BTC: 10472 USD
ETH: 341 USD
BCH: 214 USD
LTC: 44 USD
DASH: 70 USD
Перейти к содержанию


hhh

Пользователи
  • Публикаций

    9
  • Зарегистрирован

  • Посещение

1 Подписчик

Информация о hhh

  • Звание
    Rank №1

Посетители профиля

275 просмотров профиля
  1. Будем исходить из того, что систему вы уже настроили, интересующий вас товар уже выбрали, и шоп с таким товаром нашли. Что вам следует делать далее: Зайти в шоп с какой-нибудь внешней ссылки, например из гугла. Очень желательно побродить по магазину минут 10, всячески изображая из себя настоящего покупателя: разглядывая разные товары, перемещаясь по сайту и т.д. Добавить наконец интересующий нас товар в корзину. Обычно это кнопки "Buy" или "Add to bag" После нажатия на корзину мы можем просмотреть её содержимое, сумму, убрать или изменить количество товаров Чтобы закончить покупку нажимаем на кнопку Checkout. Тут-то и начинается самое интересное. Обо всём этом далее. Вводим все данные, жмём Continue Checkout. Подтверждаем, что ввели всё верно и завершаем покупку. Наблюдаем либо зелёную надпись, что заказ принят в работу, либо красную с описанием (или без) проблемы. Если вошло, то ждите обновлений статуса заказа на почте. Во многих шопах можно проверить статус заказа в личном кабинете. Не забывайте одевать носок того же штата, если хотите так сделать. Данные для вбива Будем разбирать всё по порядку. Предположим, что вы делаете прямой вбив американским картоном, и собираетесь слать товар на обычную контору-посредника в США. Также у вас есть дроп для получения посылок на родине, допустим его зовут Саша Роттенберг. Теперь нужно зарегистрировать почтовый ящик на имя вашего дропа, допустим alexrottenberg@gmail.com. Регистрируетесь на посреднике с ру айпи, указываете данные и мыло дропа. На сайте посредника получаете адрес примерно такого вида: Имя: Alexander Фамилия: Rottenberg Street address (строка 1): 500 Carpenters Crossing Street address (строка 2): BWW Ste 256113 Город: Folcroft Штат: "Pennsylvania" или "PA" Индекс: 19012-0511 Телефон: (734)5199594 Отлично, адрес есть. Теперь покупаете картон, он будет примерно в таком виде (обычно выглядит гораздо лучше): Код: 372396944501016 0914 9500 TAMI BEVERIDGE 952 NORMANDY DRIVE NEW KENSINGTON PA 15068 United States Теперь вам остается только зарегистрировать самому или купить оптом почтовых ящиков для вбива (купить можно здесь: buyaccs.com). Купленные будут такого вида: Код: beatrix.banksap@aol.com:ti38ioNg:Beatrix:Banks:f:11:1:1982:3:utyulume:05494 Готово! У нас есть всё, что нужно. Billing information email — beatrix.banksap@aol.com First Name — Beatrix (имя берём любое, оно никогда не проверяется при процессинге карты) Last Name — Banks Address — 925 Normandy Drive (С карты, адрес должен совпадать. Пишем не капсом, а красиво) City — New Kensington Country — US & Territories State — Pennsylvania Postal Code — 15086 Billing phone number — 7342656724 Указываем либо из вечнозанятых, либо факс какого-нибудь предприятия в этом городе (варианты похуже), либо номер скайпа под штат (скайп легко вбивается амексом по $10 за транзакцию, аренда номера стоит $18). [*]Shipping information Check if same as billing information — мы бы выбрали этот пункт при вбиве гифта, энролле, либо чтобы сделать весёлый сюрприз кардхолдеру First Name — Alexander (все данные с посредника) Last Name — Rottenberg Address 1 — 500 Carpenters Crossing Address 2 — BWW Ste 256113 City — Folcroft Country — US & Territories State — Pennsylvania Postal Code — 19012-0511 (обязательно укажите индекс от посредника полностью, иначе ваш пак не найдут) Shipping phone number — 7345199549 Можно указать номер посредника с двумя неправильными цифрами: чтоб ему не докучали звонками из шопа, и чтоб сам посредник не обиделся, что мы не указывали его номер). [*]Shipping — доставка. Чем дороже, тем быстрее. А чем быстрее, тем меньше шансов, что посылку завернут из-за чарджа. С другой стороны, оплата супербыстрой доставки ради лишнего дня тоже может вызвать подозрения. [*]Payment information Payment method — нужно указать, какой компании у нас картон. Определяем по первой цифре номера: 3 — American Express, 4 — Visa, 5 — MasterCard Card number — 372396944501016 Expiration date — sep 2014 Security Code — 9500 В тех пунктах, где допускаются вариации, более надёжное решение даёт более высокие шансы на удачный вбив. Например, принять прозвон от магазина в скайпе гораздо лучше, чем если менеджер услышит только короткие гудки, пытаясь уточнить заказ. И не забывайте, что правдоподобный холдер может свернуть горы, изменить русла рек, и даже шипнуть с apple.com. Удачных вбивов!
  2. Заходим в шоп косметики и выбираем товар, кладем в корзину Затем нажимаем на корзину и выбираем CHECKOUT Далее нам предлагают выбрать варианты доставки и заполнить Shipping и Billing Address Заполняем Shipping Address(адрес доставки) -First Name Имя -Last Name Фамилия -Phone: телефон (пишем на выбор или тел скайпа заранее подготовленный под штат и город, или телефон отеля или школы рядом с улицы холдера (находим поhttps://www.google.ru/map.) -Address: Адрес. Если адрес у холдера записан в две сточки то тут его тоже пишем в 2 строчки. как пррвило это длинные адреса с номером апартаментов или комнаты. -Zip Code: Почтовый индекс -City: Город -State Штат -Country Страна Заполняем Billing Address(адрес регистрации картхолдера) -First Name Имя -Last Name Фамилия -Phone: телефон (пишем на выбор или тел скайпа заранее подготовленный под штат и город, или телефон отеля или школы рядом с улицы холдера (находим поhttps://www.google.ru/map.) -Address: Адрес. Если адрес у холдера записан в две сточки то тут его тоже пишем в 2 строчки. как пррвило это длинные адреса с номером апартаментов или комнаты. -Zip Code: Почтовый индекс -City: Город -State Штат -Country Страна -Date of Birth дата рождения – не обязательно . Когда отовариваем гифт, то пишем адерс посредника, который получили, в ДВЕ строчки ! Это обязательно ! Из примера адреса полученного у пересыла мы видим что он распознает нас из 1000 посылок , только по номеру присвоенным нам системой, а именно 32137 . Поэтому во второй строчке адреса не забываем и пишем его обязательно . Иначе посылка попадет в неопознаные . Иногда шоп требует написать Вам немного другой или сокращенный адрес, не соглашаемся на это, а пишем только тот адрес, который указан. ВАШ АДРЕС В США Street 1 (Улица): 3702 W Valley HWY N Street 2 (Улица): STE 204-32137 City (Город): Auburn State (Штат): WA или Washington Zip Code (Индекс): 98001 Phone (Телефон): 253 7374507
  3. Нужны моно головки с 2мя контактами, по 3мм желательно. с ебея долго ждать. Если у кого есть уже в Ру - отпишите, выкуплю!
