Category: криминал

Category was added automatically. Read all entries about "криминал".

Lynx

Эх вы, яйцеголовые!

10 марта "Тинькофф банк" опубликовал результаты своего исследования по мошенничеству в околобанковской сфере. Рассмотрел разные виды фрода в разрезе разных социальных групп. С полной версией статьи можете ознакомиться по ссылке выше. А лично меня позабавило вот что, цитирую оттуда.

... Клиенты с учеными степенями становятся жертвами преступников в 1,5 раза чаще, чем клиенты с высшим, начальным или средним образованием. Люди с двумя и более высшими образованиями — на 30% чаще.

... Клиенты банков с ученой степенью чаще всего самостоятельно переводят деньги преступникам — например, в 2,3 раза чаще чем, клиенты с начальным и средним образованием.

... Холостые и незамужние, а также разведенные и овдовевшие клиенты становятся жертвами преступников чаще на 40–50%.

Эх вы, яйцеголовые, чего ж вы это так, а?

Интересно, где здесь причина, а где следствие. Доверчивые люди чаще добиваются успехов в науке, образованным людям не хватает времени на изучение основных правил безопасности / поведения в обществе, или же наука вытесняет из головы всё что с ней напрямую не связано?

И да, выходит, что я просто обеими ногами состою в группе риска: разведён, да ещё и с двумя высшими образованиями. По идее, я должен быть просто суперлакомой находкой для мошенников всех сортов и размеров. Это, конечно, шутка. Но в каждой шутке, как извесно, есть доля шутки. Те, кто знают меня и мою биографию очень хорошо, догадаются о чём я: уже были прецеденты. Так что если даже это исследование и не соответствует истине, то во всяком случае очень-очень близко к ней...

Cat-angry

Сука-провайдер

Вот этот, есличо.

Задумал я обновить прошивку роутеров в двух квартирах. Оба подключены к одному и тому же провайдеру. Ethernet, PPPoE. Там, где живу сам, сделал "по живому". Просто залил новый софт, не мудрствуя лукаво. Чуток подпилил конфиги, всё взлетело. На всё про всё минут 15.

В квартире у родителей на такой радикальный шаг не решился. Вместо этого подготовил "подменный" роутер с новой версией прошивки, скопировал конфиги, убедился что за исключением интернетов все остальные сервисы на нём завелись. После этого повёз его ногами чтобы переткнуть провода.

Перекоммутировал. Опять же, всё взлетело, кроме интернета. Говорит, "Auth Failed" в контексте установления PPP-соединения с гейтом провайдера. Я в непонятках. Как так-то? По нескольку раз перепроверил учётные данные. Всё правильно. Дальше начинаю последовательно размышлять.


  1. Верный ли пароль? Верный, в личный кабинет с мобилы впускает.

  2. Может быть пароль слишком длинный (невероятно, но такое бывает)? Поменял на более короткий. Не помогло.

  3. Заподозрил проблемы с "физикой" ("последняя миля" довольно длинная, около 120 метров). Потыкал аплинком в другие порты на роутере. Поставил промежуточный свитч. Не помогло.

  4. Сравнил список пакетов на старом роутере и на новом. Совпадают.

  5. Может я что-то неправильно собрал? Перезалил прошивку на идентичную той, что успешно работает в другой квартире. Не помогло.

  6. Сбросил все настройки роутера в дефолтные, прописал учётные данные в конфиги "с нуля" руками. Не помогло.

  7. Послушал TCPDump-ом. Всякой срани летает, как обычно, полно; всякие технические кадры, которые мне как пользователю видеть бы в принципе не положено, но ничего принципиально криминального. Мои PADI-запросы провайдер слышит, отвечает, даёт отлуп.

  8. Перепроверил всё ещё по одному разу. Нет идей.

Дальше начинаю мучительно соображать, в чём принципиальная разница между двумя квартирами. О, вспомнил! У родителей подключена услуга "фиксированный IP-адрес", а у меня — нет. Так-так-так... а может эти [censored] привязали IP к MAC-адресу? Бинго! Так и есть!

Посмотрел MAC на старом роутере, подменил MAC на внешнем интерфейсе нового роутера, всё заработало. Победа! Но блин... Вместо 15ти минут на разборки ушло три часа.

