Камрады, у меня очень важная для вас всех информация, касающаяся мошенничества в интернете.

Как многие знают, вчера был разбор полетов в теме о продаже iPhone X 256 Gb (http://www.touareg-club.net/forum/showthread.php?t=104115).
Якобы был взломан аккаунт пользователя sergejkov и от его имени был размещено объявление о продаже с заманчивой ценой. Несколько людей рискнули купить.

Мне пришлось разбираться, как же это все случилось. Аккаунты не взломали. Злоумышленники знали логин и пароль, поэтому форум их беспрепятственно пустил. Самый главный вопрос, откуда же они знали? А все оказалось очень просто.

Многие люди не заморачиваются и используют один и тот же логин+пароль на многих сайтах. Один из немногих сайтов скомпрометировали и логин+пароль стал известен злоумышленникам. Далее они проверяют, где еще подходит данный логин+пароль и таким образом собирают целую коллекцию сайтов, где могут входить как владельцы аккаунта.

Пример
Вы используете почту petr0vich_the_best@mail.ru на сайте mail.ru и пароль yanelox1996
А также имеете аккаунты на сайтах

www.touareg-club.net Логин petr0vich пароль yanelox1996 почта petr0vich_the_best@mail.ru
www.audi-club.ru Логин petr0vich пароль yanelox1996 почта petr0vich_the_best@mail.ru
bmwclub.ru Логин petr0vich пароль yanelox1996 почта petr0vich_the_best@mail.ru
drive2.ru Логин petr0vich пароль yanelox1996 почта petr0vich_the_best@mail.ru
patsanchki-77-region.ru Логин petr0vich пароль yanelox1996 почта petr0vich_the_best@mail.ru

И вот сайт patsanchki-77-region.ru взламывают и база пользователей и паролей становиться доступна злоумышленникам. В профиле они узнают вашу почту и пробуют зайти на нее с помощью вашего пароля yanelox1996 и таки умеют успех.
На почте они находят кучу сайтов, на которые вы заходите, которые присылают вам уведомления и т.д. И они их все проверяют. В итоге они как и вы имеете доступ к вашим учетным данным на всех перечисленных сайтах.

Такие аккаунты собирают в коллекции и выставляют на продажу для мошенников.
Мошенник покупает такой аккаунт и совершает необходимую аферу.
Все счастливы. Обманутый пишет в полицию, владелец аккаунта удивлен и шокирован, мошенники кутят с проститутками, админ сайта разбирается, что же за херня произошла.
Все при деле. Вот к чему привело использование одинакового пароля на нескольких сайтах.

Вариантов схемы получения аккаунтов множество. При этом ломать сайт совершенно не нужно. Основные:
1. Кража почты, которую вы забросили. С ее помощью можно потом восстановить доступы к многим сайтам, где вы ее оставляли в качестве регистрируемой.
2. Утечка данных на одном сайте, где вы использовали свой любимый пароль yanelox1996 (злоумышленники перебирают потом схожие по тематике сайты и находят ваш логин пароль)
3. Сами владельцы продают свой аккаунт злоумышленникам, когда им уже не интересен сайт.

Далее базы таких аккаунтов спокойно продаются в сети.
Я нашел сегодня несколько таких сайтов.
Можно купить более 600 аккаунтов на Drive2, более 300 на Audi Club
Более 50 на Touareg Club и так далее.
Цены на наши аккаунты от 150 рублей до 4000 рублей.
Аккаунт sergejkov стоил 3500 рублей.
Я смог идентифицировать более десятка аккаунтов и уже их заблокировал.
Буду отслеживать и дальше. Но все админы всех сайтов бессильны, если пользователь использует один пароль на всех сайтах.
Да, можно сделать двухфакторную аутентификацию, скан сетчатки глаза, анализ мочи за последние 24 часа. Надо ли?

