Category: криминал

Category was added automatically. Read all entries about "криминал".

Cat-angry

Сука-провайдер

Вот этот, есличо.

Задумал я обновить прошивку роутеров в двух квартирах. Оба подключены к одному и тому же провайдеру. Ethernet, PPPoE. Там, где живу сам, сделал "по живому". Просто залил новый софт, не мудрствуя лукаво. Чуток подпилил конфиги, всё взлетело. На всё про всё минут 15.

В квартире у родителей на такой радикальный шаг не решился. Вместо этого подготовил "подменный" роутер с новой версией прошивки, скопировал конфиги, убедился что за исключением интернетов все остальные сервисы на нём завелись. После этого повёз его ногами чтобы переткнуть провода.

Перекоммутировал. Опять же, всё взлетело, кроме интернета. Говорит, "Auth Failed" в контексте установления PPP-соединения с гейтом провайдера. Я в непонятках. Как так-то? По нескольку раз перепроверил учётные данные. Всё правильно. Дальше начинаю последовательно размышлять.


  1. Верный ли пароль? Верный, в личный кабинет с мобилы впускает.

  2. Может быть пароль слишком длинный (невероятно, но такое бывает)? Поменял на более короткий. Не помогло.

  3. Заподозрил проблемы с "физикой" ("последняя миля" довольно длинная, около 120 метров). Потыкал аплинком в другие порты на роутере. Поставил промежуточный свитч. Не помогло.

  4. Сравнил список пакетов на старом роутере и на новом. Совпадают.

  5. Может я что-то неправильно собрал? Перезалил прошивку на идентичную той, что успешно работает в другой квартире. Не помогло.

  6. Сбросил все настройки роутера в дефолтные, прописал учётные данные в конфиги "с нуля" руками. Не помогло.

  7. Послушал TCPDump-ом. Всякой срани летает, как обычно, полно; всякие технические кадры, которые мне как пользователю видеть бы в принципе не положено, но ничего принципиально криминального. Мои PADI-запросы провайдер слышит, отвечает, даёт отлуп.

  8. Перепроверил всё ещё по одному разу. Нет идей.

Дальше начинаю мучительно соображать, в чём принципиальная разница между двумя квартирами. О, вспомнил! У родителей подключена услуга "фиксированный IP-адрес", а у меня — нет. Так-так-так... а может эти [censored] привязали IP к MAC-адресу? Бинго! Так и есть!

Посмотрел MAC на старом роутере, подменил MAC на внешнем интерфейсе нового роутера, всё заработало. Победа! Но блин... Вместо 15ти минут на разборки ушло три часа.

Сука-провайдер. XXI век. Говорят, где-то есть IPv6, DHCP и Port Binding. У этого PPPoE и сеть на D-Linkах. И если ты подключил себе фиксированный IP, то должен страдать. Потому что его зачем-то привяжут к MACу, а не к логину. И вместо того, чтобы выдать какой-нибудь серый или рандомный адрес при смене MACа, тебя тупо не выпустят в интернет с формулировкой "Auth Failed". А дальше ты сам догадайся что это значит.

Ненавижу! Жаль, остальные провайдеры ещё хуже. И заниматься "перебежкой" лень. Но этот уже чё-то конкретно выбешивать начинает.

Update. Как выяснилось, MAC был ни при чём. Оказывается, это "сессия подвисла". То есть предыдущая сессия не была корректно терминирована, и их биллинг считал, что я "как бе уже подключен". Вот и не давал подключиться во второй раз. Спрашиваю у техподдержки, что мне делать в таких случаях. Говорят "звоните нам, мы руками прибьём сессию". Красота!

Cat-light

Потестировал "Мир", "Сбербанк" и немного МТС

... Таки завёл себе карточку имени зелёного пакмана. Потому что у всех он есть, и все норовят расплатиться с тобой именно им, и ничем другим. Пришлось тоже причаститься. Из соображений скорости и бесплатности выбрал себе "Мир Моментум" (не именную, моментального выпуска).

