Скамишь это что значит

WikiphilE

Агрегатор советов и знаний в сети

Что такое скам (scam)?

Скам (scam) – что это означает, сто называют скамом в интернете?

В американской Интернет-среде скам «является» распространенным словом. Для русскоязычных пользователей Сети это еще относительно новый термин. Он чаще всего употребляется по отношению к мошенническим проектам, в которых высок риск потерять свои деньги.

Что такое скам в Интернете?

В буквальном смысле иностранное слово «sсam» означает «афера или проделка». Но в контексте современного использования правильнее будет понимать его как «мошенничество» или «обман».

Скамом называют любой Интернет-проект, который закрылся по непонятной причине и многие его участники получили финансовые убытки.

Подобное банкротство иногда может сопровождаться возвращением вложенных денег всем инвесторам, но это единичные случаи.

Многие финансовые эксперты считают, что практически любой Интернет-проект изначально является скамом.

Когда участники перестают получать положенные дивиденды, они говорят, что Интернет-проект соскамился. Администрация просто перестает выходить на связь, не дает комментарии по поводу проблем, а иногда даже закрывает сайт. В некоторых случаях руководство открыто заявляет о банкротстве, называя реальные или надуманные причины.

Скам — это такое состояние инвестиционного проекта, когда он полностью или частично перестает выполнять свои обязательства перед инвесторами. При наступлении скама каждый инвестор начинает подсчитывать свой профит в проекте либо убытки, а также начинает поиски новых источников пассивного дохода. Если проект не осуществляет выплаты, или осуществляет их частично, либо с задержками, то можно сказать, что он «ушел в скам» (соскамился).

Скамятся следующие проекты в Интернете:

• Хайпы. Почти все они на начальных этапах предлагают высокую прибыль. Солидные дивиденды возможны лишь за счет притока других клиентов. Фактически, руководство изначально формирует финансовую пирамиду. Как только поток вкладчиков уменьшается, а прибыль прежним выплачивать становится невыгодно, хайп скамится;
• Стартапы. К примеру, группа молодых программистов создает серьезный Интернет-проект, вроде сайта знакомств. Из-за отсутствия личных средств они предлагают другим пользователям вложить деньги в разработку, рекламу и получать прибыль с нового ресурса. Но затем оказывается, что сайт знакомств не удается «раскрутить», он становится неприбыльным и инвесторы либо вообще не получают доход, либо он не покрывает изначальных вложений;
• ПАММ-счета различных брокеров. Практика показала, что даже долго работающие брокеры могут внезапно соскамиться. Ярким примером является FxTrend. Брокер стабильно в течение нескольких лет выплачивал прибыль по ПАММ-счетам, но потом внезапно свернул свою деятельность. Обманутые инвесторы в совокупности потеряли более 6 млрд. рублей.

Scam не только в сфере Интернета

Назвать скамом можно не только сетевые проекты. Например, в 90-е существовала финансовая пирамида «МММ». Сегодня не возникло бы сомнений, что она является откровенным скамом. Достаточно было понаблюдать за ее финансовой деятельностью и агрессивной рекламной компанией.

К сожалению, в то время граждане в большинстве своем плохо разбирались в подобных вопросах. Их интересовала прибыль, они верили Мавроди и спустя какое-то время потеряли свои сбережения. МММ существовало достаточно долго, но она изначально была скамом, и крах ее был неминуем.

Сегодня организовать такую мошенническую схему в широких масштабах стало затруднительно. Государство заинтересовано в том, чтобы вовремя разоблачать и запрещать подобные скам-проекты. Они несут угрозу финансовому благосостоянию граждан.

Проблема пока лишь в том, что мошенникам проще всего создавать свои «прибыльные инвестиционные проекты» в Интернете. Достаточно открыть сайт, запустить рекламную компанию на форумах и как минимум несколько десятков человек попадутся на уловки.

Что такое скам-проект?

В данном случае следует понимать скам-проект не только как изначально мошеннический, но и как тот, который вскоре закроется. Например, по причине снижения доходности финансовых инструментов, которыми пользуется руководство проекта.

Определить скам-проект, от которого надо держаться подальше, удается по следующим признакам:

1. Технические сбои на сайте и снижение активности на нем со стороны администрации. Владельцы проекта осознают скорый крах, поэтому меньше внимания уделяют стабильной работе ресурса. На нем все реже появляются новости;
2. Проблемы с получением денег. Если раньше в успешно работающем проекте прибыль выплачивалась ровно в указанные правилах сроки, то в скам-проекте наблюдаются задержки выплат, особенно в случае с крупными суммами;
3. Резкий рост доходности. Стремясь спасти положение или извлечь напоследок максимум прибыли, руководство предлагает более высокие инвестиционные планы;
4. Изменение финансовой политики. Если компания инвестировала в одну сферу, а затем переключилась на другую, то это повод серьезно задуматься;
5. Активная рекламная компания. Еще одна отчаянная попытка привлечь средства новых вкладчиков, чтобы погасить обязательства перед прежними клиентами, либо же собрать больше средств и внезапно прекратить работу.

Распространенные причины скама

Помимо откровенного мошенничества, когда руководство изначально собиралось обмануть клиентов, есть и объективные причины скама Интернет-проектов:

1. Паника инвесторов. Это происходит, например, когда появляются ложные слухи о закрытии проекта. Все вкладчики бросаются выводить средства. Оставшись без капитала, администрация объявляет о банкротстве;
2. Плохая динамика развития проекта. Привлеченные вложения в определенный момент были использованы неудачно. Появились первые задолженности перед инвесторами, которые не удалось покрыть привлечением новых средств;
3. Слишком высокая обещанная доходность. На старте руководство смогло привлечь много вкладчиков за счет высоких процентов. Но затем, когда первая волна клиентов начинает выводить прибыль, компания терпит крах из-за повышенных финансовых обязательств перед инвесторами.

