Работа в Стамбуле

Метка: процессинг

  • Скам процессинга при помоши NFC докатился до России

    Скам процессинга при помоши NFC докатился до России

        Специалисты предупреждают о появлении новых версий банкера NGate, нацеленных на пользователей в России. Этот софт передает данные с NFC-чипа заряженного смартфона терпилы, позволяя дроповоду снимать деньги со счетов холдера в банкоматах без какого-либо участия с его стороны, то есть без разрешения и без его ведома. Напомним, что ранее мы уже рассказывали о NGate, и впервые этот банкер попал в поле зрения экспертов еще осенью прошлого года, когда стали появляться сообщения о скаме  клиентов крупных чешских и других европейских банков.

        Стратегия дроповодов строилась на комбинации социальной инженерии, фишинга и использования самого софта. И результатом взаимодействия с холдером становился удаленный доступ к NFC-возможностям его платежного средства, смартфона. Ранее специалисты писали, что чешские мундиры уже поймала одного из дроповодов, осуществлявшего такой скам в Праге. Однако, исследователи небезосновательно опасались, что тактика может получить более широкое распространение и представляет серьезный риск для пользователей ОС Android в целом.

        Как нам теперь сообщили, тактика действительно была адаптирована для наших российских реалий и уже используется против российских пользователей банковских карт с чипом и приложений. Событием, запускающем цепочку компрометации устройства и банковской карты, судя по всему, является звонок от дроповода, который сообщает холдеру о возможности получить различные социальные выплаты или иную финансовую выгоду. Для этого пользователю якобы необходимо проследовать по присланной ссылке на сайт дроповода, откуда скачивается уже заряженый файл APK с NGate, замаскированный под приложение портала Госуслуг, Банка России, или одного из других популярных банков.

    приложения, замаскированные под Банк России и Госуслуги

        Исследователи напоминают, что банкер NGate представляет собой модификацию опенсорсного приложения NFCGate, которое создавалось для отладки протоколов передачи NFC-данных.  NFCGate поддерживает множество функций, но наибольший интерес для дроповодов представляет возможность захвата NFC-трафика приложений и передачи его на удаленное устройство, которым может выступать или сервер, или непосредственно смартфон в кармане дроповода для осуществления процессинга.

        Дроповоды немного модифицировали исходный код, добавив к нему интерфейсы с айдентикой финансовых организаций, и включили режим ретрансляции NFC-данных. Кроме того, в состав приложения включена библиотека nfc-card-reader, которая позволяет дроповоду удаленно получить номер карты холдера и срок ее действия.

        Так, после запуска приложения терпиле, якобы для верификации себя в качестве клиента, предлагается приложить платежную карту к задней стороне смартфона, ввести свой PIN-код и подождать, пока псевдоприложение распознает карту. В это время происходит считывание данных с карты и передача информации дроповодам. Исследователи подчеркивают, что для угона NFC-данных смартфон терпилы не требует root-доступа.

    удобство оплаты NFC и скам процессинга

        В результате, пока терпила удерживает карту возле своего смартфона, дроповод уже находятся у банкомата и запрашивает выдачу наличных.

        Альтернативным вариантом является реализация данной схемы для бесконтактной оплаты покупок. То есть в момент, когда нужно будет приложить карту к терминалу, дроповод предъявит свой телефон, который передаст цифровой отпечаток банковской карты холдера. Подтвердить операцию дроповод сможет также полученным раннее PIN-кодом.

  • Что делать с «забытой» seed-фразой от криптокошелька на YouTube?

    Что делать с «забытой» seed-фразой от криптокошелька на YouTube?

        Исследователи даркнета недавно обнаружили новую скам схему процессинга. Дроповоды используют в качестве приманки настоящую seed-фразу от криптокошельков с токенами Tether USD (USDT) и якобы случайно размещают её в комментариях под каким-нибудь интересным видео на YouTube, посвященным финансовой или криптовалтной тематике. Дроповоды рассчитывают, что корыстные пользователи видеохостинга захотят воспользоваться таким шансом для вывода активов холдера на свой кошелёк.

