дневник заведен 16-03-2007
постоянные читатели [25]
3 CaHuTaPa, 3_62, Andry Smart, blackpuma_lara, Canterbury, croix, Dummy, Eroshka, heavenly girl, Kretik, Lika_uafm, Piccolo_fiore, S Castor, the_Dark_One, Volkodav, z_g, Заноза, Карпатский ёж, Лиэс, Осень, Рагнар Лодброк, Тин, Тюпки атакуют, Хикки_коморный, Шпулька
3 CaHuTaPa, 3_62, Andry Smart, blackpuma_lara, Canterbury, croix, Dummy, Eroshka, heavenly girl, Kretik, Lika_uafm, Piccolo_fiore, S Castor, the_Dark_One, Volkodav, z_g, Заноза, Карпатский ёж, Лиэс, Осень, Рагнар Лодброк, Тин, Тюпки атакуют, Хикки_коморный, Шпулька
цитатник:
- • лента
25-03-2015 23:02 471. Приват 24 скомпроментирован.
Сегодняшний вечерний созвон с тещей завершился неожиданно.
Она рассказала, что ее подруге позвонили по мобильнику (простенькая допотопная нокия, это важно).
В процессе беседы - ей приходили СМС, на которые она, естественно не реагировала.
В конце беседы глянула на СМСки, ужаснулась и быстренько зашла в систему онлайн платежей приватбанка (Приват 24)
Итог - все деньги, отложенные "на старость" - испарились.
В СБ банка только развели руками, типа, "у нас все в порядке, это ваш косяк".
То есть, получается, что Приват 24 - полностью взломали (вирус на старенькой нокии, который может читать смс
"чтобы подтвердить действие введите присланный код" - из разряда
фантастики, там ему негде "жить" - простая допотопная звонилка).
Причем, очень вероятно, что даже не взломали, а попросту - это сами владельцы системы так "зарабатывают".
УПД. Троянцев, кейлоггеров и прочей гадости на единственном компе, с которого она осуществляла платежи по коммуналке в Приват 24 - не обнаружено.
Цинизм ситуации - звонившие представились представителями ПБ из головного офиса.
Она рассказала, что ее подруге позвонили по мобильнику (простенькая допотопная нокия, это важно).
В процессе беседы - ей приходили СМС, на которые она, естественно не реагировала.
В конце беседы глянула на СМСки, ужаснулась и быстренько зашла в систему онлайн платежей приватбанка (Приват 24)
Итог - все деньги, отложенные "на старость" - испарились.
В СБ банка только развели руками, типа, "у нас все в порядке, это ваш косяк".
То есть, получается, что Приват 24 - полностью взломали (вирус на старенькой нокии, который может читать смс
"чтобы подтвердить действие введите присланный код" - из разряда
фантастики, там ему негде "жить" - простая допотопная звонилка).
Причем, очень вероятно, что даже не взломали, а попросту - это сами владельцы системы так "зарабатывают".
УПД. Троянцев, кейлоггеров и прочей гадости на единственном компе, с которого она осуществляла платежи по коммуналке в Приват 24 - не обнаружено.
Цинизм ситуации - звонившие представились представителями ПБ из головного офиса.
Комментарии:
[скрытый комментарий]
Кар-Карон,
Не знаю, как это у ПБ, но у нас до этапа "введите код" сперва надо ввести номер карты и специальный номер с обратной стороны карты, иначе никакие "введитекоды" к абоненту на связанный телефон и не полетят.
Не знаю, как это у ПБ, но у нас до этапа "введите код" сперва надо ввести номер карты и специальный номер с обратной стороны карты, иначе никакие "введитекоды" к абоненту на связанный телефон и не полетят.
Volkodav Исходя из того, что клиентская сторона имеет чистый комп, телефон без инета и пароль - кириллизированное латинское изречение с немецкого с умулятами, думаю, что проблемы не на стороне клиента. Кстати, с карты снят и овердрафт (т.е. у Привата есть т.н. "кредитная линия", которая на "той" карте была больше 6к грн), т.е. пострадавшая осталась еще и должна. Так вот, исходя из вышеперечисленного я и написал, что система скомпроментирована. А кто виноват, я не знаю.
