Мошенничество в системах Телебанк и Альфа-Клик

    Уже порядка 2 месяца клиенты онлайн-систем Телебанк (банк ВТБ24) и Альфа-Клик (Альфа-банк) рискуют стать (и становятся) жертвами мошенничества. Мы, к сожалению, таковыми стали.

    Если кратко, то вирус (или троян, не знаю) изменяет файл hosts, добавляя в него такие строки:
    77.78.239.138 www.telebank.ru
    77.78.239.138 telebank.ru
    77.78.239.138 www.alfabank.ru
    77.78.239.138 alfabank.ru
    77.78.239.138 click.alfabank.ru
    77.78.239.138 www.click.alfabank.ru


    Пользователь, пытаясь зайти в систему Телебанк, попадает на сайт злоумышленников. Там ему показывается страничка с входом на сайт, очень похожая на основную (почти идентичная). Пользователь вводит логин и пароль, а так же переменный код с карточки. Ему показывается сообщение об ошибке на сервере, и просьба попробовать через несколько минут снова. Таким образом мошенники узнают логин и пароль, а так же несколько переменных кодов, с их помощью они заходят в систему, переводят деньги на другой аккаунт и потом на пластиковую карту, затем быстро обналичивают в банкомате. Если человек сомневается, вводить ли повторно пароль, то через некоторое время ему звонит «сотрудник банка», и говорит что проблема с системой решена и можно попробовать зайти снова. Так же приходят смски, что работа системы восстановлена, пробуйте снова. В итоге мошенники получили 5 переменных кодов, и украли 150 тыс рублей.

    На компьютере, с которого пытались зайти, стоял лицензионный антивирус DrWeb, автоматически обновлялся всегда когда надо.

    История эта в конце концов со счастливым концом — деньги банк вернул.

    Хотя странно, уже множество случаев подобного рода мошенничества, а банк в системе безопасности так ничего не предпринял.

    Мораль


    1. Будьте внимательны, лучше сами проверяйте hosts, если увидите подобные симптомы — «сбой в системе, повторите снова». Не делайте так, даже если «саппорт» говорит что можно попробовать снова.
    2. Заходите только с проверенных компьютеров и по протоколу https.
    3. Закройте на карточке овердрафт. А то если всё таки каким-то образом у вас украдут деньги и банк всё таки решит их не возвращать, то можно залезть в такие минуса, что после кражи ещё будет должны вернуть банку овердрафт, причём в ограниченные сроки.

    Вот и всё. Предупреждён, значит вооружён. Кто хочет прочитать историю мошенничества подробнее: www.banki.ru/services/responses/bank/?responseID=2410229

    Средняя зарплата в IT

    113 000 ₽/мес.
    Средняя зарплата по всем IT-специализациям на основании 5 771 анкеты, за 2-ое пол. 2020 года Узнать свою зарплату
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 221

      –13
      А альфа банк стал продвигать услугу «возврата украденных денег», за деньги. На вопрос имеют ли они право не возвращать деньги и в чем вообще смысл этой услуги, сказано было что, просто в кратчайшие сроки вернут деньги. А их карты с индивидуальным дизайном, а тарифы по умолчанию… Мутная конторка, рашн бизнес 2.0.
        +9
        А почему не имеют права? Они же, извините, не виноваты в том, что юзеры такие ра***яи. Вполне законный отъем денег.
          –3
          Они виноваты в том, что не отследили подозрительной активности мошенников — раз, не предупредили юзеров после первых случаев — два, не сделали https обязательным — три
            –8
            То что не предупредили и https не сделали — виноваты. Но сами знаете — мошенники тоже не дремлют, всегда найдется лазейка либо в технологиях либо в социальной инженерии. Как пример WebMoney — уж столько защит понаставили, что захочешь не залогинишься и все равно уводят бабло.
              +15
              С какого перепугу там нет https? только он и есть.
              И предупреждают они постоянно.
                –11
                Ну я не юзер этих банков, не могу сказать. Писал со слов очевидцев :)
                  +6
                  не нужно верить тому, что говорят)
                  0
                  HTTPS тоже бывает разный — образно говоря, синий и зеленый, по цвету кнопки Favicon в FireFox. Первый удостоверяет подлинность сайта (домена), с которым установлено соединение, второй удостоверяет организацию, которая владеет доменом, с которым установлено соединение. Собственно, изменение цвета кнопки или адресной строки должо было насторожить (в IE должен быть включен SmartScreen Filter).
              +8
              У Альфа-банка только через https — три.
              Альфа спамит постоянно про то что надо читать, что написано в СМС, и вообще — два.
              Никакой «подозрительной активности мошенников» нет, если чёткие инструкции перевести деньги злоумышленникам — раз.

              В соглашениях с платёжными системами чётко прописано, что подтверждение доступа при помощи персональных паролей означает, что операции совершил сам пользователь и несёт далее полную ответственность за них.
              Платёжные системы деньги возвращают только при наличии страховки или при успешном задержании средств. Так-то.
              0
              Объясняю.

              При предоставлении услуги банк ОБЯЗАН предупредить клиента о всех существенных недостатках услуги в соответствие с ЗоЗПП.
              То, что деньги могут внезапно исчезнуть, даже если клиент предпринял все необходимые меры безопасности (работающий drweb) — очевидно, существенный недостаток услуги. Собственно, клиент даже не был предупрежден о том, что должен проверять hosts перед входом в интернет-банк.

              В таком случае, ущерб, нанесенный клиенту вследствие непредоставления полной информации об услуге, обязан возместить банк.
                0
                С чего это вдруг?

                Банк тут не виноват никак.
                  0
                  В том, что деньги сперли — не виноват.
                  В том, что не предупредил, что деньги могут спереть — виноват.
                    0
                    В чём его вина конкретно? Он не ваша мама чтобы следить за каждым вашим шагом.
                    Бреш в безопасности не банка, а вашей головы. У банка с безопасностью всё хорошо. В МММ или напёрстки вы сами деньги отдаёте.
                      +1
                      Вы читать умеете?

                      Следить не обязан. ПРЕДУПРЕДИТЬ и указать необходимые средства защиты, причем ДО подписания договора — обязан.
                        0
                        Какие средства защиты могут быть, кроме здравомыслия? Можно назвать тысячи вариантов, как увести у вас деньги. Не один антивирус не даёт вам гарантию, что у вас на компьютере нету вирусов.
                        Вы пытаетесь переложить свою вину на плечи банка.
                0
                > все необходимые меры безопасности
                > (работающий drweb)

                Ну-ну. С чего вы взяли, что работающий Dr.Web — это «все необходимые меры безопасности»?
                Уверен, даже разработчики Dr.Web не рискнут дать гарантии, что их продукт защитит в 100% случаев от любых угроз информационной безопасности, включая все существующие и созданные в будущем вирусы/черви/трояны, а также включая халатность пользователя в вопросах безопасности и самостоятельный запуск им от имени админа вредоносного кода.
                  –2
                  Речь не о достаточности/недостаточности дрвеба для защиты.
                  А о том, что банк не предупредил клиента о необходимости защищаться и не указал, как.
                    +1
                    Банк не может и не должен предупреждать юзера о всех возможных уязвимостях в безопасности используемого клиентом софта. Не будет же банк преподавать всем азы безопасности при работе в интернете.

