PDA

Просмотр полной версии : хакеры и локспикеры - одна компания



Страницы : [1] 2 3

SAWWA
11.08.2009, 01:53
минувший чемпионат локспикеров Defcon 17 показал дожились... это было видно с самого начала...как электронные поделки для запирания дверей появились... но стало это не так давно явным а теперь ещё до безобразия заметнее..
что за чудаки уповают на электронные примочки в виде электронных замков всё это стало ещё виднее.... все стали едины , а вернее это было.... просто продавцам той чепухи под названием электронные замки , на которой можно наваривать столько , сколько на механических чизоматтуре не взять с доверчивого наивного и кажущимся безобидным покупателя... http://www.wired.com/threatlevel/category/defcon/

самое плохое для покупателя и приятное для вора, взломщика в том , что ОТМЫЧЕК ТУТ НЕ НУЖНО ..... И НАДО ЛИШЬ НОУТБУК , нетбук, смартфон или что либо переносное портативное, коммуникатор.. ... ДОСТУП В ИНТЕРНЕТ опционально....+ НЕСКОЛЬКО ПРОВОДКОВ С китайским РАСПАЯННЫМ КУСКОМ КРЕМНИЯ С USB разъёмом ,купленным у Михася-админа, его буржуинских дружков ..

мораль сего такова, что тут на фото они взламывают безобидные С ВИДУ вещички....
имеющий ум да поймёт, что механические замки пока последний бастион перед тем, когда все двери станут просто открытыми перед любым http://www.wired.com "сезам откройся"...

да и литературу по взлому найти сейчас несложно... азы компьютерной грамотности на каждом углу http://www.xakep.ru/post/49102/default.asp например... это лишь цветочки..

для вскрытия крючками даже самого примитивного Эльбора кремня или гранита надо немного поучиться, да и сделать или купить отмычки соответствующие... короче возни и времени.......больше чем для того, что б электронный замок вскрыть... ведь там реально умельцы стремятся на выходе сделать такой инструмент типа "вставил-открыл"... и всё... первые ласточки мы видим в виде алгоритмических кодграбберов по сходной цене, замаскированных под всевозможные хай-тек штучки и прочие бесполезные прибамбасы в современных авто...

скоро последующим поколениям останутся только воспоминания о временах развития механических замков.... китай всё завалит своими электронными поделками

немного задранный ценник на эти локмастерские товары народного потребления отобьётся доходом от первого дела...

ну не "открыли Америку"... тут в США конструируют отмычки,а китайцы старательно размножают... и заваливают мир замками и тем, что их открывает...

SAWWA
11.08.2009, 02:33
единение хакеров и локспикеров ...

SAWWA
12.08.2009, 02:07
народ не дремлет... хакеры во всём ....
входить в нашу жизнь. Что есть банкомат с точки зрения хакера? Правильно, источник халявы и быстрого способа заработать немного карманных деньжат. Ведь если украсть десяток-другой долларов, кто будет вас искать? По словам банковских работников, оправданными с финансовой точки зрения будут поиски похитителя, умыкнувшего в свой карман по крайней мере 300 вечнозеленых. Уменьшим эту цифру вдвое для безопасности и примем полученные полтораста баксов в качестве того потолка, заходить за который не стоит даже в том случае, если очень-очень хочется купить новый микропроцессор или материнскую плату, а к ним быстрый модем впридачу. Впрочем, с юридической точки зрения похищение даже одного доллара - кража. Поэтому, прежде чем отправляться к ближайшему банкомату с кусачками и отверткой, запаситесь на всякий случай парой адвокатов и захватите Шварценеггера на тот случай, чтобы немножко попридержать службу безопасности банка, пока вы будете сматывать удочки. Для того чтобы получить деньги, мало найти потерянную карточку и вставить ее в прорезь автомата. Нужно ввести с клавиатуры определенный код, на карточке не написанный и хранящийся у клиента в голове Сама по себе карточка без него бесполезный кусок пластика. К тому же ее бывший владелец, как только обнаружит пропажу, немедленно позвонит в банк, и у карточки будет выставлен знак изъятия. Другими словами, она исчезнет в недрах банкомата и уже больше никогда не попадет к вам в руки. Следовательно, нужно не только найти карточку, но еще и подсмотреть вводимый ее владельцем пароль и снять со счета требуемую сумму еще до того, как тот обнаружит пропажу. Впрочем, если мы уж сумели подсмотреть пароль, то и карточку воровать совершенно необязательно. Достаточно ее считать. Что и сделали в свое время ребята из Эстонии. История шумная и известная почти каждому кардеру. В дорогих ресторанах официант, пока нес карточку клиента, успевал ее считать портативным устройством размером с пачку от сигарет, изготовленным из обычной магнитофонной головки, батарейки, усилителя сигналов и записывающего устройства. Ошибка горячих эстонских парней заключалась в том, что они грабили часто и помногу. Другими словами, в жадности. А вот в другой истории злоумышленникам повезло больше. Как-то раз на малолюдной улице одного небольшого городка появился новый банкомат. Естественно, нашлись такие, что пожелали им воспользоваться. Опускают в него карточку, вводят нужный пароль. Ждут себе ждут, а банкомат им отвечает: извините, мол, нету денег или связи - в общем, выдает неподозрительное объяснение невозможности выдачи денег. В банке долго понять не могли - как совершается кража? Почему-то никому и в голову не могла придти мысль, что этот банкомат-то липовый и установлен злоумышленниками специально для чтения карт и запоминания паролей. Позже его демонтировали, но злоумышленников, кажется, так и не нашли. За полтора года (а именно столько он умудрился простоять) кардеры перекачали на свой счет немалую сумму. Однако же рядовой хакер скорее найдет оброненную кем-то впопыхах тысячедолларовую купюр, чем завалявшийся на свалке банкомат. Может быть, есть способ попроще? Есть, но для этого потребуется умение держать паяльник в руках, чтобы смастерить себе некий хардваринговый девайс, а также разбираться в сетевых протоколах на канальном уровне. Идея проста до безобразия: поскольку банкомат в себе не хранит никакой информации и всегда обращается за ответом в банк, то можно, врезавшись в кабель между ним и банком, перехватить трафик и фальсифицировать его нужным нам образом. Ни один банк не в состоянии гарантировать целостность кабеля на всем его протяжении. Разумеется, для анализа протокола обмена понадобится персональный компьютер, а также программа для снятия дампа и представления его в удобочитаемом виде. Можно, к примеру, воспользоваться компактной и маленькой утилитой pio и навигатором управления bleak_l, заботливо написанным хакером КРМС для взлома НТВ, но вполне подходящим и для этого случая. Единственное, что придется спаять самостоятельно, так это контроллер для подсоединения к банковскому кабелю. В Сети очень много различных схем и энтузиастов, предлагающих за относительно небольшие деньги приобрести уже готовые изделия. Так или иначе, но в дальнейшем будем считать, что такой девайс у нас есть.
Наши последующие действия:
1. Врезаемся в линию между банкоматом и авторизационным центом (заметим, что врезаться придется в разрыв кабеля, так чтобы вы в дальнейшем могли не только перехватывать, но и блокировать любые проходящие пакеты). Разумеется, что если мы хотя бы на мгновение прервем целостность кабеля, дело закончится плачевно. Поэтому поищите в книжках электронные схемы мгновенной коммутации "на ходу". Аналогичным образом мошенники нейтрализуют сложные системы электронных сигнализаций. Не тех, что в магазинах, а на порядок совершеннее.
2. Наблюдаем за пересылкой пакетов, не предпринимая никаких действий. Только наблюдаем, чтобы понять логику. На самом деле это "только" представляет собой утомительный и кропотливый анализ протоколов и расшифровки всех полей заголовков пакетов с той целью, чтобы в дальнейшем иметь возможность генерации и отправки собственных пакетов, не опасаясь того, что они чем-то будут отличаться от реальных.
3. Теперь манипулируем легальной картой (это значит, что по крайней меру одну карту вы должны будете все же завести) с тем, чтобы понять логику обмена. В частности, найти и опознать передаваемые банкоматом запросы и возвращаемые ему ответы.
4. Сравним теперь это с просроченной картой, чтобы определить реакцию системы в такой ситуации, а также найти и идентифицировать коды ошибок (они нам потом понадобятся).
5. Наконец, тяпнем по маленькой для храбрости и, оставив Шварценеггера на шухере, начнем процесс. Засовываем нашу карту, на счету которой лежат оставшиеся после экспериментов с банкоматом несколько долларов.
6. Наблюдаем, как банкомат шлет запрос, включая номер нашего счета и все остальное. Мы никак не вмешиваемся в этот процесс.
7. Авторизационный центр должен вернуть ответ, в котором содержится много полезной информации. А среди нее - максимально возможная сумма для снятия. Вот тут мы перехватываем этот пакет и взамен него шлем другой Чем он отличается от оригинального, не стоит, наверное, даже говорить - и так всем ясно. Но будьте внимательны! Эта сумма может присутствовать сразу в нескольких полях, кроме того, необходимо скорректировать и поле контрольной суммы, иначе ничего не получится! Это самый сложный момент во взломе.
8. Впрочем, на этом этапе вы еще ничем не рискуете. Если ошибетесь, то просто перехватите обратный ответ банкомата и не пропустите его. Ведь вы еще помните коды ошибок, не так ли? А поэтому пробуйте, пока банкомат не "проглотит" фальсифицированный пакет.
9. Ну что же, теперь требуйте от банкомата столько денег, на сколько у вас хватит совести. В это время банкомат передает банку, сколько денег было снято. Взаправду. Эту информацию надо перехватить и послать ложный пакет, что денег снято всего 1 доллар (или сколько у вас там осталось взаправду на карточке). Будьте очень внимательны. Теперь фальсифицированный пакет передается уже банку, и любое неверное действие будет необратимо зафиксировано системой безопасности, и даже Шварценеггеру скоро покажется жарковато.
10. Ну вот и все. Осталась маленькая проблема - как обеспечить сходимость д****а и кредита. Ведь банкомат ведет логи и протоколы всех действий. Подумайте, как можно обмануть систему.
11. Наконец все! Вы отсоединяете свой ноутбук от кабеля, по возможности замаскировав нелегальное подключение, и отправляетесь в ближайший компьютерный салон за новым микропроцессором.
12. Однако помните, что многие банкоматы сейчас снабжены контрольными телекамерами, что не есть хорошо. Но к счастью, еще не все И стальная крыса всегда найдет для себя щель!

А вообще, чтобы ломать банкоматы, неплохо бы разобраться в их устройстве, типовом протоколе обмена и программном обеспечении То есть так или иначе выбрать себе работу, связанную с их разработкой, созданием или по крайней мере эксплуатацией В этом случае вы получите действительно достоверную информацию об их устройстве, а также слабых и сильных сторонах А ведь уязвимость у них действительно есть Только она неочевидна для постороннего, не работавшего с ними человека. Но как и любому человеческому творению, этому свойственны недостатки не в меньшем числе. Однако будете ли вы заниматься мелким жульничеством, находясь на высокооплачиваемой работе?http://hack.ambo.ru/viewtopic.php?id=13


немного по детски , однако "орлята учатся летать ... подрастает поколение подрастает...

SAWWA
12.08.2009, 02:24
Специалисту по безопасности не дали показать, что современные банкоматы крайне уязвимы ко взлому

Выступление специалиста по безопасности на конференции Black Hat , "Black Hat USA 2009" (http://www.voipx.ru/cgi-bin/loscont.cgi?ID=5443), которая пройдет в конце июля в Лас-Вегасе, было отменено по настоятельной просьбе неназванного производителя банкоматов. Барнаби Джек из Juniper Networks собирался продемонстрировать участникам конференции взлом банкомата с использованием уязвимости в его программном обеспечении, сообщает Центр исследования компьютерной преступности со ссылкой на сайт Wired

"Наиболее распространенные атаки на автоматические кассовые машины обычно связаны с использованием скиммеров или же с физическим похищением банкомата. Очень редко мы видим какие-либо атаки, нацеленные на программное обеспечение банкоматов", - писал Барнаби Джек в анонсе своего выступления на сайте Black Hat.

В этом выступлении, обещал он, будут прослежены шаги, которые были предприняты для взаимодействия с линейкой популярной новой модели ATM, ее анализа и поиска уязвимости в ней. Также анонсировалось рассмотрение как локального, так и удаленного направления атаки. Завершить же выступление специалист планировал "живой демонстрацией" атаки на немодифицированный, типовой ATM.

Как выяснилось, всего этого удовольствия участники конференции будут лишены. Поставщик банкоматов, которые Джек обещал прилюдно взломать, обратился в Juniper Networks, выразив беспокойство в связи с тем, что публичное срывание покровов состоится до того, как им будут предприняты все необходимые меры по устранению "дыры".

В Juniper решили отложить выступление Джека "до поры до времени", поскольку это может поставить под удар "непропатченные" банкоматы.

Другие подробности этого дела неизвестны, так что трудно сказать, имеет ли находка Барнаби Джека какое-то отношение к вредоносному коду, который уже довольно давно был обнаружен в ПО некоторых банкоматов Diebold в России и на Украине. Правда, позднее специалисты антивирусной компании ESET назвали "банкоматный вирус" черным пиаром

как бы не так..:D :D :D

SAWWA
13.08.2009, 19:02
interfax.by
Реализаторов электронных программ, предназначенных для несанкционированного вмешательства в работу автоматизированных систем и компьютерных сетей, задержали сотрудники Службы безопасности Украины в Киеве.

Как сообщили в пресс-центре СБУ в четверг, двое жителей Киевской области сбывали более 8,5 тыс. разновидностей "системных червей", "троянских программ" и вирусов. Комплекты электронных программ были систематизированы по темам, например, для взлома паролей, рассылки сообщений с чужого компьютера.

По выводам специалистов Киевского научно-исследовательского института судебных экспертиз, при помощи программ с изъятых дисков можно взломать не только пароли виртуальных "кошельков" пользователей сети интернет, но и сложные системы защиты информации - базы данных государственных органов, бухгалтерских программ банков и другое.

Следователи ГУ СБУ Украины в Киеве и Киевской области в отношении задержанных возбудили уголовное дело по ч. 1 ст. 361-1 УК (распространение и сбыт опасных программных и технических средств для несанкционированного вмешательства в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей связи).

Ведется следствие. Решением суда с задержанных взята подписка о невыезде.

SAWWA
20.08.2009, 01:59
НОВОСТИ
18.08.2009
Осторожно!!!!! Вирус!!!!!
Сущность вируса - переадресация со страницы запрашиваемого ресурса на фиктивную, скопированную с настоящей. Подмена осуществлялась для самых популярных ресурсов Рунета: Яндекс, Рамблер, Майл, ВКонтакте, Одноклассники.

Набирая на «зараженном» компьютере адрес одного из указанных ресурсов, пользователь попадает на сервер-подмену, где ему предлагается страница для входа в систему (имя и пароль). С учетом того, что в адресной строке указано корректное имя, а внешний вид скопирован с оригинального сервера, у большинства пользователей не возникает подозрений в подлинности страницы.

После ввода имени и пароля отображается иная страница, где уже говорится о необходимости «подтверждения» или «активации» учетной записи за смс на короткий номер, стоимость которого минимальная или якобы бесплатная.

Таким образом, злоумышленники не только снимают денежные средства со счетов абонентов, но и получают логин и пароль доступа пользователя к указанным популярным ресурсам, что позволяет им в дальнейшем отправлять от имени «жертвы» различные сообщения, например:

- программка для бесплатной отправки подарков! - http://re-url.me/abc, мне не забудь отправить!

- привет. http://www.894.joo.ru/ Лови программку по бесплатному повышению рейтинга, но не давай никому больше. Это не спам.

Основные темы, которые используются для «рекламы» скачивания и запуска зараженных программ:

- бесплатное повышение рейтинга «ВКонтакте»;

- программа перехвата SMS сообщений с телефона;

- дополнительные функции в социальных сетях, которые не существуют (подарки, VIP-доступ и т.д.)

После перехода по ссылке компьютер пользователя автоматически запускает вредоносную программу.


Наши рекомендации
Пострадавшим рекомендуется изменить пароль доступа к указанным ресурсам, а также установить версии антивирусных программ с обновленными антивирусными базами.

Следует помнить, что ресурсы популярных сайтов никогда не потребуют от уже зарегистрировавшегося пользователя дополнительной авторизации, тем более за деньги путем отправки смс.



Управление «К» предупреждает...

Пресс-служба Управления «К» МВД России

Управление «К» предупреждает
Мошенничества в Интернете
Через Интернет вам могут предложить приобрести все, что угодно, а распознать подделку при покупке через сеть бывает сложно. Однако, соблюдая некоторые правила покупки товаров через Интернет, можно оградить себя от возможных неприятностей.
Телефонные мошенничества
Одним из основных видов преступлений в телекоммуникационной среде является телефонное мошенничество, которое стремительно набирает силу и превращается в настоящую эпидемию. Оградить от мошенников в первую очередь способны лишь внимательность и здравомыслие самих граждан. Жертвами мошенников становятся все без исключения - это и бизнесмены, и чиновники, и звезды шоу-бизнеса, и обычные граждане. Существует несколько видов телефонного мошенничества.
Мошенничества с пластиковыми картами
Никогда не записывайте номер доступа к вашему счету на поверхности кредитной карточки, не фиксируйте номер вашего пин-кода в личных записях, не сообщайте его даже самым близким родственникам. Когда пользуетесь банкоматом, обращайте внимание на то, чтобы посторонние не увидели набор пин-кода.

http://www.mvd.ru

SAWWA
20.08.2009, 02:06
Основные схемы телефонного мошенничества

Случай с родственником

Мошенник представляется родственником или знакомым и взволнованным голосом сообщает, что задержан сотрудниками милиции за совершение того или иного преступления (совершил ДТП, хранение оружия или наркотиков, нанесение тяжких телесных повреждений). Далее в разговор вступает якобы сотрудник милиции. Он уверенным тоном сообщает, что уже не раз помогал людям таким образом. Но если раньше деньги привозили непосредственно ему, то сейчас так делать нельзя, так как он боится потерять погоны. Деньги необходимо привезти в определенное место или передать какому-либо человеку. Цена решения вопроса составляет сумму от одной до тридцати тысяч долларов США.

При совершении мошенничества данным способом звонящий абонент может находиться, как в исправительно-трудовом учреждении, так и на свободе, но при этом всегда имеет одного или нескольких сообщников.

Основной фигурант, если он на свободе, обычно находится в съемной квартире и, используя мобильный телефон, осуществляет перебор номеров по возрастанию либо убыванию последней цифры. И если раньше звонки осуществлялись на мобильные телефоны с прямым абонентским номером, то в настоящее время это и прямые, и федеральные, и городские номера.

Если абонент согласился привезти деньги, то ему называют адрес, куда он должен приехать. По приезду в данный адрес ему сообщают еще один адрес, но при этом он уже попадает под наблюдение сообщников преступника. Люди, осуществляющие наблюдение, осведомлены о методах наблюдения и контрнаблюдения, имеют хороший опыт управления автотранспортом.

После того как гражданин оставляет деньги в указанном месте или кому-то их передает, ему сообщают, где он может увидеть своего родственника или знакомого.

Розыгрыш призов

На мобильный телефон абонента звонит якобы ведущий популярной радиостанции и поздравляет с крупным выигрышем (телефон, ноутбук, автомобиль) в лотерее, организованной радиостанцией и оператором мобильной связи. Чтобы получить приз, необходимо в течение минуты дозвониться на радиостанцию.

Перезвонившему абоненту отвечает сотрудник "призового отдела" и подробно объясняет условия игры: просит представиться и назвать год рождения; грамотно убеждает в честности акции (никаких взносов, переигровок и т.д.); спрашивает, может ли абонент активировать на свой номер карты экспресс-оплаты на сумму 300 долларов; объясняет, что в течение часа необходимо подготовить карты экспресс-оплаты любого номинала на указанную сумму и еще раз перезвонить для регистрации и присвоения персонального номера победителя, сообщает номер; поясняет порядок последующих действий для получения приза: с 10.00 до 20.00 такого-то числа абоненту необходимо с паспортом, мобильным телефоном и присвоенным персональным номером прибыть в указанный адрес для оформления радостного события.

Если по каким-то причинам абонент не сможет в течение часа найти экспресс-карты на 300$, то все равно должен позвонить для согласования дальнейших действий. Затем мошенник объясняет порядок активации карт: стереть защитный слой; позвонить в призовой отдел; при переключении на оператора - сообщить свои коды. Оператор их активирует на номер абонента, а призовой отдел контролирует правильность его действий, после чего присваивает ему персональный номер "победителя", с которым гражданин должен ехать за призом. Предложение самостоятельно активировать карты на свой номер и приехать с доказательными документами из сотовой компании не принимается, таковы правила рекламной акции.

СМС-просьба

Абонент получает на мобильный телефон сообщение "У меня проблемы, позвони по такому-то номеру, если номер недоступен, положи не него определенную сумму и перезвони".

Платный код

Поступает звонок якобы от сотрудника службы технической поддержки оператора мобильной связи с предложением подключить новую эксклюзивную услугу или для перерегистрации во избежание отключения связи из-за технического сбоя, или для улучшения качества связи. Для этого абоненту предлагается набрать под диктовку код, который является комбинацией для осуществления мобильного перевода денежных средств со счета абонента на счет злоумышленников.

Штрафные санкции оператора

Злоумышленник представляется сотрудником службы технической поддержки оператора мобильной связи и сообщает, что абонент сменил тарифный план, не оповестив оператора (также могут быть варианты: не внес своевременную оплату, воспользовался услугами роуминга без предупреждения) и, соответственно, ему необходимо оплатить штраф в определенном размере, купив карты экспресс-оплаты и сообщив их коды.

