Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 19
Больше всего на том-самом-сайте меня радует, что они оставляют комментарии в коде, чтобы Я мог разобраться.
Если есть комментарии, то может и контакты автора есть в шапке? Пусть страна знает героев в лицо!
Был знаком с одним фишером и я его спрашивал, почему есть комменты в коде. Он ответил примерно так: «Нам этот код ещё модифицировать. А на тот момент, когда в нём будет кто-то ковыряться — наш липовый сайт уже закроют и мы будем ловить рыбку в другом месте, либо другими методами.» Про него кстати в сети где-то интервью даже есть.
Тоже натыкался на этот новый вид спама, довольно интересная реализация. Спамерам можно только поаплодировать :)
Однако до сих пор задаюсь вопросом почему в вашей, в той, что была у меня, да и думаю в других ссылках слово Api или vKontakte.Ru написаны с большими буквами? Понимаю, что это не самая интересное, что тут может быть. Но всё же, почему?
Однако до сих пор задаюсь вопросом почему в вашей, в той, что была у меня, да и думаю в других ссылках слово Api или vKontakte.Ru написаны с большими буквами? Понимаю, что это не самая интересное, что тут может быть. Но всё же, почему?
Хм, а разве сейчас нет таких подписок, которые требуют, чтобы пользователь ввел код присланный в смс? Было бы логичнее.
Тут именно этот случай. Смотрите скриншоты. Введите свой номер, а затем код активации присланный в смс.
Хоть фишингом я и не занимаюсь, но указанная вами схема имеет ограничения:
— Работает на во всех странах и не для всех операторов, с другой стороны покрытие обычной «смс на номер -> код» куда больше.
— Во вторых оно есть не у всех биллингов.
Т.е мошенники посчитали привычную схему достаточной в данном случае.
— Работает на во всех странах и не для всех операторов, с другой стороны покрытие обычной «смс на номер -> код» куда больше.
— Во вторых оно есть не у всех биллингов.
Т.е мошенники посчитали привычную схему достаточной в данном случае.
Стоимость в 200-300р с юзера вполне достаточное вознаграждение. Они даже домены в зоне .ru не стесняются каждый день новые регистрировать. Воевал тут с такими.
Хм, а можно пример сотового оператора, который не использует сервис платных SMS?
Вообще я говорил конкретно о системе «подписок», когда смс отправляете не вы, а вам, потом вы вбиваете его в интернете и… деньги идут к мошеннику.
Так вот её не поддерживают очень многие локальные операторы, например в СНГ.
Хотя как правильно указал автор — надо внимательнее смотреть скриншоты, т.к тут действительно подписка.
Так вот её не поддерживают очень многие локальные операторы, например в СНГ.
Хотя как правильно указал автор — надо внимательнее смотреть скриншоты, т.к тут действительно подписка.
Вы уж извините, это не интересные и полезные топики, это детский сад.
Вконтакте полно уязвимостей и если на каждую писать новый пост…
Вконтакте полно уязвимостей и если на каждую писать новый пост…
Как раз то и печально что об уязвимостях мало пишут, детский сад начнется когда постов на эту тему не будет и подобные уязвимости будут на всех сайтах.
В контакте несколько десятков миллионов уязвимостей и их число ежесекундно растет, тут уж ничего не поделать
детский сад — это те, кто ведется на это, а также те — кто считает описанный развод уязвимостью самого ВК
Ну, этот несчастный away.php кто только не использовал.
По поводу проблем: для предотвращения мошенничеств с СМС необходимо сотовым операторам разрешить отправку/прием платных СМС только через свой сайт, где будет явно указана стоимость услуги и получатель денег, как это например сейчас сделано при оплате через вебмани или яндекс-деньги: форма оплаты находится на сайте самой системы, а не на каком-то левом сайте.
Но если так сделать, просядут доходы операторов, так как часть их получается именно за счет обмана/неполного информирования пользователя о стоимости (мы все помним как депозитфайлс указывал стоиомсть СМС за 1 день, которую надо было догадаться умножить на 31).
