Случаи с мошенничеством из личного (и не только) опыта⁠⁠

Пошло много постов и комментов по вопросам информационной безопасности: там украли деньги, тут смошенничали. Ну и я решил внести свои «5 копеек». Историй будет несколько. Хронологического порядка не будет и не все они происходили со мной. Так же по прошествии лет, возможно, некоторые детали забылись или исказились. Будет многабукаф, но поехали!

История первая - глупая.

Несколько лет назад поехали с шефом на осмотр объекта монтажа в крупное село. По какой-то шефовой надобности заехали в местное отделение зеленого «пакман-банк». Он общается с юротделом — я остался тупить в оперзале с физлицами. А что нет то? Вид неплохой такой. По залу бегают молоденькие девочки-консультанточки. Кому не понравится то? И тут на одну из них налетает аки коршун тело — мужик под пятьдесят, неплохо так одет и красный как рак! Его аж трясет от злобы… Дальнейший диалог между девочкой (ну на вид действительно лет 18) и данным телоидом ДОСЛОВНО передать не смогу — не один год прошел, но суть беседы я понял и постараюсь передать:

- Воры! Вы у меня с карты 200 тысяч украли!

- Что у Вас случилось?

- ВЫ УКРАЛИ ДЕНЬГИ У МЕНЯ С КРЕДИТНОЙ КАРТЫ!

- Простите, но я не могла этого сделать — я тут третий день всего работаю!

- Да не ты! А ваш долбанный банк!

- Может вы неправильно баланс посмотрели? Пойдемте к банкомату и проверим!

- Как?! Я ее давно потерял!

- А почему сразу не заблокировали?!

- Ты что ТУПАЯ?! Там же номер вашего банка и мои фамилия и имя указаны! Кто найдет же — принесет!

Шта?! Уже интересно!

- А пин-код Вы с картой хранили?

- Ты тупая, что ли?! Я выучил и сразу этот листок уничтожил!

О! А в этой голове есть разум!

- А родственникам не сообщали? Ну там вдруг забудете?

- Ну ты дурная что ли? Родственники — обойдутся. А я ж не молодой уже! Я копию записал.

- Ну этот листок с картой хранили?

- Ой, ты дура! Какой листок то? Я с обратной стороны карты написал!

Я что-то говорил про разум? Я — ошибался.

История вторая с «неведомой херней».

Произошла позже. Работал в банке. В то время была такая тема для юр.лиц - «клиент-банк». Это программа для управления расчетным счетом и отправка платежных приложений с компьютера через клиентское приложение. Сейчас уже большая часть перешла на обслуживание через вэб-морду. И не только для юр.лиц. Но не суть. Пояснение на пальцах, для тех кто далек от данной темы.

Смысл вот чем - для ПО работы пароли у себя клиент заводит какие ему удобно, но для связи уже необходимо вводить пароль, сгенерированный в банке. Восемь символов, что-то вроде 78yTN1jo

Клиент в довольно далеком селе. Довольно зажиточное. Ипшник. Дядя тоже не бедный, но как и большинство ипшников бухгалтерия у него на домашнем компе.

В сопроводительной документации было приложение с рекомендациями, что для клиент-банка лучше бы вообще отдельный компьютер выделить. Ну и пояснения на кой хрен все это. Но в реальности не каждая организация может себе подобное позволить.

Ставлю программу. Заводит он себе пароли. Проводим тестовый сеанс связи. Усе ок!

Но через неделю клиент жалуется — не работает. Не принимает банковский пароль! Незодоровая фигня какая то. Не было такого. Пробуем по телефону и руками по буквам, и уже в нарушение копипастом! Хренушки там! Не проходит. Ну ее нахрен! Лочим его на сервере — не дай бог хакнули или еще что. Село-селом, но хрен знает, по каким сайтам он лазает. Выезжаю к нему.

Сажусь за комп. Ввожу пароль и тут из динамиков такой знакомый щелчок затвора!

Ага. Все верно! Пунтосвичер. Который убежден, что — 78yTN1jo, это 78Нет1jn.

