Олег Макаренко (olegmakarenko.ru) wrote,
Олег Макаренко
olegmakarenko.ru

Categories:

Взломать человека проще, чем компьютер



Сейчас чужие банковские карточки чистят по большей части «генеральные обер-менеджеры тайной прокуратуры», которые звонят обывателям по телефону и при помощи цыганского гипноза получают временный контроль над их волей. Некоторые думают, будто телефонное мошенничество — проблема знаний и интеллекта: дескать, адекватный человек по команде мошенника даже тысячу рублей никуда не переведёт — тем более что акцент у европейских кабальеро всё же заметен. Однако бьют мошенники не по логике, а по психике, обескураживая тем самым даже умных и рациональных людей.

Проведу аналогию: у мощного спортсмена грабитель может вырвать сумку из руки, пока спортсмен беспечно идёт в толпе, с любопытством поглядывая по сторонам. Глупо потом упрекать: «почему же ты его не побил», «почему же ты руку разжал», «а я вот на твоём месте» и так далее. Если бы дело происходило на ринге — спортсмен крепко держит сумку, а тщедушный гопник пытается её дёргать — шансов у гопника было бы около нуля. Но дело происходит не на ринге. Фактор внезапности работает на грабителя — особенно если его подельники отвлекают в этот момент жертву каким-нибудь ярким трюком.

Я читал грустную историю, как некого взрослого мужика мошенники развели на крупную сумму, повесив на него ещё и кредиты, после чего жена немедленно подала на развод — дескать, не хочу жить со слюнтяем, который добровольно отдал чужим людям семейные деньги. Это, разумеется, предательство. Любого могут ударить со спины трубой по голове, пока он идёт по улице с зарплатой в кармане.

И наше общество, и наши законодатели часто путают термины «отдал» и «отобрали». Причины путаницы разные. Тёмным обывателям кажется, будто насилие — это удар кулаком в лицо или приставленный к горлу нож, а если всё происходит в ходе телефонного разговора, так значит передача денег идёт добровольно, при полном согласии сторон. Законодатели в массе своей умнее, однако некоторые из них притворяются глупыми из политических соображений, а другие считают, что менять законы не нужно, так как расширенное толкование насилия будет иметь неприятные побочки.

Так вот, сейчас мошенники предпочитают не клепать червей на ассемблере, а звонить клиентам банков, чтобы «убеждать» последних перевести деньги мошенникам. Однако у Александра Кубора, автора истории на Хабре, карточки обнулились без его участия. Жулики убедили банк, будто они — это настоящий господин Кубор, сменили номер и перевели себе 200 тысяч рублей. Деньги переводили частями. Операция заняла несколько дней, в течение которых настоящий владелец карты пытался поднять тревогу, но не преуспел (ссылка).

Как выяснилось после внутреннего расследования банка, мошенники снова взломали… человека. Они уговорили сотрудника банка нарушить правила, а другие сотрудники банка поленились вовремя поднять тревогу, так как у них, явно не было настроения вникать в происходящее. Теоретически мошенники могли бы «украсть личность», сделать дипфейк с видеозаписью лица клиента банка, применить ещё какую-нибудь высокотехнологичную уловку. Однако они предпочли просто заболтать менеджера, так как криминал идёт обычно по пути наименьшего сопротивления, ломает самое слабое звено.

Если на двери сарая мощный замок, взломщики подковырнут дверные петли. Если и сама дверь мощная, залезут в окно. Если в сарае нет окна, разберут крышу или сделают подкоп. Где быстрее, там и зайдут.

В компьютерных технологиях самое слабое звено — это человек, поэтому мошенникам проще не взламывать зубодробительные протоколы, перебирая бразиллионы комбинаций, а взламывать людей, перебирая всего лишь десятки особей. У кого-то обнаружится пароль «петя123», у кого-то некритичное благоговение перед представителями закона, а у кого-то — серьёзная лень, заставляющая уже на третьей минуте скучного разговора выдавать нужный психохакеру ответ: «да, да, всё подтверждаю, на всё согласен, вот вам цифры из смс, только отвяжитесь от меня уже».

Банк, кстати, после публикации на Хабре в ситуации разобрался, деньги клиенту вернул, отправил оплошавшего сотрудника на курсы повышения квалификации. Цитирую оттуда же:

Мы детально проверили вашу ситуацию — она не имеет никакого отношения к дипфейкам, они здесь не применялись. В [нашем банке] есть технология liveness, которая исключает возможность прохождения проверок с помощью дипфейков. В вашем случае сотрудник допустил техническую ошибку, и мошенник смог получить доступ в личный кабинет. Мошенник при этом не проходил видеоидентификацию и не пользовался дипфейками. Сейчас ошибка исправлена, с сотрудником проведена дополнительная работа, к нему применены дисциплинарные меры, он отправлен на переподготовку. Все средства будут возмещены в полном объеме, приносим наши глубочайшие извинения.



