Вчера был взломан мой ник, обнаружил сегодня с утра, с ноутбука не удалось зайти под своим именем Удалось зайти через телефон, в профиле был уже какой-то левый mail-овский адрес, сейчас всё восстановил К сожалению, без потерь не обошлось Xramej отправил деньги на ложный номер карты Мошенник раньше меня успел отправить ему данные для оплаты Непосредственно действовал параллельно со мной, сразу же удалив сообщение В корзине сегодня обнаружил два сообщения, мошенника и Xramej: "Кому: Xramej Дата: 23.09.2014 23:05:59 Добрый вечер! Поздравляю Пересылка 100 рублей 1 класс Номер карты Сбербанка: 67619600 0485140181 С уважением, Юрий"
"Кому: pomor99 Дата: 24.09.2014 10:15:20 Добрый день.Я ночью перевёл деньги на номер карты,присланный в первом письме!С ув.Сергей."
Номер карты мошенника: 67619600 0485140181
С пострадавшим вопрос решим, пусть только отпишется здесь, если всё так. На будущее хотелось бы предупредить, особенно тех у кого заканчиваются аукционы, быть внимательней А администрацию задумать какой-нибудь механизм, усложняющий на будущее совершение подобного, т.к. случаи участились
На форуме взломов не было, даже обычные китайские бот-атаки в пределах стандартного. Скорее всего был доступ к вашей почте, на нее был запрошен пароль, затем заход на форум, смена емайла. Как именно вам удалось зайте через телефон?
PS Сейчас будет сброшена авторизация у всего форума. Необходимо будет всем залогиниться заново.
да , на реву тоже самое было с пару недель назад. Схема мошенника поменялась ,если он раньше ломал и выставлял на быстрый аук до вечера ,то сейчас он ломает продавца ,у которого заканчиваются лоты ,пока продавец разберется что случилось ему уже приходит оплата. Для начала предлагаю ждать сутки а потом оплачивать.
Здесь надо понимать 2 вещи: 1) мошенник знает привязку ник-емайл. 2) мошенник взламывает емайл, и через него запрашивает пароль к форумам и получает доступ к аккаунтам на форумах.
Утянуть пароль с сервера невозможно, так как сами пароли не хранятся в БД, а хранятся их хеш-функции, из которых вывести пароль практически нельзя, не существует такого алгоритма, кроме тупого подбора. Возможно, при дырявой конфигурации сервера скармливать ему не сам пароль, а его хеш; но это еще надо постараться так сконфигурировать сервер. Вот как выглядит запись в базе пары "пароль-киворд" для китайского бота, который сегодня зарегистрировался: eLuXYHEE6175#c1731d924eb!5be4ef32!724769 KYeiHmQHf11c5cb4764a1ad5e81959afec316f83 Какой на самом деле там пароль, узнать с админской стороны невозможно. Максимум, что можно сделать изнутри - просто удалить старый пароль и создать новый, таким образом в базе появится новая абракадабра.
Если с сайта украдена таблица, где есть логины, емайлы и хеши паролей, то мошенник может попробовать метод подбора. Для этого создать некий словарь типовых паролей (состоящий из обычных слов с цифрами), запустить программу, которая будет к каждому вычислять хеш и сравнивать с украденной с сервера таблицей хешей. При совпадении хеша, программа запомнит пароль и выдаст мошеннику список тех юзеров, пароль к которым подошел. Затем мошенник введет эти пароли к емайлам, и если пароль одинаковый, то получит доступ и к ней. Все это работает только если пароль простой. Сложный пароль не содержит слов, а только буквы и цифры, подобрать можно, но на это должны работать огромные вычислительные мощности и время.
Ревью - самодельный форум на PHP. Дырки на PHP обнаруживаются регулярно, если не ежедневно. Патчить дырки требует усилий, времени и т.д. Для примера, 1С нам присылает в неделю 2-4 апдейта, многие из которых касаются безопасности. И там сидят целые отделы, которые отслеживают все новейшие хакерские разработки. Поэтому и такая огромная цена на сам движок и на его поддержание (гарантия, обслуживание и т.д.) Когда движок самодельный, безопасность его зависит только от лени и свободного времени владельцев. Но даже у ленивого админа, по идее, внутри таблиц с данными пароли в открытом виде храниться не должны (хотя кто знает..)