Помните, что в интернете вы всегда рискуете отдать деньги злоумышленникам.
Если покупаете что-то, свяжитесь с покупателем лично, договоритесь о встрече.
Если вы в другом городе - попросите знакомого камрада из этого города совершить покупку. Попросите проверить подозрительного камрада модераторов или админов, в большинстве случаев обман станет виден сразу. Используйте сервис гарант или как там это правильно называют?
Вообщем не выключайте голову, когда увидите сладкую цену.

Пожалуйста, все кто использует одинаковый пароль на нескольких сайтах. Смените его.
Сделать это можно в своем кабинете - forum/profile.php?do=editpassword (http://www.touareg-club.net/forum/profile.php?do=editpassword)

Если вам сложно помнить разные пароли, а хранить их негде. Можно использовать самый простой пример.
Есть несколько сайтов, где вы зарегистрированы
touareg-club.net
audi-club.ru
zhenskie-pipiski.com

Берем кодовое слово nelox2018
Смотрим на имя сайта touareg-club.net берем первую и последнюю букву в названии. Это T и B, кол-во букв 11. И добавляем к кодовому слову nelox2018tb11
Смотрим на audi-club.ru первая - A, последняя B, кол-во букв 8 получаем nelox2018ab8
Смотрим на zhenskie-pipiski.com первая Z, последняя I, кол-во 15 получаем nelox2018zi15

Даже если вы забыли пароль, но помните его основу, взглянули на имя сайта и быстренько вспомнили.
Алгоритм придумайте себе сами, какой будет вам удобнее. Смысл я думаю понятен.


Целую, ваша Бабууушка

А я с ним имел дела... до взлома еще))

freezer273, с кем именно? :hi:

И вот сайт patsanchki-77-region.ru взламывают и база пользователей и паролей становиться доступна злоумышленникам. В профиле они узнают вашу почту и пробуют зайти на нее с помощью вашего пароля yanelox1996 и таки умеют успех.

Брависсимо!:mlol: Киев, Киев - Одесса мама!

Безопасность превыше всего, пароль нужно менять хотябы раз в месяц!

То что на сайт проникают злоумышленники - это проблема не пользователей а владельцев сайта.
Если я буду менять пароли каждый месяц на каждом сайте на котором зарегистрирован - извините можно сойти с ума

Когда на почту или сайт заходят с другого устройства, вы должны незамедлительно отправить письмо о том что был выполнен вход с другого устройства, IP такой то зарегистрирован там то

Либо просто рядом с ником чтоб светилась надпись - человек находится на сайте с другого устройства
И оставить за пользователями право зарегистрировать устройство ( к примеру ноут бабушки или мобильник жены с которого сидит )

Все остальные просьбы сменить пароль и боа бла бла - это просто вода и нежелание заниматься разрешением проблем сайта

А для тех кто занимается мультирегистрацией ввести сканирование сетчатки глаза.:russian_ru:

то о чем я написал - уже давно практикуется на других ресурсах
банковские приложения или торговые площадки

если на форуме есть финасовый раздел - значит есть риск кидка
и чтоб его минимизировать нужно поработать над форумом

PATRIARKH, Вам то это актуально как никому. Только ради барахолки тут и сидите.

А для тех кто занимается мультирегистрацией ввести сканирование сетчатки глаза.:russian_ru:

и в случае чего - :aggressive: :vava:

Добавлено через 1 минуту 47 секунд
То что на сайт проникают злоумышленники - это проблема не пользователей а владельцев сайта
то, что триппер существует - проблема органов здравоохранения, но это не повод совать куда попало не думая... :hi:

То что на сайт проникают злоумышленники - это проблема не пользователей а владельцев сайта.
Если я буду менять пароли каждый месяц на каждом сайте на котором зарегистрирован - извините можно сойти с ума

Когда на почту или сайт заходят с другого устройства, вы должны незамедлительно отправить письмо о том что был выполнен вход с другого устройства, IP такой то зарегистрирован там то