Что значит надпись «скам» в Телеграмме?

Недавно пользователи мессенджера Телеграмм стали наблюдать, что рядом с некоторыми аккаунтами и каналами появляется предупредительная надпись «scam». Таким методом техподдержка маркирует подозрительных пользователей и сообщества.

С английского «scam» переводится как обман.

Данный статус канал получает после того, как на него приходит большое количество жалоб. Вероятно, здесь рекламируют интернет-казино, методы «легкого» заработка и прочие вещи, направленные на обман пользователей.

Это весьма полезное нововведение, которое позволяет сразу определить, от какого канала лучше отписаться. Именно так зачастую и делают большинство пользователей. Как только сообществу присваивается позорный статус «scam», тут же начинается массовая отписка.

Скам – емкое и популярное слово в сфере Интернет-инвестиций. Оно обозначает проект, который находится в стадии разорения или изначально нацелен лишь на «вытягивание» денег с клиентов.

Видео: самые громкие мошеннические скам-проекты

В этом ролике программист Роман Тимуров расскажет про самые известные, появившиеся за последнее время sacm-проекты, какой ущерб они нанесли и как были разоблачены:

Источник

Заскамил мамонта

Заскамил мамонта – абстрактный мем, основанный на профессиональном жаргоне мошенников. Фраза “заскамить мамонта” означает “развести на деньги лоха”.

Что значит “заскамить мамонта”

Слово “скам” переводится с английского языка как “афера”, “мошенничество”. Отсюда происходит производный глагол – “заскамить”, то есть “обмануть”, “развести”, “кинуть на деньги”. Это слово в последние годы стало популярным не только в профессиональной среде мошенников, но и в качестве молодежного сленга.

“Мамонтом” на жаргоне мошенников называют жертву. Это человек, которого легко обвести вокруг пальца. Как правило, он легко поддается на уловки и может отдать свои деньги неизвестным людям.

По одной из версий, таких людей называют мамонтами из-за их возраста. Обычно на мошеннические уловки хорошо клюют люди в возрасте, особенно пенсионеры. А мамонт в разговорной речи – это что-то древнее, вымершее.

Мем “заскамил мамонта”

В 2021 году в пабликах ВКонтакте распространился особый тип абстрактных мемов, основанных на фразе “заскамил мамонта”. Предположительно, истоки этого тренда уходят в песню “Мамонт” исполнителя Scally Milano.

Видео с этим треком появилось на ютубе 15 февраля 2021 года. За 7 месяцев ролик посмотрели более 1 млн человек.

Зашёл на Avito и заскамил там мамонта
Мой дед говорит — во Второй мировой войне он убил мамонта
Заскамил узбека, я думаю это был таджик
Меня могут поймать, я кладу деньги в тайник

Рэпер рассказывает об особом виде мошенничества – обмане пользователей маркетплейса “Авито”. Этот сайт “славится” кидалами, которые просят деньги за перевод товара или подсовывают фишинговые ссылки.

Весной и летом 2021 года ВКонтакте распространились картинки с изображением мамонта. Их часто можно найти в комментариях, правда текст везде разный. Но так или иначе, подписи связаны с деньгами.

Так, в популярной версии есть подпись “Заскамил мамонта”. Если вам прислали такую картинку, следует ответить “Куда переводить” или “в смысле заскамил?”

В июне мем вышел на пик популярности. Во многом благодаря еще двум трекам, которые завирусились на ютубе и в Тиктоке.

Значение

Мем “заскамил мамонта” используется как насмешка над пользователем. Так автор, скинувший картинку, показывает, что ему удалось обмануть собеседника. В широком смысле эти пикчи часто публикуют без контекста, в качестве мемного спама.

Галерея

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Источник

Что такое Скамминг (Scumming) ?

Скамминг – это разновидность интернет-мошенничества, когда организаторы рассылают письма, в которых говорится, что их получатели якобы стали победителями лотерей, или же письма, в которых получателям предлагается инвестировать в создание офшорных предприятий и недвижимости , в целом это одна из самых популярных мошеннических схем основанная на Социальной Инженерии, позволяющих выманивать довольно крупные суммы.

Один из самых распространённых примеров это «Письмо от Нигерийского принца» которые были распространены несколько лет назад.

В 2016 году ФБР совместно с участием Интерпола и Нигерийский Комиссия по экономическим и финансовым преступлениям (EFCC) удалось задержать 40 — летнего мошенника который промышлял рассылкой писем «от принца». На момент расследования удалось доказать похищения денежных средств на сумму 60 миллионов $

В последние годы количество тенденция «видоизменённых» рассылок растет. Яркий пример видоизменённого скамминга описывался в статье Северокорейская хакерская группа атаковала оборонную промышленность Израиля

«Северокорейские хакеры, выдававшие себя за хедхантеров Boeing, отправили сообщение старшему инженеру израильской государственной компании, которая производит оружие для израильских военных и разведки. Установив контакт со своими израильскими «целями», хакеры запросили адрес электронной почты или номер телефона для подключения через WhatsApp, чтобы повысить доверие, предложили провести разговор по телефону.»

Исследователи по кибер безопасности поясняют, что данная тенденция свидетельствует о том, что злоумышленникам стало проще создавать более адресные письма, что статистически повышает успешность мошенничества.

