Троян

Прошу не судить строго - ролик записывался на эмоциях, под влиянием разбудившего меня сегодня звонка от друга, чья семья попала более чем на 1 000 000 рублей кредита (его видимо придется отдавать), и которым я, как выяснилось, несмотря на место работы, вряд ли чем-то смогу помочь. Немного позже выяснилось, что потерпевших от это схемы "вам звонит служба безопасности банка", уже казалось бы закрепившейся в анекдотах и мелькающей на демотиваторах в соцсетях, только в среде моих знакомых несколько - и опять, это только те, кто не стыдится рассказать об этом. Схема проста: звонок -> установка трояна -> получение кредита -> вывод денег через банкомат руками самого держателя банковской карты -> пересылка на "защищенный счет".

Если вы считаете, что вы, ваши родители и близкие, на 100% защищены от данной схемы, дальше можно не смотреть.

Стенограмма.

Небольшое вступление.

Я работаю в должности исполнительного директора, в крупном банке, но в данном ролике не будет никаких инсайдерских вещей - только мой личный опыт и опыт моих друзей и знакомых. И да, точка зрения, которую я высказываю, может не совпадать в официальной позицией банка, и местами может не понравиться кому-то из руководителей.

Так случилось, что сегодня мне позвонил друг, и рассказал, что его жену обманули мошенники, и она перевела им целый миллион рублей. Но факт в том, что у нее не было этого миллиона, и через мобильный банк на нее оформили кредит, про который она не знала фактически до момента, когда стало уже поздно.

Внезапно оказалось, что обманутых в моем окружении немного больше чем я думал, в том числе люди моего возраста. И на них тоже в одночасье через мобильный банк был вот так вот взят кредит, который теперь предстоит выплачивать еще долго.

Нельзя сказать, что люди, которые подверглись такому обману - полные дураки. Да, как правило, это женщины, причем не склонные транжирить деньги, дарить их первому встречному - и эти деньги достаются им тяжелым трудом, они крайне боятся их потерять - и как раз на этом страхе играют мошенники в стиле нет времени объяснять, действуй, спасай свои кровные, я щас расскажу как именно, слушай сюда.

Давайте же разберемся, почему так происходит, кто виноват, и что с этим можно было бы сделать - и рассуждать об этом я могу, разумеется, через призму своего опыта.

Начнем с того, что нарушение закона в западном капиталистическом обществе несколько романтизируются, и что отличает ее от нашего общества - там против этого есть некое противоядие в виде непоправимых последствий, клейма судимости.
Оно фактически ставит крест на устройстве на достойную работу, и информация даже об условном сроке - повод для шантажа, причем шантажом профессионально занимаются специальные агентства, которые при каждом переезде или переводе на новую работу грозят рассказать всем соседям и коллегам с каким подонком им предстоит работать.

Я даже не говорю о том, что можно легально застрелить человека, перешагнувшего границу твоего участка или порог твоего дома.

Видимо, поэтому в западном кино образ обаятельного преступника зачастую привлекает людей - ведь они все поставили на карту, а обычных людей от такого поведения давно уже отучили.

Что касается нас, после смены строя на капиталистический, большое количество осужденных или ловко избежавших наказания преступников оказались в выигрыше, поскольку в нужный момент завладели капиталом, и оказались не обременены необходимостью работать, чтобы прокормиться. Ну и сейчас они уважаемые люди, роде того, как корсар Френсис Дрейк получил удостоверение ее величества и стал уважаемым человеком - разница лишь в том, что те состояния были нажиты очень давно, а у нас 90е годы закончились только что, а кое-где еще и продолжаются.

Но допустим, разгул именно бандитизма худо-бедно остановлен, киберпреступность имеет намного лучший имидж, поскольку 1) имеет ореол интеллектуального занятия и 2) позволяет легче избегать наказания, поскольку преступление совершается дистанционно.

Учась в школе, я был фанатом фильма Хакера, Пароль рыба меч и всякого такого. Выписывал журнал Хакер, и внимательно изучал все статьи про взлом. В основном, там описывался так называемый скам - когда воруют данные кредиток, покупают товар, пересылают его за рубеж, потом клиент опротестовывает транзакцию - и эмитент несет убыток, а его покрывает страховая - это такая веселая история про Робина Гуда, который грабит богатых, но мы же все знаем что у них полно денег. Но, в общем-то, первый же случай взлома, произошедший в нашем городе, существенно отличался от романтических историй, показанных в фильме - а узнал я о нем от местного ФСБшника, который не очень понимал, что там случилось, и как действовать в данной ситуации, а звездочку, наверное, хотелось. Ключевой момент данного взлома, что потерпевшей стороной было частное лицо, и в общем-то, там был не столько взлом, сколько мошенничество на доверии с карточками доступа к интернету - и похоже, с тех пор мало что изменилось. Но тот случай заставил задуматься - оказывается, т.н. хакерами намного легче обкрадывать не организации, а частных лиц - а так как я считаю, что с людьми надо поступать строго так как хочешь чтоб поступили с тобой, выступать на стороне этих ребят мне стало крайне брезгливо.

Забегая вперед, в целом быть на той стороне, то есть не создавать, а ломать информационные системы и программные продукты - крайне неэффективно, этих ребят с большой вероятностью ловят, и лезть во все это для обогащения я бы не советовал.

Потом я закончил университет, пытался защитить диссертацию по обнаружении атак на информационные системы. Смысл там был такой, чтоб существуют определенные сигнатуры, паттерны попыток взлома - сканирование портов, переполнения буфера, исполнение так называемого шелл-кода, установка троянов (рут китов), и для обнаружения всего этого, предполагалось использовать нейро-сеть.

Диссертация, к сожалению, была заброшена. После переезда в Москву я немного консультировал ФСБшников по правонарушениям, связанным с ИТ, но в целом моя текущая работа от всего этого довольно далека, и вообще, я считаю, что сфера безопасности в целом довольно скучна (без обид), и на первый взгляд она как будто не видна - вплоть до того момента, как случится громкий провал, после чего ответственных поувольняют к чертовой матери, или удастся ловко отмазаться в стиле ну мы же говорили, что надо все выключить и закрыть на амбарный замок, а нас никто не слушал.

Со вступлением закончили, и можно поговорить непосредственно о технологиях списания денег и навешивании крупных кредитов на ни в чем не повинных граждан.

Основной аспект, который мне во всем этом не нравится, это то, что при установке мобильного банка, народ совершенно не беспокоит, что нарушается ключевой принцип двухфакторной авторизации - у вас и коды подтверждения операций, и сами операции на одном устройстве. Существует такая вещь, как повышение привилегий. Многие наверное слышали про так называемые рутованные телефоны - на которых можно делать больше того, чем разрешено на обычных, например, раньше это решало законодательную программу с записью разговора (это запрещено в США, поэтому такие программы блокировались). Так вот, операционные системы на мобильных имеют уязвимости, через которых и активируются рут-режимы, и теория программного обеспечения говорит о том, что ошибки в программах будут всегда - то есть некая вероятность того, что устройство взломают вплоть до рут прав, всегда останется.

В этом случае, считайте, что вы просто подарили человеку свой телефон, со всеми паролями и доступом к мобильному банку, чужому человеку, и он может делать с ним что угодно. А так как на него же приходят и смски подтверждения, со всеми деньгами можете попрощаться.

Исходя из вышеперечисленного, я категорически не ставлю на телефон мобильный банк, и запретил делать это жене. Впрочем, некоторые женщины не выпускают телефон из рук, поэтому у них их по две штуки, чтоб один можно было поставить на зарядку. Тогда на один можно поставить, а коды подтверждения пусть приходят на другой.

Но чего я не понимал ранее, это того, что замечательные мобильные банки за несколько минут позволяют оформить крупный кредит, получить его на карточный счет, и списать даже его. У меня был тяжелый период в жизни, когда я был нагружен кредитами, и на грани просрочки платежей, и когда мне предложили перекредитоваться под меньший процент, это был просто как глоток свежего воздуха - и за это Сберу спасибо огромное.

Но уже тогда, когда приехала менеджер и попросила потыкать пальцами в планшет, а я спустя сколько-то минут на карту упали деньги, я понял, что уж больно все просто - и если бы у меня на телефоне стоял мобильный банк, то я, или кто-то под моей личиной, мог моментально взвалить на меня неподъемную ношу - в том числе такую, за которую мне никогда в жизни не рассчитаться - подтвердив согласие на слишком большой процент. Это, например, равнозначно тому, чтоб переписать на кого-то квартиру, а для этого действия неспроста нужно находиться в трезвом уме, и желательно чтоб на тебя посмотрел нотариус - не под дулом ли пистолета ты это делаешь, не держат ли родственников в заложниках и так далее.

Возможно (возможно), есть обратная сторона медали - кому-то не удобно ходить в отделение, и даже не удобно встречаться с менеджером у себя на работе, как это сделал я. Кому-то в целом процесс рассмотрения кредита кажется унизительным, и им проще общаться с машиной - которая сразу ответит да/нет.

Но я твердо убежден, что для большинства населения, может быть, для 90 или более процентов, категорически неправильно выдавать кредиты по кнопке, пусть даже банки потеряют на этом часть прибыли.

Потому что люди считают, что их риск взаимодействия с банком ограничен суммой на счете - и в самом худшем случае они только ее и потеряют.

И так и должно было оставаться - а мои знакомые (не отрицая их вины), потеряли в десятки раз больше, и так быть не должно - банк либо должен их защитить от всего этого (например, блокируя работу при установке троянов), либо взять на себя часть ответственности.

Совершенно понятно, что обманутых людей гораздо больше чем кажется - чувство гордости не позволяет многим признаться. И говоря о психологическом аспекте мошеннических схем, многие мои знакомые похваляются тем, что уж они-то точно никогда не поведутся на такие способы. Но про некоторых из них я достоверно знаю, что они отправляли небольшие суммы денег, когда в интернете видели всплывающее окно Вы выиграли приз, перейдите по ссылке! - то есть такое, что вообще за гранью.. То есть данная похвальба - ни что иное, как самоуверенность, которая сейчас слишком дорого обходится.

Поэтому зарекаться от такого не следует. Возможно, именно вам позвонят в тот момент, когда вы будете максимально не готовы к этому - в запарке, спросоня, в состоянии опьянения, или просто в расслабленном состоянии, когда критическое мышление не работает.

И еще пару советов. Взаимодействуя с телефоном, ведите себя так, как будто его уже взломали или украли, или это случится через 5 минут. То есть, обязательно должен быть пароль, СМС при заблокированном телефоне отображаться не должны - сим карту неплохо бы тоже запаролить. Но! При наличии скана паспорта, в сговоре с салоном сотового оператора, симку можно перевыпустить - оригинальная при этом перестанет работать. Уведомляйте банк при первых проблемах со связью.

Со слов работников телекома, подделать можно любой номер, с которого вам звонят. НЕЛЬЗЯ верить ни единому слову тех, кто позвонил вам. Если очень хочется поверить, спросите фамилию, или добавочный, и перезвоните но основной номер, куда вы перезваниваете, должен точно принадлежать организации (он написан на банковской карточке).

Отключите к чертовой матери переводы смсками, как это сделал я в тот день, как узнал, что они существуют, да еще и подключены по умолчанию.

Как только у вас списались деньги - звоните в банк (по номеру на карте и требуйте отменить операцию, чем дольше медлите, тем меньше шансов что это произойдет).

Хочу сказать, чем дольше я занимаюсь информационными технологиями, тем меньше у меня к ним доверия, но как сотруднику банка, грустно слышать упреки - вы же программисты, защитите нас. Мы-то может и защитили бы - но как только деньги из банка ушли, дальше никто для вас ничего сделать не сможет. И программист врядли сможет защитить вас от того, чтобы вы передавали коды злоумышленникам, а в большинстве случаев вы это делаете сами. Не говоря о том, что когда звонят настоящие работники банка и пытаются сообщить клиенту, что его понесло куда-то не туда, особо одаренные посылают их - мол, мне говорили, что мошенники будут звонить и отговаривать от перевода на защищенный счет, но вы не поддавайтесь. В каких-то случаях гораздо дешевле было сидеть и смотреть как списываются деньги с карты (а там лимит на переводы, и снятия), чем суетиться, и в результате переслать миллион кредитных денег на защищенный счет мошенникам.

Пару слов о том, что дескать и милиция тоже ничего не делает. Делает, но не все в ее силах. Дело в том, что все эти сложные схемы с организованными группами, организуются (простите за тавтологию) совсем не для того, чтобы украсть деньги, и сидеть с ними на счете, ожидая когда за тобой придут и посадят, а деньги вернут потерпевшему.

Весь смысл в том, чтобы в середину подставить того, кто не боится ответственности - алкоголика, наркомана, бомжа и т.д., и вывести деньги из зоны досягаемости полиции.

В этой связи хотелось бы передать привет любителям криптовалют, про которых у меня уже был ролик, и многие из которых обиделись. А ведь именно это ответ на тот вопрос, который всегда ставит вас в тупик - для чего вообще нужны криптовалюты. Вот для этого - чтобы избежать наказания за мошенничество, вымогательства, продажу наркотиков, и прочее. Какие-то напуганные женщины под жестким психологическим прессом перевели деньги, их мгновенно сняли с карточки наркомана, и купили криптовалюту, а ее прогнали через миксер, и обналичили за рубежом. Все, никакие полицейские ничего не сделают, они бы заявили в интерпол получателя денег, если бы это была обычная трансграничная свифтовка, или вестерн юнион.

Вот именно это результат работы замечательных информационных технологий, про которые кричат сегодня на каждом углу - и те, кто участвует в криптовалютных аферах обслуживают именно эти преступные схемы, где важна анонимность международных транзакций - других плюсов у криптовалют просто нет, сколько не пытайся натянуть сову на глобус. И без вас, дорогие майнеры, и самодеятельные менялы биткоинов на рубли и обратно (популярный криптовалютный стартап), подобным мошенничеством с мобильными банками было бы заниматься чуть сложнее - если не верите, почитайте например Золотого Теленка, как украв миллион, герой не смог ни потратить его, ни вывезти из страны. Уже во время, когда писали эту книгу, было ясно, как все работает, какой ход мыслей и какие основные движения у мошенников. Все максимально примитивное - украсть и убежать, ну а сейчас еще добавилась возможность сидеть за границей, а на тебя пусть работают неудачники - обманывают, лгут, да пусть за это и сидят - а деньги будут поступать к тебе за кордон.

Поэтому, криптобесы несут часть вины за то, что каким-то легко верным людям придется потратить годы жизнь, чтобы компенсировать украденные средства. И если так совпало, что ты криптобес - любитель криптовалюты и ее пропагандист, и думаешь, что это не про тебя, что ты не причем - постарайся не врать хотя бы себе - ты такой же участник всего этого шабаша, как и все остальные - и свобода от гнета государства, о которой вы так любите рассказывать, тут не причем - она кончилась там, где началась свобода другого гражданина -то есть где обманули первого потерпевшего, и выгнали деньги за рубеж через твой разлюбимый биткоин или эфир.

На этом все. Берегите себя и своих близких.

TL;DR: Разрабы второго по популярности (по версии ratingruneta) интернет-магазина встроили в движок код, который делает копии всех счетов клиентов на сервер в Аризоне.

Кто пострадал

Интернет-магазины и их клиенты, работающие на CS-Cart всех версий.

Сама компания заявляет о 35'000 установок в 170 странах мира.

Какая информация содержится в утечке

• ФИО покупателя интернет-магазина

• Адрес покупателя

• Телефон покупателя

• email покупателя

• Сумма заказа, заказанные товары и услуги

• Почтовые треки

Подробности

С CMS можно познакомиться (и скачать демо) по двум адресам: https://www.cs-cart.ru/, https://www.cs-cart.com/.

Последняя версия на сегодня 4.12.2.SP2, написана на PHP, ставится как всё, заточенное под LAMP, но нам для наших целей это не обязательно делать.

Скачиваем, распоковываем и сразу идём смотреть ./app/Tygh/Pdf.php , где видим такой код для отрисовки счёта клиента в виде Pdf-файла:

<?php...protected static $url = 'http://converter.cart-services.com';...public static function render(...)  {  ...  $response = Http::post(self::action('/pdf/render'), json_encode($params), array(            'headers' => array(                'Content-type: application/json',                'Accept: application/pdf'            ),            'binary_transfer' => true,            'write_to_file' => $file        ));...protected static function action($action)  {    return self::$url . $action;  }

где json_encode($params) содержит всю личную информацию, в т.ч. персональные данные покупателя, а Http::post(self::action('/pdf/render') после эвалюации превращается в Http::post("https://converter.cart-services.com/pdf/render") и все наши данные отправляются по ссылке выше, а уже в ответ из Аризоны (см. далее) приходит Pdf, который потом отправляется покупателю и/или используется для других целей системы.

converter.cart-services.com

Если погуглить этот адрес (converter.cart-services.com), то окажется, что первые обращения в форум поддержки датируются не позже 2018 года (вероятно, даже раньше, но администрация форума поддержки удаляет сообщения об этой проблеме), скорее всего с 2006 года, когда этот адрес был зарегестрирован.

Сам сервер, где собираются счета находится в Аризоне, США:

- Resolving "converter.cart-services.com"... 1 IP address found: 184.95.47.28

PTR cs-cart.com
ASN 20454 (SSASN2, US)
ORG Servstra
NET 184.95.32.0/19 (SERVSTRA)
ABU -
ROA UNKNOWN (no ROAs found)
TYP Proxy host Hosting/DC
GEO Phoenix, Arizona (US)
REP GOOD

Выводы

Компания-разработчик установила закладку, которая все заказы всех своих 35к клиентов, включая информацию о ФИО, емейлах, телефонах, адресах покупателей сливает куда-то в Аризону на сервер, который зарегистрирован уже 15 лет.

Накопленная за, предположительно, 15 лет база - просто клондайк для разного рода преступников, мало того, что имеются персональные данные десятков тысяч (если не сотен тысяч) человек, так ещё есть информация, позволяющая оценить их финансовое состояние.

Как это соотносится с законами о персональных данных (GDPR, 152-ФЗ), думаю, объяснять не надо.

Обращение на форум поддержки, кстати, заканчивается удалением топиков и открытым признанием, что такое поведение меняться не будет.