Сука-провайдер. XXI век. Говорят, где-то есть IPv6, DHCP и Port Binding. У этого PPPoE и сеть на D-Linkах. И если ты подключил себе фиксированный IP, то должен страдать. Потому что его зачем-то привяжут к MACу, а не к логину. И вместо того, чтобы выдать какой-нибудь серый или рандомный адрес при смене MACа, тебя тупо не выпустят в интернет с формулировкой "Auth Failed". А дальше ты сам догадайся что это значит.

Ненавижу! Жаль, остальные провайдеры ещё хуже. И заниматься "перебежкой" лень. Но этот уже чё-то конкретно выбешивать начинает.

Update. Как выяснилось, MAC был ни при чём. Оказывается, это "сессия подвисла". То есть предыдущая сессия не была корректно терминирована, и их биллинг считал, что я "как бе уже подключен". Вот и не давал подключиться во второй раз. Спрашиваю у техподдержки, что мне делать в таких случаях. Говорят "звоните нам, мы руками прибьём сессию". Красота!

Cat-light

Потестировал "Мир", "Сбербанк" и немного МТС

... Таки завёл себе карточку имени зелёного пакмана. Потому что у всех он есть, и все норовят расплатиться с тобой именно им, и ничем другим. Пришлось тоже причаститься. Из соображений скорости и бесплатности выбрал себе "Мир Моментум" (не именную, моментального выпуска).

... И знаете шо? Вот бывают безопасные спички. В смысле, пожаробезопасные. Они не загораются, поэтому ими тупо ничего нельзя поджечь. Так и тут. Почти абсолютно безопасная дебетовая карта. Вот почему.


  1. Мошенники за пределами России не страшны, ибо там мало где можно расплатиться "Миром".

  2. Мошенники в России тоже не особо страшны, потому что даже в российских онлайн-магазинах ей нельзя расплатиться.

  3. Код клиента в банкомате мне получить так и не удалось.

  4. Даже собственные банкоматы Сбера не опознают её при попытке воспользоваться бесконтактным способом.

По поводу пункта два поясню. Ради эксперимента я положил на эту карточку немного денег и попытался стянуть их через личный кабинет Тинькова. Не удалось. Отлуп со словами "Операция отклонена банком. Обратитесь в банк, выпустивший карту списания". Я в непонятках, тем более что с "Мира" моей мамы аналогичные транзакции нормально проходят. Но у неё карта именная. У меня — нет. А далее крайне забавный разговор со Сберовскими "маринками".

Жалуюсь, что не могу Тиньковым стянуть деньги. Жду на линии. Отвечают, мол, это потому что карта неименная. Вот и не получается. Тогда спрашиваю, а что, в интернет-магазинах тоже не смогу ей расплатиться? Снова жду на линии. Говорят, в каких-то смогу, в каких-то не смогу. Вау! А можно как-то заранее узнать, где смогу, а где не смогу? Тут у маринки окончательно лопается терпение, и она посылает меня на офсайт платёжной системы "Мир". Где карту оформляли, туда и идите на xyz Мир и узнавайте у них, какие там ограничения на использование неименных карт. Ну спасибо, добрая фея. Послала деда бабка в лес за дровами. Послала так послала.

Насчет кода клиента тоже смешно получилось. Мне было предложено попробовать получить его в нескольких разных банкоматах (я уже попробовал в двух), переписать их номера. А потом сообщить их в техподдержку. Как-нибудь, пожалуй, поразвлекаюсь, когда совсем нечем заняться будет. Обойду все банкоматы на районе, составлю списочек штук из 50ти, выкачу им. Может быть, до них дойдёт, что дело было не в бобине вовсе не в банкомате.

... Закончилось всё тем, что я через веб-морду выпустил себе ещё одну виртуальную дебетовую карту с модным хипстерским названием "Visa Digital". Перекинул на неё деньги с "Мира", а уже с "Визы" благополучно стянул Тиньковым. Вот казалось бы, по факту всё в одном и том ЦБшном процессинге обрабатывается. А поди ж ты! Где логика, где справедливость? ©

... Этот их "Сбер ID" — тоже кусок прикола. Некий донельзя кастрированный личный кабинет а-ля "Сбербанк онлайн", в котором нельзя сделать вообще ни-хре-на. Только заказать дебетовую карту. Но после того, как ты её (карту) таки получишь, ты вынужден регистрировать новый, "полноценный" личный кабинет. Привязать свежевыпущенную карту к прежнему логину нельзя. В чём тогда вообще заключается сакральный смысл всего этого действа? Загадка.

