Мошенничество компании Яндекс

[OlegAndr 236]

Там не будут кормить?

Да, с кормежкой напряжно. Сегодня у меня был стресс- я видел как едят китайцы.

[Андрей-001 1099]

OFF

Сегодня у меня был стресс- я видел как едят китайцы.

Я тоже видел.

И что же там такого стресс-ситуационного? Тип еды, способ еды или ассортимент еды?

[alexgr 556]

Ну, это же вырвано из контекста, зачем так делать? smile.gif

я привел полный ваш пост - где контекст, из которого это вырвано????

Второе - ежели мы говорим о защите данных при платежных операциях с использованием платежных карт - есть PCI DSS.

[Deja_Vu 366]

я привел полный ваш пост - где контекст, из которого это вырвано????

Второе - ежели мы говорим о защите данных при платежных операциях с использованием платежных карт - есть PCI DSS.

Вот мой пост полностью:

FlyNet, если Вы их вводите в инете, то считай что Ваш пароль давно известен и номер карты и деньги уже не у Вас...

а как же покупки по CVV2?

Например в стиме.

Ну и что, что есть PCI DSS? Как это относится к keyloger'у на клиентской машине?

[alexgr 556]

так прочтите стандарт хотя бы. Раздел 5 например.

[Deja_Vu 366]

так прочтите стандарт хотя бы. Раздел 5 например.

Я не пойму, что вы хотите мне сказать(уже который пост) в рамках темы?

На счет 5 раздела, я скоро уточню у спецов, но на мой взгляд, это касается именно внутренней кухни (например банка), а при чем тут текущий топик, не пойму.

[alexgr 556]

Отвечу за спецов - чтоб не рассусоливать - стандарт касается банков, других финансовых организаций, сервисных и продающих организаций, которые проводят транзакции с использованием платежных карт. То есть - если организация проводит хотя бы одну транзакцию в год - она должна соответствовать стандарту.

5 раздел касается управления уязвимостями

[Deja_Vu 366]

Ну, дык я Василий Пупкин, покупаю что-то через интернет.

У меня стоит пунтосвитчер, который постоянно что-то шлет в Яндекс.

Где уверенность, что они не отсылают данные которые я ввожу в браузер?

Тут был спор о том, что с помощью кейлогера, ничего украсть то и нельзя, я же, уточнил, что можно, т.к. для покупки достаточно PAN+CVV2+ExprDate в некоторых магазинах.

Я так подозреваю, что вы мне хотите сказать, что те магазины могут предоставлять дополнительный способ защиты, для предотвращения использования купленных товаров/услуг с помощью этих данных.

Например Steam фиксирует покупку на определенный аккаунт, и служба поддержки сможет разрешить данный конфликт, т.к. товар всегда им подконтролен.

Но есть и интернет магазины, у которых нет дополнительных способов защиты(т.е. злоумышленник может с помощью PAN+CVV2+ExprDate может воспользоваться средствами с карты), если найду быстро, дам ссылки на них.

При чем тут 5 раздел PCI DSS? Я просто не понимаю, что вы хотите мне сказать, извините.

[alexgr 556]

все эти магазины должны соответствовать стандарту - это первое, что я вам говорю. Второе - вы сами выбираете сервисную или торгующую организацию - есть сомнения - не платите.

Третье - прежде, чем идти в опасную зону - немного ликбеза, в том числе по современным платежным технологиям просто необходимо получить. раздел 5 говорит о необходимости иметь на компутере некоторый набор защитного софта с актуальными обновлениями.

А говорить о том, что крадут - крадут и будут красть, пока народ будет такой - будет вот лихо закачивать себе "кодеки" с порносайтов, осуществлять платежи с зараженных машин по открытым каналам связи (а зачем мне файрволл и этот VPN?)

Самое слабое звено в любой системе ИБ - человек

[Deja_Vu 366]

Вы похоже меня не правильно поняли в начале, возможно это я не до конца раскрыл свою мысль.