А почему раньше не вылезло? А потому, что его не было. Десятилетний сынуля узнал о такой крутецкой программулине, которая сама меняет текст после ввода на косячной раскладке, и решил ее установить. Чем и добавил папе несколько дней гемора в виде поездок в банк за несколько километров.

В итоге сын опиздюлен на всякий случай, а папа со всей своей бухгалтерией, через неделю переезжает на свой собственный свежекупленный ноут.

История третья — грустная и поучительная.

То же село. Временной промежуток не помню. Но уже другой клиент. Пекарня. Не хлебозавод, но таки продукция разъезжается и по соседним районам.

Помимо самих работников пекарни в штате три бухгалтера и пара экономистов.

Запомнились мне регулярными выездами для восстановления клиент-банка.

Ибо один из бухглатеров — молодой парень лет 25, он же выполнял роль эникейщика. Но поскольку спец был такого уровня, что все проблемы с компом решал переустановкой винды, то самостоятельно восстановить банковское ПО он не рисковал. И работал с клиент-банком именно он.

Это был самый мощный компьютер в бухгалерии и при проведении восстановительных работ я постоянно наблюдал такую картину: кракнутый антивирь, с базами «девятьсот лохматого года» и неизменные пиратские и онлайн игрухи. Сразу стало понятно - кто подбирал конфиг этой банки и кой там игровая видяха.

Из раза в раз всей бухгалтерии напоминаю о приложении-рекомендации и недопустимости подобного.

Но все так же из раза в раз — всем похер.

Так продолжалось года два или три.

Пока в понедельник вечером не начался кипиш — сперли деньги с расчетного счета.

Глазами парня-бухгалтера клиента: пятница, скоро конец рабочего дня — скорее бы домой! Формируем платежки. Подписываем. Отправляем в банк. Ушло. Ой! Винда упала! Да хер по ней! В понедельник подниму. В понедельник: сносим к едерене фени винду… Формат С. Погнали ставить с нуля все свеженькое с «пылу с жару». Старанно: поставщики звонят-интересуются: «где наши бабки?» Блябудупереводил! В банк за выпиской. А там денюжки ушли ИП Пупкину. Караул! Милиция! Банк ограбил!

Глазами операциониста: пятница, скоро конец рабочего для. От клиента прилетает платежка. Назначение платежа «ИП Пупкину за грузовую «Газель». Электронная подпись проверку прошла? Программа говорит, что все норм. Проводим. Денюжки ушли ИП Пупкину.

Моими глазами при просмотре логов: вот пакет — шифрованный, подписанный — ЭЦП (электронно-цифровая подпись) не нарушена и проверку прошла. Херали вам еще надо?

Вопрос эскалировали безопасности. Совместно с полицией выдергивали остаточные данные после форматирования винта и вырисовывается следующая картина (опять же с их слов примерно, в деталях могу ошибваться): парниша так и не поменял своего мнения насчет антивиря и безопасности в целом. В его голове почему-то напрочь «засела мысля», что кракнутый и без обновления баз «крутой нод32-каспер-докторвэб» лучше чем ХОТЯ БЫ бесплатный, но обновляемый аваст-семантек-панда (и еще дохрена кто). И лазая по интернету натыкается на сайт «формируй отчетность в налоговую одним кликом». А парниша, оказывается, вел не только на этом компе не только эту организацию, но и колымил — сопровождал пяток мелких ипшников. А тут такое! Одним кликом! Вообще нихрена не делать и рубить бабло! Скачивает он эту ПО, а там (кто бы сомневался) сидит даже не вирус, а целая программа. И предназначение данной программы спать и ждать. Ждать платежки. Как уж прям точно она работает не скажу, но на пальцах дело происходит так: клиент формирует платежку. А вот перед подписанием ЭЦП меняет реквизиты в платежке. На экране у тебя все нормально. А реально ты подписываешь перевод денег ИП Пупкину. ПО жутко специализированное, но ловилось через два-три дня «на ура!» даже бесплатными антивирями уже в момент скачивания. Паленая платежка уходит в банк без нарушения подписи, но с неверными реквизитами. После сеанса связи эта ПО начинает убивать саму винду. Что бы не успели провести быстро сеанс и увидеть, что бабло ушло не туда и отозвать операцию. А хозяин счета уже эти деньги отправляет дальше по другим счетам. Ушло около семиста тысяч. И чем все кончилось, я уже не знаю. Вроде в суд клиент не подавал.

