ivalnick (ivalnick) wrote,
ivalnick
ivalnick

Categories:

Теоретический способ обмана партнеров РЖД

Прочитал сегодня статью про обман партнеров РЖД по продаже билетов.

Ну, хорошо, если для доступа к системе заказа билетов используют кей-логгеры, полученные по электронной почте.... Не знаю как, но допустим.
Но как вернуть деньги?!


Суть мошенничества, изложенная журналистом:

  • Злоумышленник направляет партнеру РЖД письмо по электронной почте, которое содержит вредоносный контент, включающий в себя кей-логгер.

  • Получив логин и пароль для доступа к системе заказа билетов, злоумышленник покупает некоторое число билетов на подставных лиц.

  • РЖД списывает со счетов партнеров стоимость проданных билетов.

  • Подставные лица обращаются в кассы РЖД для возврата билетов.

  • ...

  • PROFIT!

Теоретическую возможность отправки таких вредоносных сообщений электронной почты я не отрицаю. Возможно, что с помощью этого или иного способа злоумышленник получает доступ к системе. Но сразу возникает масса вопросов:

  • А почему рабочие места доступа к системе настолько плохо защищены?

  • Почему используется настолько уязвимая комбинация как логин + пароль?

  • Для чего вообще логин и пароль доступа к системе вводятся на том же рабочем месте, на котором обрабатывается входящая электронная почта?

Допустим, что эти вопросы можно списать на всеобщую безграмотность в части информационной безопасности.
Но как от РЖД можно получить деньги за сданные билеты?!
Деньги за возврат получают тем же способом, которым они были заплачены: наличными, на карту или расчетный счет плательщика, через систему электронных платежей.

То есть, чтобы эта схема работала, злоумышленнику достаточно войти под логином и с паролем, указав плательщика и вид платежа "наличные"?
Ребята, но это уже не безграмотность, а открытое приглашение к хищению ваших денег!
Нельзя использовать такие способы в отсутствие средств контроля оплаты или без применения дополнительных средств защиты.

Либо журналист что-то не понял в схеме мошенничества, либо о чем-то умолчал, либо в этой области работают непуганные идиоты.
Других возможностей не вижу, хотя и склоняюсь к четвертой: мошенничества были осуществлены пособниками злоумышленника.
Tags: Журнализмы, Мошенники, Россия
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 12 comments