По мнению эксперта Питера Спаркса (Peter Sparkes), это напрямую связано с тем, что на черных рынках наблюдается наводнение различными базами с персональной информацией пользователей. Идентифицирующая информация становится все более доступной для злоумышленников в силу участившихся случаев утечки конфиденциальных данных, а также увеличения объемов таких утечек.

В момент пандемии 2020 года, когда на » удаленку » перешло больше половины всех занятых. Скамминг снова дал о себе знать. Вот несколько схем распространённых на карантине:

Активизировались мнимые кадровые интернет-агентства, которые предлагали трудоустройство на удаленке. Доверчивому соискателю надо заполнить анкету с личными данными. Затем приходит письмо, что он принят на работу и нужно срочно перевести деньги за некое оборудование.

Злоумышленники публикуют в интернете видеоролики с предложением возврата налога на добавленную стоимость всем россиянам, оставшимся без дохода. В этой схеме клиенты переходят по мошеннической ссылке из описания к видеоролику и самостоятельно совершают расходные операции, что ведет к потере денег.

Мошенники размещают объявление о продаже товара по заниженной цене на Avito и «Юле». Когда покупатель связывается с продавцом, тот сообщает, что находится в другом городе и предлагает ему заплатить за доставку. Если покупатель соглашается, то злоумышленники направляют ему фишинговую ссылку для оформления заказа, которая выглядит точно также как и легитимный сервис.

Ещё один способ «развода» — это sms-сообщения о начислении социальной помощи за «нерабочие дни» и «Карантин». В ответ мошенники просят для регистрации «социальной помощи» оплатить гос. пошлину с любой карты банка.

Как итог будьте внимательны.

Информационная безопасность

1.3K постов 22.8K подписчиков

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда «Какой-то банк слил данные, потому что мне звонили мошенники» будут выноситься в общую ленту.
2. Все вопросы «Как обезопасить сервер\приложение\устройство» — в лигу «Компьютер это просто».

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.

Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.

Один из самых распространённых примеров это «Письмо от Нигерийского принца» которые были распространены несколько лет назад.

«scamming». от слова «scam»

А мне понравилось как на сайте автора в разделе «Карта Решения ИБ» ссылки на Касперского, ПТ и прочий МакАфи ведут на сам же сайт автора. Что автор этим хотел показать? %)

В момент пандемии 2020 года, когда на » удаленку » перешло больше половины всех занятых. Скамминг снова дал о себе знать.

А разводы в интернете куда-то уходили я не понял? Все эти тонны постов о разводе на авито/инстаграмме и пр. типа забыли или как?

Блин, этот пост просто кладезь бесполезности!

Этр ж сколько дебилов в мире верит в такую хуету.

Пиздец, я расстроен тупизной людей

Хороший добротный пост. Таких должно быть больше. Любого, кто тебе любезно пишет: «Здравствуйте. » надо сразу слать лесом. Возможно, размещая такие посты на различных социальных площадках, можно спасти какую-то часть населения, но не всех, ведь всегда есть тупые, которые подают милостыню на улице или ведутся на «письма принцев» в интернете.

Электронная подпись: как обходиться без бумаги и при этом не отдать все свои активы мошенникам?

Электронная подпись появилась в России еще в прошлом веке, когда компьютеры были большими, а интернет был по диал-апу. С тех пор применение усиленной электронной подписи (ЭП) расширяется. Её регистрируют как крупные организации, так и совсем небольшие ИП.

После начала пандемии коронавируса случился настоящий бум получений ЭП, ведь иначе бизнес бы встал. В результате за 2020 год было выдано почти вдвое больше сертификатов ЭП, чем в 2019-м. Разберемся, что такое ЭП, почему она так привлекательна для мошенников и как защитить ее от злоумышленников.

ЧТО ТАКОЕ ЭЛЕКТРОННАЯ ПОДПИСЬ?

В этом материале мы говорим об усиленной электронной подписи – идентификаторе человека при дистанционном обмене информацией, имеющем юридическую силу.

Бывает еще простая электронная подпись, подтверждающая, что документ отправил конкретный пользователь. Ее можно сделать с помощью обычных офисных программ, но уровень ее защищенности таков, что всерьез ее воспринимать сложно. Однако простые подписи используются широко. Например, ими незаметно для клиента заверяются все операции по банковским картам. Простая подпись может быть доказательством в арбитражном суде.

Чтобы ввести электронный документооборот, требовался инструмент, одновременно достаточно защищенный, чтобы ему можно было доверять, и достаточно простой, чтобы им мог пользоваться обычный пользователь ПК. Так появилась усиленная электронная подпись.

Усиленная ЭП – это реквизит документа, подтверждающий его авторство и отсутствие изменений в данных с момента подписания. Она защищена криптографическими методами, и взломать ее практически невозможно.

Чтобы подписать документ, нужна пара из секретного и открытого ключа.

Когда человек ставит электронную подпись, алгоритм считает контрольную сумму данных и зашифровывает получившееся значение секретным ключом.

Получатель документа с помощью парного открытого ключа узнаёт, кем именно был подписан документ и проверяет совпадение контрольной суммы. Если после подписи в документе хотя бы переставят запятую или удалят пробел, она будет уже другой. Значит, подпись недействительна.

Из всех ЭП юридической силой собственноручной подписи обладает только усиленная квалифицированная. Чтобы получить ее, нужно, чтобы соответствующий открытый ключ был подписан секретным ключом УЦ.Открытый ключ с метаданными владельца и подписью УЦ и называется сертификатом электронной подписи.