        Такие комментарии пишутся от лица наивного пользователя, который якобы не знал о базовых мерах безопасности и выложил конфиденциальные данные от своего криптокошелька в открытый доступ ради консультации.

    пример разводки дроповода на крипту

        Такие криптокошельки обычно содержат токены USDT. Так как seed-фразы обычно достаточно, чтобы получить доступ к хранящимся в кошельке средствам, недобросовестные пользователи, привлеченные перспективой легкой наживы, могут попытаться опустошить чужой кошелёк. По словам исследователей, дополнительно искушать людей может не только то, что seed-фраза настоящая, но и тот факт, что они могут видеть баланс USDT и историю транзакций.

    демо крипто кошелёк дроповода
        Однако, когда пользователь пытается получить доступ к такому кошельку, он обнаружит, что для вывода USDT требуется оплатить комиссию в токенах TRX (Tron), которых в кошельке нет. Если пользователь переводит TRX из своего личного кошелька для оплаты такой «комиссии», эти средства мгновенно перенаправляются на другой кошелек, контролируемый дроповодами.
        Эксперты объясняют, что кошелек-приманка настроен как учетная запись с несколькими подписями (multisig), что требует дополнительных разрешений для авторизации любых транзакций. Поэтому, даже если терпила попытается перевести средства после оплаты «комиссии», сделать это у него не получится.
        «В этой схеме дроповоды делают ставку на стремление людей к быстрому „заработку” в интернете. В итоге сами пользователи попадаются в ловушку. Мы настоятельно призываем быть бдительными и придерживаться этичных принципов при работе с криптовалютами и в целом при проведении любых финансовых транзакций в интернете», — комментирует старший контент-аналитик «Лаборатории Нейронаук».
  • Новый Android-банкер для процессинга с помощью NFC

