Комментарии 116
Хехе. Сразу вспомнил случай, не знаю насколько может быть применим, но все же — есть у нас в городе компания, называется Юграт*л. Местный СКТВ оператор + интернет, само собой + ряд сервисов для жителей города на сайте. Есть множество различных терминалов, через которые можно пополнить свой счет. Случайно была найдена уязвимость одного из веб-сервисов, точнее была найдена разворошенная уже кем-то дырка, позволяющая подлить вебшелл и даже использовать уже настроенный симлинк в корень, видимый из под веба. Нехитрыми манипуляциями была найдена папка со скриптами (бэкап, мля) для каждой из платежных систем, слита, изучена — получена единая точка доступа с API вида service, user, password, action, params1..n, позволяющая без особых проблем осуществлять пополнение баланса…
В настоящее время всегда существует возможность найти и начать эксплуатировать ту или иную дырку на любом из уровней системы. Не обязательно на уровне терминала, что необходимо тоже учитывать. На вряд ли в указанном вами случае проблема у Яндекса или уровнем ниже, скорее действительно казус с купюроприемником или аппаратом в целом.
PS. Указанная выше уязвимость Юграт*ла не была использована, официальные лица были предупреждены, но дырка, если мне память не изменяет, так и не закрыта.
В настоящее время всегда существует возможность найти и начать эксплуатировать ту или иную дырку на любом из уровней системы. Не обязательно на уровне терминала, что необходимо тоже учитывать. На вряд ли в указанном вами случае проблема у Яндекса или уровнем ниже, скорее действительно казус с купюроприемником или аппаратом в целом.
PS. Указанная выше уязвимость Юграт*ла не была использована, официальные лица были предупреждены, но дырка, если мне память не изменяет, так и не закрыта.
+8
официальные лица были предупреждены, но дырка, если мне память не изменяет, так и не закрытаТак ведь уже придумали универсальное средство закрытия дырок — после уведомления официальных лиц выжидается время, необходимое для закрытия уязвимости, затем инструкция публикуется в интернете. Некоторые официальные лица по-другому не понимают.
+9
Источник?
-8
Владельцев с 5000 купюрой теперь и в терминалах за людей считать не будут… кхм.
+11
Я одного не могу понять. Что мешает Владельцу Пятитысячной Купюры завести банк-клиент или дебетовую карту?
-4
Ну мне оплату дополнительного заработка выдают наличкой в кассе… Хотя я плачу кредиткой обычно за услуги.
0
Есть куча банкоматов с cash-in.
+3
А в них тоже приемники CashCode?
+3
куча банкоматов cash-in не принимают 5000 купюры — пример, банкоматы Альфа-Банка, котораые с маленьким экраном и где надл проводить карту, а не вставлять.
0
кстати, это же вроде бы вообще не банкомат, а терминал для пополнения — на нём нельзя снимать деньги, но можно положить проведя картой или набрав руками номер счёта. при этом PIN не спрашивают, удобно для приёма денег за работу — клиент подходит в отделение альфабанка с таким, набирает номер счёта фрилансера, суёт деньги, ни PINa, ни паспорта, и чек на руках, и зачисление моментальное…
0
То, что это будет уже, как минимум 4500 рублей.
+2
(почесав в затылке)
Ну, там годовая комиссия есть, но она годовая и на фоне всех операций не ощутима.
А так: внос средств 0%. Оплата через киви через карту (с компьютера) — 0%.
Куда у вас там 500р испаряются-то?
Ну, там годовая комиссия есть, но она годовая и на фоне всех операций не ощутима.
А так: внос средств 0%. Оплата через киви через карту (с компьютера) — 0%.
Куда у вас там 500р испаряются-то?
0
Не упоминайте «киви» — скоро станет нецензурным словом.
+1
Годовая комиссия и есть 500 рублей. Где-то чуть больше, где-то чуть меньше. Я уж не говорю, что за создание карты берут деньги. Поэтому ради 5000 открывать карту будет очень накладно.
+1
В моих автоматах 5000 купюры попадаются еженедельно. Как правило — это оплата за сотовый (чаще всего МТС). Лично знаю несколько человек, которые оплачивают свой мобильный раз в месяц (постоплата) и после поездок за границу счета, как правило, переваливают за 10000р. Ну а так, как они предприниматели старой школы — автоматы для них проще )
+1
вчера стоял 30 минут в очереди. чувак вставлял 5000купюры все 30 минут. 7 секунд на купюру… устал ждать.