Кар-Карон
Ты можешь этого не знать, но спрошу: а сумму снимали прицельно "досуха" или сколько получится?
Ты можешь этого не знать, но спрошу: а сумму снимали прицельно "досуха" или сколько получится?
Volkodav Снято все что лежало + вся возможная сумма перетраты (когда баланс 0 можно в минуса залезть, называется овердрафт, или переплата, или "кредитная линия" - очень выгодная банку штука).
Кар-Карон
Про штуку под названием овердрафт я в курсе, сам недавно со Сбербанком успешно(!) на эту тему ругался контактировал.
Я имел в виду немного другое: сумму снимали копейка-в-копейку - т.е. знали точную сумму на счету + овердрафт - или откусывали наугад?
Про штуку под названием овердрафт я в курсе, сам недавно со Сбербанком успешно(!) на эту тему ругался контактировал.
Я имел в виду немного другое: сумму снимали копейка-в-копейку - т.е. знали точную сумму на счету + овердрафт - или откусывали наугад?
Volkodav Узнать баланс на карте - Приват 24 позволяет. Узнать размер кредитной линии тоже.
Так что - кто именно снял - непонятно.
Но Приват дает шикарные возможности.
Так, к примеру, после заданного вопроса - базу номеров карт создать можно, причем достаточно просто
Этот сервис говорит, что номер неправильный, если он неправильный.
https://sendmoney.privatbank.ua/ru/
Вкладка "Получить деньги"
А этот кусочек программы говорит что проработал аж 3 часа с копейками на 100 мегабитном канале
(в подпрограммах стоит Sleep(задержка), подобранная из реально измеренных задержек (30 попыток вручную), не хватало еще чтобы ко мне приехали):
int j,i;
int CardNum[4]={0};
TDateTime dtStart, dtEnd, dtTotal;
dtStart = Now();
for(j=0; j<4; j++)
for(i=0; i<1000; i++)
{
CardNum[j] = i;
SetInet();//меняем прокси
if(CheckCard(CardNum)) //посылаем запрос и анализируем ответ
StoreCard(CardNum);//проверка прошла - сохраняем
}
dtEnd = Now();
dtTotal = dtEnd-dtStart;
ShowMessage(dtTotal.FormatString("hh:nn:ss.zzz"));//Проработало 03:11:01:623
А затем, аналогичным методом, подбирается дата карты и ее CVC2/CVV2.
https://sendmoney.privatbank.ua/ru/
Вкладка "Отправить деньги"
Ну и т.д.
Учитывая "продуманность" защиты системы от подбора - уверен, что и пароль пользователя, и сгенерированный код по СМС - система Привата отдаст простыми средствами.
Так что - кто именно снял - непонятно.
Но Приват дает шикарные возможности.
Так, к примеру, после заданного вопроса - базу номеров карт создать можно, причем достаточно просто
Этот сервис говорит, что номер неправильный, если он неправильный.
https://sendmoney.privatbank.ua/ru/
Вкладка "Получить деньги"
А этот кусочек программы говорит что проработал аж 3 часа с копейками на 100 мегабитном канале
(в подпрограммах стоит Sleep(задержка), подобранная из реально измеренных задержек (30 попыток вручную), не хватало еще чтобы ко мне приехали):
int j,i;
int CardNum[4]={0};
TDateTime dtStart, dtEnd, dtTotal;
dtStart = Now();
for(j=0; j<4; j++)
for(i=0; i<1000; i++)
{
CardNum[j] = i;
SetInet();//меняем прокси
if(CheckCard(CardNum)) //посылаем запрос и анализируем ответ
StoreCard(CardNum);//проверка прошла - сохраняем
}
dtEnd = Now();
dtTotal = dtEnd-dtStart;
ShowMessage(dtTotal.FormatString("hh:nn:ss.zzz"));//Проработало 03:11:01:623
А затем, аналогичным методом, подбирается дата карты и ее CVC2/CVV2.
https://sendmoney.privatbank.ua/ru/
Вкладка "Отправить деньги"
Ну и т.д.