    Новый Android-банкер для процессинга с помощью NFC

        Исследователи обнаружили недавно новый банкер для Android процессинга, который может переводить деньги со счёта холдера без его ведома, передавая на устройство дроповода данные, считанные через NFC чип смартфона. Банкер, получивший название NGate, позволяет эмулировать карты терпил, совершать несанкционированные платежи или даже снимать наличные в банкоматах.
        По данным специалистов, NGate активен с ноября прошлого года и связан с недавними участившимися случаями использования Progressive Web Application (PWA) и WebAPK для процессинга с использованием банковских учетных данных у пользователей из Чехии. Также исследователи пишут, что в ряде случаев NGate применялся для прямого снятия наличных со счёта холдера в банкомате без его ведома.
    Установка WebAPK через подставной сайт, похожий на Google Play
        Процессинг с помощью нового банкера начинается с рассылки SMS-сообщений, автоматизированных звонков с заранее записанными сообщениями или Google-рекламы. Все это должно вынудить холдеров установить на свои устройства PWA, а затем банкер WebAPK, как исследователи уже описывали в прошлом отчете.
        Такие приложения не требуют никаких разрешений при установке и используют API браузера, в котором запускаются, чтобы получить необходимый доступ к аппаратному обеспечению устройства, в том числе к NFC чипу.
        После установки WebAPK терпилу хитростью вынуждают установить еще и NGate, и банкер активирует опенсорсный компонент NFCGate, который был разработан академическими исследователями для экспериментов с NFC. Этот инструмент поддерживает функции захвата, ретрансляции, воспроизведения и клонирования и далеко не всегда требует root-доступа для работы.
        Банкер применяет NFCGate для перехвата данных NFC с платежных карт, находящихся в непосредственной близости от заряженного таким образом устройства под управлением ОС Android, а затем передает информацию на устройство дроповода (напрямую, либо через специальный сервер).
        В итоге дроповод получает возможность сохранить эти данные в виде виртуальной банковской карты на своем смартфоне, а затем воспроизвести сигнал в банкомате, поддерживающем NFC для снятия наличных, или совершить PoS-платеж в точке продаж или супермаркете.
    процессинг на обычном компьютере
        Хотя для снятия наличных в большинстве банкоматов потребуется PIN-код, исследователи уверены, что узнать его нетрудно с помощью банальной социальной инженерии. К примеру, после того как нужный PWA/WebAPK уже установлен, дроповод звонит холдеру, притворяясь сотрудниками банка, и сообщают о некой проблеме с безопасностью. Затем он отправляет терпиле SMS со ссылкой для загрузки NGate, выдавая банкер за специальное приложение для верификации существующей банковской карты и PIN-кода.
        После того как холдер просканирует своюю карту заряженым устройством и введет PIN-код для «верификации» в NGate, конфиденциальные данные будут переданы дроповоду.
    Схема взаимодействия дроповода и холдера
        В приведенном ниже видео специалист Лукас Стефанко (Lukas Stefanko) демонстрирует, что компонент NFCGate в NGate также может использоваться для сканирования и перехвата данных карт в кошельках и рюкзаках окружающих дроповода людей в метро и прочьих людных местах.
        Специалист отмечает, что помимо этого банкер может использоваться для клонирования уникальных ID некоторых NFC-карт доступа и токенов, что может помочь дроповоду проникнуть в закрытые зоны режимных объектов.
        Эксперты сообщают, что евромундиры уже взяли одного дроповода, осуществлявшего такие операции в Праге. Однако исследователи опасаются, что эта тактика может получить более широкое распространение и представляет серьезный риск для пользователей ОС Android.
        Также в экспертных кругах подчеркивают потенциальную опасность, возникающую при клонировании карт доступа, транспортных билетов, ID-бейджей, членских карт и других NFC-носителей, объясняя, что процессинг фиатных денег в данном случае — далеко не единственный негативный сценарий.
        Для защиты от таких операций эксперты советуют отключать NFC на смартфоне, если он не используется постоянно. Также рекомендуется внимательно изучить все права доступа приложений и отозвать лишние, устанавливать банковские приложения только с официального сайта финансового учреждения или из официального магазина Google Play Store, а также убедиться, что используемое приложение не является WebAPK.
  • Как найти реального процессора крипты

    Как найти реального процессора крипты

    Своего первого реального партёра по процессингу крипты, который показал мне как можно использовать сценарий bgp spoofing и реализовывать bgp hijacking для mitm на майнинг и мутить процессинг в крипте при помощи подмены маршрута в зоне bgp, я нашел случайно, когда еще трудился в Укртелекоме сменным инженером, немного подрабатывая настраивая сетевое оборудование налево, но потом этот человек отошел от дел в связи со слишком уж скользкой ситуацией в данной сфере, и я решил поискать партнера на форумах типа Darkmoney, разместив рекламу на трёх электронных досках объявлений. Честно говоря поначалу даже был готов сразу закинуть 10.000 долларов в Гарант, но потом призадумался, а стоит ли?

    Как найти реального процессора крипты


    И ко мне начал обращаться народ обращается разных категорий…

    1. Дебильная школота, которая что-то любит повтирать про свою серьезность и просит закинуть 10.000 USDT им на Coinbase или Huobi в качестве аванса.

    2. Реальные мэны, которые льют сразу большую сумму в крипте и просят организовать им вывод в фиат по SWIFT без разговоров про гарантии и прочую шнягу, но после того, как им отдаёшь нал или отбиваешь MT103, они сразу пропадают, суть данных действий я так и не понял, зачем пропадать, если всё прошло итак гладко? 
    3. Мутные личности, берущие реквизиты криптокошелька и очень долго что-то пытающиеся залить в USDT, в итоге пропадают, хорошо если еще криптокошелёк после всех этих проделок с процессингом в крипте остаётся жив и не вносится в стоп листы криптовалютных бирж и обменников.

