Pull to refresh

Comments 78

UFO just landed and posted this here

Эх, придут сейчас модераторы и уничтожат эту красоту блин мимолётную.


Что у взломщиков часто бывает интеллект как у табуретки (регистрация в соцсетях, очевидные пароли) — это факт давно известный...

Ага. Была такая история — случайно клацнул по рекламе на которой оригинальный Galaxy обещали в 3 раза дешевле.
Домен конечно же на левое лицо, а вот email вполне живой. В итоге по email нашел ФИО в facebook, дальше интересно — по ФИО и фото нашел его резюме с живым телефоном (проверил), а еще домашний адрес отрыл.
Что у взломщиков часто бывает интеллект как у табуретки (регистрация в соцсетях, очевидные пароли) — это факт давно известный...


Я бы перефразировал. «У взломщиков, о которых мы знаем, часто бывает интеллект как у табуретки»
Интересно было почитать. Совсем не как статьи про пентест с сухой подачей материала.
Спасибо за интересную статью.
Присоединяюсь к людям выше, очень интересно было почитать. Даже не аметила как все залпом прочла.
Однозначно, претендент на победу в номинации «статья года».
Надо бы ссылочку на бэкап где-нибудь сохранить, чтобы потом перечитывать, когда статью снесут =) Огромное спасибо за труд, редко когда получаешь такое удовольствие от прочтения.
Так была какая-то информация о интересных личностях в статье передана куда-то в полицию или сходные службы? А то как-то даже обидно =(
Не передадут. Сами могут огрести по статье УК.
Единственный способ — прийти и лично поквитаться, но нужна поддержка, а что за крыша у этого товарища — неизвестно. Можно тоже огрести, только уже по лицу. И менты опять не помогут, такой вот замкнутый круг.
Нужно провести такое же тщательное исследование личностей пострадавших из фишерских баз, найти персонажей покруче/поотмороженней, и слить им компромат. :-)
И обнаружить, что их крышуют менты, которые радостно привлекут вас или сдадут ваши контакты персонажам покруче/поотмороженней.
Мой комментарий — конечно, шутка, но ваш ответ сломал мой мозг.
Откуда у ментов мои контакты? «Их» — это кого?
Вы читали комментарий, прежде чем ответить?
Была такая перестроечная песня со строками, всё еще актуальными сейчас:
«Анонимки отменили, чтобы знать наверняка
Точный адрес и фамилию и приметы дурака»
Их — тех самых персонажей, которых так хотелось бы вывести на чистую воду и, в идеальном мире, заставить отвечать по закону, который они нарушили.
Впрочем, и в западных странах доказательства, собранные с нарушением закона, даже если это сделали сами полицейские, зачастую не считаются действительными.
Впрочем, и в западных странах доказательства, собранные с нарушением закона, даже если это сделали сами полицейские, зачастую не считаются действительными.

так это и не доказательства для суда, это основания для подозрений
а полиция уже проводит следствие по всем правилам
А если передавать анонимно? Или наша полиция так не принимает?
Вот это детектив! :-)

Правда ожидал в финале поимки и наказания фишера.
А я ожидала, что вот-вот, и нам сообщат хабра-ник жулика с кармой под сотню.
Как по сообщению понять что москвич не коренной? Вроде без ошибок написано. :)
Знаки препинания тоже считаются :-) Я надеюсь вы спрашиваете не потому, что у вас ник apple01? ;-)
Как будто коренные москвичи не делают ошибок в знаках препинания:) A что не так с моим ником? :)

У него есть слово "пожалуйста" в сообщении.

Bo0oM отличная статья! Пароля и логина хватало, чтобы беспрепятственно зайти на gmail почту?

Странно, по опыту в 98% случаев требует различные проверки или двухфакторка...

Подруге на днях настроил двухфакторку. Кроме пароля ничего не было (даже номера телефона не указано… пусть смс-коды хуже, чем TOTP, но ведь лучше, чем вообще ничего), резервный ящик вписан был какой-то древний, давно мёртвый. Б — безопасность.
UFO just landed and posted this here
UFO just landed and posted this here
Ну во-первых это красиво! Забрал для истории.
очень интересно и захватывает и цепляет.

