Комментарии 116
Хехе. Сразу вспомнил случай, не знаю насколько может быть применим, но все же — есть у нас в городе компания, называется Юграт*л. Местный СКТВ оператор + интернет, само собой + ряд сервисов для жителей города на сайте. Есть множество различных терминалов, через которые можно пополнить свой счет. Случайно была найдена уязвимость одного из веб-сервисов, точнее была найдена разворошенная уже кем-то дырка, позволяющая подлить вебшелл и даже использовать уже настроенный симлинк в корень, видимый из под веба. Нехитрыми манипуляциями была найдена папка со скриптами (бэкап, мля) для каждой из платежных систем, слита, изучена — получена единая точка доступа с API вида service, user, password, action, params1..n, позволяющая без особых проблем осуществлять пополнение баланса…
В настоящее время всегда существует возможность найти и начать эксплуатировать ту или иную дырку на любом из уровней системы. Не обязательно на уровне терминала, что необходимо тоже учитывать. На вряд ли в указанном вами случае проблема у Яндекса или уровнем ниже, скорее действительно казус с купюроприемником или аппаратом в целом.
PS. Указанная выше уязвимость Юграт*ла не была использована, официальные лица были предупреждены, но дырка, если мне память не изменяет, так и не закрыта.
В настоящее время всегда существует возможность найти и начать эксплуатировать ту или иную дырку на любом из уровней системы. Не обязательно на уровне терминала, что необходимо тоже учитывать. На вряд ли в указанном вами случае проблема у Яндекса или уровнем ниже, скорее действительно казус с купюроприемником или аппаратом в целом.
PS. Указанная выше уязвимость Юграт*ла не была использована, официальные лица были предупреждены, но дырка, если мне память не изменяет, так и не закрыта.
официальные лица были предупреждены, но дырка, если мне память не изменяет, так и не закрытаТак ведь уже придумали универсальное средство закрытия дырок — после уведомления официальных лиц выжидается время, необходимое для закрытия уязвимости, затем инструкция публикуется в интернете. Некоторые официальные лица по-другому не понимают.
Источник?
Владельцев с 5000 купюрой теперь и в терминалах за людей считать не будут… кхм.
Я одного не могу понять. Что мешает Владельцу Пятитысячной Купюры завести банк-клиент или дебетовую карту?
Ну мне оплату дополнительного заработка выдают наличкой в кассе… Хотя я плачу кредиткой обычно за услуги.
Есть куча банкоматов с cash-in.
А в них тоже приемники CashCode?
куча банкоматов cash-in не принимают 5000 купюры — пример, банкоматы Альфа-Банка, котораые с маленьким экраном и где надл проводить карту, а не вставлять.
кстати, это же вроде бы вообще не банкомат, а терминал для пополнения — на нём нельзя снимать деньги, но можно положить проведя картой или набрав руками номер счёта. при этом PIN не спрашивают, удобно для приёма денег за работу — клиент подходит в отделение альфабанка с таким, набирает номер счёта фрилансера, суёт деньги, ни PINa, ни паспорта, и чек на руках, и зачисление моментальное…
То, что это будет уже, как минимум 4500 рублей.
(почесав в затылке)
Ну, там годовая комиссия есть, но она годовая и на фоне всех операций не ощутима.
А так: внос средств 0%. Оплата через киви через карту (с компьютера) — 0%.
Куда у вас там 500р испаряются-то?
Ну, там годовая комиссия есть, но она годовая и на фоне всех операций не ощутима.
А так: внос средств 0%. Оплата через киви через карту (с компьютера) — 0%.
Куда у вас там 500р испаряются-то?
В моих автоматах 5000 купюры попадаются еженедельно. Как правило — это оплата за сотовый (чаще всего МТС). Лично знаю несколько человек, которые оплачивают свой мобильный раз в месяц (постоплата) и после поездок за границу счета, как правило, переваливают за 10000р. Ну а так, как они предприниматели старой школы — автоматы для них проще )
вчера стоял 30 минут в очереди. чувак вставлял 5000купюры все 30 минут. 7 секунд на купюру… устал ждать.
