Недавно оформляя кредитку в некоем банке, общался с молодым операционистом, который поведал мне несколько откровений, которыми я и спешу поделиться
Кредитки "легко хачатся". В особенности на амазонах и озонах.
Речь идет об обмане населения только при платежах через интернет. Видимо под "легко хачатся" подразумевается передача третим лицам информации о карте (номер, cvv2, на кого оформлена). Я тогда улыбнулся, типа такие серьезные магазины и не могут обеспечить безопасность — врядли. Но с другой стороны количество "обманутых вкладчиков" не снижается, в данном случае обманутых хакерами, да и в противном случае вопросам безопасности не уделялось бы столько внимания. Конечно, самым слабым звеном всегда являлся и наверное так и будет являться человеческий фактор. Но все ли безопасно если исключить возможные промашки юзера, картодержателя? Хочется понять, можно ли быть увереным в сохранности моих денег, если со своей стороны я все "сделал правильно"?
Инетересно, какие вообще существуют схемы отъема денег при платежах через интернет? (обман через банкоматы — отдельная тема)
Не смотря на закравшиеся сомнения, я вот пока почему-то верю в SSL и не вижу возможности для злодеев ни перехватить мои данные, ни снять деньги с моего счета. Разве, что недобросовестный интернет-магазин может сам выступать в роли этих злодеев. Да и эта проблема наверное будет решена с распространением InfoCard, так как магазин просто не будет знать моих персональных данных, а лишь получит подтверждение от Identity Provider'а о проведенном платеже.
Второй вопрос наверное офтопный, но тоже про безопасность. Для получения доступа через веб к информации по моему счету, необходимо было указать почтовый ящик, на который будет выслан сертификат. Я указал gmail, на что молодой человек заявил, что
Все бесплатные почтовые ящики насвозь просматриваются все теми же хакерами, в поисках сенситивной информации. Поэтому необходимо завести защищенную почту.
Бесплатная почта — это конечно минус. Но как-то не верится, что мою почту могут читать все, кому не лень съездить на савеловский за диском "все для хакера". Может ли Гугл сам подрабатывать продажет паролей? Сильно сомневаюсь, так как если это всплывет, то им от судебных исков не отмыться.
Может кто-нибудь подтвердить или опровергнуть мои опасения?
Друг, а что мешает тебе не держать деньги на карте, а перед тем как платить, забросить нужную сумму на карту прийдя в банк или перевести деньги с другой карты на твою, если такую возможность предоставляет банк?
Или что мешает тебе держать все деньги на карте, но перед платежом увеличить fraud limit, а после платежа его понизить? Пусть молодой операционист или кто-нибудь по профессиональней и поведает тебе о возможных схемах или таком параметре карточки как fraud limit.
Здравствуйте, kochmin_alexandr, Вы писали:
_>не общайся впредь с молодыми операционистами.
Конечно я бы предпочел пообщаться с кем-то более опытным по этим вопросам, за этим на форум и зашел
_>Бред он тебе наговорил.
Александр, хочется верить, что Вы имеете железные основания для подобных заявлений. Должно быть, Вы как-раз из числа опытных знающих специалистов по вопросам безопастности.
Спасибо за Ваше мнение
Здравствуйте, vhonest, Вы писали:
V>Недавно оформляя кредитку в некоем банке, общался с молодым операционистом, который поведал мне несколько откровений, которыми я и спешу поделиться V>
Кредитки "легко хачатся". В особенности на амазонах и озонах.
V>Речь идет об обмане населения только при платежах через интернет. Видимо под "легко хачатся" подразумевается передача третим лицам информации о карте (номер, cvv2, на кого оформлена). Я тогда улыбнулся, типа такие серьезные магазины и не могут обеспечить безопасность — врядли. Но с другой стороны количество "обманутых вкладчиков" не снижается, в данном случае обманутых хакерами, да и в противном случае вопросам безопасности не уделялось бы столько внимания. Конечно, самым слабым звеном всегда являлся и наверное так и будет являться человеческий фактор. Но все ли безопасно если исключить возможные промашки юзера, картодержателя? Хочется понять, можно ли быть увереным в сохранности моих денег, если со своей стороны я все "сделал правильно"? V>Инетересно, какие вообще существуют схемы отъема денег при платежах через интернет? (обман через банкоматы — отдельная тема)
Про почту не скажу, а вот платежи в интернете...