Ошибочный перевод средств

Абоненту поступает смс-сообщение о поступлении средств на его счет, переведенных с помощью услуги "Мобильный перевод". Сразу после этого поступает звонок и мужчина или женщина сообщает, что ошибочно перевел деньги на его счет и просит вернуть их обратно тем же "Мобильным переводом".


Как уберечься от телефонных мошенничеств

Если вам поступило проедложение от радиостанции активировать карточки Экспересс-оплаты с целью получения приза, включите радиостанцию и прослушайте её эфир. Радиостанциия НИКОГДА не требует активировать карточки экспресс-оплаты при проведении лотереи.

Если вы получили звонок от якобы близкого родственника или знакомого с информацией о том, что он попал в неприятную ситуацию, в результате которой ему грозит возбуждение уголовного дела и выражается просьба передать взятку сотруднику правоохранительных органов, готовому урегулировать вопрос, следуйте следующим рекомендациям:

- задайте своему родственнику наводящие вопросы, ответы на которые знаете вы оба, либо попросите его описать себя;

-если вы разговариваете с якобы представителем правоохранительных органов, спросите, в какое отделение милиции доставлен родственник. Набрав 02 и узнав номер дежурной части данного отделения милиции, можно поинтересоваться, действительно ли родственник находится там и кто занимается этим делом;

-если разговор закончен, а вы сомневаетесь в личности звонившего и в подлинности изложенных фактов, постарайтесь перезвонить на мобильный телефон звонившего. Если он отключен, очертите круг лиц, которые могут знать о его местонахождении (коллеги по работе, друзья, родственники), свяжитесь с ними для уточнения информации.

Вам может поступить звонок от якобы представителя вашей сотовой компании, который предложит пополнить счет карточкой экспресс-оплаты, но прежде потребует сообщить оператору личный пин-код, перезвонив на определенный номер. Помните, что активировать карточки экспресс-оплаты следует исключительно через специальный короткий номер, указанный на карточке, а личный код никому никогда не сообщается.

Если вы получили sms-сообщение на мобильный телефон от якобы знакомых с просьбой положить на их счет деньги, перезвоните по указанному номеру и выясните личность отправившего sms.

На мобильный телефон может придти sms-сообщение с предложением оградить вас от СПАМ-рассылки, либо принять участие в акции от вашего сотового оператора. В сообщении предлагается отправить "бесплатное" sms, состоящее из набора цифр, на один из коротких номеров, а затем перейти по ссылке, для удаления своего имени из списка. В результате этих манипуляций вы потеряете около 100 - 150 рублей, но СПАМ получать все равно будете.

SMS-сообщения могут быть весьма разнообразны, и в данном случае совет может быть один - критически относиться к таким сообщениям и не спешить выполнить то, о чем вас просят. Лучше позвоните оператору связи, узнайте, какая сумма спишется с вашего счета при отправке sms или звонке на указанный номер, затем сообщите о пришедшей на ваш телефон информации. Оператор определит того, кто отправляет эти sms и заблокирует его аккаунт.

Пресс-служба Управления «К» МВД России

SAWWA
20.08.2009, 02:07
Мошенничества в Интернете
1. Мошенничества, связанные с Интернет-магазинами.

Через Интернет вам могут предложить приобрести все, что угодно, а распознать подделку при покупке через сеть бывает сложно. Однако, соблюдая некоторые правила покупки товаров через Интернет, можно оградить себя от возможных неприятностей.

Вас должна насторожить слишком низкая цена на определенный товар, а также отсутствие фактического адреса или телефона продавца. Скорее всего, вам предлагают приобрести подделку либо хотят присвоить ваши деньги.

Не поленитесь позвонить продавцу по телефону и подробнее выяснить уже известные вам особенности товара, его технические характеристики и т.д. Заминки на другом конце провода или неверная информация, которую вам сообщили, должны стать поводом для отказа от покупки в данном Интернет-магазине.

Наведите справки о продавце, изучите отзывы о его работе, и только после этого решайте - иметь ли дело с выбранным вами Интернет-магазином.

Пользуйтесь услугами курьерской доставки и оплачивайте стоимость товара по факту доставки.

2. Фишинг.

Фишинг (от англ. fishing - рыбная ловля, выуживание) - вид интернет-мошенничества, цель которого - получить данные, содержащиеся на вашей пластиковой карте.

Злоумышленники рассылают электронные письма от имени банков или платежных систем. Пользователю предлагается зайти на сайт, который является точной копией настоящего сайта банка, где можно увидеть объявления, например, об изменении системы безопасности банка. Для дальнейшей возможности использовать свою пластиковую карту вас просят указать пин-код и данные, содержащиеся на карте. Впоследствии эти данные используются для изготовления поддельной пластиковой карты и обналичивания денежных средств, содержащихся на вашем счете. Оставив свои данные, вы фактически преподносите мошенникам деньги на блюдечке.

Одной из разновидностью данного вида правонарушения являются звонки на сотовые телефоны граждан якобы от представителей банка с просьбой погасить задолженность по кредиту. Когда гражданин сообщает, что никакого кредита не брал, ему предлагается уточнить данные, содержащиеся на пластиковой карте. Этого уже достаточно для покупки товаров в Интернет-магазинах.

Следует помнить, что банки и платежные системы никогда не присылают писем и не звонят на телефоны граждан с просьбой предоставить
свои данные. Если такая ситуация произойдет, вас попросят приехать в банк лично.

3. Интернет-попрошайничество.

В Интернете могут появиться объявления от благотворительной организации, детского дома, приюта с просьбой о материальной помощи больным детям. Злоумышленники создают сайт-дублер, который является точной копией настоящего, меняют реквизиты для перечисления денег.

Для того, чтобы не попасться на крючок и не отдать свои деньги в руки мошенников, не поленитесь перезвонить в указанную организацию, уточнить номер расчетного счета либо посетить ее лично, убедиться в достоверности размещенной информации, выяснить все подробности дела, а затем уже решать - передавать деньги или нет.

4. Мошенничества в отношении иностранных граждан (брачные аферы).

Не встретив в реальной жизни свою половину, многие мужчины продолжают искать ее в Интернете. Поиски начинаются на сайтах знакомств и дневниках, где будущие избранницы размещают свои фотографии.

Этим пользуются злоумышленники, используя фото девушек, привлекая психологов, программистов, переводчиков и посредством этих сайтов завязывают переписку с доверчивыми иностранцами.

Западные женихи «клюют» на объявления, где нетребовательные русские красавицы говорят о том, что нуждаются в серьезных отношениях. А взамен вечной любви, порой после месяцев переписки, просят решить их финансовые проблемы - помочь обеспечить сиделкой больных родителей, расплатиться с кредитом, перевести деньги на перелет к жениху в дальнее зарубежье и т.д.

После получения денег невесты перестают выходить на связь. Пылкие иностранные поклонники, поняв, что их обманули, обращаются в полицию. Злоумышленники рассчитывают только на женихов из дальнего зарубежья, т.к. представители ближнего зарубежья предпочитают приехать в гости к невесте сами, что невыгодно для мошенников.


Мошенничества с пластиковыми картами
Никогда не записывайте номер доступа к вашему счету на поверхности кредитной карточки, не фиксируйте номер вашего пин-кода в личных записях, не сообщайте его даже самым близким родственникам. Когда пользуетесь банкоматом, обращайте внимание на то, чтобы посторонние не увидели набор пин-кода.

Не пользуйтесь банкоматами в отдаленных от центра города магазинах, на которых не указан логотип принадлежности к банку. Старайтесь обналичивать денежные средства в банкоматах, принадлежащих банковским учреждениям, либо в крупных торговых точках, оборудованных системой видеонаблюдения и охраной. Банкоматы, располагающиеся в отдаленных местах города, не всегда имеющие логотип банка, могут быть оснащены специальными техническими средствами, которые устанавливают злоумышленники (накладка на клавиатуру, специальные средства, устанавливаемые в картоприемник для считывания информации с вашей пластиковой карты, в том числе и пин-код. Технический прогресс достиг того уровня, когда злоумышленники имеют возможность получать информацию от банкомата даже дистанционно.

В случае, если банкомат не выдает денежную сумму, находящуюся на вашем счету, необходимо оставаться в непосредственной близости от банкомата, связаться со службой поддержки банка (телефон обычно указан на самой пластиковой карте), объяснить ситуацию и следовать советам оператора.

В торговых точках, в ресторанах и кафе все действия с вашей пластиковой картой должны происходить у вас на глазах. Пройдите вместе с официантом и посмотрите, какие действия он с ней осуществляет. При помощи специальных устройств мошенники могут получить информацию, содержащуюся на вашей пластиковой карте, что в дальнейшем может быть использовано для изготовления подделки по вашим реквизитам.

Пресс-служба Управления «К» МВД России

SAWWA
30.08.2009, 14:48
наши старые знакомые засветились ещё на одном сборище, а именно под страшно тайным названием "HAR 2009"...
хакеры и локспикеры действуют совместно...
http://www.zamkidveri.com/forum/attachment.php?attachmentid=21035&stc=1&d=1262162103
http://www.zamkidveri.com/forum/attachment.php?attachmentid=21036&stc=1&d=1262162103http://www.zamkidveri.com/forum/attachment.php?attachmentid=21037&stc=1&d=1262162103http://www.zamkidveri.com/forum/attachment.php?attachmentid=21038&stc=1&d=1262162103http://www.zamkidveri.com/forum/attachment.php?attachmentid=21039&stc=1&d=1262162103http://www.zamkidveri.com/forum/attachment.php?attachmentid=21040&stc=1&d=1262162103http://www.zamkidveri.com/forum/attachment.php?attachmentid=21041&stc=1&d=1262162103http://www.zamkidveri.com/forum/attachment.php?attachmentid=21042&stc=1&d=1262162103http://www.zamkidveri.com/forum/attachment.php?attachmentid=21043&stc=1&d=1262162103http://www.zamkidveri.com/forum/attachment.php?attachmentid=21044&stc=1&d=1262162103http://www.zamkidveri.com/forum/attachment.php?attachmentid=21045&stc=1&d=1262162103http://www.zamkidveri.com/forum/attachment.php?attachmentid=21046&stc=1&d=1262162103

SAWWA
30.12.2009, 12:33
Система шифрования GSM взломана (http://www.3dnews.ru/news/sistema_shifrovaniya_gsm_vzlomana_/)
Читая материалы излюбленного хакерами и юзерами интернета и популярнейшего онлайнового издания в СНГ и окрестностях, 3д-невс ( http://www.3dnews.ru ) натолкнулся на то, что с мест сообщают о :

30.12.2009 [08:00], Денис Борн
http://www.zamkidveri.com/forum/images/imported/2009/12/156197-1.jpg
Инженер компьютерных систем из Германии заявил в понедельник, что он сумел раскрыть используемый в шифровании большинства мобильных соединений код с целью заставить провайдеров связи устранить обнаруженные недостатки в их цифровых системах защиты. Объектом атаки Карстена Нола (Karsten Nohl) стал применяемый в архитектуре GSM алгоритм, разработанный 21 год назад. Появившийся в 1988-м, он до сих пор обеспечивает конфиденциальность 80% мобильных звонков по всему миру.


"Моя работа демонстрирует несостоятельность существующей защиты GSM, – сказал 28-летний Нол на ежегодной четырёхдневной конференции сообщества хакеров Chaos Communication Congress, проходящей в Берлине. – Мы пытаемся вынудить операторов принять более серьёзные меры безопасности применительно к мобильным коммуникациям". Базирующаяся в Лондоне ассоциация участников мобильной индустрии GSM Association (GSMA), которая и занимается поддержкой скомпрометированного алгоритма, вполне ожидаемо назвала действия Нола противоречащими закону, а его заявления – преувеличивающими угрозу беспроводной связи. "Это теоретически возможно, но практически маловероятно", – отметил представитель организации, утверждая, что никто ещё не смог взломать код с момента его внедрения.

Впрочем, не все эксперты в области безопасности компьютерных систем с этим согласны. Хотя само по себе раскрытие ключа не угрожает голосовым данным, один из аналитиков считает, что компании и государственные организации должны предпринять аналогичные шаги для проверки своих беспроводных сетей, как это делается с антивирусным программным обеспечением в случае файлов. По словам вице-президента по вопросам безопасности из ABI Research Стена Шетта (Stan Schatt), если сейчас не заняться принятием адекватных мер защиты информационных инфраструктур, включающих мобильные звонки, через несколько месяцев риск для них существенно вырастет. Около 3,5 млрд из 4,3 млрд беспроводных соединений в глобальном масштабе принадлежат к сетям GSM.

В августе на форуме специалистов по компьютерной безопасности в Амстердаме Нол призвал других хакеров помочь взломать GSM. По его утверждению, около 24 человек, в частности члены берлинского Chaos Computer Club, работали независимо и использовали распределённые вычисления для формирования так называемой радужной таблицы с 2-Тб массивом необходимых для взлома комбинаций. Нол постарался не выходить за рамки законов и подчеркнул, что предпринятые им усилия для взлома алгоритма имели чисто академический характер, а результаты работы не использовались для прослушивания звонков. Таблица же доступна в торрент-сетях и найти её не составляет труда. Что касается алгоритма, речь идёт о 64-битном A5/1, в мобильных сетях третьего поколения заменённым более стойким A5/3 (KASUMI) со 128-битным ключом, хотя на него перешли ещё не все операторы вследствие высоких сопутствующих затрат.

Непосредственно ключ не даёт возможности прослушать мобильный звонок, который должен быть выделен среди потока из тысяч, передаваемых через станцию. В заявлении GSMA говорится, что взлом алгоритма является более сложной задачей, чем утверждают критики, и операторы простой его модификацией способны устранить всякую возможность постороннего доступа к разговору. Кроме того, хакерам для незаконного прослушивания понадобится принимающая сигнал радиосистема с обрабатывающим его программным обеспечением, большинство из которого является закрытым. В то же время Нол в ходе презентации на конференции указал на доступность необходимого ПО в виде бесплатно распространяемого открытого кода, а оборудование обойдётся в $4000. Достаточно двух минут, чтобы код был раскрыт. Однако атакующий должен поместить одно из радиоустройств около человека с прослушиваемым телефоном, что часто составляет непростую задачу.

Если Нол действительно добился успеха на поприще взлома шифрования GSM, тогда, как считает директор компании Cellcrypt Саймон Бренсфилд-Гарт (Simon Bransfield-Garth), подобная применяемой лишь правительственными структурами технология может оказаться в руках криминалитета, а требуемое для взлома время сократится до часов, а в будущем, возможно, и минут.



ОСОБЕННО РАДУЕТ И УМИЛЯЕТ ПОЗИЦИЯ БазирующЕЙСЯ в Лондоне ассоциации участников мобильной индустрии GSM Association (GSMA), которая и занимается поддержкой скомпрометированного алгоритма, вполне ожидаемо назвала действия Нола противоречащими закону, а его заявления – преувеличивающими угрозу беспроводной связи. "Это теоретически возможно, но практически маловероятно"[/B], – отметил представитель организации, утверждая, что никто ещё не смог взломать код с момента его внедрения.
.... без слов.. так и с деятельностью Клуба, Клуб предупреждает , предупреждает, предупреждает..

А БОЛЬШИНСТВУ ПРОИЗВОДИТЕЛЕЙ ОТКРОВЕННО НАПЛЕВАТЬ... это по нашему , по русски... на западе как и у нас, за руку споймали, а те всё равно делают вид , что ничего не было
НИЧЕГО, ДЕДУШКА МОРОЗ, БОРОДА ИЗ ВАТЫ, ПРИПАС КОЕ ЧЕГО, РАДУЙТЕСЬ, ПОКА ВАС ЕЩЁ НЕ ПРОЗДРАВИЛИ по славянски :eek:

SAWWA
18.01.2010, 09:07
http://www.zamkidveri.com/forum/images/imported/2010/01/3dn-1.gif?2908339

Система шифрования для мобильной связи 3G не устояла перед атакой

18.01.2010 [01:01], Денис Борн

Недавно мы сообщали об уязвимости к атакам используемой в мобильной связи стандарта GSM 20-летней системы шифрования А5/1, благодаря чему прослушивание звонков становится относительно доступным и более простым, чем это было ранее. Проживающий в Германии автор соответствующего исследования Карстен Нол (Karsten Nohl) отмечал, что операторы должны как можно скорее перейти на намного более стойкий алгоритм А5/3 (KASUMI) со 128-битным ключом. Этот стандарт утверждён для сетей третьего поколения, однако пока провайдеры не спешат его внедрять по причине дополнительных затрат. Не прошло и месяца, как появились известия о взломе А5/3 – во всяком случае, теоретическом.

KASUMI базируется на блочной криптосистеме MISTY (Mitsubishi Improved Security Technology, создана в 1995 году для Mitsubishi Electric), принадлежащей к большому классу техник шифрования Фейстеля (Feistel). Она является сложным, с комбинированием многих ключей, рекурсивным многораундовым процессом, меняющим порядок разных функций. MISTY требует немалых вычислительных ресурсов, а потому не годится для применения в задачах с ограниченным временем и относительно малой мощностью вычислений. Поэтому появился алгоритм KASUMI, упрощающий для аппаратного обеспечения эту криптографическую систему, но не нарушающий, как предполагалось, её стойкость.

Орр Данкелман (Orr Dunkelman), Натан Келлер (Nathan Keller) и Ади Шамир (Adi Shamir, буква "S" в аббревиатуре известного алгоритма RSA – это ссылка на его фамилию) с факультета математики и компьютерных наук израильского Института наук Вайсмана (Weizmann Institute of Science) показали, что KASUMI может быть скомпрометирован при помощи атаки на основе связанных ключей (related-key attack). Криптоаналитики назвали технику "сэндвич-атакой", построенной на модифицированной атаке методом бумеранга. Как утверждают эксперты, 128-битный ключ возможно получить использованием всего четырёх связанных ключей, 226 данных, 230 байт памяти и 232 единиц времени. Параметры настолько невелики, что им удалось смоделировать атаку менее чем за два часа на обычном компьютере и доказать корректность и завершённость техники. По словам учёных, до сих пор ни одна атака, включая разработанную ими, не способна раскрыть MISTY без полного перебора вариантов. Другими словами, ассоциация GSM Association ослабила-таки алгоритм при переходе к KASUMI.

Впрочем, в отличие от реализации разработанного Нолом метода, требующего применения оборудования стоимостью до $30 тыс. для взлома системы шифрования А5/1 менее чем за минуту, предложение израильских исследователей не так практично. Атакующий должен собрать несколько миллионов образцов незашифрованных данных, которые в течение обычного разговора передаются приблизительно каждую секунду. Но работа Шамира и его коллег всё же важна – она демонстрирует реальные ограничения А5/3. "Возможность атаки должна служить напоминанием о том, что А5/3, как и любой другой алгоритм, в конечном счёте должен быть заменён. Надеюсь, этот факт учтут при обновлении GSM", – отметил Нол.

http://www.3dnews.ru/news

SAWWA
05.03.2010, 03:31
http://www.xakep.ru/post/51113/default.asp
Найден способ обхода методов авторизации чиповых банковских карт
Дата: 12.02.2010
Версия для печати | Послать друзьям | Добавить в:
Найден способ обхода методов авторизации чиповых банковских карт

Исследователи из Кембриджского университета обнаружили фундаментальную уязвимость в протоколе EMV (Europay, MasterCard, Visa), который лежит в основе процесса авторизации д****овых и кредитных карт, выпущенных по технологии ”chip-and-PIN”.

В итоге было создано устройство, способное перехватывать обмен данными между картой и терминалом и посылать терминалу сигнал о том, что процесс авторизации пройден. В ходе последующих испытаний устройства ученым удалось авторизовать чиповые карты шести эмитентов без необходимости ввода правильного PIN. Несмотря на то, что вводить сам четырехзначный PIN все же пришлось, терминал принимал любое сочетание цифр.

По словам авторов работы, для создания такого устройства требуются лишь самые элементарные инженерные навыки и базовые навыки программирования.

Дело в том, что большинство транзакций требует авторизации по PIN. Клиент вводит идентификационный номер в устройство ввода, после чего тот отсылается на карту и сравнивается со значением PIN, хранящимся в ее чипе. Если PIN-коды совпадают, карта отсылает терминалу код подтверждения правильности (0x9000), завершая тем самым процедуру проверки подлинности.

Исследователям удалось создать устройство ”man-in-the-middle”, которое считывает данные с карты и в нужное время посылает терминалу код подтверждения 0x9000, причем делает это вне зависимости от того, какой PIN был введен.

Чтобы продемонстрировать работоспособность своей схемы, исследователи вставили подлинную чиповую карту в кард-ридер Alcor Micro, который был соединен с ноутбуком, выполняющим скрипт на языке Python. Сам ноутбук через последовательный порт был присоединен к программируемой плате Spartan-3E Starter Kit, используемой для конвертации интерфейсов банковской карты и ПК.

Плата, в свою очередь, была соединена с интерфейсным чипом Maxim 1740, который был связан тонкими проводами с поддельной банковской картой, которую исследователи вставили в терминал.

После того, как карта была вставлена, скрипт на ноутбуке перехватил транзакцию, подавил отправленный терминалом запрос на подтверждение PIN и выдал в ответ код подтверждения 0x9000.

