forgery

[109]

получил забавное письмецо. это типа не просто выглядит как банковская страница логина, это одна и есть. за маленьким исключением: <FORM action=http://196.33.171.200/bollogin.php>, где 196.33.171.200 - это не ip BankOne.

вот я не понимаю, ведь это же должно быть постоянное подключение к интернету, а не диалап. так ведь их же найдут сразу. позвонят в Cable & Wireless и спросят "а кто это у вас сидит на ip 196.33.171.200?"

рассказал жене, она сразу предложила lowtech аналог - рассылается бумажная почта с текстом "на вашем аккаунте подозрительные транзакции, позвоните нам" на бланке банка. телефон, естественно, не банка. при звонке у человека спрашивают его username и пароль. и переводят все его деньги себе на каймановы острова. а анонимный телефонный номер ведь куда проще получить, чем анонимный долгоживущий ip адрес.

зы. а вот интересно, как в банковской сфере обстоит дело с отменой транзакций. предположим, я обнаруживаю, что неделю назад с моего чекинга ушло на PayPal некоторое количество тысяч долларов. я утверждаю, что я этой транзакции не делал. дальше что?

Comments

[msh.livejournal.com]

А что, бывают банки, где можно сделать произвольную транзакцию зная только логин и пароль? Все что я видел требовали дополнительной авторизации, например, одноразовый ключ.

Вот в PayPal можно, но там зато верифицируют получателей

[109.livejournal.com]

1. какой ещё одноразовый ключ? что это такое?
2. ну да. логинишься и биллпэем отправляешь сколько угодно куда угодно. только песок и логин и пароль.

[msh.livejournal.com]

Ну переводы есть разные, можно делать "e-check", он же billpay видимо, который процессится как обычный чек и сеттлится месяц. Как обычный чек его можно revoke и его рекомендуют принимать только если ты посылальщика можешь догнать и навалять, в смысле успеешь еще отключить ему воду. Я видел по echeck 20% revoke за месяц и это считается нормально.

А есть wire transfer, после того, как ты его сделал, он на счету получателя и нет никакой возможности его отозвать. Я видел онлайновые wires только с дополнительным подтверждением - или одноразовый код, или бумага с подписью, или только разрешенным получателям

Неужели из американского банка можно легко перевести на произвольный счет только зная логин и пароль?

[109.livejournal.com]

в смысле - сеттлится месяц? это я могу чек в течение месяца отозвать? URL дай?

[msh.livejournal.com]

Ты - не можешь. А твой банк - легко, если, например, он поддельный. бумажные вроде быстро сеттлят - на него же можно посмотреть и решить поддельный или нет, а вот электронные - я видел revoke через пару недель даже. Денег нет на счету, номер чека неверный вбил, просто кастомер сказал, что это не он. Подписи-то нет.

А wire происходит за несколько минут и все. Обратного пути нет.

[http://users.livejournal.com/_under_score_/]

в Америке я пока _не_ видел онлайн-серверов банков, где после логина нужно еще что-либо для транзакции.

[fed-.livejournal.com]

ведь это же должно быть постоянное подключение к интернету, а не диалап. так ведь их же найдут сразу. позвонят в Cable & Wireless и спросят "а кто это у вас сидит на ip 196.33.171.200?"

А там в лучшем случае скажут: пользователь VPN-а, зарегистрирован на имя Pedro Gonzalez по ворованой кредитке, подключился через цепочку проксей.

А в худшем этот адрес окажется вообще каким-то африканским сервером.

[msh.livejournal.com]

А в худшем этот адрес окажется вообще каким-то африканским сервером

Именно в Африке он и есть

[109.livejournal.com]

а поподробнее можно? как извлекать инфу из ip-адреса, который даже не back-резолвится?

[msh.livejournal.com]

traceroute сделай (у вас это tracert)

[109.livejournal.com]

издеваешься?