Суть в том, что пунтосвитчер отсылает данные Яндексу. Что есть подозрительно.

Однако Виталий скинул ссылку на Роем, где, как я понял, один из разрабов, объясняет, что это не более чем автообновление + сбор статистики.

Но, т.к. все данные передаются по https, желание верить Яндексу - не появляется.

[A. 875]

Но, т.к. все данные передаются по https, желание верить Яндексу - не появляется.

типа если бы передавались по http - желание верить появилось бы ?

[Васька 45]

В наше время можно верить только Деду Морозу

[demkd 590]

Но есть и интернет магазины, у которых нет дополнительных способов защиты(т.е. злоумышленник может с помощью PAN+CVV2+ExprDate может воспользоваться средствами с карты), если найду быстро, дам ссылки на них.

www.cabelas.com только PAN+Expire+Name, а этот америкосовский магазин один из самых крупных в мире по ден. обороту и плевать им на проверочные коды, авторизацию по адресу и прочие мелкие пакости платежных систем.

После через svchost.exe ломится на сервера яндекса и отправляет зашифрованную инфу по протоколу https/

И зачем же его выпускать куда попало? Много кто и куда ломится в том числе и отправляет зашифрованную статистику - это норма для значительной части "бесплатного" софта... однако ведь никто не мешает подрезать этим шустрикам доступ в инет

[alexgr 556]

Цитата

www.cabelas.com только PAN+Expire+Name, а этот америкосовский магазин один из самых крупных в мире по ден. обороту и плевать им на проверочные коды, авторизацию по адресу и прочие мелкие пакости платежных систем. smile.gif

Многие так думали. Хертленд например. Только увод денег МПС резко снижает на Западе обороты любого магазина. Не будет оборотов - сразу начнутся работы в сторону соответствия. Все почему то считают - мы крупные и штрафы переживем...Но отключение от сетей - речь совсем другая. Америка пострадает, скорее всего, позже других, но не минет и ее чаша сия

PAN+Expire+Name

а это и есть набор необходимых данных. Это вы к чему сказали?

[NOSS 130]

И зачем же его выпускать куда попало? Много кто и куда ломится в том числе и отправляет зашифрованную статистику - это норма для значительной части "бесплатного" софта... однако ведь никто не мешает подрезать этим шустрикам доступ в инет

Тогда вопрос не в тему, а чтоб разрядить обстановку: если у COMODO cmdagent.exe запретить шарашиться в инете, это на работе файервола никак не скажется? А то ничего путного по этому вопросу на форуме COMODO не нашел. В 5 версии он уж очень активизировался.

[demkd 590]

Многие так думали. Хертленд например.

Ну, лично я в кабеласе обуваться начал еще 10 лет назад в 2000-м, никаких ужесточений мер безопасности даже в отношении российских карточек с тех пор так и не произошло.

а это и есть набор необходимых данных. Это вы к чему сказали?

Поясняю. Для проведения операции по карточке класса Visa Classic и старше до сих пор достаточно этих 3-х полей, больше ничего не требуется и это хорошо и это правильно

[alexgr 556]

Ну, лично я в кабеласе обуваться начал еще 10 лет назад в 2000-м, никаких ужесточений мер безопасности даже в отношении российских карточек с тех пор так и не произошло.

Стандарт безопасности платежных систем появился в 2005, в этом году ждем очередную версию. И меры появились и будут ужесточаться

Поясняю. Для проведения операции по карточке класса Visa Classic и старше до сих пор достаточно этих 3-х полей, больше ничего не требуется и это хорошо и это правильно smile.gif

По стандартной схеме более ничего не требуется. Ужесточение касается завсегда механизмов передачи информации, хранения, шифрования etc. Клиенту это не должно мешать

[jerkol 0]

Да ну! В ваших антивиря есть система защиты номеров, вот туда их введите и смотрите журналы

[alexgr 556]

про защиту номеров антивирусом - это к чему? что и где защищаем?