Неквалифицированная подпись используется в основном в деловой среде. Ее может выдать любой удостоверяющий центр (УЦ), в том числе и внутренний УЦ предприятия. Сообщение с неквалифицированной электронной подписью может (по предварительной договоренности сторон и в специально предусмотренных законом случаях) быть приравнено к бумажному документу, подписанному собственноручно.

Квалифицированная подпись по закону считается официальным документом. Она позволяет удаленно работать с налоговой инспекцией, присылать документы в суд – делать все то же, для чего нужна собственноручная подпись. Она подтверждается сертификатом от аккредитованного удостоверяющего центра.

С помощью сотрудников Музея криптографии, который скоро откроется в Москве, мы смогли составить хронологию использования ЭП в России.

1994 – в России принят первый стандарт электронной подписи – ГОСТ Р 34.10-94 (сейчас действуют национальный стандарт ГОСТ Р 34.10-2012 и межгосударственный ГОСТ 34.10-2018)

2002 – вступил в силу первый закон, призванный регулировать использование ЭП – 1-ФЗ «Об электронной цифровой подписи». Он содержал слишком серьезные требования к ЭП и сильно ограничивал возможности по применению электронных документов.

2011 – вышел закон 63-ФЗ «Об электронной подписи», значительно облегчающий ее применение. Это создало основу для перехода к безбумажному документообороту.

2018 – ЭП стала использоваться на портале «Госуслуги»

2019 – появление облачной подписи, которую можно оформить удаленно.

2020 – ключи ЭП можно получать через МФЦ.

2020 – ЭП активно используется в банках для защиты переводов.

Электронная подпись стала по-настоящему доступна. Но так ли это хорошо?

ОХОТА ЗА КЛЮЧОМ

Секретный ключ чужой электронной подписи для мошенников поистине золотой. Имея его, для всего цифрового мира злоумышленник может оставить её настоящего владельца без банковского депозита, бизнеса и единственного жилья.

Самые распространенные преступления с использованием ЭП:

— вывод средств со счетов компании;

— заключение договора дарения или купли-продажи на собственность человека или компании, включая недвижимость и дорогую технику;

— различные манипуляции с организацией: смена руководителя компании, главбуха, других ключевых сотрудников, ограничение доступа организации к госзакупкам и даже ликвидация компании.

Чтобы осознать полный спектр возможностей мошенников, представьте, что вы решили очень сильно навредить собственному материальному положению. Что вы можете для этого сделать? Мошенник с вашим секретным ключом может сделать все то же самое.

Открытый ключ на то и открытый, что давать его можно всем, кому требуется подтвердить вашу электронную подпись. Им можно:

— зашифровать что-то так, что расшифровать сможет только владелец парного секретного ключа;

— проверить подпись, созданную с использованием парного секретного ключа.

Имея доступ к открытому ключу, получить секретный невозможно. Поэтому его можно безопасно предоставлять всем, кому нужно прочитать ваши документы.

УДОСТОВЕРЯЮЩИЙ ЦЕНТР: ЗАЧЕМ ОН НУЖЕН?

На всех сайтах удостоверяющих центров говорится: чтобы получить электронную подпись, нужно получить в УЦ ключевую пару и сертификат. Создается впечатление, что ключевую пару могут сделать только там. Но это а) не так, б) нарушает главное правило работы с ЭП: секретный ключ не должен оказываться в чужих руках. Тем более – в непонятно чьих.

Удостоверяющие центры – это частные организации (порой ИП или вообще частные лица), которые не в полной мере контролируются государством. До 2020 года существовали сотни УЦ, среди которых встречались созданные с мошенническими целями – как раз для кражи секретных ключей. Теперь требования к ним значительно ужесточили, и многие недобросовестные игроки с этого рынка отсеялись. Но все ли? Вряд ли вам хочется проверить это ценой собственной квартиры или бизнеса.

Поэтому если УЦ не аккредитован в Минкомсвязи, с ним можно иметь дело только если:

— это собственный УЦ вашего предприятия;

— он сертифицирует подписи для участия в конкретных мероприятиях (например, в торгах, и тогда УЦ должен иметь аккредитацию не менее чем шести торговых площадок).

Смысл создания аккредитованных УЦ – в дополнительной защите подписи путем сертификации. Сертификат УЦ говорит о том, что его сотрудники удостоверились в том, что конкретный гражданин пришел к ним с паспортом и заявил, что принесенная им ключевая пара принадлежит ему. Для такой идентификации достаточно предоставить в УЦ открытый ключ. Но явиться лично и с паспортом придется. Дистанционные способы подтверждения личности в таком важном деле, как получение сертификата, могут применяться только в исключительных случаях. Если УЦ предлагает такие варианты просто по желанию клиента, возможно, организация настолько же непринципиальна и в других вопросах информационной безопасности.

Кроме выдачи сертификата электронной подписи, УЦ по заявлению владельца может приостановить действие сертификата или отозвать его, и тогда ЭП потеряет силу. Об этом пользователю, имеющему парный открытый ключ, сообщит программа, проверяющая подпись. В сообщении будет сказано: «Подпись верна, сертификат недействителен». Но между тем, как секретный ключ станет кому-либо известен, до тех пор, пока УЦ поместит сертификат открытого ключа в список отозванных, пройдет какое-то время. За этот промежуток злоумышленник вполне может провести операции, которые будут считаться легитимными.

