Зависимость з/п 1С-ника больше зависит от размера его ягодиц. Это моё субъективное оценочное суждение, но доказать это с помощью графиков, также красиво, как в статье, я не могу. ;)
Отличная идея с файлом тишины для автомобильных магнитол.
Поискал ссылки на «тишину» здесь и в поисковиках и удивился, что все ссылки ведут только на платный контент. Поэтому я решил сделать свой файл тишины и выложить его в свободный доступ.
Ссылка на скачивание ниже. A a a a a Another Great Song — Single.mp3 (Для скачивания после перехода на страницу на «soundhost'e» под названием трека нужно нажать кнопку Download.)
Обращаю Ваше внимание, что это не пиратская копия исходного файла тишины. Это именно другой новый файл, созданный мной. Отличается в большую сторону продолжительность, отличается название, отличается обложка, отличаются тех параметры файла и, вероятно, меломаны отличат эту тишину от той. ;)
Как я его сделал? Видеоредактором(!) Технические подробности под спойлером.
Поискав у себя на компьютере, ни нашел ни одной специализированной программы, которая бы позволяла создавать тишину и сохранять её в mp3 файлах. Искать и скачивать разные аудиоредакторы тоже не хотелось. Поэтому я воспользовался видеоредактором (!) Adobe Premiere. В «премьере» я создал новый проект. На одну из аудиодорожек кинул произвольный аудиофайл на таймлайне на расстоянии ~12минут от начала. Звук дорожки отключил (mute). После этого сделал экспорт. Премьер позволяет видоепроекты экспортировать в разные форматы. В том числе видеопроект можно экспортировать в mp3. Понятное дело, что при этом сохраняется только звук. Но именно это нам и нужно. Для красоты длина файла 12:22:22мин. (12минут с секундами и миллисекундами).
Файл распространяется абсолютно бесплатно для всех желающих.
Для тех, кто растроган такой заботой и хочет выразить благодарность, ничего лучше кнопки повышения кармы, пока не придумали. ;)
В мобильном приложении конкретная причина не указывается. Выдается общая формулировка, как на скриншоте выше. На телефон в этом случае никакие СМС от банка не приходят (смс-информирование на карте подключено). Поэтому причину отлупа на стороне пользователя определить невозможно.
1. Небольшое дополнение к статье:
В личном кабинете Яндекс.Директа, в журнале оплат, платежи картой с использованием 3D Secure и платежи без полноценной проверки подписываются по-разному. Платежи через форму в личном кабинете в полной версии сайта подписаны «Банковская карта», платежи через мобильное приложение подписаны «Trust, банковской картой». «Trust» здесь к названию банка отношения никакого не имеет.
Скриншот подписей платежей в личном кабинете под спойлером
2. И еще оказалось, что не все банки одинаково соглашаются на списание средств с карты в «упрощенном порядке», который использует Яндекс в мобильном приложении. Оплата через мобильное приложение картами Сбербанка и банка Юникредит проходит без проблем, как описано в публикации. Однако, когда я захотел добавить в мобильное приложение карту Бинбанка, у меня это сделать не получилось. Яндекс пытался, как обычно, списать и вернуть 2 рубля, но Бинбанк это сделать не позволил. Я безуспешно пробовал добавить эту карту несколько раз.
Какая точно причина того, что Бинбанк не дал списать 2 рубля, я не знаю. Но с картой точно проблем нет, потому что через минуту этой же картой через десктоп-версию личного кабинета я без проблем пополнил баланс, проведя платеж с использованием 3D Secure.
Вероятно, что некоторые банки имеют возможность установить дополнительные параметры безопасности и не допускать проведение платежей в «упрощенном порядке». Но это скорее исключение, чем общее правило.
Скриншоты того, как Яндекс не смог проверить и добавить карту Бинбанка
Как вас вообще занесло на мошеннический сайт при том, что давным давно большинство пользуется всевозможными авиасэйлс не ясно совсем.
Меня на мошеннический сайт не заносило. Но я помогал человеку, которого на такой сайт занесло и который из-за этого попал в неприятную ситуацию. Одновременно с решением проблем одного человека, я надеялся помочь еще некоторому количеству людей не попасть в аналогичную ситуацию. Для этого я постарался написать на GT несколько статей, в которых обратил внимание на проблемные моменты. И, насколько я вижу, эти публикации действительно принесли пользу.
