Опрос, конечно же, некорректный. И сам вопрос и ответы слишком сложные, и воспринимаются неоднозначно. На мой взгляд, должны быть сразу три опроса: 1. Кто виноват во взломе моего аккаунта: 1) я сам 2) злоумышленник 3) форум СМ
2. Кто должен нести финансовые потери по фейковой сделке: 1) продавец монеты 2) покупатель монеты 3) владелец аккаунта 4) СМ 5) тот, кто их и понёс 6) все поровну 7) крайний
3. Что сделать для повышения безопасности сделок на СМ? 1) усилить защиту (технические действия СМ на сайте) 2) не проводить сделки в личке 3) не проводить сделки без доп верификации 4) проводить сделки через гаранта (посредника, СМ, агента) 5) установить сложный пароль и менять его каждый месяц 6) не отправлять монеты без предоплаты 7) не покупать монеты с предоплатой 8) ______ иной ответ.
met пишет: допустила в подведомственной территории подобный кардебалет.
В отличие от вокзала на СМ форумчане торгуют друг с другом вполне легально, так что ваши аналогии не очень удачные. Можно запретить торговать без паспорта, привязки к телефону, фотографии и еще много чего. Но мы не можем запретить неосмотрительность и глупость, когда люди посылают деньги и товары в никуда.
В том то и проблема, что торговая площадка де факто есть, а сопутствующих механизмов безопасности нет. Ну и есть мнение, что человек имеет право быть не очень умён, и за это ему ничего не должно быть...
met пишет: а сопутствующих механизмов безопасности нет.
Ну я вроде выше писал, что добровольность это часть проблемы, а не часть решения. Поскольку речь идет, зачастую, не он двухсотрублевых сделках, вы имеете полное моральное право потребовать от всех форумчан, желающих продавать и покупать в торговом разделе, мягкую деанонимизацию.
Иван пишет: Виновен однозначно сам "пострадавший от этих действий не предпринявший ни каких дополнительных мер предосторожности"!
Ведь оплачивая какую-нибудь квитанцию, наверное сто раз проверяете реквизиты. Почему бы и здесь при оплате не проверить ещё раз.
Хорошее слово - "однозначно"...толковое такое, умные государевы мужи часто используют,когда не хотят что-либо мужику объяснять..... А ответьте сами - КАК проверить правильность реквизитов? ( только не путайте с тем, что вы указали про квитанцию, не про мех.набор циfр, где семь и восемь перепутать можно.)
У большинства продавцов в нижней подписи написаны первые и последние цифры номера карты, уж с ними-то можно сравнить реквизиты присланные по почте. И вообще, думаю, нужно рассмотреть такое правило, что все продавцы обязаны писать первые и последние цифры номера карты.
Иван сказал "И вообще, думаю, нужно рассмотреть такое правило, что все продавцы обязаны писать первые и последние цифры номера карты." А, покупатель какие цифры должен писать? Середние или полевее? Надо конкретнее решать! Тут форум или торговая площадка.
Carambol пишет: Иван сказал "И вообще, думаю, нужно рассмотреть такое правило, что все продавцы обязаны писать первые и последние цифры номера карты." А, покупатель какие цифры должен писать? Середние или полевее? Надо конкретнее решать! Тут форум или торговая площадка.
это чтоб когда ему укажут куда переводить - он мог сравнить...
хотя взломщикам ничто не мешает в первую минуту подпись сменить на нужную комбинацию.... со своей картой уже
Ответственность должны нести мошенники и неработающий в нашей стране институт полиции. К сожалению, ломают не только тех простачков, кто вводит свои пароли по фишинговым ссылкам. А простые пароли сейчас уже ни один почтовый провайдер не позволит вам завести.
Со мной работает один человек. Ему очень захотелось завести для себя и жены почтовые ящики вида имя.фамилия@mail.ru и имя.фамилия@yandex.ru Но все эти ящики уже были заняты. Он написал их владельцам и предложил денежку за уступку адресов - ему отказали.
Тогда он обратился по первой же ссылке "взломаю любую почту". Ему ответили - нет проблем. За сравнительно небольшую сумму в течение недели он получил себе все 4 ящика.
