Category: криминал

Category was added automatically. Read all entries about "криминал".

Cat-angry

Очередное жульё

Кинули в почтовый ящик очередную бумажную листовку. Эталонное жульё, конечно. Но как убедительно втирают (картинка кликабельна).

Говорят, что эти черти не только в ящики спамят, но и по квартирам ногами ходят. Причём, в "фирменной" спецодежде, даже какие-то ксивы предъявляют.

Будьте внимательны, не ведитесь, предупредите своих пожилых родственников.

Lynx

Жулики с Avito

Вывесил на "Авито" объявление о продаже инвалидной коляски. Как водится, тут же слетелись мошенники всех сортов и размеров. Одному (а может, одной) из них мы немного подыграли. Результат смотри на скриншоте (кликабельно).

Collapse )

Чё-то даже повеселились. Смешные они. Но вообще, фишинговые сайты клепают очень качественные. И даже SSL-сертификат от Lets Encrypt прикручивают. Не будь я ITшником, наверное, купился бы на такой развод.

Lynx

Эх вы, яйцеголовые!

10 марта "Тинькофф банк" опубликовал результаты своего исследования по мошенничеству в околобанковской сфере. Рассмотрел разные виды фрода в разрезе разных социальных групп. С полной версией статьи можете ознакомиться по ссылке выше. А лично меня позабавило вот что, цитирую оттуда.

... Клиенты с учеными степенями становятся жертвами преступников в 1,5 раза чаще, чем клиенты с высшим, начальным или средним образованием. Люди с двумя и более высшими образованиями — на 30% чаще.

... Клиенты банков с ученой степенью чаще всего самостоятельно переводят деньги преступникам — например, в 2,3 раза чаще чем, клиенты с начальным и средним образованием.

... Холостые и незамужние, а также разведенные и овдовевшие клиенты становятся жертвами преступников чаще на 40–50%.

Эх вы, яйцеголовые, чего ж вы это так, а?

Интересно, где здесь причина, а где следствие. Доверчивые люди чаще добиваются успехов в науке, образованным людям не хватает времени на изучение основных правил безопасности / поведения в обществе, или же наука вытесняет из головы всё что с ней напрямую не связано?

И да, выходит, что я просто обеими ногами состою в группе риска: разведён, да ещё и с двумя высшими образованиями. По идее, я должен быть просто суперлакомой находкой для мошенников всех сортов и размеров. Это, конечно, шутка. Но в каждой шутке, как извесно, есть доля шутки. Те, кто знают меня и мою биографию очень хорошо, догадаются о чём я: уже были прецеденты. Так что если даже это исследование и не соответствует истине, то во всяком случае очень-очень близко к ней...

Cat-angry

Сука-провайдер

Вот этот, есличо.

Задумал я обновить прошивку роутеров в двух квартирах. Оба подключены к одному и тому же провайдеру. Ethernet, PPPoE. Там, где живу сам, сделал "по живому". Просто залил новый софт, не мудрствуя лукаво. Чуток подпилил конфиги, всё взлетело. На всё про всё минут 15.

В квартире у родителей на такой радикальный шаг не решился. Вместо этого подготовил "подменный" роутер с новой версией прошивки, скопировал конфиги, убедился что за исключением интернетов все остальные сервисы на нём завелись. После этого повёз его ногами чтобы переткнуть провода.

Перекоммутировал. Опять же, всё взлетело, кроме интернета. Говорит, "Auth Failed" в контексте установления PPP-соединения с гейтом провайдера. Я в непонятках. Как так-то? По нескольку раз перепроверил учётные данные. Всё правильно. Дальше начинаю последовательно размышлять.


  1. Верный ли пароль? Верный, в личный кабинет с мобилы впускает.

  2. Может быть пароль слишком длинный (невероятно, но такое бывает)? Поменял на более короткий. Не помогло.

  3. Заподозрил проблемы с "физикой" ("последняя миля" довольно длинная, около 120 метров). Потыкал аплинком в другие порты на роутере. Поставил промежуточный свитч. Не помогло.

  4. Сравнил список пакетов на старом роутере и на новом. Совпадают.

  5. Может я что-то неправильно собрал? Перезалил прошивку на идентичную той, что успешно работает в другой квартире. Не помогло.

  6. Сбросил все настройки роутера в дефолтные, прописал учётные данные в конфиги "с нуля" руками. Не помогло.

  7. Послушал TCPDump-ом. Всякой срани летает, как обычно, полно; всякие технические кадры, которые мне как пользователю видеть бы в принципе не положено, но ничего принципиально криминального. Мои PADI-запросы провайдер слышит, отвечает, даёт отлуп.