Касательно «авиасэйлс», — Вы уверены, что сможете без ошибок написать название домена? Если Вы пролистаете список из белее 400 закрытых доменов, которые продавали «фейк-авиабилеты», то там найдется, как минимум десяток схожих по написанию авиасэйлсов. Опечатка в одной букве, ошибка в зоне (com/net/ru/eu) итп может привести Вас на поддельный сайт. А если Вы не уверены в написании, то есть вариант ввести в адресной строке браузера ту часть, которую помните, а дальше довериться поисковой системе. А поисковая система в самой верхней строчке, ярко выделит рекламируемый фейк-сайт, который будет очень похож на то, что Вы ищите. Это все не теория, — так это работало еще полгода назад.
Может ли любой человек, который на 200% уверен в своих силах, который с закрытыми глазами по запаху от экрана распознает мошеннические сайты, быть точно так же уверенным в том, что его знакомые, родственники и близкие не попадутся на крючок к мошенникам? Может ли, например, руководитель отдела по борьбе с киберпреступлениями, быть уверен в том, что при покупке авиабилетов случайно не допустит роковую ошибку его жена, старенькая мама, недавно получившие паспорт дети или сестра, которая никак не может запомнить, как попасть на сайт «вконтакте»?
Если Вы спрашиваете, писал ли я в Яндекс про то, что Яндекс не запрашивает коды 3D Secure при использовании мобильного приложения, — нет не писал. Я думаю, для Яндекса это не секрет. Это не баг, а «фича». Обсуждать с отдельным сотрудником поддержки общую политику Яндекса занятие, на мой взгляд, малоперспективное. Если Вы спрашиваете, писал ли я вообще в Яндекс, про то, что деньги на Директ уходят без проверки 3D Secure без указания конкретного способа, то да, писал и много раз. Я писал в поддержку Яндекса о факте хищения средств с подробным описанием. Также это все описано в первой публикации на GT, которую в том числе комментировали и представители Яндекса. Сотрудники Яндекса точно в курсе этой особенности.
Я много раз писал в Яндекс, обращая внимания на разные ошибки и проблемные моменты в их сервисах.
Например, полгода назад, 09/09/2016, я написал им в поддержку об очевидной, легко проверяемой, а главное легко исправляемой ошибке в поисковой выдаче. Мое сообщение об ошибке приняли (есть номер тикета), мне точно ответил живой человек, а не робот, поблагодарили и обещали исправить. Ошибка, на исправление которой требуется 5 минут, не исправлена до сих пор.
Вы можете сами проверить. Введите, например, в поиске Яндекса любой запрос типа «инструкция к телефону panasonic». На первой странице выдачи Выдачи увидите несколько ссылок на PDF файлы с инструкциями. Рядом с каждым файлом будет указан его размер. Прямо сейчас указываются такие размеры файлов, размещенных на разных доменах: 15КБ, 10КБ, 12КБ, 22КБ и тп. Разве не подозрительные размеры у PDF файлов? Если Вы скачаете любой из этих файлов, то файл, которые Яндекс взвесил на 6КБ, в действительности будет весить 2,1МБ итп. Сейчас зависимость определенного и реального размера файла не линейная, а полгода назад у меня выходило, что килобайты с мегабайтами были перепутаны. Т.е. очевидная ошибка в определении размера файла. Но за полгода её не исправили.
Поэтому, основываясь на своем опыте, я понимаю, по каким вопросам особенности работа Яндекса имеет смысл писать в поддержку, а по каким вопросам может помочь только широкое обсуждение проблем.
Хочу обратить внимание, что в целом я положительно оцениваю работу Яндекса. Когда я обращаю внимание на каких-либо проблемы в Яндексе, у меня нет цели очернить репутацию компании. Все, что я хочу, обращаясь в Яндекс или поднимая фантик на обочине, — это сделать мир немножечко лучше.
И поэтому из-за мошенников Яндекс должен усложнять жизнь всем остальным?
Именно так.
Если бы не было мошенников и все были бы законопослушные и имели только добрые намерения, то можно было бы много чего отменить, чтобы не усложнять жизнь всем остальным. Например, можно было бы вообще отменить пинкод при любых оплатах картой, можно отменить CVV, можно не запрашивать паспорт при обращении в банк, можно отменить двухфакторную авторизацию при входе в банк-клиент, можно выдавать кредиты всем желающим без лишних проверок и формальностей. И в других сферах можно было бы много чего убрать. Например, турникеты и заборы на выход из электричек, турникеты в автобусах, проверку документов и рюкзаков в метро, отменить кассовые аппараты в точках продаж, отменить техосмотр машин итп. Практически в любой сфере из-за кучки каких-то жуликов и хулиганов страдают все остальные. Огромное количество неудобных вещей можно было бы отменить, если бы не они…
С другой стороны можно сказать, что Яндекс должен «усложнять жизнь всем остальным» не из-за десятков мошенников, а, например из-за сотни жертв этих мошенников.