+2
Итого он «вставил» купюр на 1 290 000р? :)
+22
получается да… мы замучились ждать.
+1
Через терминалы законодательно запрещено проводить платежи более чем на 15000 рублей.
+5
Обычно написано 14 999, не знаю почему :)
0
Зависит от оплачиваемой услуги! Даже при оплате сотовой связи разный максимальный платеж обычно!
0
Я говорил про верхний порог, ограниченный законодательством.
0
Федеральный закон от 7 августа 2001 года N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»
Статья 7, пункт 1.1
«Идентификация клиента — физического лица, установление и идентификация выгодоприобретателя не проводятся при осуществлении организациями, осуществляющими операции с денежными средствами или иным имуществом, операций по приему от клиентов — физических лиц платежей, если их сумма не превышает 15 000 рублей либо сумму в иностранной валюте, эквивалентную 15 000 рублей (за исключением случая, когда у работников организации, осуществляющей операции с денежными средствами или иным имуществом, возникают подозрения, что данная операция осуществляется в целях легализации (отмывания) доходов, полученных преступным путем, или финансирования терроризма).»
Либо терминал должен уметь ксерокопировать паспорт и сличать фотографию в нем с вашим лицом.
Статья 7, пункт 1.1
«Идентификация клиента — физического лица, установление и идентификация выгодоприобретателя не проводятся при осуществлении организациями, осуществляющими операции с денежными средствами или иным имуществом, операций по приему от клиентов — физических лиц платежей, если их сумма не превышает 15 000 рублей либо сумму в иностранной валюте, эквивалентную 15 000 рублей (за исключением случая, когда у работников организации, осуществляющей операции с денежными средствами или иным имуществом, возникают подозрения, что данная операция осуществляется в целях легализации (отмывания) доходов, полученных преступным путем, или финансирования терроризма).»
Либо терминал должен уметь ксерокопировать паспорт и сличать фотографию в нем с вашим лицом.
0
Роуминг забыл подключить за рубежом, не иначе.
+44
Может парень просто задумался?
+1
1.3 миллиона рублей запихнул в терминал?
+4
Это он наверное корпоративный счет микрософт оплачивал ;)
+1
Очередь была из двух человек — вы и этот парень?
0
нет, человек 10 стояло. эта был не платежный терминал. кредитный, альфабанк.
0
Я в таком терминале погашал кредит досрочно, у этого ублюдского банка нет другого способа погасить кредит наличкой. Во всяком случае мне так сказали в одном из отделений Альфабанка.
-3
Конечно! Пусть все кто хочет погасить кредит прутся с наличкой к девочкам на кассе и очередь будет километровая.
0
Да, лучше пусть очередь будет километровая у банкомата, около которого можно провести 30 минут запихивая купюры. Именно так и нужно относиться к клиентам.
0
Если не ошибаюсь у альфабанка банкоматы в которых можно кинуть пачку денег, а не вставлять по одной.
+1
кхм… не верится мне, что у владельца терминала денежный буфер больше чем 50 тысяч )) ну пусть даже 100 край )))
0
эх нет под рукой купюры в 5 тыс. р. но насколько я помню она размерам немного не такая как все остальные может в этом проблема?
0
1К совпадают по размерам с 5К www.cbr.ru/bank-notes_coins/bank-notes/?selBanknote=5000r_97&type=type1
0
а как вычисляется куда именно ушли деньги если было несколько клиентов с 5к на терминале и один мошенник? порядок купюр в кассете сравнивается с реестром?
+1
В терминале было, положим, 50 платежей после последней инкассации, два из них по 5000 руб. Недостача: 10 000 руб. Оба платежа на Я.Деньги (как и в десятках других случаев в наших краях).
Есть и другие способы выявить когда и какая купюра (какого достоинства) вносилась. В нашем случае выявить мошеннические платежи труда не составило.
Есть и другие способы выявить когда и какая купюра (какого достоинства) вносилась. В нашем случае выявить мошеннические платежи труда не составило.
+1
Логирование действий стекера ведется?