По словам авторов работы, злоумышленники могут пронести аналогичный аппаратно-программный комплекс в рюкзаке, а провода спрятать в рукаве. Это даст им возможность использовать для совершения покупок или перевода денег краденные действительные карты.

http://www.xakep.ru/
http://www.xakep.ru/post/51175/default.asp
Pwn2Own: 100 тысяч долларов за взлом смартфонов и браузеров
Дата: 17.02.2010
Версия для печати | Послать друзьям | Добавить в:
Pwn2Own: 100 тысяч долларов за взлом смартфонов и браузеров

С 24 по 27 марта в Ванкувере в рамках компьютерной конференции CanSecWest пройдет одно из самых известных в мире ежегодных соревнований по взлому - Pwn2Own. В этом году особое внимание будет уделено смартфонам и браузерам, а общий призовой фонд составит 100 000 долларов.

В год своего четырехлетия конкурс Pwn2Own предоставит за взлом iPhone 3GS, Blackberry Bold 9700, смартфона Nokia, работающего на последней версии ОС Symbian или мобильного терминала Motorola на базе Google Android призовой фонд в размере 60 000 долларов.

Эти деньги будут распределены между авторами самых продвинутых методов обхода защиты. Любой программист, разработавший атаку, приводящую к запуску в смартфоне стороннего кода без участия или с ограниченным участием в этом процессе пользователя, будет претендовать на вознаграждение в размере 15 000 долларов. Кроме того, успешный хакер становится кандидатом на получение дополнительного вознаграждения от спонсора мероприятия и сможет забрать себе взломанный девайс.

На награды авторам эксплоитов для браузеров на этот раз отводится 40 000 долларов. При этом, в отличие от прошлого года, каждая взломанная мишень выбывает из соревнования. Таким образом, разработчик прекрасно функционирующего эксплоита может просто не успеть продемонстрировать свою работу, если кто-то взломает тот или иной браузер или смартфон до него. Впрочем, это может объясняться увеличившимся размером призовых.

Вот предполагаемый календарь мероприятий:
День первый:

* IE 8 на Windows 7
* Firefox 3 на Windows 7
* Google Chrome 4 на Windows 7
* Safari 4 на MacOS X Snow Leopard

День второй:

* IE 7 на Windows Vista
* Firefox 3 на Windows Vista
* Chrome 4 на Windows Vista
* Safari 4 на Snow Leopard

День третий:

* IE 7 на Windows XP
* Firefox 3 на Windows XP
* Chrome 4 на Windows XP
* Safari 4 на Snow Leopard

SAWWA
09.03.2010, 21:05
http://www.zamkidveri.com/forum/images/imported/2010/03/3dn-1.gif?2659275
http://www.3dnews.ru/news/1024_bitnii_kluch_rsa_vzlomali_za_100_chasov/
1024-битный ключ RSA взломали за 100 часов
09.03.2010 [18:00], Александр Будик
Ученые из Мичиганского университета утверждают, что им удалось найти серьёзную уязвимость в одном из наиболее используемых программных продуктов для шифрования данных, которая позволяет получить секретный ключ. Найденный баг в криптографической библиотеке OpenSSL нельзя оставлять без внимания, так как этот программный модуль используется для защиты информации в огромном количестве различных приложений и операционных системах.
Ученые обнаружили возможность получения малых частей секретного ключа RSA с помощью воздействия на блок питания системы незначительными флуктуациями напряжения в момент обработки зашифрованных сообщений. Генерируя однобитные ошибки в операциях умножения, исследователи сумели получить порции разрядов секретного ключа. После получения 8800 некорректно сформированных RSA-сигнатур от атакуемого устройства, исследователи отправили данные для анализа на кластер, состоящий из 81 системы на базе 2,4-ГГц процессоров Intel Pentium 4. Экспериментальная атака проводилась на встраиваемую систему на базе чипа SPARC, работающую под управлением Linux. Чуть более ста часов им хватило для получения таким способом целого 1024-разрядного ключа.
http://www.zamkidveri.com/forum/images/imported/2010/03/165934-1.jpg
Как отмечается, данная атака не столь опасна для серверных систем, которые обычно находятся в помещениях с ограниченным доступом, как для пользовательских устройств. Например, в Blu-ray плеер может быть “вшит” секретный ключ для защиты интеллектуальной собственности, и имея полный физический доступ к системе хакер может воспользоваться найденной уязвимостью. Но и серверные системы нельзя исключать из зоны риска, ведь для изощренных злоумышленников отсутствие физического доступа не может стать серьезной помехой для атаки.
В данный момент исследователи также изучают возможность использования данной уязвимости с помощью лазеров или природных источников излучения. Также интересно отметить, что ученые не исключают возможность использования данного метода атаки и для других криптографических библиотек, например, предлагаемых Mozilla Foundation.
Реализовать предложенную исследователями атаку очень сложно с технической точки зрения, хотя её можно применить к самым разным типам устройств, включая мультимедийные проигрыватели и смартфоны с технологиями защиты от копирования. К счастью, исправить найденную уязвимость легко, считают ученые. Достаточно добавить так называемой “соли” в алгоритм коррекции ошибок, что сделает атаку невозможной. Официальный представитель The OpenSSL Project, пожелавший остаться неизвестным, заявил, что инженеры уже работают над выпуском соответствующего исправления.
http://www.3dnews.ru/news/1024_bitnii_kluch_rsa_vzlomali_za_100_chasov/

SAWWA
16.03.2010, 01:11
http://www.xakep.ru/post/51479/
В 2009 году киберпреступники наворовали 560 миллионов долларов


Согласно новому исследованию, в 2009 г. разного рода интернет-преступники украли у пользователей около $560 млн - это почти в два раза превышает аналогичный показатель 2008 г. Об этом говорится в отчете центра Internet Crime Complaint Center (IC3), находящегося под контролем ФБР.

По словам авторов исследования, в 2009 г. IC3 зарегистрировала более 336 тыс. жалоб на различные преступления, связанные с интернетом. Это говорит о росте на 22,3% за год. Около 16% всех жалоб составили случаи, в которых интернет-мошенники действовали якобы от имени ФБР, еще в 11,9% случаев злоумышленники брали вперед деньги за какой-либо товар или услугу, после чего исчезали. На третьем месте по популярности у киберпреступников оказалось мошенничество, связанное с получением у жертв денег, убеждая их в том, что через время они получат назад эту сумму с процентами.

Всего из более чем 336 тыс. полученных жалоб 146 тыс. сотрудники IC3 передали на рассмотрение в местные или федеральные государственные правоохранительные органы. Такие дела авторы отчета разделили на ряд категорий, среди которых: недоставка оплаченного отвара (19,9%), кража личных данных (14,1%), мошенничество с кредитными картами (10,4%), мошенничество с аукционами (10,3%) и компьютерное мошенничество или взлом (7,9%) .

"Преступники продолжают всецело использовать анонимность, которую дает им Интернет. Они также придумывают все более продвинутые способы обмана доверчивых потребителей. Технологии для интернет-мошенничества становятся все дешевле и доступнее. Если вы разошлете 1 млн электронных писем и хотя бы минимальное число людей "клюнут" на удочку, вы все равно заработаете намного больше, чем человек, который честно трудится на законной работе", - отметил Дональд Брэкман, глава национального центра по борьбе с преступлениями в интеллектуальной сфере.

По словам аналитиков, одним из ключевых факторов роста интернет-преступности стало увеличение по всему миру доступности широкополосного интернета, что привело к росту числа преступников и их потенциальных жертв.

Чаще всего о случаях кражи денег интернет-мошенниками организации Internet Crime Complaint Center сообщали жители США - 92,2% случаев. На втором месте Канада - 1,7%. Что касается самих интернет-преступников, то их также больше всего в США - 65,4%. Далее идут Британия - 9,9%, Нигерия - 8% и Канада - 2,6%.

SAWWA
16.03.2010, 01:13
http://www.xakep.ru/post/51455/default.asp
В минувшем году число утечек конфиденциальных сведений возросло на 39 процентов
Согласно данным компании InfoWatch, в 2009 г. рост общего количества фиксируемых утечек продолжился, но замедлился, что может быть обусловлено финансовым кризисом, повышением латентности, а также массовыми внедрениями DLP-систем.

Общее фиксируемое количество утечек в первом полугодии 2009 г. по сравнению с аналогичным периодом 2008 г. показало тенденцию к увеличению (2,3 утечки в сутки), а во втором полугодии начало снижаться и по итогам года составило 735 утечек/365 дней, или 2,0 утечки в сутки. В связи с постепенным внедрением DLP-систем и иных средств защиты от внутренних инцидентов аналитики InfoWatch ожидают плавного уменьшения числа инцидентов. В целом же по сравнению с 2008 г. число утечек выросло на 39%: 735 против 530.

Среди основных тенденций прошедшего года специалисты InfoWatch также отметили увеличение доли умышленных утечек. По их мнению, число таких утечек в ближайшее время будет неуклонно расти. На взгляд аналитиков InfoWatch, как защита, так и утечки персональных данных являются самыми значительными статьями расходов при оценке стоимости информационных рисков. При этом защитники информации излишне сконцентрированы на электронной защите, упуская из виду традиционные (преимущественно случайные) утечки бумажных носителей, которые можно предотвратить лишь организационными мерами, отмечается в отчете InfoWatch.

В посткризисных условиях при необходимости жесткой экономии средств на защиту информации начать, по мнению аналитиков InfoWatch, следует с шифрования ноутбуков и фильтрации интернет-трафика на шлюзе – это самые вероятные каналы утечки данных. Однако такая защита эффективно работает лишь против случайных утечек (43,5%), подчеркнули в компании.

Основой для данного отчёта послужила база данных утечек, которую ведет аналитический центр компании InfoWatch с 2004 г. В базу входят утечки в различных странах мира, информация о которых была опубликована в СМИ, блогах, веб-форумах и других общедоступных источниках.

SAWWA
24.03.2010, 01:58
[/B]http://www.3dnews.ru/news/[B]
ФСБ арестовала русского хакера при содействии ФБР


23.03.2010 [11:45], Владимир Мироненко

На днях Российской Федеральной службой безопасности (ФСБ) был задержан житель Санкт-Петербурга Виктора Плещук. Он подозревается в руководстве преступной группировкой, в состав которой также входят гражданин Эстонии Сергей Цуриков и Олег Ковелин из Молдавии.

Возглавляемая Плещуком и Цуриковым группа преступников взломала в ноябре 2008 года защиту банковской платежной системы RBS WorldPay, предназначенной для выплаты зарплаты работникам компаний. Отмечается, что преступники были хорошо подготовлены и тщательно спланировали довольно масштабную операцию. В течение 12 часов в 280 городах через 2100 банкоматов было снято по поддельным д****овым картам около $9,4 млн. Несмотря на сложность и предпринятые меры секретности, преступная акция была все же раскрыта. Участника группировки Сергей Цуриков уже задержали в Эстонии и получено добро на его экстрадицию в США.

Как отмечает газета Financial Times, согласно российскому законодательству, Плещука вряд ли будут экстрадировать в США. Поэтому американское издание выражает сомнения в строгости наказания хакера. По мнению газеты, в предыдущих крупнейших процессах по воровству персональных данных против группы Shadow-Crue и по обвинению в воровстве данных по 40 млн банковским картам Альберта Гонзалеза был «русский след», но никого не арестовали.

По данным Financial Times, при аресте Плещука российская спецслужба тесно сотрудничала с ФБР, по просьбе ФСБ хранившей молчание, чтобы не спугнуть хакера и его сообщников. В связи с этим эксперт по безопасности SecureWorks Дон Джексон (Don Jackson) выразил надежду на наступление новой эры во взаимоотношениях с российскими властями. Представители ФСБ и ФБР отказались от комментариев по факту задержания хакеров.

SAWWA
24.03.2010, 02:07
http://www.xakep.ru/post/51578/

Спецслужбы США платили хакеру-информатору 75 000 долларов в год
Дата: 24.03.2010 | Источник: www.webplanet.ru
Версия для печати | Послать друзьям | Добавить в:

Известный киберпреступник Альберт Гонсалес работал на спецслужбы США.. Хакеру платили 75 тысяч долларов в год за информацию о банковских кражах.

28-летний Гонсалес был арестован в 2008 году по обвинению в краже 130 миллионов номеров банковских карт. Из-за его хакерской деятельности (осуществлявшейся совместными усилиями с некими российскими киберпреступниками) пострадали TJX, Office Max, Hannaford Brothers, 7-Eleven и Heartland Payment Systems.

Деятельность Гонсалеса назвали самым крупным преступлением такого рода в истории США. Осенью 2009 года хакер сознался в совершенных преступлениях. Ему грозит тюремный срок от 17 до 25 лет.

Информацию о том, что Гонсалес сотрудничал со спецслужбами США, поведал его коллега и близкий друг Стефан Уатт, приговоренный к 2 годам лишения свободы за написание снифера для кражи кредитных карт TJX. По его словам, Гонсалес информировал спецслужбы о деятельности своих конкурентов, получая за это денежные вознаграждения. Это продолжалось до тех пор, пока его самого не поймали на крупном преступлении.

Ни представители спецслужб, ни поверенные Гонсалеса не стали комментировать эту информацию. Федеральный обвинитель Марк Раш заявил, что 75 тысяч долларов – это, конечно, огромная сумма для обычного информатора. Но если получавший деньги товарищ тратил все свое время на то, чтобы отвечать на запросы спецслужб, то это вполне нормальный "гонорар! - информаторы, внедренные в преступные группировки и рискующие своими жизнями и здоровьем, получают в разы больше
http://www.xakep.ru/post/51578/

Каждый четвертый британский школьник пробовал заниматься взломом
Дата: 19.03.2010
Версия для печати | Послать друзьям | Добавить в:
Каждый четвертый британский школьник пробовал заниматься взломом

Каждый четвертый британский школьник хотя бы раз пытался взломать учетную запись электронной почты или аккаунт на Facebook. Такие данные были получены по итогам нового онлайн-опроса, проведенного компанией Tufin Technologies среди тысячи детей школьного возраста из Лондона и ста пятидесяти их сверстников из графства Камбия.

Интересно и то, что подавляющее большинство из них (78%) отдавало себе отчет в том, что хакерство – это плохо. Несмотря на это, многие не смогли устоять перед искушением проследить за активностью одноклассников в социальных сетях и взломали их аккаунты, зачастую просто угадав пароль.

Самый распространенный мотив взлома – забавы ради (46% хакеров-респондентов), на втором месте (21%) стоит нанесение вреда. Каждый пятый надеялся заработать на взломе, а 5% шли еще дальше и представляли себе, что это начало их криминальной карьеры.

Четверть признавшихся во взломе атаковала аккаунты Facebook, еще 18% - электронную почту друзей. Семь процентов выбрали в качестве цели онлайн-магазины, 6% - почту родителей, а еще 5% - сайты школ.

27% юных хакеров сообщили о том, что были пойманы, а 82% начинающих киберпреступников поведали о том, что взлом оказался трудным делом. 30% опрошенных до начала хакерской деятельности сами становились жертвами взлома аккаунта на Facebook или электронной почты.
http://www.xakep.ru/post/51529/default.asp

ПОКОЛЕНИЕ ЮНЫХ РЕЦЕДИВИСТОВ И ПРЕСТУПНИКОВ ПОДРАСТАЕТ
СКОРЕЕ БЫ ПРИШЛО ИХ ВРЕМЯ.. КОГДА ВСЮДУ БУДУТ СТОЯТЬ ЭЛЕКТРОННЫЕ ЗАМКИ.. ЭТО БУДЕТ ИХ ВРЕМЯ

SAWWA
24.03.2010, 02:15
Сотрудник автосалона заблокировал двигатели 100 машин через Интернет
Дата: 18.03.2010 | Источник: ruformator.ru/
Версия для печати | Послать друзьям | Добавить в:
Сотрудник автосалона заблокировал двигатели 100 машин через Интернет

Бывший сотрудник одного из автосалонов смог зайти в систему дистанционного управления автомобилями и отключил зажигание и звуковой сигнал более чем у 100 машин.

Для входа в систему 20-летний Омар Рамос-Лопес, житель г. Остин, штат Техас, США, воспользовался паролем одного из бывших коллег. Он заблокировал двигатели и отключил гудок на более чем 100 автомобилях, проданных автосалоном.

По словам представителя полиции Венезы Агинаги, из-за действий Рамоса-Лопеса несколько автомобилей заглохли посреди улицы и водителям пришлось оплачивать услуги эвакуатора, передает AP. Некоторые владельцы машин в тот день не смогли попасть на работу и потеряли деньги.

Стало известно, что автосалон устанавливает на каждый проданный автомобиль устройство, оснащенное GPS-навигатором. Если покупатель просрочил платеж по кредиту, автосалон может заблокировать зажигание автомобиля и отследить, где находится машина. Когда агент прибывает на место, чтобы забрать автомобиль, салон может включить гудок и облегчить ему поиски. Дистанционное управление зажиганием и звуковым сигналом осуществляется с помощью системы, доступ к которой имеют сотрудники автосалона.

Сейчас Рамос-Лопес ожидает суда в одной из тюрем г. Остин. Стражи порядка готовы выпустить его под залог в $3 тыс.
http://www.xakep.ru/post/51522/default.asp

MuxMux
24.03.2010, 11:28
Хоршо, что у нас в России есть НАШ АВТОПРОМ! :)

SAWWA
24.03.2010, 12:17
ничё , подешевеет ээлектроника, и у нас этот опыт внедрять

SAWWA
26.03.2010, 03:32
http://www.mvd.ru/news/39379/
25.03.2010
В Коми сотрудники отдела «К» задержали программиста, похитившего деньги с расчетного счета предпринимателя

По материалам отдела «К» МВД по Республике Коми рассмотрено уголовное дело о хищении денег из электронной платежной системы.
В июле 2009 года 23-летний программист из Сыктывкара совершил хищение денег с расчетного счета одной из платежных систем. Работая в фирме по поддержке электронных платежных систем, злоумышленник знал, что на счету одного из индивидуальных предпринимателей в конце каждого месяца аккумулируется значительная сумма, которую можно перевести безналичным путем в любую из существующих платежных систем.
Для подготовки к хищению денег программист в обеденный перерыв проник в служебный компьютер своего коллеги и скопировал файлы, содержащие электронные сертификаты доступа к счету в платежной системе. Затем злоумышленник, зная, что проводимые в электронной платежной системе транзакции можно проследить, в помещении одного из Сыктывкарских Интернет-клубов, используя анонимные прокси-серверы, зарегистрировал на вымышленные данные несколько электронных кошельков в различных платежных системах.
Ночью 30 июля 2009 года, посетив другой Интернет-клуб, при помощи похищенных сертификатов он получил неправомерный доступ к счету индивидуального предпринимателя в платежной системе и похитил все имевшиеся на счету средства, переведя их на один из зарегистрированных ранее электронных кошельков. Впоследствии программист несколько раз из разных мест переводил похищенные деньги из одной платежной системы в другую, стремясь скрыть следы преступления. Деньги в итоге были выведены на счет одного из знакомых злоумышленника и обналичены.
На следующий день предприниматель обнаружил пропажу денег и обратился в милицию. Было возбуждено уголовное дело по статье 158 УК РФ (кража) и 272 УК РФ (неправомерный доступ к компьютерной информации).
С августа по октябрь 2009 года сотрудники отдела «К» МВД по РК шли по следу преступника. В результате проведенных мероприятий подозреваемый был установлен. Сотрудники милиции нашли доказательства его вины. Уголовное дело по обвинению программиста направили в суд.
Суд признал обвиняемого виновным в краже и неправомерном доступе к компьютерной информации. С учетом возмещения причиненного ущерба, положительных характеристик и раскаяния, уголовное дело в отношении программиста было прекращено в связи с примирением с потерпевшим. Решение суда вступило в законную силу.

Пресс-служба МВД
по Республике Коми

SAWWA
26.03.2010, 04:32
Facebook помог арестовать мафиози
http://www.3dnews.ru/news
25.03.2010 [16:55], Георгий Орлов

Итальянский мафиози Паскаль Манфреди (Pasquale Manfredi) пал жертвой своего чрезмерного увлечения социальными сетями. Манфреди, известный как лидер мафизной группировки Ndrangheta, пользовался в сети Facebook ник-неймом «Scarface» («Лицо со шрамом», культовый гангстерский фильм режиссёра Брайана Де Пальмы). Полиция выяснила, что преступник заходит на принадлежащую ему страницу много раз в день.
http://www.zamkidveri.com/forum/images/imported/2010/03/168624-1.jpg
арест Паскаля Манфреди

Дальнейшее было делом ..... простым – вычислить местоположение человека, который находится онлайн, сейчас не так уж и сложно. Более полусотни полицейских принимали участие в задержании преступника. Паскаль Манфреди длительное время находился в сотне самых опасных преступников Италии и сейчас ведётся расследование того, каким именно образом мафия использовала социальную сеть Facebook в своих делах.

SAWWA
28.03.2010, 22:45
http://www.3dnews.ru/news/
Victorinox объявляет конкурс на взлом новой флешки
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22110&stc=1&d=1269799062
28.03.2010 [03:33], Артем Терехов

Название компании Victorinox, по сути, стало синонимом для швейцарского армейского ножа - как для универсальной и надежной вещи.Недавно швейцарцы выпустили нового "универсального солдата" под названием Victorinox Secure, укомплектованного флешкой на 16 Гб.
http://www.zamkidveri.com/forum/images/imported/2010/03/168883-1.jpg
Объявлен конкурс. Условия следующие: любой желающий может попробовать добраться до данных, запечатанных за 256-битной защитой и биометрической системой проверки отпечатка пальца пользователя. Ах да, еще одно маленькое уточнение - неосторожная попытка взлома приведет к удалению всех данных с носителя, что означает проигрыш.