... И знаете шо? Вот бывают безопасные спички. В смысле, пожаробезопасные. Они не загораются, поэтому ими тупо ничего нельзя поджечь. Так и тут. Почти абсолютно безопасная дебетовая карта. Вот почему.


  1. Мошенники за пределами России не страшны, ибо там мало где можно расплатиться "Миром".

  2. Мошенники в России тоже не особо страшны, потому что даже в российских онлайн-магазинах ей нельзя расплатиться.

  3. Код клиента в банкомате мне получить так и не удалось.

  4. Даже собственные банкоматы Сбера не опознают её при попытке воспользоваться бесконтактным способом.

По поводу пункта два поясню. Ради эксперимента я положил на эту карточку немного денег и попытался стянуть их через личный кабинет Тинькова. Не удалось. Отлуп со словами "Операция отклонена банком. Обратитесь в банк, выпустивший карту списания". Я в непонятках, тем более что с "Мира" моей мамы аналогичные транзакции нормально проходят. Но у неё карта именная. У меня — нет. А далее крайне забавный разговор со Сберовскими "маринками".

Жалуюсь, что не могу Тиньковым стянуть деньги. Жду на линии. Отвечают, мол, это потому что карта неименная. Вот и не получается. Тогда спрашиваю, а что, в интернет-магазинах тоже не смогу ей расплатиться? Снова жду на линии. Говорят, в каких-то смогу, в каких-то не смогу. Вау! А можно как-то заранее узнать, где смогу, а где не смогу? Тут у маринки окончательно лопается терпение, и она посылает меня на офсайт платёжной системы "Мир". Где карту оформляли, туда и идите на xyz Мир и узнавайте у них, какие там ограничения на использование неименных карт. Ну спасибо, добрая фея. Послала деда бабка в лес за дровами. Послала так послала.

Насчет кода клиента тоже смешно получилось. Мне было предложено попробовать получить его в нескольких разных банкоматах (я уже попробовал в двух), переписать их номера. А потом сообщить их в техподдержку. Как-нибудь, пожалуй, поразвлекаюсь, когда совсем нечем заняться будет. Обойду все банкоматы на районе, составлю списочек штук из 50ти, выкачу им. Может быть, до них дойдёт, что дело было не в бобине вовсе не в банкомате.

... Закончилось всё тем, что я через веб-морду выпустил себе ещё одну виртуальную дебетовую карту с модным хипстерским названием "Visa Digital". Перекинул на неё деньги с "Мира", а уже с "Визы" благополучно стянул Тиньковым. Вот казалось бы, по факту всё в одном и том ЦБшном процессинге обрабатывается. А поди ж ты! Где логика, где справедливость? ©

... Этот их "Сбер ID" — тоже кусок прикола. Некий донельзя кастрированный личный кабинет а-ля "Сбербанк онлайн", в котором нельзя сделать вообще ни-хре-на. Только заказать дебетовую карту. Но после того, как ты её (карту) таки получишь, ты вынужден регистрировать новый, "полноценный" личный кабинет. Привязать свежевыпущенную карту к прежнему логину нельзя. В чём тогда вообще заключается сакральный смысл всего этого действа? Загадка.

... Короче говоря, Сбер как был эталонным говна куском, так и остался. Только добавили рюшечек, свистелок и перделок. Теперь можно открыть сберегательный счет или виртуальную карту прямо через веб-морду (не прошло и столетия). Мобильное приложение стало работать быстрее. В кал-центр можно звонить по VoIP прямо из приложения. (Интересно, там RTP хотя бы шифруется?) В остальном тоска смертная. Ну а так... вполне могу рекомендовать Сбер Мир Моментум как безопасную дебетовую карту (см. про безопасные спички).