0
дурить кеш-код? велика потеха.
Проще достать софт платежного терминала и сэмулировать его у себя на компе. И магическим образом получится что купюры в коробочке нету )
Проще достать софт платежного терминала и сэмулировать его у себя на компе. И магическим образом получится что купюры в коробочке нету )
0
Да, но при такой ситуации на жестком диске терминала не будет логов. содержащих сведения о внесенных купюрах. Это даст основания полагать, что логин/пароль/сертификат с терминала увели и используют на другом терминале/компьютере. Достаточно будет сменить пароль и мошенники будут обезврежены. В той ситуации, которая стала поводом для топика, купюра вносится в приемник и извлекается (другой сценарий на ум не приходит).
0
Какая наивность =) а если мошенником является человек обслуживающий терминал и обновляющий ПО?
0
Вы правы, всегда есть риск, основанный на человеческом факторе.
Люди, имеющие доступ к конфиденциальным данным, автоматически попадают под подозрение. Эту возможность вряд ли станут исключать, расследуя такие случаи.
Рассуждать о возможных схемах обмана можно до бесконечности. В описанных мною ситуациях, сотрудники платежных систем, оказавшихся под ударом, вряд ли могут быть причастны к мошенничеству, по крайней мере, прибегая к использованию информации, которая становится доступна им официально.
Судя по данным, имеющимся в распоряжении, можно представить только одну схему обмана: возврат купюры после того, как она была успешно засчитана.
Люди, имеющие доступ к конфиденциальным данным, автоматически попадают под подозрение. Эту возможность вряд ли станут исключать, расследуя такие случаи.
Рассуждать о возможных схемах обмана можно до бесконечности. В описанных мною ситуациях, сотрудники платежных систем, оказавшихся под ударом, вряд ли могут быть причастны к мошенничеству, по крайней мере, прибегая к использованию информации, которая становится доступна им официально.
Судя по данным, имеющимся в распоряжении, можно представить только одну схему обмана: возврат купюры после того, как она была успешно засчитана.
0
В некоторых платежных системах (не будем показывать пальцем) именно так и происходит. Причем достаточно зажать шторку вместо стекера палцем и оппля +(5к*n раз) к зряплате, а если это сделать еще и на дилерском тереме то уже можно переложить все косяки на дилера успешно.
что то я по кеш-коду не помню чтобы был возврат после успешной валидации купюры…
Врят ли могут быть причастны к мошенничеству — вы в это действительно верите? Можно еще вспомнить как в одной платежной сети ее же сотрудники уносили терминалы. После проверки админом что он полон под завязку.
что то я по кеш-коду не помню чтобы был возврат после успешной валидации купюры…
Врят ли могут быть причастны к мошенничеству — вы в это действительно верите? Можно еще вспомнить как в одной платежной сети ее же сотрудники уносили терминалы. После проверки админом что он полон под завязку.
+1
сейчас не составляет трудности купить купюро приемник и найти в нём уязвимости.
чему тут удивляться?
чему тут удивляться?
-1
С небольшой улыбкой читал пост, пока не увидел с списке жертв — свой город.
-6
Мне интересно, насколько законно не принимать для оплаты какие-то купюры, имея техническую возможность для этого.
+5
По сути право обслуживая — вам даже в магазине законно могут отказать в обслуживании, по каким-то своим причинам. Так и тут, могут просто не принимать купюры определённого достоинства или те же монеты (1,2,5,10 рублей).
-9
> имея техническую возможность для этого.
автор, собственно, и предлагает отключить техническую возможность на терминале.
автор, собственно, и предлагает отключить техническую возможность на терминале.
0
Техническую возможность нельзя «отключить», даже отключенная она есть.
0
«Аппарат не использует имеющиеся технические возможности, поэтому его владелец неправ» — это вообще странный аргумент.
Если я хочу, чтобы мой снэковый автомат продавал только сникерсы, то вы тоже будете говорить: «Мне интересно, насколько законно не продавать в этом автомате батончики Mars, имея техническую возможность для этого.»?
Это уж владельцу конкретного автомата решать, какие услуги оказывать и какие купюры/монеты принимать. В конце концов он сам пострадает от того, что клиенты уйдут к конкурентам, которые такие купюры/монеты принимают.
