поменяв кодовое слово (а лучше и привязанный номер телефона), я так полагаю.
Сайт использует незащищенное соединение для сбора конфиденциальных данных. Это технический дилетантизм, неправильно, и все такое, но не наказуемо. Сайт отказал в предоставлении услуги или предоставлении услуги в другой форме. Жаль, но имеет право.
А намеренно взламывать сайт с целью получение доступа к личной информации, без санкций — преступление.

Пока что это выглядит со стороны так: «меня послали — я взломал»:
поняв, что я достаточно технически грамотен послали меня на 3 буквы. Конечно, мошенникам нет смысла тратить на меня время, но зачем так грубо?

И стилистический ключ повествования не технически-простветительский — вы не раскрываете практически никакого «ноу хау», только найденную информацию, а «смотри как надо гопарей наказывать». Значит, в первую очередь целью было раскрытие личной информации предположительных «злоумышленников».
А по закону, злоумышленники они или нет должен решать суд.

Лучше было бы сделать статью о том, как пользователь сам может определить сайты с недостаточно безопасной обработкой пользовательских данных. Или как сделать надежную платежку. Людям было бы имхо больше пользы.
И стилистический ключ повествования не технически-простветительский — вы не раскрываете практически никакого «ноу хау», только найденную информацию, а «смотри как надо гопарей наказывать».
Статья полезна как раз своей технической частью. Во-первых рассказывает про взлом сайтов. Если знаешь как ломать, знаешь как защищаться и наоборот. Во-вторых статья рассказывает про то как осуществляется деанон. Это технические навыки и они пригодятся для реальных задач. В-третьих, возможно, очередной школьник прочитает эту статью и подумает о том, ввязываться ему в данное дело или нет.
Ну вся зацепка — это удачная sql иньекция на админке. Все остальное — расследование, которое итак любой сможет провести. А в основном идет раскрытие конфиденциальной информации.
Кроме всего тут присутствует «систематическая ошибка выжившего». Статью пишут только про удачный случай. Таких как правило меньше чем неудачных. Про них просто не пишут.

Даже если считать, что статья про ИБ, то контекст применения этих знаний, мотивация, в данном случае по меньшей мере сомнительны.
Угу, и результат всего расследования — найти разработчика, который и так указан в футере сайта =_=
Ну, вообще-то, ещё и оценить его причастность к некоторым действиям (правильно или нет, уже другой вопрос, но всё же именно так).
Ну вся зацепка — это удачная sql иньекция на админке.
Какая-то уж совсем детская. Я был безмерно удивлён, если честно — думал, ничего подобного уже нигде не осталось с нулевых.
Ну вся зацепка — это удачная sql иньекция на админке.
Неверно. Согласно теории швейцарского сыра тут нужно рассматривать сразу все уровни. Как то что админка доступна абсолютно любому человеку, догадавшемуся ввести правильный адрес, так и то что человек занялся велосипедостроением. Думаю читающие историю достаточно умны, и мне не нужно расписывать все допущенные ошибки.
Все остальное — расследование, которое итак любой сможет провести.
Gelloiss бы не смог. Лично я бы тоже не смог, так как не хожу в кино и у меня нет времени задерживаться на сомнительных сайтах (⁄ ⁄•⁄ω⁄•⁄ ⁄)
Статью пишут только про удачный случай. Таких как правило меньше чем неудачных. Про них просто не пишут.
А почему они неудачные? Не потому ли, что их авторы подумали о защите?
то контекст применения этих знаний, мотивация, в данном случае по меньшей мере сомнительны.
Переиначу известное выражение: «Знания не пахнут».

Знания очевидны когда ты их знаешь. Но просто взять и передать знания, как передают книгу, нельзя. Их нужно собрать самому. Если человек ходит(ходил?) в ВУЗ и не знал этого, то что говорить про самоучек? Я уверен, что php и через 20 лет, если будет существовать, будет позволять сделать подобную инъекцию. Даже в каком-то C# вполне возможно придётся запросы писать руками.
Я уверен, что php и через 20 лет, если будет существовать, будет позволять сделать подобную инъекцию

В этом году — 31 год червю Моррисона. При этом используемый в нем метод атаки (переполнение буфера) — живее все живых.

Так что, скорее всего, вы правы.
Лучше было бы сделать статью о том, как пользователь сам может определить сайты с недостаточно безопасной обработкой пользовательских данных. Или как сделать надежную платежку. Людям было бы имхо больше пользы.
Это да. Но и из данной статьи подобную информацию в некотором количестве можно почерпнуть. Да и в комментах многое изложили.

Давайте ка зайдём с другой стороны?


Не сомневаетесь ли вы в реальности аккаунта автора статьи?