"медвежатник" получит 100 тыс. фунтов стерлингов.

SAWWA
12.04.2010, 01:17
Банковский служащий арестован за установку на банкоматы вредоносных программ
Дата: 09.04.2010
IT-специалист Bank of America Родни Рид Кейверли во вторник 13 апреля предстанет перед судом Шарлотты, где ему предстоит выслушать обвинения во взломе банкоматов и снятии денежных средств без записи проведенных транзакций.

По данным следствия, Кейверли воспользовался своим знанием структуры компьютерных систем банка для написания и установки на вычислительные машины и банкоматы вредоносного программного обеспечения, с помощью которого он впоследствии осуществлял мошеннические списания.

Этой преступной деятельностью сотрудник Bank of America занимался в период с марта по октябрь 2009 года, в результате чего нанес кредитной организации ущерб, сумма которого на данном этапе расследования пока точно не установлена. По информации банка, активность киберпреступника была пресечена службой внутренней безопасности, при этом счета клиентов никак не пострадали.

В случае если вина Кейверли будет доказана, ему грозит тюремное заключение сроком до пяти лет.
http://www.xakep.ru/post/51731/

SAWWA
12.04.2010, 01:25
http://www.3dnews.ru/news/
Victorinox объявляет конкурс на взлом новой флешки
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22110&stc=1&d=1269799062
28.03.2010 [03:33], Артем Терехов

Название компании Victorinox, по сути, стало синонимом для швейцарского армейского ножа - как для универсальной и надежной вещи.Недавно швейцарцы выпустили нового "универсального солдата" под названием Victorinox Secure, укомплектованного флешкой на 16 Гб.
http://www.zamkidveri.com/forum/images/imported/2010/03/168883-1.jpg
Объявлен конкурс. Условия следующие: любой желающий может попробовать добраться до данных, запечатанных за 256-битной защитой и биометрической системой проверки отпечатка пальца пользователя. Ах да, еще одно маленькое уточнение - неосторожная попытка взлома приведет к удалению всех данных с носителя, что означает проигрыш.

"медвежатник" получит 100 тыс. фунтов стерлингов.
при работе такого рода важно
1) получить непосредственный доступ к чипу
2) скопировать данные на внешний жесткий диск
3) взломать код.
скопировав инфу на сторонний носитель почти 50% дела сделано, можно неограниченное количество раз взламывать..
в общем для хакеров любителей раздолье

SAWWA
13.04.2010, 03:12
http://www.xakep.ru/post/51752/

Базы данных на плоских файлах часто не учитываются в схемах обеспечения безопасности

В то время, как многие организации продолжают выстраивать стратегии и системы для защиты реляционных баз данных, они зачастую забывают надлежащим образом обеспечить безопасность самого распространенного формата – баз данных на плоских файлах.

По словам Роба Аюба из Frost & Sullivan, IT-специалисты практически любой компании с готовностью признаются в наличии баз данных на плоских файлах в корпоративных сетях, однако вопрос о мерах обеспечения сохранности информации в этих базах наверняка поставит их в тупик.

Дэвид Фридланд из компании Innovative Routines International, которая с недавнего времени стала предлагать решения по защите баз такого рода, полагает, что это связано с тем, что плоские файлы баз данных используются на разных приложениях и платформах.

С утверждением, что плоские файлы менее безопасны, чем фалы реляционных баз, согласны и другие эксперты. Так, по словам Рича Могула из Securosis, самый большой риск заключается в том, что развертывание таких баз зачастую осуществляется программистами приложений для своих специализированных целей и не отслеживается надлежащим образом.

Дэвид Штоддер из Perceptive Information Strategies отмечает также, что плоские файлы баз не так прозрачны, как в других типах систем, при этом они перемещаются от одного источника данных к другому, например – через механизм сбора информации. В этом случае даже их правильная обработка является серьезной задачей, не говоря уже об обеспечении необходимого уровня безопасности при передаче. Эксперт убежден, что вся персональная информация, хранящаяся в плоских файлах баз данных, должна быть зашифрована.
Именно поэтому фирма Innovative Routines International разработала утилиту FieldShield, предназначенную специально для шифрования плоских файлов в одноуровневых неструктурированных базах данных. Однако, прежде чем закодировать хранящуюся в плоских файлах важную информацию, необходимо найти способ обнаружения таких файлов в сетевой инфраструктуре, после чего выявить данные, требующие шифрования.

SAWWA
14.04.2010, 13:26
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22168&stc=1&d=1271229167
В Турции сейчас активно разгорается скандал, в который оказались втянутыми сотрудники оператора сотовой связи Turkcell. По определённым данным, операторони прослушивал абонентов за деньги влиятельной преступной группировки.

Полиция провела несколько рейдов в Стамбуле , Анталье, Измире и Кютанье получив сведения о объёме незаконного теневого бизнеса по прослушиванию абонентов... был допрошен ряд известных в Турции лиц, инициировавших прослушку. Газета Zaman причисляет к ним и турецкого футболиста Рыдвана Дильмена. Ядро группы злоумышленников составили бывшие полицейские, представлявшиеся заказчикам работниками спецслужб.
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22169&stc=1&d=1271229378
Группу возглавлял Мехмет Янык. Следствие располагает данными, что, именно он организовал контакт с сотрудниками Turkcell Фатихом Билетом , Улашем Озтюрком и прочими работниками оператора связи, которые и обеспечивали доступ к терминалам и коммуникаторам. Полиция ведёт допрос подозреваемых.. Трудовая деятельность подозреваемых проводилась под легальным прикрытием в виде рекламного агентства.
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22170&stc=1&d=1271232819
По сообщению газеты Taraf,услуги преступной группы оценивались от $5 тыс. до $100 тыс. На цену влияла продолжительность прослушивания переговоров. За дело взялисьлись и высокопоставленные чиновники. Министр транспорта и связи Бинали Йылдырым заявил «Правительство сделает все необходимое, если компанию признают виновной в незаконной деятельности»
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22171&stc=1&d=1271233580

SAWWA
17.04.2010, 02:26
16.04.2010
Сотрудниками отдела «К» МВД по Коми пресечен факт неправомерного доступа к шифрованным сигналам спутникового телевидения
http://www.zamkidveri.com/forum/images/imported/2010/04/b_4ebf8b799cdc94a37ba6b117d8b7fa1a-1.jpg
В отдел «К» МВД по Республике Коми поступила оперативная информация о том, что 26-летний житель г. Сыктывкара оказывает незаконные услуги по организации так называемого «кардшаринга» - перехвата и расшифровки закодированных сигналов спутникового телевидения. При помощи хакерской технологии клиенты злоумышленника могли незаконно просматривать платные каналы различных телекомпаний. При помощи вредоносных программ умелец модифицировал спутниковые приемники (ресиверы) таким образом, чтобы была возможность перехвата и декодирования сигналов, поступающих законным абонентам программ спутникового телевидения.
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22175&stc=1&d=1271453059
В результате оперативно-розыскных мероприятий сотрудники отдела «К» установили злоумышленника и заказали услугу по организации «кардшаринга». В ходе исследования установлено - оборудование для приема спутниковых сигналов было модифицировано при помощи вредоносного софта,
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22176&stc=1&d=1271453153
что позволяло подменять ключи декодирования. По факту оказания услуги «кардшаринга» в отношении сыктывкарца возбуждено уголовное дело по ст. 272 УК РФ (неправомерный доступ к компьютерной информации), 273 УК РФ (использование вредоносных программ для ЭВМ), 183 УК РФ (незаконное собирание и использование сведений, составляющих коммерческую тайну). Расследование по последней статье проводится по заявлению компании НТВ+, которая заявила, что своими действиями подозреваемый нарушил коммерческую тайну на те коды, которые являются для организации важными в бизнесе.
Пресс-служба МВД по
Республике Коми
http://www.mvd.ru/news/40395/

setavr
18.04.2010, 15:28
А что плохо кардшаринге? Происходит всего лишь копирование информации, а ни как не кража. Наши слегка обуревшие по ценам поставщики услуг иного не заслуживают. Ну это мое имхо.

SAWWA
18.04.2010, 19:43
ясное дело, при оптимально сбалансированной цене смысла заниматься подобными действиями не будет..

setavr
18.04.2010, 23:04
Кстати касается всех с ящиком на g-mail.
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22198&stc=1&d=1271796337
Злоумышленники нашли уязвимость в защите Gmail
В январе компания Google публично сообщила о том, что в последних числах декабря прошлого года интернет-злоумышленникам удалось взломать защиту компании и украсть некую информацию. Однако тогда Google ничего не сообщила о том, что стало достоянием хакеров. Известно было лишь то, что взлом был произведён из Китая.

Как сообщает авторитетное издание The New York Times со ссылкой на некое лицо, участвовавшее во внутреннем расследовании, тогда злоумышленникам удалось похитить систему Gaia, которая позволяет миллионам людей идентифицировать себя в системе Google однажды, введя имя и пароль, чтобы работать впоследствии с рядом различных интернет-служб компании без необходимости снова вводить свои данные. Среди служб, которые могут подвергнуться взлому благодаря краже, присутствует и Gmail, а также ряд прочих, в том числе, и касающиеся корпоративных клиентов.
Буквально на днях появились сведения о массовом взломе электронных ящиков почтовой службы Google Mail: многие пользователи обнаружили исходящие типовые письма, отправленные от их имени на адреса людей, состоящих в списке контактов или состоящих когда-то с ними в переписке.
Gmail зафиксировал, что злоумышленники получали доступ к учётным записям, используя средства, идентифицирующие себя в качестве мобильных устройств различных стран мира. Письма не имеют заголовка (темы), а в теле сообщения содержат ссылки на различные интернет-страницы, которые объединяет домен «.co.cc». Каждая из них автоматически перенаправляет на сайт mrapgyan.net с закрытым доступом. Стоит отметить, что у всех пострадавших были включены в настройках почтового ящика протоколы POP и IMAP для приёма и отправки писем через специализированные программы. Возможно, их следует временно отключить.
http://www.3dnews.ru/news/gmail_vzloman/

SAWWA
19.04.2010, 00:49
во истину пароли и кредитки нельзя ничему доверять

SAWWA
22.04.2010, 22:54
Более 2 тысяч российских туристов не смогли в воскресенье по Амуру вернуться из Китая в Благовещенск, поскольку на таможне соседнего города Хэйхэ компьютерный вирус парализовал электронную пропускную систему. Об этом РИА «Новости» сообщил представитель компании, занимающейся пограничными речными перевозками.

Благовещенск и Хэйхэ разделяют всего 600 метров реки Амур. Ежедневно через пограничный контрольный пункт «Благовещенск» в Китай в среднем проходит более 300 человек, в выходные и праздничные дни — более тысячи. Из-за вируса в воскресенье пункт пропуска был закрыт до утра понедельника.

По данным агентства, компьютерный вирус за ночь удален, системы исправны.
BFM.RU

SAWWA
24.04.2010, 01:40
Русские взломали Facebook!!
Автор: Константин Сидорович
Сотрудники лаборатории iDefense компании VeriSign вышли на хакера под ником Kirllos. Он получил доступ к 1,5 млн. аккаунтов Facebook и попытался их продать. Как сообщает Computerworld, на одном из специализированных форумов злоумышленник выставил ценник от $25 до $45 за тысячу учетных записей. Стоимость зависела от количества контактов в списках друзей.

Рика Говарда, возглавляющий iDefense, отметил, чтохакер продал порядка 700 тыс. аккаунтов. по словам специалистов, киберпреступники могут используя личные данные жертв получать доступ к кредитным карточкам пользователей социальных сетей.

Руководители Facebook пока не прокомментировали ситуацию с данной кражей аккаунтов, отметили лишь то, что социальная сеть постоянно атакуется хакерами . Есть информация, что в данном случае злоумышленник был русскоязычным .
http://www.onliner.by/news/

SAWWA
27.04.2010, 01:19
Социальные сети притягивают мошенников
Дарья ТОКАРЕВА — 20.04.2010
www.kp.ru

Сижу в майл-агенте, можно сказать, никого не трогаю. И тут от моей подруги приходит сообщение: «Дашут, с твоего адреса все время приходят вирусы. Скачай себе новый антивирус». И ссылочка. Вот новость! Вроде только-только обновила свой антивирус. Дай-ка, думаю, спрошу у нее, какие вирусы она получала от меня. Молчит. И тут смотрю, а моя подруга вообще не в Сети. Созвонились: никаких сообщений она мне не присылала, да и про вирусы не знает. Вместо нее с ее почтового адреса письма-провокации рассылал компьютерный вирус-троян. Как же удается нечистым на руку людям писать от имени моих друзей? Чего еще ждать от кибермошенников?
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22213&stc=1&d=1272313104
У ВАС СВИНОЙ ГРИПП

С начала года по Сети прокатилась волна киберинфекции, в результате которой многие владельцы компьютеров потеряли доступ к своим базам данных и стали невольными разносчиками вируса. Пользователи ICQ, QIP, Miranda и других систем обмена мгновенными сообщениями стали получать, как и я, от знакомых сообщения, предлагающие скачать по ссылке файл Piggy.zip. При запуске он выводит милую флэш-картинку с поросенком и надписью «Вы инфицированы вирусом N1H1».
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22214&stc=1&d=1272313126
Эта программа мгновенно меняет учетные данные и начинает рассылать спам со «свинской» ссылкой по всем контактам пользователя. По оценке специалистов, это самая массовая за последние полгода спам-кампания в системах обмена мгновенными сообщениями.

МВД РФ, в свою очередь, предупреждает о мошенничестве в социальных сетях. Специалисты антивирусной лаборатории обнаружили крупную мошенническую кампанию, направленную против пользователей сети Facebook. Злоумышленники заманивают своих жертв при помощи рассылаемого по электронной почте внешне совершенно безобидного спама. В сообщении пользователю предлогами предлагается перейти на несколько тысяч «досок» в Facebook, на которых размещены ссылки на зашифрованные хакерские сайты. А оттуда на пользователей обрушивается поток вредоносного программного обеспечения. Сам по себе метод атаки не новый, однако масштаб поражает - она накрыла более сотни тысяч пользователей.

Зачастую мошенники еще более изобретательны - они рассылают сообщения от лица администрации Facebook. В этих письмах сообщается, что в последнее время ваш блог редко обновляется, что в редакторе настроек есть новые приложения. И стоит зайти по ссылке, как компьютер заражается трояном.

Социальные сети становятся все более незащищенными. И, по прогнозам специалистов, мошенничество в них с каждым годом будет принимать более серьезные масштабы.

ДРУГ, СПАСИ!

Больше всего разводок на сайтах Одноклассники и ВКонтакте. Каждый день здесь меня пытаются обанкротить. От моего друга приходит сообщение: «Привет! Я почти выигрываю в конкурсе лучшее фото к 9 Мая, меньше процента не хватает... Главный приз - смартфон почти мой... Даш, можешь мне помочь? Нужно отправить SMS, текст «num777 170». Номер конкурса 6008, без кавычек. Если не тяжело, проголосуй за меня, в долгу не останусь! Конечно, если полтора рубля не жалко;-) Заранее спасибо!»

Естественно, Вадик оказался не в курсе. Мол, я вообще ничего не писал. А стоит отправить SMS, как тут же со счета снимается не меньше 300 рублей. Причем в другой день пришло сообщение от знакомой, которая якобы участвовала в фотоконкурсе красоты, - та же история...

Комментировать, как такое возможно, администрация ресурсов Одноклассники и ВКонтакте отказалась. Зато в антивирусной компании «Лаборатория Касперского» мне пояснили, что взломать аккаунты друзей можно с помощью фишинга (разновидность интернет-мошенничества, цель которого - завладеть конфиденциальными данными пользователя (паролем, номером кредитки, PIN-кодом) с помощью того или иного хитроумного способа.

Но можно и проще заполучить пароли. Без особых проблем в Интернете находится программа-робот. Она самостоятельно «ползает» по социальным сетям и взламывает странички одну за другой.

Мошенники нынче пошли ленивые, поэтому они кидают вам приблизительно такое сообщение: «Привет, Вася! Смотри мои новые фотки на страничке...» Как правило, отправитель - ваш знакомый или соблазнительная девушка. Вы переходите по ссылке, но для того, чтобы посмотреть фотки, нужно заново ввести свой логин и пароль. Вот тут и ловушка. Набрали комбинацию - и вуаля: ваш пароль в чужих лапах.

ВАШ СЫН ПРИ СМЕРТИ...

Но самые страшные разводки начались только в последнее время. Мошенники изучают список ваших друзей и родственников в социальных сетях. Находят ваш мобильный номер - зачастую пользователи сами для друзей указывают на своих страничках телефон, а взломать ее, как уже стало ясно, раз плюнуть. И посылают MMS либо личное сообщение в том же ВКонтакте, когда вы в Сети. Такие разводки в основном рассчитаны на женщин. В этой MMS или сообщении фотография сына или мужа в синяках и крови либо на больничной койке (обработать фото с вашей же странички фотошопом - дело нескольких минут) и подпись: «Ваш сын (муж) в больнице (в милиции) при смерти. Срочно передайте деньги на станции метро...» Как тут не поверить?

Другой развод рассчитан на мужскую половину. Вам приходит сообщение от симпатичной девушки с предложением познакомиться. Дива предлагает созвониться, чтобы пообщаться, спрашивает ваш телефончик и с фразой «Я пойду положу себе денег на телефон, чтобы тебе позвонить» исчезает... Тем временем на ваш телефон приходит SMS с короткого номера: «Код для активации вашего доступа - 12345».

Вы недоуменно пожимаете плечами... Но тут появляется девушка мечты. Она извиняется за свою невнимательность и рассказывает, что перепутала ваш номер телефона со своим. Мол, они так похожи! И теперь ей нужен код подтверждения, чтобы платеж был зачислен на телефон. Истинные джентльмены говорят код доступа. Девушка исчезает, а через сутки с вашего счета внезапно исчезает солидная сумма.

Как пояснили в Департаменте по гарантированию доходов и управлению фродом компании «МегаФон», в этом случае мошенник создает свой сервис, оплачиваемый на условиях подписки, когда номер телефона вводится на сайте, а затем на основании кода доступа вы подтверждаете свое согласие и подписываетесь на платную услугу. И тогда деньги с вас будут снимать автоматически без отправки каких-либо SMS.

СОВЕТЫ СПЕЦИАЛИСТОВ

Во избежание несанкционированного доступа к вашим страницам в социальных сетях, в том числе и к содержимому электронной почты, следует придерживаться простых правил:

Воздержитесь от выполнения указанной в сообщении просьбы.

Свяжитесь с другом, от которого вы получили вышеуказанное сообщение, и уточните у него, действительно ли он является автором послания.

Если есть подозрение, что страница взломана, необходимо поменять пароли в социальных сетях и электронной почте, а также проверить компьютер на наличие вирусов.

Если для просмотра контента предлагается скачать кодек или специальную программу, откажитесь от этого предложения, записав название требуемого кодека/программы. Зайдите на официальный сайт производителя, загрузите и установите необходимое программное обеспечение там. Во многих случаях Trojan.Winlock загружается под видом программного обеспечения, предназначенного для просмотра различного контента.

А В ЭТО ВРЕМЯ

Самый страшный спамер - гражданин России

Российская ассоциация электронных коммуникаций (РАЭК) обнародовала результаты первого в нашей стране исследования по спаму. Специалисты оценили реальный ущерб российской экономики от действий киберпреступников. Масштаб деятельности спамеров гигантский, как и их доходы. Как выяснили члены ассоциации, мы не солируем на мировом рынке спама: здесь абсолютный лидер - США. Но, увы, большинство спамеров - выходцы из России.Например, крупнейшая в мире организация, процветающая благодаря распространению фармацевтического спама, - это некая партнерская программа Glavmed.com. Ее создатель - москвич Игорь Гусев.

Львиная доля «мусорных» рассылок - реклама поддельных лекарств, в основном виагры. Схема ее распространения несложная. Используются так называемые бот-сети, когда сразу со многих зараженных компьютеров идут навязчивые рассылки с предложением купить тот или иной товар или услугу, сообщения о «выигрышах» в различных лотереях и прочий хлам, забивающий электронную почту.

Как отмечает РАЭК, спам-индустрия не знает границ. Спам-бизнес постоянно мигрирует в страны со слабым законодательством в этом вопросе. И пока даже самые мощные антивирусы, в которых включена функция защиты от спама, с трудом справляются с лавиной писем. Средство одно - наказывать авторов рассылок. Но по законодательству какой страны? Форум спамеров Spamdot.biz, принадлежащий той же партнерской сети Glavmed.com, после того как его деятельностью в России заинтересовались правоохранительные органы, «переехал» на серверы в Германию. И был таков.

По сути, спамерам бояться нечего. Даже в Евросоюзе, где законодательство в этой сфере считается жестким, большие штрафы спамерам не угроза.

Для сравнения: по статистике РАЭК, в прошлом году киберпреступники заработали 218 миллионов евро, а сумма штрафов составила всего 2,85 миллиона, то есть лишь 1,3% от их выручки.

СТАТИСТИКА ЗА 2009 ГОД

Потери российской экономики от спама - 14,1 миллиарда рублей.

Спамеры в нашей стране заработали 3,744 млрд. рублей.

20% всего рынка интернет-рекламы в России приходится на спам.

83% спама в мире рассылают домашние и офисные компьютеры.

16,4% спама приходит в Россию из США, а доля США на мировом рынке электронного «мусора» - 17,3%.

73,7% мирового спама рекламирует опасные для здоровья поддельные лекарства вроде виагры.