Даже, если Вы уверены, что используете свою карту только в проверенных местах, нет гарантии, что в один из дней, например, не взломают базу Аэрофлота, и выяснится, что Аэрофлот в нарушение всех требований хранил данные карт. Или сломают сайт госуслуг, через который Вы один раз оплатили штраф. Или случайный бармен, взглянув на карту, запомнит наизусть ее номер. Вы не можете гарантировать, что номер Вашей карты в один из дней не попадет к мошенникам.
И когда, катаясь на лыжах в Альпах, Вам вдруг начнут приходить СМС о том, что Ваши средства списываются за оплату рекламы в Директе и баланс карты за несколько минут обнулился, Вы, конечно, подумаете, что это не повод для волнения, что это не Ваши проблемы, а проблемы Яндекса и Вашего банка. Вы будете уверены, что одно обращение и деньги Вам вернут. А если попробуют не вернуть, то МПС кому-то что-то сделает по самые помидоры. Требуется всего один звонок, нужно только подзарядить новейший смартфон, разрядившийся на морозе. Но Вы точно помните, что в баре на высоте 3200, на второй очереди подъемников у бармена был точно такой же аппарат. Наверняка, у него должна быть зарядка. Зарядив телефон, и найдя в интернете номер Вашего банка, Вы уверенно позвоните в свой банк в Москву. Автоинформатор ответит, что Ваш звонок очень важен, Вы второй в очереди и время ожидания 20 минут. Это нормальное время ожидания, подумаете Вы, ведь на календаре 2 января и не должны сотрудники банков мучиться из-за нескольких клиентов, которые всегда найдут повод для недовольства, даже в праздники. Вы не будете волноваться в ожидании ответа оператора, ведь перед выездом в горы, Вы с запасом пополнили счет мобильного оператора, для оплаты международной связи. Дождавшись ответа оператора банка, Вы назовете свои паспортные данные, чтобы Вам поверили, что Вы это Вы, и оставите заявку, подробно описав, что произошло, и продиктовав дату, время и суммы всех подозрительных транзакций. Карту с нулевым балансом сотрудник банка Вам вежливо заблокирует и назовет номер зарегистрированного обращения. Через 15 дней Вам придет смс, что банк увеличил срок рассмотрения Вашего обращения еще на 15 дней…
И вот, когда Вы будете поднимать бокал шампанского при встрече следующего нового года, Вы подумаете, что все-таки предыдущий год был полон приключений, что Вам есть что вспомнить, что в тот раз, при личном посещении банка 23 февраля, Вы круто разъяснили всем тупым сотрудникам банка, правила платежных систем и, что даже начальник отделения банка через час не смог парировать Ваши доводы. И одновременно Вы подумаете, что ничего не может сломать Ваш внутренний стержень, что Вы остались верны своим убеждениям, и что все-таки, хоть Вам и пришлось немножко потратить своего времени и сил, Вы счастливы за пользователей Яндекс.Директа, которым не нужно вводить лишние шесть цифр из смс при пополнении баланса рекламной компании.
Так чем та история закончилась? Вернул банк деньги?
Чем закончилась та история, написано в первой публикации.
Пролистайте ее до конца. В самой нижней части статьи все описано.
Мне не сложно сюда все скопировать, но тогда эта публикация станет намного длинее и тем, кто первую часть прочитал, будет неинтересно читать текст по второму разу.
Если Яндекс будет проверять 3D Secure, то нельзя будет легко пополнить счет в рекламной системе. Ворованных данных карты уже будет недостаточно. Если нет рекламы, то мошеннические сайты не выходят в топ выдачи. Если они не выходят в топ выдачи, то у них близкая к нулю посещаемость и заниматься ими нет смысла. Таким образом резко падает количество мошеннических сайтов.
Вы знаете много способов пополнить баланс Яндекс.Директа без 3D Secure? На данный момент я знаю только этот.
Да, есть какие-то магазины, отели итп, которые не используют 3D Secure. Но они не могут быть использованы для оплаты рекламы мошеннических сайтов.