КЕЙС: КАК СДЕЛАТЬ СЕБЕ ЭП

Верный способ защитить секретный ключ от утечек на начальном этапе – сделать на предприятии собственный УЦ. Он не будет аккредитованным, зато вы точно будете знать, кто имеет доступ к настолько важным данным. Приведем кейс от дружественной компании, которая не поленилась немного поработать, и теперь ее руководство спит спокойно. Ну, почти спокойно: инсайдерское в+оздействие (то есть, злой умысел сотрудника) никто не отменял, но это уже другая задача.

Для создания ключевой пары и последующей работы с цифровой подписью мы использовали отдельный компьютер с заведомо «чистой» системой. Мы протестировали несколько систем, и остановились на российском Alt Linux. Для добавления поддержки шифрования и цифровой подписи по ГОСТ в ней оказалось достаточно установить пакет openssl-gost-engine и добавить в начало конфигурационного файла несколько строчек:

В других системах на основе GNU/Linux все тоже заработало, но усилий приложить потребовалось чуть больше. Нам удалось настроить софт для создания ключевой пары под Windows и MacOS, но в этих случаях гораздо острее встает проблема вредоносного ПО, нацеленного на кражу секретного ключа.

После создания ключевых пар мы обратились в аккредитованный УЦ и зарегистрировали их по установленной законом процедуре. Мы предъявили в УЦ открытые ключи и необходимые документы как для физических лиц, так и для организации. Этот этап оказался самым сложным: сотрудники УЦ не сразу поняли, что нам не нужна медвежья услуга по созданию ключевой пары, а достаточно просто подписать уже существующий открытый ключ.

Мы ссылались на ФЗ-63 «Об электронной подписи». В ст. 2 этого закона и во многих других статьях сказано, что сертификат электронной подписи, в том числе квалифицированной, выдает УЦ. Но нет ни слова о том, что УЦ выдает ключевую пару. Сотрудники сначала аргументировали отказ в выдаче сертификата доводами вроде «Ну мы всегда так делали». Но затем они, вероятно, все же почитали закон и посоветовались с юристами. В результате наше законное требование было выполнено, мы успешно избежали навязанной и небезопасной услуги.

С 1 января 2022 года вступят в силу изменения к ФЗ-63, но принципиально поменяется только выбор УЦ, в которых могут получить сертификат руководители предприятий, индивидуальные предприниматели и нотариусы. Список компаний, которые смогут выдать сертификат в таких случаях, будет ограничен УЦ ФНС и организаций, которые налоговая служба сочтет доверенными. Получать ключевую пару именно в них закон по-прежнему не требует.

Как хранить секретный ключ

Ключевую пару можно хранить в специализированном устройстве. Для этого обычно используют рутокен или е-токен. УЦ выдает секретные ключи именно на этих устройствах, но их вполне можно приобрести самостоятельно.

Внешне токен похож на обычную USB-флешку, но внутри содержит не накопитель, а криптопроцессор – устройство, хранящее секретные ключи и осуществляющее внутри себя все необходимые криптопреобразования. Поместить секретные ключи в эти устройства можно, но извлечь их оттуда уже не получится, что обеспечивает дополнительный уровень защиты.

Две главных опасности для секретного ключа – это вредоносное ПО и действия пользователя. Надеяться только на антивирусные программы недостаточно. Важно соблюдать правила:

— не оставлять токен подключенным к компьютеру дольше необходимого;

— не оставлять устройство без присмотра (его нужно всегда иметь при себе или хранить в сейфе);

— ни в коем случае не помещать секретный ключ в облачное хранилище и вообще не использовать для его хранения Интернет.

ЭП: ТЕХНИКА БЕЗОПАСНОСТИ

1. Изучите компьютерную грамотность сами и обучите ей сотрудников или родственников! Антивирусы – это хорошо, но лучшая защита пользователя от кибермошенничества – его собственная голова. Люди, которые могут хотя бы подойти к вашему компьютеру, должны знать, что такое фишинг, как отличить настоящий сайт от подделки и почему нельзя открывать все ссылки подряд.

2. Поддерживайте антивирусную защиту актуальной! Самый распространенный способ «украсть ЭП» (а точнее секретный ключ) на сегодня – зловредные программы, которыми преступники заражают компьютеры.

3. Не используйте токен на компьютере, в защищенности которого вы не уверены.

4. Ключевую пару можно и нужно создать самостоятельно.

5. Не пользуйтесь услугами неаккредитованных удостоверяющих центров, если это не ваш собственный УЦ.

6. Секретный ключ, в том числе содержащий его токен, нельзя передавать никому. Даже родным и близким. Сотрудникам, которые имеют право подписывать документы, сделайте их личные ключи.

7. Паспортные данные и тем более сканы документа должны храниться максимально надежно. Нельзя размещать их в Интернете, даже в якобы безопасных хранилищах. Если при получении какой-либо услуги вместо паспорта допустимо предъявить другой документ, так и поступите. Иначе есть риск обзавестись неучтенной цифровой подписью.

8. Установите пароли на токен и компьютер. Пароль должен иметь достаточную длину и содержать как буквы в разных регистрах, так и цифры со спецсимволами. Еще лучше использовать ключевую фразу (passphrase): это набор слов, разделенных цифрами или спецсимволами. Например, 1k*СпОc0бОв/=\zaS4itit`+token|_|. Его придется выучить наизусть. Записанный на бумажке, даже самый сложный пароль теряет смысл. Достаточно один раз забыть такой листок на столе – и в лучшем случае просто придется заказывать новую подпись.

9. Не храните незащищенный секретный ключ на жестком диске компьютера.