Семь из Top-10 спамеров планеты - выходцы из России.

SAWWA
29.04.2010, 00:03
Сисадмина признали виновным в захвате городской сети Сан-Франциско
Lenta.ru
Бывший системный администратор муниципалитета Сан-Франциско был признан виновным в захвате городской сети. Суд присяжных счел доказанной его вину в отказе предоставить городской администрации доступ к компьютерной сети, пишет The San Francisco Chronicle.

Терри Чайлдсу, захватившему контроль над городской сетью FiberWAN летом 2008 года, грозит тюремное заключение на срок до пяти лет. Высший суд Калифорнии признал, что действия Чайлдса нанесли городу ущерб в размере более 200 тысяч долларов. Таким образом, деяния сисадмина были квалифицированы как тяжкое уголовное преступление.
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22215&stc=1&d=1272481388
Срок заключения Терри Чайлдса будет оглашен 14 июня 2010 года. Однако ожидается, что судья Тери Джексон (Teri Jackson) ограничит пребывание Чайлдса в тюрьме несколькими месяцами сверх уже отбытого срока. Сисадмин находится под стражей с июля 2008 года.

В июле 2008 года Чайлдс заблокировал доступ к городской сети, которая содержит сотни тысяч конфиденциальных документов, включая платежные ведомости и переписку служащих. Ее создание обошлось городу в несколько миллионов долларов. Свои действия Чайлдс объяснял тем, что узнал о предстоящем увольнении. Отмечается, что 45-летний Чайлдс проработал в IT-департаменте муниципалитета Сан-Франциско 10 лет.

Пароль для входа в сеть он передал при личной встрече с мэром Сан-Франциско, которая прошла в тюрьме через неделю после его задержания.

SAWWA
04.05.2010, 01:38
http://www.xakep.ru/post/51921/
Вот так всё неоднозначно и доступно для мошенников судя по данной статье:
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22242&stc=1&d=1272919973

27.04.2010 Автор: Наталья Малышева

Вопрос приема оплаты за услуги или товар встает перед каждым, кто собирается создать свой бизнес в инете. При кажущейся сложности наладить систему для приема платежей несложно, причем можно не ограничивать себя одними лишь электронными деньгами, а принимать к оплате и обычные кредитные карточки. Важным этапом является выбор партнеров для сотрудничества, опытом работы с которым я и спешу поделиться.

Итак, я — менеджер финансового звена компании Telecomax ltd. Компания занимается покупкой и продажей голосового трафика, написанием программного обеспечения для работы с голосом, интеграцией и объединением различных голосовых сетей и провайдеров, как традиционных, так и Skype/Google Talk. Особым спросом пользуются сим-карты альтернативного роуминга GSM-travel, Java-приложение для мобильного телефона, магазин телефонных номеров со всех континентов, виртуальный офис. Специфика тут в том, что, приобретая услугу, клиент затем вносит абонентскую плату, периодически пополняет баланс и активирует дополнительные сервисы. Клиенты очень разные — от мелких интернет-магазинов до заводов и крупных корпораций. Перед нашим отделом стояла задача разработать такую систему приема платежей, которая была бы удобна любому пользователю. Ниже хочу поделиться с тобой тем, как мы поднимали систему, с кем работали и с какими проблемами сталкивались. О каждой платежной системе по порядку!
WEBMONEY

Одной из наиболее популярных и простых в использовании платежных систем является Webmoney. Поэтому нет ничего удивительного в том, что подключали мы ее первой. Система рассчитана и на продвинутых пользователей, и на людей, далеких от информационных технологий, а именно это нам и было нужно. Для клиентов доступна как десктопная версия приложения (небезызвестный Webmoney Keeper), так и онлайн-клиент. Причем для оплаты услуг клиенту необязательно даже наличие постоянного кошелька (они распределяются по валютам: рубли — WMR, долларовый WMZ и т.д.), без проблем можно совершить покупку, воспользовавшись карточками оплаты Webmoney, широко доступными в разных магазинах и киосках, а также чеками Paymer. Процесс подключения магазина к платежной системе не занимает много времени. Буквально за пятнадцать минут мы завели WM-кошелек, еще некоторое время ушло на установку Webmoney Keeper и получение аттестата продавца. В целях безопасности каждый пользователь Webmoney должен проходить аттестацию. Чем надежнее аттестат он хочет получить, тем больше проверок нужно пройти, но и тем больше операций он может выполнять с системой. Для того чтобы иметь возможность принимать платежи, необходимо получить аттестат продавца. А дальше — дело техники. Интегрируем в платежные скрипты возможность оплаты через вебмани, реализовав ее через соответствующие API-вызовы платежной системы, и без проблем принимаем оплату прямиком в свой кошелек.

Вот некоторые преимущества системы:

* моментальная оплата;
* моментальная конвертация из одной валюты в другую;
* комиссия на перевод внутри системы составляет всего лишь 0.8% от суммы транзакции;
* вывод в реальные деньги: на кредитную карту, на банковский счет (сервис Wire Exchanger).

Что ж, теперь, основной для рунета сервис для приема платежей подключен. Охватив, тем самым, несколько миллионов пользователей, можно задуматься и о приеме другой электронной валюты.
ЯНДЕКС.ДЕНЬГИ, MONEYMAIL, EASYPAY

С этими платежными системами получилось еще проще. Вместо того, чтобы осваивать интерфейсы для подключения каждой платежной системы, заключать договора, заниматься оформлением бухгалтерской документации, мы воспользовались одним единственным сервисом — онлайн-обменником электронных валют ROBOXchange. Ценою небольшого процента с транзакций, взимаемого за услуги посредника, сервис избавил нас от необходимости заводить аккаунты на Яндекс.Деньги, MoneyMail, EasyPay. Система реализована очень удобно: клиент радуется моментальной оплате услуг, а мы — деньгам, которые, пройдя через ROBOXchange, попадают непосредственно на наш WM-кошелек. Минус, пожалуй, один — сравнительно высокая комиссия "Робокса": это 8% удерживаемой с суммы транзакции. Впрочем, процент уже не кажется таким серьезным, когда осознаешь, сколько времени и сил ушло бы на подключение каждой из систем в отдельности. Скажу больше! Чтобы работать с платежными системами напрямую, нужно, к тому же, удовлетворять требованиям, которые они предъявляют к продавцу — начиная от чисто технических, выражающихся в конкретных характеристиках хостинга, и заканчивая финансовыми, серьезно ограничивающими возможность работы небольшим предприятиям. Например, для приема Яндекс.Денег (при работе с системой напрямую) ожидаемые объемы продаж магазина должны составлять не менее 10 000 рублей в месяц. Словом, мы свой выбор сделали в пользу ROBOXchange и решили потратить освободившееся время на подключение относительно новой, но уже достаточно зрелой платежной системы.
RBK MONEY

RBK Money — электронный кошелек, позволяющий принимать платежи почти 30 способами. Сформировав счет, клиент может внести платеж с помощью систем денежных переводов "Юнистрим" или CONTACT, в различных сетях терминалов моментальной оплаты, банковским переводом, кредитной картой и много как еще. Подключив одну эту систему, мы сразу охватили клиентов, у которых нет электронных кошельков и кредитных карт. Правда, отсюда последовал и недостаток: некоторые виды платежей зачисляются с задержкой до 8 банковских дней. В частности, мы настоятельно не рекомендуем вносить оплату через "Сбербанк". Во-первых, придется заполнять много бумажек, во-вторых, деньги от покупателя к продавцу идут порядка двух недель, что очень и очень долго.

Так или иначе, подключить систему RBK Money явно не будет лишним — ведь как иначе предоставить клиенту самые разные варианты оплаты, в том числе и переводом на банковский счет? Система работает с низкой комиссией за перевод (от 1%) и радует адекватной службой поддержки. А дочернее предприятие известного холдинга РБК вызывает уважение и доверие у клиента.
CHRONOPAY
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22241&stc=1&d=1272916805
Следующим вопросом на пути организации электронного бизнеса стал прием оплаты с кредитных карт. Этот аспект электронного бизнеса оказался довольно сложным и поучительным, поэтому на нем хочется остановиться подробнее.

На рынке существуют компании, которые активно предлагают себя в качестве посредников в открытии так называемого Merchant account с возможностью принимать платежи пластиковыми карточками. На одном из семинаров интернет-магазинов мы познакомились с представителями небезызвестной компании Chronopay. Не знаю, как насчет родительской компании из Нидерландов с таким названием, а вот опыт общения с "российским дитем" оказался, мягко говоря, удручающим. Процесс заключения договора был мучительным и долгим. Каждый день появлялось новое микро-требование со стороны "Хронопея": то необходимо было поставить баннеры Visa и Mastercard на сайт, то добавить "Return Policy" и "Соглашение об использовании". Это не было сверхзадачей, но можно было эти требования изложить сразу вместе с остальными формами, а не выдавливать, как глубоко секретную информацию под пытками. Эпопея закончились только через три месяца: был подписан договор, и мы получили документацию по подключению.

Первым, кто засомневался в адекватности наших новых партнеров, оказался наш программист: "Такое впечатление, что интерфейс для работы писал школьник". Тем не менее, система оказалось рабочей: мы стали принимать платежи по кредитным картам, а клиенты радовались новому и удобному для многих способу оплатить наши услуги. Со временем оплат стало значительно больше, и здесь стали появляться проблемы. Согласно контракту с сервисом, выплаты "Хронопея" должны были осуществляться каждые две недели. Но когда подошло время, оказалось, что тут как раз не все так хорошо. Договорные сроки постоянно нарушались, суммы всячески занижались, а общение с менеджерами сервиса превращалось в невразумительный и нервозный флейм. Но то была еще прелюдия.

Через пару месяцев мы получили первое грозное сообщение chargeback. В случае если покупатель обнаруживает в своей выписке списание средств, которое было совершено не по его инициативе (мошенническая операция), то он вправе подать жалобу в банк. Банк, в свою очередь, проводит расследование и принимает решение: возвращать клиенту деньги или нет. Такой возврат денег называется chargeback. Что означает это для продавца? В случае чарджбека продавец теряет проданный товар или услугу, средства по платежу, комиссию, которая была уплачена за обслуживание платежа, комиссию за конвертацию валюты (если платеж совершался в валюте, отличной от валюты торгового счета), а также штраф, уплачиваемый продавцом банку в случае каждого чарджбека (до $50). Комментарии излишни. Само собой мы сразу начали выяснять, в чем причина этого чарджбека. Оказалось, что клиент якобы не получил услугу за свою оплату. Но, черт подери, мы-то продаем телекоммуникационные услуги. Биллинговая система фиксирует все действия клиента: что купил, когда и сколько времени пользовался. Все логи и скриншоты мы отправляем в Chronopay. Вежливый менеджер подбадривает нас, что клиентом оказался мошенник и, благодаря нам, они смогут вывести его на чистую воду, но… деньги клиента с нас списаны и вдобавок нам впарен штраф $30. Не самый удачный расклад.

Проходит время, и чарджбеки начинают появляться все чаще. Разбирательство по каждому из них чисто формальное, чаще всего не в нашу пользу. Когда штрафы начинают перекрывать прибыль, мы понимаем, что так называемые рисковые платежи легко отследить самим. Проверив через whois IP-адрес первого мошенника, выяснилось, что платил он с американской кредитной карты из солнечной страны Нигерии — даже прокси не использовал. "Хронопей" благополучно не заметил этого крохотного, но существенного факта и пропустил дивный платеж, и это нормальная практика! Но, к сожалению, все это мы выяснили много позднее, когда чарджбеки посыпались один за другим. И в основном платили из Румынии, Нигерии, Кот-д'Ивуара и подобных стран с американских и немецких карт. "Хронопей" не обращает на это внимания. Вероятно, не в силу низкой квалификации, а в силу неуемного желания заработать на доверчивом клиенте. В данном случае — интернет-магазине. Тут есть одна хитрость. Если платеж вернуть клиенту добровольно, то штрафа и пятна на репутации компании в виде chargeback можно избежать. Такая операция называется Refund и подразумевает возврат средств со счета продавца на счет покупателя, который инициирован самим продавцом. В этом случае банк или процессинг не участвует в разрешении споров между продавцом и покупателем, они договариваются между собой сами. Продавец сам принимает решение о рефанде: в этом случае он не платит штрафов в банк, но теряет комиссию за перевод и конвертацию. Чтобы как-то разрешить ситуацию с чарджбеками, мы создали свой отдел процессинга. Подход был прост: все рискованные платежи мы возвращаем сами и не обслуживаем по этому платежу клиента. Тут-то и разволновался "Хронопей". Менеджер сразу перестал быть приторно вежливым, а стал угрюмым и холодным. Когда в течение месяца не стало ни одного чарджбека, мы получили письмо о том, что "Хронопей" разрывает с нами контракт. Становится ясна нехитрая стратегия подобных финансовых посредников. Привлекая в оборот средства клиента и всячески уклоняясь от выплат, менеджеры "Хронопея" свою сверхзадачу посчитали выполненной.

Позже мы нашли для себя альтернативный биллинг.
LIQPAY

Относительно недавно украинский "Приватбанк" внедрил систему LiqPAY для авторизации кредитных карт, которая имеет несколько принципиальных отличий от других мерчантов. Процедура оплаты состоит из нескольких частей. Сначала клиент вводит данные кредитной карты, затем номер своего мобильного телефона. На мобильный приходит sms с единоразовым кодом. Этот код следует ввести в соответствующее поле. Если платеж успешный, ему присваивается статус "проверяется": такая проверка занимает от 5 минут до 12 часов. Как только платеж проверен и проведен, деньги поступают на счет интернет-магазина, без какого-либо холда — задержки, при которой процессинговая компания зачисляет деньги на внутренний счет, но вам не отдает.

Выводить деньги со счета LiqPAY на кредитную карту можно хоть каждый день. Комиссия на вывод небольшая:

* счет LiqPAY -> карта "Приватбанка" — 0.55$+0.5%;
* счет LiqPAY -> карта другого банка — 1.95$+1.0%.

При этом подключить прием платежей через LiqPAY — раз плюнуть. На освоение API и внедрение в нашу платежную систему нужных вызовов ушло 3-4 часа. Причем суппорт работает очень оперативно: можно писать в 2 ночи и быть уверенным, что тебе ответят. Тут, правда, вопрос в другом: как на него ответят! Сказывается большая текучка кадров в службе поддержки, а поэтому квалифицированный ответ за время нашего сотрудничества удавалось получить не всегда. Что касается ситуации с чарджбеками, то по сравнению с Chronopay — это небо и земля. LiqPAY всегда на стороне продавца. Чарджбеки можно оспаривать и вполне успешно. Также у них круглосуточный чат службы поддержки. Это удобно как для плательщика, так и для интернет-магазина: все проблемы можно быстро разрешить.

Впрочем, при всех плюсах есть и неудобства. Так, иногда срок проверки некоторых платежей доходит до 10 дней, что, конечно, не прибавляет довольства клиентов. Следующий нюанс заключается в том, что LiqPAY не принимает платеж, если IP-адрес плательщика и страна выдачи кредитной карты не совпадают. Это повышает безопасность, но порой лишает реальных владельцев карт возможности воспользоваться системой. Бывает, что SMS не приходит; тогда нужно обращаться в службу поддержки: те перезагружают SMS-шлюз и все начинает работать. Проблема в том, что не все клиенты будут тщательно добиваться оплаты, а просто уйдут к конкурентам. Уверена, что неудобства связаны с пока еще несовершенством молодой системы, однако такие "детские болезни" ограничивают желание переводить на нее ресурсы с высоким оборотом. Еще одна важная деталь — LiqPAY подходит, в основном, для процессинга карт русскоговорящей аудитории. Западные клиенты ее побаиваются.

Отработав схему продаж на русскоговорящем сегменте рынка, мы решили уверенным шагом направить луч маркетинга на запад. К сожалению, наши англо-, немецко- и китайскоговорящие братья и сестры не пользуются вебмани, не знают, что такое "Яндекс" и где находится главное отделение "Сбербанка".
UKASH

Посовещавшись, решили начать с британской платежной системы Ukash. Это ваучеры, которые можно приобрести в различных сетях терминалов по всей Европе. Подключение к системе заняло около 2 недель. К нам был прикреплен менеджер, который вежливо и грамотно отвечал на все вопросы. Главный плюс для клиента — это, конечно же, удобство. За наличные тот приобретает ваучер, затем вводится цифровой код в соответствующее поле — и все, покупка совершена. Если ваучер номиналом больше, чем сумма покупки, автоматически выдается ваучер на сумму сдачи. При необходимости ваучеры можно объединять и делить. Если на аккаунте продавца скапливается сумма более $500 — средства можно вывести на банковский счет. Тут важно, что Ukash работает только с юридическими лицами. Среди минусов — довольно высокий процент, который удерживается с суммы платежа (8%). Нас как продавца Ukash обрадовал возможностью бесплатно разместить свой баннер у них на сайте. Но система оказалась еще недостаточно распространена, поэтому транзакций с нее значительно меньше, чем ожидалось. Правда, надежда, что в скором времени она получит должное признание, есть :).
PAYPAL

А вот у кого нет проблем с популярностью, так это у PayPal. Родственные отношения с ведущим интернет-аукционом Ebay, процессинг многих видов кредитных карт и большой рекламный бюджет помогают этой системе завоевывать новых клиентов. Но перед тем как подключить к ней свой магазин, нужно обязательно иметь в виду следующее: Paypаl — слабо защищенная система. Фактически, подобрав пароль к аккаунту, мошенник может распорядиться банковскими счетами или кредитной картой, привязанной к счету. Конечно, нужно учитывать триггеры, на которые срабатывает достаточно продвинутая антифрод система: например, на часто меняющийся IP-адрес из разных стран. Мошенники имеют конкретные схемы и стараются быстро потратить деньги, покупая в интернет-магазинах всевозможные товары и услуги. Интернет-магазины, получив деньги, отправляют товары или предоставляют услуги на сумму транзакции. Но PayPal — система возвратная. Как только владелец аккаунта обнаруживает несанкционированную транзакцию и выставляет претензию, PayPal возвращает деньги с аккаунта продавца и, в результате, интернет-магазин в этой цепи становится жертвой. У многих компаний число рисковых платежей доходит до 20%. Надо отметить, что и PayPal со своей стороны не горит желанием завоевать необъятные просторы русскоговорящей аудитории. Россия, Украина вообще не входят в список стран, с которыми PayPal работает. Вернее работает, но только в одну сторону. Платить можно, а получать деньги нельзя.
LIBERTY RESERVE

Среди клиентов обязательно есть группа людей, которые хотели бы остаться анонимными. Мы уважаем право клиента не афишировать персональную информацию, если он приобретает у нас туристическую сим-карту или виртуальный телефонный номер для своей оффшорной компании на Кипре. Естественно, когда клиент вводит данные кредитной карты, оставаться инкогнито невозможно. Webmoney не имеет представительских отделений во многих странах Азии, Африки, Латинской Америки, поэтому использовать ее в этих целях может быть затруднительно. Зато есть платежные системы, позволяющие принимать анонимные платежи. Мы остановили свой выбор на Liberty reserve. Скажем прямо, сомнений в отношении этой системы много. Но то, насколько у компании все сделано профессионально, нас подкупило. Чего стоит многоступенчатая система защиты — одна из лучших из того, с чем нам приходилось работать.

Спорный момент заключается в том, каким образом и с кого получить деньги, если вдруг система перестанет существовать. Поэтому большие суммы денег на Liberty reserve мы стараемся не аккумулировать и поскорее выводить в доверенную валюту. То, как вывести деньги из системы — отдельный вопрос. Если из Webmoney, RBK Money или LiqPAY денежные средства можно вывести на банковский счет, то в Liberty такой возможности нет. Webmoney официально заявила, что платежные средства из других систем менять с Webmoney нельзя под страхом блокирования счета. Пожалуй, здесь и начинаются пируэты финансового менеджмента. Как виртуальные средства превратить в реальные без особых рисков и потерь? Путь воина — всевозможные обменные пункты в интернете. На данный момент мы используем сервис xrates, помогающий найти наиболее выгодные предложения по обмену. В отличие от многих других, xrates представляет отзывы пользователей и отображает рейтинг обменных пунктов, что хоть немного позволяет ориентироваться в море предложений по обмену. Неплохим вариантом также является биржа casher. Если внимательно относиться к процессу обмена и выбора партнера, читая отзывы и учитывая рейтинг, все заканчивается успешно. Встречаются, конечно, индивиды-мошенники, которые набивают взаимные рейтинги с себе подобными. Но, как правило, это легко можно отследить по датам регистрации и обменных операций.
ЗАКЛЮЧЕНИЕ

Как ты заметил, вариантов приема платежей очень много. У всех есть сильные и слабые стороны. Я намеренно в этом обзоре не касалась стандартного варианта — банковского перевода по счету. Конечно, этот вариант нами предусмотрен. Стандартный банковский платеж (или Wire Transfer) — основное средство расчетов с юридическими лицами. Но комиссии некоторых банков доходят до 50 долларов за транзакцию, и при небольших платежах совершать покупку становится просто экономически нецелесообразно. В сравнении с такой комиссией 0.8% за транзакцию в системе Webmoney выглядит гораздо привлекательней.

