Ну, хорошо, если для доступа к системе заказа билетов используют кей-логгеры, полученные по электронной почте.... Не знаю как, но допустим.
Но как вернуть деньги?!
Суть мошенничества, изложенная журналистом:
- Злоумышленник направляет партнеру РЖД письмо по электронной почте, которое содержит вредоносный контент, включающий в себя кей-логгер.
- Получив логин и пароль для доступа к системе заказа билетов, злоумышленник покупает некоторое число билетов на подставных лиц.
- РЖД списывает со счетов партнеров стоимость проданных билетов.
- Подставные лица обращаются в кассы РЖД для возврата билетов.
- ...
- PROFIT!
- А почему рабочие места доступа к системе настолько плохо защищены?
- Почему используется настолько уязвимая комбинация как логин + пароль?
- Для чего вообще логин и пароль доступа к системе вводятся на том же рабочем месте, на котором обрабатывается входящая электронная почта?
Но как от РЖД можно получить деньги за сданные билеты?!
Деньги за возврат получают тем же способом, которым они были заплачены: наличными, на карту или расчетный счет плательщика, через систему электронных платежей.
То есть, чтобы эта схема работала, злоумышленнику достаточно войти под логином и с паролем, указав плательщика и вид платежа "наличные"?
Ребята, но это уже не безграмотность, а открытое приглашение к хищению ваших денег!
Нельзя использовать такие способы в отсутствие средств контроля оплаты или без применения дополнительных средств защиты.
Либо журналист что-то не понял в схеме мошенничества, либо о чем-то умолчал, либо в этой области работают непуганные идиоты.
Других возможностей не вижу, хотя и склоняюсь к четвертой: мошенничества были осуществлены пособниками злоумышленника.