Если Вы оплатите что-то в магазине, то Вам нужно указать адрес доставки. Если Вы оплатите отель, то кто-то в него приедет. Гораздо сложнее использовать чужие деньги, а главное, покупка в магазине или бронирование отеля не способствуют открытию новых мошеннических сайтов.
Опротестовать платеж можно. Об этом подробно написано в первой статье и немного в этой. Деньги могут вернуться, а могут и не вернуться. Зависит от многих факторов. Но в любом случае, жертва мошенников гарантированно попадает на несколько дней заявлений и переписок и еще на месяц ожидания.
В первой и второй публикациях мы обсуждали, что банки при переводах с карты на карту шлют непонятные многим смс-уведомления. Я думаю, что немного реальных пользователей карт, прочитав в смс уведомлении «P2P» и еще несколько букв, поймут, что это означает. Этим пользуются мошенники, пытаясь представить платежи с карты на карту, как оплату каких либо товаров/услуг.
Еще один из крупнейших банков, занимающий 12 место по размерам активов, продолжает слать точно такие же уведомления при переводах с карты на карту. Давайте сравним уведомления.
МДМ Банк — это теперь уже Бинбанк, но в уведобмлениях название пока старое.
18 ноября 2016 года ПАО «БИНБАНК» завершило реорганизацию в форме присоединения к ПАО «МДМ Банк». Название ПАО «МДМ Банк» было изменено на ПАО «БИНБАНК».
Скриншот смс-уведомления от МДМ/Бинбанка под спойлером
интересно, а ж/д (автобусные, водного транспорта) билеты так не продают? Оно ведь наиболее близко…
Сообщения на форумах, про то, что ж/д билеты таким же образом планируется продавать я встречал, но хотя бы один подобный сайт ни разу не видел. С точки зрения создания сайта затраты примерно одинаковые, но привлечь покупателей намного сложней. Цены на внутренние жд билеты, если я не ошибаюсь, у всех примерно одинаковые. Цена отличается только комиссией за продажу билета. Также РЖД фактически монополист и найти альтернативный маршрут обычно невозможно. Поэтому большинство покупателей жд билетов покупают их напрямую у ржд, остальные у нескольких известных компаний-посредников.
Я не возражаю.
2-3 года тоже ведь подходят под определение «несколько лет назад».
А слова «возможно совпадение» и «можно предположить» показывают, что это только попытка угадать возможный возраст скрипта, а не однозначное удтверждение.
Проверил на странице с формой на сайте 3ds.payment.ru. Многие CSS файлы имеют дату примерно: Last-Modified:"Thu, 13 Mar 2014 07:15:27 GMT"
Когда появляется какой-то новый, сырой, еще не обкатанный продукт, то существует большая вероятность наличия в нем слабых мест. Поэтому, теоретически можно начинать им «пользоваться» сразу после запуска.
Так сам Промсвзяьбанк на своем основном сайте https://www.psbank.ru/Personal/eCommerce/Card2Card отображает форму с 3ds.payment.ru с помощью iframe. Про домен 3ds.payment.ru мало кто из клиентов банка вообще догадывается. Если они такой заголовок поставят, то сами себе и проблемы могут устроить. Как минимум, придется в заголовке указывать доверенные домены, которые могут страницу во фрейме показывать. А эту опцию некоторые браузеры могут не поддерживать.
Касательно конкретного скрипта, описываемого в статье, — он не использует iframe, а обращается к странице с формой оплаты напрямую.
«dle_exec» — это было в файле config.php.
Конфигурационный файл config.php содержит массив с ~170 разными параметрами, такими как кодировка, ключевые слова, время, язык итп.
Файл этот, вероятно, входит в стандартную поставку движка DLE, но ничего не мешает в него добавить произвольное количество своих дополнительных параметров.
Параметр из этого файла может быть получен из любого другого программного файла на хостинге. Какие-то сохраненные параметры из этого файла используются, а какие-то могут никогда не использоваться.
Обычно значение параметра получается по имени. Например, используемые языки 'langs' => 'Russian'. В случае, когда имя параметра само представляет из себя длинную зашифрованную строку, по имени к нему обратится проблематично. Но есть другой способ, — выбрать из массива все параметры, значения которых равны «456». А потом среди выбранных значений получить имя параметра и как-то его использовать. В коде это будет выглядеть так, что ничего подозрительного сразу не заметишь. Например, — найти в конфиге что-то равное 456 и вывести имя первого найденного параметра на экран.