                    Это всё равно, что требовать от банка, чтобы они говорили своим клиентам: «Мойте руки перед едой. Соблюдайте правила гигиены.». Это всё общие принципы, которым должны следовать пользователи сами, независимо от банка. Это не забота банка отслеживать политики безопасности всех клиентов во всех ОС.
                      +1
                      > Банк не может и не должен предупреждать юзера о всех возможных уязвимостях в безопасности используемого клиентом софта.

                      Обратите внимание на весьма знаменательно для России судебное решение: клиент Райффайзена смог отсудить у банка похищенные с его карточки деньги (http://pavel-yegorov.livejournal.com/).

                      Линия обвинения именно такая: банк не предупредил меня о существовании скиммеров, я честно исполнял всё предписанное мне договором, но деньги увели. Банк знал о такой возможности, но не предупредил меня при подписании договора. Разбираться в том, что такое скиммер, как он работает я не обязан.

                      Здесь логика ТОЧНО такая же. Банк предоставил услугу управления счетом через интернет, не предупредив, что злоумышленник может украсть деньги даже при соблюдении пользователем оговоренных в договоре правил безопасности.

                      Какая разница между ситуацией «клиент засунул карточку в банкомат, где был скиммер» и «клиент залогинился на компьютере, где был троян»?
                        +4
                        Разница в том, что банкомат принадлежит банку и банком (или сторонней организацией, но по заказу банка) обслуживается, а компьютер — нет.
                          0
                          Банкомат может принадлежать любому другому банку, Вы не знали?
                            +3
                            Да, знал.
                            И отвечать за него будет банк-владелец в конечном итоге.
                            Ну, в идеале, как в реальности — я не в курсе, увы.
                              –1
                              В реальности, разумеется, владелец банкомата ни за что отвечать не будет. И непонятно, почему должен.
                                +2
                                Потому что владелец услугу предоставляет, деньги зарабатывает этим «общественным» банкоматом. Если комп в интернет-кафе стоит, то за вирусы на нем и убыток от них интернет-кафе и отвечает. В идеальном случае, опять же.
                                А если комп личный, то и спрос только с хозяина.

                                Банк может в этой ситуации пойти навстречу. И, если пойдет, заработает себе плюс в карму. Но это только добровольное решение банка.

                                Знать про вирусы и скиммеры конечно же никто не обязан. И буква закона, судя по приведенному вами блогу (спасибо, кстати, занимательная история, знакомлюсь с интересом), на стороне не знающего. Но увы, вирусы, скиммеры, СПИД, гопники в темных переулках и куча всякой другой нечисти — объективная реальность. Как мне кажется, знать заранее и стараться не допускать или потом доказывать свое право на не знание в суде — личный выбор каждого.
                                  –1
                                  > Но увы, вирусы, скиммеры, СПИД, гопники в темных переулках и куча всякой другой нечисти — объективная реальность.

                                  Между скиммерами и гопниками в переулке есть некоторая разница.
                                  Скиммеры тебе не страшны, пока ты не заключил договор с банком. А вот гопники могут отжать ценные вещи независимо от того, заключал ты с кем-то договор или нет.

                                  Если заключение договора несет с собой риски, о которых ты ранее ничего не знал, — банк ОБЯЗАН тебя об этом предупредить.

                                  В 90% случаев жертвы данного трояна вообще не знают о существовании hosts и возможности подменить страничку в браузере. Заявления в стили «дураки, надо быть внимательными» в данном случае не работают — я подробно писал об этом в посте «О мостах, телекомах и цене ошибки» habrahabr.ru/blogs/ui_design_and_usability/102627/

                                  Выполняя вполне стандартные и тривиальные действия, можно легко за свою ошибку заплатить полмиллиона кровных рубликов, а то и больше. Как по мне, упавший с такого моста человек не «сам виноват», а это строители — то ли мудаки, то ли хозяева салона ритуальных услуг.
                          0
                          Но альфа в каждой смс предупреждает: «Пожалуйста проверяйте адрес интернет-банка», не сообщайте одноразовый пароль НИКОМУ, даже сотрудникам банка.
                            0
                            В описанной в посте схеме клиент и не сообщает пароль никому.
                              0
                              Первая часть: «Пожалуйста проверяйте адрес интернет-банка»
                                0
                                В описанной схеме адрес интернет-банка в полном порядке.
                    0
                    предпринял все необходимые меры безопасности != работающий drweb
                      0
                      Я подозреваю, что в договоре с банком вообще не указаны необходимые меры безопасности.
                      Во всяком случае, дрвеб — аргумент в суде в пользу доказательства факта надлежащего исполнения договора клиентом.
                +16
                Эмм… Так в альфа-клике вход идет через одноразовый пароль на смс.
                  –10
                  Видимо выманивают эти пароли. Я просто указал, что изменён не только сайт Телебанка, но и Альфа-Клика. Чтобы его пользователи были тоже на стороже. Как именно там обманывают — мне не ведомо…
                    +4
                    Автор, чирканите в посте, чтобы по этопу айпишнику не ходили

                    вайрус дитектэд
                    +2
                    от MiM это не спасает. Клиент логинится на фейковый сайт, отправляет запрос. Запрос злоумышленники обрабатывают и меняют на свой. Приходит код — его человек передаёт злоумышленнику.

                    Без адекватной chap-авторизации с внешним токеном нормально защитить не получится. Причём токен должен авторизовывать не только банк, но и транзакцию. Грубо говоря, человек должен видеть сумму и назначение платежа перед нажатием на токене кнопки «угу».
                      +7
                      Да, но там код не только для входа — операции тоже подтверждаются кодами, присылаемыми по sms, включая назначение и сумму платежа.
                      • НЛО прилетело и опубликовало эту надпись здесь
                          +4
                          И опять самое слабое звено – человеческая глупость и невнимательность.
                            +5
                            Расчет на самые запущенные случаи. Массовым не станет. Единичные случаи, далее освещение в массах, и даже эти товарищи станут читать, что написано в смс-ке.
                            Кроме того, в альфа-клике вывесили на главную:
                            image
                            и переделали текст одноразовых СМС для более четкого акцентирования на сумме и назначении платежа.
                              +4
                              Уже очень давно они начали предупреждать о таком мошенничестве.

                                0
                                Эти мошенничества с Альфабанком и ВТБ24 начались ещё в сентябре этого года.
                                Вот, например, статья об этом от 1 октября: marker.ru/news/2132
                                Тогда же Альфабанк стал рассылать своим клиентам по СМС предупреждения, чтобы при работе с Интернет-банком внимательно смотрели, куда подключаются, и внимательно читали СМС с временными кодами. И рекомендации о повышении внимательности также вывешивались у них при входе в инет-банк.
                        • НЛО прилетело и опубликовало эту надпись здесь
                            0
                            Логичнее было бы воровать так:
                            1. дождаться, когда пользователь будет за что-то кому-то платить
                            2. подменить платёжную инструкцию на перевод денег Пупкину
                            3. ждать ввода одноразового пароля в расчёте на то, что пользователь не прочитает внимательно текст SMS и просто введёт пароль.
                            Вполне действенно было бы, учитывая, что пользователь получит SMS именно тогда, когда её ждёт. Сомнений в подлинности может не возникнуть.
                              0
                              обратный адрес у смс не будет «ALFABANK», а какая-нибудь мобила.
                                0
                                1. обратный адрес у SMS можно любой прописать, если через шлюзы отправлять
                                2. в описанной мной схеме SMS отправляет сам банк, только на авторизацию мошеннической транзакции, а не на ту, которую хотел совершить пользователь
                            0
                            Токен от mim не спасет если а) машина зараженна б) не правильно настроено по токена на клиенте.
                            0
                            Да, поэтому единственное чего наверное стоит бояться — это потери телефона или только симки.
                            –45
                            Пф… А что вы ожидали от платформы windows?
                              +3
                              В линукс системах есть такой же файл /etc/hosts, безусловно, для редактирования оного нужны рут права, но дырок с эскалацией привилегий известно немало, и отсутствие подобных зловредов обусловлено низким процентом линукса на ПК.