... Короче говоря, Сбер как был эталонным говна куском, так и остался. Только добавили рюшечек, свистелок и перделок. Теперь можно открыть сберегательный счет или виртуальную карту прямо через веб-морду (не прошло и столетия). Мобильное приложение стало работать быстрее. В кал-центр можно звонить по VoIP прямо из приложения. (Интересно, там RTP хотя бы шифруется?) В остальном тоска смертная. Ну а так... вполне могу рекомендовать Сбер Мир Моментум как безопасную дебетовую карту (см. про безопасные спички).

... Кстати, насчёт "Мира". Я ж уже полгода везде расплачиваюсь "Миром" имени Тинькова. Докладываю. Каких-то серьёзных проблем не возникло нигде. Местами её не понимают при бесконтактном применении, приходится совать в терминал. Хуже всего на пригородных электричках: там вообще часто конкретно приходится побегать в поисках билетного автомата, который согласится на Мир. Из десятка оных на Ленинградском вокзале успеха добьёшься в одном-двух. А в остальном нормально. Ну вот только с неименными картами какие-то загадки ещё.

... Тем временем электронное мошенничество шагает по стране. Не отберут квартиру, так "повесят" на вас парочку ОООшек. Как всегда, защититься невозможно. Даешь больше геморроя простым гражданам!

... МТС на этом фоне выглядит более чем скромно. Подключить услугу "родительский контроль" можно USSD-командами, а отключить — только посещением салона связи или через кал-центр. Поленились интерфейс наклепать что ли? Впрочем, спасибо что эта услуга в принципе есть. Остальное уже мелочи...

Cat-light

Как стырить квартиру через интернет

— Как взломать банкомат, имея ноутбук и кувалду? Очень просто! Подходишь к банкомату, разбиваешь его кувалдой, забираешь деньги и смываешься.
— А ноутбук зачем?
— Дык какой же ты хакер без компьютера?!?

Мошенники похитили квартиру в Москве через интернет

Как мне видится, глобальное решение может быть только одно: система принудительной доставки электронных сообщений для физических лиц. Наподобие той, как уже сейчас работает в некоторых регионах применительно к Почте России и автомобильным штрафам. Когда ты можешь заказное письмо получить на электронную почту. Только сделать для всего-всего, а не только для автоштрафов. И пока гражданин к этой системе не подключится, ЭЦП ему не выдавать. Плюс организовать централизованную базу данных уже выданных подписей. Если в течение года одно и то же рыло получает подписи в двух разных УЦ, то бить тревогу и проверять с особым пристрастием.

Также будет полезным перейти от централизованной технологии удостоверения рыла на манер X509 к распределенной типа PGP. Чтобы твоя электронная подпись получила необходимый для совершения сделок "вес", нужно чтобы её подтвердили бы, к примеру, не менее чем три различных инстанции. Скажем, родственник, работодатель, сосед, участковый пилиционер, клерк в МФЦ, сотрудник СОБЕСа или фиг знает кто-нибудь там ещё, но кто изначально давно и хорошо знает пациента. Увы, это всё мои влажные мечты...

Жаль будет, если из-за подобных случаев примут решение вообще похерить на корню всю систему электронного документооборота. Эти могут...

Cat-light

Эти хитрожопые китайтсы с AliExpress

Уже во второй раз в своей практике нарываюсь на нечистоплотных продаванов с AliExpress, которые заказ принимают, товар не высылают, а потом всячески хитрят, чтобы не возвращать предоплату.

Выглядит это так. Ты набираешь товары. Оплачиваешь. Через какое-то время видишь, что продавец якобы отправил тебе заказ, получаешь трекинговый номер. Через какое-то время заходишь в личный кабинет и наблюдаешь там "Shipment Cancelled" (отправка отменена). Дальше начинается цирк.