Также в конфиге прямо перед зашифрованной строкой был еще такой параметр '123' => '123'. Скорее всего такой параметр нужен для предварительной проверки того, что сайт содержит закладку. Иной смысл такого параметра трудно предположить.
У меня есть только ограниченное количество файлов «авиасайта». Где и как использовалась закладка, я не знаю. В тех файлах, которые есть, точное место не нашел. Но, в ряд ли, эта зашифрованная закладка с ~трояном просто так в конфиг попала. «Совпадение? -Не думаю.»
Движок на этих «авиасайтах» используется DataLife Engine (DLE), нулёная версия.
Все представленные в описании файлы, в этот движок не входят, — эти файлы создаются специально для мошеннических сайтов и встраиваются в стандартный движок DLE.
Поясню, как я понимаю назначение этого блока. Поправьте, если я не прав.
Если при обращении к сайту в запросе есть параметр dle_exec, то выполнить весь код, который указан в значении этого параметра.
Собака "@" в коде нужна для подавления возможных ошибок, — при ошибке в коде программа не останавливается, а сообщения об ошибке не выводятся на экран и в лог.
Достаточно обратится по какому-то адресу с запросом типа fakeavia.ru/somepage?dle_exec=любой_исполняемый_код_указанный_прямо_в_этой_строке
и весь код, который может быть любым, будет выполнен на сервере. Т.е., например, можно прочитать содержимое базы данных, создать, удалить файл итп.
Т.е., получается, что все эти мошеннические сайты содержат троян от разработчика?
Если это так, то думаю, даже на «теневых форумах» покупатели исходников должны высказать свое отношение к разработчику.
Поискал ссылки на «тишину» здесь и в поисковиках и удивился, что все ссылки ведут только на платный контент.
Поэтому я решил сделать свой файл тишины и выложить его в свободный доступ.
Ссылка на скачивание ниже.
A a a a a Another Great Song — Single.mp3
(Для скачивания после перехода на страницу на «soundhost'e» под названием трека нужно нажать кнопку Download.)
Обращаю Ваше внимание, что это не пиратская копия исходного файла тишины. Это именно другой новый файл, созданный мной. Отличается в большую сторону продолжительность, отличается название, отличается обложка, отличаются тех параметры файла и, вероятно, меломаны отличат эту тишину от той. ;)
Файл распространяется абсолютно бесплатно для всех желающих.
Для тех, кто растроган такой заботой и хочет выразить благодарность, ничего лучше кнопки повышения кармы, пока не придумали. ;)
В личном кабинете Яндекс.Директа, в журнале оплат, платежи картой с использованием 3D Secure и платежи без полноценной проверки подписываются по-разному. Платежи через форму в личном кабинете в полной версии сайта подписаны «Банковская карта», платежи через мобильное приложение подписаны «Trust, банковской картой». «Trust» здесь к названию банка отношения никакого не имеет.
2. И еще оказалось, что не все банки одинаково соглашаются на списание средств с карты в «упрощенном порядке», который использует Яндекс в мобильном приложении. Оплата через мобильное приложение картами Сбербанка и банка Юникредит проходит без проблем, как описано в публикации. Однако, когда я захотел добавить в мобильное приложение карту Бинбанка, у меня это сделать не получилось. Яндекс пытался, как обычно, списать и вернуть 2 рубля, но Бинбанк это сделать не позволил. Я безуспешно пробовал добавить эту карту несколько раз.
Какая точно причина того, что Бинбанк не дал списать 2 рубля, я не знаю. Но с картой точно проблем нет, потому что через минуту этой же картой через десктоп-версию личного кабинета я без проблем пополнил баланс, проведя платеж с использованием 3D Secure.
Вероятно, что некоторые банки имеют возможность установить дополнительные параметры безопасности и не допускать проведение платежей в «упрощенном порядке». Но это скорее исключение, чем общее правило.
Меня на мошеннический сайт не заносило. Но я помогал человеку, которого на такой сайт занесло и который из-за этого попал в неприятную ситуацию. Одновременно с решением проблем одного человека, я надеялся помочь еще некоторому количеству людей не попасть в аналогичную ситуацию. Для этого я постарался написать на GT несколько статей, в которых обратил внимание на проблемные моменты. И, насколько я вижу, эти публикации действительно принесли пользу.