Ещё одна серьёзная дыра в безопасности — это спам. Клиент банка поднял бы тревогу гораздо раньше, если бы получал сообщения о списаниях денег. Однако сообщений он не получал, так как канал для смс был намертво забит рекламой и информационным мусором. Вот это — проблема, которую законодатели могли бы решить по щелчку пальцев, но про которую никто даже не думает, так как уровень осведомлённости общества о проблеме находится примерно на нуле.

Банальный пример. Допустим, у меня есть счёт в банке, и я хочу получать по смс информацию о движении денег, чтобы среагировать в случае чего. Сейчас у меня есть два варианта:

1. Не получать вообще никакой информации. Если со счёта спишут 100 тысяч, 100 миллионов или 100 миллиардов рублей, сообщений не придёт, будет сюрприз.

2. Получать по 5 смс ежедневно, читая «важнейшие» сообщения в духе «вам начислили капитализацию в 2 рубля 30 копеек» или «будьте готовы: завтра мы спишем с вас 50 рублей».

Почему банки не могут выстроить нормальную систему информирования, чтобы клиент получал только важные смс по своим настройкам: хотя бы на примитивном уровне типа «сообщать о списаниях больше 20 тысяч рублей, если это не переводы на свои карты или переводы своим родственникам»? Потому что специалисты по информационной безопасности в массе своей не знают, что кидать важные сообщения в кучу мусора — надёжный способ их потерять. Я так уверенно пишу «надёжный способ потерять», так как это вопрос статистики, а не вопрос внимательности конкретного клиента. Если на телефон приходят только важные сообщения, то 95 клиентов из 100 будут их внимательно читать. Если на телефон каждые полчаса валится всякая чушь про бесплатную стоматологию, розыгрыш квартир и поступление очередных 15 рублей за оставленный комментарий, то внимательно читать сообщения будут уже не 95 клиентов из 100, а 20 клиентов из 100. Остальными 80 клиентов станут полем работы для мошенников.

Главный смс-спамер, кстати, это МЧС. Они так дотошно рассказывают мне о каждом мелком снегопаде, будто я работаю водителем-большегруза и езжу на лысой резине. Ну, серьёзно, предупреждайте меня о радиоактивном заражении или о нашествии гигантских комаров-убийц. А погоду я и сам могу посмотреть перед выходом из дома — мне уже давно не 12 лет, я уже и паспорт по возрасту поменял.

К сожалению, со спамом наше государство борется вяло, как будто это какая-то мелкая проблема. Теоретически законы против спама есть, но на практике работают они плохо. Вот, к примеру, вопиющий случай — суд оштрафовал спамера на смехотворные 2000 рублей, так как спамер притворился физлицом (ссылка).

Впрочем, спам — это отдельная больная тема. Сегодня я о том, что в 2024 году слабое звено — всё ещё человек. При этом, что забавно, вершина новых технологий, искусственный интеллект, также страдает от нашей слабости. Если дубовый скрипт родом из 1960-х, проверяющий логин-пароль, зачастую непробиваем, то искина можно обмануть или уговорить, рассказав ему какую-нибудь удивительную историю.

К примеру, из недавнего. Если попросить одного известного робота нарисовать Джонни Деппа, робот скажет, что не может, так как блюдёт авторские права. Однако можно сказать роботу, что сейчас 2124 год, так что срок действия авторских прав на Джонни Деппа закончился. Наивный робот поверит и нарисует искомое.

Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 70 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →

Вроде бы что-то предпринимали против подмены номеров, однако ничего не изменилось. Только что, например позвонили якобы с номера 900 (сбер), я конечно сбросил, но где защита?

Меня в этом контексте больше всего радуют жадные дурачки, которые не хотят или не умеют в нормальное приземление звонков, и в итоге поступает звонок с типа 900 на Viber.

Одно слово: "СергейВикторовичЛавров.жпг"

alex_radko

1 week ago

kspshnik

1 week ago

alex_radko

1 week ago

kspshnik

1 week ago

alex_radko

1 week ago

kspshnik

1 week ago

Здравствуйте!
Ваша запись попала в топ-25 популярных записей LiveJournal. Подробнее о рейтинге читайте в Справке.