  8. Перепроверил всё ещё по одному разу. Нет идей.

Дальше начинаю мучительно соображать, в чём принципиальная разница между двумя квартирами. О, вспомнил! У родителей подключена услуга "фиксированный IP-адрес", а у меня — нет. Так-так-так... а может эти [censored] привязали IP к MAC-адресу? Бинго! Так и есть!

Посмотрел MAC на старом роутере, подменил MAC на внешнем интерфейсе нового роутера, всё заработало. Победа! Но блин... Вместо 15ти минут на разборки ушло три часа.

Сука-провайдер. XXI век. Говорят, где-то есть IPv6, DHCP и Port Binding. У этого PPPoE и сеть на D-Linkах. И если ты подключил себе фиксированный IP, то должен страдать. Потому что его зачем-то привяжут к MACу, а не к логину. И вместо того, чтобы выдать какой-нибудь серый или рандомный адрес при смене MACа, тебя тупо не выпустят в интернет с формулировкой "Auth Failed". А дальше ты сам догадайся что это значит.

Ненавижу! Жаль, остальные провайдеры ещё хуже. И заниматься "перебежкой" лень. Но этот уже чё-то конкретно выбешивать начинает.

Update. Как выяснилось, MAC был ни при чём. Оказывается, это "сессия подвисла". То есть предыдущая сессия не была корректно терминирована, и их биллинг считал, что я "как бе уже подключен". Вот и не давал подключиться во второй раз. Спрашиваю у техподдержки, что мне делать в таких случаях. Говорят "звоните нам, мы руками прибьём сессию". Красота!

Cat-light

Потестировал "Мир", "Сбербанк" и немного МТС

... Таки завёл себе карточку имени зелёного пакмана. Потому что у всех он есть, и все норовят расплатиться с тобой именно им, и ничем другим. Пришлось тоже причаститься. Из соображений скорости и бесплатности выбрал себе "Мир Моментум" (не именную, моментального выпуска).

... И знаете шо? Вот бывают безопасные спички. В смысле, пожаробезопасные. Они не загораются, поэтому ими тупо ничего нельзя поджечь. Так и тут. Почти абсолютно безопасная дебетовая карта. Вот почему.


  1. Мошенники за пределами России не страшны, ибо там мало где можно расплатиться "Миром".

  2. Мошенники в России тоже не особо страшны, потому что даже в российских онлайн-магазинах ей нельзя расплатиться.

  3. Код клиента в банкомате мне получить так и не удалось.

  4. Даже собственные банкоматы Сбера не опознают её при попытке воспользоваться бесконтактным способом.

По поводу пункта два поясню. Ради эксперимента я положил на эту карточку немного денег и попытался стянуть их через личный кабинет Тинькова. Не удалось. Отлуп со словами "Операция отклонена банком. Обратитесь в банк, выпустивший карту списания". Я в непонятках, тем более что с "Мира" моей мамы аналогичные транзакции нормально проходят. Но у неё карта именная. У меня — нет. А далее крайне забавный разговор со Сберовскими "маринками".

Жалуюсь, что не могу Тиньковым стянуть деньги. Жду на линии. Отвечают, мол, это потому что карта неименная. Вот и не получается. Тогда спрашиваю, а что, в интернет-магазинах тоже не смогу ей расплатиться? Снова жду на линии. Говорят, в каких-то смогу, в каких-то не смогу. Вау! А можно как-то заранее узнать, где смогу, а где не смогу? Тут у маринки окончательно лопается терпение, и она посылает меня на офсайт платёжной системы "Мир". Где карту оформляли, туда и идите на xyz Мир и узнавайте у них, какие там ограничения на использование неименных карт. Ну спасибо, добрая фея. Послала деда бабка в лес за дровами. Послала так послала.

Насчет кода клиента тоже смешно получилось. Мне было предложено попробовать получить его в нескольких разных банкоматах (я уже попробовал в двух), переписать их номера. А потом сообщить их в техподдержку. Как-нибудь, пожалуй, поразвлекаюсь, когда совсем нечем заняться будет. Обойду все банкоматы на районе, составлю списочек штук из 50ти, выкачу им. Может быть, до них дойдёт, что дело было не в бобине вовсе не в банкомате.