10. Если вы – руководитель, и у ваших подчиненных есть ЭП, дающая право подписывать документы от имени предприятия, при увольнении сотрудника отзывайте его подпись даже раньше, чем он получит расчет.

Ответ на пост «Надежный пароль и пара советов по информационной безопасности»

Единственный верный комментарий!
Сложные пароли помогают только от грубого перебора (брутфорса)
В большинстве случаев данные воруются с помощью стилеров.
Как это происходит:
1. Ты качаешь левый софт.
2. Софт либо уже содержит в себе стилер либо содержит в себе лоадер (позволяет незаметно загрузить на твой ПК дополнительный .ехе файл)
3. Стилер выгружает все сохраненные пароли в браузерах/FTP клиентах/криптокошельках и т.д. и отправляет их злоумышленнику на сервер.
Казалось бы, двухфакторная авторизация защитит твои данные.
НИХРЕНА!
Кроме связок логин/пароль — стилер так же ворует твои файлы куки!
Если ты был залогинен на сайте с двухфакторной авторизацией — своровав куки злоумышленник сможет обойти ее.
Стилеры массово используют не только под windows, а и под android, там с этим ещё веселее:
1. Злоумышленник создаёт свое приложении-пустышку и заливает его в плей маркет, приложении либо платное либо доступное по подписке (цена на подписку может быть >50-200$/неделю)
2. По украденным куки файлам осуществляется вход в гугл аккаунт, через гугл пей покупается приложении (или сразу несколько приложений)

Поэтому не стоит скачивать что либо с не проверенных источников!

Что бы понимали всю массовость проблемы — большинство сайтов-файлопомоек зарабатывают не на рекламе, а на продаже загрузок.
Как это работает:
1. Скачиваешь программу с не проверенного сайта.
2. Сама программа склеена с ещё одной программой — лоадером, лоадер позволяет в любой момент загрузить и запустить на твоём ПК сторонний .ехе/.dll файл.
3. Теперь ты часть бот сети, на твой ПК в любой момент могут подгрузить стилер, скрытый майнер, ты можешь стать частью ddos-бота и т.д.

Существует целый ряд форумов где можно купить любого рода вирусные программы, причем не в деркнете, для того что бы его найти достаточно погуглить 10 минут.

Вот к примеру можно купить загрузку своего файла на 10 000 ПК всего за 850$

А вот за 150$ можно купить свой стилер

Итого за 1000$ злоумышленник может получить доступ до приватной информации на 10 000 ПК!

Резюмируя, не стоит ничего скачивать с не проверенных сайтов.

P.S. Чукча не писатель

Как потерять профиль на Авито

Был у меня на Авито профиль, пользовался им несколько лет, много чего своего продал, не мало купил за эти годы. Но вчера мой профиль был заблокирован по причине обнаружения признаков взлома. Написал в поддержку, на что сегодня был получен ответ:

При этом никогда ничего запрещённого я не продавал, никого не обманывал, вся история переписок и объявлений сохранены в моем профиле. Отправляю этот текст в ответном письме, на что мне ответили следующее:

У меня вопрос к службе «безопасности» Авито:
даже тут на Пикабу регулярно появляются посты о том, как людей обманывают с помощью вашей площадки, в том числе с помощью сервиса «Авито-доставка», но несмотря на это на сегодняшний день эта самая информационная безопасность попросту отсутствует, людей продолжают обманывать. Речь конкретно о наличии технической возможности совершения недобросовестных действий с помощью вашего сервиса. Почему у честных и порядочных пользователей, владеющих профилем несколько лет, вы можете просто отнять его, потому что по результатам ваших секретных «методов проверки» там было обнаружено что-то подозрительное, а мошенники продолжают «угонять» чужие профили с многолетним стажем, для совершения своих обманных схем? Может уже пора уязвимости закрывать и жуликов блокировать, а не нормальных пользователей?

Ответ на пост «Сбербанк опять протерял данные клиентов»

Вы будете все удивлены, но подобные «утечки» на самом деле ими не являются. Не уверен, конечно, по поводу именно вашего случая, но тем не менее.

«Дыра» идет из системы быстрых платежей по номеру телефона. Хотя я бы это не назвал дырой, а скорее абузинг сервиса. А теперь о самой проблеме: когда вы переводите деньги кому-то по номеру телефона, то сбербанк сам подтверждает зеленой галочкой, что к телефону привязана какая-то карточка. И это логично, мы же хотим знать, что счет действительно существует. После выбора и ввода суммы перевода отображается имя и отчество. Мы же не хотим перевести непонятно кому, например, ошибившись в одной цифре телефона. Вроде все логично? Только вот у нас внезапно получилось получить данные ( 1) факт счета в банке, 2) телефонный номер случайный, который вбивает зэк из базы, например, салона красоты, или даже просто по очереди, 3) имя и отчество). А самое интересное — персональными данными это не является, фамилии-то нет. Звонящий не понимает кому позвонил, но вам кажется, что позвонили именно вам, что о вас что-то узнали.

Мне звонили мошенники не раз и меньше четверти может назвать фамилию. Вот такой простенький лайфхак — спрашивайте фамилию, а лучше сразу скидывайте и перезванивайте в банки сами. И я бы не назвал это дырой, как писал выше, все эти функции логичные и правильные, но ими можно пользоваться и во зло.

Сбербанк опять протерял данные клиентов

Сейчас звонили с 4951525517 и 4952077457 и выдали мне мои персональные данные которые есть только на домклик (domclick). Одновременно с этим пришла смс с 900 о восстановлении доступа с домклик. Опять походу ИБ прошляпило слив данных.