Учитывая "продуманность" защиты системы от подбора - уверен, что и пароль пользователя, и сгенерированный код по СМС - система Привата отдаст простыми средствами.
Ravenmaster
И да, "плюсовую" сумму сняли до копейки.
Кар-Карон
Т.е. в чистом виде автоматика: подбор, использование, вывод средств?
Получается, и данные пользователя никак не шифруются, раз они и мобильный телефон знали?
А обращение в банк на несанкционированные операции делали? Если я не ошибаюсь, сомнительные/оспариваемые операции при подобных ситуациях блокируются до выяснения?
Это я как бы блюду презумпцию невиновности.
Т.е. в чистом виде автоматика: подбор, использование, вывод средств?
Получается, и данные пользователя никак не шифруются, раз они и мобильный телефон знали?
А обращение в банк на несанкционированные операции делали? Если я не ошибаюсь, сомнительные/оспариваемые операции при подобных ситуациях блокируются до выяснения?
Это я как бы блюду презумпцию невиновности.
Нет, чисто автоматика - это один из способов, тем более, что без какой-то ручной работы не обойтись.
О дальнейшем можно только гадать.
Возможность подбора я обнаружил просто заинтересовавшись (кстати, может я и неправильно поступил, но я в банк про потенциальную уязвимость отписал, надеюсь что на меня теперь всех собак не повесят за наблюдательность).
Раз я, далекий от этого человек, - сразу обнаружил уязвимость (моментальный ответ при бесконечном числе попыток "угадать"), то можно предположить, что таких уязвимостей значительно больше.
Отсюда я делаю вывод, что система ПБ дырявая - умышленно (пожар - лучший способ скрыть недостачу на складе), или по преступной небрежности (во что я не верю, так как раньше таких очевидных дыр не замечал).
Получит тетка свои деньги (что занимает длительный срок, за который или падишах, или осел помрут), или увязнет в безуспешных попытках - мне неведомо.
Но выводов, лично я, из всего этого сделал целых три:
1. Система онлайн-платежей Приват 24 скомпроментирована, равно как и сам банк (в том числе и многочисленными утечками - последняя была совсем недавно, вот здесь: pastebin.com/J97qjF8q
файл, правда, уже выпилили, но разные люди, которые успели скачать - говорили про 180 тысяч реальных записей)
2. На банковской карте деньги лежать не должны (особенно на кредитной). Только в момент платежа и ровно та сумма, которая уйдет.
3. На банковской карте "кредитная линия" должна равняться 0, чтобы невозможно было бы остаться должным банку на грабительских условиях
(у владельца почти любой карты - такая опция включена автоматом)
О дальнейшем можно только гадать.
Возможность подбора я обнаружил просто заинтересовавшись (кстати, может я и неправильно поступил, но я в банк про потенциальную уязвимость отписал, надеюсь что на меня теперь всех собак не повесят за наблюдательность).
Раз я, далекий от этого человек, - сразу обнаружил уязвимость (моментальный ответ при бесконечном числе попыток "угадать"), то можно предположить, что таких уязвимостей значительно больше.
Отсюда я делаю вывод, что система ПБ дырявая - умышленно (пожар - лучший способ скрыть недостачу на складе), или по преступной небрежности (во что я не верю, так как раньше таких очевидных дыр не замечал).
Получит тетка свои деньги (что занимает длительный срок, за который или падишах, или осел помрут), или увязнет в безуспешных попытках - мне неведомо.
Но выводов, лично я, из всего этого сделал целых три:
1. Система онлайн-платежей Приват 24 скомпроментирована, равно как и сам банк (в том числе и многочисленными утечками - последняя была совсем недавно, вот здесь: pastebin.com/J97qjF8q
файл, правда, уже выпилили, но разные люди, которые успели скачать - говорили про 180 тысяч реальных записей)
2. На банковской карте деньги лежать не должны (особенно на кредитной). Только в момент платежа и ровно та сумма, которая уйдет.