Если вы посещаете злачные места, то нет никаких гарантий, что ваши аккаунты будут в безопасности. Наиболее простым способом является заведение себе отдельного емайла на каждый ресурс. А свой личный, ежедневно читаемый емайл, для регистраций использовать не стоит. Чтобы быть в курсе уведомлений об ответах и писем в личку, с каждого отдельного емайла делается редирект на главный. Таким образом, если емайл, используемый на ревью, взломают, то злоумышленник получит доступ к аккаунту на Ревью и все. Ну еще узнает ваш основной емайл, так как он будет в почтовом ящике значится адресом для форварда. Получить напоминание пароля от другого сайта он не сможет.
Ну и понятно, что не надо использовать один и тот же пароль, и что он должен быть сложным.
Вопрос к pomor: у вас везде одинаковый пароль? Как вы зашли с телефона?
Добрый день.Всё произошло именно так,как и излагает pomor99.Его реквизиты я получил уже после перевода.Был на работе,была возможность оплатить побыстрее...Неприятно,не сталкивался с таким.
И так ящик е-mail целый, аккаунты на других форумах тоже пароли были разные, сейчас всё везде естественно поменял Мой случай и с "Толл" имхо звенья одной цепи Ситуация могла бы быть вообще без последствий, если бы Xramej смутило бы повторное сообщение через несколько минут(уже мое) с другим номер карты(уточнения с его стороны было бы достаточно). Мошенник вечером поменял адрес в профиле, но видимо не менял пароль. Где-то до часу ночи я лично был в сети и даже переписывался. Он параллельно был под моим ником. Сегодня с утра с ноутбука зайти не удалось, уже хотел позвонить кому-нибудь и попросить создать тему о взломе. Но попробовал еще зайти с телефона, вкладка с форума была открыта со вчерашнего дня, при ее обновлении меня не выкинуло, и я естественно сразу данные в профиле поменял. Сперва подумалось, что ничего не успело произойти, но оказалось, что в корзине два новых сообщения. Причем второе от Xramej утреннее и удалено в 10:15, буквально за минуты до возврата мною аккаунта под контроль. Жулик был на месте и всё четко отслеживал. Каким образом им подобран пароль, без понятия, ясно, что его внимание привлекли заканчивающиеся вчера аукционы, не повезло мне
Судя по поведению мошенника, его фирменный стиль не менять пароль. То есть доступ к почте и аккаунтам у него был, но пароли он до поры до времени не менял, просто сидел и наблюдал. На форум-су Соколов когда-то даже выжидал пока известный продавец уедет в отпуск\на рыбалку, чтобы в его отсутствие в инете выставлять левые лоты на продажу. Так было и в этом случае.
Смена емайла в вашем профайле была для того, чтобы вы не получили уведомление об ответе в ЛС, и это произошло сразу при начале переписке с Xramej.
Xramej пишет: Добрый день.Всё произошло именно так,как и излагает pomor99.Его реквизиты я получил уже после перевода.Был на работе,была возможность оплатить побыстрее...Неприятно,не сталкивался с таким.
Сам бы никогда не подумал, что столкнусь Вот и минус в мгновенности онлайн-оплаты:spite:, Вы мои реквизиты увидели уже только с утра, как понимаю?
Судя по поведению мошенника, его фирменный стиль не менять пароль. То есть доступ к почте и аккаунтам у него был, но пароли он до поры до времени не менял, просто сидел и наблюдал. На форум-су Соколов когда-то даже выжидал пока известный продавец уедет в отпуск\на рыбалку, чтобы в его отсутствие в инете выставлять левые лоты на продажу. Так было и в этом случае.
Смена емайла в вашем профайле была для того, чтобы вы не получили уведомление об ответе в ЛС, и это произошло сразу при начале переписке с Xramej.