... Кстати, насчёт "Мира". Я ж уже полгода везде расплачиваюсь "Миром" имени Тинькова. Докладываю. Каких-то серьёзных проблем не возникло нигде. Местами её не понимают при бесконтактном применении, приходится совать в терминал. Хуже всего на пригородных электричках: там вообще часто конкретно приходится побегать в поисках билетного автомата, который согласится на Мир. Из десятка оных на Ленинградском вокзале успеха добьёшься в одном-двух. А в остальном нормально. Ну вот только с неименными картами какие-то загадки ещё.

... Тем временем электронное мошенничество шагает по стране. Не отберут квартиру, так "повесят" на вас парочку ОООшек. Как всегда, защититься невозможно. Даешь больше геморроя простым гражданам!

... МТС на этом фоне выглядит более чем скромно. Подключить услугу "родительский контроль" можно USSD-командами, а отключить — только посещением салона связи или через кал-центр. Поленились интерфейс наклепать что ли? Впрочем, спасибо что эта услуга в принципе есть. Остальное уже мелочи...

Cat-light

Эти хитрожопые китайтсы с AliExpress

Уже во второй раз в своей практике нарываюсь на нечистоплотных продаванов с AliExpress, которые заказ принимают, товар не высылают, а потом всячески хитрят, чтобы не возвращать предоплату.

Выглядит это так. Ты набираешь товары. Оплачиваешь. Через какое-то время видишь, что продавец якобы отправил тебе заказ, получаешь трекинговый номер. Через какое-то время заходишь в личный кабинет и наблюдаешь там "Shipment Cancelled" (отправка отменена). Дальше начинается цирк.

По правилам AliExpress-а сама по себе надпись "Shipment Cancelled" ещё не является основанием для возврата денег. Мол, планета большая, а вдруг всё-таки когда-нибудь да дойдёт? Поэтому чтобы железобетонно получить уплоченное взад, диспут надо открывать под самый под конец гарантированного срока доставки (два месяца) с мотивацией "я честно ждал, но так ничего и не получил". Подобные споры всегда решаются в пользу покупателя, но приходится терпеть два месяца, когда и так уже всё понятно. Технически, можно попросить продавана в чатике вернуть денюжку по-хорошему, без диспута. Но они всеми силами сопротивляются и стараются тебя кинуть.

Вот пример диалога с моей последней попытки.

Collapse )

Вот же ж китайские п...сы. Cперва попробовали на***ть меня с PayPal-ом. Не получилось. Тогда они предложили открыть мне диспут с мотивацией "я получил, но хочу вернуть потому что передумал". Разумеется, я не смогу доказать, что действительно что-то им вернул (потому что не получал). Так что позже они снова преспокойно спишут с меня эти деньги, даже если и вернут их взад. Если вдруг кто не понял, с PayPal-ом срабатывает ровно такая же схема. Китаец тебе платит якобы за покупку чего-нибудь, а потом через PayPal-овский арбитраж истребует свой платёж обратно, потому что ты ему ничего не отправил. Козлы.

Что самое непонятное, магазины этих жуликов почему-то устойчиво годами висят в топе торговой площадки, называются "бла-бла-бла Official Store" и помечены AliExpress-ом как "Top Brand". А конкретно, вот ссылки на продаванов, которые безуспешно попытались меня кидануть: раз, два.

Блин. Вот я теперь прям даже и не знаю, где бы взять хороших BlitzWolf-овских проводочков для зарядки телефонов. Они мне всегда так нравились, хнык.

Death

Про подмену телефонного номера

Товарищ Патрон1 (ammo1) и некто "Тимофей Ви" подняли истерику на тему подмены чьего-либо телефонного номера потенциальными злоумышленниками (ссылка 1, ссылка 2). Они и правы, и не правы одновременно. Объясню почему.

Надёжин у себя пишет: "Для подмены номеров используется IP-телефония, где подмена номера - штатная функция. Не знаю, существует ли вообще решение этой проблемы." Открываю страшный секрет. IP-телефония тут ни при чём. Любой владелец любой АТСки (даже миниатюрной офисной) может при исходящих звонках прописывать у себя вообще любой Caller ID (номер вызывающего абонента). И технология установления связи здесь не имеет совершенно никакого значения: хоть медная лапша, хоть E1, хоть H323, хоть SIP, да что угодно. Вопрос только в том, проверяет ли его или нет владелец АТСки-аплинка. Тут всё зависит от условий договора между ними и степени раздолбайства последнего.