Ему стало любопытно, он завел себе ящик на mail.ru со сложным рандомным паролем, нигде его не светил и обратился к тем же взломщикам с просьбой взломать его. Через неделю его взломали и ящик увели.
Не знаю, как они это делают. Через дыры в софте, инсайдеров у провайдеров или просто сажают нужному человеку keylogger, но на заказ взламывают.
wwww1111 пишет: Не знаю, как они это делают. Через дыры в софте, инсайдеров у провайдеров или просто сажают нужному человеку keylogger, но на заказ взламывают.
Очень сомнительно, что через инсайдеров - очень мало людей даже в больших организациях имеют соответствующие привилегии, и эти люди держатся за свою работу. В итоге такой инсайдер будет стоить ОЧЕНЬ дорого. Взламывают почту вот примерно так: Вы описали способ 10 из этой статьи)) + я бы еще добавил, что часто одинаковые логин/пароль люди используют много раз на разных сайтах, и как итог базы данных сайтов утекают в даркнет, а там это дело можно просто купить за недорого.
Сделанные мной предложения действительны 24 часа, далее просьба, подтверждать их в личке.
wwww1111 пишет: и неработающий в нашей стране институт полиции.
Меня сегодня ночью тоже взломали Стоит во дворе мой боевой зеленый тазик, изделие № 7( Пароль был..., сигналка) . Сперли АКБ и магнитолу ( вот про магнитолу у меня 100 вопросов - а нафига ее то?? ) Понятно что АКБ на любой приемке 500-600р и можно быть весь день счастливым, если в одну харю. Ну да , полицию вызвал.. но не думаю что будут какие то перспективы, кроме как самому понести материальные затраты ( купить за свой счет ) .... Ну или выяснить самому и разобрать у них всю подвеску у меня шансов больше ...
В вопросе «кто виноват», как я полагаю, важно понять только одно: произошёл ли вход в аккаунт по паролю или нет. Если по паролю - то виноват владелец аккаунта. Или, во всяком случае, точно не виноват тот, кто не является владельцем этого аккаунта (продавец/покупатель/СМ/любое иное лицо). Если же вход в аккаунт произошёл без пароля (т.е. по причине уязвимости сайта СМ), то виноват СМ. Вот к чему я клоню. Т.е. если защита сайта слаба, то ее нужно усиливать до требуемого уровня.
А что касается вопроса является ли СМ форумом или торговой площадкой - то этого вопроса нет. Это и форум и торговая площадка. Как форум, наверное, не страшен взлом аккаунтов. А вот как торговая площадка - тут безопасность обеспечить придётся.
Попробую высказать своё скромное мнение-предложение:
1. Для всех продавцов сделать отдельное, обязательное поле (в не зависимости, платный аккаунт или нет), где будут частично заполнены реквизиты для оплаты (первые и последние цифры номеров карт и т.п.); 2. Для этого поля продумать отдельный пароль, какую-либо верификацию и т.п.(чтобы дополнительно затруднить взлом).
Может быть начать с этого? Ведь мы же все здесь выступаем за честность и порядочность, так давайте будем выдвигать предложения в этом направлении.
p.s. понимаю, что такие нововведения потребуют финансовых вливаний. Частично можно будет решить этот вопрос, введением дополнительных блоков рекламы между сообщениями (к примеру, пусть каждое 3 и 53 сообщение будет рекламным и т.п.)
Например, мобильным телефоном. Сделать какое-то окошко в профиле, куда можно будет вбить 4 цифры карты, но менять их можно только по смс. Это несложно.
Но остаются вопросы: - что делать тем продавцам, которые не хотят привязывать телефон, или же это не получается в силу технических обстоятельств. - что делать с покупателями. Как вы видели, со взломанного аккаунта Анохин мошенник ухитрился так заговорить продавца, что тот послал не только торгуемую монету, но еще и петровский рубль.
Например, мобильным телефоном. Сделать какое-то окошко в профиле, куда можно будет вбить 4 цифры карты, но менять их можно только по смс. Это несложно.