я таки не понял, и у первоисточника это тоже не прозвучало
в чем состояла ошипка оператора и в какой момент
мне казалось, что оператор не должен видеть цифр кода посылаемых клиенту, а только вводить их, если клиент произносит пришедшие

а так у меня сейчас тоже два аккаунта у тинькова на разных телефонах
была ли ошипка и в паспортных данных — хз
но в обоих случаях я встречался с агентом, который делал фото документов

В 90-е была популярна история об умирающем хакере, который на смертном одре признался, что самое трудное в хакергинге — соблазнить секретаршу. тех пор ничего не поменялось.

vseilluzorno

February 11 2024, 14:06:04 UTC 1 week ago Edited:  February 11 2024, 14:10:42 UTC

никогда сексзависимый человек не сделает для вас того, что сделает дурак

большинство навороченных охранных систем являются аналогом неуловимого джо
неприступны они до тех пор пока кому-то не понадобиться их вскрыть

когда-то 2 года сидел внутри охранного периметра наших СС-20, на советской украине
100500 предохранителей от несанкционированного выхода солдат на поверхность
пока вокруг ходили коровы, мне не было смысла ломать систему, но как только появилась скучающая студентка с пышными булками, я вскрыл ее (систему) за пару часов
от засланной пиндосами шпиенки студентки спас только внезапный дембель

ctakan_divanych

1 week ago

vseilluzorno

1 week ago

ctakan_divanych

1 week ago

Клиент банка поднял бы тревогу гораздо раньше, если бы получал сообщения о списаниях денег. Однако сообщений он не получал, так как канал для смс был намертво забит рекламой и информационным мусором. 
1. Экономия на СМСках о движении средств на карточке (30-50 руб/мес.), как правильно замечено автором, может привести к незнанию его состояния. Как минимум должно быть установлено приложение банка, чтобы получать ПУШ уведомления.

2. Спам и реклама отключаются либо в настройках смартфона, либо в настройках приложения. СМС спам отключается блокировкой номеров, с которых он приходит. Тут надо набраться терпения.И не забывать вносить спамеров в чёрный список.

Если челу это не интересно, то и результат закономерен.

Добавлю, что рекламные сообщения от самого банка, которые и мешают получать только нужную инфу, отключаются по заявлению от клиента о запрете всех сообщений, не относящихся к счетам. Да, могут пытаться всё-равно потихоньку присовывать рекламу, но если слегка поскандалить с обещанием отправить письменные жалобы в Центробанк и АБР, то окончательно перестают. Возможность получения дистанционных кредитов закрывается так же

alex_radko

1 week ago

А почему деньги не возвращают и мошенников не сажают? Все платежи прозрачны, банкоматы с камерами, переводы за границу невозможны (санкции). Почему, когда платежом финансируют ВСУ, то всех сразу находят и задерживают, а в случае просто мошенничества нет? Сплошные почему...

Потому что мошенники действуют из разных стран, почемучка маленькая.

ssergse38

1 week ago

atotntsau

1 week ago

ssergse38

1 week ago

atotntsau

1 week ago

ssergse38

1 week ago

atotntsau

1 week ago

ssergse38

1 week ago

atotntsau

1 week ago

ssergse38

1 week ago

atotntsau

1 week ago

koshmar_koment

1 week ago

ski_traveller

1 week ago

koshmar_koment

1 week ago

random_brain

1 week ago

ski_traveller

1 week ago

ariadnadormidon

1 week ago

evg_suprun

February 11 2024, 12:48:22 UTC 1 week ago Edited:  February 11 2024, 12:50:10 UTC

1. Если Вам позвонили и представились любым представителем власти или банка НЕМЕДЛЕННО кладем телефон, не разговаривая, сколько раз звонят столько и кладем, представители этих организации связываются по другим каналам, как правило письменно, банки через собственные приложения, представители власти через Ваш личный кабинет в госуслугах.

2. Если Вам позвонили и представились родственником попавшим в беду, НЕМЕДЛЕННО кладем трубку и перезваниваем тому родственнику которым представились.

3. Уведомление об изменениях на счетах и картах настраиваем не в СМС, а в приложениях банков, там всякой ерунды нет, и сообщение от банка в любом случае стоит почитать.

Собственно элементарная гигиена, на уровне не пить из лужи и не есть желтый снег.

1. Ситуации разные бывают. Если у вас есть близкие, с ними могло произойти что-то прямо только что.
Если нет близких, то конечно же, можете сразу класть трубку.

evg_suprun

1 week ago

atotntsau

1 week ago

koshmar_koment

1 week ago

atotntsau

1 week ago

ufimec123

1 week ago

atotntsau

1 week ago

ufimec123

1 week ago

atotntsau

1 week ago

ufimec123

1 week ago

atotntsau

1 week ago

evg_suprun

1 week ago

atotntsau

1 week ago

dmitrii_5g

1 week ago

evg_suprun

1 week ago

suor_h

1 week ago

Ну так то СМС все отключают, что б не платить за них 99 руб в месяц.
Было б бесплатно — никто б и не отключал.
Вот в эту сторону и надо думать.