Либо просто рядом с ником чтоб светилась надпись - человек находится на сайте с другого устройства
И оставить за пользователями право зарегистрировать устройство ( к примеру ноут бабушки или мобильник жены с которого сидит )

Все остальные просьбы сменить пароль и боа бла бла - это просто вода и нежелание заниматься разрешением проблем сайта


Вы внимательно читали первый пост? Там четко и ясно описана схема, как у злоумышленников появляется доступ. И если Touareg Club отправит 10 писем уведомлений, а потом робот позвонит пользователю и скажет, что в его профиль зашли - как это спасает от утечки пароля?
В первом сообщении речь шла о недопустимости одинаковых паролей на всех сайтах.
Ваше предложение идет исключительно о мерах, когда уже пароль попал в чужие руки.

Расскажите мне, как защитить от кидка в случае, когда пользователь сам продал свой профиль злоумышленникам? (такой персонаж проигнорирует все алерты о входе с другого устройства)
Всегда приятно поучиться у профессионала, надеюсь не диванного эксперта :vawe:

Обязательным условием можете ввести смену паролей. По вашей инициативе буквально с этой секунды все 10000 пользователей клуба могут в момент выйти из системы с предложением сменить пароль + добавить свой номер телефона ( обязательное условие ) на который придёт смс с подтверждением смены пароля

Опять же - на всех более менее раскрученных ресурсах, эта процедура уже давно в порядке вещей. Каждые 3 месяца меняешь пароль и подтверждаешь номер

Аккаунт продать можно! Но я вам ещё раз повторяю - рядом с ником добавить надпись не СУПЕРТУАРЕГИСТ или БЫВАЛЫЙ СУПЕРПУПЕРТУАРЕГИСТ - а " пользователь вошёл на сайт со стороннего устройства" или что то в этом духе

Приятно общаться с модераторами / администраторами с большой буквы, если конечно они не диванные админы

Добавлено через 2 минуты 44 секунды
PATRIARKH, Вам то это актуально как никому. Только ради барахолки тут и сидите.
Я могу тут "сидеть" в любом разделе каком захочу
Правилами форума это не запрещено

PATRIARKH, да ради Бога, Вы их и так нарушаете постоянным флудом в том разделе, да и мультирегистрацией как Вас там супчик или бульончик забаненный.

Аккаунт продать можно! Но я вам ещё раз повторяю - рядом с ником добавить надпись не СУПЕРТУАРЕГИСТ или БЫВАЛЫЙ СУПЕРПУПЕРТУАРЕГИСТ - а " пользователь вошёл на сайт со стороннего устройства" или что то в этом духе

На первый взгляд отличное решение. У каждого пользователя (по статистике) более 1 устройства. На протяжении дня на форум пользователь заходит с работы, дома и мобильного.
Значит в таком случае мы должны добавить возможность удалять и добавлять устройства в аккаунт. При продаже аккаунта плохой пользователь добавляет устройства злоумышленника в аккаунт. И такая надпись не появляется.

Тогда иначе
К примеру можно заходить с работы, из дому с мобилки и т.д. и т.п.

Но - у всех у нас есть основое устройство с которого мы заходом чаще всего
Это устройство добавить как единственное, а остальные оставить как "сторонние"

Если человек будет что то продавать, то покупатель может попросить его подтвердить свою порядочность входом на форум с того самого единственного устройства или IP адреса ( так как устройство можно продать, поломать )

Но у нас есть мобильный телефон
Который люди не меняют десятками лет ( особенно те, с кем действительно стоит иметь дело )
Вот если этот юзер сменил устройство или по каким либо причинам не может войти с него на форум, то в очередь вступает номер телефона который сменить нельзя. Сменил - ну значит перерегься с новым номером и продавай как "новичок" или "гость"

Или вы думаете что к аккаунтам начнут и телефоны продавать?