Касательно «авиасэйлс», — Вы уверены, что сможете без ошибок написать название домена? Если Вы пролистаете список из белее 400 закрытых доменов, которые продавали «фейк-авиабилеты», то там найдется, как минимум десяток схожих по написанию авиасэйлсов. Опечатка в одной букве, ошибка в зоне (com/net/ru/eu) итп может привести Вас на поддельный сайт. А если Вы не уверены в написании, то есть вариант ввести в адресной строке браузера ту часть, которую помните, а дальше довериться поисковой системе. А поисковая система в самой верхней строчке, ярко выделит рекламируемый фейк-сайт, который будет очень похож на то, что Вы ищите. Это все не теория, — так это работало еще полгода назад.
Может ли любой человек, который на 200% уверен в своих силах, который с закрытыми глазами по запаху от экрана распознает мошеннические сайты, быть точно так же уверенным в том, что его знакомые, родственники и близкие не попадутся на крючок к мошенникам? Может ли, например, руководитель отдела по борьбе с киберпреступлениями, быть уверен в том, что при покупке авиабилетов случайно не допустит роковую ошибку его жена, старенькая мама, недавно получившие паспорт дети или сестра, которая никак не может запомнить, как попасть на сайт «вконтакте»?
Я много раз писал в Яндекс, обращая внимания на разные ошибки и проблемные моменты в их сервисах.
Например, полгода назад, 09/09/2016, я написал им в поддержку об очевидной, легко проверяемой, а главное легко исправляемой ошибке в поисковой выдаче. Мое сообщение об ошибке приняли (есть номер тикета), мне точно ответил живой человек, а не робот, поблагодарили и обещали исправить. Ошибка, на исправление которой требуется 5 минут, не исправлена до сих пор.
Вы можете сами проверить. Введите, например, в поиске Яндекса любой запрос типа «инструкция к телефону panasonic». На первой странице выдачи Выдачи увидите несколько ссылок на PDF файлы с инструкциями. Рядом с каждым файлом будет указан его размер. Прямо сейчас указываются такие размеры файлов, размещенных на разных доменах: 15КБ, 10КБ, 12КБ, 22КБ и тп. Разве не подозрительные размеры у PDF файлов? Если Вы скачаете любой из этих файлов, то файл, которые Яндекс взвесил на 6КБ, в действительности будет весить 2,1МБ итп. Сейчас зависимость определенного и реального размера файла не линейная, а полгода назад у меня выходило, что килобайты с мегабайтами были перепутаны. Т.е. очевидная ошибка в определении размера файла. Но за полгода её не исправили.
Поэтому, основываясь на своем опыте, я понимаю, по каким вопросам особенности работа Яндекса имеет смысл писать в поддержку, а по каким вопросам может помочь только широкое обсуждение проблем.
Хочу обратить внимание, что в целом я положительно оцениваю работу Яндекса. Когда я обращаю внимание на каких-либо проблемы в Яндексе, у меня нет цели очернить репутацию компании. Все, что я хочу, обращаясь в Яндекс или поднимая фантик на обочине, — это сделать мир немножечко лучше.
Если бы не было мошенников и все были бы законопослушные и имели только добрые намерения, то можно было бы много чего отменить, чтобы не усложнять жизнь всем остальным. Например, можно было бы вообще отменить пинкод при любых оплатах картой, можно отменить CVV, можно не запрашивать паспорт при обращении в банк, можно отменить двухфакторную авторизацию при входе в банк-клиент, можно выдавать кредиты всем желающим без лишних проверок и формальностей. И в других сферах можно было бы много чего убрать. Например, турникеты и заборы на выход из электричек, турникеты в автобусах, проверку документов и рюкзаков в метро, отменить кассовые аппараты в точках продаж, отменить техосмотр машин итп. Практически в любой сфере из-за кучки каких-то жуликов и хулиганов страдают все остальные. Огромное количество неудобных вещей можно было бы отменить, если бы не они…
С другой стороны можно сказать, что Яндекс должен «усложнять жизнь всем остальным» не из-за десятков мошенников, а, например из-за сотни жертв этих мошенников.
Даже, если Вы уверены, что используете свою карту только в проверенных местах, нет гарантии, что в один из дней, например, не взломают базу Аэрофлота, и выяснится, что Аэрофлот в нарушение всех требований хранил данные карт. Или сломают сайт госуслуг, через который Вы один раз оплатили штраф. Или случайный бармен, взглянув на карту, запомнит наизусть ее номер. Вы не можете гарантировать, что номер Вашей карты в один из дней не попадет к мошенникам.