3. На банковской карте "кредитная линия" должна равняться 0, чтобы невозможно было бы остаться должным банку на грабительских условиях
(у владельца почти любой карты - такая опция включена автоматом)
Кар-Карон
2. Про дебетовую понятно. А вот отсутствие денег на кредитной карте, увы, облагается процентом.
3. В Сбере есть понятия "разрешенного" и "неразрешенного" овердрафта. Так вот, хотя "разрешенного" овердрафта у меня на дебетовой карте нет - по умолчанию так, и разрешить его можно только через письменное заявление - и я не могу снять/потратить с карты больше, чем там есть, сам Сбер вполне спокойно обошел это ограничение, когда несанкционированно списал у меня некоторую сумму денег. Просидев месяц с этим минусом, я деньги получил обратно, но потом еще пару месяцев разбирался со списаниями за этот самый овердрафт. И хотя разобрались, и осадочек остался, и факт имеет место.
2. Про дебетовую понятно. А вот отсутствие денег на кредитной карте, увы, облагается процентом.
3. В Сбере есть понятия "разрешенного" и "неразрешенного" овердрафта. Так вот, хотя "разрешенного" овердрафта у меня на дебетовой карте нет - по умолчанию так, и разрешить его можно только через письменное заявление - и я не могу снять/потратить с карты больше, чем там есть, сам Сбер вполне спокойно обошел это ограничение, когда несанкционированно списал у меня некоторую сумму денег. Просидев месяц с этим минусом, я деньги получил обратно, но потом еще пару месяцев разбирался со списаниями за этот самый овердрафт. И хотя разобрались, и осадочек остался, и факт имеет место.
субличность вне времени
Внимание МОШЕННИКИ + «ПриватБанк» + «МТС»
Упрощённые системы «ПриватБанка» ( снятие наличных без карты и экстренные деньги), и МТС (быстрое восстановление утерянной сим карты) дают мошенникам возможность всего за 45 минут получить дубликат сим карты с вашим номером и полный доступ к вашим счетам в «Привате»! Всё что им нужно знать это 16 цифр номера вашей карты и номер вашего телефона и это, кстати, не секретная информация и у мошенников в запасе есть множество схем как её заполучить и для этого не обязательно что-то продавать через интернет и добровольно им всё рассказывать. Всю остальную конфиденциальную информацию за вас им предоставит «ПриватБанк»! Дубликат вашей сим карты мошенники получают в отделении МТС и разблокируют в течении 45 минут очень лёгким способом: придумывают множество причин вынудить вас перезванивать на три номера, потом пополняют ваш счёт и этого достаточно чтоб получить дубликат вашей симки, хотя по правилам идентификации абонента в МТС они должны ответить на один из трёх основных вопросов и на два из пяти дополнительных. Мошенники, как правило, могут ответить только на два вопроса из восьми представленных в МТС и этим, почему то операторы МТС ограничиваются! Далее с помощью смс с некоторыми командами на номер « ПриватБанка» они получают ответную смс с пин-кодом вашей карты и пароль для входа в банкомат и снимают наличные с вашего счёта с помощью услуги «экстренные деньги» или «снятие наличных без карты» (кстати они могут снять все деньги какая бы сумма там не была)! С помощью упрощённых услуг « Привата» и МТС любой даже не опытный мошенник может обчистить вас. Если вы попали в такую ситуацию вам нужно помимо заявления в милицию так же обязательно с заявлением обращаться в службу безопасности «ПриватБанка» и МТС, требуя принятия заявления и выдачи вам заверенной копии. В дальнейшем в судебном порядке требовать с этих организаций возмещения материального и морального ущерба! Вариант защитить свои средства от мошенников: завести отдельный номер телефона привязанный к банку, держать его в секрете, не использовать как обычный номер, а только как смс-банкинг, что в свою очередь составляет дополнительные растраты и неудобства. И всё равно, дырявая система безопасности «ПриватБанка» не даёт стопроцентной защиты ваших денежных средств от мошенников, какие бы вы осторожные и уведомлённые в этом вопросе не были! Прошу заметить, что в других банках и у других операторов мобильной связи такое мошенничество не практикуется! Что касается горячей линии «ПриватБанка», если вы вовремя заметили мошеннические действия, кинулись звонить на горячую линию для срочной блокировки банковской карты, вы будете пол часа общаться с автоответчиком: на каком языке будете общаться, по какому вопросу звоните, нажмите один, нажмите два и т.д. Потом наконец-то вас соединят с оператором, и вам ещё раз придётся ответить на кучу вопросов и вот карта заблокирована, но на ней уже нет денег! И судя по времени снятия вы в этот момент общались с автоответчиком «ПриватБанка». Вот вам и «Супербанк» с удобными и быстрыми системами и услугами только для мошенников!