Итого он «вставил» купюр на 1 290 000р? :)
получается да… мы замучились ждать.
Через терминалы законодательно запрещено проводить платежи более чем на 15000 рублей.
Обычно написано 14 999, не знаю почему :)
Зависит от оплачиваемой услуги! Даже при оплате сотовой связи разный максимальный платеж обычно!
Я говорил про верхний порог, ограниченный законодательством.
Федеральный закон от 7 августа 2001 года N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»
Статья 7, пункт 1.1
«Идентификация клиента — физического лица, установление и идентификация выгодоприобретателя не проводятся при осуществлении организациями, осуществляющими операции с денежными средствами или иным имуществом, операций по приему от клиентов — физических лиц платежей, если их сумма не превышает 15 000 рублей либо сумму в иностранной валюте, эквивалентную 15 000 рублей (за исключением случая, когда у работников организации, осуществляющей операции с денежными средствами или иным имуществом, возникают подозрения, что данная операция осуществляется в целях легализации (отмывания) доходов, полученных преступным путем, или финансирования терроризма).»
Либо терминал должен уметь ксерокопировать паспорт и сличать фотографию в нем с вашим лицом.
Статья 7, пункт 1.1
«Идентификация клиента — физического лица, установление и идентификация выгодоприобретателя не проводятся при осуществлении организациями, осуществляющими операции с денежными средствами или иным имуществом, операций по приему от клиентов — физических лиц платежей, если их сумма не превышает 15 000 рублей либо сумму в иностранной валюте, эквивалентную 15 000 рублей (за исключением случая, когда у работников организации, осуществляющей операции с денежными средствами или иным имуществом, возникают подозрения, что данная операция осуществляется в целях легализации (отмывания) доходов, полученных преступным путем, или финансирования терроризма).»
Либо терминал должен уметь ксерокопировать паспорт и сличать фотографию в нем с вашим лицом.
Роуминг забыл подключить за рубежом, не иначе.
Может парень просто задумался?
1.3 миллиона рублей запихнул в терминал?
Это он наверное корпоративный счет микрософт оплачивал ;)
Очередь была из двух человек — вы и этот парень?
нет, человек 10 стояло. эта был не платежный терминал. кредитный, альфабанк.
Я в таком терминале погашал кредит досрочно, у этого ублюдского банка нет другого способа погасить кредит наличкой. Во всяком случае мне так сказали в одном из отделений Альфабанка.
Конечно! Пусть все кто хочет погасить кредит прутся с наличкой к девочкам на кассе и очередь будет километровая.
кхм… не верится мне, что у владельца терминала денежный буфер больше чем 50 тысяч )) ну пусть даже 100 край )))
эх нет под рукой купюры в 5 тыс. р. но насколько я помню она размерам немного не такая как все остальные может в этом проблема?
1К совпадают по размерам с 5К www.cbr.ru/bank-notes_coins/bank-notes/?selBanknote=5000r_97&type=type1
а как вычисляется куда именно ушли деньги если было несколько клиентов с 5к на терминале и один мошенник? порядок купюр в кассете сравнивается с реестром?
В терминале было, положим, 50 платежей после последней инкассации, два из них по 5000 руб. Недостача: 10 000 руб. Оба платежа на Я.Деньги (как и в десятках других случаев в наших краях).
Есть и другие способы выявить когда и какая купюра (какого достоинства) вносилась. В нашем случае выявить мошеннические платежи труда не составило.
Есть и другие способы выявить когда и какая купюра (какого достоинства) вносилась. В нашем случае выявить мошеннические платежи труда не составило.
Логирование действий стекера ведется?
дурить кеш-код? велика потеха.
Проще достать софт платежного терминала и сэмулировать его у себя на компе. И магическим образом получится что купюры в коробочке нету )
Проще достать софт платежного терминала и сэмулировать его у себя на компе. И магическим образом получится что купюры в коробочке нету )
Да, но при такой ситуации на жестком диске терминала не будет логов. содержащих сведения о внесенных купюрах. Это даст основания полагать, что логин/пароль/сертификат с терминала увели и используют на другом терминале/компьютере. Достаточно будет сменить пароль и мошенники будут обезврежены. В той ситуации, которая стала поводом для топика, купюра вносится в приемник и извлекается (другой сценарий на ум не приходит).