Прикалывает Теле2 — то и дело мне предлагает услугу спасения от спама за скоко-то руб в месяц, и с этим своим предложением он и есть самый злобный спамер.
"выдавать нужный психохакеру ответ: «да, да, всё подтверждаю, на всё согласен, вот вам цифры из смс, только отвяжитесь от меня уже»." еще много лет назад у Лукъяненко в одном из романов прозвучало "не нужно пытаться всё и сразу. Когда каждый нарушает по чуть-чуть конечный результат никого не интересует".

В США проблему мошенников, крадущих деньги с телефона решили просто. Если клиент банка в течении суток заявляет, что операция произведена не им, что бы там не было, ему возвращают деньги. Поэтому проблемой занялись банки и они нашли как этому противостоять.

Проблема, в том что решение банков — затруднить все операции для клиентов. Это одна из причин, почему для нас американский банкинг выглядит пещерным.

ilyachalov

February 11 2024, 14:46:56 UTC 1 week ago Edited:  February 11 2024, 14:51:09 UTC

> бьют мошенники не по логике, а по психике, обескураживая тем самым даже умных и рациональных людей

Да, противостоять трудно (мне в прошлом году звонили какие-то жулики). Но возможно. Существует несколько простых четких правил общения по телефону, которые имеет смысл соблюдать, тогда вероятность попасть на крючок жуликам серьезно снижается. В комментариях уже упомянули большинство из этих правил, не буду повторяться.

Я в большинстве случаев вообще не отвечаю на звонки с незнакомых номеров. А если беру, то даю собеседнику 5-10 секунд, чтобы внятно представиться, а если этого не происходит, просто кладу трубку. Информации по телефону вообще никакой давать не следует, никому.

Но есть люди, которые по работе обязаны отвечать на все звонки. Например, вы дали объявление с просьбой позвонить по вашему номеру. Или вы, скажем, репетитор, который опубликовал свой номер для обращений от заказчиков. Этим людям придется научиться общаться с соблюдением правил безопасности общения.

> канал для смс был намертво забит рекламой и информационным мусором

Вот это странно. У меня тоже смс о списаниях денег приходят, и никаких особых проблем со спамом нет. Падает несколько рекламных объявлений в месяц по смс... я их игнорирую. Все платежи прекрасно видны. (Не могу представить, как можно прошлепать списание с твоего счета 200 тыр. Я остаток на счете контролирую после каждого похода в магазин. Раз в день-два обязательно поглядываю на остаток.)

Возможно, это вот такой не очень хороший банк. Я название запомнил, конечно, на будущее... Мне реклама их тоже не нравится, слишком навязчивая и ее много везде.

человеку, которому трудно противостоять телефонным мошенникам — нужно срочно бежать к неврологу и проверяться на деменцию.

канал для смс был намертво забит рекламой и информационным мусором. Вот это — проблема, которую законодатели могли бы решить по щелчку пальцев

Увы, но при капитализме это принципиально невозможно. Зачем кто-то будет создавать канал передачи информации, который нельзя монетизировать? Это как по щелчку пальцев отменить коррупцию — отдельных взяткодателей и взяткобрателей разумеется посадить можно, но общая логика взаимодействия власти и капитала такова, что коррупция была, есть и будет неимоверно устойчивым и постоянно самовоспроизводящимся институтом.

МЧС заносил в "черный список" как-то.Исчезли от них СМСки,но ненадолго.Вскоре опять просочились.

Всё по заветам Кевина Митника. Он, хоть и считался хакером, но большинство взломов проводил по телефону. Количество телефонных мошенников сейчас огромное, но почему-то термин Социальная инженерия нигде не употребляется. А ведь в его книге всё описано: как кого ломал, на что давил, какие дыры в психологии использовал.

1. Один раз мне разослали заведомо ложное сообщение о непогоде, потому что в этот день по всем прогнозам было солнечно и безоблачно. Кто за это должен ответить? Более того, у нас теперь весь этот спам о непогоде орут на весь район, и отключить это нельзя.

2. Мошенники могут оформить фейковое ДТП с любым водителем, и у него спишут деньги. В подобную историю попал известный автоюрист Александр Шумский. Деньги ему, кстати, страховая так и не вернула.

3. Увы, людей взломать не так сложно. Лично знаю несколько случаев, когда пассажиров автобусов зомбировали так, что они принимали автобус за "этоэлектробус".

Previous
← Ctrl ← Alt
Next
Ctrl → Alt →