И когда, катаясь на лыжах в Альпах, Вам вдруг начнут приходить СМС о том, что Ваши средства списываются за оплату рекламы в Директе и баланс карты за несколько минут обнулился, Вы, конечно, подумаете, что это не повод для волнения, что это не Ваши проблемы, а проблемы Яндекса и Вашего банка. Вы будете уверены, что одно обращение и деньги Вам вернут. А если попробуют не вернуть, то МПС кому-то что-то сделает по самые помидоры. Требуется всего один звонок, нужно только подзарядить новейший смартфон, разрядившийся на морозе. Но Вы точно помните, что в баре на высоте 3200, на второй очереди подъемников у бармена был точно такой же аппарат. Наверняка, у него должна быть зарядка. Зарядив телефон, и найдя в интернете номер Вашего банка, Вы уверенно позвоните в свой банк в Москву. Автоинформатор ответит, что Ваш звонок очень важен, Вы второй в очереди и время ожидания 20 минут. Это нормальное время ожидания, подумаете Вы, ведь на календаре 2 января и не должны сотрудники банков мучиться из-за нескольких клиентов, которые всегда найдут повод для недовольства, даже в праздники. Вы не будете волноваться в ожидании ответа оператора, ведь перед выездом в горы, Вы с запасом пополнили счет мобильного оператора, для оплаты международной связи. Дождавшись ответа оператора банка, Вы назовете свои паспортные данные, чтобы Вам поверили, что Вы это Вы, и оставите заявку, подробно описав, что произошло, и продиктовав дату, время и суммы всех подозрительных транзакций. Карту с нулевым балансом сотрудник банка Вам вежливо заблокирует и назовет номер зарегистрированного обращения. Через 15 дней Вам придет смс, что банк увеличил срок рассмотрения Вашего обращения еще на 15 дней…
И вот, когда Вы будете поднимать бокал шампанского при встрече следующего нового года, Вы подумаете, что все-таки предыдущий год был полон приключений, что Вам есть что вспомнить, что в тот раз, при личном посещении банка 23 февраля, Вы круто разъяснили всем тупым сотрудникам банка, правила платежных систем и, что даже начальник отделения банка через час не смог парировать Ваши доводы. И одновременно Вы подумаете, что ничего не может сломать Ваш внутренний стержень, что Вы остались верны своим убеждениям, и что все-таки, хоть Вам и пришлось немножко потратить своего времени и сил, Вы счастливы за пользователей Яндекс.Директа, которым не нужно вводить лишние шесть цифр из смс при пополнении баланса рекламной компании.
Чем закончилась та история, написано в первой публикации.
Пролистайте ее до конца. В самой нижней части статьи все описано.
Мне не сложно сюда все скопировать, но тогда эта публикация станет намного длинее и тем, кто первую часть прочитал, будет неинтересно читать текст по второму разу.
Вы знаете много способов пополнить баланс Яндекс.Директа без 3D Secure? На данный момент я знаю только этот.
Да, есть какие-то магазины, отели итп, которые не используют 3D Secure. Но они не могут быть использованы для оплаты рекламы мошеннических сайтов.
Если Вы оплатите что-то в магазине, то Вам нужно указать адрес доставки. Если Вы оплатите отель, то кто-то в него приедет. Гораздо сложнее использовать чужие деньги, а главное, покупка в магазине или бронирование отеля не способствуют открытию новых мошеннических сайтов.
Опротестовать платеж можно. Об этом подробно написано в первой статье и немного в этой. Деньги могут вернуться, а могут и не вернуться. Зависит от многих факторов. Но в любом случае, жертва мошенников гарантированно попадает на несколько дней заявлений и переписок и еще на месяц ожидания.
Яндекс игнорирует проверку 3D Secure при оплате рекламы в Яндекс.Директ с помощью банковских карт.
Приглашаю оценить и обсудить…
Яндекс игнорирует проверку 3D Secure при оплате рекламы в Яндекс.Директ с помощью банковских карт.
Приглашаю оценить и обсудить…
Еще один из крупнейших банков, занимающий 12 место по размерам активов, продолжает слать точно такие же уведомления при переводах с карты на карту. Давайте сравним уведомления.
Промсвязьбанк. Было: «P2P PSBANK»; Стало: «CARD2CARD PSBANK.RU».
МДМ Банк: «MDM P2P». Молодцы!
МДМ Банк — это теперь уже Бинбанк, но в уведобмлениях название пока старое.