Но остаются вопросы: - что делать тем продавцам, которые не хотят привязывать телефон, или же это не получается в силу технических обстоятельств. - что делать с покупателями. Как вы видели, со взломанного аккаунта Анохин мошенник ухитрился так заговорить продавца, что тот послал не только торгуемую монету, но еще и петровский рубль.
1. - "не хотят привязывать тел." - давай, до свидания. Другая площадка ждет тебя. - "не получается" - помочь советом, пошаговой инструкцией. Наладить "технические обстоятельства". 2.А тут продавец = покупателю, и наоборот. Дело не в том, что мошенник заговорил продавца( это и есть его хлеб, как кондуктора - деньги за проезд собирать),, а в том, что продавец отнесся к нему , как к уважаемому-авторитетному члену СМ, а проверить его данные он не смог( возвращаемся к п.№1)
Хабаровск пишет: давай, до свидания. Другая площадка ждет тебя
И начать вы предлагаете... с себя, не так ли. У вас нет щитка под ником, большой рейтинг, отзывы и награды. Ваш аккаунт очень интересен для мошенников. А что. Койнссу например, хороший сайт. Там и продавцы все исключительно с телефонами )))))
Я шучу. А серьезно - есть баланс между удобством и безопасностью, перекос в любую сторону ведет на темную сторону, так что мы будем совершенствовать механизмы защиты, но впадать в крайности вряд ли будем.
Хабаровск пишет: давай, до свидания. Другая площадка ждет тебя
И начать вы предлагаете... с себя, не так ли.
Да,конечно (ну, не начать,это громко звучит - не такая я уж и важная птица..но если это будет необходимое условие на площадке - то да, куда я денусь. Или - давай, до свидания)
Тимофей пишет: что делать с покупателями. Как вы видели, со взломанного аккаунта Анохин мошенник ухитрился так заговорить продавца, что тот послал не только торгуемую монету, но еще и петровский рубль
Тут можно придумать инструкцию: продавец просит у покупателя купившего по постоплате номер карты, который совпадает с тем что у него написано в профиле, после чего переводит на эту карту от 1 до 99 руб, а покупатель должен ему сообщить сколько точно денег он перевел. Если он назовет правильное число, значит он действительно владелец карты и именно тот за кого себя выдает, и лот можно отправлять. В процессе оплаты лота покупатель возвращает эти XX рублей продавцу.
Сделанные мной предложения действительны 24 часа, далее просьба, подтверждать их в личке.
Тимофей пишет: что делать с покупателями. Как вы видели, со взломанного аккаунта Анохин мошенник ухитрился так заговорить продавца, что тот послал не только торгуемую монету, но еще и петровский рубль
Тут можно придумать инструкцию: продавец просит у покупателя купившего по постоплате номер карты, который совпадает с тем что у него написано в профиле, после чего переводит на эту карту от 1 до 99 руб, а покупатель должен ему сообщить сколько точно денег он перевел. Если он назовет правильное число, значит он действительно владелец карты и именно тот за кого себя выдает, и лот можно отправлять. В процессе оплаты лота покупатель возвращает эти XX рублей продавцу.
думаю никто это делать не будет.. всем жаль времени, а тут еще и ответ надо ждать и потом снова перевод делать остатка - очень неудобно и долго... по неделе может быть только оплата одной сделки происходить
Тимофей пишет: что делать с покупателями. Как вы видели, со взломанного аккаунта Анохин мошенник ухитрился так заговорить продавца, что тот послал не только торгуемую монету, но еще и петровский рубль
Тут можно придумать инструкцию: продавец просит у покупателя купившего по постоплате номер карты, который совпадает с тем что у него написано в профиле, после чего переводит на эту карту от 1 до 99 руб, а покупатель должен ему сообщить сколько точно денег он перевел. Если он назовет правильное число, значит он действительно владелец карты и именно тот за кого себя выдает, и лот можно отправлять. В процессе оплаты лота покупатель возвращает эти XX рублей продавцу.