  4. Часто задают вопросы, что такое АСН, Wire и т.д. Сейчас под рукой нет книг поэтому могут быть какие-то не точности, но вообщем вы себе сможете представить картину. В США существует 12 региональных федеральных резервных банков. Каждый из этих банков имеет право на выпуск бумажных банкнот. На каждой банкноте есть черная печать слева, где написано каким резервным банком эмиссированна данная купюра. Эти региональные резервные банки служат местом, где обмениваются платежными поручениями банки, которые подчиненны данному резервному банку. Также там храниться наличность, которую изначально внесли банки как страховой депозит. Ну и конечно там имеются слитки золота и другие платежные документы, которые имеют безупречную репутацию как платежные единицы. Когда банк по поручению клиента (индивидума или компании) инициирует платеж в той или иной форме, данная операция фиксируется в региональном резервном банке для того, чтобы сторона которая получает деньги была уверенна, что данная операция обеспечена наличностью, т.е. бумажными деньгами на счетах банка, который инициировал платеж. Для того, чтобы банки могли обмениваться платежными поручениями, быстро и недорого, существует множество платежных механизмов, которые имеют различную степень защищенности, а также различную процедуру оспаривания того или иного платежа. Например, оплачивая кредитной картой вы можете оспорить платеж и получить деньги назад без согласия стороны, котороая получила деньги, а оплачивая с помощью Wire Transfer вы можете оспаривть платеж, но без согласия получившей стороны вам деньги не вернут, даже если место имело преступление. Именно опираясь на возможность отзыва и не отзыва платежа, а также сроки, в который можно оспорить платеж бизнеса выбирают методы оплаты. К примеру, нельзя купить дом оплатив кредитной картой Visa. Но и оплачивать покупку пижамы не следует с помощью Wire Transfer. Что такое АСН? АСН - это палата автоматизированных зачислений федерального резервного банка, которая создана для максимального ускорения и упрощения повторяющихся платежных поручений на основе одной подписи или предварительного соглашения. Т.е. скажем, вы подписали бумагу, с помошью которой мы - компания - снимаем с вашего счета деньги на заранее оговоренных условиях, т.к. вы были уведомленны в том, что деньги будут сниматься автоматически, на вас лежит ответственность следить за тем, сколько с вас сняли денег. И если с вас сняли больше, чем вы предпологали вы имеете право оспорить данную операцию в определенный срок и получить назад деньги. В данной ситуации законы на вашей стороне и компания, которая вас д***тует крайне не заинтересована в скандалах, т.к. ее могут лишить права инициировать д***т вашего счета с помощью АСН, что для некоторых компаний означает полная потеря бизнеса и всей клиентуры. Данный вид обмена платежами чрезвычайно удобный и дешевый, но требует или безупречной репутации бизнеса на протяжении нескольких лет, или внесения страхового депозита равного сумме всех принятых вами платежей за 30 дней. Скажем, если вы в день принимаете 300 долларов от своей клиентуру, значит необходимо будет внести сумму 10-15 тысяч долларов, которая будет лежать на счетах компании или банка, которые обеспечивают это сервис. Электронные платежи типа АСН преобретают все большую популярность в США, вытесняя чеки. Чеки очень дорогое средство платежа, т.к. обрабатываются в ручную и проходят через 6 рук в банке, который принят чек, и 6 рук в банке, который выдал чек. Взаимо зачеты по чекам происходят в региональном федеральном банке того банка, с которого выписан чек. Для этого чек должен физически попасть в региональный федеральный банк, где его вручную обработает человек - представитель банка, с которого выписан чек. Именно поэтому, взаимо зачеты по чекам занимают определенное время, т.к. требуется несколько дней для того, чтобы чек выписанный компанией, которая находится в Калифорнии, дошел, например, из Нью Йорка, где он был получен обратно в Калифорнию. Центральный федеральный банк устанавливает сроки, в которые должно быть сделано зачисление и не разрешает банкам, которые приняли чек сразу зачислять деньги на счет получателя, но многие банки нарушают это требование, т.к. не хотят потерять клиентов, особенно крупных. И поэтому зачисляют все деньги на следующий день, если на счету имеется сумма в размере 20 – 30 тысяч и данная компания – старый и надежный клиент. В США более 10 тысяч оргнизаций в статусе банка, которые имеют право делать те или иные операции, в зависимости от того, на что они имеют лицензию. Например, есть банки которые не могут инициировать WT за пределы США. Но таких банков очень и очень мало. Скорее всего лицензия стоит дороже того, что можно заработать, делая этот сервис своей клиентуре. Например, маленький банк в деревне, где 5 магазинов, 3 заправки, сапожная мастерская, адвокат и полицейский, может не нуждаться в переводах денег заграницу. В связи с огромным количеством банков (это же все таки свободная страна!) существует огромный спрос на создание большого количества механизмов взаимо зачетов. Например, хакер из Омска решил снять наличность в банкомате на Брайтон Бич. Чтобы обеспечить связь первой и последней точки, необходимо восспользоваться как минимум 2-5 банками и 2-3 платежными системами, каждая из который вжилась в данную структуру платежей и питается, «откусывая» себе небольшой кусочек с данного платежа. Это может быть всего лишь 2-3 цента. Как я уж сказал, в зависимости от суммы и возможности оспорить данный платеж, существуют различные платежные нетворки. Например, оплачивая покупку в магазине и расплачиваясь кредитной картой, ваш платеж идет из вашего банка в банк продавца через POS (point of sale – точка продажи). Таких платежей миллиарды в год, но они имеют 2 особенности: они как правило не большие и могут быть развернуты в обратную сторону при соблюдении определенной процедуры и сроков. Когда при обмене платежами наступает дисбаланс, банк отправляющий платежи может попросить произвести взаимо зачет, и так как суммы в этих случаях как правило большие, такой взаимо зачет естественно безотзывный и может быть произведен или на счета авторитетного банка или доставлен наличностью с помощью инкассаторов. Например, Нью Йоркский банк имеет постоянные платежи в Россию. Для обеспечения этих платежей зачислил безналичные деньги на счета банка посредника, который доставит наличность в отделение банка в России. Как только наличность будет израсходована – операция повторится. Центральный Банк США не подчиняется Белому Дому и является независимой частной, повторяю ЧАСТНОЙ, корпорацией, которая может прислушиваться к Конгрессу или нет. Конгресс не может заставить ЦБ США напечатать деньги. Он может только купить бумажные деньги за золото или серебро, забрать у населения с помощью налогов или специальных приказов президента (в 29 году в Америке у всех были конфискованы золотые слитки и золотые сертификаты для выхода из депрессии) или может занять деньги у населения под % выпуская безналоговые облигации внутреннего займа (Treasury Bills). Государственные облигации торгуются на открытом рынке и в зависимости от нужд государства повышается или понижается выплачиваемый % по этим облигациям. Например, во времена Рейгана, когда Америка усиленно вооружалась, государство подняло % по облигациям на неслыханную высоту, тем самым толкнула страну на путь инфляции, безработицы и экономического спада. Когда повышается % по гос. Облигациям, деньги как магнитом притягивает к этим облигациям и банки просто вынуждены поднять выплачиваемый % по срочным депозитам (дабы не потерять клиентуру) и естественно по кредитам, иначе им ничего не заработать. В результате подорожания стоимости кредита резко снижаетс крупное производство, а у бизнесменов отпадает необходимость работать, так как ничего не делая можно получать хорошие % по гос. облигациям или срочным вкладам в банке. В таких условиях страдает не только производство, но и биржа, а значит все пенсионные фонды, благотворительные фонды и простые люди, которые вложили деньги в акции. Зарабатывают только профессиональные биржевые инсайдеры, способные маневрировать, выставляя обывателя за двери маскарада © hz