А также раскрывает некоторые интересные моменты и информацию «как это сделано».

Особенно с потом на лбу пожелал чекать доступ к .env :D
Как-то в ТОРе наткнулся на целый поддельный магазин, с отзывами и продавцами, рейтингом продавцов, все по-взрослому. Только вот когда пишешь сообщение «продавцу» страница с твоим сообщением содержит какой то странный номер, попробовал другие номера- это были сообщения других обманутых пользователей, на которые отвечает, я так полагаю один и тот же владелец всей этой шарманки. Я написал ему что раскрыл его схему, он пообещал физическую расправу, на том и разошлись:) если это все еще онлайн, могу поделиться ссылкой, человек с чуть большими скиллами чем я, думаю, даже админку этой поделки раскопает
Тот случай, когда ты думаешь, что ты особенный и неповторимый, но…
image
<>На нормальном сайте больше половины был бы 1-й пункт. А у этих компьютерщиков всё не как у людей.</>

может потому, что там нет 1-го пункта? а есть звездочки? и получилось как в анекдоте:-я знаю, какой у него пароль! -какой? -8 звездочек.

С одной стороны: прямо круто. С другой: практическое пособие в мельчайших деталях для всяких там элементов, на что нужно обращать пристальное внимание, чтобы в следующий раз не поймали.
А сколько поймали? То-то же. Село бы с десяток, и желающих больше не было бы.
Желающие будут всегда. Easy money.
не удивлюсь, если статью удалят
умоляю отредактировать ее так, чтобы не было столь явных поводов для удаления.
Тут выше слишком многие отметили высокое качество статьи, и я присоединяюсь к этим оценкам.

ну почему, почему вы — не "товарищ майор"… какое было бы красивое завершение истории!

В суде на раз развалится к сожалению
Тут надо быть Судьёй Дреддом, полномочий «товарища майора» маловато будет.
откуда эта вера в полицию, мне интересно

это не вера, это мечты )

Не то чтобы вера, просто кто еще хотя бы теоретически может что-то сделать в данной ситуации? Поднимать шум в соцсетях бессмысленно, супергероев у нас вроде нет. А у полиции это вроде как прямая обязанность таких "хакеров" ловить. Другое дело что под такие случаи в РФ вроде как даже законов особо нету.

Нет у них такой обязанности

Нет обязанности ловить мошенников? Какие же обязанности по-вашему у них есть тогда?

UFO just landed and posted this here

Никаких. Единственное назначение полиции — law enforcement. В любой стране.

Если есть закон против мошенников, то поимка мошенников это именно law enforcement и есть. В РФ законы на эту тему есть, хоть и достаточно устаревшие.

Да вы прям добровольный помошник милиции.
Заказал мешок попкорна…
Написано интересно и просто, спасибо за хорошую статью!