думаю никто это делать не будет.. всем жаль времени, а тут еще и ответ надо ждать и потом снова перевод делать остатка - очень неудобно и долго... по неделе может быть только оплата одной сделки происходить
Да нет, кмк, проблема не в этом будет. Лично мне времени не жалко для того, чтобы убедиться-удостовериться( да и не так это долго, как вы пишете, при добросовестном отношении к делу), тем паче, если лот не копеечный. А вот если профиль с № карты будет взломан, и общаться вы будете с кидалой, и на карту ему переводить условные 3 рубля...он и подтвердит эту сумму без проблем...вот тут я вижу прокол схемы.
budor пишет: Как часто Вы меняете карты? Раз в год найдется 5 минут чтобы уведомить Администрацию о смене реквизитов.
Ну так взломщик и уведомит администрацию о смене карты от имени пользователя. И всё остальное от имени владельца напишет, отпишет и подтвердит. Ведь на форуме не конкретные пользователи с ФИО № паспорта и местом прописки, а НИКи. И кто скрыт под именем, например "Алникпоп", не известно пока не сообщат номер карточки и ФИО. Меры защиты от мошенничества потребуют дополнительной работы и дополнительной оплаты и третьей стороны, что ли. Или эксперт-посредник получающий монету, подтверждающий её подлинность и состояние и дающий или команду на оплату, или сам переводящий полученные ранее деньги от покупателя продавцу. Или создавать дополнительный канал общения, не связанный с форумом с отличными НИКами, или как в кино у шпионов пароль - отзыв, или ... Это бесконечно. Но!!! каждый взломщик почти всегда торопится. Ведь хозяин НИКа может увидеть торговлю от его имени и заблокировать (через администрацию) свой НИК. И от имени постоянных продавцов мошенник продавать не будет, ведь они постоянно на форуме, а для сделки нужно время. И с предложениями в личке надо быть осторожнее, хотя хочется поскорее и подешевле.
Может и совпадение, но почта у меня создана только для СМ, и как отметился в этой теме пришло письмо "......Ваш кошелек успешно пополнен. Балланс кошелька 253.39$. Поспеши израсходовать до 4 декабря. Активировать бонусный счёт на сайте....." и далее ссылка. Почтовый адрес давал только раз, для получения снимков. Поэтому и пишу, что возможно совпадение. Ну, а ежели не совпадение, то вероятно кто то имеет доступ к данным пользователей. Коллеги будьте бдительны, все, что считаете подозрительным надо сносить нахрен. Лучше перебдеть, чем недобдеть!
Судя по тому, что уже произошли несколько эпизодов со взломом аккаунтов на СМ, то, предполагаю, дальше будет хуже. Вряд ли на этом "команда кидал (или энтузиаст-индивидуал)" остановится. Форуму нужно поискать специалиста по защите данных (или стороннего консультанта по этой тематике), что предотвратить массовую атаку на аккаунты пользователей.
Ссылку про 10 методов взлома емэйла почитал. Интересное чтение. И, полагаю, это лишь верхушка айсберга.
Если же размышлять еще более широко и глубоко, то пора бы уже задуматься над превращением СМ в полноценную торговую площадку (это мое личное мнение, естественно) с обеспечением полноценной защиты данных пользователей. Мир кибер-мошенничества не стоит на месте. Не дай бог взломают какой-нибудь сервак СМ из-за устаревших программ или оборудования или уязвимостей каких-нибудь - и тогда вообще есть вероятность потери всей базы информации.
Эти эпизодичные попытки и взломы аккаунтов, что недавно произошли, следует считать первым звоночком, предупреждением.
Walkaw пишет: "......Ваш кошелек успешно пополнен. Балланс кошелька 253.39$. Поспеши израсходовать до 4 декабря. Активировать бонусный счёт на сайте....."
Массовый спам "кошелек пополнен" - это поиск логинов в электронные кошельки, серьезная беда рунета. Вообще адреса емайл собираются через вирусное заражение, если у жертвы поискать на жестком диске, то можно выловить тысячи емайлов, из кеша, временных файлов, почтовых программ и т.д.