  5. Более года назад скопировал статью (где не помню), для себя много интересного почерпнул, для поиска дропов. Чистил ноут и решил выложить может кому будет интересно. " 18.09.06 в аську к моему другу постучался человек и поинтересовался, говорит ли мой друг по-русски. Уточню, товарищ мой живет в Германии. Мой друг ответил, что конечно ДА. Далее завязалась непродолжительная беседа в ходе которой, собеседник (назвался Алексеем, менеджер компании по разработке ПО и доступа в Интернет VPN-TODAY. номер аськи 206 170) поинтересовался, не желает ли мой друг совершенно легально подзаработать!? А кто же не хочет в наше непростое время! Тогда собеседник попросил дать ему е-майл и прислал письмо следующего содержания: "Наша компания занимается предоставлением VPN-SERVISOV, арендой и размещением серверов (co-location) созданием сайтов и многим другим. В последнее время нам поступило много заказов и предложений от клиентов, в связи с этим мы решили взять на работу удаленного представителя. В первое время основные обязанности представителя будут заключаться в следующем: Прием и отправка денег от наших клиентов за наши услуги на личный счет. Размещение рекламы в местных СМИ, прием звонков. Передача денег осуществляется преимущественно с помощью системы Western Union (также способ передачи денег может быть любым удобным агенту по договоренности с территориальным агентом не исключены платежные он-лайн системы типа PayPal, E-Gold, WebMoney). Информацию о размещение рекламы и тарифах компании агент получает после испытательного срока. Оплата деятельности агента производится вычетом процента из перечисленной суммы и состоит из 2 частей: установленная плата + 10% от заказа. Все затраты по переводу денег с помощью платежных систем компания берет на себя. Более подробная информация о деятельности компании на нашем сайте http:// www. Для начала работы агент должен выслать: Точные данные: имя, фамилия, адрес, телефон, e-mail Скан документа удостоверяющего личность (права - паспорт) (так же место прописки либо фикт адрес) В случае проживания в стране на основании вида на жительства - то копию вида Точные реквизиты в одном из банков страны (Названия в каких банках нужны счета будут высланы после соглашения)" Прочитав все это, мой товарищ естественно поинтересовался о легальности этого бизнеса. В ответ ему тут же на е-майл были отосланы договор о сотрудничестве, копия свидетельства о регистрации фирмы и лицензия на право заниматься предпринимательской деятельностью. Завязалась переписка. На все вопросы давались довольно убедительные ответы, и сомнений не оставалось. Мой друг согласился. Алексей попросил открыть счет в одном из банков Германии и как можно быстрее сообщить реквизиты счета, пояснив, что клиенты не любят ждать, а переводить деньги напрямую в Россию они бояться, так как наслышаны о криминале и мафии. Также Алексей заверил, что переводы через систему Western Union гораздо быстрее, нежели простой банковский перевод и проценты за перевод денег из Европы в Россию так же ниже чем в банке. За все это моему другу было обещано 10% от суммы поступившей на счет в качестве оплаты услуги. Все затраты связанные с переводом денег, транспортные и прочие расходы берет на себя компания. Условия сказочные!!!!! Через пару дней мой друг открыл счет в банке на свое имя и сообщил реквизиты Алексею, посредством все той же аськи. Алексей сказал, что очень хорошо и в ближайшее время с моим другом свяжется менеджер из отдела по работе с клиентами и сообщит сумму и дату перевода, а так же куда и на какое имя перевести деньги. Уточнил номер сотового телефона чтобы можно было связаться в случае каких-либо изменений. 25.09.06 Алексей написал в аське что на счет были переведены 4873 евро и нужно завтра с утра снять деньги и перевести в течении 24 часов на указанное им имя в Санкт-Петербург. 26.09.06 мой друг все сделал буквально до обеда и отчитавшись перед Алексеем стал спокойно ждать следующего перевода и соответственно своих комиссионных. Финансы просто падали с неба!!! Единственной проблемой оказалось то, что в сутки через Western Union можно отправить 3500 евро (требование Western Union) - но так как мой друг был красноречив и убедителен, то у него в качестве исключение приняли к отправке 4100 евро + 205 евро оплаты за сам перевод. Итого на руках у моего друга осталось 570 евро, из которых он еще был должен 80 фирме и 490 были "честно заработанными". Проблемы начались буквально на следующий день. 28.09.06 пришло письмо из банка с уведомлением о том, что они закрывают счет. Дата отправки письма была 26.09.06. Попытки выяснить по телефону, в чем дело, ни к чему не привели. Банковские работники просто отказывались разговаривать по телефону. 29.09.06 - 9:00 встреча в банке с менеджером. Менеджер объяснил, что счет закрывают, так как вся эта операция с переводом на счет денег не законная, и пояснил, что этим уже занимается криминальная полиция. Менеджер банка посоветовал идти в полицию и там все рассказать и сделать это как можно скорее. - 10:30 - визит в полицию. Мой друг рассказал всю эту историю полицейскому (благо знаний языка хватило). Полицейский попросил принести все имеющиеся документы: договор об открытии счета, квитанцию о переводе денег через Western Union, копии писем присланных на е-майл, и архив переписки по аське. - 13:30 - второй визит в полицию. Встреча со следователем криминальной полиции. Долгое и подробное изложение как все это было. Добровольная сдача оставшихся денег. Подписание протокола, и т.д. и т.п. Как вы уже понимаете, Алексей больше на связь не вышел и попытки дозвониться до фирмы так же остались без результата. А теперь сам смысл аферы: "Лох" открывает счет на свое имя. На счет приходят деньги от якобы клиентов. На самом деле деньги эти либо путем махинаций были несанкционированно сняты с чьего-либо счета, либо были сняты с украденной кредитки. И когда вы снимаете эти деньги со своего счета и переводите их посредством Western Union, то вы тем самым сами становитесь мошенником. Через некоторое время (зависит от расторопности обманутых) люди или фирма со счета которой пропали деньги начинают искать концы. И в считанные часы они выходят - ПРАВИЛЬНО - на вас. Тут вас тепленьким и ничего не понимающим берет полиция, и вы долго им доказываете, что вы тут ни причем. Кстати по законам Германии такой вид деятельности попадает под статью и грозит минимум штрафом, а максимум отбыванием наказания за решеткой. Никакой фирмы, которая платит за услуги, и в помине нет и не было никакой фирмы предложившей вам работу тоже нет. Есть только мошенники, которые вашими руками получили деньги, а вас прямиком отправили в руки правосудия. Называется это ОТМЫВАНИЕМ ДЕНЕГ. Продолжение 2.11.06 - Письмо с полиции с просьбой явиться 15.11.06 в 10:00 для уточнений и разъяснений по делу о мошенничестве. 15.11.06 10:00 - Встреча в полиции со следователем. Следователь вызвал чтобы разъяснить некоторые моменты: а) Дело передано в криминальную полицию. б) Закон в таких случаях предусматривает однозначно штраф. После пересказа всей истории с самого начала и заполнения протокола, следователь сказал что о подобных случаях мошенничества уже много писалось в прессе и рассказывалось по телевизору. Полиция неоднократно призывала и призывает всех к ВНИМАТЕЛЬНОСТИ И ЕЩЕ РАЗ ВНИМАТЕЛЬНОСТИ. Что касаемо дела моего друга, то следователь сказал что как человек он все понимает, он понимает что мой товарищ сам стал жертвой мошенников, НО НИЧЕМ НЕ МОЖЕТ ПОМОЧЬ. Дело передано в криминальную полицию и в самое ближайшее время будет передано в суд. Следователь предупредил что в ближайшее время мой друг получит письмо из суда с решением по этому делу. Вероятнее всего будет штраф, ибо закон суров и за отмывание денег штраф. Есть вероятность, что суд рассмотрев все нюансы этого дела не наложит штраф, НО ЭТА ВЕРОЯТНОСТЬ чрезвычайно МАЛА. Обычным решением в подобных делах является наложение штрафа и обязательства компенсировать ту сумму денег, которую виновный (он же потерпевший) снял со своего счета и перевел мошенникам. Следователь сказал что волноваться не стоит, самого страшного не случилось - наказания в виде отбывания срока не будет, будет просто штраф. Величину штрафа и сроки его погашения решит суд. Остается теперь ждать решения суда. Кроме того, в полиции сказали что WesternUnion обязан докладывать обо всех транзакциях, если сумма перевода свыше 500 евро. Полиция держит постоянно на контроле переводы через WesternUnion - это даже касаемо денег на покупку авто. А в случае если бы деньги переводились просто со счета на счет (не важно в Россию или куда еще) - то банк просто бы отменил транзакцию и украденные деньги вернулись бы хозяину. А в случае с Вестерн Юнион ничего вернуть нельзя... Вот и придется отдуваться тому кто открыл счет, снял деньги со счета и их перевел... " Удачи в бизе!!!