... Закончилось всё тем, что я через веб-морду выпустил себе ещё одну виртуальную дебетовую карту с модным хипстерским названием "Visa Digital". Перекинул на неё деньги с "Мира", а уже с "Визы" благополучно стянул Тиньковым. Вот казалось бы, по факту всё в одном и том ЦБшном процессинге обрабатывается. А поди ж ты! Где логика, где справедливость? ©

... Этот их "Сбер ID" — тоже кусок прикола. Некий донельзя кастрированный личный кабинет а-ля "Сбербанк онлайн", в котором нельзя сделать вообще ни-хре-на. Только заказать дебетовую карту. Но после того, как ты её (карту) таки получишь, ты вынужден регистрировать новый, "полноценный" личный кабинет. Привязать свежевыпущенную карту к прежнему логину нельзя. В чём тогда вообще заключается сакральный смысл всего этого действа? Загадка.

... Короче говоря, Сбер как был эталонным говна куском, так и остался. Только добавили рюшечек, свистелок и перделок. Теперь можно открыть сберегательный счет или виртуальную карту прямо через веб-морду (не прошло и столетия). Мобильное приложение стало работать быстрее. В кал-центр можно звонить по VoIP прямо из приложения. (Интересно, там RTP хотя бы шифруется?) В остальном тоска смертная. Ну а так... вполне могу рекомендовать Сбер Мир Моментум как безопасную дебетовую карту (см. про безопасные спички).

... Кстати, насчёт "Мира". Я ж уже полгода везде расплачиваюсь "Миром" имени Тинькова. Докладываю. Каких-то серьёзных проблем не возникло нигде. Местами её не понимают при бесконтактном применении, приходится совать в терминал. Хуже всего на пригородных электричках: там вообще часто конкретно приходится побегать в поисках билетного автомата, который согласится на Мир. Из десятка оных на Ленинградском вокзале успеха добьёшься в одном-двух. А в остальном нормально. Ну вот только с неименными картами какие-то загадки ещё.

... Тем временем электронное мошенничество шагает по стране. Не отберут квартиру, так "повесят" на вас парочку ОООшек. Как всегда, защититься невозможно. Даешь больше геморроя простым гражданам!

... МТС на этом фоне выглядит более чем скромно. Подключить услугу "родительский контроль" можно USSD-командами, а отключить — только посещением салона связи или через кал-центр. Поленились интерфейс наклепать что ли? Впрочем, спасибо что эта услуга в принципе есть. Остальное уже мелочи...

Cat-light

Как стырить квартиру через интернет

— Как взломать банкомат, имея ноутбук и кувалду? Очень просто! Подходишь к банкомату, разбиваешь его кувалдой, забираешь деньги и смываешься.
— А ноутбук зачем?
— Дык какой же ты хакер без компьютера?!?

Мошенники похитили квартиру в Москве через интернет

Как мне видится, глобальное решение может быть только одно: система принудительной доставки электронных сообщений для физических лиц. Наподобие той, как уже сейчас работает в некоторых регионах применительно к Почте России и автомобильным штрафам. Когда ты можешь заказное письмо получить на электронную почту. Только сделать для всего-всего, а не только для автоштрафов. И пока гражданин к этой системе не подключится, ЭЦП ему не выдавать. Плюс организовать централизованную базу данных уже выданных подписей. Если в течение года одно и то же рыло получает подписи в двух разных УЦ, то бить тревогу и проверять с особым пристрастием.

Также будет полезным перейти от централизованной технологии удостоверения рыла на манер X509 к распределенной типа PGP. Чтобы твоя электронная подпись получила необходимый для совершения сделок "вес", нужно чтобы её подтвердили бы, к примеру, не менее чем три различных инстанции. Скажем, родственник, работодатель, сосед, участковый пилиционер, клерк в МФЦ, сотрудник СОБЕСа или фиг знает кто-нибудь там ещё, но кто изначально давно и хорошо знает пациента. Увы, это всё мои влажные мечты...

Жаль будет, если из-за подобных случаев примут решение вообще похерить на корню всю систему электронного документооборота. Эти могут...

Cat-light

Эти хитрожопые китайтсы с AliExpress

Уже во второй раз в своей практике нарываюсь на нечистоплотных продаванов с AliExpress, которые заказ принимают, товар не высылают, а потом всячески хитрят, чтобы не возвращать предоплату.

Выглядит это так. Ты набираешь товары. Оплачиваешь. Через какое-то время видишь, что продавец якобы отправил тебе заказ, получаешь трекинговый номер. Через какое-то время заходишь в личный кабинет и наблюдаешь там "Shipment Cancelled" (отправка отменена). Дальше начинается цирк.