Очередные мошенники с Авито. yandex-wallet.ru

Настало время выйти из readonly режима. Вот и до меня дошла эстафета с авито-мошенниками.
Я выставил на продажу старую детскую кровать за 10к. Буквально через несколько минут сообщение в богомерзкий whatsapp, мол, актуально ли объявление. Есть ли трещины, сколы. Разберу ли я сам для них кровать. Просит сделать скидку, прислать видео. Потом «совещается с супругом». И выносит вердикт, что супругу «тоже понравился ваш товар». Товар, у меня? Ну ладно. Это был первый звоночек. Но я радуюсь, что нашёлся покупатель, и особо внимания этому не придаю. А дальше самая мякотка — мошенник начинает меня убеждать воспользоваться яндекс доставкой, через которую мне оплатят, и грузчики которой кровать заберут. Высылает ссылку для получения денег на сайт yandex-wallet.ru . И тут всё становится понятно.
1)Поисковики ничего не знают про этот yandex-wallet.ru , и про мошенников с этого сайта тоже. При переходе в корень сайта происходит переадресация на yandex.ru . Пока что похоже на правду.
2) Перехожу по ссылке (это я, конечно, сглупил; с телефона такие сайты открывать нельзя). И вижу стандартную форму ввода всех данных банковской карты. Ха-ха. И доставка в Кемерово. Которая в самой дешёвой транспортной компании будет стоить не меньше тех же 10к, а уж яндекс доставкой раз в 5 дороже. До этого момента у меня ещё теплилась надежда, что я продал кровать. Написал мошеннику, что сайт то мошеннеческий. На этом разговор закончился. Ещё на странице «с получением средств» была красивая ссылка с картинкой на моё объявление.
3) Добрался до компьютера и посмотрел на сайт повнимательнее. Домен зарегистрирован в декабре прошлого года на частное лицо (для просмотра истории регистрации сайта спросите у любого поисковика whois имя.сайта)

4) Смотрю ssl сертификат сайта. Сравните

С сертификатом основного сайта яндекса

Для просмотра сертификата нажмите на значок замочка в адресной строке браузера.
5) К сожалению, страница оплаты уже была недоступна. И самое интересное я посмотреть не смог. Предположу, что мошенник, поняв, что от меня ничего не добиться, сделал эту ссылку неактивной. В тор браузере сайт вообще не открылся, что тоже характерно.
6) В принципе, уже давно всё стало понятно. Но я решил спросить у поисковиков про сервера доменных имён этого сайта (см. п.3). И вижу что-то до боли знакомое

Вера в честность людей чуть меня не подвела. Вне всякого сомнения, это были мошенники. Ну и переписка на память.

Поисковики хорошо работают с сайтом пикабу. Так что скоро в них по запросу «мошенники yandex-wallet.ru » будет показываться этот пост вместо пустотой выдачи.

Рекомендую пока не пользоваться Авито Доставкой, т.к. можете не получить деньги за отправленный товар

Это актуально для ВСЕХ, кто продаёт через АвитоДоставка. И не важно какой сложности стоят пароли и т.д., т.к. мошенники используют лазейку в самом Авито и вывод денег происходит через сотрудников Авито, минуя самого продавца.

Что больше всего поразило — это отношение Авито к этой дыре в своей системе безопасности. Продавец с декабря прошлого года пытался выяснить, как у него вывели 119 тыс., но все обращения в службу поддержки ничего не дали. И даже когда продавец сам выяснил причину, то Авито написали, что меняйте почаще пароли (что не имеет никакого отношения к проблеме) и всё, больше ничем помочь не можем. И реакция от Авито и признание проблемы произошло только после того, как пост попал на новостные порталы и поднялся шум. Т.е. Авито, зная о проблеме как минимум с декабря прошлого года (скорее ещё раньше), не сделал ничего, чтобы закрыть эту дыру в своей системе безопасности и предотвратить потерю денег у своих пользователей. Действительно, зачем? Авито же получило комиссию со сделки, а то что продавец не получил деньги — так им от этого не горячо, не холодно. После публикации поста в новостях, Авито всё же признали проблему, обещали устранить в ближайшее время и вернули деньги, но только одному этому продавцу, вокруг которого поднялась шумиха. Что со всеми остальными, кто из-за проблем Авито лишились своих денег? Да ничего! Они же в новости не попали, так зачем на них обращать внимание.

Мне не повезло с тем, что я воспользовался АвитоДоставкой когда о дыре в своей системе безопасности они давно знали, но шумиха в новостях ещё не поднялась и ничего по устранению не было сделано. После публикации моего поста на Пикабу, они подождали несколько дней. Поняли, что в новости это не попадёт (новостным порталам повтор, тем более с меньшей суммой стал не интересен) и дали стандартную отписку, чтобы я почаще пароль менял и всё.

Этот пост создан с целью, чтобы как можно больше пользователей Авито узнали о проблеме с АвитоДоставкой и не попали на деньги. Узнай я об этом до отправки заказа, то не стал бы пользоваться и не попал бы. Сейчас я уже на всех своих объявлениях отключил АвитоДоставку и остальным пока не рекомендую пользоваться.

А теперь распишу всё по порядку.
8 февраля в 11:52 у меня оформили заказ через АвитоДоставку. До этого я несколько раз отправлял ей, принцип работы знал. Это сейчас я понимаю, что мне тогда просто везло.