Позволяет лишний раз убедиться, сколько следов мы оставляем в сети, и что из этих кусочков паззла можно составить весьма подробную картину.
Года три назад развели меня на авито, вышел на мошенника (оказался из Белоруссии), передал в полицию всю информацию и подробно описал как и где мошенник ошибся что позволило выйти на него. Но всё что я получил — кучку вирусов на флешке с которой перекидывал полиции все данные, и очень много потраченного впустую времени.
Сложилось впечатление что большинство сотрудников полиции не имеют абсолютно никаких знаний в области информационных технологий и даже при всём желании не способны раскрывать подобные дела.
Я живу в России, по этому направил заявление в Управление «К» МВД России. От туда меня отправили в отдел полиции УМВД России по месту жительства, а от туда, в свою очередь, в отдел полиции УМВД России по месту прописки (в другой город), где всё благополучно и заглохло. И не смотря на то что изначально заявление было подано в электронном виде, на каждом этапе его приходилось переписывать заново, давать одни и те же пояснения.
Понятно, что обычно человек должен обращаться к правоохранителям в собственной стране, ожидая от них решения проблемы. Но написать белорусским тоже стоило бы, и проще проверить всё на месте и опросить подозреваемого. Возможно, у минского управления уже были похожие кейсы в разработке, и ваша информация была бы очень кстати.
Наверно всё же соглашусь с вами, попробовать стоило, это заняло бы совсем немного времени.
Примерно так и есть.
Во-первых, рядовой полиции это не по карману. Я не знаю доходов автора статьи, но полагаю, что человек с таким набором навыков должен получать минимум от 150-200 килорублей. Это не вписывается в бюджеты полиции. Спецслужбы, ФСБ — возможно.
Во-вторых, там слишком много твердолобых генералов, которые не пойдут на то, чтобы брать себе непонятного им подчинённого. Ну вот просто представьте себе классического полкаша или генерала, и тут ему дают подчинённого — непонятного хакера какого-то, как вот в фильмах показывают, что поставил ноутбук на чемоданчик с ядреной бомбой и за 5 секунд до апокалипсиса взломал код деактивации. Как начальник сможет контролировать работу этого подчинённого? Как он сможет понять — действительно ли задачу невозможно решить, или подчинённый просто врёт? Начальнику такое нафиг не надо.
В-третьих, как уже написали в комментах — даже если подобное дело дойдёт до суда, там всё развалится, а то бы можно было просто приходить в первый попавшийся салон с надписью «разлочка айфонов». Кражу этому условному Зейналу не припаяешь — вряд ли он сам тырит телефоны по карманам; мошенничество — так надо неоспоримые доказательства, что это именно он. А найти и доказать — вещи сильно разные.
Ну и главное — неготовность существующей полицейской системы во всём мире к расследованию преступлений с использованием сферы IT. Это слишком неповоротливая махина, чтобы реагировать на меняющийся с дикой скоростью мир. Если по карманам мелочь тырили и тысячу лет назад — то о современных технологиях ещё лет 20-30 назад никто и подумать не мог. А соответственно — расследовать преступления оказывается попросту невыгодно.
Вот Вы пишете: мошенник оказался из Белоруссии. Это другая страна, со своими законами, полиция РФ там никакой власти не имеет. Ну можно официальное письмо написать с просьбой о содействии — и что? В свете напряжённых геополитических отношений между странами вполне возможно, что этим письмом с удовольствием подотрутся и выложат фоточку в интернет. Но даже если и нет — вот охота белорусским полицейским себе дополнительную работу брать? Плюс бремя расследования ложится тоже на белорусскую сторону — а оно им зачем?
Есть, правда, Интерпол. Но он ориентирован на отлов действительно крупной рыбы, там нет механизмов массового использования и на их выработку нужны годы, даже если заняться прямо сейчас. Объявлять мелкого белорусского мошенника в международный розыск за то, что он кого-то там развёл на бабки — ну не будет никто.
Так что, получается, в наше время совершить преступление с использованием высоких технологий куда проще и дешевле, чем это преступление раскрыть и дело тут не в некомпетентности наших органов, а в неготовности самой правоохранительной системы, и не только нашей, а по всему миру.
По поводу Беларуси… Извините, но странный набор слов имеющий отношение исключительно к тараканам в голове конкретного комментатора и мало связанный с реальностью.

Во-первых «письмом о содействии» от потерпевшего действительно могут подтереться.
Но в случае если будет официальный запрос из российской полиции, хотя бы в виде электронного письма (со сканом бумажного на официальном бланке УВД с реквизитами и печатью) — рассмотрят, передадут куда надо и пустят в ход в соответствии с существующей процедурой…

Во-вторых, даже если потерпевший действительно раскроет схему и предоставит 100500 доказательств мошенничества — ни в одной стране мира органы правопорядка не будут предпринимать никаких действий. Они будут проводить расследование. Используя или нет полученные от кого либо данные — другой вопрос, но для доведения дела до суда как минимум нужны доказательства полученные законным путем.