Чтобы начать вести бизнес в инете, вовсе необязательно подключать сразу все системы для приема платежей. Вполне достаточно одной-двух, но максимально удобных для той аудитории, которая будет пользоваться предлагаемыми услугами или приобретать товар. А уже со временем, учитывая отзывы и предложения, можно дополнительно вводить востребованные варианты для приема платежей. Ничего сверхъестественного здесь нет, а потому начать дело может

SAWWA
04.05.2010, 02:01
http://www.xakep.ru/post/51810/default.asp
Брокерская компания выплатит 375 000 долларов за взлом сайта

Брокерская фирма D.A. Davidson из США согласилась выплатить 375 000 долларов для снятия претензий в том, что ее неэффективная политика компьютерной безопасности стала причиной кражи латвийскими хакерами конфиденциальных сведений о 192 тысячах клиентов.

Поводом для выставления претензий послужил инцидент, произошедший 25 декабря 2007 года, когда хакеры воспользовались уязвимостью к SQL-инъекциям на сайте D.A. Davidson и загрузили из базы конфиденциальные данные. Сама фирма узнала о произошедшем лишь 2 недели спустя, когда злоумышленники предприняли попытку шантажа и прислали на ее адрес электронное письмо, приложив к нему данные на 20 000 клиентов.

Выяснилось, что сетевая защита фирмы Davidson была недостаточной, базы данных не шифровались, пароль доступа к базе по умолчанию не был сменен, а система обнаружения вторжений отсутствовала вовсе, несмотря на требования аудиторов.

Обвиняемые по этому делу Алесандрс Хохолко, Евгенийс Кузьменко и Виталийс Дроздовс признали себя виновными две недели назад, вынесение им приговора назначено на июнь. Статус четвертого обвиняемого, Роберта Борко, остается неизвестным.

SAWWA
05.05.2010, 11:41
В Германии назревает скандал, связанный с недостаточной защитой личных данных пользователей социальных сетей. Как сообщает интернет-издание Focus.de, немецкий студент получил доступ к личной информации 1,6 миллиона подростков. Это примерно 30 процентов от общего числа пользователей популярной в Германии молодежной социальной сети SchülerVZ.
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22251&stc=1&d=1273041493
Представители компании-владельца сети отрицают утечку личных данных подростков и утверждают, что речь идет о сведениях, доступных любому зарегистрированному пользователю SchülerVZ, отмечает AFP. Сам студент-компьютерщик мотивировал свои действия желанием показать компании пробелы в системе защиты личных данных.

Полный доступ
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22252&stc=1&d=1273041572
По словам молодого человека, он уже направил в адрес компании два электронных письма с указанием недочетов, но до настоящего времени так и не получил ответа.

Как сообщает сайт netzpolitik.org, многие учащиеся, создавая свой профиль в SchülerVZ, не ограничивают доступ к нему посторонних людей. Таким образом, информация о дате и месте рождения, месте жительства, школе, политических взглядах, хобби и даже личные фотографии оказываются в открытом доступе. Именно этой информацией могут воспользоваться злоумышленники.

"Посторонним вход разрешен"

В прошлом сайт SchülerVZ уже подвергался критике за недостаточную защищенность информации его пользователей. Так, в октябре 2009 года netzpolitik.org сообщил, что получил доступ к 100 000 различных файлов с личной информацией владельцев профилей этой социальной сети.

Тем не менее в марте этого года Немецкий фонд независимой экспертизы товаров и услуг Stiftung Warentest назвал систему защиты личных данных сайта SchülerVZ надежной и присвоил оценку "хорошо".

Автор: Екатерина Ловкис
Редактор: Геннадий Темненков

SAWWA
18.05.2010, 00:11
Современные системы управления, которыми оснащаются автомобили в настоящее время, позволяют взламывать машины и вызывать в них неисправности. К таким выводам пришли ученые из Калифорнийского и Вашингтонского университетов, сообщает PCWorld.

В ходе исследования американцам удалось на расстоянии отключить систему торможения автомобиля, в результате чего водитель не мог остановить машину даже при очень сильном нажатии на педаль. Для этого ученые подключили передатчик к портам системы диагностики автомобиля и управляли им, двигаясь рядом со "взломанной" машиной.

Помимо отказа тормозов, взлом компьютерной системы позволяет фальсифицировать показания спидометра, блокировать двери, выводить из строя кондиционер и мультимедийную систему.

Как заверяют ученые, цель их исследования – вовсе не напугать владельцев современных машин, а привлечь внимание автопроизводителей к проблеме защиты автомобильной электроники.

В 2008 году взлому немецких ученых подверглась система "бесключевого" доступа в автомобиль. Тогда исследователи создали устройство, позволяющее перехватывать зашифрованный сигнал от чип-ключа на расстоянии до 100 метров.
http://lenta.ru/
http://news.tut.by/auto/170317.html

SAWWA
19.05.2010, 01:29
Google перехватывал данные из незащищенных Wi-Fi сетей
Дата: 18.05.2010

Корпорация Google выступила с официальными извинениями в связи со скандалом вокруг несанкционированного сбора личной информации пользователей. Как выяснилось, тысячи автомобилей, делавших фотографии улиц американских и европейских городов для сервиса Street View, также собирали информацию из встреченных ими по дороге незащищенных беспроводных сетей WiFi.

В компании утверждают, что покусились на данные пользователей (записывался любой трафик, передаваемый через незашифрованное беспроводное соединение - электронные письма, переписка в мессенджерах, просматриваемые сайты и т.п.) случайно. "Выяснилось, что мы ошибочно собирали сэмплы данных из открытых сетей WiFi, хотя мы никогда не использовали эту информацию ни в каких продуктах Google", - сообщил старший вице-президент компании по разработками и исследованиям Алан Юстас в корпоративном блоге.

"Команда разработчиков Google напряженно трудится, чтобы завоевать ваше доверие - и мы со всей ясностью осознаем, что здесь нас постигла серьезная неудача. Мы глубоко сожалеем об этой ошибке и намерены извлечь из нее все возможные уроки", - написал топ-менеджер корпорации.

Как выяснилось, в 2006 году некий инженер Google, работавший над экспериментальным проектом, связанным с WiFi, написал программный модуль, собиравший образцы данных, передаваемых по публичным беспроводным сетям. Затем этот модуль был включен в состав программы, которой оснащались автомобили Street View - они не только фотографировали улицы, но и собирали базовую информацию о точках доступа WiFi - названия сетей и MAC-адреса устройств. Ее планировалось использовать в дальнейшем для сервисов определения местоположения пользователей. Однако сбор собственно данных, передававшихся по незащищенным сетям, произошел случайно.

В компании клянутся, что все случайно собранные таким образом персональные данные беспечных владельцев не защищенных паролем хот-спотов "изолированы в нашей сети так, чтобы исключить доступ к ним". В настоящее время компания выясняет у властей стран, где случилась "промашка", как наиболее правильным и законным образом эти сведения удалить.

Google успел охватить сервисом Street View большую часть территории США, и Мексики, отдельные города в Канаде, а также значительную часть Западной Европы, за исключением Австрии, Бельгии и Германии. В России съемок улиц Google пока не проводил, однако аналогичный сервис есть у "Яндекса".

Действия Google комментирует ведущий аналитик InfoWatch Николай Федотов: "Показательно существенно разное отношение к этому инциденту "технарей" и гуманитариев. Последние всерьёз говорят о нарушении "прайвеси" (privacy), полагают такие действия Google, как минимум, неэтичными, а то и незаконными. "Технари" же (а особенно - айтишники) не видят в записи незашифрованного wifi-трафика ничего неправильного. Они все как один ассоциируют незащищённый wifi с тем, что кто-то кричит на улице во весь голос; специально затыкать себе уши, чтоб не услышать чужую тайну частной жизни "технари" отказываются. Они не видят в записи и хранении такого трафика нарушений этики. А про закон компьютерщики, как правило, вообще не в курсе.

Те и другие сходятся на мысли, что Google повёл себя ответственно и благородно. Не стал выкручиваться, уничтожать улики и выгораживать "своих"; честно признал ошибку и принялся её исправлять. За что получает плюс в карму.

Однако проявившееся тут серьёзное различие в этике "физиков и лириков" нам ещё неоднократно аукнется по ходу технического прогресса".
http://www.xakep.ru/post/52121/

SAWWA
28.05.2010, 02:49
http://www.dw-world.de/dw/article/0,,5615159,00.html
http://www.dw-world.de/popups/popup_lupe/0,,5615159,00.html
Немецкие криминалисты требуют повысить защищенность "пластиковых денег". В минувшем году злоумышленники расшифровали данные около 120 тысяч кредитных и банковских платежных карточек, убыток превысил 40 миллионов евро.

Федеральное ведомство по уголовным делам (ВКА) требует повысить защищенность "пластиковых денег". Как сообщает в четверг, 27 мая, интернет-портал Welt.de, глава ВКА Йорг Цирке (Jörg Ziercke) настаивает на удалении магнитной полосы с кредитных и банковских платежных карточек. "Магнитные полосы – это технология вчерашнего дня, необходимо как можно скорее перейти к карточкам, оснащенным только микрочипами", - заявил Цирке, выступая на конференции, посвященной проблемам борьбы с подделкой "пластиковых денег". Он пояснил, что на микрочипах информация защищена с помощью цифровой кодировки, что существенно затрудняет ее считывание по сравнению с магнитной полосой. В результате манипуляции с банковскими автоматами становятся практически невозможными.

Глава ВКА приветствовал намерение Евросоюза перейти с 1 января 2011 года на технологии изготовления карточек с использованием микрочипов. Однако на них останется и магнитная полоса, так как в некоторых странах, например, в США, оплата возможна только карточками с магнитной полосой. В этой связи криминалисты предлагают выдавать отдельные карточки с магнитной полосой гражданам, направляющимся в Америку. Особой проблемой это не станет, так как, согласно статистике, 95 процентов граждан Германии используют "пластиковые деньги" только на территории Европы.

Агентство Reuters напоминает, что в минувшем году злоумышленникам удалось считать данные около 120 тысяч кредитных и банковских платежных карточек, ущерб составил более 40 миллионов евро. По данным ВКА, по числу атак на банкоматы в Германии лидирует федеральная земля Северный Рейн-Вестфалия (661 случай из общего числа 2058 в минувшем году), и Берлин (365). Как правило, мошенники предпочитают действовать на вокзалах, а также в пешеходных зонах. Всего в Германии в настоящее время насчитывается более 125 миллионов кредитных и банковских платежных карточек.

Автор: Михаил Степовик
Редактор: Сергей Гуща

SAWWA
28.05.2010, 02:50
http://www.dw-world.de/dw/article/0,,4911583,00.html
http://www.zamkidveri.com/forum/images/imported/2010/05/04275197_1100-1.jpg
Правительство Германии требует от банков более высоких стандартов безопасности кредитных карт. После обнаружения утечки данных кредитных карточек, в стране заканчивается крупнейшая акция по их обмену.


Министр защиты прав потребителей Германии Ильзе Айгнер (Ilse Aigner) требует от финансовых институтов придерживаться более высоких стандартов безопасности кредитных карт. "Я призываю банки как можно скорее принять все необходимые меры для обеспечения безопасности кредитных карт", - сказала министр в интервью газете Passauer Neue Presse, опубликованном в пятницу, 20 ноября. По ее словам, платежные системы должны быть организованы так, чтобы исключить возможность злоупотреблений.

По данным Центрального кредитного комитета Германии (ZKA), в стране уже практически завершен широкомасштабный обмен кредитных карточек, предпринятый после обнаружения утечки данных, предположительно, в испанской фирме, осуществляющей техническое обслуживание кредиток из Германии. По словам представительницы ZKA Мелани Шмергаль (Melanie Schmergal), если в ближайшее время владельцы карточек не получат соответствующего письма, то неприятности обошли их стороной.

Как сообщает агентство dpa, у Центрального кредитного комитета и Федерального ведомства по уголовным делам, до сих пор нет сведений о масштабах причиненного ущерба. Тем не менее, в общей сложности в Германии отозваны сотни тысяч кредитных карт. Компания Visa заявила, что этому примеру последуют банки и других стран, в частности, Австрии, Финляндии и Швеции.

Владельцев карточек просят не беспокоиться

Шмергаль подчеркнула, что потребители не должны беспокоиться о потерях, поскольку их убытки лягут на плечи финансовых учреждений. Вплоть до получения новых кредитных карт, можно пользоваться старыми, поскольку банки, чтобы пресечь возможные злоупотребления, ведут пристальное наблюдение за теми кредитками, к которым могли получить доступ хакеры.

Между тем, немецкие банки требуют от компаний Visa и MasterCard участия в возмещении убытков, понесенных в результате скандала, передает агентство AFP. Об этом говорится в письме, направленном этим компаниям Центральным кредитным комитетом. Visa и MasterCard пока никак не отреагировали на просьбу, пишет 20 ноября Handelsblatt.

Автор: Евгений Жуков
Редактор: Глеб Гаврик

SAWWA
29.05.2010, 01:45
http://www.3dnews.ru/news/
Встраиваемая в человека электроника тоже может «заболеть»

28.05.2010 [17:27], Артем Терехов

Мы живем в интересное время. Роботы занимаются тем, что женят влюбленные парочки, полеты в космос понемногу поворачиваются лицом к обычным людям, а машины и мотоциклы переходят с тарахтящих ДВС на электрические двигатели. Как водится, у прогресса есть и темная сторона – например, можно с уверенностью назвать имя первого человека, электронный имплантат которого подвергся заражению вирусом.

Британский ученый Марк Гассон (Mark Gasson) из Университета Ридинга (University of Reading) вшил в свою руку идентификационный чип, на который предварительно записал электронный вирус. Сделано это было для того, чтобы продемонстрировать утверждение – там, где присутствует электроника, есть опасность подцепить «заразу» и даже передать ее другим носителям имплантатов.
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22317&stc=1&d=1275078218
Чип доктора Гассона позволяет открывать двери и включать мобильный телефон, передача команд происходит посредством окружающих электромагнитных излучений. Серия проведенных тестов доказала, что зараженный имплантат может передать «болезнь» любому другому имплантату, взаимодействующему с электронной системой, к которой в данный момент подключен «больной».

Марк Гассон делится мнением о результатах: «С преимуществами подобных технологий сопряжены большие риски. Конечно, имплантаты могут улучшить функционирование организма, но по мере увеличения их присутствия в теле человека растут и вероятности стать жертвой электронной «заразы». Правда в словах доктора есть - представьте, что будет, если злоумышленник сможет получить доступ, например, к сердечному электростимулятору.

Тем не менее, британский ученый уверен в большом медицинском и косметическом будущем встраиваемой электроники. «Если мы найдем способ увеличить IQ человека или улучшить его память – наверняка многие пойдут ради этого на инвазивную процедуру» - напоследок добавляет доктор Гассон.


сразу приходит на ум цитата из Библии
Откровение, глава 13, стих 16, 17:
....И сделает он то, что всем, малым и великим, богатым и нищим , свободным и рабам, положено будет начертание на правую руку их или на чело их, и что никому нельзя будет ни покупать, ни продавать, кроме того, кто имеет это начертание, или имя зверя или число имени его.
Здесь мудрость. Кто имеет ум, тот сочти число зверя, ибо это число человеческое; число его шестьсот шестьдесят шесть.....

.. вероятнее всего идёт речь о том, что "..начертание " это http://www.zamkidveri.com/forum/attachment.php?attachmentid=22318&stc=1&d=1275079257 печатная плата..электронный модуль... название того, что по сути это и в определённой мере схоже с процессом изготовления электроники.. умному понятно.. :) ну а то, что большинство народа не откажется от возможности расширить свои возможности за счёт симбиоза машины и человека..
как классно , когда можно хакнув правительственный сервер заполучит информацию о всех, можно смело открывать все без исключения двери.. и не только.. тут уж и до власти над всем миром недалеко.. брр
..............................

SAWWA
10.06.2010, 00:48
Площадка для взлома: головоломки для хакеров
Дата: 03.06.2010
Легальный взлом. Можно ли заниматься любимым делом и прокачивать свои навыки в пентесте, не нарушая закон? Где можно проводить инъекции и экспериментировать со сплоитами, не думая о том, включен VPN или нет? Как опробовать полученные знания, пробравшись от бага в скрипте до самого рута в системе? Способ есть!

Нас часто спрашивают: "Как научиться взлому?". Ответ прост: так же, как и любому другому предмету. Сначала ты глубоко и вдумчиво изучаешь теорию, затем приступаешь к практике. Разница лишь в том, что для изучения, скажем, математики полно готовых задачников для тренировки, а для взлома — их вроде бы и нет. "Как это нет? А любая шароварная программа, любой ресурс в Сети — чем не площадка для взлома?" — возмутишься ты. Это, конечно, вариант. Только, во-первых, начав эксперименты в подобном ключе, ты имеешь все шансы их быстро и закончить. А, во-вторых, не имея за плечами даже минимального опыта, сразу брать быка за рога, пытаясь анализировать серьезные ресурсы — все равно что бросаться на амбразуру. Занятие, мало того, что опасное, но еще и бестолковое. Есть вариант лучше!

Многие компании, занимающиеся обучением специалистов по информационной безопасности, готовят всевозможные кейсы. Те же самые задачки по математике, но только в контексте пентеста. Аналогичные решения предлагают и просто энтузиасты, демонстрируя на них различные приемы взлома. За основу часто берут старые версии известных продуктов, в которых полно неисправленных уязвимостей, иногда такие квесты пишут с нуля — так или иначе, в них намеренно встроили баги, которые можно удачно эксплуатировать. Некоторые из площадок хостятся прямо в Сети, предлагая пройти своеобразный ][-квест (такой, как наш, ring0cup.ru), другие предполагают установку на свой собственный веб-сервер, третьи распространяются в виде образа виртуальной машины — ее просто надо запустить. Во всем разнообразии этих проектов нам сегодня и предстоит разобраться.
Damn Vulnerable Web App

Обычно создатели веб-приложений всячески хвастаются высокой надежностью своего продукта, кичатся встроенным WAF (файрволом для веб-приложений) и стыдливо отшучиваются, если в их сценариях находят очередной баг. Разработчики Damn Vulnerable Web App, напротив, категорически заявляют, что установка на живом веб-сервере неприемлема, потому как приложение… "чертовски уязвимо" :). Все самые распространенные ошибки горе-программистов собраны в одном месте, чтобы ты смог потренироваться на проведении самых разных атак.

В качестве платформы выбрана наиболее популярная связка PHP/MySQL, по этой же причине мы начинаем наш обзор именно с DVWA. Если хочешь сэкономить время на настройке веб-сервера, все отлично заведется на готовых сборках: Denwer'е или XAMPP'е. Собственно, необходимо лишь распаковать файлы в public html-каталог и обратиться в браузере к http://127.0.0.1/dvwa/index.php. Не придется даже ковыряться с ручным созданием базы: в меню есть кнопка "Create / Reset Database". Но если все же захочется что-то подкрутить, то это можно сделать в конфиге /config/config.inc.php. Еще один момент касается настройки PHP: надо убедиться, что в PHP.ini внесены все изменения.

magic_quotes_gpc = Off
allow_url_fopen on
allow_url_include on

Проект постоянно обновляется, а в конце 2009 года он был даже приобретен инвесторами, так что вполне возможно, что вскоре нас ждут серьезные улучшения.
Mutillidae

Автор этого проекта поначалу собирался снять для новичков видеоуроки по пентесту веб-приложений с объяснением основ пентеста. Когда же дело дошло до поиска подходящей платформы для демонстрации различных типов уязвимостей, автор попал впросак. Подходящей платформы попросту не нашлось: большинство решений оказались слишком сложны для объяснения азов новичкам, только начинающим знакомство с проблемами безопасности веб-приложений. Так и родился проект Mutillidae.

Автор взял список из десяти типов уязвимостей OWASP Top 10: SQL-инжекции, XSS, CSRF и так далее — и написал скрипты так, чтобы желающий мог попробовать свои силы в эксплуатировании каждой из них. Код намеренно написан очень просто, чтобы облегчить понимание сути уязвимостей. Как и DWVA, проект легко устанавливается под виндой и туксом даже на XAMPP-сервере, а необходимые базы данных создаются с помощью опции "Setup/reset the DB" из главной страницы проекта. Автор предлагает последовательно читать информацию о каждой уязвимости из OWASP Top 10 и, разобравшись в вопросе, пробовать свои силы на Mutillidae. Если эксплуатация тебе удалась, то во второй части квеста баг надо пофиксить.
WebGoat

Когда автор Mutillidae говорил о том, что многие из хакерских квестов не подходят для новичков, он имел в виду, в том числе, разработку WebGoat. Проект примечателен тем, что развивается в рамках уже знакомого проекта OWASP (Open Web Application Security Project), под эгидой которого выпускается большое количество security-утилит. Но если два предыдущих проекта предлагают играться с PHP-приложениями, то здесь ты столкнешься с кодом, написанным на Java. Для хостинга J2EE-приложений используется стандартный TomCat-сервер — к счастью, он уже включен в сборку WebGoat и настроен так, чтобы запустить его можно было максимально просто:

1. Сначала распаковываем WebGoat-OWASP_Standard-x.x.zip в рабочую директорию.
2. Стартуем демон TomCat'а, запустив webgoat.bat. Для этого в системе должен быть установлен свежий J2EE.
3. Переходим в браузере по ссылке http://localhost/WebGoat/attack.
4. Авторизируемся как guest/guest.
5. Пробуем свои силы.