  6. Для защиты онлайн-бизнеса ведущие мировые специалисты в области информационной безопасности предлагают комплексный подход Layered Security, в котором сочетаются технологии по защите канала (как правило, это SSL), строгая двухфакторная аутентификация и система обнаружения мошенничества. Все больше систем дистанционного банковского обслуживания переходят от простой парольной аутентификации к динамическим методам. Защита канала — это стандартная и обязательная технология и первое, чем стараются обеспечить организации свои онлайн-сервисы. Что касается двухфакторной аутентификации, то практически все финансовые организации в той или иной степени внедрили эту технологию. Но действительно надежный уровень защиты может быть обеспечен только в случае, если помимо процедуры организации защищенного соединения и аутентификации, организация будет контролировать саму суть выполняемых операций в системе. Потенциальный мошенник может, используя чужую платежную карту, зарегистрироваться в системе и совершить покупку, или шпионская компьютерная программа, используя легитимный компьютер и учетные данные, войдет от имени пользователя и совершит денежный перевод на счет злоумышленника Ключевыми моментами являются аутентификация пользователя и авторизация транзакции. Под последним понимается выполнение действий, которые позволяют убедиться в том, что транзакция инициирована пользователем и ее параметры «правильные». Защита динамическими методами Анализ показывает, что все больше систем дистанционного банковского обслуживания переходят от использования простой и ненадежной парольной аутентификации к динамическим методам. В отличие от статических паролей, подверженных атакам типа «запись и воспроизведение», динамические методы предлагают более высокий уровень защищенности. Основное свойство динамических методов — это возможность использовать каждый элемент только один раз. К динамическим методам можно отнести одноразовые пароли (OTP, one-time password) и методы, работающие в режиме запрос-ответ (challenge-response). К первым относятся: пароли по SMS, таблица паролей, аппаратные генераторы одноразовых паролей, программные генераторы одноразовых паролей. Пароли по SMS и таблица паролей — наиболее распространенные методы на сегодняшний момент, так как просты в реализации и относительно дешевы, однако обладают рядом недостатков. Так, например, SMS отправляются по открытым каналам связи, а значит подвержены перехвату, к этому методу так же применима атака «дублирования SIM-карты». Таблица паролей имеет крайне ограниченный срок действия и требует периодического обновления. Если предполагается использовать таблицу на физическом носителе — скретч-карте, как наиболее распространенном варианте реализации, то перевод пользователей на дешевые дистанционные каналы обслуживания несколько нивелируется необходимостью обновлять карту . Оба метода, стойкие к атакам типа «запись и воспроизведение», сдают позиции перед значительно более сложными атаками типа «человек посередине» и «человек в браузере». Проблематика заключается в том, что атака выполнятся в режиме реального времени: когда «человек» или назовем это прокси-элементом, изменяет параметры транзакции на лету. Прокси-элементом может быть инфицированный браузер или фишинговый сервер, на который пользователь попадает по ссылкам из целевой спам-рассылки. К тому же, при реализации любого из этих методов необходимо проработать вопросы, связанные с атаками типа «сбой аутентификации». Алгоритмы генерации паролей Аппаратные генераторы одноразовых паролей, в отличие от скретч-карт имеют значительно больший период использования (до 8 лет) и кроме того, могут быть защищены PIN-кодом (проверяемым самим устройством), что образует дополнительный уровень защиты. При рассмотрении вариантов аппаратных генераторов, необходимо уточнить используемый алгоритм генерации одноразового значения. В качестве аргументов существуют два основных параметра: счетчик событий и время. Алгоритмы, использующие счетчик событий, подвержены атакам типа «сбой аутентификации», так как значение, рассчитанное генератором, не зависит от времени и может быть использовано фактически через любой промежуток времени после его генерации (понятно, что активное использование генератора сократит это время косвенным образом: «хранимое» значение перестанет попадать в допустимый интервал рассинхронизации). Алгоритмы, работающие только «по времени», используют дискретное значение текущего времени как входной аргумент. Это позволяет ввести такой важный параметр как «время жизни» одноразового пароля. Но такие алгоритмы имеют недостаток в виде «времени простоя» — промежутка равного длительности дискрета времени в течение которого генератор просто не может выдать новое значение, так как аргумент, на основе которого происходит расчет, не меняется. Решением этой задачи являются комбинированные алгоритмы, использующие время и счетчик событий одновременно. Временная составляющая вносит такой важный параметр как «время жизни», а счетчик событий, являясь параметром, меняющимся при каждой генерации, компенсирует недостаток временного алгоритма — «время простоя». Программные генераторы одноразовых паролей, работающих, например, на мобильном телефоне, предоставляют практически такой же уровень безопасности, но при этом не являются причиной возникновения дополнительных логистических вопросов — неперсонализированный плагин для телефона может быть скачен из Интернета. Предусмотрительные пользователи подвержены значительно меньшему риску, как при рассмотрении фишинговых атак, так и проблем, вызванных, попаданием вредоносного кода. Однако, где эти пользователи, которые проверяют, работают они по защищенному каналу или нет? Усиление системы аутентификации может быть выполнено с использованием методов, реализующие систему «запрос-ответ». Простейший вариант сводится к следующему: сервер генерирует запрос, пользователь вводит его в устройство, которое выдает ответ. Ответ формируется по алгоритму с использованием общего секрета, известного серверу и пользователю (устройству). Простейший и наиболее распространенный вариант — алгоритм HMAC , как одна из реализаций MAC (message authentication code) Использование системы «запрос-ответ» позволяет выполнить, в том числе и взаимную аутентификацию. В этом случае пользователь так же может убедиться в аутентичности ресурса. Осуществляется этот процесс по той же схеме, но «в обратном порядке». Стоит отметить, что режим запрос-ответ подвержен сложным атакам «человек посередине», так как ничего не мешает прокси-элементу прозрачно транслировать данные аутентификации без изменений, внося корректировки только в параметры транзакции. К аппаратным генераторам можно отнести и чипованные банковские EMV-карты, реализующие технологию CAP (chip authentication program, MasterCard) или DPA (Dynamic Passcode Authentification, Visa). С помощью простого в использовании устройства, не подключаемого к компьютеру, можно сгенерировать одноразовый пароль для аутентификации пользователя (алгоритмы основаны только на счетчике событий). Стоит отметить, что системы EMV-аутентификации взаимодействуют с процессингом, поэтому они должны быть сертифицированы самой платежной системой MasterCard или EMV. Методы, основанные на PKI, являются наиболее надежными с точки зрения используемых алгоритмов. В большинстве случаев они являются контактными, в связи с тем, что хранение ключевой информации на компьютере мы не рассматриваем вообще, и это является неприемлемым, так как значительно сужает применимость и требует дополнительной настройки рабочего места. Авторизация транзакций Авторизация или подпись транзакций в подавляющем большинстве случаев полностью повторяет процесс аутентификации — необходим ввод одноразового пароля, получаемого одним из методов (понятно, что каждая транзакция «съедает» очередное значение из таблицы паролей). Как говорилось выше, это не защищает от двух типов атак, при реализации которых пользователь подтвердит «правильным» одноразовым паролем транзакцию, параметры которой будут изменены прокси-элементом. Причина в том, что значение, авторизующее транзакцию (одноразовый пароль), не связано с параметрами этого процесса. То есть происходит подтверждение не правильности транзакции, а просто факта ее проведения. Для защиты от сложных атак требуется подтверждать транзакцию значением, которое связано с её параметрами (рассчитывается на их основе, то есть параметры транзакции являются частью аргументов функции, рассчитывающей «подписывающее» значение). Существует два подхода формирования подписи транзакции. Первый из них сводится к расчету некоторого «слепка» параметров транзакции (например, хеш-функция, результат которой маскируется для уменьшения длины, например, до 8 символов). Далее механизм полностью аналогичен алгоритму «запрос-ответ»: «слепок» является запросом, который вводится