    4. Серьезные судя по общению цисководы, очень долго насилуют мозг спрашивая про отзывы и сумму которую я смогу закинуть в Гарант, после того, как им предлагаю первыми закинуть Гаранту его комиссию, так как в случае их исчезновения я попадаю на комиссию, сразу сваливаются, стуча копытами или кричат что я кидала, так как отказываюсь от работы с их Гарантом.

    5. Самые адекватные те, кто льет небольшую проверочную сумму и потом уже начинают лить в крипте серьезные деньги с жирных криптовалютных кошельков BitCoin или Etherium, но таких, к сожалению, попадается очень мало.
    Итог моей работы в паблике: вложения примерно — 150.000 долларов США, которые с трудом окупились из за убитых фирм и банковских счетов, пластиковых карт, и учёток на криптобиржах и обменниках, которые продавцы лочат через 2 месяца после продажи, и прочих прелестей. Если люди обращаются по рекламе — тут уже не отличишь нормальных от ненормальных, для тех, кто обратился в первый раз, есть гостевой криптокошелёк, без привязки к биржам и другим сервисам, реквизиты которого даю всем подряд, на который можно лить крипту из любой помойки, а проверенным людям — уже потом предоставляю новые реки чистого криптокошелька, гостевой корпоративный счёт желательно постоянно проверять на работоспособность перед зачислением о отправкой на него денег с обменника или криптобиржи.
    Найти сейчас грамотного человека, кто будет реально лить хорошие суммы в крипте стабильно вполне возможно, но для этого его нужно чем-либо заинтересовать, чтобы он согласился работать именно с тобой и ни с кем другим. Вы наверное сами всё хорошо знаете, что предложение обнала грязной крипты с выводом в фиат в сотни раз превышает число реальных людей, умеющих лить крипту через интернет с использованием техник mitm майнинга по сценарию bgp spoofing с реализацией bgp hijacking, которые ищут себе грамотных обнальных партнёров по обмену грязной крипты на фиат. 

    Однако, серьезных людей, которые кое-что понимает про bgp в криптоканалах, всегда можно заинтересовать своими хорошими связями в телекоммуникационной среде среде, умением решать любые скользкие вопросы в том или ином небольшом или скажем совсем скромном банке (а как вам уже наверное стало понятно, что ни один серьёзный процессор крипты не будет связываться с публичным банком), либо может пригодиться ваш предыдущий опыт работы в крупной телекоммуникационной компании, как это было в моём случае. 

    Можно также попытаться сработать с грамотным человеком, предоставив ему данные телеметрии OSS FM/PM системы какого-нибудь крупного телекоммуникационного холдинга, включая распечатку IP/MPLS сообществ — это значительно упростит или даже ускорит реализацию той или иной схемы процессинга крипты через mitm с майнинга и реализации bgp hijacking по сценарию bgp spoofing. С этой задачей вполне может справиться любой социализированный дроп, работающией сетевым инженером в такой крупной компании, маргинальные дропы для такой работы не годятся.
     

    Хочу добавить, что все серьёзные люди, занимающиеся процессингом крипты после всем известных нам событий уехали за границу года три тому назад, и работают от туда, а работать с теми, кто остался по выводу крипты в рублевом пространстве — сплошной нудняк. Новичку без связей в банковской или телекоммуникационной среде влиться в эту тему просто нереально, если только не надеяться на чудо.

  • Ошибка обработки пакета BGP приводит к выключению пограничного роутера

    Ошибка обработки пакета BGP приводит к выключению пограничного роутера

    BGP (the Border Gateway Protocol)— это магистральный протокол и «клей» Интернета, который рассылает информацию о маршрутах между сетями провайдеров. Короче говоря, этот протокол, BGP, является очень важным элементом, необходимым для правильной работы глобальной сети в целом.

    Программное обеспечение маршрутизаторов, реализующее BGP, не идеально, поскольку как коммерческие, так и версии с открытым исходным кодом имеют проблемы в реализации этого протокола маршрутизации.