                              З.Ы. Я сам линуксоид, но это к сожалению факт.
                                +1
                                А в виндах >= vista разве файл hosts не доступен только админу? даже когда под админом сидишь (денвер ставил видил лично) винда говорит что такая то программа хочет поменять файл хостов, разрешить?
                                  0
                                  Я уже достаточно долго на linux, семерку не застал, а виста никогда и не нравилась :) Последнее, что юзал — XP. Поэтому точнее не скажу.
                                    +1
                                    Да, всё так. Доступен только админу и системе. Пользователю (которым будет даже админ под UAC) только для чтения.
                                      +1
                                      Некоторые просто на автомате тыкают на ОК, лишь бы непонятное окно закрыть поскорее.
                                        +2
                                        :-D ну и поделом… Не, честно, таких не жалко
                                          +1
                                          Это лишь говорит о низкой культуре пользователя, чем и пользуются мошенники.
                                          Вообще большая часть граждан постсоветского пространства относятся к информации с неким пренебрежением, от чего сами же и страдают, и дело не тольок в мошенниках, но и в том, что при таком отношении к информации невозможно ее эффективно использовать, отсюда и проблемы, и не тольок с банками, а вообще по жизни.
                                            +1
                                            А это всё последствия упрощения и «дебилизации» интерфейсов и вообще компьютерных систем. Что в свою очередь следствие активности маркетоидов.
                                            +1
                                            Более того, многие эникейщики при настройке компов юзверям отключают UAC в принципе, «чтобы не мешал», ато вылазиют всякие окошки.
                                          +3
                                          1. Нужно раздобыть актуальный local root exploit. Десктопные дистрибутивы имеют автообновление, а дырки вида «local root exploit» латаются весьма оперативно.

                                          2. Вредоносный код опять-таки нужно еще дотащить до целевой машины. Хорошо если там окажется ssh, смотрящий голым портом в интернет и юзер vasya с паролем 123, но это как-то маловероятно.

                                          Но низкий процент линукса на ПК, конечно, играет свою роль: среди сотен миллионов статистически легче найти пару тысяч дебилов, инстинктивно давящих на «да», «окей», «разрешить», чем среди сотен тысяч зачастую гиканутых пользователей альтернативной ОС.
                                            0
                                            1. Чем популярнее платформа, тем больше будет людей пытаться найти уязвимости, что с открытыми исходниками даже проще чем с закрытыми.
                                            2. Дырки в том же adobe flash или браузерах = вот и дотащили.
                                          +3
                                          Линукс-пользователи безумно рады, что в их рядах есть такой тролль, как ты.
                                            0
                                            Начиная с висты для каждый действий с системными файлами винда предупреждает, и спрашивает — а вам это точно надо…
                                            Тоже самое делает и Макос (запрашивает пароль), и Linux (говорит нет прав, а значит, начинаешь пробовать sudo)
                                            Так что, проблема не в виндовс, а в хомяках которые сидят на ней. Раньше я тоже сидел только под правами админа, но после висты, я понял что это не нужно, хотя в висте UAC очень сильно раздрожал по началу, и после ХР было не привычно тыкать ок.
                                            В семерке сделано все более грамотно. + встроенный defender + антивирус + включенные апдейты — делают ос практически безопасной, как и МакОС, и Линукс…
                                            Так что — если у вас вирус — не сидите под админом. и не отключайте UAC
                                          • НЛО прилетело и опубликовало эту надпись здесь
                                              +8
                                              Нет. Антивирусные компании не обещают защиты от вирусов, более того, согласно лицензионному соглашению они не обязаны их обнаруживать. Грубо говоря, антивирус — подобие шамана. Камлать-камлает, а поможет или нет становится ясно после смерти падишаха.
                                                0
                                                Вряд ли можно было бы получить компенсацию, там же юристы договор составляли, все такие моменты оговорены скорее всего. Главное что банк вернул деньги.
                                                На банки.ру есть подобные отзывы, у людей стоял NOD32, тоже не помог.
                                                  0
                                                  у меня стоит на отдельной виртуальной машине все финансовые программы — доступ к клиент-банку, доступ к вебмани и пр.

                                                  на этом компьютере на подозрительные сайты не хожу, в самих клиент-банках включена защита по-максимуму

                                                  антивирус — это скорее «психологическое» спокойствие, у меня он не стоит
                                                    0
                                                    Виртуальной машине? А запускаете Вы ее из рабочей системы?
                                                      0
                                                      ну да, а как еще?
                                                      просто в виртуальной машине в принципе никуда «налево» не хожу, поэтому антивирус особо не нужен

                                                      вот думаю, что надо бы для полной уверенности сделать аналогичную машину на linux'e, только вот, имхо, не все клиент-банки смогут заработать

                                                      надо пробовать
                                                        0
                                                        Проснифить трафик это не помешает (при заражении основной системы). Да и от кейлоггеров, думаю, не спасет. Но вот с подменой хостов так просто не получится.
                                                          +1
                                                          Ну да, а виртуалка у вас в интернет через воздух подсоединена, а не через базовый сетевой адаптер хостовой машины.

                                                          Да и переносить финансы на чистую виртуалку стало несколько популярно, а загрузить вирус на гостевую ОС с хостовой вообще не проблема для вируса.
                                                          +1
                                                          Имхо надо наоборот, для «Грязных» сайтов завести виртуальную машину, а «чистые» юзать на хосте. Ну и не запускать подозрительного софта на хосте.
                                                        0
                                                        У меня для таких целей издавна есть старенький нетбук Lenovo S10. Там стоит XP и только финансовый софт. То есть никакой everyday activity там нет в принципе, оттуда не посещаются сайты. Только webmoney, банк-клиенты и тд. Никаких флэшек зараженных и прочего. Пока, тьфу-тьфу, полет нормальный.

                                                        И кстати на отдельную машину все это изначально было перемещено даже не из-за вирусной угрозы, а потому что webmoney проявляла нездоровый интерес к тому, что установлено на машине, включая железо, софт и т.д. Мониторить и блокировать все что она там пыталась отслеживать было лень, поэтому ей на откуп была отдана пустая машина, которая в итоге и стала полностью «финансовой».
                                                          0
                                                          В рекомендациях какого-то банка (не вспомню название сейчас) как раз предлагалось завести себе отдельный нетбук и использовать его только и исключительно для проведения платежей. Учитывая цену какой-нибудь eee в наше время- это будет явно дешевле, чем один раз попасться и затем тратить время, деньги и нервы на разборки с банком.
                                                        0
                                                        Да, можно! Просто не покупать их продукт. В итоге они недополучат деньги (это должно быть массовым) ну дальше вы в курсе.

                                                          +1
                                                          Антивирусники не умеют предсказывать будущее. Они защищают от известных на данный момент вирусов а не от новых или неизвестных еще программе.
                                                            0
                                                            Конечно нет, лицензионное соглашение такого не позволит. Но автор топика похоже ссзб так как видимо у него не стояла опция защиты модифицирования hosts.
                                                            +3
                                                            Альфа-клик работает только по https. Так что нужно просто следить за протоколом.
                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                +2
                                                                Если пользователь раньше заходил, то у него уже есть сертификат. Соответственно, на новый (который не очень то похож на правильный) браузер будет ругаться.

