Поисковые системы и каталоги. Логотип Iskati.Com

Поисковые системы, каталоги и интернет-бизнес
Статьи о поисковых системах, каталогах и прочем в области электронной коммерции

  Поисковые системы и каталоги. Разделитель ГЛАВНАЯ   Поисковые системы и каталоги. Разделитель СТАТЬИ   Поисковые системы и каталоги. Разделитель НОВОСТИ   Поисковые системы и каталоги. Разделитель ПОИСК   Поисковые системы и каталоги. Разделитель О ПРОЕКТЕ   Поисковые системы и каталоги. Разделитель КОНТАКТ   Поисковые системы и каталоги. Разделитель КАРТА САЙТА

СТАТЬИ ПРО БИЗНЕС В ИНТЕРНЕТЕ

Как измерить ущерб от спама, а также - более важно! - преодолеть антиспамовские фильтры

Можно ли сформировать коммерчески эффективный трафик целевой аудитории за ... один день?

Электронный бизнес жив, но акценты меняются

Cделано в Индии - разглядывая офшорный кусок софтверного проекта

hi-tech экспорт из континетального Китая

Индия VS. Китай: гонки в Интернет и не только

Годовщина IPO компании Google:

Google и YouTube: Интернет-пузырь version 2

Рейтинг ”электронной готовности” стран

Хотите продать сайт?





Для сотрудничества по размещению на нашем сайте вашых рекламных материалов, вы можете связаться с нами одним из способов указанных в разделе "Контакты". Кроме того вы можете написать нам и в случае заинтересованности в тематическом обмене с нами ссылками или статьями, или любой другой формы взаимного обмена информацией.


Мы заинтересованы также в размещении рекламы на паритетной основе между нашим проектом и проектами-партнёрами, как на специально отведённой для этого странице так и на центральной странице нашего ресурса.

Поисковые системы и каталоги. предыдущая страница предыдущая страница

Как украсть миллион

После того, как я опубликовал прошлую колонку про RBK Money, некто, представившийся как "постоянный читатель" обвинил меня в отзыве, что я "наехал" на RBK Money, "чтобы заметили". Да, полноте! RBK Money и так хорошо заметна, и моя колонка вряд ли сделает ее еще заметнее.

После того, как я опубликовал прошлую колонку про RBK Money, некто, представившийся как "постоянный читатель" обвинил меня в отзыве, что я "наехал" на RBK Money, "чтобы заметили".

Да, полноте!

RBK Money и так хорошо заметна, и моя колонка вряд ли сделает ее еще заметнее.

А вообще то, "постоянный читатель", если он действительно "постоянный", должен знать, что RBK Money далеко не первая система, на которую я "наехал". И не последняя.

Да и не "наехал" вовсе, а "обозначил недостатки и просчеты". Это не наезд, а выполнение журналистского долга. Ведь то, о чем я писал, имеет место быть? Имеет! Можно спорить относительно того, недостаток ли это, просчет ли это, но против существования описанных реалий поспорить нельзя.

Я получил много писем, где оппоненты убеждают меня в том, что снижения безопасности платежных систем, о котором я пишу в последнее время - фикция! Что никакого снижения нет! Что, отказавшись от традиционных "банковских" средств идентификации клиентов в пользу простейших логина-пароля, современные платежные системы не снизили свою безопасность, а всего лишь приблизили к себе пользователей. Что идентификация при помощи пары логин-пароль вполне надежна.

Ну что на это ответить?

А хотите я сейчас прямо у вас на глазах взломаю что-нибудь супернадежное, защищенное только логином и паролем?

Ну конечно не по настоящему взломаю, без криминала, но во вполне реальном демо-режиме.

В качестве основы для "взлома" возьмем самое слабое звено, через которое происходит 99% всех "взломов", а именно - "человеческий фактор".

Тут ведь вот какая загвоздка: когда система защищена одновременно и техническими средствами и "человеческим фактором", то если человеческий фактор сломается, останутся технические средства. А в паре логин-пароль никаких технических средств нет, только голый человеческий фактор.

Итак, располагайтесь поудобнее и смотрите.

Но повторить не пытайтесь. Подобные трюки выполняются лишь профессионалами.

Да, и, кроме того, вам не будут известны тонкости, которые в статье по вполне понятным причинам, не упомянуты.

Для начала выберем объект взлома. Вот, например, Ситибанк кажется мне вполне подходящим кандидатом. И контора серьезная, и изо всех средств защиты интернет банкинга – только логин с паролем.