Сообщения на форумах, про то, что ж/д билеты таким же образом планируется продавать я встречал, но хотя бы один подобный сайт ни разу не видел. С точки зрения создания сайта затраты примерно одинаковые, но привлечь покупателей намного сложней. Цены на внутренние жд билеты, если я не ошибаюсь, у всех примерно одинаковые. Цена отличается только комиссией за продажу билета. Также РЖД фактически монополист и найти альтернативный маршрут обычно невозможно. Поэтому большинство покупателей жд билетов покупают их напрямую у ржд, остальные у нескольких известных компаний-посредников.
2-3 года тоже ведь подходят под определение «несколько лет назад».
А слова «возможно совпадение» и «можно предположить» показывают, что это только попытка угадать возможный возраст скрипта, а не однозначное удтверждение.
Проверил на странице с формой на сайте
3ds.payment.ru. Многие CSS файлы имеют дату примерно:Last-Modified:"Thu, 13 Mar 2014 07:15:27 GMT"Когда появляется какой-то новый, сырой, еще не обкатанный продукт, то существует большая вероятность наличия в нем слабых мест. Поэтому, теоретически можно начинать им «пользоваться» сразу после запуска.
https://www.psbank.ru/Personal/eCommerce/Card2Cardотображает форму с3ds.payment.ruс помощью iframe. Про домен3ds.payment.ruмало кто из клиентов банка вообще догадывается. Если они такой заголовок поставят, то сами себе и проблемы могут устроить. Как минимум, придется в заголовке указывать доверенные домены, которые могут страницу во фрейме показывать. А эту опцию некоторые браузеры могут не поддерживать.Касательно конкретного скрипта, описываемого в статье, — он не использует iframe, а обращается к странице с формой оплаты напрямую.
Конфигурационный файл config.php содержит массив с ~170 разными параметрами, такими как кодировка, ключевые слова, время, язык итп.
Файл этот, вероятно, входит в стандартную поставку движка DLE, но ничего не мешает в него добавить произвольное количество своих дополнительных параметров.
Параметр из этого файла может быть получен из любого другого программного файла на хостинге. Какие-то сохраненные параметры из этого файла используются, а какие-то могут никогда не использоваться.
Обычно значение параметра получается по имени. Например, используемые языки
'langs' => 'Russian'. В случае, когда имя параметра само представляет из себя длинную зашифрованную строку, по имени к нему обратится проблематично. Но есть другой способ, — выбрать из массива все параметры, значения которых равны «456». А потом среди выбранных значений получить имя параметра и как-то его использовать. В коде это будет выглядеть так, что ничего подозрительного сразу не заметишь. Например, — найти в конфиге что-то равное 456 и вывести имя первого найденного параметра на экран.Также в конфиге прямо перед зашифрованной строкой был еще такой параметр
'123' => '123'. Скорее всего такой параметр нужен для предварительной проверки того, что сайт содержит закладку. Иной смысл такого параметра трудно предположить.У меня есть только ограниченное количество файлов «авиасайта». Где и как использовалась закладка, я не знаю. В тех файлах, которые есть, точное место не нашел. Но, в ряд ли, эта зашифрованная закладка с ~трояном просто так в конфиг попала. «Совпадение? -Не думаю.»
Все представленные в описании файлы, в этот движок не входят, — эти файлы создаются специально для мошеннических сайтов и встраиваются в стандартный движок DLE.
Книгу прочитаю.
Автор предыдущего перед Вашим сообщения, судя по всему, уже ознакомился с этой книгой.
Поясню, как я понимаю назначение этого блока. Поправьте, если я не прав.
Если при обращении к сайту в запросе есть параметр dle_exec, то выполнить весь код, который указан в значении этого параметра.
Собака "@" в коде нужна для подавления возможных ошибок, — при ошибке в коде программа не останавливается, а сообщения об ошибке не выводятся на экран и в лог.
Достаточно обратится по какому-то адресу с запросом типа
fakeavia.ru/somepage?dle_exec=любой_исполняемый_код_указанный_прямо_в_этой_строке
и весь код, который может быть любым, будет выполнен на сервере. Т.е., например, можно прочитать содержимое базы данных, создать, удалить файл итп.
Т.е., получается, что все эти мошеннические сайты содержат троян от разработчика?
Если это так, то думаю, даже на «теневых форумах» покупатели исходников должны высказать свое отношение к разработчику.
Приглашаю оценить и обсудить… Уверен, будет интересно.