Для лучшего понимания я проведу аналогию с электронной почтой. Когда вы отправляете кому-то электрическое письмо, вы можете в графе "отправитель" написать что угодно. Хоть "tsar.of@the.world". И в общем случае (не рассматриваем пока технологии SPF и DKIM) никто никогда не сможет проверить его подлинность либо факт подмены. Но! Хорошие публичные почтовые сервера (Яндекс, Гугл и т.п.) перед выпуском вашего письма "в мир" сперва убедятся, что его отправили действительно вы, потребовав указать ваш логин и пароль. А также проведут анализ заголовка "Отправитель" на соответствие вашему аккаунту. И в случае расхождения "зарежут" такое письмо, хотя ничто не мешало бы им его пропустить.

И вторая немаловажная деталь. Когда в обмене электронной почтой участвует более двух серверов, то в общем случае валидность отправителя (не рассматриваем DKIM) могут проверить только первый или второй хосты в цепочке. Но не третий и далее по списку. Им уже приходится "верить на слово" второму, без вариантов.

В телефонии то же самое. Любой абонент априори является ненадёжным и может представиться противоположной стороне как угодно и кем угодно. В общем случае проверить его подлинность может либо самый первый узел: он знает, куда физически идёт от него провод и/или логин-пароль VoIP-клиента и/или ключи шифрования радиоканала и т.п. Либо второй узел: он осведомлён, какая номерная ёмкость присвоена первому узлу. Если же сингал ушёл дальше по цепочке, то всё, "до свидания". Там уже никто и ничего гарантировать не может.

Теперь ближе к конкретике. Тот же скайп, например (но не только он один), договорился с другими операторами связи таким образом, чтобы те не проверяли бы номера абонентов инциируемых им (скайпом) звонков. Это нужно ему для того, чтобы пользователи могли бы звонить со скайпа на мобильные телефоны, а вызываемые видели бы правильный "как будто бы мобильный" номер позвонившего. И в этом нет ничего противозаконного, так как всё по тому же самому договору скайп обязуется валидировать вызывающих абонентов сам. И он делает это путём отсылки контрольной SMSки с проверочным кодом своему подписчику. То есть условный Вася в своём скайповском профиле физически не сможет указать чужой номер телефона. А когда он начнёт кому-то звонить через скайп, то сервис проверит его по логину-паролю. Таким образом, на данном этапе возможное мошенничество исключено.

Но тут есть один тонкий момент. Допустим, хакер-Вася заразил смартфон жертвы-Пети вирусом, который пересылает Васе все SMSки с телефона Пети. Дальше объяснять надо? Вася в одно действие регистрирует в скайпе левый аккаунт, указывает в нём номер мобильного телефона Пети, с помощью своего вируса получает проверочную SMSку, подтверждает факт якобы владения Петиным номером, после чего невозбранно звонит кому угодно от имени как будто бы Пети. И для этого вовсе не требуется быть кандидатом наук или досконально разбираться в современных технологиях.

Я уверен, что нечто подобное произошло и в историях по ссылкам в начале поста. На ровном месте такие трюки конкретно в России провернуть весьма затруднительно. Потому что всякие там Роскомпозоры и прочие спецслужбы хоть и являются коррумпированными бездельниками, но за использованием телефонии и подменой номеров всё же внимательно следят. Но если каким-либо способом у злоумышленника хотя бы ненадолго появляется доступ к мобильному телефону жертвы — всё, пиши пропало. Тут уже никто не поможет.

Напоследок напоминаю традиционные элементарные общеизвестные правила безопасности.


  1. Не верить никому на слово. Всегда помнить, что человек может оказаться не тем, за кого себя выдаёт.