[Jluca 0]

И кстати, не надо путать кредитную карту с дебетовой (зарплатной). Существенная разница.

Я и с дебетовой в личный кабинет кабинет захожу каждый раз новый временный пароль. Каждая операция так же через новый "вп". Банк снабжает карточками с "вп".

[A. 875]

Я и с дебетовой в личный кабинет кабинет захожу каждый раз новый временный пароль. Каждая операция так же через новый "вп". Банк снабжает карточками с "вп".

Если в это время у вас на машине живет да хотя бы Зевс двухлетней давности - этот одноразовый пароль нисколько вас не спасет от утери денег.

[SDA 750]

Троян ZeuS создан для кражи данных, необходимых пользователю для авторизации в платежных системах.

В России, где очень популярна такая услуга, как интернет-кошелек, опасность в первую очередь грозит пользователям платежных сервисов – QIWI, Яндекс.Деньги и WebMoney.

Логин, пароль или сертификат соответствия легко становятся доступны троянцу: при посещении пользователем веб-страниц онлайн-банкинга или платежных систем ZeuS отслеживает ввод информации с клавиатуры, после чего отправляет ее злоумышленнику.

Наиболее интересный способ кражи персональных данных, реализованный в Zeus, выглядит иначе — при открытии сайта, адрес которого присутствует в файлах конфигурации ZeuS, троянец меняет код страницы до того, как она появляется в браузере. Как правило, зловред добавляет новые поля для ввода секретных данных (таких как, PIN-код), которые после ввода пользователем пересылаются злоумышленнику.

Вход в кабинет по постоянному логину и потом идентификация клиента по SMS-коду, операция тоже самое. Скажите, каким образом злоумышленник воспользовавшись временным кодом сможет не то что войти в кабинет, но и списать денежные средства? Ведь при повторном обращении банковский сервер опять должен сгенерировать пароль и отправить sms на телефон клиента?

Плюс ко всему прочему у большинства клиентов есть услуга sms - по информации о списании/зачислении ден.средств.

[alexgr 556]

И кстати, не надо путать кредитную карту с дебетовой (зарплатной). Существенная разница.

А в чем существенная разница? В существовании разрешенного овердрафта?

Повторюсь - нужны минимальные знания держателя карточки о безопасности - безопасности своего девайса, с которого осуществляют платежи, уверенности в контрагенте, которому платят, и основ безопасности платежных систем. Хотя бы надо знать - когда сумма блокируется (транзакцию можно опротестовать), а когда списывается сразу

[SDA 750]

А в чем существенная разница? В существовании разрешенного овердрафта?

Не только.

Дебет – означает «вычитание». А именно - вычитание денег с Вашего с вашего банковского счета, но в пределах той суммы, на которую Вы сами его же и пополнили. Но если собственных средств Вам не хватает, то Вы можете расширить свои возможности и стать владельцем кредитной карты. Правда, для кредитной карты банк устанавливает кредитный лимит. Причем, сумма займа в этом случае определяется личной кредитной историей, доходом, долговыми обязательствами, а также платежеспособностью клиента. Правда не стоит забывать, что за использование карт банки не только могут взимать проценты, но и начислять их клиенту. В этом случае, владелец карты сможет воспользоваться ее тремя возможностями. Во-первых, расчетной - оплачивать покупки и снимать свои собственные наличные, которые предварительно размещаете на своем карточном счете. Во-вторых, кредитной – когда операции производятся в пределах кредитного лимита. А главное, сберегательной – когда клиенту будут начислены проценты за среднемесячный остаток средств, хранящихся на его карточном счете.

[alexgr 556]

из всего этого - есть только разрешенный овердрафт (можно называть его кредитом с разными заманухами как существенное отличие), проценты должны начисляться на остатки по всем видам карт (здесь только отличаются проценты), так и за пользование кредитом.... А с точки зрения кардера - отличие только в овердрафте, размер которого ему априори неизвестен