  1. Зарегистрирован только для публикации этой статьи.
  2. Взлом прошел слишком гладко
  3. Статья написана очень хорошо, не знаю это либо талант, либо статья явно не первая
  4. Слишком целенаправленно бьёт по Gelloiss, не желая искать другие доказательства, хотя имея возможность.
  5. Никаких действий кроме статьи, автор предпринимать не хочет, хотя он утверждает что уверен в законности своих действий
  6. При наличии обоих сторон в комментариях, на мой взгляд, должен был разразится невероятный баттл. Ведь одна сторона может писать статьи, и на слова гаразд, а другой является жертвой. Но как то всё стирильно.

Вполне вероятно что это мой СПГС, но если автор статьи является тем же Gelloiss, который просто опубликовал хайповый материао, со взломом самого себя, используя новый аккаунт?

Не сомневаетесь ли вы в реальности аккаунта автора статьи?
А откуда она тогда взялась?
Зарегистрирован только для публикации этой статьи.
Информацию о взломе лучше всего публиковать с анонимного аккаунта, так как доблесные защитники закона могут повязать. Тем более, что на сервере могли остаться его следы.
хотя он утверждает что уверен в законности своих действий
А что ему на себя заявление за взлом писать?
Вполне вероятно что это мой СПГС, но если автор статьи является тем же Gelloiss, который просто опубликовал хайповый материао, со взломом самого себя, используя новый аккаунт?
Если уж искать тайный глубокий смысл, то тогда зачем себя компрометировать во-первых как профессионала, во-вторых возможно как мошенника?
Интересно, а можно ли подобным образом «поймать» других людей, чтобы выразить им бесконечную признательность за созданное ими.
На полном серьёзе, я уже давно хочу узнать имя автора произведения (незаконченного, к сожалению) Сиамский вояж Степаныча, заодно хотелось бы узнать причину столь внезапного конца, на продолжение уж давно не надеюсь.
Так же хотелось бы узнать о судьбе автора форума Пультоскоп на Arduino 27МГц под ником bodriy2014, который сделал доступным для тысяч любителей довольно нужного и функционального устройства, да и просто мотивировал народ на самосовершенствование. Что-то подсказывает, что человека, возможно, уже нет среди живых, но был бы рад узнать, что ошибаюсь.
Страна должна знать своих героев.
UFO landed and left these words here
Гуглом пользоваться я умею. Даже имя автора вызывает некоторые сомнения, не говоря о том, что больше ничего не известно. В своё время я копал глубже, вроде автор под ником каким-то писал.
UFO landed and left these words here

на скрине есть .well-known/, папка для certbot не так ли? не доустановили сертификат до конца, фатальная ошибка которая запустила цепную реакцию?
Статья огонь) поражают комменты что тс нарушил кучу законов)
цель оправдывает средства. против таких ребят можно и нужно использовать их же методы. закон написан для хороших, плохим и так пофигу. Восхищаюсь невозмутимостью Искры в комментах, так ловко включил дрозда, "шо капец", но так тупо спалился. "море по колено".
Скорее всего ничего ему у нас не будет, хотя инфы предостаточно. У нас только чуваков могут посадить за битки, причем достаточно одного чека с яндекс денег что бы сказать что они 5 колона (дело было прошлым годом), отжать весь биток и поминай как звали. а маркуса почти посадили за старые заслуги, тоже скам. О дивный новый мир :7

Статья огонь) поражают комменты что тс нарушил кучу законов)
цель оправдывает средства. против таких ребят можно и нужно использовать их же методы.
Можно использовать очень много что, но это не значит, что за это ничего не будет. И больше об этом говорят в комментариях.

Сейчас это выглядит относительно понятной ситуацией, но которую все еще можно пытаться поворачивать как «Хакер влез в админку сайта, скачал данные карт», если кто-то очень захочет это сделать. В другой похожей ситуации, которая будет выглядеть уже не так однозначно, исследователь может и проиграть. Белые хакеры ходят по грани, это стоит понимать и помнить.

Я согласен с Вами. также как я согласен что между добром и злом тонкая грань и восприятие этой грани у каждого свое. для этого ведь существуют суды что бы прийти к общему пониманию ситуации. проблема в том, что пока дело дойдет до суда, все следы будут подчищены, все легенды сложены и алиби проработаны. Just one more thing...

