- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
uimodeller, ничего, что для этого сначала надо привязать к Деньгам телефоны?
Обязать пользователя указать рабочий номер телефона, авторизовать изменения существующими средставами аутентификации(пароль, платежный пароль), верифицировать SMS-сообщением — это проблема? Хм, смеялся.
Если некто нечто не сделал, это отнюдь не значит, что этот некто видит гораздо больше особенностей, чем вижу я. Как минимум, потому что Вы понятия не имеете, кто я, и в мое видение предмета Вас посвящали. За сим будем оперировать информацией, которой владеем.
Вот давайте логично поразмышляем, что лучше? Решение людей, которые "знали особенности", но наплодили недостатков, чей подробный разбор в один пост не влезет? Или решение, ничем не хуже, во многом лучше, но предложенное мной, "особенностей" не знающим?
P.S. Не мешайте замысел и процесс его реализации. Перед тем как что-то делать, нужно знать что, и только потом — как.
uimodeller,
Вор. С точки зрения своего алгоритма, процесс кражи бабла со счетов один и тот же, что с "Сказкой", что с мобильником:
1. Поймать владельца кошелька.
2. Вырубить. Связать. Отобрать ключ(тел. или табл.). Закрыть.
Нет. Я моделировала несколько схем мошенничества с одноразовыми паролями на мобильный, когда мы обсуждали эту тему. Кроме того, я знаю, где и как они уже отлично работают, только Вам не скажу, простите. Я против одноразовых паролей на телефон, потому что знаю, как воспользоваться их существованием без всякого вырубания и связывания.
С банком смоделированная (и существующие её варианты) схема мошенничества не сработает, а с электронными деньгами - сработает в силу общей малограмотности населения.
(подумав)
о, мне пришло в голову, какие можно придумать "входные условия" для привязки смс-пароля, чтобы это стало менее опасно :) Так что есть свои плюсы, из категорического противника одноразовых смс-паролей я превращаюсь в очень осторожного не-противника :)
Вы, наверное, ещё не знаете, что к нам регулярно зачем-то приходят люди, обманутые без всякой связи с Яндекс.Деньгами :) Просто у них все электронные платежи ассоциируются либо с Яндекс.Деньгами, либо с webmoney - кто какой звон слышал :) И вот от них мы узнаём массу интересного о том, что ещё можно сделать, если предоставить такую возможность :)
Нет. Я моделировала несколько схем мошенничества с одноразовыми паролями на мобильный, когда мы обсуждали эту тему. Кроме того, я знаю, где и как они уже отлично работают, только Вам не скажу, простите.
А можно я? 😆 Теоретически, хапнуть чужой динамический пароль можно:
Первый вариант предполагает серьезную мотивацию осуществить задуманное. Самый простой вариант — отрубить-отобрать, в противном случае придется или применять спецсредства, или писать вирь под мобильные. Защита от парней, несклонных к пацифизму и с спецсредствами — это слишком сложно, для рядового юзера, у которого подобным гражданам и отобрать-то нечего. Да и нет неломаего, в отличие от недостатка мотивации и возможностей. С этой стороны достаточно надежно.
Слабое место — можно перехватить пароль, идущий на сервер. Одноразовый пасс имеет срок годности, достаточный, чтоб пользователь успел им воспользоваться, и с солидным запасом. Он становится невалиден, если ошибка авторизации произошла N раз подряд, иначе будет подбор легендарным брутфорсом. Алгоритм вскрытия:
Так мы приходим к тому, о чем я уже упоминал — банковский пластик и CVV. У злоумышленников на одно поле работы больше, но его наличие/отсутствие сути не меняет. Что с мобильником, что с "Сказкой". До тех пор, пока пользователь будет авторизовываться не просто 2+ способами, но и по 2+ различным, взаимонезависимым каналам связи, кардинальных изменений не предвидится.
Всему есть свои границы. Вы не сможете помешать идиоту, с радостной лыбой сующему свои деньги встречным-поперечным.
uimodeller,
Вы не сможете помешать идиоту, с радостной лыбой сующему свои деньги встречным-поперечным.
Вы знаете, я хочу помешать именно ему, честно :) мне бы хотелось, чтобы он отдавал свои деньги не через нас, а через кого-нибудь другого - тогда у меня совесть будет чиста. Ну вот важно для меня это, извините :)
Я имела в виду не смоделированные Вами угрозы. Другую разновидность :)
доставка карты с кодами в Казань планируется?