    В то время как многие недостатки незначительны и связаны с проблемами маршрутизации, рассматриваемая ошибка обработки пакета BGP вызывает особое беспокойство, так как может распространяться как компьютерный червь.

    Владелец BGP[.] Бен Картрайт-Кокс обнаружил этот недостаток; Это компания, которая предлагает услуги мониторинга BGP для обнаружения и решения проблем.

    Ошибочный атрибут

    2 июня 2023 года небольшая бразильская сеть повторно анонсировала маршрут с поврежденным атрибутом в пакете, что потенциально повлияло на транзитные маршрутизаторы.

    Многие маршрутизаторы игнорировали этот атрибут, но маршрутизаторы Juniper принимая его, и ответ на ошибку в пакете закрывали сессии BGP, тем самым нарушая связанность своих сетей с глобальной сетью Интернет.

    Кроме того, такая ошибка в пакете BGP прерывает сессию, прекращая переток клиентского трафика до тех пор, пока не будет выполнен автоматический перезапуск маршрутизатора, который обычно занимает от нескольких секунд до нескольких минут.

    Завершение сессии BGP вследствие получения пакета с ошибочным атрибутом
    Завершение сессии BGP вследствие получения пакета с ошибочным атрибутом

    Это затронуло многих операторов, таких как COLT, сбой в работе которых и привлек внимание к этой проблеме.

    Ошибка, связанная с обработкой ошибок BGP

    Каждый атрибут пакета обновления BGP начинается с флагов, включая ключевой ‘транзитивный бит’:

    Транзитивный бит в пакете обновления BGP
    Транзитивный бит в пакете обновления BGP

    Если транзитивный бит атрибута установлен, а маршрутизатор его не понимает, он копируется на другой маршрутизатор, что может привести к слепому распространению неизвестной маршрутной информации.

    Завершение работы сессии BGP нарушает переток трафика между автономными системами и может распространяться как червь. В то время как атрибуты, неизвестные одной реализации, могут привести к завершению работы другой, созданный BGP UPDATE может быть нацелен на поставщика определенного оборудования и вывести сеть провайдера из строя целиком.

    Распространение ошибки в пакете BGP по сети
    Распространение ошибки в пакете BGP по сети

    Эффект от атаки сохраняется довольно долгое время, так как анонсированный маршрут всё остается в одноранговом маршрутизаторе, даже после его перезапуска, при передаче нового пакета обновлений BGP он инициирует еще один сброс сессии, что приводит к длительным простоям.

    Более того, чтобы проверить, какие реализации протокола BGP подвержены этой уязвимости можно использовать простую утилиту для тестирования.

    Незатронутые поставщики оборудования

    Далее приводим список поставщиков, которые не были затронуты этой уязвимостью:

    • MikroTik RouterOS 7+
    • Ubiquiti EdgeOS
    • Arista EOS
    • Huawei NE40
    • Cisco IOS-XE / “Classic” / XR
    • Bird 1.6, All versions of Bird 2.0
    • GoBGP

    Подверженные версии оборудования или ПО

    • Juniper Networks Junos OS
    • Nokia’s SR-OS
    • Extreme Networks’ EXOS
    • OpenBSD’s OpenBGPd
    • OpenBSD’s FRRouting

    Вопросы и ответы

    Ранее было сообщено об этих уязвимостях всем подверженным ей поставщикам оборудования и программного обеспечения. После получения уведомления были получены следующие ответы от затронутых поставщиков:

    • OpenBSD выпустила патч
    • Компании Juniper присвоили CVE
    • FRR также присвоил CVE
    • В Nokia проблему не решили
    • Extreme также не решил эту проблему

    Кроме того, несмотря на отсутствие ответов некоторых поставщиков оборудования, провайдеры услуг интернета сами могут принять меры по предотвращению потенциальной эксплуатации этой уязвимости.