                                                                Но неграмотность пользователей только на руку злоумышленникам, к сожалению :-(
                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                    0
                                                                    мало того, что на самоподписанные сертификаты браузеры ругаются, так ведь сертификат еще должен подтвержать, что мы действительно на click.alfabank.ru. С этим ведь уже не получится у злоумышленника справиться?
                                                                      0
                                                                      в хост прописываем оригинальный домен, подделанный оригинальный домен мгновенно переадресует на реальный, но схожий click.aifabank.ru котрый подписан самым дешевым из предлагаемых сертивикатов — опа и зеленый замочек появился!
                                                                        +1
                                                                        Проще. Если уж злоумышленник протроянил систему и добрался до hosts, ему ничего не будет стоить добавить в популярные браузеры доверенный сертификат.
                                                                          0
                                                                          печально
                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                      0
                                                                      уверен, полно и других подозрительных моментов, помимо httsp. Жаль, сайт уже прикрыли — хотел посмотреть сам, какие смс присылают, с какого номера и т.п.
                                                                        +2
                                                                        смски наверняка приходят обычные от альфабанка
                                                                        насколько я понял, злоумышленники показывают фейковую форму, принимают логин/пароль, передают его в альфабанк и ждут от вас одноразовый пароль.
                                                                          +3
                                                                          Но на любой перевод денег тоже приходит смска, где указанна сумма перевода и назначение перевода.
                                                                            –2
                                                                            При заходе в альфабанк принимают одноразовый пароль от входа и говорят чего-то неправильно необходимо пройти повторную авторизацию. В это время приходит вторая смс, но уже для потдверждения платежа.
                                                                              +1
                                                                              Ага, и там написано перевод на сумму 90000 рублей на счет Васе Пупкину. А вы на радостях его вводите.
                                                                                0
                                                                                Именно. Число людей которые невнимательно читают информационные сообщения велико. Пример банкоматы того же альфа-банка, он иногда предлагает оформить потребительские кредиты при снятии наличных. Был свидетелем как одна женщина средних лет не понимала чего-то он говорит что на счету 15000 рублей, а ведь было 30000! Всё от того что она не внимательно прочитала сообщение в котором альфа-банк предлагал потребительский кредит на 15000 руб.
                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                        –2
                                                                        Вообще конечно защита должна быть на совести банка, тем более 2 месяца уже такая схема действует, можно было что-то предпринять.
                                                                        Ввести расчёт мат ожидания к примеру — если 5 лет человек обычно переводил по 300-500 руб на телефон и так же по мелочи, а тут хочет сделать 3 перевода по 50 тыс на счёт другого клиента в телебанке, то это будет явно видно.
                                                                        Мошенники обычно пользуются одной схемой — один пароль на вход, если деньги на карте а не счету — то ещё один на перевод с карты на счёт, и потом максимально возможным платежом (50 тыс внутри клиентов ТБ) переводы на свой счёт, пока не кончатся деньги или переменные коды.

                                                                        Зная это, можно что-то предпринять, причём на стороне банка.
                                                                          0
                                                                          Вот не надо этого бреда. Я, например, получал зарплату на карточку, покупал с неё только продукты по мелочи, а всё остальное копилось на машину. А жили мы на зарплату жены.
                                                                          В конце концов я накопил нужную сумму, выбрал машину (б/у), начал переводить деньги продавцу — и тут бац, алгоритм какого-то вшивого программиста-недоумка говорит мне «нельзя». Вы понимаете, что я сделаю и с банком, и с этим идиотом-программистом?
                                                                            0
                                                                            Ну зачем сразу «нельзя» и «идиота-программиста». Все чуть аккуратнее. Операция не отклоняется, а переводится на ручное подтверждение оператором. Оператор звонит из банка на телефон, который банку известен, и спрашивает, вы ли это. В договоре с банком обычно прописаны сроки отправки платежей. И это явно не real-time, так что здесь даже никаких нарушений не будет.

                                                                            Примерно так делают процессинговые центры многих банков, если вы снимаете деньги абы где или в несколько приемов.
                                                                          +2
                                                                          в liveCD windows тоже такой проблемы не будет. так что смысл здесь не в том, что линукс/виндовз/макось, а в том, что система гарантированно чистая (liveCD)
                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                              0
                                                                              и банка. В некоторых обязателен ie с activex компонентами и прочая, что опять же все усложняет
                                                                          +12
                                                                          А всего лишь достаточно следовать 4 пунктам указанных на telebank.ru.
                                                                          Причем там выделено,
                                                                          2.В случае неправильного ввода переменного кода не вводить код со следующим порядковым номером. Если первая попытка входа в систему не удалась, при каждой повторной попытке входа система должна запросить переменный код с тем же номером, что и при первой попытке.
                                                                            +8
                                                                            Не понятно одно — как были получены 5 одноразовых кодов.
                                                                            В телебанке явно, не однократно и навяячего пишут — что никогда не спрашивают следующий однаразовый код если операция завершилась не успешно!

                                                                            Мораль простая — не вводите следующий одноразовый пароль в телебанке, если операция завершилась не успешно.

                                                                            И все этого одного правила хватит, чтобы обезопасить свои деньги.
                                                                            И пофигу на остальные правила.
                                                                              –1
                                                                              Поясните, плз, почему этого хватит?
                                                                              Вот ситуация: вы открываете Телебанк (попадаете на фейковый), при входе вводите код, злоумышленники тем временем логинятся в ваш реальный аккаунт. Оформляете какой-либо перевод, вводите код. Злоумышленники делают то же самое только на другие данные получателя.
                                                                              И все операции будут успешно завершены с первого раза.
                                                                                +1
                                                                                Злоумышленики знают что выводить в фейковом телебанке чтобы пользователь ничего не заподозрил? Да они прямо на фейковом списке счетов спалятся.
                                                                                  0
                                                                                  Вы о чем? Сайт злоумышленников выступает как прокси. Т.е. они получают инфу из телебанка и показывают ее пользователю. Т.е. вся инфа полностью реальна.
                                                                                    0
                                                                                    А инфу от телебанка они получают передавая им только что полученнный одноразовый код?
                                                                                0
                                                                                … после _первого_ же перевода в почту падает уведомление о том, какая операция была осуществлена, пользователь хватается за голову и звонит в банк.
                                                                                  0
                                                                                  Ессно рано или поздно пользователь заметит обмен. Но его денежки то уже будут выведены через банкомат. Я думаю это происходит практически мгновенно.
                                                                                    0
                                                                                    Не «рано или поздно», а практически мгновенно. Время перевода денег между счетами ТБ (и уж тем более — внешней операции) больше.
                                                                                      0
                                                                                      Это не важно. Они снимут деньги прежде чем вы дозвонитесь до банка. Ну и не IT-шники не проверяют почту каждые пару минут.
                                                                                        0
                                                                                        Гугль проверяет почту сам, айтишник тут не нужен. Но это мелочи.

                                                                                        А в реальности у телебанковских операций есть лимиты, кстати.

                                                                                        (а еще у телебанка есть интерпро, кстати).