адрес в имя не резолвится. последний резолвящийся в цепочке - какой-то лондонский internet solutions ltd, чей провайдер - Cable & Wireless, о чём я и написал.

rar используют.. (с)

[owssrmn.livejournal.com]

lslarry@red-eyed>whois 196.33.171.200

OrgName: The Internet Solution
OrgID: IS
Address: The Campus, 57 Sloane Street
Address: Bryanston
City: Johannesburg
StateProv: Gauteng
PostalCode: 2021
Country: ZA

NetRange: 196.33.0.0 - 196.33.255.255
CIDR: 196.33.0.0/16
NetName: ISNET-04
NetHandle: NET-196-33-0-0-1
Parent: NET-196-0-0-0-0
NetType: Direct Allocation
NameServer: APOLLO.IS.CO.ZA
NameServer: HERMES.IS.CO.ZA
NameServer: NS0.PIPEX.NET
Comment:
RegDate: 1995-11-27
Updated: 2000-02-25

TechHandle: ZT12-ARIN
TechName: The Internet Solution
TechPhone: +27 11 575 1000
TechEmail: netadmin@is.co.za

OrgAbuseHandle: ABUSE239-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +27 11 575 0055
OrgAbuseEmail: abuse@is.co.za

OrgTechHandle: ZT12-ARIN
OrgTechName: The Internet Solution
OrgTechPhone: +27 11 575 1000
OrgTechEmail: netadmin@is.co.za

# ARIN WHOIS database, last updated 2004-03-27 19:15
# Enter ? for additional hints on searching ARIN's WHOIS database.

Re: rar используют.. (с)

[109.livejournal.com]

хороший у вас хуиз. мой хуиз сказал "not found".

[fed-.livejournal.com]

под юнихами ответили выше, а под виндами:
telnet whois.ripe.net 43

Потом ввести ip адрес.

[109.livejournal.com]

есть веб-интерфейсы к нему. в которые я тыкал этим ip-адресом. а оно говорит - not found. но спасибо anyway!

[109.livejournal.com]

ничего не понял. почему эта цепочка проксей рутится через cw.net? у них открытый анонимный прокси стоит? по яйцам. про VPN я тоже, если честно, не понял. я тупой, мне надо подробно.

[fed-.livejournal.com]

Например вот так:

Некоторые компании предоставляют возможность аренды виртуальных серверов. Через такой сервер и можно осуществлять эти вещи. Более того, для регистрации обычно номера кредитной карты бывает достаточно (она может быть ворованной). Регистрироваться и администрировать сервер можно через цепочки прокси-серверов, таким образом вычислить злоумышленника практически невозможно.

Естественно, нормальные провайдеры такие сервера прикрывают при первой же жалобе. Но есть достаточное количество и таких, которые за нужную плату умеют скрывать истинное расположение серверов и их владельцев.

Чтоб найти тех, кто может предоставить такой сервис а также приблизительные цены, можно начать с поиска в гугле: "adult bullet proof hosting".

ps. А cw.net к тому ip адресу никакого отношения не имеет, вроде как.

[msh.livejournal.com]

Никто не будет такое скрывать, это не порносайт, который спамом рекламируют, это felony. Закроют после первой же жалобы и ничего полезного не успеют насобирать.

[109.livejournal.com]

уже вроде закрыли. о чём я и говорил. ну и тупые же эти южноафриканские ниггеры :-)

[fed-.livejournal.com]

Может быть.

Я себе не очень хорошо представляю механизмы "как", но точно знаю, что люди, которые могут предоставить выделенный ip для махинаций на некоторое время за деньги есть.

Я пораспрашиваю у знакомого, который возможно знает как это делается и отпишу здесь.

[109.livejournal.com]

cw.net к тому ip адресу никакого отношения не имеет, вроде как

последний резолвящийся адрес, показываемый трейсрутом, назывался как-то типа internet-solutions-ltd.london.cw.net. сейчас, правда, уже трейсится вообще через другое место и после 31-го хопа абортируется.

[duginov.livejournal.com]

я на днях тоже получил забавное письмецо, прошедшее через спам-фильтр. Plain-text e-mail, с просьбой кликнуть на урл (citibank.com/что-то) и ввести свой аккаунт и пин поскольку в последнее время были какие-то проблемы блаблабла. Явная туфта, поскольку у меня нет аккаунта в ситибанке, но как это туфта работает я несколько минут понять не мог. Урл явно должен вести в ситибанк. Потом щелкнул, посмотрел - доперло. На самом деле это был HTML cформатированный под plain-text и ссылка вела хрен знает куда :)