Опять же, гостю запретить просмотр барахолки до набора 50 постов на форуме
Посты должны быть со смыслом а не просто скачки из темы в тему с постами типа "привет" или "да я с вами согласен"

В теории красиво, на практике не очень. Факторы которые надо учесть. Простота использования, бюджет на подобные системы, возможность подтверждать свою личность в автоматическом режиме.
Если все это городить только из-за барахолки проще проводить их через гарант сервисы за счет клуба. Ибо бюджет сделок несопоставим с затратами на усложнение аккаунтов. Этим мы решим только аутентификацию, потом встает вопрос отправки плохого товара, который на фотках красивый.
Поэтому это все на первый взгляд легко и просто :vawe:

Давно было предложение, что все сделки или сделки тех, кто сомневается через доверенное лицо.
Средства перечисляются доверенному лицу, сообщается продавцу и он переправляет товар покупателю, если все в порядке, продавец получает сумму от доверенного лица. Все!

А я вообще считаю, что туарег клуб не торговая площадка. И надо в барахолке тупо повесить надпись большую. Что все сделки Вы совершаете на свой страх и риск. Чтоб включали голову и не ныли потом, а коли попали есть тема «осторожно мошенники»

А я вообще считаю, что туарег клуб не торговая площадка. И надо в барахолке тупо повесить надпись большую. Что все сделки Вы совершаете на свой страх и риск. Чтоб включали голову и не ныли потом, а коли попали есть тема «осторожно мошенники»
Так это вроде и так понятно, что все сделки в интернете это риск, люди все взрослые, зачем такие надписи, каждый сам решает как ему рисковать или нет...:smile:

на парочке форумов, при очень тесном разговоре с админами, однажды для себя выяснил

для админа узнать пароль пользователя - не проблема

выяснять я это начал после того, как некоторые модераторы/админы знали некоторые нюансы моей личной переписки
думаю что к торговле аккаунтами в сетях - к этому причастны и админы форумов
много учеток которыми уже не пользуются, а за работать с "мертвых душ" - соблазн

так что я вообще всегда звоню и просто договариваюсь о встрече
уже лет 5 как минимум

ну а остальное - действительно на свой страх и риск

на парочке форумов, при очень тесном разговоре с админами, однажды для себя выяснил

для админа узнать пароль пользователя - не проблема

Ну вот, а я думал человек что-то понимает в этом, а оказался диванным экспертом.

Все современные и "правильные" движки форума хранят пароли в зашифрованном виде, как раз для того чтобы у команды сайта не возникло соблазна подсмотреть чужой пароль.
Есть вариант при большой удачи его расшифровать, но это будет зависеть от сложности пароля и т.д. Админу проще сбросить пароль на любой другой, правда пользователь об этом узнает.

А подруга друга моей собачки сказала, что админы могут подсматривать через встроенную вебкамеру. Надо заклеивать срочно. И на телефоне обязательно :biggrin:

Надо заклеивать срочно. И на телефоне обязательно
:eek: А есть спец. клей для камеры???:wacko:

:eek: А есть спец. клей для камеры???:wacko:

Придется варить самому :biggrin:

Есть вариант при большой удачи его расшифровать

:cool:

PATRIARKH, знания и теория закончились?
Или погуглишь и позже напишешь?

зачем хамить?
да и я к вам на вы, а вы ко мне на ты

предложение от меня дельное, вы получили
сослались толи на нехватку денег толи на отсутствие желания реализовывать это

вывод - тема о том, как пробить свой ник используя первую и последнюю букву сайта добавив цифру соответствующую количеству буков использованных в названии сайта

а к разрешению проблем сайта данная тема никаким образом не причастна
так, поговорить собрались ниочом

И ведь всего то навсего попросили сменить пароль:biggrin:

И ведь всего то навсего попросили сменить пароль:biggrin:

Не все так просто :biggrin:
http://img0.joyreactor.cc/pics/post/безопасность-песочница-907182.jpeg

И ведь всего то навсего попросили сменить пароль:biggrin:

и ведь всего то навсего, предложили ввести смену пароля как "автоматическое уведомление о обязательной смене пароля" раз скажем, в три месяца
попросили не давать ГОСТЯМ доступ в барахолку до определенного набора постов со смыслом

что вы из этого воплотили в реальность?