Когда-то Ситибанк в качестве логина просил ввести номер карты, а в качестве пароля – ее пин-код. Потом спохватился и отказался от этой практики. Думал, что так поднял безопасность. Наивный!

Теперь выберем метод взлома. Возьмем самый простой и доступный – фишинг. Он неоднократно и подробно описывался в тысячах публикаций. Но, как показывает практика, специалисты служб безопасности банков и платежных систем таких публикаций не читают.
Теперь о человеческом факторе.

Человеку, как известно, свойственно ошибаться. Вот набирает он доменное имя в строке браузера, да и, нет-нет, ошибется. То буковку пропустит, то поменяет местами соседние буквы слова. То промахнется и пальчиком на клавиатуре не по той буковке шлепнет. Очень часто, например, вместо I бьют по O. Или вместо E по A.

А это ой как не безопасно для банка! Представьте, что будет, если злоумышленник на таком ошибочном домене разместит точную копию настоящего сайта банка. Какие возможности для жульничества открываются, аж голова кругом идет!

Поэтому все статьи по фишингу рекомендуют в целях безопасности регистрировать вместе со своим доменным именем все "похожие" имена. Чтобы хакерам не достались.

Проверяем, как обстоят дела с этим у русского Ситибанка.

citibnk.ru – свободно
citibnak.ru – свободно
citibakn.ru – свободно
cotibank.ru – свободно

Как хорошо, что это заметил я, а не хакеры. А потому, дабы ни у кого из читателей не возникло соблазна проделать то, о чем я напишу дальше, я эти домены сейчас займу.

То есть, как честный человек и добросовестный гражданин, я выполню ту работу, которую должна была выполнить служба безопасности банка, но по каким-то причинам не выполнила.

А вот если бы я был нечестным человеком, я бы проделал следующее.

На каждом из этих доменов я бы разместил точную копию сайта Ситибанка. Клиенты, которые ошиблись в наборе домена, и думали бы что попали на настоящий сайт Ситибанка, вводили бы у меня свои логины и пароли для онлайнового банкинга. Мое программное обеспечение запоминало бы эти логин с паролем, после чего посетители перенаправлялись бы на настоящий сайт Ситибанка, на страницу с сообщением об ошибке при вводе пароля. Клиент указывал бы логин и пароль заново, и попадал бы уже в настоящий банкинг Ситибанка. Все выглядело бы вполне естественно, и никаких подозрений у клиента не возникло бы.

Сперев таким образом достаточное количество клиентских логинов и паролей, я бы не спеша прогулялся по клиентским счетами и выбрал относительно небольшое количество тех, где лежат крупные суммы. Часть этих крупных сумм я бы, с соблюдением некоторых мер предосторожности, перевел бы куда-нибудь в такое место, которое вроде как не существует для мировой фемиды, но, в то же время, обладает вполне реальными банками, включенными в мировую банковскую систему. Ну, скажем, куда-нибудь в Турецкое Государство Северного Кипра. Потом бы на эти деньги безналично купил бы каких-нибудь ликвидных ценных бумаг или облигаций на предъявителя. И уже потом анонимно обратил бы их в деньги.

Да, чуть не забыл.

Все бы это я проделал, выехав предварительно в какую-нибудь южную густонаселенную страну и, выйдя в Интернет с украденного мобильника с чужой симкой, который можно без особых проблем купить в любой точке мира.

Вот вам и логин с паролем...

Что говорите? Платежные пароли?

Многие системы, и RBK Money в том числе, просят ввести для подтверждения транзакции дополнительный "платежный" пароль, отличный от "входного"? И его таким образом не украдешь?

Да полноте!

Хотите узнать как это сделать?

Ask me how!

Disclaimer. Для тех, кто захочет обвинить меня в том, что я учу ломать банки, сообщаю, что вся опубликованная информация получена из открытых источников. В частности, с сайта самого Ситибанка.

http://www.moneynews.ru

Поисковые системы и каталоги. Предыдущая статья  Предыдущая статьяСледующая статья  Поисковые системы и каталоги. Следующая статья
Поисковые системы и каталоги. Информационная часть

Ещё 5 статей на тему "Разное о электронной коммерции"


Юлия Богданова, ”Венчурная фабрика”: ”Один из десяти венчуров становится успешным”

Почему Нью-Йорк? Или азы биржевой торговли

В чем заключается основное преимущество работы в интернете

Как начать свой бизнес в интернете

Что ждет социальные сети?

Все статьи на эту тему ...



Комментарии к статье: " Как украсть миллион"


Ваше имя:


Комментарий:


Введите код изображенный на картинке: