Эта информация касается людей которые:
1. Имеют карты ПРИВАТБАНКА.
2. Продают барахло или торгуют на площадках типа OLX, Aukro и т.п. или ведут другой бизнес on-line.
В 2008 году в Украине открылся сервис денежных интернет-транзакций LIQPAY. В принципе хорошая система для подключения систем оплаты к сайтам. Но к сожалению имея ряд недостатков - система достаточно быстро стала у мошенников удобным инструментом по отъему денег у граждан.
Я не анализировал её уязвимости, и не думал это делать, пока статистика попыток мошенничества, причем зачастую весьма успешных, где потенциальными жертвами оказывались мои друзья и знакомые, не обрела угрожающих масштабов. Это заставило меня понять, почему столь успешным орудием мошенников оказалась связка
Privat24+LiqPay.
Итак, простота работы системы стала обратной стороной медали:
Первое! Система Liqpay имеет доступ с одноуровневой авторизацией (номер телефона + временный смс-пароль )
К сожалению, это дает возможность злоумышленникам, получив этот пароль, сразу видеть все подключенные в "приват -24" карты и даже выполнять транзакции. Даже если вы никогда не пользовались этим сервисом!!!
Так например с карты была попытка оплаты в сервисах не требующих CVV кода. Спасло холдера только то, что на его счету не было достаточно средств для снятия и операция была отклонена.
Второе! В платежной системе видны ВСЕ-ВСЕ карты, даже те, которые не имеют включенной возможности оплаты в интернет. Но если хоть по одной из них открыта кредитная линия или не установлен лимит на снятие денежных средств - при определенных технических возможностях мошенники имеют возможность переводить средства с вашей карты на другую карту.
В качестве некоего решения можно было бы встроить в сервис Liqpay систему авторизации по логину/паролю с подтверждением по СМС, как в Приват24. В этом случае злоумышленник будет требовать пароль входа, который большинство людей все же поостерегается давать. Но это будет работать, если вы уже ранее подключали себе эту систему.
Другое решение, затрудняющее мошенничество - это отключение в сервисе всех карт, в том числе виртуальных, в которых функция оплаты через Интернет заблокирована! Это хотя бы не даст лицезреть бандиту ваши счета и остатки на них. Но вообще - если мошенник, имея временный смс-пароль В ПЕРВЫЙ РАЗ входит в Liqpay - он не должен видеть все карты без дополнительной авторизации или процесса ручного подключения желаемой карты. Для уменьшения возможности воровства сервис Liqpay должен автоматически выходить из сессии, при отсутствии активности со стороны пользователя - это потребует повторной авторизации, к которой мошенники буду вынуждены прибегнуть, но скорее всего по условиям их деятельности делать не станут, так как потребуется опять ввод СМС- пароля от пользователя.
А теперь немного о том, как работают мошенники! (Один из сценариев.)
Вы выставили на продажу товар. На сайте размещен ваш номер телефона которым воспользуется мошенник.
Он просит у вас номер карты на которую будет отправлять платеж за товар. Возможно он поддержит разговор о свойствах товара и даже заведет разговор о скидке. Вы в предвкушении...
На следующий день с незнакомого мобильного номера вам позвонит молодой человек и представившись работником Приватбанка расскажет о том, что на вашу карту частного лица пришла сумма (равная стоимости товара), но она была сделана с юридического адреса и данный платеж получить не возможно. При этом он переключает внимание на то, что он может включить эту услугу путем активации соответствующего сервиса. Если речь завести о возврате средств плательщику он говорит что система приняла счет он завис с него сняты налоги и проценты и отправить его назад нет возможности так как данная функция в системе отсутствует. Дальше гнет линию о дальнейшем подключении сервиса который решит все проблемы.
Далее он говорит о том что необходимо ввести пароль из СМС, котрый придет на ваш телефон. Это временный СМС-пароль для входа в ЛикПэй, который вводит мошенник. Если он достиг желаемого он тут же увидит все ваши карты и суммы на них, без лишних телодвижений. Теперь, пока открыта сессия в браузере бандит совершенно спокойно совершает покупки в Интернете списывая с карт где включен кредит или открыты лимиты на денежные средства.
Если это не удалось сделать, он продолжает давить, ставя вопросы о поручителях, телефон которых надо продиктовать, и вернуть СМС-пароль мошеннику для корректного подключения сервиса. Фактически беря в оборот не только горе-продавца но и членов его семьи!
В Интернете есть ресурсы, на которых можно оплачивать товары без CVV кода и даты действия карты. Так например с карты одного из моих друзей была снята сумма в 50 долларов с Интернет- карты в пользу SHUTTERSTOCK при этом было выполнено через несколько часов после получения доступа к средствам в ЛикПэй. Тоесть теоретически - после закрытия сессии, так как вряд ли мошенники могли держать долго открытой страницу ЛикПэя в браузере. Это чревато потерей оперативности.
Что можете сделать вы!?
К сожалению, усыпить бдительность держателя карты тут довольно легко. Вас поставили в известность о почти реальной проблеме. Не требуют пароля входа в сервисы Приват, CVV- кода, и даже ПИН-кода. (Возможно, при определенном успехе они бы и пошли дальше, но, они могут обчищать карты уже на этом уровне.) Бандит требует только продиктовать цифры пришедшие в СМС, к сервису о котором вы можете не иметь понятия, и которые не имеют отношения к сервисам Приват.
-"Ну не было у меня аккаунта в ЛикПэй, ну подключит он его себе с помощью кода и что?"- так думал и один из моих друзей...Пока не лишился суммы денег хоть и довольно малой.
Для успешного противодействия я рекомендую следующее:Если вы не можете определить мошенника, а распознать их порой очень тяжело - по крайней мере придерживайтесь этих правил:
1. Ни при каких условиях не диктуйте пришедшие вам на телефон пароли от каких-либо регистрирующих операций.
2. Не диктуйте телефоны и фамилии ваших родственников, друзей и коллег (требуемых под видом поручителей финансовых операций)
2. Ограничьте снятие средств через интернет, путем полного отключения этой функции в личном кабинете Приват24 или по крайней мере ограничте сумму транзакций вменяемыми цифрами (по умолчанию может стоять 10 000 грн и 5 000 долларов в виртуальных интернет-картах)
Включайте эту функцию только перед выполнением покупки или переводом денег, ограничиваясь только требуемой суммой, затем отключайте опять - это займет лишних 5-10 минут не более но сохранит ваш кошелек.
Если вы стали жертвой или заподозрили кого-то в попытке обмануть вас:1. Сразу блокируйте все карты на которых есть средства. (до тех пор пока все превентивные меры не будут выполнены.)
2. Меняйте пароли доступа в Кабинет Приват24
3. Срочно свяжитесь в чате или по телефону со специалистами Банка и выполняйте их указания.
4. Личную карту лучше перевыпустить, если есть риск, что мошенники продержат открытую сессию ЛикПей достаточно долго и отследят поступление на вас счет денежных средств. Например, попытка транзакции была была выполнена мошенником спустя 5 часов после завладения информацией.
И еще!!!
Если вы утеряли телефон - моментально блокируйте сим-карту!Я буду рад если это поможет кому-то избежать проблем в будущем. Ибо предупрежден - значит вооружен! И да прибудет с вами Мозг!
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
![[livejournal.com profile]](https://www.dreamwidth.org/img/external/lj-userinfo.gif)
gorky_look at Раз майдан, два майдан
undefined
)