                                                                                        Хотя, не спорю, решение Альфы с кодами подтверждения мне тоже нравится… если бы только не означало тот факт, что для работы в интернет-банке мне нужен работающий телефон, а это далеко не всегда так.
                                                                                          0
                                                                                          У меня такая же ситуация. Альфой пользоваться не могу, потому как телефон давно сменился, а посетить офис для его замены не могу. Переменные коды для ВТБ24 тоже скоро закончатся, а получить новые опять же не смогу (не в России). Плюс в втб каждые полгода виртуальная виза экспайрится, что тоже ужасно не удобно.

                                                                                          Думаю удобнее был бы механизм генерации одноразового ключа на телефоне (как енум у вебманей).
                                                                                            0
                                                                                            «Думаю удобнее был бы механизм генерации одноразового ключа на телефоне (как енум у вебманей). „
                                                                                            Ну и чем это отличается от любого другого токена? Да ничем.

                                                                                            Основная ценность реализации альфабанка в том, что код четко привязан к транзакции и пользователь видит, для какой транзакции этот код запрошен.
                                                                                              0
                                                                                              В енуме так же.
                                                                                                0
                                                                                                Значит, ему нужно соединение с сервером. Значит, для работы в интернет-банке нужен доступ с телефона в интернет.

                                                                                                Возвращаемся к сценарию альфаклика, только с несущественными изменениями.
                                                                                                  0
                                                                                                  Ошибаетесь, енум клиенту не нужен доступ в интернет. Процесс генерации одноразового кода привязанного к именно этой транзакции происходит полностью в оффлайне.
                                                                                                    0
                                                                                                    А откуда в оффлайне данные о транзакции, простите?

                                                                                                    Или там сценарий с хешированием транзакции частным ключом клиента? Так тогда будьте добры сыграть во всю положенную игру с ключевыми парами, что тоже не подарок нифига.
                                                                                                      0
                                                                                                      Перед совершением транзакции сервер показывает сумму, кошелек назначения и код. Вводим эти данные в оффлайн-клиенте и получает код ответа. Вводим его на сервере и выполняем транзакцию.
                                                                                                        0
                                                                                                        Угу. Вот теперь попробуйте сделать то же самое с операцией банковского перевода, где полей с десяток. Особенно с учетом того, что список типовых операций постоянно меняется.
                                                                              –1
                                                                              За информацию спасибо большое. А защита у попавшихся теперь одна — заява о фроде в СКП.
                                                                                0
                                                                                В смысле если банк не вернет деньги добровольно.
                                                                                  +2
                                                                                  Банк не несёт ответственность за действия дурачков. В СМС (Альфа-банк) чётко написано за что платёж. Ввёл цифры — подтвердил, что действительно хочешь перечислить деньги злоумышленникам. Твоё право.
                                                                                0
                                                                                Не давичи как вчера лечили это страшный «вирус» который подменял странички одноклассников. В общем ответ на это один нечего сидеть под администратором, сами себе буратины!!! hosts обычный пользователь (или программа запущенная с его правами) переписать не может. Я бы еще проверил far'ом на предмет скрытых файлов, тамже и автозагрузку(msconfig) на предмет постороннего софта который после перезагрузки может восстановить чудесные hosts. А вообще пользуйте linux. Вероятность попасть конечно есть, но она все больше сводится к человеческому фактору…
                                                                                  0
                                                                                  Вообще говоря в Windows (особенно без обнов) есть не один и не два способа получения ограниченной учёткой административных прав (да и в линукс наверняка есть, но нас мало и мы нищеброды, что с нас брать, если даже на ось денег нет :) ). Так что «я не сижу под администратором» сродни «у меня антивирус со свежими обновлениями» — просто самоуспокоение
                                                                                    +2
                                                                                    Ну кто ж виноват-то, что обновления не ставятся? :-)
                                                                                    +3
                                                                                    >> А вообще пользуйте linux.
                                                                                    Еще лучше не пользуйтесь компьютером вообще, ибо если ручки с не стандартными изгибами, то и linux не спасет…
                                                                                    +6
                                                                                    Можно вопрос…
                                                                                    Почемы вы вводили 5 раз другой переменный код для входа в Телебанк, даже после звонка «сотрудника» банка?
                                                                                    Объявление о подобных ситуациях (ввод другого переменного кода) ВТБ вывешивает уже очень долгое время при каждом открытии страницы логина, красное такое. Неужели вы ни разу не видели его?
                                                                                      +1
                                                                                      Фуфло какое-то. Являюсь пользователем Альфаклика

                                                                                      Мошенникам как минимум нужно знать мой сотовый телефон, который я прописал при заключении договора, чтоб отправить мне смс с кодом.

                                                                                      в Вэб части он никак не светится, то есть либо явно инсайдерская инфа, обиженного админа.
                                                                                      Либо кого-то правда умного, который имеет доступ к БД банка, но тогда нафига ему мои переменные коды которые отправляет ИХ сервер с определённого номера, если он уже имеет доступ к БД банка?

                                                                                      абсурд по моему, с приколом втб и картой переменных кодов да такое можно провернуть, да выманил 5кодов у лоха, у клика всё сложнее.

                                                                                      Сервер А-клика генерит смс отправляет мне, я в течении минуты должен его ввести.
                                                                                      чтоб транзакция прошла, смс содержит код + назначение платежа, а именно «Оплата с карты на Мобильный телефон 890691111 в сумме 100р. для продолжения этой операции введите код: хххххх»

                                                                                      То есть я даже зайдя на фейковый сайт при попытку сделать операцию получу СМС, на другую операцию, это явно меня остановит, будь даже я блондинкой.
                                                                                        –2
                                                                                        Я уже писал выше, что не знаю как именно в АльфаКлике, просто указал что там тоже подменяется сайт. Как именно, какие смс и с каким содержанием они присылают я не знаю.

                                                                                        Что касается данных, то им были известны ФИО, сотовый и даже рабочий телефон (звонили на рабочий ещё).
                                                                                          +3
                                                                                          Зачем им знать ваш номер телефона и отправлять вам смс? Вы о чем? Вы вводите логин и пароль на фишинговом сайте, сайт вбивает эти данные в форму альфа-клик, вам приходит смс, вы вбиваете код на фишинговом сайте, фишинговый сайт вбивает ваш код на альфа-клике. Бинго.
                                                                                            +2
                                                                                            Ну это я про сам процесс входа в клик. Назначения платежей наверное не все читают, на это расчет.
                                                                                              +7
                                                                                              Когда я совершаю какую-то операцию в Клике, то мне сначала нужно нажать кнопку «получить пароль»я НЕ получу пароль раньше или позже, только как нажал.