Задания, как правило, привязаны к реальной проблеме. Например, в одном из квестов предлагается провести SQL-инжекцию с целью украсть список поддельных кредитных номеров. Некоторые задания сопровождаются учебной составляющей, показывающей пользователю полезные хинты и уязвимый код.
SecuriBench

Когда пройдешь все замысловатые квесты WebGoat, можешь перейти на более сложный проект Stanford SecuriBench. Дело в том, что разработчики не писали его с нуля, умышленно оставляя слабые места — вместо этого они пошли по другому пути и собрали подборку из 8 реально существующих программ. Все они написаны на Java: форумный движок jboard, блогерский сценарий blueblog и так далее. Само собой, в качестве образцов были выбраны достаточно старые и сырые релизы, которые не раз светились в багтраках. И тем не менее, это вполне реальные приложения, создатели которых задумывались о защите, а потому эксплуатировать бреши будет уже не так просто. По сути, SecuriBench — всего лишь сборник уязвимых программ, поэтому каждую из них тебе придется устанавливать и настраивать вручную, предварительно позаботившись о настройке сервера Tomcat.

Примечательно, что проект родился в ходе работы авторов над утилитами для статического анализа кода, поэтому если будешь искать подопытных кроликов, чтобы потестить тулзы для исследования сорцов, то приложения из SecuriBench — как раз то, что надо.
Moth

Еще один сборник реально существующих приложений, но в совершенно ином виде представлен в проекте Moth. От других проектов его отличает то, что распространяется он в виде образа для виртуальной машины, в которой установлена Ubuntu 8.10. Собственно, все, что потребуется для запуска, — это любой из продуктов VMware, способный запустить виртуальную машину, в том числе бесплатный VMware Player.

Изначально Moth настроен на получение всех сетевых настроек от DHCP-сервера, поэтому надо убедиться, что сетевые параметры в настройках виртуальной машины выставлены соответствующе (у меня, к примеру, IP выдает роутер, поэтому я просто выбрал режим Bridged, выпускающий виртуальную машину в физическую сеть). Далее достаточно запустить виртуалку, залогиниться в систему (moth/moth), посмореть ifconfig'ом полученный системой IP и обратиться к админке Moth через браузер: http://<moth-ip_address>. Ты попадешь на главную страницу, откуда можно перейти на предустановленные на сервер скрипты известных продуктов: блогерский движок Wordpress 2.6.5, форум Vanilla 1.1.4 и другие разработки на базе PHP/MySQL, а также один проект на Java + Tomcat6 + MySQL.

Для усиления реальности происходящего реализованы три способа для обращения к скриптам: напрямую, через mod_security, и через PHP-IDS:

1. http://moth/w3af/audit/xss/simple_xss.php?text=<script>alert('xss');</script>
2. http://moth/mod_security/w3af/audit/xss/simple_xss.php?text=<script>alert('xss');</script>
3. http://moth/php-ids/w3af/audit/xss/simple_xss.php?text=<script>alert('xss');</script>

Mod_security и PHP-IDS представляют из себя WAF (Web Application Firewall) и предлагают дополнительную защиту для веб-приложений (подробнее в нашей статье "Файрвол для веб-приложений" в октябрьском номере "Хакера"). Каждый из них ведет подробный лог подозрительных запросов, поэтому это еще и отличный способ разобраться, как эти самые WAF работают и как можно их обмануть. Сам проект обновляется, и авторы обещают в ближайшем будущем добавить уязвимые приложения, написанные на Python и Ruby.
Тестовые площадки продуктов по ИБ

Сам дистрибутив Moth создавался со вполне конкретной целью. Так же, как мы собирали систему для удобного тестирования антивирусов с помощью виртуальных машин, так и автор Moth компоновал дырявые веб-проекты, чтобы иметь возможность удобно тестировать автоматические сканеры безопасности. В результате у него получилась платформа, на которой он смог протестировать коммерческие продукты и открытый фреймворк w3af, специально разработанный для упрощения поиска и эксплуатирования уязвимостей в веб-приложениях. Тут надо сказать, что производители коммерческих сканеров безопасности и сами активно занимаются созданием подобных площадок для проведения полевых испытаний. В конце концов, где еще им отлаживать свои продукты и демонстрировать их возможности клиентам?

Так, разработчики Acutenix WVS предлагают сразу три сайта на разных платформах: testphp.acunetix.com, testasp.acunetix.com, testaspnet.acunetix.com. Тестовый ресурс от HP (в теории для их HP WebInspect) находится по адресу zero.webappsecurity.com. Площадка для взлома от разработчиков IBM Rational AppScan располагается на demo.testfire.net. Не надо ломиться туда для поиска багов вручную, а вот попробовать на этих проектах автоматические сканеры в действии можно вполне.
Уязвимые ОС

А вот создатель pWnOS решил не ограничиваться только веб-приложениями и решил выпустить на основе виртуальной машины уязвимую систему, поставив перед тобой задачу "получи root'а". Легенда следующая: тебя, как пентестера, нанимают для изучения защищенности одного из выделенных серверов. Вот тут и начинается игра: поиск живых хостов nmap'ом, поиск уязвимых сервисов, получение сертификатов для доступа по SSH, поиск локальных сплоитов и так далее — короче, рай для новичков. Инструкции, как заставить это работать под VirtualBox'ом, советы и рекомендации по прохождению можно найти на форуме forums.heorot.net.

О проекте Damn Vulnerable Linux мы писали уже не раз. Это, пожалуй, наиболее раскрученная разработка из всех сегодня представленных. В своем дистрибутиве разработчики намеренно оставили бажные демоны, на которых можно легко применить сетевые сплоиты, уязвимые сценарии, позволяющие выполнить наиболее распространенные виды атак (SQL-инъекция, XSS и т.д.), и просто недостаточно защищенные приложения, специально для того, чтобы желающие могли потренироваться эти самые уязвимости находить. Система распространяется в виде LiveCD-образа и легко запускается под виртуальной машиной VMware или VirtualBox.

Другой проект De-ICE PenTest состоит уже не из одной системы, а из трех. Легенда такова: генеральный директор некой компании должен провести пентест своей ИТ-инфраструктуры, чтобы отчитаться перед советом директоров. Будучи уверенным, что с безопасностью и так все в порядке, он для галочки нанимает новичка и поручает ему сделать пентест одного из серверов. Когда ты справишься с этим заданием, тебе предложат сделать более сложный пентест другой системы — это второй квест. Когда и здесь обнаруживаются критические ошибки, директор отдает тебе на растерзание диапазон IP-адресов и говорит: "Делай, что хочешь!". Каждое из трех заданий распространяется в виде LiveCD и также отлично запускается под виртуальными машинами. Инструкции по настройке и шпаргалки по прохождению ищи на de-ice.hackerdemia.com/doku.php.
Крякинг и реверсинг

На протяжении всей предыдущей части материала мы касались исключительно веб-взлома, обходя стороной взлом программ. Что же делать тем, кто хочет удариться в реверсинг? К счастью, в этой области проблем с квестами никогда не было. Начинающие cracker’ы и опытные реверсеры могут развлекаться на небольших программах, которые специально созданы для того, чтобы их взломали. Я говорю о так называемых crackmes’ах, которые можно скачать, например, с www.crackmes.de или www.tdhack.com. Для удобства они рассортированы по сложности: начиная от самых простых заданий, специально рассчитанных на тех, кто только осваивает отладчик, и заканчивая сложными задачками с массой антиотладочных трюков, которые могут поспорить с серьезной защитой у настоящих программ. Упершись в тупик, всегда можешь попросить помощи у огромного компьюнити, к тому же для многих из крякмисов выложены мануалы по прохождению. Кстати говоря, если ты действительно решился взяться за cracking, рекомендую прочитать наш старый материал "Cracking — это просто" из ][ #08/2005. Все основные моменты и простейшие приемы мы рассматривали на одной из популярных подборок crackmes'ов.
Разработка эксплоитов

Если внимательно изучать описания последних сплоитов, несложно заметить, что большинство из них эксплуатируют старые версии приложений, которые по-прежнему остаются в ходу. Самый ходовой пример — IE8, запущенный под Vista/W7, практически не ломают, а для IE 6/7 под XP даже публичные сплоиты выходят каждый месяц. Вот с "осла" и начнем: где взять старую версию, если система давно обновила его до "восьмерки"? Тебе поможет Internet Explorer Collection. С помощью одного инсталлятора ты сможешь разом установить все версии Internet Explorer и в случае необходимости быстро переключаться между ними. Программа прописывает в системе различные движки IE и делает это так, чтобы они не конфликтовали между собой. Правда надо иметь в виду, что для старых версий браузера могут возникнуть проблемы с их запуском под последними версиями винды.

Понятно, а как быть с другими браузерами и вообще любыми программами: где найти старую уязвимую версию? Конечно, уязвимости лучше искать в новых версиях — это как-то правильнее :). Но если все-таки хочешь поэкспериментировать с готовыми сплоитами, разобраться что к чему, тебе помогут сервисы oldapps.com и oldversion.com, где хостятся устаревшие версии программ. Можно, например, скачать полсотни различных версий Winamp'а, начиная с релиза 0.2 — только представь, сколь давно это было.
Зачем?

Можно сколько угодно читать готовые инструкции и вслед за кем-то повторять якобы "взлом". Или скачивать готовые сплоиты и пытаться применить их, абсолютно не понимая, что они делают. Но разве тебе это интересно? Ведь если разобраться во всем, а каждый шаг делать с пониманием, то и удовольствия от процесса ты получишь гораздо больше. Этот материал едва ли будет полезен опытным пентестерам, но если ты только начинаешь свой путь, возьми эти решения на заметку. Более эффективного и безопасного способа освоить азы пентеста не существует.

Головоломки для хакера

Один из самых интересных способов развлечься со взломом, поломав голову над хакерскими задачками — это хакерские квесты. Некоторые из таких квестов ведут рейтинг, в котором учитывается время решения задачки и количество неправильных попыток для ввода результата. Если ты когда-нибудь пробовал проходить наши ][-конкурсы, то понимаешь, о чем идет речь. Несколько квестов и сейчас доступны в рамках проекта ring0cup.ru, так что если хочешь попробовать силы в поиске автора зловредного трояна, утащив у него архив с логами, или в расшифровке сдампленного трафика, в котором передавались финансовые потоки предприятия, то добро пожаловать. Ресурсов, предлагающих такие квесты, довольно много — кратко расскажу о некоторых из них:

* mod-x.com. В этой онлайн игре ты становишься одним из агентов структуры Mod-X, тебе даются задания и ты должен их проходить. Задания разделяются на разные уровни сложности, поэтому чем дальше у тебя получится пройти, тем интереснее будет играть.
* hax.tor.hu/welcome. В этом квесте сначала придется пройти разминку, выполнив 5 простых заданий.
* quest.fsb-my.name/index.php. Очень неплохой квест, предлагающий задания на самые разные темы, в том числе крякмисы.
* vicnum.ciphertechs.com. Соревнование "Capture the flag", включающее большое количество ][-заданий. Кстати, ты можешь узнать, как устроена игра изнутри — исходники проекта открыты.

Список можно продолжать и дальше. Если этого перечня тебе окажется мало, а вероятно, так и будет, рекомендую ресурс hackergames.net, на нем собрано более 150 ссылок на квесты и челленджи с комментариями игроков, а также мануалами по прохождению.



вот так.. хакеры подрастающие начинают... учатся.... .... в сети много есть полезного.. но не для простых обывателей

SAWWA
19.06.2010, 02:04
Спустя год после несостоявшегося выступления на конференции Black Hat, которое было отменено его бывшим работодателем, эксперт по компьютерной безопасности Барнаби Джек готовит к этому ежегодному мероприятию следующую презентацию. На ней исследователь планирует рассказать о своем новом рутките для банковских терминалов.

Джек продемонстрирует несколько методов атаки на банкоматы, включая удаленные сетевые атаки. Помимо этого, он представит “мультиплатформенный руткит” и расскажет о том, как производители банкоматов и финансовые организации могут предотвратить озвученные им угрозы.

В прошлом году компания Juniper Networks, на которую трудился Барнаби Джек, отменила его доклад на аналогичную тему по просьбе одного из производителей банковских терминалов, опасавшегося неправомерного использования данной информации. В отличие от получивших широкое распространение косвенных способов обхода средств защиты банкоматов, методика Джека предполагает эксплуатацию программных ошибок, присущих различным моделям банкоматов.

Исследователь посвятил лишний год вынужденного молчания более глубокому изучению проблемы. По его словам, в прошлом году у него был готов эксплоит лишь для одного банкомата, сейчас же он имеет возможность взломать уже две новых модели терминалов от двух крупнейших производителей.

Похоже, Барнаби скромничает. Во всяком случае, организатор конференции Black Hat Джефф Мосс уже заявил, что у Джека была целая комната, заставленная банкоматами, и каждый из них имел ту или иную уязвимость. Отметим, что рассказать обо всем этом исследователь сможет уже в конце июля в Лас-Вегасе, где в этом году и пройдет саммит по компьютерной безопасности Black Hat.
http://www.xakep.ru/post/52003/default.asp

Взлом дорожных знаков: впереди зомби!
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22368&stc=1&d=1276895030
Знаки, подобные этому, встречаются на зарубежных дорогах достаточно часто - они сообщают о состоянии дороги или о том, что какой-нибудь мост будет закрыт в следующий вторник с обеда и до полуночи, и обычный человек всегда уверен в том, что информация поступает из надежных источников. Однако, что если вместо надписи "Впереди гололедица" ты увидишь предупреждение о том, что дальше ты повстречаешь зомби?

Вероятно, в некоторых областях объявление подобного рода и может быть сделано местными транспортными властями, однако мы все же склоняемся к мысли о том, что авторами проделки стали взломавшие данный дорожный знак студенты Массачусетского технологического института. По сведениям i-hacked.com, некоторые из таких знаков перепрограммируются очень легко, поскольку имеют незакрытые инструментальные панели, позволяющие получить доступ к системе ввода текста и легкие или стандартные пароли
http://www.xakep.ru/post/46973/default.asp

SAWWA
19.06.2010, 02:05
Физики из университета Торонто впервые экспериментально продемонстрировали необнаруживаемый метод перехвата сообщений в системе распределения квантовых ключей.

Надёжность квантовой криптографии обеспечивается тем, что присутствие постороннего всегда выдаст создаваемый активностью перехватчика уровень шума в канале. Однако реальный пользователь такой системы вынужден мириться с неустранимым шумом, для которого строго определён "безопасный" уровень. Так, для распространённого протокола ВВ84 максимальная частота возникновения "ошибочных" квантовых битов при сохранении защищённости передачи принята за 20%.

Авторы нынешнего эксперимента в 2007 году уже теоретически доказали, что нарушить это условие и "прослушать" систему распределения квантовых ключей вполне реально (о чём была опубликована статья в Physical Review A). Теперь же расчёты канадцев подтвердились опытом с установкой ID-500, изготовленной швейцарской компанией ID Quantique и работающей по тому самому протоколу BB84.

Как заявляют учёные, им удалось взломать систему, при этом сохранив частоту появления ошибок в размере 19,7%. Представители компании, однако, отказываются признавать важность факта взлома и заявляют, что в современных установках ID Quantique порог безопасности снижен до 8%.

Статья канадских физиков выложена в открытый доступ. Напоследок заметим, что в современном мире значение квантовой криптографии растёт и ширится, её развивают и косвенно относящиеся к теме эксперименты, как, например, недавний опыт по квантовой телепортации.
http://www.xakep.ru/post/52181/default.asp

SAWWA
20.06.2010, 01:01
Исследователь Лоран Удо из консалтинговой фирмы Tehtri-Security обнародовал данные о 13 ранее неизвестных уязвимостях в таких хакерских утилитах, как Eleonore, Liberty, Neon и Yes. Бреши в этих программах, используемых для заражения уязвимых компьютеров через скомпрометированные сайты, позволяют специалистам наносить ответные удары по киберпреступникам.

Во время презентации на конференции SyScan в Сингапуре Удо рассказал, что эксперты по компьютерной безопасности и правоохранительные органы могут использовать обнаруженные бреши для слежения за хакерами, развертывающими комплекты эксплоитов и сетевые бэкдоры, а также для нанесения контрударов по ним, установления их личностей и прекращения деятельности серверов управления.

”На презентации мы показали возможности для установки ловушек и проведения удаленных атак на сетевые утилиты тех людей, которые стоят за организацией ботнетов”, отметил Удо.

Так, одна из атак против Eleonore позволяет исследователям красть cookie авторизации, которые киберпреступники используют для доступа к панели управления. Описанный экспертом метод основан на комбинации из SQL-инъекции и межсайтового скриптинга. Детали всех 13 эксплоитов еще не опубликованы, однако Лоран собирается обнародовать их уже в ближайшем времени. Пока же кое-какую информацию можно почерпнуть здесь и здесь.
http://www.xakep.ru/post/52463/

SAWWA
25.06.2010, 00:54
Арестованы создатели крупнейшего анлоязычного хакерского форума в мире
http://www.xakep.ru/post/52514/
В Великобритании арестованы двое юношей 17 и 18 лет, которых полиция подозревает в причастности к созданию "крупнейшего в мире англоязычного форума киберпреступников". По информации ComputerworldUK, подростки были его администраторами. Название и адрес форума СМИ не называют.

На форуме, участниками которого были около 8 тыс. пользователей, велась торговля хакерским ПО, инструкциями по взлому и крадеными банковскими реквизитами.

На продажу были выставлены, в частности, код троянской программы ZeuS и номера банковских карт, на счетах которых в общей сложности находилось почти $12 млн.

Юношам грозит обвинение сразу по нескольким статьям, в том числе в подстрекательстве к совершению преступления и мошенничестве по тайному сговору. Из тюрьмы они были выпущены под залог до окончания следствия.

В апреле на одном из таких хакерских форумов были выставлены на продажу взломанные аккаунты пользователей социальной сети Facebook. За 1000 аккаунтов продавцы просили $25.

SAWWA
04.07.2010, 01:20
http://www.xakep.ru/post/52576/


Белоруссия: интернет по паспорту

С 1 июля в Белоруссии вступил в силу указ №60 "О мерах по совершенствованию использования национального сегмента сети Интернет", предписывающий всем пользователям Интернета для выхода в Сеть предъявить паспорт (или другой документ, удостоверяющий личность), либо указывать данные этих документов. Правозащитники и оппозиционеры называют это "психической атакой", а обычные люди и бизнесмены разводят руками и констатируют, что указ очень усложняет им жизнь.

Напомним, что Указ №60 предусматривает введение ряда ограничений на деятельность в Интернете. Например, заниматься хозяйственной деятельностью на территории страны можно только в национальном сегменте сети интернет. Кроме того, публичный доступ в Сеть в интернет-кафе или через Wi-Fi должен осуществляться при идентификации пользователя. Как сообщают белорусские Интернет– издания, минские интернет-кафе уже начали удостоверять личности пользователей, переписывая паспортные данные посетителей и занося их в специальную базу. Записывают сведения подробно. Интернет "включается" по предъявлении паспорта, военного билета, водительского удостоверения, пенсионного удостоверения, студенческого билета, паспорта моряка. Карты Wi-Fi компании "Белтелеком" также продаются только после предъявления паспорта.

Несмотря на то, что Указ №60 широко обсуждался, многие посетители кафе не знают в чем дело, и сотрудникам интернет-кафе приходится объяснять посетителям положение дел.

Также, согласно Указу № 60, провайдеры Белоруссии должны хранить у себя в течение одного года все данные об использовании интернета своими клиентам, а правоохранительные органы имеют право запрашивать информацию о трафике интересующих их лиц. Новый указ президента обязывает проходить обязательную регистрацию и все сайты, размещенные на территории Белоруссии. Правда, ни хостинг-провайдерам, ни их клиентам так и не понятен механизм. Контроль регистрации будет осуществлять Государственная инспекция по электросвязи (БелГИЭ).

SAWWA
04.07.2010, 01:24
http://www.xakep.ru/post/52569/default.asp
Новое исследование антивирусной компании Avast оспаривает удобное, но совершенно неправильное утверждение, что отказ от посещения порносайтов и сайтов с контрафактным контентом снижает риск заражения вредоносным ПО.

По данным компании, на один инфицированный порносайт приходится в среднем 99 законопослушных зараженных доменов. К примеру, в Великобритании домены, содержащие слово ”London”, компрометируются хакерами куда чаще, чем домены, содержащие слово ”sex”. Так, среди инфицированных оказался раздел сайта сотового оператора Vodafone, посвященный смартфонам. В нем обнаружился вредоносный JavaScript, перенаправляющий посетителей на сайт, который пытается эксплуатировать непропатченную уязвимость в Центре справки и поддержки Windows (CVE-2010-1885).

Случай с Vodafone типичен для каждого пятого инфицированного ресурса, обнаруженного Avast в ходе анализа анонимных логов детектирования, присланных пользователями антивируса этой компании с середины прошлого года. Согласно этим данным, к числу инфицированных также относится популярный бразильский софтверный портал Baixaki и множество сайтов небольших фирм в Германии. При этом специалисты Avast утверждают, что наметилось явное снижение числа инфекций в сайтах ”для взрослых”.

”Не то, чтобы мы рекомендовали искать эротику в Сети, однако статистика очевидна – на каждый зараженный домен для взрослых приходится 99 инфицированных доменов с абсолютно нейтральным и законным контентом”, - отметил технический директор Avast Ондрей Влчек.
http://www.xakep.ru/post/52569/default.asp

SAWWA
04.07.2010, 02:34
http://www.xakep.ru/post/52532/default.asp
Интернет-провайдер ePhone заподозрил шведскую антипиратскую группу Antipiratbyrеn во взломе FTP-сервера.

Antipiratbyrеn представляет интересы пяти книгоиздателей, которые в 2009 году обратились в суд с просьбой предоставить им информацию о владельце FTP-сервера. На сервере, предположительно, хранились более 2 тыс. аудиокниг. По меньшей мере 27 из них, утверждали истцы, были получены нелегально.