По правилам AliExpress-а сама по себе надпись "Shipment Cancelled" ещё не является основанием для возврата денег. Мол, планета большая, а вдруг всё-таки когда-нибудь да дойдёт? Поэтому чтобы железобетонно получить уплоченное взад, диспут надо открывать под самый под конец гарантированного срока доставки (два месяца) с мотивацией "я честно ждал, но так ничего и не получил". Подобные споры всегда решаются в пользу покупателя, но приходится терпеть два месяца, когда и так уже всё понятно. Технически, можно попросить продавана в чатике вернуть денюжку по-хорошему, без диспута. Но они всеми силами сопротивляются и стараются тебя кинуть.

Вот пример диалога с моей последней попытки.

Collapse )

Вот же ж китайские п...сы. Cперва попробовали на***ть меня с PayPal-ом. Не получилось. Тогда они предложили открыть мне диспут с мотивацией "я получил, но хочу вернуть потому что передумал". Разумеется, я не смогу доказать, что действительно что-то им вернул (потому что не получал). Так что позже они снова преспокойно спишут с меня эти деньги, даже если и вернут их взад. Если вдруг кто не понял, с PayPal-ом срабатывает ровно такая же схема. Китаец тебе платит якобы за покупку чего-нибудь, а потом через PayPal-овский арбитраж истребует свой платёж обратно, потому что ты ему ничего не отправил. Козлы.

Что самое непонятное, магазины этих жуликов почему-то устойчиво годами висят в топе торговой площадки, называются "бла-бла-бла Official Store" и помечены AliExpress-ом как "Top Brand". А конкретно, вот ссылки на продаванов, которые безуспешно попытались меня кидануть: раз, два.

Блин. Вот я теперь прям даже и не знаю, где бы взять хороших BlitzWolf-овских проводочков для зарядки телефонов. Они мне всегда так нравились, хнык.

Cat-light

Как ОПСОСы обирают абонентов

На всякий случай. "ОПСОС" — это не ругательство, а сокращение от "ОПератор СОтовой Связи".

На момент написания этого псто сотовая связь в России всё ещё находится в общемировом топе по соотношению "цена-качество". Не знаю, надолго ли. Но чудес, конечно, не бывает. Одной из причин такого "успеха" является то, что по факту одни абоненты платят за других. А именно, менее грамотные и "прошаренные" спонсируют своих более въедливых "коллег".

Официально заявляемые ОПСОСами цены действительно весьма привлекательны. Но зато дальше начинается на***лово. То мелкий шрифт в описании, то впаривание ненужных услуг, то услуги, которые подключаются сами по себе, то "промахнись по кнопке и потрать денюжку", список можно продолжить. Причём попадаются на такое не только бабульки-дедульки, но и вполне технически подкованные товарищи ITшники.

Этот псто меня побудил написать недавний случай, когда мой знакомый открыл с мобильного Яндекс, ввёл поисковый запрос "Поросёнок Пётр". Потом перешёл по первой ссылке из поисковой выдачи. Больше ничего не делал. Тут же с его лицевого счёта списали 35 рублей за какую-то подписЬку на какой-то мутный контент. И такие случаи являются далеко не единичными.

Сами ОПСОСы не проявляют особого энтузиазма в борьбе с такими жуликами. Ведь они и сами "в доле". Можно позвонить, поругаться с техподдержкой, деньги вернут. Но ведь лох не мамонт, не вымрет. Кто-то не утруждает себя "такими копейками". И тем самым поддерживает недобросовестную ценовую конкуренцию среди операторов.

Так-то в подобных милых шалостях, вероятно, и не было бы ничего особо страшного. Но есть как минимум три услуги, которые могут существенно усугубить ситуацию.


  1. "Кредит доверия". Это когда оператор позволяет уходить балансу счёта "в минус". Причём, подключают эту услугу обычно автоматически и втихаря, без уведомления абонента. Типа, "она не ухудшает условия обслуживания". Из-за этого пользователь замечает что-то неладное слишком поздно, ведь услуги связи не блокируются сразу.

  2. Автоплатёж. Не тот, который по календарю. А тот, который срабатывает по достижении определённой пороговой суммы на лицевом счету. Таким макаром могут увести с банковского счёта абонента практически неограниченные суммы. Классический отъём денег у населения исключительно честным способом.