Если не секрет, не могли бы в ЛС мне сообщить, на каких нумизм\антикварных форумах вы зарегистрированы? Можно было бы вывести общее в разных случаях взлома, чтобы хотя бы предупредить о потенциальных угрозах.
Никогда не встречался с этим, по номеру карты мошенника можно вычислить? Или там возможно тоже цепочка мошенническая номеров какая-нибудь? Похоже специально рассчитывают на некрупные сделки. Время дороже будет. Подобным образом можно же достаточно крупно влететь. Может прописывать номер карты каждому пользователю, в подписи к примеру? Во избежание
И еще для инфы: Мошенник и сейчас на форуме, он заходит с мобильного Билайна не то Саратовской, не то Свердловской области (точнее не скажу, они могут делить пулы айпи адресов). Лог за последние три дня показывает, что он авторизовался с вашим паролем еще 20-го числа, то есть доступ у него был заранее. Два дня назад был заход с Мегафона из Чувашии. Если не ошибаюсь с левого захода на форуме не было ни одного сообщения. Он утром поменял в профайле емайл.
Активно пользовался поиском по форуму. Вот только вчера ночью список того, что он искал
Вы сейчас пишете с того же провайдера, с которого заходите уже 1.5 года.
Аltair верно обратил внимание в соседней теме: "специально проверил форум-есть такая функция,как отправить сообщение через имейл, оно автоматом приходит на имейл привязанный к данному форуму, мошенник может прицепить картринку с левой просьбой,кликнул на картинку на своем ПС-запустил процесс выуживания твоей приватной информации, отсюда вывод-на данном форуме надо бы отключить возможность писать приват через имейл!"
К слову приходили подобные сообщения ко мне от круглых нулевиков с тупыми вопросами, но во избежание указанного я ни разу не отвечал
Тимофей пишет: И еще для инфы: Мошенник и сейчас на форуме, он заходит с мобильного Билайна не то Саратовской, не то Свердловской области (точнее не скажу, они могут делить пулы айпи адресов). Лог за последние три дня показывает, что он авторизовался с вашим паролем еще 20-го числа, то есть доступ у него был заранее. Два дня назад был заход с Мегафона из Чувашии. Если не ошибаюсь с левого захода на форуме не было ни одного сообщения. Он утром поменял в профайле емайл.
Активно пользовался поиском по форуму. Вот только вчера ночью список того, что он искал ******
Вы сейчас пишете с того же провайдера, с которого заходите уже 1.5 года.
Тимофей пишет: И еще для инфы: Мошенник и сейчас на форуме, он заходит с мобильного Билайна не то Саратовской, не то Свердловской области (точнее не скажу, они могут делить пулы айпи адресов). Лог за последние три дня показывает, что он авторизовался с вашим паролем еще 20-го числа, то есть доступ у него был заранее. Два дня назад был заход с Мегафона из Чувашии. Если не ошибаюсь с левого захода на форуме не было ни одного сообщения. Он утром поменял в профайле емайл.
Активно пользовался поиском по форуму. Вот только вчера ночью список того, что он искал ****
Вы сейчас пишете с того же провайдера, с которого заходите уже 1.5 года.
захожу уже с этого провайдера даже более 1,5 лет. Параллельно еще могу заходить с мобильного Билайна (Лен.область)
Тимофей пишет: И еще для инфы: Мошенник и сейчас на форуме, он заходит с мобильного Билайна не то Саратовской, не то Свердловской области (точнее не скажу, они могут делить пулы айпи адресов). Лог за последние три дня показывает, что он авторизовался с вашим паролем еще 20-го числа, то есть доступ у него был заранее. Два дня назад был заход с Мегафона из Чувашии. Если не ошибаюсь с левого захода на форуме не было ни одного сообщения. Он утром поменял в профайле емайл.
Активно пользовался поиском по форуму. Вот только вчера ночью список того, что он искал
Вы сейчас пишете с того же провайдера, с которого заходите уже 1.5 года.