                                                                                              После чего приходит смс
                                                                                              «Подтвердите оплату Мобильной связи на сумму 100 RUR за номер +79011111111. Пароль:xxxxxx»

                                                                                              Хотите сказать, что вместо оплаты мобильной платы я получу СМС
                                                                                              «Перевод на счёт Сбербанка на счёт 1111111111? На сумму 150 000р. пароль:1111111»
                                                                                              и на радостях введу этот пароль?
                                                                                                +2
                                                                                                Ну, как известно — «Без лоха и жизнь плоха». Вполне допускаю что кто-то ведется.
                                                                                                  +1
                                                                                                  Именно на это и расчет.
                                                                                                0
                                                                                                Попадая на сайт мошенника, вы вводите свой логин и пароль, эту информацию получают злоумышленники, и они делают попытку логина с этими данными на сайте «Альфа-клика», если попытка удачная, вам приходит СМС с кодом, который вы опять же, вбиваете на сайте злоумышленника. Таким образом, негодяи входят в вашу учётную запись.
                                                                                                Другое дело, что при транзакции в СМС идёт подробная информация о платеже, поэтому тут уж совсем на лохов рассчитано.
                                                                                                Но есть ещё один метод, когда сам сайт злоумышленника выступает в роли некоторой прокси-страницы, которая будет открывать аналогичную страницу «Альфа-клика», и при переводе денег просто подменит информацию и сумму, и если не прочитать внимательно СМС с данными транзакции, а просто ввести код, то деньги благополучно утекут.
                                                                                                  +1
                                                                                                  Но вообще я с вами безусловно согласен. В альфе все ок с безопасностью. Единственная претензия у меня к их безопасности — система паролей. Они так требуют каждый месяц (или три месяца?) менять пароль в клике, но сам пароль может быть длиной исключительно до 12 символов и состоять только из цифр и букв. В итоге на любой самый закудышный веб сервис у меня пароль вида ZAt,9:rC8%748</Q, а в альфа клике лишь i9o5grej6nav.
                                                                                                    0
                                                                                                    Наверное, вы никогда не были в роуминге с ушедшим в минус телефоном и желанием заплатить за этот самый телефон через альфа-клик. Чтобы заплатить нужен альфаклик, чтобы зайти в альфклик нужно заплатить. Вот такая вот грустная рекурсия.
                                                                                                      0
                                                                                                      А до вас не доходят смс при отрицательном балансе?
                                                                                                        0
                                                                                                        В другом государстве меня, помнится, в сеть никто не хотел пускать при минусовом балансе… Впрочем, это было года 3 назад, с тех, возможно, что-то изменилось.
                                                                                                        0
                                                                                                        Несколько лет назад МТС не доставлял входящие СМС-сообщения при нулевом балансе.
                                                                                                        Поэтому в такой ситуации оплатить свой телефон через интернет-банк было нереально.
                                                                                                        Но потом они перестали страдать такой фигнёй, и входящие СМС с временными кодами стали приходить даже при нулевом/отрицательном балансе.
                                                                                                        0
                                                                                                        Забавно, что год или полтора спустя Альфа «забывает» старые пароли, которые раньше запрещала устанавливать, т.к. они уже якобы использовались, и преспокойно принимает их снова при плановом изменении :))))
                                                                                                          0
                                                                                                          Да, я тоже это замечал, пока не перешел на 1Password и не перестал юзать стандартные пароли :)
                                                                                                            0
                                                                                                            Ну, мои пароли и без всяких софтин нестандартные :) Расчитываются по особой формуле, своей, содержащей несколько значений со степенями. Результат перевожу в HEX и урезаю до 8 байт. Если надо сменить пароль, просто повышаю степень :))))))))
                                                                                                          0
                                                                                                          Да не все в порядке с безопасностью в альфе. Или все уже забыли историю примерно двухлетней давности, когда пара мошенников сделали себе поддельных доверенностей, по ним получили у мобильных операторов новые сим-карты и спокойно увели кучу денег со счетов?

                                                                                                          Вопросы вида «откуда они узнали пароли и номера телефонов» оставлю за кадром, ибо подробностей той истории уже не помню.
                                                                                                            0
                                                                                                            сейчас Альфабанк отслеживает номер симкарты, и если она сменилась — смс не пошлет
                                                                                                              0
                                                                                                              А каким образом? Через договоренности с операторами?
                                                                                                                +1
                                                                                                                не знаю как точно, вот что сам банк пишет:

                                                                                                                Уважаемый Клиент,

                                                                                                                право Банка запрашивать и получать от компании-оператора сотовой связи информацию о замене SIM-карты или данных, подтверждающих замену SIM-карты номера телефона сотовой связи Клиента, указанного в Анкете Клиента\в Анкете-Заявлении, установлено п.п. 11.3.27 Договора о комплексном банковском обслуживании физических лиц в ОАО «АЛЬФА-БАНК» (далее — Договор).
                                                                                                                Пунктом 11.2.18. Договора установлена обязанность Клиента немедленно уведомлять Банк о смене SIM-карты номера телефона сотовой связи Клиента, указанного в Анкете Клиента/в Анкете-Заявлении, обратившись в Отделение Банка. При этом, согласно условиям п.11.3.28 Договора, Банк вправе ограничить/приостановить доступ Клиента к Интернет Банку «Альфа-Клик» с момента получения от компании-оператора сотовой сети информации о замене SIM-карты или данных подтверждающих замену SIM-карты номера телефона сотовой связи Клиента, указанного в Анкете Клиента\в Анкете-Заявлении, до момента получения Банком уведомления Клиента, путем обращения в Отделение Банка, о замене SIM-карты номера телефона сотовой связи Клиента, указанного в Анкете Клиента\в Анкете-Заявлении.
                                                                                                                С учетом перечисленных положений Договора, указанные Вами действия Банка правомерны и в полной мере соответствуют условиям Договора.
                                                                                                                Для регистрации новой SIM-карты Вам необходимо обратиться в ДО/ККО Банка. При себе необходимо иметь паспорт, телефон и активную SIM-карту.
                                                                                                                Поверьте, Банком принимаются максимально возможные меры для сохранения Ваших денежных средств и защиты их от возможного мошенничества.
                                                                                                                Мы стремимся развиваться и двигаться вперед, поэтому всегда открыты для Ваших замечаний и предложений.
                                                                                                                К сожалению, при обращении в телефонный центр действительно бывают очереди, руководство предпринимает максимально возможные меры для их снижения. В ближайшее время ситуация с дозвоном должна улучшиться.
                                                                                                                Поверьте, исправность работы банкоматов постоянно отслеживается технической службой. При выявлении любого сбоя в работе вышеуказанных технических устройств, проблема решается в ближайшее время. Получить информацию о работоспособности банкомата Вы можете по тел.: 8-800-2000-000 (для регионов России, бесплатный).
                                                                                                                Мы постараемся сделать все от нас зависящее, чтобы Вам удобно было пользоваться нашими продуктами и услугами.
                                                                                                                Приносим искренние извинения за причиненные неудобства и надеемся на дальнейшее сотрудничество.

                                                                                                                С уважением,
                                                                                                                Елена Соломатина,
                                                                                                                гл. специалист отдела обработки электронных запросов
                                                                                                                Дирекции по обслуживанию Клиентов
                                                                                                                ОАО «Альфа-Банк»
                                                                                                                  0
                                                                                                                  Ясно. Здорово. Но ввели это судя по всему относительно недавно. В июле менял симку, альфа не шелохнулась.
                                                                                                              0
                                                                                                              Да, нашел эти истории, почитал. Занятно. Но, тем не менее, для начала надо еще было украсть логин и пароль. Так что значительная вина юзера здесь есть. А насчет симки — вы считаете это проблема в безопасности банка, а не мобильных операторов? В общем к самому банку я бы претензий тут не предъявлял. Тут же не было какого-нибудь взлома базы данных банка, скажем. Чистая социальная инженерия, при чем направленная на юзера и на мобильного оператора, а на банк никакой «атаки» в той или иной форме не было. И деньги в альфе вернули, кстати.

                                                                                                              Я доволен тем как организована работа с интернет банкингом в альфе и не хотел бы системы со скретч-картами (как, скажем, в юникредите). Глядя на своих знакомых, которые постоянно носятся с этими скретч-кодами (а когда они заканчиваются в самый ответственный момент это вообще прекрасно), совершенно не хочется заниматься тем же самым. Хотя самым правильным наверное было бы внедрение системы токенов с одноразовыми паролями. Вот это удобно и секьюрно. Я пользуюсь такой фигней, очень нравится. Или в них есть какие-то свои уязвимости? Кто в курсе? :)
                                                                                                                –1
                                                                                                                Описанная история произошла в системе Телебанк банка ВТБ24. Про Альфа-клик я помянул лишь потому, что его сайт был тоже указан в файле hosts.