пользователем в устройство и на его основе рассчитывается «ответ». Такой вариант так же уязвим к атакам «человек посередине» и «человек в браузере», так как расчет «слепка» может быть выполнен с использованием параметров транзакции, измененных прокси-элементом. Подпись транзакций с использованием PKI, то есть формирование электронно-цифровой подписи в классическом понимании этого слова — наиболее надежное решение с точки зрения используемых алгоритмов. Опасность здесь заключается в том, что в большинстве случаев пользователь не контролирует, какие и сколько именно данных подписываются. . В ходе проведения целевых атак происходит инфицирование пользовательских компонентов системы, в результате чего прокси-элемент, во-первых, может менять параметры транзакций, а во-вторых, выполнять дополнительные транзакции. В ряде случае риски угроз второго типа можно минимизировать за счет полного отключения кеширования PIN-кода. Однако в этом случае каждая операция с ключевым материалом будет требовать ввода PIN-кода, иногда несколько раз за одну операцию (зависит от реализации носителя и системы). Это в свою очередь внесет путаницу: вроде как транзакция одна, а PIN запрашивается дважды…. или все же прошло две транзакции? В любом случае, уверенности в том, что подписываются правильные параметры нет. Такой метод востребован и применим в корпоративной среде по двум причинам. Во-первых, необходимо соблюсти юридическую значимость подписи, что накладывает жесткие требования на используемые методы и алгоритмы (что не требуется при работе с физическими лицами). Во-вторых, существует штат высококвалифицированных администраторов, призванных решать все возникающие вопросы. Наиболее «контролируемым» вариантом является подпись транзакции не на базе «слепка», а с использованием самих параметров транзакции. В этом случае в устройство вводятся параметры транзакции, и на их основе генерируется «подпись». Этот метод гарантирует прямую зависимость подписи от параметров, чего нельзя добиться в случае подписи «слепка» (будет однозначная зависимость между слепком и подписью, но не подписью и параметрами). Понятно, что метод прямой подписи более сложен с точки зрения самого пользователя: так как в устройство нужно «вколотить» несколько значений. Кроме того, необходимо определить количество подписываемых параметров и выбрать устройство, удовлетворяющее этим требованиям. В качестве подписывающего устройства так же могут использоваться EMV-карты — пользователь вставляет карту в миниатюрное устройство, вводит PIN, а затем параметры транзакции. На их основе карта рассчитывает значение, играющее роль подписи. Предпочтение метода Каждый из методов обладает своими преимуществами и недостатками. Общая картина выглядит приблизительно следующим образом: нельзя найти один идеальный метод, удовлетворяющий всех. Для различных групп клиентов оптимальными будут разные методы. При оценке применимости будут учитываться такие аспекты как: простота применения, надежность, стоимость (для клиента и системы). В большинстве своем каждая система обслуживает различные категории клиентов, которые группируются по разным критериям: возраст, номиналы проводимых транзакций (учитываем риски), активность. Получается, что нельзя однозначно сказать «вот именно этот метод подходит для нашей системы и удовлетворит всех наших клиентов». Оптимальным решением будет то, которое наиболее полно подойдет для некоторого «среднестатистического пользователя», но, как известно, «средняя температура по больнице» не позволяет оценить реальную картину. Всегда будут группы клиентов, которым не подходит «усреднено-оптимальный» вариант. Чем больше таких групп и чем заметнее их состав по отношению к группе «среднестатистического клиента», тем серьезнее встает вопрос: необходима система аутентификации и авторизации, которая позволяет одновременно использовать различные методы аутентификации и авторизации. Клиенты не будут использовать неудобный метод, который «очень надежно защищает не понятно от чего» и наоборот «ваш дешевый метод не гарантирует требуемый уровень защищенности», и в то же время «ваша безопасность слишком дорога для меня». При рассмотрении методов стоит затронуть вопрос, который, как правило, ускользает от внимания: чем обусловлена надежность тех или иных методов? Рассуждения о надежности базируются на нашем текущем представлении и знаниях в области математики, логики и общем технологическом развитии. Наиболее яркий пример: стойкость алгоритмов шифрования. Здесь важную роль играет длина ключа. Сейчас длина ключа в 128 бит не является надежной, а 20 лет назад 56 бит были гарантией надежного сокрытия секретов. Менее очевидным являются концептуальные аспекты используемых методов: насколько надежен данный метод вообще. Необходимо быть готовым к тому, что в какой-то момент времени возникнет необходимость заменить один из используемых методов по причине его ненадежности и хорошо, если эта необходимость начнет возникать постепенно, предусматривая таким образом время, чтобы перестроить систему (например, переход со стандартной длины ключа 1024 в RSA на 2048 обсуждается уже несколько лет). Если же в один прекрасный момент будет обнаружена уязвимость алгоритма, на котором основан используемый метод, то это будет срочная задача. В связи с этим возникает вопрос о необходимости расширения перечня (или замене) методов аутентификации без изменения архитектуры бизнес-системы. Сюда же можно добавить возникновение новых методов, которые более надежны и удобны — технологии атак всегда идут с опережением: постоянно появляются новые приемы и находятся новые опасности и здесь рассматриваются не только технические аспекты, но и психологические, и социальные. Еще один вопрос, который необходимо рассмотреть: способ взаимодействия с клиентами. Сформировался устойчивый термин — канал, описывающий, каким образом пользователь взаимодействует с системой: Интернет, мобильный интернет, телефон, офис. Каждый канал имеет свою специфику и требует собственную систему подтверждения личности — аутентификации, наиболее подходящую для данного кагала в том числе и с точки зрения применимости (например, для IVR-канала абсолютно не подходят usb-токены, как и все другие контактные методы). Есть ли необходимость выделять офисное обслуживание в отдельный канал? При ответе на этот вопрос можно привести пример. Клиентом была поставлена задача выделить VIP-клиентов из общей очереди в офисе в отдельный поток при использовании автоматизированной системы выдачи номерков, которая не связана с бизнес-системой банка. Основная задача заключалась в том, чтобы внедрить способ, при котором VIP-персона может подтвердить свое право на попадание в отдельный поток. В качестве решения было предложено использовать генератор одноразовых паролей, которые выдавались при заключении договора на спец-облуживание. Отдельным пунктом можно выделить функционал управления жизненным циклом аутентификаторов. Вполне понятно, что каждый из них проходит определенные этапы: Генерация (для скретч-карты), загрузка конфигурационного файла (для генераторов); Регистрация не пользователя; Блокировка; Разблокировка; Приостановка; Управление PIN (задание, смена, разблокировка); «Отвязка» от пользователя; Замена. Задача управления усложняется при подключении новых или сторонних методов аутентификации или устройств, так как это требует сопряжения «родных состояний» аутентификаторов (загружен в систему, зарегистрирован, заблокирован и т.д.) с теми, которые предусмотрены подсистемой управления платформы аутентификации. Критерии выбора платформы Перед тем как перейти к рассмотрению еще одной технологии, используемой для защиты транзакций, сформулируем основные критерии выбора платформы аутентификации. Во-первых, чем разнообразнее список поддерживаемых методов, тем лучше — можно учесть все ситуации и предложить всем группам пользователей подходящий метод. Во-вторых, многоканальность позволит транслировать специфику взаимодействия с пользователем в систему аутентификации. В-третьих, возможность добавлять новые методы и типы устройств, предусмотренная на уровне ядра платформы, — важный момент, позволяющий уверенно смотреть в будущее. В-четвертых, поддержка EVM-карт — за этой технологией ближайшее будущее. И в-пятых, поддержка подписи транзакций — гарантия ее легитимности. Как говорилось выше, кроме критерия «аутентификация пройдена или не пройдена» существуют и другие, позволяющие принять решение о легитимности транзакции. Представьте ситуацию, когда один и тот же клиент выполняет две транзакции с интервалом в две минуты из двух точек, расстояние между которыми несколько тысяч километров, или наоборот — с одного IP-адреса выполняются транзакции трех разных клиентов практически одновременно. Анализ параметров транзакции позволят принять решение о риске мошенничества. Разработчики систем при обнаружении мошенничества