  2. При малейших сомнениях спрашивать внутренний номер сотрудника, вешать трубку и перезванивать в организацию самостоятельно. Нормальные банки относятся к подобному поведению клиентов совершенно спокойно и даже приветствуют такой подход.

  3. Для связи с банками завести отдельный телефон с отдельной симкой и отдельным номером. Номер никому кроме банков не сообщать. На телефон никакого дополнительного софта не ставить, без большой нужды с собой его нигде не носить.

  4. Ни при каких обстоятельствах не выпускать из рук свой незаблокированный мобильный телефон и всегда знать где он находится. Никому не давать его ни "только позвонить", ни "погонять на денек-другой", даже с другой/чужой SIM-картой внутри.

  5. Про установку сомнительного софта из неблагонадёжных источников даже писать не буду, всё равно все будут ставить.

  6. Условиться о каких-нибудь секретных вопросах / сигналах со всеми своими родственниками/близкими, по которым они смогут понять, что информация исходит действительно от вас. Например, вашей маме звонят и говорят что вас забрали в отделении полиции. А мама, прикинувшись заботливой дурочкой, берёт и спрашивает: "Ой, скажите, а мой Ванечка не забыл сегодня одеть свою дублёнку?" Зная, что у Вани никаких дублёнок никогда отродясь не было. Но это уже высший пилотаж.

И чтобы два раза не вставать, мельком затронем тему мошенничества в социальных сетях. Нередки случаи, когда взламывают чей-нибудь аккаунт, а потом начинают с него попрошайничать. Сердобольные друзья часто успевают перевести жуликам значительные суммы денег, прежде чем жертва узнает о случившемся и восстановит доступ к своей странице. Среди конкретно моих друзей подобное случалось с троими за последние пять лет. К сожалению, общие правила поведения в данной ситуации выработать довольно трудно. На всякий случай могу сказать за себя (т.е. предупреждаю вас).


  1. Дед Сергеич никогда не будет просить денег. Возможно, предмет (например, дрель или билет) или услугу (например, покормить или приютить его). Но не денег.

  2. Дед Сергеич не пользуется социальными сетями. Максимум — ретранслирует туда свои посты из ЖЖ.

  3. Дед Сергеич крайне не любит разговаривать по телефону. Если он вам позвонил — скорее всего, это не он.

  4. Электрическая почта деда Сергеича общеизвестна, и это предпочтительный способ связи с ним. При малейших сомнениях пишите туда. Если электропочту Сергеича и взломают, то он узнает об этом очень быстро.

  5. Если вам заявляют, что с Сергеичем случилась какая-то беда, то в первую очередь спросите, что на нём было надето, где он в тот момент находился и был ли он трезвым или бухим. По ответам можно с высокой степенью достоверности заподозрить обман.

Как-то так. Всем внимательности и бдительности. В комменты также приглашается тов. yalexey для рецензирования и критики.
Death

Псевдогазовщики

К моей пожилой соседке на прошлой неделе приходили липовые газовщики. Толкнули телегу о том, что жильцы якобы обязаны ставить датчики утечки газа. И развели её ажно на 27 килорублей. Причём, шосукахарактерно, я ничего не видел и не слышал несмотря на то, что большую часть времени сейчас провожу дома. Есть подозрение, что жулики действуют не вслепую, а прицельно по каким-то базам данных.

Будьте бдительны и напомните правила безопасности своим престарелым родственникам. Мои хомяки, например, из подобных соображений вообще никому дверь не открывают.

Кстати, чтоб два раза не вставать. Кто-нибудь встречал в природе видеоглазок, который умеет звонить на SIP (предпочтительно) или GSM своему хозяину при нажатии кнопки звонка?

Death

Про пароли

На всякий случай. Краткий ликбез про хорошие и плохие пароли "от сисадмина".

Как надо:


  1. На каждый ресурс требуется устанавливать свой собственный пароль. Использование одних и тех же паролей на различных ресурсах (сайтах,
    серверах, форумах, личных кабинетах, в почте) НЕДОПУСТИМО.