Если я хочу, чтобы мой снэковый автомат продавал только сникерсы, то вы тоже будете говорить: «Мне интересно, насколько законно не продавать в этом автомате батончики Mars, имея техническую возможность для этого.»?
Это уж владельцу конкретного автомата решать, какие услуги оказывать и какие купюры/монеты принимать. В конце концов он сам пострадает от того, что клиенты уйдут к конкурентам, которые такие купюры/монеты принимают.
0
просто для расширения кругозора — в европах весьма подозрительно относятся к крупной наличке. Например, лично видел на немецких заправках объявление — купюру в 200 евро и выше — не возьмем!
Некоторые коллеги, по неопытности хапнувшие командировочные в крупных евро рассказывали грустные истории метаний в поисках размена…
Некоторые коллеги, по неопытности хапнувшие командировочные в крупных евро рассказывали грустные истории метаний в поисках размена…
0
+43
А почему не рвется купюра? ее явно укрепили
-1
то есть это «стартап» с инвестициями 5000руб :) +цена скотча
Причем возврат инвестиций будет проходить в местах не столь отдаленных с бесплатным питанием и коллективным проживанием в течении нескольких лет
Причем возврат инвестиций будет проходить в местах не столь отдаленных с бесплатным питанием и коллективным проживанием в течении нескольких лет
+4
нужно знать устройство CashCode. То есть, допустим, купить и изучить (как в фильме «Ва-банк»). Поскольку «Спаренные входные датчики предотвращают заклинивание банкнот, а датчики поперечного контроля не дают выдернуть банкноту назад». Отсюда
Вместо скотча лучше использовать фторопластовую ленту, чей коэффициент трения ниже. Если датчики поперечного контроля механические, то в нужных местах необходимо делать прорези.
Вместо скотча лучше использовать фторопластовую ленту, чей коэффициент трения ниже. Если датчики поперечного контроля механические, то в нужных местах необходимо делать прорези.
+7
просто есть купюры сделанные из плотного полиэтилена
0
на современных купюроприёмниках есть защита от «рыбалки»
0
Кстати, несколько недель назад, мне один знакомый рассказывал как таким способом обманывали терминалы. Причем знакомый из Ставрополя :))
0
НЛО прилетело и опубликовало эту надпись здесь
Если эмулировали 5000, то и 1000 и 500 и даже до десятки дойдет. Империя терминалов под ударом.
0
Имхо 5000 — это игра вабанк, ситуация такая же как с поддельными деньгами, взяли просто купюры максимального достоинства, вот и все. Ищите уязвимость господа…
+7
+1
Наличка зло )
+2
Производитель автоматических детекторов банкнот периодически выпускает обновление прошивки для своих устройств. Причем они проверяются знающими людьми из ФСБ и etc. Но и у них бывают косяки — показатель этого именно обновление прошивок.
0
Хм, а я то думал, почему терминалы QIWI перестали мои пятитысячные купюры принимать…
+2
НЛО прилетело и опубликовало эту надпись здесь
Скажу как в прошлом разработчик ПО для cashcode и ведущий программист отдела платежных терминалов одной из самых крупных платежных систем.
Дело не в 5000. Ставлю ящик пива на то, что 5000 рублей используют настоящие. Просто найден механизм вытаскивания этих денег.
Дело не в 5000. Ставлю ящик пива на то, что 5000 рублей используют настоящие. Просто найден механизм вытаскивания этих денег.
+9
Я слышал о подобном косяке где-то полгода назад. Сразу обновил прошивку всех купюроприемников. Пока помогает )
+1
ну хоть кто-то восстановит баланс недошедших платежей…
0
> На своих терминалах мы отключаем прием 5-тысячных купюр.
Так можно далеко зайти. Вряд ли особенность какая-то у пятитысячной, скорее всего просто выгода от одноразовой акции.
Так можно далеко зайти. Вряд ли особенность какая-то у пятитысячной, скорее всего просто выгода от одноразовой акции.
0
кстати, можно наверное бороться не отключением приема 5к купюр, а скажем так — при приеме 5к купюры — сообщение — внимание, при оплате такой крупной деньгой — задержка платежа — 1 банковский день. Врядли тогда будут рисковать.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Мошенники научились обманывать купюроприемники CashCode?