предлагают различные подходы к решению борьбе с ним. Отличия наблюдаются во многих аспектах: положение системы и способ интеграции с платежными системами, методы анализа, конструкции правил и критерии оценки рисков, степень участия аналитика в процессе принятия решения и интеграция со сторонними системами аутентификации. Наиболее интересным является расположение системы обнаружения на самой платежной системе, а если рассматриваем систему Интернет-банка, то и на web-сервере. В этом случае аналитическая система занимает классическое место межсетевого экрана, через который проходит весь трафик. Это позволяет проанализировать не только всю информацию о транзакции, но и оценить поведение пользователя в режиме реального времени (например, выполнение аутентификации в течение одной секунды после открытия страницы, должно вызвать обоснованные подозрения — скоре всего, общение происходит с «роботом»). Оценка эффективности защиты В первую очередь эффективность систем обнаружения мошенничества определяется по количеству выявленных реальных мошеннических операций, а также по объему ложных срабатываний. Стоит рассмотреть, каким образом транзакции с большим риском блокируются и какие механизмы доступны оператору-аналитику для анализа оценки риска транзакции для принятия окончательного решения в спорных ситуациях. Готова ли система к еще неизвестным типам мошеннической активности, как система обрабатывает еще не известные модели поведения? Понятно, что чем больше параметров рассматриваются в процессе принятия решения, тем более правильной будет оценка. К анализируемым параметрам относятся проверка IP в черных списках, региональная принадлежность, скорость прохождения аутентификации, навигация и прочие параметры, которые образуют шаблон нормального поведения пользователя. Для каждого сотрудника формируется собственный шаблон, описываемый множеством параметров с весовыми коэффициентами. При принятии решения, является ли операция легитимной или мошеннической система учитывает комбинацию оценок риска, полученных несколькими разными способами. Такая комбинация параметров образует свод правил, который в большинстве случаев подобные системы уже имеют. Набор предустановленных правил — это некоторый каркас, позволяющий начать «знакомиться» с системой и принять решение о начале эксплуатации. Многие правила зависят от менталитета и прочих локальных особенностей. Поэтому важным критерием оценки применимости подобной системы является возможность перенастройки параметров правил и создание своих собственных. Прозрачность работы позволяет быстро вносить изменения в логику системы, что порой является крайне необходимым. В ряде случае производители предоставляют сервис по обновлению правил и прочих данных. Если вопрос обновления, например, геолокальных баз, — процесс очевидный, то необходимость обновления базы правил не всегда лежит на поверхности. Здесь можно провести прямые аналогии с возможностью расширения и изменения методов аутентификации в системах, рассмотренных выше. Мир не стоит на месте: противоборствующая сторона адаптируется, что приводит к постоянному появлению новых методов атак. Часто возникают ситуации, когда вероятность мошеннической операции находится в некотором промежуточном диапазоне значений и практически невозможно автоматически принять решение о легитимности транзакции. В этом случае необходимо участие аналитика, который сможет принять решение. Специалист получает всю информацию по инциденту с детальными вкладками системы, позволяющие разобраться в процессе и выполнить соответствующие действия. Совсем недавно партнер из Англии, собираясь в командировку в Москву, бронировал гостиницу. В процессе оплаты отеля, ему позвонил сотрудник банка и попросил подтвердить факт бронирования. Что произошло с точки зрения проведения транзакции? Аналитическая система проанализировала параметры транзакции и пришла к выводу, что часть ее параметров отличаются от «нормальных» для данного клиента, и отнесла транзакцию к категории спорных. Для принятия окончательного решения к процессу был подключен аналитик, которому была предоставлена на первом уровне — «выжимка» данных, на основании которых транзакция была отнесена к спорным. Анализ показал, что причиной «тревоги» была последовательность платежей: первые два прошли из локальных Интернет-магазинов, а затем платеж со значительным территориальным удалением. В качестве альтернативной реакции «фаервол транзакцией» может инициировать усиленную аутентификацию пользователя. Для этого необходимо предусмотреть интеграцию с платформой аутентификации. Интегрируемость должна быть предусмотрена в обеих системах и, кончено, реализована на уровне интерфейса пользователя. Используя комплекс мер и, в первую очередь, технические, можно добиться значительного снижения количества мошеннических транзакций. К техническим мерам относятся анализ параметров транзакций по многим параметрам и комплексные платформы аутентификации и авторизации. (с) Андрей Тархов
  7. MoneyGram – это международная система срочных денежных переводов. До 2004 года владельцами MoneyGram являлись Viad Corp и Travelers Express Company Inc. Сегодня Компания MoneyGram International – это самостоятельная Американская компания, акции которой котируются на Нью-Йоркской фондовой бирже, а денежные переводы MoneyGram по праву считаются одной из крупнейших международных систем по денежным переводам без открытия банковского счета. Маниграмма - так называется сам перевод, первый перевод Маниграмм был отправлен еще в 1940 году в Миннеаполисе (США). Компания MoneyGram International осуществляет денежные переводы по всему миру без открытия расчетного счета и объединяет более 210 000 пунктов обслуживания клиентов в 190 странах мира. Это вторая в мире не банковская система денежных переводов по охвату стран и количеству пунктов обслуживания. В Европе партнерами Компании MoneyGram International являются такие финансовые структуры, как Королевская почта Великобритании и Норвегии, Почта Италии и Кипра, Bank of Ireland, Banco Popular Espanol, Kocbank, Finansbank и многие другие. А с 2010 года, впервые в Европе, открываются пункты в предприятиях розничной торговли табачными изделиями и печатными изданиями - пока на территории Франции. В странах СНГ денежные переводы MoneyGram (Маниграмма) осуществляются с 1996 года и в настоящее время более 160 банков в этом регионе являются партнерами системы. А сеть MoneyGram в странах СНГ уже превысила 15 000 пунктов обслуживания, охватывая практически все республики: Россию, Азербайджан, Армению, Беларусь, Грузию, Казахстан, Кыргызстан, Молдову, Таджикистан, Узбекистан и Украину. Переводы MoneyGram (Маниграмм) осуществляют и такие финансовые структуры как Почта Украины и Почта Молдовы. В России переводы MoneyGram (Маниграмма) осуществляют крупные и региональные банки: ОАО АКБ "РОСБАНК",ЗАО «Райффайзенбанк, Банк “Дальневосточное О.В.К." Банк Проминвестбанк, ОАО НКБ РАДИОТЕХБАНК, ОАО АКБ «Стела-Банк», АКБ "Инвестторгбанк", Земский банк, АКБ "Приобье", Банк Уралсиб, Москомприватбанк, Восточный Экспресс Банк, Банк Русский Стандарт, Связь-Банк, Русь-Банк, Азиатско-Тихоокеанский банк и т.д. А скоро денежные переводы MoneyGram можно будет оформлять и в Сбербанке России. Итак, скоро к системе MoneyGram подключится самый крупный банк России - Сбербанк о чем в 2010 году уже подписано соглашение. Сбербанк России планирует предоставлять услугу по международным денежным переводам MoneyGram (Маниграмм) более чем в 7 000 своих подразделений, а в дальнейшем увеличить количество таких пунктов обслуживания до 10 000. «Сотрудничество с компанией MoneyGram позволит нам увеличить спектр предоставляемых услуг и расширить деятельность в сфере международных денежных переводов, как в СНГ, так и в других странах мира, и тем самым предоставит нам возможность удовлетворять потребности наших клиентов, - сообщил Денис Бугров, старший вице-президент Сбербанка. - Мы ожидаем, что взаимодействие с компанией MoneyGram будет успешным и результативным для обеих сторон». Сама Компания MoneyGram International работает круглосуточно и все 7 дней недели, а время перевода денег составляет всего 10 минут. Но, отправляя переводы MoneyGram (Маниграмм), надо всегда помнить, что в скорость перевода почти всегда вносят свои коррективы, как разница часовых поясов в разных странах мира и на разных континентах, так и время работы офисов компании MoneyGram, отделений партнеров и банков. Предприятия и банки, работающие с MoneyGram можно отличить по фирменному логотипу, один из вариантов которого мы и приводим вам для наглядности. Маниграмму можно сопроводить бесплатным текстовым сообщением для получателя размером до 10 слов. Для получателя такое сообщение тоже бесплатно. Это особенно ценная фишка. Услуги по переводам MoneyGram предоставляется только физическим лицам. Переводами по системе MoneyGram могут