  2. Пароль должен содержать в себе буквы обоих регистров, цифры, хотя бы один спецсимвол (скобки, знак равно, минус, подчеркивание и т.п.).

  3. Самый лучший пароль - сгенерированный случайным образом. Генерировать, хранить и вводить такие пароли удобнее всего при помощи менеджеров вроде KeePass и иже с ними.

  4. Второй после самого лучшего пароля - фраза из не существующих ни в одном языке мира слов, разбавленная цифрами и спецсимволами. Например, "ТрындецМ0емуТрямбулят0ру:(".

Ни в коем случае НЕЛЬЗЯ:


  • Использовать в паролях повторяющиеся комбинации ("123123", "blablabla").

  • Строить пароли из комбинации литературных слов ("ВасяМосква", "Mama_Myla_Ramu").

  • Применять сплошные либо разорванные клавиатурные последовательности ("qwerty", "12345", "zxcvb", "qwaszx1267").

Насколько длинным должен быть пароль:

Зависит от того, где он будет применяться.


  • Логон в систему без административных привилегий - минимум 10 знаков.

  • Логон в систему с административными привилегиями - минимум 14 знаков.

  • Критичные интернет-службы (важная почта, регистратор доменных имён, банк-клиенты) - минимум 14 знаков.

  • Wi-Fi - минимум 20 знаков.

  • Мастер-пароль для паролехранилки, криптодиски - минимум 28 знаков.

Основная идея очень проста - чем больше существует технических возможностей для грубого перебора паролей (bruteforce) с высокой скоростью, тем длиннее должен быть пароль. Если защищаемый паролем сервис является удалённым, и интерфейс логина после нескольких неудачных попыток аутентификации обязательно требует выдержать паузу (тайм-аут) либо ввести CAPTCHA , то пароль может быть и покороче. Если потенциальный злоумышленник может осуществлять перебор на локальной системе (например, выкрадет у вас зашифрованный архив и сохранит его у себя на компьютере), то защитная фраза должна быть как можно длиннее, корявее и забористее.
Cat-light

Учи албанский

Пришло тут мне электронное письмо нижеследующего содержания. Цитирую дословно.

Тема: [Ticket#2010121610000277] Нарушение пользовательского соглашения.

 

Уважаемый пользователь,

Согласно принятыми Сoглaшениями об использoвании сервиса Vk.сom С вашего аккаунта 24.08.2012г. произошла рассылка спама.

Если Вы плaнируете и дaлее пользoвaться своим аккаунтом. Вы дoлжны прoйти реактивацию.

Для выполнения реактивации, пройдите по ссылке:
httр://vk.com/reactivate/mail.php

 

Либo свяжитесь с oдим из наших oператоров:
ООО «Вконтакте.Ру», 125167, Mocква, Ленингрaдский прocпeкт,
д.47, cтрoeние 2 (БЦ «Авион», подъезд 2)
тел.: +7 (495) 715-63-57

ООО «Вконтакте.Ру», Питербургский филиал. 191190, г.Сaнкт-Петербург,
ул.Радищева,д 32,
тел.: +7 (812) 364-37-46

Письмo сгенерированo автоматически, oтвечать на негo не нужнo.
---
С уважением,
Администрация прoекта vkontakte.ru

Естественно, ссылка там вела куда-то в совершенно левое место. Я её от греха подальше заменил на Яндекс.ру. Понятно, что очередные мошенники. Непонятно только, на фига им сдался мой аккаунт от вконтакта.

Забавно, что текст письма составлен в-принципе довольно грамотно. Я уж было почти поверил. Но когда увидел слово "Питербургский", даже не стал смотреть куда ведёт ссылка. Что я могу сказать... Учите албанский, кулхацкеры! :-)

Остальным же рекомендую быть осторожными и внимательно смотреть куда ведёт та или иная ссылка прежде чем переходить по ней.