По поводу фишинга: пока используются пароли для авторизации, нет никакого *надежного* способа предотвратить этот самый фишинг. Даже если мы выкинем виндоуз с шпионами и троянами, всегда можно сделать фейковую страничку и разослать сотням тысяч пользователей на емейл письмо типа:
> Такая-то девушка зашла на твою страничку и оставила сообщение. Прочесть »
Какой-то процент пользователей, перейдя по ссылке и увидев форму ввода пароля, легко ее введет. Этого не избежать.
Решением тут может быть отказ от авторизации через пароль и авторизация на всех сайтах через единый токен, который хранит в себе (и никогда не выдает наружу) закрытый ключ и позволяет подписывать пакет аднных им при нажатии кнопки на нем. Токен удобен тем, что пароль (при достаточно сильной криптографии) не извлечь без физического изъятия этого токена, и невозможно перехватить даже на 100% затрояненной системе. В идеале токен не должен содержать закрытого кода ии проприетарщины. При массовом производстве такие токены настолько дешевы, что можно бесплатно прикладывать их несколько штук к каждому компьютеру. В токен при первом его включении можно вносить имя и личные данные для автоматической регистрации на сайтах. Очевидно, что система с применением токенов для 99% пользователей удобнее, безопаснее и надежнее любой существующей сегодня.
Пока ты держишь токен при себе, никто не может получить доступ к твоим аккаунтам или сбрутить пароль (даже трояны и вирусы). Если сюда добавить еще храимый в голове пароль для активации этого токена, надежности системы хватит даже для защиты банковского аккаунта: похитить деньги с него без участия владельца невозможно.
По поводу проблем: для предотвращения мошенничеств с СМС необходимо сотовым операторам разрешить отправку/прием платных СМС только через свой сайт, где будет явно указана стоимость услуги и получатель денег, как это например сейчас сделано при оплате через вебмани или яндекс-деньги: форма оплаты находится на сайте самой системы, а не на каком-то левом сайте.
Но если так сделать, просядут доходы операторов, так как часть их получается именно за счет обмана/неполного информирования пользователя о стоимости (мы все помним как депозитфайлс указывал стоиомсть СМС за 1 день, которую надо было догадаться умножить на 31).
По поводу фишинга: пока используются пароли для авторизации, нет никакого *надежного* способа предотвратить этот самый фишинг. Даже если мы выкинем виндоуз с шпионами и троянами, всегда можно сделать фейковую страничку и разослать сотням тысяч пользователей на емейл письмо типа:
> Такая-то девушка зашла на твою страничку и оставила сообщение. Прочесть »
Какой-то процент пользователей, перейдя по ссылке и увидев форму ввода пароля, легко ее введет. Этого не избежать.
Решением тут может быть отказ от авторизации через пароль и авторизация на всех сайтах через единый токен, который хранит в себе (и никогда не выдает наружу) закрытый ключ и позволяет подписывать пакет аднных им при нажатии кнопки на нем. Токен удобен тем, что пароль (при достаточно сильной криптографии) не извлечь без физического изъятия этого токена, и невозможно перехватить даже на 100% затрояненной системе. В идеале токен не должен содержать закрытого кода ии проприетарщины. При массовом производстве такие токены настолько дешевы, что можно бесплатно прикладывать их несколько штук к каждому компьютеру. В токен при первом его включении можно вносить имя и личные данные для автоматической регистрации на сайтах. Очевидно, что система с применением токенов для 99% пользователей удобнее, безопаснее и надежнее любой существующей сегодня.
Пока ты держишь токен при себе, никто не может получить доступ к твоим аккаунтам или сбрутить пароль (даже трояны и вирусы). Если сюда добавить еще храимый в голове пароль для активации этого токена, надежности системы хватит даже для защиты банковского аккаунта: похитить деньги с него без участия владельца невозможно.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
OAuth ВКонтакте: использования в корыстных целях