воспользоваться как постоянные клиенты банков, так и люди, не имеющие банковских счетов. Бывают ситуации, при которых услуги MoneyGram особенно необходимы: когда человек работает за границей и регулярно отправляет деньги своим родным; когда необходимо оплачивать учебу и проживание, если Ваши дети учатся за границей или проводят там свои каникулы; когда необходимо срочно оказать материальную помощь родным, друзьям, сотрудникам, которые находятся в другой стране; туристам, при возникновении нештатных ситуаций; бизнесменам при необходимости быстрой пересылки денег своим сотрудникам. Сумма перевода выплачивается сразу, по желанию клиента в любой удобной для него валюте, - наличными деньгами в долларах США, Евро, местной валюте в зависимости от страны получения перевода. При отправлении перевода в одной валюте, и получение его в другой, осуществляется конвертация валюты по текущему курсу продажи данного пункта выдачи. Надо учитывать, что если в вашем населенном пункте есть несколько банков, работающих с MoneyGram, а вы будете конвертировать получаемую валюту, то прежде чем получать, проверьте курсы валюты нескольких пунктов – они могут отличаться. Существуют и ограничения по сумме MoneyGram: До 5 000 долларов США в сутки при переводе из России за рубеж (для резидентов РФ, в соответствии с законодательством РФ). Для нерезидентов компания MoneyGram установила свое ограничение в размере 9,099 долларов США в сутки. Как отправить денежный перевод? Находите ближайший пункт MoneyGram, ориентируясь на наличие фирменного логотипа; Заполняете бланк на отправление перевода и предъявляете удостоверение личности; Вносите сумму перевода вместе с комиссией; Получаете регистрационный номер перевода и квитанцию о приеме денег; Сообщаете регистрационный номер получателю и через 10 минут деньги будут готовы к получению. Как получить перевод? Узнаете номер перевода у отправителя средств; Приходите в любой пункт получения маниграммы; Заполняете бланк на получение перевода, указав регистрационный номер, и предъявляете удостоверение личности; Получаете деньги Теперь клиенты MoneyGram смогут отправить 100 долларов США, заплатив всего 2 доллара США комиссии, за перевод 300 долларов США плата составит всего 5 долларов США, а максимальный платеж при новых тарифах составит всего 90 долларов США при отправке перевода до 10,000 долларов США в Армению, Беларусь, Молдову, Грузию, Украину, Казахстан, Кыргызстан, Таджикистан и Узбекистан. К сожалению статус перевода онлайн посмотреть никак нельзя. Здесь вы можете найти наиполезнейший сервис по поиску отделений любой из систем по всему миру. Теперь вы всегда можете найти ближайшее к вашему дропу отделение! © uglichhz
  8. На данное время в России существует ряд компаний осуществляющих денежные переводы. В этой статье я постараюсь предоставить краткий обзор наиболее распространенных систем. Более подробно, про каждую из них можно почитать в моих статьях, посвященных каждой из них отдельно, там я постарался рассмотреть каждую из систем подробнейшим образом, в том числе и с позиций нашего брата. ВЕСТЕРН ЮНИОН (Western Union) - американская международная система денежных переводов, которая функционирует на рынке с 1871 года. Американская компания "Вестерн Юнион" (Western Union) быстро и просто отправляет и получает деньги в 195 странах мира, в которых расположено более 225000 пунктов обслуживания. Многие Российские банки, а также Почта России используют систему денежных переводов (Western Union). Моя статья по переводам Вестерн Юнион (Western Union) Маниграмм (MoneyGram) - это срочный перевод денег телеграммой по всему миру без открытия счета в банке и всего за 15 минут. Систему денежных переводов "Маниграмм" организовала Американская компания MoneyGram International Limited, которая отделилась от Western Union, имеет более 35 000 отделений в более чем 138 странах мира. В России, странах СНГ и Балтии Money Gram работает с 1996 года. Моя статья по переводам MoneyGram (Маниграмм) ЮНИСТРИМ (UNIStream) - это международная система срочных денежных переводов физических лиц. Российская компания "Юнистрим" начала функционировать на рынке денежных переводов с 2001 года. Основным держателем акций OAO КБ "Юнистрим" является АКБ "Юниаструм Банк". Сеть АКБ "Юниаструм Банк", состоит из 32 филиалов, 81 дополнительного офиса и 70 операционных касс, дочерних компаний за рубежом и более 180 партнеров в России, странах СНГ, Балтии и дальнего зарубежья. Система функционирует в 90 странах мира, и имеет более 22000 пунктов обслуживания. Моя статья по переводам Юнистрим (UNIStream) КОНТАКТ (CONTACT) - это Российская международная система денежных переводов и платежей физических лиц без открытия счета в банке. Система денежных переводов и платежей КОНТАКТ (Contact) организована Акционерным Коммерческим Банком "Русславбанк" в 2000 году, который и является клиринговым центром системы Contact. Она охватывает уже более 80 стран мира, а количество пунктов превышает 28 000. Моя статья по переводам Контакт (CONTACT) АНЕЛИК (Аnelik) - это Российская система денежных переводов физических лиц без открытия банковского счета, и основана она 10 лет назад. Центром системы "АНЕЛИК" является Коммерческий Банк "Анелик РУ" (ООО). Система Аnelik объединяет 20 000 пунктов в более чем 90 странах мира. Моя статья по переводам Анелик (Anelik) МИГОМ (MIGOM) - это Российская программа проведения неторговых денежных переводов физических лиц без открытия счета на пространстве СНГ и стран Балтии, организатором которой стал КБ "Европейский Трастовый Банк", имеет свидетельство на товарный знак. сегодня на территории стран СНГ функционирует уже более 2 500 пунктов обслуживания клиентов по системе переводов "МИГОМ" Моя статья по переводам Мигом (MIGOM) КиберДеньги - это современная система денежных переводов Почты России (электронные деньги), она популярна благодаря полному охвату территории Российской Федерации и распространению на ближнее и дальнее зарубежье. Сегодня Почта России - это серьезный конкурент банковской системы России, по переводу денежных средств физических лиц. Моя статья по переводам «КиберДеньги» ЛИДЕР - международные денежные переводы осуществляемые НКО "ВМТ" (Москва). Расчетным центром системы ЛИДЕР выступает ООО КБ "ИНКРЕДБАНК" (Москва). Система ЛИДЕР работает с 2003 года, охватывает 13 стран, 589 городов, и имеет около 2000 пунктов приема/отправления денег. Моя статья по переводам Лидер БЛИЦ - это срочные денежные переводы Сбербанка России без открытия клиенту счета. Услуга физическим лицам осуществляются Сбербанком России с 1 февраля 2006 г Сбербанк России, имеет разветвленную сеть, и располагает более 3500 пунктами по приему и выдаче срочных переводов денег. Срочные денежные переводы осуществляются между структурными подразделениями Сбербанка России, расположенными только на территории России и Казахстана. Моя статья по переводам БЛИЦ Здесь вы можете найти наиполезнейший сервис по поиску отделений любой из систем по всему миру. Теперь вы всегда можете найти ближайшее к вашему дропу отделение! © uglichhz
  9. У видео Barnaby Jack Hacks ATM на сайте Youtube уже более 93 тыс. просмотров. Ролик снят на проходившей в Лас-Вегасе хакерской конференции Black Hat в июле этого года – эксперт по компьютерной безопасности Джек Барнаби демонстрирует, как за несколько минут можно заставить банкомат «поделиться» деньгами с помощью модема и программ, эксплуатирующих недостатки программного обеспечения кэш-машины. Зал взрывается аплодисментами. Но бенефис мог и не состояться – на прошлогодней конференции компания Juniper Networks, на которую работал Барнаби, внезапно отменила его доклад по просьбе представителей одной из компаний-производителей ATM. Естественно, пожелавшей остаться неизвестной. Специалисты признают: интерес к тому, можно ли «вскрыть» кэш-машину, огромен. По некоторым данным, за 2009 год в России было совершено около 250 атак на банкоматы с помощью подключения хакеров. Потери в целом по системе шли на десятки миллионов долларов. Перекрыть лазейку все-таки удалось. Теперь, в связи с ожесточенным противодействием банкиров в области «пластика» центр приложения мошеннических сил постепенно переходит в интернет. Также в ход идут мобильные телефоны и методы психологического давления. Доходное место. Когда сотруднику службы безопасности Абсолют-банка пришло SMS-сообщение о том, что его карта заблокирована и для ее разблокировки необходимо позвонить по определенному номеру, тот ее удалил, особо не вдаваясь в подробности. Однако чуть позже с этого номера раздался звонок – в необходимости срочно разблокировать карту теперь убеждал приятный женский голос. Мошенников не смутило даже то, что они звонят «безопаснику». История закончилась тем, что этот номер телефона был передан в МВД. Там таких обращений уже несколько десятков – этим летом банковскую индустрию накрыла волна попыток