На следующий день, 9 февраля я передал упакованный заказ в пункт БоксБерри. После передачи получил вот такую накладную:

В принципе обычная накладная. Только небольшое замечание: теперь в дополнение к Авито ещё и любой сотрудник БоксБерри, имеющий доступ к базе, может посмотреть мой номер телефона и сумму, которую я должен получить после доставки (выделено красным).

Пока ничего особо криминально нет. Ну узнает кто-то мой номер телефона и сумму — ну и что?

А вот тут начинается самое интересно. Я тоже сначала не мог понять как вошли в мой профиль и вывели деньги. Помог разобраться пост об украденных 119 тыс. (там всё подробно описано).

10 февраля, в день когда покупатель должен был получить посылку, а я деньги за неё, с номера телефона с поддельным ID, который повторяет цифры в номере телефона в накладной и профиле совершается звонок в службу поддержки Авито. Оператор Авито, думая что звонит владелец аккаунта и не запрашивая дополнительных подтверждающих данных, меняет почту в профиле. Почему так просто? Зачем продавцу нужно менять почту, которая у меня с момента регистрации на Авито, т.е. с мая 2011 года (почти 10 лет!) и именно в день получения денег за заказ, не понятно. При этом на старую почту никаких уведомлений не приходит! Авито, по-моему гениально! Почему нельзя сделать отправку уведомления на почту, которую отвязывают и предупредить об этом? Было бы это уведомление, то возможно всё получилось бы по другому.
В тех.поддержке мне написали, что уведомление приходит только на новую почту (логика? нет, не слышали).

В качестве доказательства, что этот звонок был совершён не мной или может с использованием вредоносного ПО или клона сим-карты прикладываю выписку оператора связи за этот период времени.

Хорошо, что я ещё догадался сделать фото экрана с этим обращением. Правда меня тогда смутило только время: что это за обращение в 4 часа ночи для настройки профиля. И если бы не пост об украденных 119 тыс., то я бы так и не придал значения этому обращению.

Ещё интересный момент: после долгого общения с тех.поддержкой Авито с вопросом как был осуществлён доступ к профилю и вывод денег (ответ был: мы не знаем), вся история обращений до 10.02.21 15:58 на сайте была удалена (удалены все обращения: и мои и не мои). Мои то обращения я могу посмотреть у себя на почте, т.к. они туда дублируются, а вот какие ещё были — уже нельзя посмотреть. На мою просьбу в тех.поддержку прислать список всех обращений за 9-10 февраля, мне написали смотрите на сайте, если их там нет, значит нет. Вот так вот.

Далее мошенники делают сброс пароля с использованием новой почты и получают полный доступ к профилю. Всё! И пользователь никак не может повлиять или защититься от этого. Будь у тебя хоть супер-пупер сложный пароль, вот так с помощью звонка в тех.поддержку Авито можно поменять почту, а затем сбросить любой пароль и поставить свой.

Скрин экрана с фиксацией входа по новой почте:

Ну вот и всё. Теперь мошенникам остаётся только дождаться сообщения об удачной продаже и вывести деньги. Правда в отличие от поста про 119 тыс. тут они немного поторопились, думая что заказ заберут утром.

Я утром тоже решил проверить состояние заказа и попытался войти на сайт. Естественно это у меня не получилось. Начинаю вспоминать истории, когда после отправки заказа профиль специально блокировали, чтобы покупатель смог получить товар, а потом и деньги вернуть, т.к. продавец при блокировке не может вывести деньги. Кто же знал, что тут другая схема.

Доступ тех.поддержка мне восстанавливает, но опять никаких уведомлений или сообщений, что старая почта заменена на новую нет. Правда немного успокаивает то, что я поменял все пароли и написал в тех.поддержку письмо с просьбой блокировки возможности вывода денег, т.к. не случайно всё это произошло в день когда я должен был получить деньги — не верю я в такие совпадения.

Во второй раз доступ к профилю у меня сохраняется ровно до того момента, как покупатель не забрал посылку (почта в профиле же остаётся левая). Только в этот раз, чтобы я им опять не помешал мой номер телефона меняется на 8-963-3830359. И опять никаких смс или других уведомлений не пришло.

В 14:26 Авито уведомляет, что покупатель забрал заказ и кидает в чат мошенникам, которым сам же, единолично предоставил доступ к профилю, ссылку на вывод денег.

В 14:51 мошенники забирают деньги и Авито их поздравляет. Отлично!

И тут просто море вопросов:

1. Почему Авито так легко, без какой-либо проверки меняет почту и при этом никаких уведомлений не присылает?

2. Почему также легко можно поменять номер телефона в профиле. Где сообщения на старый номер, что его пытаются сменить?

3. Почему производится вывод денег в день, когда был зафиксирован факт взлома аккаунта, изменена почта, а потом ещё и номер телефона, а сам продавец просил не выводить ему деньги?

Т.е. человек отправляет заказ, а в день получения решает сменить почту, которой 10 лет, номер телефона да ещё и дать данные карты, на которую никогда не выводил деньги и на которой даже имя не совпадает. И Авито делает вид, что всё нормально, так и должно быть. Безопасность? Нет, не слышали. Или в этом есть и их интерес?
Причём на множестве подобных сайтов уже реализованы меры защиты пользователей и денег. Почему Авито это не делает — не понятно. Возможно и правда есть какой-то интерес? Потому что одной ленью это сложно оправдать.

Посмотрим, будет ли на этот пост ответная реакция от Авито. Пока пишут меняйте почаще пароли и «Мы не участвуем в мошеннических схемах и технически не можем в них участвовать, как и давать доступы к профилю третьим лицам».

Источник