                                                                                                                Хотя, судя по комментариям, людей больше волнует Альфа-клик.
                                                                                                                  0
                                                                                                                  Вы этот ответ всем подряд в топике спамите? Я свой комментарий разве вам адресовал? Я умею читать, о чем топик я видел. Мы тут ведем дискуссию на другую тему.
                                                                                                            0
                                                                                                            Подтверждаю!
                                                                                                            Тоже клиент Альфы и ее Клика. Так у меня одноразовые пароли не спрашивают только если я деньги со своего счета на свой же счет перекидываю. При любой операции, выводящей деньги за пределы моих счетов, требуется одноразовый пароль. Первый пароль — при входе, второй (другой ессно) — при переводе или оплате счета. Кстати, даже для перевода денег на счет в Яндекс.Деньгах тоже требуется одноразовый пароль, т.к. пусть счет и мой, но все же в другой системе.
                                                                                                              0
                                                                                                              Кстати, запрос одноразового пароля при входе в Альфа-клик можно отключить.
                                                                                                              Настройки — Мой профиль — снять галку Вход по одноразовому паролю: [v]
                                                                                                              После этого вход в инет-банку будет просто по паре логин/пароль, без СМС-кода.
                                                                                                              Но для изменения любых настроек и для совершения операций внешнего перевода по-прежнему будет требоваться временный код из СМС.
                                                                                                                0
                                                                                                                Это я знаю. Но отключать не буду. Безопасность лишней не бывает. Тем более, если вопрос касается не просто компа, а уже кошелька.
                                                                                                                  0
                                                                                                                  ух ты, здорово, спасибо! а то меня этот пароль при логине давно уже из себя выводит. когда просто надо посмотреть состояние счета. а раз для переводов всегда присылается смс-пароль, то для логина он и не нужен.
                                                                                                                  0
                                                                                                                  Интересно, что операции перевода со счета на счет с конвертацией также не требуют одноразового пароля. Так что таким образом, перекидывая деньги со счета на счет, можно подарить часть суммы банку. Это конечно не мошенничество как таковое, но ввести в раздражение владельца счета можно :)
                                                                                                                    0
                                                                                                                    Я в телебанке сертификаты себе заказал. Теперь и переменные коды при авторизации работают и когда что-то совершаешь в телебанке, то требуется подпись сертификатом. Ну и под админом в системе не работаю, только под пользователем с ограниченными правами. А на файл hosts снесены права на запись для всех пользователей, только чтение.
                                                                                                                      0
                                                                                                                      > А на файл hosts снесены права на запись для всех пользователей, только чтение.

                                                                                                                      Этот шаг лишний. Т.к. это ничуть не безопаснее дефолтного состояния системы.

                                                                                                                      По умолчанию файл hosts могут редактировать только администраторы.
                                                                                                                      Т.е. вирус/троян, запущенный админом или захвативший его привилегии, может внести в hosts какие-то злонамеренные изменения.

                                                                                                                      А после вашего изменения прав доступа… файл hosts по-прежнему могут редактировать только администраторы.
                                                                                                                      Т.е. вирус/троян, запущенный админом или захвативший его привилегии, может сначала захватить владение файлом (а любой администратор это может), потом настроить как владелец права доступа к нему, ну и потом всё так же злонамеренно отредактировать его.
                                                                                                                        0
                                                                                                                        Ну это уже сложный вирус, я думаю, что тут все проще и рассчитано на обычных пользователей, которые уже работают в системе с правами администратора. Ну можно еще убрать из прав доступа пользователей из группы администраторов и сделать отдельную учетную запись, только ее можно делать все изменения и тогда уже стандартные пользователи из группы администраторов ничего не смогут сделать.
                                                                                                                        0
                                                                                                                        Оу, я не спец, потому спрашиваю: а так можно? Снести все права и всем только на чтение? Ну, я имею в виду, не повлияет ли это на ОС? Вроде никто никогда hosts не правит из системных компонентов… Не замечал по крайней мере.
                                                                                                                          0
                                                                                                                          Еще можно задействовать атрибуты файловой системы — тогда при желании даже root не сможет модифицировать и ничего удалить. А еще можно настроить SELinux… На самом деле вариантов куча.
                                                                                                                            0
                                                                                                                            Ну, SELinux на Винде нет.
                                                                                                                            А вот права с hosts снять можно.
                                                                                                                              0
                                                                                                                              Раз вирус редактирует hosts, значит у него есть админские права.
                                                                                                                              А значит ничто ему не помешает вернуть себе права на этот файл перед его редактированием.
                                                                                                                                0
                                                                                                                                Если на Винде работать под пользователем, то никакой вирус не сможет изменить hosts. Даже если на него не менять права. А если работать под админом, то ясное дело, что никакая смена прав не поможет. Ведь админ может стать владельцем любого файла.
                                                                                                                                  0
                                                                                                                                  Ну тут может вступить в игру local root escalation exploit. Так что нет идеальной защиты, главное думать головой.
                                                                                                                    0
                                                                                                                    2 Toseter, YoungSkipper & theOnlyBoy:
                                                                                                                    На сайте мошенников напоминания не было. Было похоже действительно на какой-то сбой, как будто переменной код ввёл, уже входит в телебанк, но что-то сбойнуло. Ну бывает, почему нет, поэтому ввели.

                                                                                                                    Сейчас кажется действительно глупо, но на тот момент даже не придали значения.
                                                                                                                      0
                                                                                                                      Дык писали же уже об этом на Хабре:
                                                                                                                      habrahabr.ru/blogs/browsers/105837/#comment_3320133

                                                                                                                      А меры защит тут самые простые:
                                                                                                                      — убедиться, что подключаешься с использованием SSL (по https://);
                                                                                                                      — убедиться, что сертификат при этом валидный;
                                                                                                                      — внимательно читать СМСки с временными паролями.
                                                                                                                        +1
                                                                                                                        В Телебанке нет смс-ок с временными паролями.
                                                                                                                          +2
                                                                                                                          там есть карточка с временными паролями
                                                                                                                        0
                                                                                                                        главная мораль которую почему то забыли написать, это читать пришедшие от альфабанк смски, вних написано для чего пароль, и если там написано «dlya perevoda deneg» или «oplata uslugi», при том что вы ждете для входа, то стоит подумать ;)
                                                                                                                          –1
                                                                                                                          Описывается случай с системой Телебанк, там нет смс-ок. Про Альфа-клик просто упомянут, потому что сайт Альфа-клика тоже был в hosts. Но почему то его в основном и обсуждают.
                                                                                                                            +1
                                                                                                                            Просто альфа-банком много кто на хабре пользуется и всех волнует свой банк.
                                                                                                                          +21
                                                                                                                          > 1. Будьте внимательны, лучше сами проверяйте hosts

                                                                                                                          Вы в курсе, что в Windows путь к файлу hosts может быть изменен?
                                                                                                                          Вот проверяете вы файл %SystemRoot%\system32\drivers\etс\hosts
                                                                                                                          и видите, что там всё красиво, лишних и левых записей нет.