хитростью узнать PIN-коды карт. В середине августа Сбербанку даже пришлось выпускать специальное обращение к клиентам с предупреждением об активизации мошеннических действий «с использованием SMS-сообщений и звонков на мобильные телефоны». Сталкивались с подобными случаями в «Сити» и «Альфе». Мошенники, представляясь сотрудниками банка, просили сообщить им полный номер карты, срок действия и другие необходимые для подделки «пластика» реквизиты. Некоторых клиентов направляли прямиком к «заряженным» скимминговыми устройствами банкоматам, где они подписывались на услугу интернет-банка, после чего передавали «представителю банка» логин и пароль, полученный в банкомате. Мошенники, получая номера карты, а также данные для доступа в интернет-банк, переводили все средства на другие счета. Злоумышленники креативят – от имени ВТБ24 размещают вакансии на региональных сайтах по поиску работы (для предоставления уточняющей информации пользователи отправляли платное SMS-сообщение), а от имени ЦБ проводились «розыгрыши призов» среди держателей пластиковых карт. По данным Ассоциации региональных банков, в 2008 году потери, связанные с мошенничеством на рынке платежных карт, в России составили около 1 млрд рублей. В прошлом году объем потерь, по оценкам экспертов, вырос еще на 150–200 млн руб лей. «Кардинально новых видов мошенничества не появилось, скорее, происходит небольшая «модификация» старых, – утверждает начальник управления взаимодействия с платежными системами Альфа-банка Алексей Голенищев. – Например, за счет пресловутых «китайских» производителей появились более миниатюризированные, дешевые и разнообразные устройства для компрометации карт в банкоматах». Мошенничества с дистанционным банковским обслуживанием (ДБО) до сих пор остаются наиболее популярными. В частности, уже почти год несколько десятков банков, находящихся в середине второй сотни по капиталу, держит в страхе организованная группировка, промышляющая подделкой «пластика». Об этом рассказал представитель одного из этих банков. Проблема мошенничеств с ДБО приобрела столь массовый характер, что в июне Ассоциация российских банков и ЦБ даже разослали в кредитные организации специальные письма и инструкции по предотвращению мошеннических действий в этих каналах. Никуда не исчезли и случаи компрометации карты при использовании в магазинах, барах, ресторанах. Самыми криминогенными в этом смысле считаются Украина, Польша, Турция и с недавних пор Белоруссия. Правда, бывает «проруха» и на Западную Европу – в феврале Альфа-банку пришлось перевыпускать около 2,5 тыс. карт, скомпрометированных в отелях и ресторанах Германии, Австрии, Бельгии, Швейцарии. Как отмечает начальник юридического управления СДМ-банка Александр Голубев, нередки случаи, когда в платежные терминалы или банкоматы помещаются объекты, обладающие признаками денежных купюр (прежде всего элементы, имитирующие средства защиты). «Такие действия не являются фальшивомонетничеством, поскольку эти объекты визуально отличаются от денежных знаков и «живая» проверка однозначно бы их забраковала», – говорит он. Еще один вариант – имитация проводок по счетам карт с использованием пробелов в правилах платежных систем. Однако хитом нынешнего сезона стал шимминг – технология, позволяющая украсть номер карты и PIN через банкомат, – о которой все слышали, но никто не видел. Один из сотрудников Cisco в своем блоге переполошил всю Европу, утверждая, что специальные устройства начали массово выпускаться в некоторых странах Старого Света. Специальная тонкая плата вставляется в картридер и считывает данные введенных карт. Плата должна быть одновременно гибкой и тонкой (менее 0,1 мм), чтобы не создавать помех при использовании «пластика». Однако производители банкоматов все отрицают. «Технология ”шимминга“ в настоящее время существует лишь в теории, поскольку ее практическая реализация на деле была бы слишком дорогой», – утверждает Иван Стригин, директор по профессиональным инженерным услугам компании «Diebold Россия». Среди относительно новых видов мошенничества Иван Стригин отмечает несанкционированное вмешательство в работу программного обеспечения банкомата (вроде того, что демонстрировал Джек Барнаби), кража данных с банкомата, перехват трафика между банкоматом и хостом, подмена хоста, а также компьютерные «вирусы» и «трояны». Тем не менее, в Европе уровень мошенничества по картам в 5–6 раз выше, чем в России, считает Алексей Голенищев. Посильный вклад в эту статистику вносят и отечественные хакеры. На прошлой неделе петербургский суд признал 28-летнего Виктора Плещука виновным в краже у корпорации RBS WorldPay (принадлежит Royal Bank of Scotland) более $9 млн. Это действительно редкий случай для России. Статей в УК, по которым можно наказывать «пластиковых» мошенников, мало – ст. 159 «Мошенничество» и ст. 187 «Изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов». Но, например, если мошенническая операция совершена с помощью банкомата, то ст. 159 уже неприменима – мошенничество подразумевает обман, а банкомат обмануть нельзя, поскольку он является неодушевленным предметом. Дела по мошенничествам с помощью проводок по счетам банковских карт очень сложно вести в судах, потому что необходимо описывать достаточно сложный механизм функционирования МПС, особенно учитывая, что такие споры, как правило, рассматриваются в судах общей юрисдикции, говорит Александр Голубев. Также у некоторых судов, особенно в провинции, до сих пор возникает множество вопросов относительно подтверждений мошеннических действий, совершенных с помощью систем дистанционного обслуживания клиентов: необходимо доказывать достоверность ЭЦП, различия в IP адресах и прочее. По более «банальным» спорам проблем почти не возникает – подделка доверенностей и фальшивомонетничество рассматриваются судами без особых проблем, говорит Александр Голубев. За моральный ущерб. Помимо SMS, с развитием мобильной коммерции (когда инициирование операции происходит непосредственно с мобильного телефона), появилась «мошенническая» специфика и в этой области. «Более разнообразно и организованно стало мошенничество в области интернет-коммерции, особенно в сегменте авиаперевозок», – отмечает Алексей Голенищев. Вынуждает мошенников идти на просторы Всемирной паутины и стремление обойти препоны, которые строят банки в «офлайне». С помощью троянов мошенники проникают в компьютеры клиентов и воруют их электронные цифровые подписи. Перестали спасать даже USB-Token’ы – с весны нынешнего года активно используется новая хакерская программа, позволяющая воровать пароли, если компьютер находится в сети, а флэшка с ЭЦП вставлена в системный блок или ноутбук, рассказывают в службе безопасности одного из крупных банков. Флэшку «расшивают», после чего проводят платежи от имени клиента, и доказать, что это дело рук злоумышленника практически невозможно. Средства обычно направляются на карточки граждан, которые их обналичивают, как зарплата. Среди новых назначений таких платежей – выплата алиментов и возмещение морального ущерба. В одном из крупных банков рассказывают, что их внимание привлекла выплата алиментов в размере 700 тыс. рублей. Кредиты. Однако при всей популярности хищений средств с пластиковых карт уверенное лидерство по объему финансового ущерба, причиненного банком, занимают «кредиты в никуда». «Ужесточение правил в отношении заемщиков спровоцировало рост мошенничества как среди физических лиц, так и среди корпоративных клиентов банков», – говорит президент АКГ «Созидание и Развитие» Василий Кошелев. По его словам, наиболее распространенным видом мошенничества среди физлиц остается предоставление недостоверной информации об уровне дохода. Это уже проверенная годами технология. Суды завалены исками банков к недобросовестным заемщикам. На Западе при описании типичных мошеннических схем говорят также о сговоре между клиентом и работниками банка, которые закрывают глаза на недостатки или нестыковки в документах, недостаточный уровень дохода. Однако обман по кредитам большой суммы маловероятен у нас, поскольку, в отличие от США процесс принятия решений о кредитовании в российских банках достаточно сложен и затрагивает несколько подразделений, отмечает Марина Мишурис, предправления Флексинвестбанка. К тому же многие банки, которые обожглись во время кредитного бума 2006–2008 годов, ужесточили риск-менеджмент. Например, если раньше выдавали займы направо и налево, то сейчас нередко перед выдачей кредита специалисты выезжают в компанию, которая претендует на получение кредита, и тщательно осматривают офис – вплоть до того, есть ли на офисных столах пыль. Если есть, значит, контора, скорее всего, неработающая. Но если количество потенциальных заемщиков у кредитных организаций снова резко увеличится, ездить по офисам станет некогда. Статья основана на информации Александр Зарщикова, «Финанс» © uglichhz
×
×
  • Создать...