Какая наивность =) а если мошенником является человек обслуживающий терминал и обновляющий ПО?
Вы правы, всегда есть риск, основанный на человеческом факторе.
Люди, имеющие доступ к конфиденциальным данным, автоматически попадают под подозрение. Эту возможность вряд ли станут исключать, расследуя такие случаи.
Рассуждать о возможных схемах обмана можно до бесконечности. В описанных мною ситуациях, сотрудники платежных систем, оказавшихся под ударом, вряд ли могут быть причастны к мошенничеству, по крайней мере, прибегая к использованию информации, которая становится доступна им официально.
Судя по данным, имеющимся в распоряжении, можно представить только одну схему обмана: возврат купюры после того, как она была успешно засчитана.
Люди, имеющие доступ к конфиденциальным данным, автоматически попадают под подозрение. Эту возможность вряд ли станут исключать, расследуя такие случаи.
Рассуждать о возможных схемах обмана можно до бесконечности. В описанных мною ситуациях, сотрудники платежных систем, оказавшихся под ударом, вряд ли могут быть причастны к мошенничеству, по крайней мере, прибегая к использованию информации, которая становится доступна им официально.
Судя по данным, имеющимся в распоряжении, можно представить только одну схему обмана: возврат купюры после того, как она была успешно засчитана.
В некоторых платежных системах (не будем показывать пальцем) именно так и происходит. Причем достаточно зажать шторку вместо стекера палцем и оппля +(5к*n раз) к зряплате, а если это сделать еще и на дилерском тереме то уже можно переложить все косяки на дилера успешно.
что то я по кеш-коду не помню чтобы был возврат после успешной валидации купюры…
Врят ли могут быть причастны к мошенничеству — вы в это действительно верите? Можно еще вспомнить как в одной платежной сети ее же сотрудники уносили терминалы. После проверки админом что он полон под завязку.
что то я по кеш-коду не помню чтобы был возврат после успешной валидации купюры…
Врят ли могут быть причастны к мошенничеству — вы в это действительно верите? Можно еще вспомнить как в одной платежной сети ее же сотрудники уносили терминалы. После проверки админом что он полон под завязку.
сейчас не составляет трудности купить купюро приемник и найти в нём уязвимости.
чему тут удивляться?
чему тут удивляться?
А есть возможность установить себе на комп то что стоит на терминалах, ну то есть флешь оболочку?
конечно, здесь например
только зачем?
только зачем?
конечно есть
С небольшой улыбкой читал пост, пока не увидел с списке жертв — свой город.
Мне интересно, насколько законно не принимать для оплаты какие-то купюры, имея техническую возможность для этого.
По сути право обслуживая — вам даже в магазине законно могут отказать в обслуживании, по каким-то своим причинам. Так и тут, могут просто не принимать купюры определённого достоинства или те же монеты (1,2,5,10 рублей).
> имея техническую возможность для этого.
автор, собственно, и предлагает отключить техническую возможность на терминале.
автор, собственно, и предлагает отключить техническую возможность на терминале.
Техническую возможность нельзя «отключить», даже отключенная она есть.
«Аппарат не использует имеющиеся технические возможности, поэтому его владелец неправ» — это вообще странный аргумент.
Если я хочу, чтобы мой снэковый автомат продавал только сникерсы, то вы тоже будете говорить: «Мне интересно, насколько законно не продавать в этом автомате батончики Mars, имея техническую возможность для этого.»?
Это уж владельцу конкретного автомата решать, какие услуги оказывать и какие купюры/монеты принимать. В конце концов он сам пострадает от того, что клиенты уйдут к конкурентам, которые такие купюры/монеты принимают.