зачем хамить?
да и я к вам на вы, а вы ко мне на ты

предложение от меня дельное, вы получили
сослались толи на нехватку денег толи на отсутствие желания реализовывать это

вывод - тема о том, как пробить свой ник используя первую и последнюю букву сайта добавив цифру соответствующую количеству буков использованных в названии сайта

а к разрешению проблем сайта данная тема никаким образом не причастна
так, поговорить собрались ниочом

Никакого хамства.:vawe: Про ты и вы - пункт 2.6 правил форума. :hi:
К сожалению предложений эффективных пока не поступило. Только рассуждения в теории.
Никто на нехватку средств не ссылался, не нужно уводить суть дискуссии в сторону.

Тролли всегда допускают одну ошибку. Забывают написанное пару постов назад.
В первом случае пароль менять раз в месяц нереально, а потом идет предложение менять раз в 3 месяца. Или 2 месяца играют роль?

Добавлено через 2 минуты 7 секунд

попросили не давать ГОСТЯМ доступ в барахолку до определенного набора постов со смыслом

что вы из этого воплотили в реальность?

Сразу после регистрации нельзя создать тему в барахолке. Я предлагаю все же хорошенько подготовиться и потом давать ценные советы. Они сначала должны быть проверены.

Никакого хамства.:vawe:

Тролли всегда допускают одну ошибку


это точно
они не умеют отличать хамство от дружелюбного общения

ADDEN, Сер а чота не понял,пароль при реге вроде генерируется и присылается в почтовый ящер,как его менять то и зачем:russian_ru:

ADDEN, Сер а чота не понял,пароль при реге вроде генерируется и присылается в почтовый ящер,как его менять то и зачем:russian_ru:

Чего это вдруг?
Сам создаешь пароль при регистрации:wink:

нуахринетьнивстать
я один штоле кому прислали пароль:russian_ru:

Тебе наверное пришло письмо с подтверждением о регистрации

ине пришло письмо с паролем,я его копирую вставляю и вхожу на сайт:biggrin:
хорошо что я покупаю тлф в магазине и не покупаю айфоны:biggrin: а то бы жестоко въехал бы в пень:russian_ru:

ине пришло письмо с паролем,я его копирую вставляю и вхожу на сайт:biggrin:

Ты на особом положении:biggrin:
Твой пароль знают все.

Ты на особом положении:biggrin:
Твой пароль знают все.

О кайф:biggrin:
Передайте бабУшке тогда привет

Вот ты смеешься
А завтра киевлянин и тебе ментами пригрозит прилюдно
Будешь посещать органы и отвечать на некоторые неудобные вопросы

Вот ты смеешься
А завтра киевлянин и тебе ментами пригрозит прилюдно
Будешь посещать органы и отвечать на некоторые неудобные вопросы

Да прям ты чо

Вот ты смеешься
А завтра киевлянин и тебе ментами пригрозит прилюдно
Будешь посещать органы и отвечать на некоторые неудобные вопросы

новости на Вас действуют не адекватно! Смеритесь.

Какие ещё новости? Не мешай сюда политику

Тему про Айфон X прочти до конца
В барахолке

да не упираюсь я :frown:
как помню -- так и пишу, а меня пытаются поймать на несоответствии, пугают полицией(хотя, это чуть ли не первое что я сказал сделать пострадавшим).... не понимаю.
нафига тогда я как угорелый тарабанил в форум, в банки, админам? конечно же чтоб помочь собратьям хоть как-то. В итоге был обвинен админом во всех тяжких, а он чист аки агнец пасхальный. Прикольно -- как в г**не искупали.