Такие (левые) платежи опротестовываются достаточно легко, а мерчант, замеченный в нечестной игре быстро прикрывается + банк меняет карты тем, у кого были операции с этим мерчантом.
И в такую ситуацию попасть легко не только делая покупки через интернет, но и в обычном магазине.
Некоторые POS-ы настроены так, что печатают полный номер карты. Копия чека с вашей подписью есть у продавца. CVV2 продавец может запомнить, когда сверяет подпись на чеке и на карте (он напечатан как раз около вашей подписи). Точно так же — срок действия и имя кардхолдера.
Здравствуйте, vhonest, Вы писали:
V>Может кто-нибудь подтвердить или опровергнуть мои опасения?
Вот мне всегда было интересно — почему не вызывает столько опасений вероятность того, что вам просто дадут по голове после получения наличных в банкомате? Тогда ведь не только деньги потеряете, но и здоровье пострадает. Да и банк данную ситуацию — увы не разрулит и денег не вернет.
транзакции по кредитке можно откатить пока вы не оплатили счет. Единтсвенная большая проблема, что вы не заметили подвох, к примеру лишнюю десятку баксов среди сотни транзакции. Если вы помните каждый счет и сохраняете чеки, то это не проблема.
Вообщем, обычно кредитки очень безопасны и удобны.
Здравствуйте, vhonest, Вы писали:
V>Второй вопрос наверное офтопный, но тоже про безопасность. Для получения доступа через веб к информации по моему счету, необходимо было указать почтовый ящик, на который будет выслан сертификат. Я указал gmail, на что молодой человек заявил, что V>
Все бесплатные почтовые ящики насвозь просматриваются все теми же хакерами, в поисках сенситивной информации. Поэтому необходимо завести защищенную почту.
V>Бесплатная почта — это конечно минус. Но как-то не верится, что мою почту могут читать все, кому не лень съездить на савеловский за диском "все для хакера". Может ли Гугл сам подрабатывать продажет паролей? Сильно сомневаюсь, так как если это всплывет, то им от судебных исков не отмыться. V>Может кто-нибудь подтвердить или опровергнуть мои опасения?
Гугл слишком серьезная компания, чтобы заниматься такой мелочевкой. Влезть в твой ящик на гугле — надо пароль подобрать. У тебя сложный пароль?
Хотя админы гугла, безусловно, теоретически в твой ящик влезть могут. Как и админ любого почтового сервака, через который пойдет почта из банка в гугл — имеет все возможности для перехвата почты. Как и сотрудники ФСБ (см. СОРМ-2).
Т.е. о безопасности электронной почты как транспорта говорить просто смешно.
А что касается надежности именно ящика — у меня доверия гуглю значительно больше, чем любому российскому провайдеру, где ты можешь себе ящик завести.
А если серьезно, то по теме:
V>Инетересно, какие вообще существуют схемы отъема денег при платежах через интернет?
Большинство способов, так или иначе сводятся к получению необходимой для совершения покупок информации о карте. Что касается конкретных способов — в гугле все есть
V>(обман через банкоматы — отдельная тема)
V>Не смотря на закравшиеся сомнения, я вот пока почему-то верю в SSL
В SSL можно верить сколько угодно, однако от установленного у вас кейлогера он, если что — не спасет. Я это к тому, что способов получения от вас необходимых данных без перехвата трафика — и так предостаточно. Фишинг опять-таки (опционально — с поднятым на фейковом сервере SLL , недобросовестность персонала интернет-магазина...
V>
Все бесплатные почтовые ящики насвозь просматриваются все теми же хакерами, в поисках сенситивной информации. Поэтому необходимо завести защищенную почту.
Угу. Что такое — "защищенная почта"? Хотелось бы определение...
V>Бесплатная почта — это конечно минус. Но как-то не верится, что мою почту могут читать все, кому не лень съездить на савеловский за диском "все для хакера". Может ли Гугл сам подрабатывать продажет паролей? Сильно сомневаюсь, так как если это всплывет, то им от судебных исков не отмыться. V>Может кто-нибудь подтвердить или опровергнуть мои опасения?