SMM, в рамках общей темы "как сделать доставку в города, где нет доставки карт предоплаты" (ну, этих, которые для пополнения). То есть сделать обязательно надо, но пока окончательно не определена схема.
Я имела в виду не смоделированные Вами угрозы. Другую разновидность :)
Бесполезно. Человеческий фактор можно убрать только вместе с самим человеком. При статичном платежном пароле, злоумышленнику достаточно выудить его один раз. При динамичном — каждый раз. На практике никто не будет мариновать краденые пароли в ожидании чуда, когда на счету у пассажира не будет 100500 миллионов рублей. Хотя бы потому, что смена пароля — это тоже чудо, но рядовое, обыденное и от того вполне вероятное. Хоть два статичных пароля, хоть статика + динамика, два сапога — кеды.
Бытует мнение, что существует две бесконечности: Вселенная и человеческая глупость. Причем автор теории, некто Эйнштейн, питает некие сомнения насчет первой, но никаких касаемо второй. Все ещё хотите забороть непреодолимое?
о, мне пришло в голову, какие можно придумать "входные условия" для привязки смс-пароля, чтобы это стало менее опасно :) Так что есть свои плюсы, из категорического противника одноразовых смс-паролей я превращаюсь в очень осторожного не-противника :)
Можно я Вас добью?😂 Разбейте алгоритм на два канала связи:
Механика защиты кардинально меняется. Как писал постом ранее, перехватить дин.пароль на участке сервер-юзер достаточно сложно. Проще поработать на участке юзер-сервер. Если вирь сумел хапнуть первичный пароль, сможет и довести нагибание до логического конца. Наша задача сводится к тому, чтоб контроля над ПК стало недостаточно. Детализируем:
Рубежи обороны:
Вот это уже действительно ломаемо или глупыми парнями, но вместе с юзером, или умными, но с спецтехникой и умением с ней обращаться. Вполне достаточно, на мой взгляд. С технической точки зрения, конечно, не слишком вкусный вариант, но думать предлагаю именно в эту сторону.
глупыми парнями, но вместе с юзером
мне важно, чтобы этот вариант был минимально доступен. Ну, понимаете, разные подходы бывает. Я в данном случае такой традиционный Защитник Блондинок :)
а по каналам и прочему у нас есть Специальные Специалисты, да :) они примерно такое и моделировали, что Вы рассказываете :)
мне важно, чтобы этот вариант был минимально доступен.
Взлом вместе с юзером — это буквально, сначала ломаем юзера, потом пароль. Типа такого:
Программной защиты от терморектального криптоанализа нет и не будет.
Похвально, но бесполезно :) Эффективная борьба с юзерской глупостью несовместима с успехом у обладателей этого качества. Затяните вентиль — побегут. В итоге бизнес заставит Вас соблюдать баланс. Будьте готовы! ☝
Вы знакомы с принципом талиона? Вот по законам Хаммурапи рукожопое строительство, повлекшее за собой смерть владельца дома, каралось смертью рукожопого строителя. Это 18-й век до нашей эры.
Сейчас 21-й нашей эры, компутеры, интернеты, Юра Гагарин — подобрели мы, в общем. Потому не буду просить Вас безжалостно перестрелять этих специалистов, как вредителей, саботажников, диверсантов и прочих вражеских шпионов. Око за око, геморрой за геморрой! Немедля выдать гигантам по три "лося радиста", как посвящение в ряды, а также азбук Морзе с бюстами Маркони, как признак принадлежности к геройской касте. Маркони в чугуне. Масштаб 1:1. С интегрированой системой защиты от угона: якорная цепь + одноразовый фиксатор на хозяйскую конечность, необратимого действия и из устойчивых к брутфорсу сплавов. Вдруг "Сказки" закончатся?.. 😂
Взлом вместе с юзером — это буквально, сначала ломаем юзера, потом пароль.
да есть куча юзеров, которые сами сломаны. Изначально. Письмо в саппорт: "Здрасти, миня завут Вася, мне 25 лет, мой логин vasyavasya, пороль васявася1, плотежный пороль васявася111, у миня кудата делись деньги" (все персональные данные заменены вымышленными, орфография близка к оригиналу)...