По правилам AliExpress-а сама по себе надпись "Shipment Cancelled" ещё не является основанием для возврата денег. Мол, планета большая, а вдруг всё-таки когда-нибудь да дойдёт? Поэтому чтобы железобетонно получить уплоченное взад, диспут надо открывать под самый под конец гарантированного срока доставки (два месяца) с мотивацией "я честно ждал, но так ничего и не получил". Подобные споры всегда решаются в пользу покупателя, но приходится терпеть два месяца, когда и так уже всё понятно. Технически, можно попросить продавана в чатике вернуть денюжку по-хорошему, без диспута. Но они всеми силами сопротивляются и стараются тебя кинуть.

Вот пример диалога с моей последней попытки.

Collapse )

Вот же ж китайские п...сы. Cперва попробовали на***ть меня с PayPal-ом. Не получилось. Тогда они предложили открыть мне диспут с мотивацией "я получил, но хочу вернуть потому что передумал". Разумеется, я не смогу доказать, что действительно что-то им вернул (потому что не получал). Так что позже они снова преспокойно спишут с меня эти деньги, даже если и вернут их взад. Если вдруг кто не понял, с PayPal-ом срабатывает ровно такая же схема. Китаец тебе платит якобы за покупку чего-нибудь, а потом через PayPal-овский арбитраж истребует свой платёж обратно, потому что ты ему ничего не отправил. Козлы.

Что самое непонятное, магазины этих жуликов почему-то устойчиво годами висят в топе торговой площадки, называются "бла-бла-бла Official Store" и помечены AliExpress-ом как "Top Brand". А конкретно, вот ссылки на продаванов, которые безуспешно попытались меня кидануть: раз, два.

Блин. Вот я теперь прям даже и не знаю, где бы взять хороших BlitzWolf-овских проводочков для зарядки телефонов. Они мне всегда так нравились, хнык.

Cat-light

Как ОПСОСы обирают абонентов

На всякий случай. "ОПСОС" — это не ругательство, а сокращение от "ОПератор СОтовой Связи".

На момент написания этого псто сотовая связь в России всё ещё находится в общемировом топе по соотношению "цена-качество". Не знаю, надолго ли. Но чудес, конечно, не бывает. Одной из причин такого "успеха" является то, что по факту одни абоненты платят за других. А именно, менее грамотные и "прошаренные" спонсируют своих более въедливых "коллег".

Официально заявляемые ОПСОСами цены действительно весьма привлекательны. Но зато дальше начинается на***лово. То мелкий шрифт в описании, то впаривание ненужных услуг, то услуги, которые подключаются сами по себе, то "промахнись по кнопке и потрать денюжку", список можно продолжить. Причём попадаются на такое не только бабульки-дедульки, но и вполне технически подкованные товарищи ITшники.

Этот псто меня побудил написать недавний случай, когда мой знакомый открыл с мобильного Яндекс, ввёл поисковый запрос "Поросёнок Пётр". Потом перешёл по первой ссылке из поисковой выдачи. Больше ничего не делал. Тут же с его лицевого счёта списали 35 рублей за какую-то подписЬку на какой-то мутный контент. И такие случаи являются далеко не единичными.

Сами ОПСОСы не проявляют особого энтузиазма в борьбе с такими жуликами. Ведь они и сами "в доле". Можно позвонить, поругаться с техподдержкой, деньги вернут. Но ведь лох не мамонт, не вымрет. Кто-то не утруждает себя "такими копейками". И тем самым поддерживает недобросовестную ценовую конкуренцию среди операторов.

Так-то в подобных милых шалостях, вероятно, и не было бы ничего особо страшного. Но есть как минимум три услуги, которые могут существенно усугубить ситуацию.


  1. "Кредит доверия". Это когда оператор позволяет уходить балансу счёта "в минус". Причём, подключают эту услугу обычно автоматически и втихаря, без уведомления абонента. Типа, "она не ухудшает условия обслуживания". Из-за этого пользователь замечает что-то неладное слишком поздно, ведь услуги связи не блокируются сразу.

  2. Автоплатёж. Не тот, который по календарю. А тот, который срабатывает по достижении определённой пороговой суммы на лицевом счету. Таким макаром могут увести с банковского счёта абонента практически неограниченные суммы. Классический отъём денег у населения исключительно честным способом.

  3. Выпущенная к лицевому счёту оператора банковская карта. Тут вроде и так всё понятно. При таком раскладе человек обычно держит на счету значительную сумму денег.