В-третьих, по поводу «вот охота белорусским полицейским себе дополнительную работу брать? Плюс бремя расследования ложится тоже на белорусскую сторону»…
Есть потерпевший, есть факт совершения преступления/ущерб, есть заявление — люди работают. Да, конечно я не поручусь за всю белорусскую милицию и каждый случай мошенничества с применением информационных технологий, но… вот помните пару лет назад был случай про то как белорусские милиционеры нашли преступника «угнавшего виртуальный танк» (взломавшего аккаунт World Of Tanks).
Куча СМИ (российских в основном) писали об этом как о курьезе, смешно типа, ха-ха посмотрите какой фигней они там маются.
Человек стал жертвой действий попадающих под действие УК, понес ущерб (в каком бы виде он не выражался), он обратился в милицию, написал заявление, преступление было расследовано и раскрыто (по логам с серверов Wargaming/провайдера, полученным по запросу из милиции).
При получении заявления (в данном случае запроса от правоохранительных органов соседнего государства) вероятность что сотрудник белоруской милиции предпримет хоть какие-то действия по расследованию данного преступления достаточно велика, особенно если есть заявление от других потерпевших от мошенничества подобного рода.
Но это естественно не гарантирует что в итоге преступление будет раскрыто и преступник наказан.

Что касается «напряжённых геополитических отношений между странами», вернее их влияние на взаимоотношение правоохранительных систем этих — этта проблема исключительно у вас в голове. В органах правопорядка, в большинстве своем, работают обычные разумные практичные люди, понимающие что очередной раунд взаимного дерьмометания кучки политиканов с обеих сторон границы не должны мешать совместной работе по борьбе с детским порно/наркоторговлей/торговлей оружием/других преступлений совершаемых как с использованием высоких технологий, так и нет…

Ну и по поводу Интерпола: для организации международного розыска через Интерпол вопреки вашим предрассудкам не нужно быть «действительно крупной рыбой», достаточно существующего уголовного дела (а вот с этим-то из-за бездействия местных российских правоохранителей как раз и будет проблема в данном случае) и сведений о нахождении разыскиваемого лица за границей РФ (достаточно любых сведений, в том числе и из соц.сетей).

Я бы еще добавил что каждое такое обращение с одной стороны увеличивает заметность проблемы, а с другой, если кто-то что-то по нему делает (да хотя бы погуглит и прочитает пару статей) увеличивает грамотность в ИТ у работников полиции. Собственно видимость проблемы и способность вообще ее понять — необходимые условия для того чтобы хоть что-то с места сдвинулось.

UFO just landed and posted this here
Дата публикации вчера в 13:37 — подогнана или случайность? )
Прекрасная статья, и стиль замечательный! Можно было бы классную книгу написать на этом материале. Конечно, по законам худлита пришлось бы выдумать финал, но и так хорошо :)

Кстати, немедленно вспомнилась недавняя статья «На протяжении нескольких лет таинственная группа заражает других хакеров»
Можно предположить, что люди, разрабатывающие хакерские инструменты, особенно распространяемые по модели SaaS, хотят как минимум сохранить контроль над своими инструментами, а как максимум — иметь возможность перехватить контроль и денежные потоки. И не просто хотят, а так и делают :)
поэтому я не удивлюсь, если её удалят, так что читай быстрее

*прожимает ctrl+s
Ну все. Теперь хоть трава не расти…
хм, а что с сохабром случилось?
UFO just landed and posted this here

Как будто хорошую статью в хорошем старом Хакере прочитал, очень круто.

Спасибо, хорошая статья. Жалко, конечно, что для мошенников нет последствий, даже если их точно вычислили.

Но по крайней мере радует, что в том числе благодаря таким статьям сегодня украсть айфон становится не таким выгодным делом как раньше. Т.е. есть надежда, что рано или поздно этот «бизнес» себя исчерпает. А затем распространится и на другие виды воровства электроники и гаджетов — например автомобили.

ПС у сестры тоже пару лет назад сперли айфон и прислали фишинговую ссылку. Не повелась.
Очень интересная статья. Показывает, что спешить надо только при ловле блох и больше никогда)
Пароли, 2-х факторка, если возможно — железные ключи… И все равно не всегда поможет.
Статья хорошая, но к исходникам же нет доступа — форум закрытый.
Тут не очень хорошо вышло, я узнал, что регистрация на форуме откроется через неделю
Sign up to leave a comment.

Articles