История четвертая — необычно неадекватная.

Это мне уже рассказывал безопасник с другого банка.

Произошла она с человеком попавшим в такую же ситуацию.

Но этот паренек, в отличии от героя предыдущей истории, был мажором и очень неприятным типом. Наглый, хамовитый, вызывающе-одетый мажорчик. Было у него открыто несколько счетов, между которыми он гонял бабло. В итоге некоторые организации банкротил — другие открывал. Короче мутная для большинства схема.

И вот попался точно так же — с основного счета денюжки помахали ручкой и сказали «пока-пока».

Но у него был дружок-юрист. Правда такой же наглый, нахрапистый и безграмотный.

И вон они кооперируются и приходят с ТРЕБОВАНИЕМ, что бы банк за свой счет восстановил утерянную сумму. Дальше со слов приятеля-беза. Но поскольку рассказывалось это в неформальной обстановке стилистику я сохраню:

- Шеф говорит: «пойдем на собрание. Будешь присутствовать, как технический специалист». Ну надо — значит надо. Заходим с ним в конференц-зал. А там собрание целое: заместитель директора, начальник АйТишников, начальник отдела «юрморд», мы и два этих хлыща. Наглые как трактора. В креслах развалились чуть ли не лежат. И этот юристик начинает «бу-бу-бу согласно бу-бу-бу, на основании бла-бла-бла, мы требуем с банка возмещения суммы в размере «дохуя» и моральной компенсации в размере «два-раза-дохуя». Иначе будем вынуждены обратиться в суд и осветить данную проблему в СМИ, что подпортит репутацию банка!». В дело вступает начальник отдела «юрморд»: «согласно заключенному с вами договору бла-бла-бла банк обязан проводить операции бля-бла-бла вот копия договора подписанного вами. Такого-то числа Вы прислали платежное поручение...». Мажорик - охеревший в край! Даже не достлушивает и перебивает: «я вам никаких платежек не привозил! Так что деньги вы у меня увели незаконно!» «Вы прислали платежное поручение в электронной форме. ПП проверку ЭЦП прошла…» «ЭЦП-шмецепе! Херня какая! Вы там сам себе что-то выдали...» Тут уже не выдерживает мой шеф: «эта, как вы выразились «шмэцепе» генеруется на основании криптозащиты бла-бла-ба — вот копия лицензии и сертификата… а вот распечатка сертификата ЭЦП, подписанная ВАМИ.. Согласно договору, подписанному Вами бла-бла-бла и приложениям номер такой-то и такой-то, подписанными ВАМИ…» И с каждым словом эти хлыщи начинают бледнеть… До него начинает доходить, что как в фильме Гая Ричи «добротной пиздятиной тут и не пахнет». А пахнет обломом! И тут уже директор: «Ну согласно данным фактом, должен признать, что вины банка в данной ситуации я не вижу… Но если вы с нами не согласны и считаете должным обратиться в суд, то это Ваше право. С нашей же стороны мы можем гарантировать сотрудничество и оказывать посильную помощь правоохранительным. Но опять же на бумагах Ваши подписи...» И тут этот хер запрыгивает на стол и начинает ЖРАТЬ ДОКУМЕНТЫ!!! Все в полном шоке! А я сижу и думаю: сказать этому долбоебу, что это ксерокопии? Или вдруг у него целлюлозы в организме не хватает?

Ни в какой суд этот чудила-любитель бумаги разумеется не пошел.

Как сказал Данила Багров: «сила — она в правде». А за этим чудаком с буквы М правды ни на грош.

Как-то вот так...