Упрощённые системы «ПриватБанка» ( снятие наличных без карты и экстренные деньги), и МТС (быстрое восстановление утерянной сим карты) дают мошенникам возможность всего за 45 минут получить дубликат сим карты с вашим номером и полный доступ к вашим счетам в «Привате»! Всё что им нужно знать это 16 цифр номера вашей карты и номер вашего телефона и это, кстати, не секретная информация и у мошенников в запасе есть множество схем как её заполучить и для этого не обязательно что-то продавать через интернет и добровольно им всё рассказывать. Всю остальную конфиденциальную информацию за вас им предоставит «ПриватБанк»! Дубликат вашей сим карты мошенники получают в отделении МТС и разблокируют в течении 45 минут очень лёгким способом: придумывают множество причин вынудить вас перезванивать на три номера, потом пополняют ваш счёт и этого достаточно чтоб получить дубликат вашей симки, хотя по правилам идентификации абонента в МТС они должны ответить на один из трёх основных вопросов и на два из пяти дополнительных. Мошенники, как правило, могут ответить только на два вопроса из восьми представленных в МТС и этим, почему то операторы МТС ограничиваются! Далее с помощью смс с некоторыми командами на номер « ПриватБанка» они получают ответную смс с пин-кодом вашей карты и пароль для входа в банкомат и снимают наличные с вашего счёта с помощью услуги «экстренные деньги» или «снятие наличных без карты» (кстати они могут снять все деньги какая бы сумма там не была)! С помощью упрощённых услуг « Привата» и МТС любой даже не опытный мошенник может обчистить вас. Если вы попали в такую ситуацию вам нужно помимо заявления в милицию так же обязательно с заявлением обращаться в службу безопасности «ПриватБанка» и МТС, требуя принятия заявления и выдачи вам заверенной копии. В дальнейшем в судебном порядке требовать с этих организаций возмещения материального и морального ущерба! Вариант защитить свои средства от мошенников: завести отдельный номер телефона привязанный к банку, держать его в секрете, не использовать как обычный номер, а только как смс-банкинг, что в свою очередь составляет дополнительные растраты и неудобства. И всё равно, дырявая система безопасности «ПриватБанка» не даёт стопроцентной защиты ваших денежных средств от мошенников, какие бы вы осторожные и уведомлённые в этом вопросе не были! Прошу заметить, что в других банках и у других операторов мобильной связи такое мошенничество не практикуется! Что касается горячей линии «ПриватБанка», если вы вовремя заметили мошеннические действия, кинулись звонить на горячую линию для срочной блокировки банковской карты, вы будете пол часа общаться с автоответчиком: на каком языке будете общаться, по какому вопросу звоните, нажмите один, нажмите два и т.д. Потом наконец-то вас соединят с оператором, и вам ещё раз придётся ответить на кучу вопросов и вот карта заблокирована, но на ней уже нет денег! И судя по времени снятия вы в этот момент общались с автоответчиком «ПриватБанка». Вот вам и «Супербанк» с удобными и быстрыми системами и услугами только для мошенников!
LEGA Это одна из схем, да.
[скрытый комментарий]
Кар-Карон -понятно)))
я просто подумала, может еще кто)
я просто подумала, может еще кто)
672. Даже не знаю, чего ска...
[Print]
the_Dark_One