За доступ к данным пользователей не беспокойтесь, если бы такое произошло, то ваш аккаунт с 1 отзывом, которому еще и 3 месяцев нет, был бы последним, который мог бы заинтересовать потенциальныъ мошенников )
У нас коммерческий движок от 1С, с ежегодной прологнацией лицензии, все патчи какие есть у нас включаются автоматически; так что за нами мощь и сила. Все "взломы пользователей" происходят из-за взлома их емайлов. Посмотрите 3 последних случая - Мишутка. 986 и Анохин. Вводить двухфаткорную аутентификацию (а это единственное, что защитит аккаунт при потере емайла) мы не будем, это решение принято давно, и пока не настало время его пересматривать.
Где-то недавно на одном форуме была озвучена новая реальность: "Приватность - это новая роскошь". Не могу с этим не согласиться. Защита персональных данных становится все более востребованной.
Ребят, а вы можете пояснить, почему личка на вашем сайте - не защищена? (это к вопросу, кто может быть виноват)
Если взять (к примеру) нюаук, там личка, настройки и еще некоторые места - защищены.
И, кстати, уже несколько раз видел, что при вводе логина и пароля в окне логин уже стоит какой-то ник, который я никогда и нигде не вводил. Забывал отписаться. Было раза три с осени. и все ники разные. Сейчас пришла мысль, нужно было их запомнить и проверить. Есть ли такие на сайте
На моём компе всё чисто. Собственно, и я без антивирусов и прочих программ всегда могу найти то, что проникло "незаконным" путем (если уж это случилось, несмотря на грамотность в этом вопросе), кроме того, что заседает в файлах браузеров. Для этого достаточно юзать адвклинер и хитмана
Не знаю, может это сложно сделать на движке форума, а может еще что, но...
Как правило, у каждого пользователя есть определенные гаджеты и места, с которых он заходит на сайт. Как правило, они имеют свои IP, которые привязываются к логину и администрация в любой момент может это просмотреть. Почему бы ни сделать автоматическую верификацию по телефону при появлении нового IP у пользователя? Телефоны почти у всех прописаны. Например необходимо выйти с другого региона (в командировке). При входе на сайт, приходит на ТВОЙ тлф смс с кодом подтверждения, который ты должен ввести. Ввел - заходи, дорогой! Нет - до свидания... В этом случае мошенник уже не сможет получить код подтверждения, а следовательно, и доступ к аккаунту.
Dimetrion пишет: есть определенные гаджеты и места, с которых он заходит на сайт. Как правило, они имеют свои IP, которые привязываются к логину
не очень корректное утверждение, мало того, что у меня, например, дома динамический адрес (т.е. может смениться в любой момент), так еще я частенько захожу на форум через 3g с планшета, и врядли у меня ip-адрес хоть раз повторился за последний месяц.
Dimetrion пишет: есть определенные гаджеты и места, с которых он заходит на сайт. Как правило, они имеют свои IP, которые привязываются к логину
не очень корректное утверждение, мало того, что у меня, например, дома динамический адрес (т.е. может смениться в любой момент), так еще я частенько захожу на форум через 3g с планшета, и врядли у меня ip-адрес хоть раз повторился за последний месяц.
Может это будет неудобно, но ради своей безопасности, в этом случае, нужно будет каждый раз вводить код верификации. Не-е-е... я же не утверждаю, что это есть панацея от всех болезней, просто как мысль! Может к чему интересному подтолкнет...
Dimetrion пишет: автоматическую верификацию по телефону при появлении нового IP у пользователя?
Было, не прижилось: при смене устройства или ip просили пароль. Поступало такое количество жалоб, что мы отключили привязку. Сейчас IP мало что значит, утром дома, днем на работе, вечером в забегаловке, IP меняется, устройство меняется, человек тот же.
Цитата
GreenRoom пишет: почему личка на вашем сайте - не защищена
Если этот вопрос касается вашей картинки, то поясню. Концептуально https защищает от перехвата информации между страницей на вашем экране и сервером. Если ваш комп инфицирован вирусом, то https не спасет. Ну а в остальных случаях... Вы же не хиллари клинтон, на вас хакеры не охотятся, и никому ваши пакеты не нужны. Эта современная мода на https при ускользающей от человечества прайвеси лишь для продажи цифровых сертификатов.