Кроме того, в последнее время начали поступать сообщения о подписках, которые технически оформляются не как оплата за услугу, а как перевод денег по расписанию. Цинизм заключается в том, что такие псевдоуслуги не отображаются в детализациях, не видны в общем списке подключенных контент-услуг и подписок. Более того, сотрудники салонов связи тоже их не видят и в большинстве случаев неспособны отключить в силу своей недостаточной квалификации. В данной ситуации помогает только подключение услуги "Запрет мобильных переводов" и периодическое поглядывание в ежемесячные счета от оператора (не детализации вызовов).

Итак, какие же существуют способы для того, чтобы оградить себя от подобных неприятностей настолько, насколько это возможно?


  • Прежде чем начать эксплуатировать свежекупленную симку, обязательно зарегистрируйте личный кабинет и ознакомьтесь со списком услуг. Сразу отключите явно ненужные. Сразу подключите всевозможные запреты на действия, которые вам точно не понадобятся в дальнейшем. Обязательно зайдите в SIM-меню (меню SIM-карты, иногда отображается как "сервисы оператора") и отключите там все "новости", "рассылки", "хамелеоны", "калейдоскопы", "уведомления" и прочую муть, всю какую сможете найти. Отключите автопродление пакетов минут / смс / гигабайтов, если у вас нет на то осознанной необходимости.

  • Проделывайте то же самое после каждой смены тарифа.

  • Проделайте то же самое спустя две недели и месяц после покупки новой симки или смены тарифа. Могут всплыть автоматически подключенные без вашего ведома услуги.

  • Прежде чем отдавать SIMку в пользование пожилому человеку, обязательно походите с ней минимум месяц сами, смотри предыдущие пункты.

  • Не давайте бабушкам / дедушкам смартфоны. Либо обрезайте их функционал и/или ставьте блокировку на потенциально опасные фичи.

  • Хорошим подходом будет использовать для голосовых звонков одну симку, а для интернета другую. Да, это дороже. Зато не останетесь совсем без связи если вдруг с интернетной симки внезапно пропадут все деньги.

  • Под интернетные симки неплохо годятся "колхозные" и "корпоративные" тарифы, а также предложения от посредников типа SIM2M. На них всё это контентное кидалово не распространяется.

  • Если вам нужна симка в "умное устройство" (сигнализации, трекеры, ворота, камеры наблюдения и т.п.), берите для неё либо соответствующий тариф "Для умных устройств" от операторов, либо спецпредложение от посредников. По тем же причинам, что и в предыдущем пункте. Плюс, на них не подключается автоматически всякое г...но, а в саму симку не зашито всякой гажи для реализации принципа "промахнись и заплати". Да и срок протухания у них в разы больше.

  • Избегайте услуг типа "кредит доверия" и автоплатежей по достижении пороговой суммы. Периодически проверяйте, что их не подключили без вашего ведома.

  • Не выпускайте банковскую карту к своей "основной" SIMке. И вообще, для банковских продуктов всегда заводите отдельные SIMки и аппараты, пусть они всегда лежат дома.

  • Если возможно, всегда поддерживайте баланс своего лицевого счета около нуля. Как вариант, можно поручить своему банку (не ОПСОСу!) совершать фиксированные ежемесячные платежи на ваш мобильный номер строго по календарю (не по порогу суммы на балансе!).

  • Ходите в интернет с мобильного через прокси, пока ещё это не запрещено законом (Яндекс браузер с режимом "Турбо", Opera Turbo и всё вот это).

  • Не перезванивайте, когда вам звонят с незнакомых номеров и сразу же вешают трубку.

  • Периодически поглядывайте в ежемесячные счета от своего оператора (не детализации вызовов, а именно счета). Можно заказать их доставку себе на электронную почту. Это бесплатно.

  • Активируйте отдельный счёт для контент-услуг. Для этого понадобится придти ногами в ближайшее представительство оператора с паспортом и написать заявление. Это бесплатно.

Касаемо последнего пункта. Про него почему-то все забывают, а ОПСОСы по понятным причинам не афишируют наличие такой возможности. Тем не менее это, пожалуй, самая простая и эффективная мера против любого околоконтентного мошенничества. Единственное, она создаст вам самим некоторые неудобства, если вы, к примеру, оплачиваете парковку SMSкой с мобильного. В таком случае вам придётся сперва USSD-командой перекинуть деньги с основного счёта на контентный, а потом уже совершать запланированное действие. Но ИМХО (моё мнение, которое я никому не навязываю), проще уж тогда установить соответствующее мобильное приложение и башлять напрямую из него.