новости на Вас действуют не адекватно! Смеритесь.
От слова мера или от слова мир?

Не стал создавать отдельной темы, видов мошенничества все больше и больше, обозначу сегодняшний случай. Пришло письмо на официальный рабочий ящик, якобы от REG.RU, о том что истекает срок оплаты домена. Я оплатил продление заблаговременно, поэтому позвонил узнать, что за дела, есть их письмо что до марта 2021 г. все оплачено. Оказалось - письмо с этого адреса
REG <no-reply@info.pay> - мошенническое. Будьте бдительны!

"...Современная автомобильная "замута", которая появилась во время самоизоляции:
- пока люди сидят дома и работают на удаленке, отдельно взятые персонажи придумывают схемы для обмана людей...
Эта "автозамута" произошла несколько дней назад в Москве:
- Менеджер автосалона обманул 3 клиентов,
- также обманул автовыкуп,
- и подставил свой дилерский центр.
Кроме того, у одного из клиентов он обманным путем взял volkswagen touareg, который был продан..."
Что именно случилось и как себя обезопасить от наглого обмана, смотрите в этом видео:
https://www.youtube.com/watch?v=qWhGpcgcmvk
- Цена ошибки для обманутых клиентов составила 6.000.000руб !!!

Gennady512 Как мало человеку надо чтобы загубить свою жизнь...

На днях в ватсап написали по объявлению с drom.ru в продаже ли колёса, я ответил что в продаже. Спросили - готовы ли отправить в другой город, тоже да.
Спросили пользовался ли я безопасной сделкой от drom.ru
На мой отрицательный ответ мне прислали скрин с “алгоритмом» и написали что это просто и удобно. И когда удобно вызвать курьера, на сегодня или завтра?
Тут у меня начались подозрения. Комплект колёс не новый, а про него ни одного вопроса. Ну и как обычно, при мошенничестве закидывают инфой и не дают времени на раздумья. Пока я лазил на сайте дрома (в поисках этой безопасной сделки) мне «покупатель» скинул мне ссылку с «оплатой», https:\\drom-oplata\цифры
Я пробил сайт, он сделан 25 дней назад. Чуть позже нашёл описание на дроме, где есть скрины, из которых понятно что вся сделка у них проходит на площадке дрома.
После того, как я понял что это развод, для интереса перешёл по присланной ссылке, открылся какой-то интерфейс, с моим объявлением и фото, в нем значилось что «покупатель» внёс предоплату за товар, и чтобы получить эту сумму- нужно ввести данные карты и cvc-код :rolleyes:

Artalex, :mlol:

Artalex,

:biggrin: Написал бы ему адрес, где у вас главная ментовка находится.

Kaa80, до адреса даже дело не дошло, надо было по их схеме срочно Деньги получать))

Причём номер Нижегородский, а данные якобы покупателя в Вологде :biggrin:

Добавлено через 2 минуты 13 секунд
Будьте бдительны, камрады! :cool:

Kaa80, до адреса даже дело не дошло, надо было по их схеме срочно Деньги получать))

Причём номер Нижегородский, а данные якобы покупателя в Вологде :biggrin:

Добавлено через 2 минуты 13 секунд
Будьте бдительны, камрады! :cool:

А, ну тогда- "деньги получил. Спасибо за покупку" :biggrin:
Сейчас этой хрени развелось:redface: - устал юморить со "службами техподдержки банков".
Родителям каждую неделю напоминаю- слать всех в сад.

Родителям каждую неделю напоминаю- слать всех в сад.

:yes: своим старикам категорически запрещаю отвечать на незнакомые номера...

На днях в ватсап написали по объявлению с drom.ru в продаже ли колёса, я ответил что в продаже.

Один в один, как с авито-доставкой пытаются развести.