  3. Выпущенная к лицевому счёту оператора банковская карта. Тут вроде и так всё понятно. При таком раскладе человек обычно держит на счету значительную сумму денег.

Кроме того, в последнее время начали поступать сообщения о подписках, которые технически оформляются не как оплата за услугу, а как перевод денег по расписанию. Цинизм заключается в том, что такие псевдоуслуги не отображаются в детализациях, не видны в общем списке подключенных контент-услуг и подписок. Более того, сотрудники салонов связи тоже их не видят и в большинстве случаев неспособны отключить в силу своей недостаточной квалификации. В данной ситуации помогает только подключение услуги "Запрет мобильных переводов" и периодическое поглядывание в ежемесячные счета от оператора (не детализации вызовов).

Итак, какие же существуют способы для того, чтобы оградить себя от подобных неприятностей настолько, насколько это возможно?


  • Прежде чем начать эксплуатировать свежекупленную симку, обязательно зарегистрируйте личный кабинет и ознакомьтесь со списком услуг. Сразу отключите явно ненужные. Сразу подключите всевозможные запреты на действия, которые вам точно не понадобятся в дальнейшем. Обязательно зайдите в SIM-меню (меню SIM-карты, иногда отображается как "сервисы оператора") и отключите там все "новости", "рассылки", "хамелеоны", "калейдоскопы", "уведомления" и прочую муть, всю какую сможете найти. Отключите автопродление пакетов минут / смс / гигабайтов, если у вас нет на то осознанной необходимости.

  • Проделывайте то же самое после каждой смены тарифа.

  • Проделайте то же самое спустя две недели и месяц после покупки новой симки или смены тарифа. Могут всплыть автоматически подключенные без вашего ведома услуги.

  • Прежде чем отдавать SIMку в пользование пожилому человеку, обязательно походите с ней минимум месяц сами, смотри предыдущие пункты.

  • Не давайте бабушкам / дедушкам смартфоны. Либо обрезайте их функционал и/или ставьте блокировку на потенциально опасные фичи.

  • Хорошим подходом будет использовать для голосовых звонков одну симку, а для интернета другую. Да, это дороже. Зато не останетесь совсем без связи если вдруг с интернетной симки внезапно пропадут все деньги.

  • Под интернетные симки неплохо годятся "колхозные" и "корпоративные" тарифы, а также предложения от посредников типа SIM2M. На них всё это контентное кидалово не распространяется.

  • Если вам нужна симка в "умное устройство" (сигнализации, трекеры, ворота, камеры наблюдения и т.п.), берите для неё либо соответствующий тариф "Для умных устройств" от операторов, либо спецпредложение от посредников. По тем же причинам, что и в предыдущем пункте. Плюс, на них не подключается автоматически всякое г...но, а в саму симку не зашито всякой гажи для реализации принципа "промахнись и заплати". Да и срок протухания у них в разы больше.

  • Избегайте услуг типа "кредит доверия" и автоплатежей по достижении пороговой суммы. Периодически проверяйте, что их не подключили без вашего ведома.

  • Не выпускайте банковскую карту к своей "основной" SIMке. И вообще, для банковских продуктов всегда заводите отдельные SIMки и аппараты, пусть они всегда лежат дома.

  • Если возможно, всегда поддерживайте баланс своего лицевого счета около нуля. Как вариант, можно поручить своему банку (не ОПСОСу!) совершать фиксированные ежемесячные платежи на ваш мобильный номер строго по календарю (не по порогу суммы на балансе!).

  • Ходите в интернет с мобильного через прокси, пока ещё это не запрещено законом (Яндекс браузер с режимом "Турбо", Opera Turbo и всё вот это).

  • Не перезванивайте, когда вам звонят с незнакомых номеров и сразу же вешают трубку.

  • Периодически поглядывайте в ежемесячные счета от своего оператора (не детализации вызовов, а именно счета). Можно заказать их доставку себе на электронную почту. Это бесплатно.

  • Активируйте отдельный счёт для контент-услуг. Для этого понадобится придти ногами в ближайшее представительство оператора с паспортом и написать заявление. Это бесплатно.