Если я хочу, чтобы мой снэковый автомат продавал только сникерсы, то вы тоже будете говорить: «Мне интересно, насколько законно не продавать в этом автомате батончики Mars, имея техническую возможность для этого.»?
Это уж владельцу конкретного автомата решать, какие услуги оказывать и какие купюры/монеты принимать. В конце концов он сам пострадает от того, что клиенты уйдут к конкурентам, которые такие купюры/монеты принимают.
просто для расширения кругозора — в европах весьма подозрительно относятся к крупной наличке. Например, лично видел на немецких заправках объявление — купюру в 200 евро и выше — не возьмем!
Некоторые коллеги, по неопытности хапнувшие командировочные в крупных евро рассказывали грустные истории метаний в поисках размена…
Некоторые коллеги, по неопытности хапнувшие командировочные в крупных евро рассказывали грустные истории метаний в поисках размена…
А почему не рвется купюра? ее явно укрепили
видимо это скотч
то есть это «стартап» с инвестициями 5000руб :) +цена скотча
Причем возврат инвестиций будет проходить в местах не столь отдаленных с бесплатным питанием и коллективным проживанием в течении нескольких лет
Причем возврат инвестиций будет проходить в местах не столь отдаленных с бесплатным питанием и коллективным проживанием в течении нескольких лет
нужно знать устройство CashCode. То есть, допустим, купить и изучить (как в фильме «Ва-банк»). Поскольку «Спаренные входные датчики предотвращают заклинивание банкнот, а датчики поперечного контроля не дают выдернуть банкноту назад». Отсюда
Вместо скотча лучше использовать фторопластовую ленту, чей коэффициент трения ниже. Если датчики поперечного контроля механические, то в нужных местах необходимо делать прорези.
Вместо скотча лучше использовать фторопластовую ленту, чей коэффициент трения ниже. Если датчики поперечного контроля механические, то в нужных местах необходимо делать прорези.
просто есть купюры сделанные из плотного полиэтилена
на современных купюроприёмниках есть защита от «рыбалки»
Кстати, несколько недель назад, мне один знакомый рассказывал как таким способом обманывали терминалы. Причем знакомый из Ставрополя :))
НЛО прилетело и опубликовало эту надпись здесь
Если эмулировали 5000, то и 1000 и 500 и даже до десятки дойдет. Империя терминалов под ударом.
Имхо 5000 — это игра вабанк, ситуация такая же как с поддельными деньгами, взяли просто купюры максимального достоинства, вот и все. Ищите уязвимость господа…
Наличка зло )
Производитель автоматических детекторов банкнот периодически выпускает обновление прошивки для своих устройств. Причем они проверяются знающими людьми из ФСБ и etc. Но и у них бывают косяки — показатель этого именно обновление прошивок.
Хм, а я то думал, почему терминалы QIWI перестали мои пятитысячные купюры принимать…
НЛО прилетело и опубликовало эту надпись здесь
Скажу как в прошлом разработчик ПО для cashcode и ведущий программист отдела платежных терминалов одной из самых крупных платежных систем.
Дело не в 5000. Ставлю ящик пива на то, что 5000 рублей используют настоящие. Просто найден механизм вытаскивания этих денег.
Дело не в 5000. Ставлю ящик пива на то, что 5000 рублей используют настоящие. Просто найден механизм вытаскивания этих денег.
Я слышал о подобном косяке где-то полгода назад. Сразу обновил прошивку всех купюроприемников. Пока помогает )
ну хоть кто-то восстановит баланс недошедших платежей…
> На своих терминалах мы отключаем прием 5-тысячных купюр.
Так можно далеко зайти. Вряд ли особенность какая-то у пятитысячной, скорее всего просто выгода от одноразовой акции.
Так можно далеко зайти. Вряд ли особенность какая-то у пятитысячной, скорее всего просто выгода от одноразовой акции.
кстати, можно наверное бороться не отключением приема 5к купюр, а скажем так — при приеме 5к купюры — сообщение — внимание, при оплате такой крупной деньгой — задержка платежа — 1 банковский день. Врядли тогда будут рисковать.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Мошенники научились обманывать купюроприемники CashCode?