                                                                                                                          А на самом деле системный ресолвер в этой системе для разрешения имён использует файл, допустим: %SystemRoot%\hosts, в котором прописана куча левой гадости. А всё потому, что в системном реестре прописан параметр:
                                                                                                                          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
                                                                                                                          DataBasePath = "%SystemRoot%"

                                                                                                                          вместо дефолтового:
                                                                                                                          DataBasePath = "%SystemRoot%\System32\drivers\etc"
                                                                                                                            0
                                                                                                                            Странно ещё, что не все подобные вирусы, добавляющие записи в hosts, меняют путь к используемому hosts-файлу. Видимо, их тоже не слишком грамотные школьники пишут.
                                                                                                                              +11
                                                                                                                              Думаю что школьники-вирусописатели вышестоящий комментарий взяли на заметку и сказали дружно спасибо камраду xn__p2a =)
                                                                                                                                +1
                                                                                                                                С другой стороны, это могли взять на заметку и горе-юзеры, работающие постоянно под админом…
                                                                                                                                Теперь они могут хранить свой hosts файл не в дефолтной папке. Тогда ламерские вирусы, которые правят hosts-файл по дефолтовому пути, никак им не навредят и не перенаправят их на фишинговые сайты.
                                                                                                                                  0
                                                                                                                                  О, мечты, мечты… Править путь до hosts в реестре и при этом сидеть под админской учеткой… нарожает ведь земля-матушка индейцев… Интересно, а таких много?
                                                                                                                              0
                                                                                                                              ну как бы спасибо, не знал о подмене подобной.
                                                                                                                                –1
                                                                                                                                В Win7 видимо исправили эту оплошность прописано значение %SystemRoot%\System32\drivers\etc
                                                                                                                                  0
                                                                                                                                  Дык оно во всех виндовсах по умолчанию так прописано.
                                                                                                                                  Фишка в том, что вирус, имея админские права, может это значение в реестре поправить, чтобы юзер, проверяющий содержимое файла hosts по дефолтовому пути, смотрел не в тот файл и не заметил подвоха и левых переадресаций на фишинговые сайты.
                                                                                                                                    0
                                                                                                                                    Ну в Win 7 на ветку в реестре можно ограничить права на изменения конкретным пользователем. Или сделать отдельного пользователя, который будет иметь привилегии на запись, а администраторов ограничить.
                                                                                                                                      0
                                                                                                                                      Ещё раз: даже если у админа отнять права, то он сможет себе их вернуть.
                                                                                                                                0
                                                                                                                                Файл hosts доступен для записи только админу. Вероятнее всего, никто не менял разрешения на нем, чтобы править его от простого пользователя. То есть, скорее всего, был произведен запуск трояна от админа. И чего, собственно, хотеть в данной ситуации?
                                                                                                                                Мораль: не работать под админом.
                                                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                    0
                                                                                                                                    Дулепов, вы не знаете, что делает файл hosts?
                                                                                                                                      +4
                                                                                                                                      Он неисполняемый, поэтому он ничего не делает. Инфа 100%
                                                                                                                                        0
                                                                                                                                        да, вирус смеха ради туда что-то написал :)
                                                                                                                                        Представьте себе, для упрощения картины, что файл хостс — это маленький фрагмент на ленте в Машине Тьюрринга.
                                                                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                            +2
                                                                                                                                            Кстати, одно время, где-то в начале 2009-го года (хотя точно сказать не могу), IE ругался, что у Альфа-Клика сертификат просроченный :)))))))) А так оно и было :)
                                                                                                                                              +1
                                                                                                                                              Имя есть, факт на лицо :)
                                                                                                                                              Он не виноват, что вы не смотрите, что отображается в строке броузера

                                                                                                                                              так про сертификат и пишите, а то вводите в заблуждение потенциальных пострадавших от вируса.
                                                                                                                                              увидев предупреждение о сертификате наиболее продвинутые пользователи позвонят в банк, а другим «надо срочно заплатить за .....», и будут кликать, пока не попадут в банкинг.
                                                                                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                  0
                                                                                                                                                  Хорошая привычка, но
                                                                                                                                                  Ну, тут же профессионалы сидят, верно?
                                                                                                                                                  Если бы мне это сказал кто-нибудь из отдела информационной безопасности, я бы предложил его уволить.
                                                                                                                                                  Даже самый опытный в чем-либо человек остается человеком, со всеми вытекающими от сюда человеческими факторами.
                                                                                                                                      +1
                                                                                                                                      как вариант — используйте локальный прокси-сервер, чтобы файл hosts шел лесом
                                                                                                                                        0
                                                                                                                                        А прокси будет резолвить домены святым духом?
                                                                                                                                        0
                                                                                                                                        А еще в Windows7 и unix чтоб изменить этот файл нужны админские права.
                                                                                                                                        Вы какую ОС используете?
                                                                                                                                          +2
                                                                                                                                          На сайтае VTB24 передвходом висит текст:

                                                                                                                                          Настоятельно рекомендуем вам при входе в систему «Телебанк»/«Телеинфо» выполнять следующие требования:

                                                                                                                                          1. На первом экране вводить только логин и пароль. Переменный код следует вводить строго на экране, который появляется после правильного ввода логина и пароля.
                                                                                                                                          2. В случае неправильного ввода переменного кода не вводить код со следующим порядковым номером. Если первая попытка входа в систему не удалась, при каждой повторной попытке входа система должна запросить переменный код с тем же номером, что и при первой попытке.
                                                                                                                                          3. Не вводить номер вашей банковской карты и ее CVC/CVV-код. Система никогда не запрашивает эти данные.
                                                                                                                                          4. Убедиться, что установлено безопасное соединение с сайтом системы (в случае входа с помощью защищенного соединения), т.е. адресная строка начинается с https:// и при этом отсутствует сообщение об ошибке сертификата.

                                                                                                                                          Если при входе в систему «Телебанк»/«Телеинфо» вы заметите какие-либо несоответствия стандартным запросам системы, не вводите никаких данных и обратитесь в Службу поддержки.

                                                                                                                                          В общем, елси все прочитать и делать правильно, граблей насобираешь существенно меньше…, только вот как как всегда, читать начинаешь уже после того, как грабли найдены
                                                                                                                                            0
                                                                                                                                            Когда вы зайдете на фейковый телебанк там будет написано уже совсем другое ;)
                                                                                                                                            +1
                                                                                                                                            Самый прикол будет чуть позже. Вот смотрите, многие используют коммуникаторы, подсоединяют их иногда к своим компам, таким образом формируя возможность заразить сам коммуникатор.
                                                                                                                                            Представляете, что вирус подсматривает или предлагает вам ввести постоянный пароль, сам вводит его на сайт, сам получает СМС на ваш коммуникатор, сам его отправляет по адресу и вводит для сайта банка.

                                                                                                                                            Т.е. вы даже можете ничего не знать. Никаких СМС не видеть.
                                                                                                                                            ENUM-аутентификация тоже не поможет. CAPTCHA сам злоумышленник распознает. Остаётся только внешнее автономное устройство для генерации разовых паролей.
                                                                                                                                              0
                                                                                                                                              iPhone таким образом не ломается, android — не так просто, symbian вроде как сертификат просит, с wm проще, про WP7 не знаю
                                                                                                                                                0
                                                                                                                                                Уже пора запомнить, что ломается всё.
                                                                                                                                                  0
                                                                                                                                                  заджейлить свежий айфон незаметно для юзера — почти без шансов
                                                                                                                                                    0
                                                                                                                                                    А если, например, попросить об этом самого юзера?
                                                                                                                                                      0
                                                                                                                                                      ну, это уж совсем хардкорный способ, как мне кажется