Касаемо последнего пункта. Про него почему-то все забывают, а ОПСОСы по понятным причинам не афишируют наличие такой возможности. Тем не менее это, пожалуй, самая простая и эффективная мера против любого околоконтентного мошенничества. Единственное, она создаст вам самим некоторые неудобства, если вы, к примеру, оплачиваете парковку SMSкой с мобильного. В таком случае вам придётся сперва USSD-командой перекинуть деньги с основного счёта на контентный, а потом уже совершать запланированное действие. Но ИМХО (моё мнение, которое я никому не навязываю), проще уж тогда установить соответствующее мобильное приложение и башлять напрямую из него.
Cat-angry

О вреде монополий

... В сентябре прошлого года с помощью какой-то там матери поставил в химкинской квартире водомеры (счетчики воды). Со временем начал подозревать неладное. Если в московской квартире у меня ежемесячный расход горячей воды составляет приблизительно половину от расхода холодной, то в Химках наоборот: горячей воды утекает чуть больше, чем холодной.

"Такого быть не должно", — подумал я. И достал из своих широких штанин пару спиртовых термометров. Так и есть, в часы пикового потребления температура горячей воды составляет всего 48℃. Вне пика (глубокой ночью и в обед) — в районе 52℃. При том, что по нормативу положено от 60 до 75. Кроме того, если температура опускается ниже 57 градусов в дневное время, то потребителю обязаны снизить размер платы за услуги горячего водоснабжения. А если ниже 40℃, то за горячую воду можно вообще не платить.

Вот тут Добродушный Сантехник выложил видео и Excel-калькулятор со всеми разъяснениями, кому интересно.

Ну фигли, сперва я пожаловался через "Добродел-говнодел". Интересно, что за школота делала этот мега-кривой портал и сколько ей за это заплатили? Ну ладно. Через администрацию Химок заявление как-то таки спустилось в мою управляющую компанию. Те пришли, померяли, всё подтвердили и только развели руками. Мол, мы тут ни при чём, такова температура на вводе в дом. Написали письмо в Мосэнерго и самоустранились.

Прошел месяц, ничего не изменилось. Тогда я написал в жилищную инспекцию. Пришла инспекторша, ещё раз всё замерила вместе с представителем управляющей компании. Подтвердила предыдущую версию. Действительно недогревают, действительно управляющая компания ни при чём. Составила акт. Сказала, что на основании этого акта они обратятся в прокуратуру. И даже прислали мне официальный ответ от своего (жилинспекции) имени.

Прошёл ещё месяц. Конечно же, снова ничего не изменилось. И тут я не то чтобы осознал, но начал размышлять. А что, собственно, может сделать прокуратура? Ну погрозит она пальчиком. Ну отправят ей какую-нибудь отписку из Мосэнерго. Пообещают расширить, улучшить и углубить. Всё равно ресурсоснабжающего поставщика никто не закроет, лицензию не отберёт и не сменит, потому что других-то нет. Максимум — оштрафует, да что ей эти штрафы? Как слону дробина. Вот и получается "жрите что дают или идите на йух".

Забавы ради я еще запросил у жилинспекции как можно получить компенсацию за ненадлежаще оказываемую услугу горячего водоснабжения. Они ответили, что для этого нужно каждый день вызывать чуваков из управляющей компании и составлять акт. А потом с этой стопкой актов идти в ЕИРЦ и требовать перерасчета за каждый отдельный день. Ха-ха, шутку понял, смешно. Такая вот презумпция невиновности в отношении поставщика (Мосэнерго). Потребитель обязан документально доказать каждый час, в который он получал слишком холодную воду.

Вот и получается, что обирают тебя внаглую посреди бела дня, а сделать ты с этим вообще ничего не можешь. Вроде с одного человека и небольшая сумма, а в масштабах города может вполне себе неплохо набежать. Потом очередная околоЖКХшная компания банкротится, зато кто-то покупает себе БЧД и особняк на Рублевке.

Вот, по непроверенным слухам, якобы счета одной из крупнейших химкинских управляющих компаний уже заблокированы. Она не может рассчитаться с поставщиками, вся погрязла в астрономических долгах. И хотят её тихонько без лишнего шума "сбросить". Как всегда, что-то мутят, мутят... И я почему-то даже знаю за чей счёт будет этот банкет.

А всё почему? Потому что нет альтернатив. Одни монополии. И чем дальше, тем больше.

Death

#10. О**евшие жулики из НПФ

Ещё два разговора.