Идем далее, группа heroverin, видимо, занимается накрутками и чем-то еще. Это, ИМХО, ребята из колледжа.
Обвинять человека, который сделал кому-то сайт энто сильно конечно.
У меня у ребенка пытались увести гугл аккаунт. И даже можно сказать увели, только не поменяли дополнительный e-mail и телефон. Я восстановил доступ, зашел в аккаунт, а там еще один смарт Мейзу привязан, с пропиской в Кривом роге. Ну для начала я заблокировал его как краденый. А потом еще еще и информацию с него удалил всю… ибо нефиг взламывать чужие аккаунты.
Справедливости ради вы могли заблокировать покупателя взломанного аккаунта, но не самого взломщика (думаю раз смартфон был привязан, то взламывали ради каких-то игр из Google Play или чего-то в этом духе).
UFO landed and left these words here
Далеко не обязательно. Допустим я иду и покупаю авторег, а продавец мне подсовывает вместо него взломанный аккаунт (они дешевле). Если не проверять тщательно то можно и не заметить подвоха, а потом оказаться с заблокированным телефоном.

Впрочем, блокировка телефона на Android больших неприятностей не несет все равно.
А как можно удаленно спалить аппарат? Я что то пропустил?
UFO landed and left these words here
это ирония была и хорошо, что нельзя, а то после телефона и хату ему спалить захочется и так далее по нарастающей
UFO landed and left these words here
А следовательно жалеть такого персонажа точно не стоит. Можно было бы аппаратно ему смарт навернуть удалённо — не грех было бы и аппарат ему спалить…
А ничего, что аппарат может не у него быть?
>Можно было бы аппаратно ему смарт навернуть удалённо — не грех было бы и аппарат ему спалить…

А что, нельзя что ли?)
    <!-- @SystemApi Required to be able to disable the device (very dangerous!).
         <p>Not for use by third-party applications.
         @hide
    -->
    <permission android:name="android.permission.BRICK"
        android:protectionLevel="signature" />
Логика, конечно, понятная каждому, но она противоречит закону.

Нельзя в бутылку из под водки наливать яд предполагая, что сам ты знаешь, а грабителям так и надо. За такое накажут и сильно.

Касательно же случая удалённого стирания — из комментария очевиден умысел (а это больший срок чем «по неосторожности»). Т.е. для статьи УК РФ 272 — уже виден умысел, видно уничтожение информации — не хватает только заявления «потерпевшего» чтобы нельзя было съехать на «классную историю я выдумал, а Вы повелись тут».

Конечно, для многих «такой поворот» выглядит несправедливым, но закон именно таков.
>Нельзя в бутылку из под водки наливать яд предполагая, что сам ты знаешь, а грабителям так и надо. За такое накажут и сильно.
И это огромная проблема.

>из комментария очевиден умысел
Да, автор комментария умышленно стёр устройство, зарегистрированное на принадлежащий ему аккаунт.

>не хватает только заявления «потерпевшего»
ЩИТО??
И это огромная проблема.
Я знаком с позицией, что смертная казнь нужна и для воров, но эта позиция всё же скорее маргинальна, чем поддерживается большинством.

Да, автор комментария умышленно стёр устройство, зарегистрированное на принадлежащий ему аккаунт.
В кабинете у следователя я бы не рекомендовал придерживаться такой позиции. ИМХО заведомо провальная.

ЩИТО??
А что вы удивляетесь то? Если будет заявление — органы обязаны его будут принять в обработку. Как правило нарушители закона подкованы в законодательстве лучше чем обыватели ну и наглости им не занимать — поэтому хоть такие случаи и редки, но случаются.
Разумеется нужно будет объяснить следователю каким образом сам «потерпевший» получил доступ к аккаунту.
Я знаком с позицией, что смертная казнь нужна и для воров, но эта позиция всё же скорее маргинальна, чем поддерживается большинством.
В итоге приходят к тому, что жизнь вора-карманника, ценится так же высоко как и жизнь какого-то писателя/изобретателя. И равными правами наделяют.
Если считать цену жизни не равной не только де-факто, но и де-юре то возникают другие проблемы. В частности как определять цену этой самой жизни. Что наверняка приведёт к чему-то подобному:
Убил бомж олигарха — расстрел. Убил олигарх бомжа — 10 тыс штрафа (а может даже премия?).
Если считать цену жизни не равной не только де-факто, но и де-юре то возникают другие проблемы.
Де-юре она и не считается равной. Тот же sjw постарался. Только вот официально признавать это не хотят.
Или я не понял Вас или Вы путаете понятия де-юре и де-факто. Если она де-юре не равна — приведите соответствующий закон.
Если она де-юре не равна — приведите соответствующий закон.
Правоприменение можно считать де-юре? Если нет, то тогда вы правы.
Разумеется нужно будет объяснить следователю каким образом сам «потерпевший» получил доступ к аккаунту.
Есть еще достаточно маловероятная, но возможная ситуация, когда владелец привязанного телефона либо на самом деле не является мошенником (и даже не знает о мошенничестве), либо очень удачно заставит в это поверить (либо не поверить, но не дать его наказать).