Гуглу нет смысла подрабатывать на продаже паролей. Масштаб не тот. А вот от недобросовестных сотрудников — не застрахована ни одна компания. Кроме того — вот для информации:
И это далеко не все УЖЕ обнаруженные уязвимости Gmail, а сколько таких ошибок там еще — не знает никто. Не думаю, что у Гугла — самая плачевная ситуация с безопасностью, скорее наоборот. Просто под пристальное внимание они попадают чаще, чем какой-нибудь местный "мухоср;№"-телеком" у которого почту читают все кому не лень. При этом, в отличии от Гугл, данный "телеком" владеет (как правило) лицензией на предоставление услуг связи и под "Закон РФ О связи" в общем-то попадает. Правда в этом случае и посудиться с ними уже можно...
А вот насчет судебных исков Гуглу — смешно. На предмет чего иски-то будут?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Вот мне всегда было интересно — почему не вызывает столько опасений вероятность того, что вам просто дадут по голове после получения наличных в банкомате?
Потому что я с ними могу побороться. Или не идти в тот банкомат где стоят подозрительные типы. Или... короче все те меры, которые используются для защиты моего кошелька. Но! Если кто-то увидел в моем кошельке деньги — то это ему ничего не даст. Если же он увидел мою карточку — то ее можно считать потерянной (если это Classic и выше). Конечно, маловероятно что кто-то способен запомнить 16 цифр, но возможны разные варианты — я могу оставить на рабочем столе а кто-то спишет, ее могут сфотографировать из укромного места пока я ей пользуюсь... А в интернете даже CVV не всегда требуется — только номер, ФИО и дата окончания срока.
Я отвечаю за свои слова, а не за то как вы их интерпретируете!
Здравствуйте, Smetanin, Вы писали:
S>Хотя админы гугла, безусловно, теоретически в твой ящик влезть могут. Как и админ любого почтового сервака, через который пойдет почта из банка в гугл — имеет все возможности для перехвата почты. Как и сотрудники ФСБ (см. СОРМ-2).
Насколько я помню, gmail использует исключительно POP3S. Или у ФСБ есть ключ Thawte?
Здравствуйте, Roman Odaisky, Вы писали:
RO>Здравствуйте, Smetanin, Вы писали:
S>>Хотя админы гугла, безусловно, теоретически в твой ящик влезть могут. Как и админ любого почтового сервака, через который пойдет почта из банка в гугл — имеет все возможности для перехвата почты. Как и сотрудники ФСБ (см. СОРМ-2).
RO>Насколько я помню, gmail использует исключительно POP3S. Или у ФСБ есть ключ Thawte?
А зачем ключ? Прослушивая сессию с самого начала...
Здравствуйте, Vladimir D Belousov, Вы писали:
RO>>Насколько я помню, gmail использует исключительно POP3S. Или у ФСБ есть ключ Thawte? VDB>А зачем ключ? Прослушивая сессию с самого начала...
Как это поможет? В любом случае нужен будет private ключ либо, значительные вычислительные ресурсы.
Если у Вас нет паранойи, то это еще не значит, что они за Вами не следят.
Здравствуйте, TK, Вы писали:
TK>Здравствуйте, Vladimir D Belousov, Вы писали:
RO>>>Насколько я помню, gmail использует исключительно POP3S. Или у ФСБ есть ключ Thawte? VDB>>А зачем ключ? Прослушивая сессию с самого начала...
TK>Как это поможет? В любом случае нужен будет private ключ либо, значительные вычислительные ресурсы.
Согласно закону в РФ каждый провайдер должен иметь "черный ящик", ключ от которого находится в ФСБ.
Поэтому "слушается" все выборочно.
Red Bird wrote:
> Согласно закону в РФ каждый провайдер должен иметь "черный ящик", ключ > от которого находится в ФСБ. > Поэтому "слушается" все выборочно.
А разве google или thawte обязан подчиняться ФСБ или законам РФ?..
Posted via RSDN NNTP Server 2.0
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, TK, Вы писали:
TK>Здравствуйте, Vladimir D Belousov, Вы писали:
RO>>>Насколько я помню, gmail использует исключительно POP3S. Или у ФСБ есть ключ Thawte? VDB>>А зачем ключ? Прослушивая сессию с самого начала...