Первый. Всё те же самые говноеды из "Сириуса", что и в предыдущем псто. Никак не унимаются. На этот раз они застали меня в магазине, пока я стоял в очереди на кассе. Поэтому мата там нет. Чаще других встречается слово "гондоны". Не знаю насколько смешно получилось, решать вам.

Второй. Тут чуть интереснее. Звонят какие-то очередные жулики из какого-то зашкварного НПФ (негосударственного пенсионного фонда) и пытаются обманным путём уговорить меня перевести к ним накопительную часть своей пенсии. Кому интересно, с матчастью можно вкратце ознакомиться здесь: раз, два.

И ведь который раз уже отшиваю, тоже всё никак не прекратят. Если у вас большая белая зарплата, или кто-то из ваших родственников умудрился разжиться весомой накопительной частью, имейте в виду. Мне-то по большому счёту пофиг, но всё это жульё уже порядком подзадолбало постоянно названивать.

Death

Про подмену телефонного номера

Товарищ Патрон1 (ammo1) и некто "Тимофей Ви" подняли истерику на тему подмены чьего-либо телефонного номера потенциальными злоумышленниками (ссылка 1, ссылка 2). Они и правы, и не правы одновременно. Объясню почему.

Надёжин у себя пишет: "Для подмены номеров используется IP-телефония, где подмена номера - штатная функция. Не знаю, существует ли вообще решение этой проблемы." Открываю страшный секрет. IP-телефония тут ни при чём. Любой владелец любой АТСки (даже миниатюрной офисной) может при исходящих звонках прописывать у себя вообще любой Caller ID (номер вызывающего абонента). И технология установления связи здесь не имеет совершенно никакого значения: хоть медная лапша, хоть E1, хоть H323, хоть SIP, да что угодно. Вопрос только в том, проверяет ли его или нет владелец АТСки-аплинка. Тут всё зависит от условий договора между ними и степени раздолбайства последнего.

Для лучшего понимания я проведу аналогию с электронной почтой. Когда вы отправляете кому-то электрическое письмо, вы можете в графе "отправитель" написать что угодно. Хоть "tsar.of@the.world". И в общем случае (не рассматриваем пока технологии SPF и DKIM) никто никогда не сможет проверить его подлинность либо факт подмены. Но! Хорошие публичные почтовые сервера (Яндекс, Гугл и т.п.) перед выпуском вашего письма "в мир" сперва убедятся, что его отправили действительно вы, потребовав указать ваш логин и пароль. А также проведут анализ заголовка "Отправитель" на соответствие вашему аккаунту. И в случае расхождения "зарежут" такое письмо, хотя ничто не мешало бы им его пропустить.

И вторая немаловажная деталь. Когда в обмене электронной почтой участвует более двух серверов, то в общем случае валидность отправителя (не рассматриваем DKIM) могут проверить только первый или второй хосты в цепочке. Но не третий и далее по списку. Им уже приходится "верить на слово" второму, без вариантов.

В телефонии то же самое. Любой абонент априори является ненадёжным и может представиться противоположной стороне как угодно и кем угодно. В общем случае проверить его подлинность может либо самый первый узел: он знает, куда физически идёт от него провод и/или логин-пароль VoIP-клиента и/или ключи шифрования радиоканала и т.п. Либо второй узел: он осведомлён, какая номерная ёмкость присвоена первому узлу. Если же сингал ушёл дальше по цепочке, то всё, "до свидания". Там уже никто и ничего гарантировать не может.

Теперь ближе к конкретике. Тот же скайп, например (но не только он один), договорился с другими операторами связи таким образом, чтобы те не проверяли бы номера абонентов инциируемых им (скайпом) звонков. Это нужно ему для того, чтобы пользователи могли бы звонить со скайпа на мобильные телефоны, а вызываемые видели бы правильный "как будто бы мобильный" номер позвонившего. И в этом нет ничего противозаконного, так как всё по тому же самому договору скайп обязуется валидировать вызывающих абонентов сам. И он делает это путём отсылки контрольной SMSки с проверочным кодом своему подписчику. То есть условный Вася в своём скайповском профиле физически не сможет указать чужой номер телефона. А когда он начнёт кому-то звонить через скайп, то сервис проверит его по логину-паролю. Таким образом, на данном этапе возможное мошенничество исключено.