Например, история о том, что владелец телефона принес его в сервис по объявлению, где попросил настроить, [несколько доказательств среднего уровня, по которым настройщика не найти, но нет явных оснований не верить заявлению], заплатил деньги и ушел. А тут кто-то стер все данные и заблокировал телефон. Виноват настройщик, но данные-то стер другой человек, которого найти проще.

И я абсолютно не уверен, не окажется ли в этой ситуации двух жертв двух разных преступлений, одна из которых оказалась еще и преступником. Понятно, что это очень маловероятно, но я бы не стал так рисковать.
Ок, подойдём к этой же проблеме с другого края.
Человек заходит в выписку по своей карте, обнаруживает там записи о покупках в интернет-магазине которые он не совершал. Его действия?

Обратиться в банк и оспорить операции, сделав chargeback?
Сидеть смирно и не обращаться в банк?

Придерживаясь вашей логики, правильный вариант — второй. Ведь иначе вор/мошенник не получит товары, пойдёт напишет заявление о недополученной прибыли и подаст на хозяина карты, так получается?
Придерживаясь вашей логики...
Какой такой павлин-мавлин моей логики? Вам не нравится знать как работает закон? Ну можете игнорировать эту информацию.
А увидев покупки которые не совершал — можно и нужно их оспаривать. Есть как бы принципиальная разница между:
— стереть устройство которое Вы посчитали устройством злоумышленника
и
— опротестование покупок по своей карте

Впрочем, разница действительно не так уж и велика если Вам кажется, что воры заслуживают смерти…
Я придерживаюсь того, что со своими вещами и аккаунтами человек может делать что угодно, до тех пор пока это не является общественно опасным.
То есть, хранить антифриз в водочной бутылке в СВОЁМ холодильнике — почему бы и нет, если все домашние об этом знают и не тронут этот антифриз, а никто посторонний доступа в ЕГО холодильник не имеет. Общественной опасности нет.
Стереть устройство невесть откуда взявшееся в СВОЁМ аккаунте — почему бы и нет, если доступ к этому аккаунту есть (по крайней мере должен быть) ТОЛЬКО у него одного. Общественной опасности нет.
Собрать в гараже бомбу из старых портянок и банок из-под тушёнки — нельзя, поскольку если она случайно/специально сработает то пострадают и соседи которые о ней и знать не могли по сути => общественно опасно.
Моя мама как-то рассказывала историю как она, по молодости, справляя новый год в гостях, залезла в чужой холодильник и, увидев там морсик, хлебанула его прям из банки. Оказалась свиная кровь… долго плевалась. Тут можно пожурить, что это вообще не вежливо, что без разрешения залезла, без спроса выпила, да ещё и не в кружку себе налила, а прям из банки.
смарт вошел в аккаунт в момент взлома. Скорее всего кто то практиковался. А ломали да, скорее всего ради игр. это ребенка акк. там нет ничего больше.
Тоже не факт, если логин и пароль увели через какой-нибудь фейк сайт. Могли в таком виде и продать.

А вообще надо двухфакторную через приложение делать и тогда увести будет довольно тяжело.
этот логин с паролем ребенок не знает, единственное что он мог сделать — это разрешить какой либо игре доступ к аккаунту.
Авторизация после этого случая двухфактораная; о) просто акк не мой, мой уже давно нормально настроен.
ЗЫ: даже если я удалил инфу и заблокировал тело не хакера, а покупателя, то все равно будет ему урок на будущее.
этот логин с паролем ребенок не знает, единственное что он мог сделать — это разрешить какой либо игре доступ к аккаунту

Насколько я знаю через доступ приложения привязать телефон к аккаунту не получится. Нужно знать именно логин и пароль.

даже если я удалил инфу и заблокировал тело не хакера, а покупателя, то все равно будет ему урок на будущее.

В случае с Android такая блокировка по идее не должна больших проблем приносить: прошиваем через fastboot и все. Хотя видел на телефонах Asus защиту, типа после перепрошивки нужно ввести пароль от аккаунта, но там можно подождать неделю и войти без пароля. Данные можно восстановить из старого аккаунта, к которому телефон был привязан до этого. Данные типа фотографий можно вытащить через рекавери. Короче час-два и готово.

Вот если бы это был iPhone, то тогда его бы только на запчасти.
ЗЫ: даже если я удалил инфу и заблокировал тело не хакера, а покупателя, то все равно будет ему урок на будущее.

Думаю, что если бы я по какой-то довольно странной причине оказался на месте покупателя, то я бы прикладывал очень много усилий для наказания «хакера» по 272 статье (или той, которая больше подойдет в такой ситуации). Скорее всего, это было бы сложно, а результат был бы сомнительным, но это интересно.
Вы конечно молодцы, но должен заметить, что хакер это вы, а он просто кибер мошенник. Эх эти путаницы с понятием «Хакер»…
UFO landed and left these words here
Only those users with full accounts are able to leave comments. Log in, please.