?

Log in

No account? Create an account

Предыдущий | Следующий

Прочитал сегодня статью про обман партнеров РЖД по продаже билетов.

Ну, хорошо, если для доступа к системе заказа билетов используют кей-логгеры, полученные по электронной почте.... Не знаю как, но допустим.
Но как вернуть деньги?!


Суть мошенничества, изложенная журналистом:

  • Злоумышленник направляет партнеру РЖД письмо по электронной почте, которое содержит вредоносный контент, включающий в себя кей-логгер.

  • Получив логин и пароль для доступа к системе заказа билетов, злоумышленник покупает некоторое число билетов на подставных лиц.

  • РЖД списывает со счетов партнеров стоимость проданных билетов.

  • Подставные лица обращаются в кассы РЖД для возврата билетов.

  • ...

  • PROFIT!

Теоретическую возможность отправки таких вредоносных сообщений электронной почты я не отрицаю. Возможно, что с помощью этого или иного способа злоумышленник получает доступ к системе. Но сразу возникает масса вопросов:

  • А почему рабочие места доступа к системе настолько плохо защищены?

  • Почему используется настолько уязвимая комбинация как логин + пароль?

  • Для чего вообще логин и пароль доступа к системе вводятся на том же рабочем месте, на котором обрабатывается входящая электронная почта?

Допустим, что эти вопросы можно списать на всеобщую безграмотность в части информационной безопасности.
Но как от РЖД можно получить деньги за сданные билеты?!
Деньги за возврат получают тем же способом, которым они были заплачены: наличными, на карту или расчетный счет плательщика, через систему электронных платежей.

То есть, чтобы эта схема работала, злоумышленнику достаточно войти под логином и с паролем, указав плательщика и вид платежа "наличные"?
Ребята, но это уже не безграмотность, а открытое приглашение к хищению ваших денег!
Нельзя использовать такие способы в отсутствие средств контроля оплаты или без применения дополнительных средств защиты.

Либо журналист что-то не понял в схеме мошенничества, либо о чем-то умолчал, либо в этой области работают непуганные идиоты.
Других возможностей не вижу, хотя и склоняюсь к четвертой: мошенничества были осуществлены пособниками злоумышленника.

Comments

( 12 комментариев — Оставить комментарий )
readercom
22 дек, 2014 14:57 (UTC)
Так надо полагать возврат наличными без документов тоже невозможен?

И что, ради пары-тройки билетов кто-то будет всякий раз сливать "левый" паспорт?

Или тут я ошибаюсь?
infodefence
22 дек, 2014 15:25 (UTC)
Согласен, возврат через кассу без паспорта невозможен, так что, скорее всего, схема журналистом не понята.
ivalnick
23 дек, 2014 02:17 (UTC)
С этим как раз всё в порядке.
Таким образом в 2008 году спасали деньги из пары банков: с потерями, но лучше чем ничего.
ivalnick
23 дек, 2014 07:25 (UTC)
Мои знакомые, расчетный счет у которых был в одном из проблемных банков, оплатили через банк-клиент железнодорожные и авиа-билеты на своих сотрудников, а потом те сдавали их за определенный процент.

А в этой схеме мошенники покупают билеты на чужие деньги.
rad8
23 дек, 2014 09:46 (UTC)
В этом году РЖД возвращали деньги только на тот же источник. Если оплатил электронно, то наличными не вернут.
infodefence
23 дек, 2014 12:19 (UTC)
Фишка в том, что кто-то приходит за деньгами с паспортом.
Если мошенники (или сообщники) предъявляли настоящие паспорта, то они клинические идиоты.
А в то, что ради таких не сильно больших сумм засвечивались фальшивые паспорта, поверить еще сложнее.
ivalnick
23 дек, 2014 02:16 (UTC)
"Билеты оформлялись на паспортные данные реальных людей. Чаще всего это были студенты, которых находили через соцсети. Их определение в иерархии звучит лаконично: "drop"."

По сути, это те же люди, которые по украденным данным карт получают в банкомате наличные. Некоторые знают о том, что обналичивают украденное, некоторые нет.
readercom
23 дек, 2014 10:16 (UTC)
Сами себе срок поднимают? Сложнее ведь им будет доказать, что они не в курсе мошенничества были, нежели следователю, что знали. Последнему, в принципе, и доказывать ничего не нужно. Вот оно чо айфон животворящий с людьми вчера еще разумными делает ))
amironenko
22 дек, 2014 17:37 (UTC)
>А почему рабочие места доступа к системе настолько плохо защищены?

>Почему используется настолько уязвимая комбинация как логин + пароль?

>Для чего вообще логин и пароль доступа к системе вводятся на том же рабочем месте, на котором обрабатывается входящая электронная почта?

ответ на все три вопроса - билеты продает обычное турагентство в составе: три девочки, директор, приходящий бухгалтер и приходящий студент-эникейщик. Все это в съемном офисе из одной комнаты. Компьютеров там всего три, за одним сидит директор, за двумя - девочки.
ivalnick
23 дек, 2014 02:23 (UTC)
Я третий год подряд оформляю туры в одной и той же тур-фирме именно такого состава. Еще в первый раз обратил внимание, что вся работа с тур-оператором у них идет через тонкий клиент, но только в этом году заметил, что работают они под Линуксом, причем в очень хитрой конфигурации.
amironenko
23 дек, 2014 03:26 (UTC)
Ну так это туроператор предоставил им такого клиента. Если я правильно понимаю, фирма Якунина сделала просто веб-морду к Экспресс-3, работающую в любом браузере. Хранение пароля легло на плечи девочки.
( 12 комментариев — Оставить комментарий )

Profile

Аватарка
ivalnick
ivalnick

Latest Month

Ноябрь 2019
Вс Пн Вт Ср Чт Пт Сб
     12
3456789
10111213141516
17181920212223
24252627282930

Метки

Разработано LiveJournal.com
Designed by Tiffany Chow