Но тут есть один тонкий момент. Допустим, хакер-Вася заразил смартфон жертвы-Пети вирусом, который пересылает Васе все SMSки с телефона Пети. Дальше объяснять надо? Вася в одно действие регистрирует в скайпе левый аккаунт, указывает в нём номер мобильного телефона Пети, с помощью своего вируса получает проверочную SMSку, подтверждает факт якобы владения Петиным номером, после чего невозбранно звонит кому угодно от имени как будто бы Пети. И для этого вовсе не требуется быть кандидатом наук или досконально разбираться в современных технологиях.

Я уверен, что нечто подобное произошло и в историях по ссылкам в начале поста. На ровном месте такие трюки конкретно в России провернуть весьма затруднительно. Потому что всякие там Роскомпозоры и прочие спецслужбы хоть и являются коррумпированными бездельниками, но за использованием телефонии и подменой номеров всё же внимательно следят. Но если каким-либо способом у злоумышленника хотя бы ненадолго появляется доступ к мобильному телефону жертвы — всё, пиши пропало. Тут уже никто не поможет.

Напоследок напоминаю традиционные элементарные общеизвестные правила безопасности.


  1. Не верить никому на слово. Всегда помнить, что человек может оказаться не тем, за кого себя выдаёт.

  2. При малейших сомнениях спрашивать внутренний номер сотрудника, вешать трубку и перезванивать в организацию самостоятельно. Нормальные банки относятся к подобному поведению клиентов совершенно спокойно и даже приветствуют такой подход.

  3. Для связи с банками завести отдельный телефон с отдельной симкой и отдельным номером. Номер никому кроме банков не сообщать. На телефон никакого дополнительного софта не ставить, без большой нужды с собой его нигде не носить.

  4. Ни при каких обстоятельствах не выпускать из рук свой незаблокированный мобильный телефон и всегда знать где он находится. Никому не давать его ни "только позвонить", ни "погонять на денек-другой", даже с другой/чужой SIM-картой внутри.

  5. Про установку сомнительного софта из неблагонадёжных источников даже писать не буду, всё равно все будут ставить.

  6. Условиться о каких-нибудь секретных вопросах / сигналах со всеми своими родственниками/близкими, по которым они смогут понять, что информация исходит действительно от вас. Например, вашей маме звонят и говорят что вас забрали в отделении полиции. А мама, прикинувшись заботливой дурочкой, берёт и спрашивает: "Ой, скажите, а мой Ванечка не забыл сегодня одеть свою дублёнку?" Зная, что у Вани никаких дублёнок никогда отродясь не было. Но это уже высший пилотаж.

И чтобы два раза не вставать, мельком затронем тему мошенничества в социальных сетях. Нередки случаи, когда взламывают чей-нибудь аккаунт, а потом начинают с него попрошайничать. Сердобольные друзья часто успевают перевести жуликам значительные суммы денег, прежде чем жертва узнает о случившемся и восстановит доступ к своей странице. Среди конкретно моих друзей подобное случалось с троими за последние пять лет. К сожалению, общие правила поведения в данной ситуации выработать довольно трудно. На всякий случай могу сказать за себя (т.е. предупреждаю вас).


  1. Дед Сергеич никогда не будет просить денег. Возможно, предмет (например, дрель или билет) или услугу (например, покормить или приютить его). Но не денег.

  2. Дед Сергеич не пользуется социальными сетями. Максимум — ретранслирует туда свои посты из ЖЖ.

  3. Дед Сергеич крайне не любит разговаривать по телефону. Если он вам позвонил — скорее всего, это не он.

  4. Электрическая почта деда Сергеича общеизвестна, и это предпочтительный способ связи с ним. При малейших сомнениях пишите туда. Если электропочту Сергеича и взломают, то он узнает об этом очень быстро.

  5. Если вам заявляют, что с Сергеичем случилась какая-то беда, то в первую очередь спросите, что на нём было надето, где он в тот момент находился и был ли он трезвым или бухим. По ответам можно с высокой степенью достоверности заподозрить обман.

Как-то так. Всем внимательности и бдительности. В комменты также приглашается тов. yalexey для рецензирования и критики.