Тимофей пишет: Эта современная мода на https при ускользающей от человечества прайвеси лишь для продажи цифровых сертификатов.
Все движется к тому что хттп вообще не будет использоваться. Уже сейчас браузеры показывают предупреждения, думаю, что скоро будут запрашивать предупреждения о "вы действительно хотите использовать небезопасный http протокол". Так что рано или поздно СМ придется переходить на хттпс. Поставьте от letsencrypt сертификат, он ставится бесплатно, и скриптом продляется на 3 месяца, т.е. один раз поставил, настроил и больше не нужно ничего продлять или покупать.
Сделанные мной предложения действительны 24 часа, далее просьба, подтверждать их в личке.
Установка на таком проекте - это как пересадка сердца ) Слишком много менять в коде, работа инженеров и т.п. Да и серт. у нас есть, только попытка его применить года два назад вызвала непрогнозируемые последствия, поэтому отложили до лучших времен. Но с технической точки зрения, https это просто чтобы надписи не было. Ни от каких взломов это не защитит.
Dimetrion пишет: автоматическую верификацию по телефону при появлении нового IP у пользователя?
Было, не прижилось: при смене устройства или ip просили пароль. Поступало такое количество жалоб, что мы отключили привязку. Сейчас IP мало что значит, утром дома, днем на работе, вечером в забегаловке, IP меняется, устройство меняется, человек тот же.
А если не по IP привязывать, а по мас-адресу? Он то точно уникален и постоянен. А захотел в забегаловке - будь добр ввести код проверки. Ну так... мысли в слух... больше не буду...
Тимофей пишет: Ни от каких взломов это не защитит.
в некоторых случаях поможет, например в кафе, через вайфай вполне можно слушать весь трафик, и тырить пароли от всего, что открывают посетители, а вот хттпс не позволит такого безобразия.
Сделанные мной предложения действительны 24 часа, далее просьба, подтверждать их в личке.
Dimetrion пишет: А если не по IP привязывать, а по мас-адресу? Он то точно уникален и постоянен.
Мак адрес не для протокола уровня TCP (через который работает весь интернет), т.е. проще говоря он не передается в интернет, его можно видеть только в локальной сети (с некоторыми исключениями).
Сделанные мной предложения действительны 24 часа, далее просьба, подтверждать их в личке.
A7exius пишет: вайфай вполне можно слушать весь трафик
Да, согласен. Но невозможно представить, что в этом же кафе окажется ртищевский барыга, который точно знает, что его цель будет логиниться на СМ. Логины в соцсети и почту ведь перехватывать подслушиванием трафика не получится. Да и как вы понимаете, в местах массового скопления нумизматов wifi сетей нет. По статистике наши форумчане-жертвы взлома в 99% случаев заходят на сайт из дома или с работы.
Мы конечно перейдем, рано или поздно, я лишь поясняю, почему это у нас не стоит в приоритете. Так-то и у фирмы провайдера, и даже у производителя движка переход на https пиарится как отдельная услуга и пункт меню.
Тимофей пишет: Но невозможно представить, что в этом же кафе окажется ртищевский барыга, который точно знает, что его цель будет логиниться на СМ
Целенаправленный взлом именно пользователя СМ - действительно крайне маловероятен (хотя, а ну барыга предложит в кафе сходить за его счет с этой целью?). Но попасть "за компанию" можно - сливают вообще от всех посетителей логин/пароль, и потом их продают оптово, либо оказывают услуги хакерам, предлагая словарь для брутфорса по определенному логину - что-то типа только на платной основе. Это вполне себе нормальный хакерский бизнес.
Сделанные мной предложения действительны 24 часа, далее просьба, подтверждать их в личке.
А как на счёт двухфакторной авторизации? Есть разные технические решения... Для выставления на продажу или покупки этот метод может оказаться полезным.
Стоит во дворе мой боевой зеленый тазик, изделие № 7( Пароль был..., сигналка) 