TK>Как это поможет? В любом случае нужен будет private ключ либо, значительные вычислительные ресурсы.
Дык чтобы прочитать — нужен только публичный ключ.
Либо сессионный, который тоже получить без проблем, случая сессию с самого начала.
Я именно про подслушивание имею ввиду, а не про подмену сообщений.
Здравствуйте, Vladimir D Belousov, Вы писали:
VDB>Здравствуйте, TK, Вы писали:
TK>>Здравствуйте, Vladimir D Belousov, Вы писали:
RO>>>>Насколько я помню, gmail использует исключительно POP3S. Или у ФСБ есть ключ Thawte? VDB>>>А зачем ключ? Прослушивая сессию с самого начала...
TK>>Как это поможет? В любом случае нужен будет private ключ либо, значительные вычислительные ресурсы.
VDB>Дык чтобы прочитать — нужен только публичный ключ.
Неправда
VDB>Либо сессионный, который тоже получить без проблем, случая сессию с самого начала.
Сессионный ключ обычно передается в зашифрованном виде по каналу
VDB>Я именно про подслушивание имею ввиду, а не про подмену сообщений.
Суть криптографии с открытым ключом — как раз в том, что по открытому каналу передаются только не предсталяющие интереса, с точки зрения злоумышленника, данные. Ну, если не принимать в расчет намерение злоумышленника применить грубую силу для взлома
Здравствуйте, Sergey Storozhevykh, Вы писали:
SS>Здравствуйте, Vladimir D Belousov, Вы писали:
VDB>>Дык чтобы прочитать — нужен только публичный ключ.
SS>Неправда
Хм... А что еще нужно?
VDB>>Либо сессионный, который тоже получить без проблем, случая сессию с самого начала.
SS>Сессионный ключ обычно передается в зашифрованном виде по каналу
Да, шифрованный приватным ключем, который расшифровывается публичным. Ну или несколько сложнее, если приенить алгоритм Диффи-Хеллмана, например, но суть в принципе та же: являясь третьим лицом в сеансе связи, я ничем не хуже обоих собеседников зашифрованного диалога. У меня есть все те же исходные данные, что и у каждого из собеседников.
Или я где-то заблуждаюсь?
SS>Суть криптографии с открытым ключом — как раз в том, что по открытому каналу передаются только не предсталяющие интереса, с точки зрения злоумышленника, данные. Ну, если не принимать в расчет намерение злоумышленника применить грубую силу для взлома
Vladimir D Belousov wrote:
> SS>Сессионный ключ обычно передается в зашифрованном виде по каналу > > Да, шифрованный приватным ключем, который расшифровывается публичным. Ну > или несколько сложнее, если приенить алгоритм Диффи-Хеллмана, например, > но суть в принципе та же: являясь третьим лицом в сеансе связи, я ничем > не хуже обоих собеседников зашифрованного диалога. У меня есть все те же > исходные данные, что и у каждого из собеседников. > Или я где-то заблуждаюсь?
Сессионный ключ создаётся клиентом (большое случайное число), шифруется публичным ключом сервера и передаётся по каналу.
Только владелец приватного ключа (сервер) может расшифровать сессионный ключ.
Подслушать можно в трёх случаях:
— угадать сессионный ключ (например, если используется плохой генератор случайных чисел);
— украсть приватный ключ сервера;
— сломать защиту грубым перебором.
По-моему так.
Posted via RSDN NNTP Server 2.0
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, Аноним, Вы писали:
А>Red Bird wrote:
>> Согласно закону в РФ каждый провайдер должен иметь "черный ящик", ключ >> от которого находится в ФСБ. >> Поэтому "слушается" все выборочно. А>А разве google или thawte обязан подчиняться ФСБ или законам РФ?..
Просто ФСБ "слушает" весь трафик, в т.ч. стационарные и мобильные телефоны.
Так что мы все "под колпаком у Мюллера"...
Да и эта проблема наверное будет решена с распространением InfoCard, так как магазин просто не будет знать моих персональных данных, а лишь получит подтверждение от Identity Provider'а о проведенном платеже.