FTP-сервер принадлежал частному лицу, а доступ к нему был закрыт паролем. В июне 2009 года суд приказал интернет-провайдеру ePhone, обслуживающему сервер, предоставить информацию о его владельце.

В ответ ePhone заявил, что доступ к серверу закрыт, поэтому узнать о наличии на нем аудиокниг мог только тот, кто знает пароль, или же тот, кто сумел обойти защиту нелегально. Апелляционный суд признал за ePhone право сохранить информацию о владельце сервера в тайне от Antipiratbyrеn.

Сейчас дело передано на рассмотрение в Верховный суд Швеции. Прокурор Бьорн Эриксон не согласился с тем, что единственный способ получить доступ к серверу — это взлом, и отметил, что "существует несколько способов получить информацию и при этом не совершить преступления".

SAWWA
06.07.2010, 01:30
http://www.3dnews.ru/news/

Хакеры взломали YouTube

05.07.2010 [13:20], Александр Будик

Чем популярнее сайт или сервис, тем у большего числа хакеров есть желание найти в нём уязвимости. Ведь в таком случае они не только могут получить финансовую или какую-либо выгоду от использования этой «дыры», но и стать знаменитыми и уважаемыми в своих узких кругах.

Со вчерашнего дня в Сети кругами расходятся сообщения о взломе известного видеосервиса YouTube. По предварительным сведениям, к инциденту причастны члены одного из крупнейших имиджбордов 4chan. Хакеры использовали межсайтовый скриптинг (XSS) в комментариях YouTube – найденная уязвимость позволила им внедрять в код комментариев JS-скрипты, перенаправлять пользователей на вредоносные сайты, получить доступ к файлам cookie пользователей, посетивших скомпрометированные страницы.

Представитель Google поспешил успокоить общественность, что всё это не может привести к взлому учетных записей Google, но, тем не менее, посоветовал в качестве меры предосторожности выйти из своего аккаунта и зайти повторно. Как отмечается, хакеры, в первую очередь, встроили свой код в страницы с видео, на которых запечатлен певец Джастин Бьебер (Justin Bieber).
Пользователям, которые заходили на эти страницы, показывалось всплывающее окошко (pop-up) с надписью о том, что Джастин Бьебер умер, после чего они перенаправлялись на сайты с контентом для взрослых. Но атаке подверглись и некоторые другие страницы, не связанные с Джастином Бьебером.

Компания Google быстро отреагировала на ситуацию. Комментарии временно были спрятаны. В течение экстренной двухчасовой работы программисты разработали обновление, закрывающее доступ к данной уязвимости.

Отметим, это не первый инцидент с безопасностью, связанный с сервисами Google. Не так давно, в апреле этого года хакеры получили массовый доступ к почтовым ящикам Gmail и рассылали спам от имени ничего не подозревающих пользователей.

SAWWA
07.07.2010, 11:54
Эксперт отменил лекцию по взлому банкоматов под угрозой судебного преследования
http://www.xakep.ru/post/52618/


Рауль Кьеза, известный европейский специалист по компьютерной безопасности, был вынужден отменить свое выступление на конференции HITB после того, как производители банковских терминалов пригрозили ему судебным преследованием. Предполагалось, что в ходе своего доклада Кьеза представит результаты многолетних исследований киберпреступности.

По данным из различных источников, выступление Рауля Кьезы было отменено буквально в самый последний момент и заменено на доклад другого эксперта, Джоба де Хааса. Как оказалось, производителям банкоматов не понравилось то обстоятельство, что в ходе своего выступления Кьеза планировал продемонстрировать реальные методы взлома банкоматов и эксплуатации уязвимостей в них.

Особенно удивительным давление со стороны фирм-производителей выглядит в свете того, что исследователь уже проводил аналогичные презентации на других конференциях по безопасности и все сопутствующие им материалы доступны в Сети. Кроме того, организаторы конференции уверяют, что обо всех имеющихся брешах производители были уведомлены задолго до открытия конференции HITB. Тем не менее, решить имеющиеся проблемы они не сумели или не захотели.

Нельзя не отметить, что этот случай – уже далеко не первый. Так, в прошлом году компания Juniper Networks была вынуждена запретить своему специалисту Барнаби Джеку проводить презентацию на конференции Black Hat, посвященную уязвимостям в системах защиты банковских терминалов. К счастью, эксперт больше не является сотрудником этой фирмы и в этом году подготовил еще более полный доклад.

SAWWA
07.07.2010, 12:01
http://www.xakep.ru/post/52617/

Корпорация Microsoft согласилась поделиться с российскими спецслужбами исходными кодами Windows 7, Microsoft Office 2010 и других программ, чтобы лучше продавать свои программы российским государственным органам.

Microsoft подписала дополнение к соглашению с ФГУП "Научно-технический центр "Атлас" (разработчик систем защиты информации, подчиняется Минкомсвязи), рассказал изданию представитель Microsoft. Дополнение дает госструктурам возможность изучать исходные коды ряда современных продуктов корпорации.

Само соглашение было заключено еще в 2002 году и давало доступ только к кодам Windows XP, Windows 2000, Windows Server 2000. По мере выхода новых версий Windows и других продуктов задача пополнения списка становилась все актуальнее и, когда президентом российского офиса Microsoft стал Николай Прянишников (январь 2009 года), уполномоченные ведомства предложили ему обновить соглашение, рассказал Прянишников "Ведомостям".

Новое соглашение дает сотрудникам российских ведомств доступ к информации не просто об отдельных продуктах, а о цельной программной платформе, сказал Прянишников. Используя эту информацию, "Атлас" сможет создать криптографическую защиту для самых современных продуктов Microsoft и таким образом откроет этим продуктам путь в госорганы.

Еще одно новшество - сотрудники "Атласа" и ФСБ смогут делиться с другими ведомствами выводами, сделанными по итогам изучения продуктов Microsoft, пишет газета.

По словам Прянишникова, российской стороне важно убедиться, что программное обеспечение Microsoft соответствует требованиям спецслужб для использования в госорганах, а Microsoft заинтересована в расширении сотрудничества с госсектором. Сейчас госконтракты приносят Microsoft примерно 10% российских доходов, хотя в глобальной выручке Microsoft доля госсектора выше. Общий объем доходов в России Microsoft не раскрывает, эксперты оценивают его примерно в 1 миллиард долларов в год.

Теперь ФСБ будет сертифицировать не отдельные продукты Microsoft, а платформы, которые можно использовать для организации электронного документооборота и защиты персональных данных, в том числе для создания "электронного правительства", сообщил изданию первый заместитель гендиректора "Атласа" Александр Алферов.

SAWWA
14.07.2010, 03:54
http://www.3dnews.ru/software-news/Hakeri-ispolzuyut-CHempionat-mira-dlya-vzloma-korporativnih-setey
Хакеры используют Чемпионат мира для взлома корпоративных сетей

06.07.2010 [14:05], Сергей и Марина Бондаренко

Компания Symantec предупреждает об использовании Чемпионата мира по футболу для осуществления атак на предприятия. Злоумышленники эксплуатируют интерес к с чемпионату, пытаясь получить доступ к корпоративной информации. Первым шагом таких атак зачастую становится распространение сообщений через электронную почту или социальные сети.
Например, недавно Symantec зафиксировала такой случай: адресаты получили письмо, содержащее строку "прилагается полное расписание матчей чемпионата мира-2010 в Южной Африке". Это служило уловкой для того, чтобы заставить получателей открыть вложенный файл - "2010_FIFA_WORLD_CUP.zip", содержащий документ Excel.

Если файл Excel открывается, пользователь видит турнирную таблицу чемпионата мира, текущие группы, играющие команды, и то, когда они играют. Пользователь якобы может добавлять в таблицу результаты матчей. Пока таблица открывается, на компьютере пользователя генерируется .exe файл, который уведомляет авторов атаки, что доступ к машине получен. Теперь они могут использовать данный компьютер для доступа к другим системам сети.

SAWWA
22.07.2010, 01:17
http://www.3dnews.ru/software-news/Spetssluzhbi-SSHA-kapitulirovali-pered-hakerami
Спецслужбы США капитулировали перед хакерами
Георгий Орлов

Летом прошлого года сайты государственных и частных структур США подверглись массированной хакерской атаке. Всего нападение шло на 43 ресурса, включая такие, как сайты администрации президента США, Министерства финансов, Госдепартамента, Нью-йоркской фондовой биржи, компаний Amazon и Yahoo. В самых тяжёлых случаях последствия DDoS-атак восстанавливали трое суток.
Американские спецслужбы более года разбирались в том, кто же провёл столь крупную и дерзкую атаку. Основной версией считался «северокорейский след» – дело в том, что одновременно с атакой на США, кибернападению по схожему рисунку подверглись ресурсы Южной Кореи. Кроме этого, во вредоносных кодах, как говорят американские спецслужбы, был использован корейский язык.

Тем неожиданнее выглядит результат расследования: северокорейские хакеры к этой атаке оказались совершенно непричастны. Более того, этот вывод – единственный результат годичного расследования. Кто, откуда и с какими целями атаковал в начале июля 2009 года крупные американские интернет-ресурсы, выяснить так и не удалось. Безусловно, это можно считать одной из самых крупных неудач киберспецслужб США.

SAWWA
24.07.2010, 01:23
http://www.xakep.ru/post/52768/
Kraken: к взлому сетей GSM готов!
Источник: cybersecurity.ru

Самый популярный стандарт мобильной связи GSM, используемый большинством сотовых аппаратов в мире, получил очередной и довольно серьезный удар по безопасности. Группа разработчиков открытого программного обеспечения представила программную систему Kraken, взламывающую алгоритм шифрованная A5/1, используемый в некоторых GSM-сетях.

Разработчики говорят, что новинка очень эффективно вскрывает исходные криптографические таблицы, которые помогают расшифровать голосовые данные, используемые в сетях GSM c системой шифрования A5/1. Разработчики говорят, что в взломать алгоритм шифрованная можно было и раньше, но это требовало времени. Сейчас же Kraken делает это очень быстро.

Созданное программное обеспечение определенно представляет собой шаг вперед в развитии криптографического софа, связанного с сетями GSM. Создатели Kraken говорят, что получать данные при помощи их разработки можно и в 3G-сетях, так как стандарт GSM является опорным для их работы.

Напомним, что в декабре прошлого года эта же группа разработчиков уже представила софт для работы с криптографическими таблицами, позволяющими взламывать алгоритм шифрованная A5/1, но тогда разработка была неполной. Теперь код программы завершен и скорость работы программы в разы выше, чем у декабрьского билда.

Фрэнк Стивенсон, лидер проекта A5/1 Security Project, говорит, что скорость работы для криптографической программы - это один из ключевых показателей. "Сейчас счет взлома идет на минуты, вопрос заключается в том, как сделать его делом нескольких секунд?", - говорит он.

С учетом того, что программное обеспечение доступно в открытом доступе, Стивенсон ожидает, что к совершенствованию Kraken подключатся многие другие независимые программисты. "Нашу атаку просто провести, она легка в развертывании, а потенциальные жертвы - это все пользователи сотовой связи GSM. Перехват звонков становится все более простым", - говорит Стивенсон.

Еще один разработчик Kraken Карстен Нол полагает, что ускорить работу можно будет за счет специального аппаратного обеспечения.

Напомним, что согласно официальным данным GSM Association, к концу 2009 года GSM-сетями пользовались 3,5 млрд человек. Правда, не все сети применяют A5/1, некоторые перешли на более защищенный алгоритм A5/3.

Сами разработчики говорят, что с технической точки зрения A5/1 уже устарел и операторам следует его заменить на более продвинутые системы. Система защиты GSM базируется на так называемом алгоритме A5/1, представляющем собой 64-битный двоичный код. Отметим, что на сегодня большинство современных компьютерных систем работает с ключами длиной 128-512 бит, что считается более надежным. В 2007 году Ассоциация GSM разработала стандарт A5/3, обладающий длиной ключа в 128 бит, однако лишь незначительное число операторов развернуло поддержку этой технологии.

Впрочем, эксперты говорят, что смена алгоритма - это дело не только технически сложное, но и невыгодное с точки зрения финансов. Компаниям придется менять до 60 несущих частот на всех своих станциях, а большинство сотовиков почти на 100% задействуют свой мобильный ресурс и емкость сети в разы снизится.

SAWWA
30.07.2010, 01:33
Власти ОАЭ признали смартфоны угрозой национальной безопасности
27.07.2010, 13:37 » Информационные технологии
Lenta.ru
Власти Объединенных Арабских Эмиратов объявили смартфоны BlackBerry потенциальной угрозой национальной безопасности, передает Associated Press.

Их беспокоит то, что пользовательские данные хранятся за рубежом, где ОАЭ, известные жестким регулированием Сети, не могут их контролировать. Более того, на эти хранилища данных не распространяется юрисдикция государства.

ОАЭ не впервые обращается к ситуации с пользователями BlackBerry. Год назад крупнейший в стране сотовый оператор призвал 145 тысяч пользователей смартфонов под видом обновления установить на устройство приложение, позволявшее третьим лицам получить доступ к данным телефона.

В некоторых других странах также неодобрительно относятся к BlackBerry. Так, в королевстве Бахрейн пользователям, обменивающимся местными новостями через сервис чата на устройстве, пригрозили судом. Индийские правительственные организации также указывали на потенциальную угрозу безопасности, связанную с устройствами.

Одним из основных отличий BlackBerry от других смартфонов и коммуникационных устройств является шифрование почты и передаваемой информации. Благодаря этой функции BlackBerry очень распространен в корпоративной среде, где требуется защита переписки от перехвата и просмотра третьими лицами.


СМИ рассказали про "ключи для перезагрузки интернета"
28 июля 2010 » Мир » Интернет | Развлечения и курьёзы
СМИ рассказали про "ключи для перезагрузки интернета" В прессе появились многообещающие заголовки в духе "шесть человек получили ключ для перезагрузки интернета". Летним взрывом веселья ИТ-специалисты обязаны BBC, рассказавшей о гражданине Соединенного королевства, который получил один из фрагментов ключа для восстановления корневой зоны защищенной службы доменных имен DNSSEC. Звучит сложно, но это совсем не "перезагрузка интернета" – подробности ниже.

Впрочем, сначала стоит изучить русскоязычные материалы по теме и вдохновиться:

"Специальная международная комиссия создала группу из шести человек, которая обладает полномочиями и специальными кодами для перезагрузки сети Интернет в случае ее глобального сбоя, сообщают информагентства. Каждый член этой группы имеет фрагмент ключа (микросхему, впечатанную в пластиковую карту), который способен перезагрузить Интернет после его остановки. Причем избранные комиссией специалисты смогут вновь запустить глобальную сеть, только собравшись все вместе", – сообщила БЕЛТА.

"Международная комиссия поручила группе программистов при необходимости перезапустить систему, для этого специалистам выдали специальные ключи (код). Сообщается, что один из семи ключей находится у британского компьютерного специалиста Пола Кейна (Paul Kane)", – пишет РБК.

Разумеется, ни о какой перезагрузке, запуске и остановке интернета речь не идет.

На глобальном уровне внедряется система расширенной безопасности службы доменных имен (DNS) – DNSSEC. Служба доменных имен преобразует человекопонятные адреса интернет-ресурсов (tut.by, google.com и т.п.) в cтрогие IP-адреса (формата ХХХ.ХХХ.ХХХ.ХХХ), которые используются в интернет-адресации. DNS – один из важнейших механизмов работы Сети. И этот механизм очень уязвим к хакерским атакам, именно поэтому и была предложена более безопасная система DNSSEC.

В механизме DNSSEC важная информация защищается криптографическим ключом – с 15 июля заработала доверенная корневая зона. Благодаря этому можно проверить, верную ли информацию отдает DNS. К генерации, подписанию и хранению соответствующих ключей было решено пригласить независимых специалистов, "Trusted Community Representatives" (доверенные представители общественности), числом 21. Ряд доменных зон уже используют DNSSEC, в дальнейшем на защищенный протокол планируют перейти и другие популярные зоны, что должно положительно сказаться на защищенности интернета.

Компания CommunityDNS 21 июня сообщила, что её глава Пол Кейн (достаточно известная в сферах технического регулирования интернета персона) стал одним из семи "доверенных представителей общественности" и получил фрагмент сгенерированного криптоключа корневой зоны для её возможного восстановления в будущем. Для этого пяти доверенным представителям нужно будет встретиться на территории США и восстановить критпоключ.

А 27 июля BBC подготовила материал (достаточно корректный, кстати), который незамедлительно растиражировали в очень странной форме (см. выше) русскоязычные СМИ.

P.S. В обсуждении этой новости на профессиональных форумах неоднократно мелькали отсылки к эпизоду известного мультсериала South Park и серии не менее известного британского ситкома IT Crowd, где тоже "перезагружали" интернет.

SAWWA
30.07.2010, 01:34
Власти ОАЭ признали смартфоны угрозой национальной безопасности
27.07.2010, 13:37 » Информационные технологии
Lenta.ru
Власти Объединенных Арабских Эмиратов объявили смартфоны BlackBerry потенциальной угрозой национальной безопасности, передает Associated Press.

Их беспокоит то, что пользовательские данные хранятся за рубежом, где ОАЭ, известные жестким регулированием Сети, не могут их контролировать. Более того, на эти хранилища данных не распространяется юрисдикция государства.

ОАЭ не впервые обращается к ситуации с пользователями BlackBerry. Год назад крупнейший в стране сотовый оператор призвал 145 тысяч пользователей смартфонов под видом обновления установить на устройство приложение, позволявшее третьим лицам получить доступ к данным телефона.

В некоторых других странах также неодобрительно относятся к BlackBerry. Так, в королевстве Бахрейн пользователям, обменивающимся местными новостями через сервис чата на устройстве, пригрозили судом. Индийские правительственные организации также указывали на потенциальную угрозу безопасности, связанную с устройствами.

Одним из основных отличий BlackBerry от других смартфонов и коммуникационных устройств является шифрование почты и передаваемой информации. Благодаря этой функции BlackBerry очень распространен в корпоративной среде, где требуется защита переписки от перехвата и просмотра третьими лицами.


СМИ рассказали про "ключи для перезагрузки интернета"
28 июля 2010 » Мир » Интернет | Развлечения и курьёзы
СМИ рассказали про "ключи для перезагрузки интернета" В прессе появились многообещающие заголовки в духе "шесть человек получили ключ для перезагрузки интернета". Летним взрывом веселья ИТ-специалисты обязаны BBC, рассказавшей о гражданине Соединенного королевства, который получил один из фрагментов ключа для восстановления корневой зоны защищенной службы доменных имен DNSSEC. Звучит сложно, но это совсем не "перезагрузка интернета" – подробности ниже.

Впрочем, сначала стоит изучить русскоязычные материалы по теме и вдохновиться:

"Специальная международная комиссия создала группу из шести человек, которая обладает полномочиями и специальными кодами для перезагрузки сети Интернет в случае ее глобального сбоя, сообщают информагентства. Каждый член этой группы имеет фрагмент ключа (микросхему, впечатанную в пластиковую карту), который способен перезагрузить Интернет после его остановки. Причем избранные комиссией специалисты смогут вновь запустить глобальную сеть, только собравшись все вместе", – сообщила БЕЛТА.

"Международная комиссия поручила группе программистов при необходимости перезапустить систему, для этого специалистам выдали специальные ключи (код). Сообщается, что один из семи ключей находится у британского компьютерного специалиста Пола Кейна (Paul Kane)", – пишет РБК.

Разумеется, ни о какой перезагрузке, запуске и остановке интернета речь не идет.

На глобальном уровне внедряется система расширенной безопасности службы доменных имен (DNS) – DNSSEC. Служба доменных имен преобразует человекопонятные адреса интернет-ресурсов (tut.by, google.com и т.п.) в cтрогие IP-адреса (формата ХХХ.ХХХ.ХХХ.ХХХ), которые используются в интернет-адресации. DNS – один из важнейших механизмов работы Сети. И этот механизм очень уязвим к хакерским атакам, именно поэтому и была предложена более безопасная система DNSSEC.

В механизме DNSSEC важная информация защищается криптографическим ключом – с 15 июля заработала доверенная корневая зона. Благодаря этому можно проверить, верную ли информацию отдает DNS. К генерации, подписанию и хранению соответствующих ключей было решено пригласить независимых специалистов, "Trusted Community Representatives" (доверенные представители общественности), числом 21. Ряд доменных зон уже используют DNSSEC, в дальнейшем на защищенный протокол планируют перейти и другие популярные зоны, что должно положительно сказаться на защищенности интернета.

Компания CommunityDNS 21 июня сообщила, что её глава Пол Кейн (достаточно известная в сферах технического регулирования интернета персона) стал одним из семи "доверенных представителей общественности" и получил фрагмент сгенерированного криптоключа корневой зоны для её возможного восстановления в будущем. Для этого пяти доверенным представителям нужно будет встретиться на территории США и восстановить критпоключ.

А 27 июля BBC подготовила материал (достаточно корректный, кстати), который незамедлительно растиражировали в очень странной форме (см. выше) русскоязычные СМИ.

P.S. В обсуждении этой новости на профессиональных форумах неоднократно мелькали отсылки к эпизоду известного мультсериала South Park и серии не менее известного британского ситкома IT Crowd, где тоже "перезагружали" интернет.
http://it.tut.by/news/88939.html#full

SAWWA
31.07.2010, 22:20
Apple тайно качает данные с iPhone?

31.07.2010 [14:00], Егор Калейник

Некоторые пользователи iPhone стали замечать, что каждую ночь аппарат отправляет куда-то достаточно большие объемы неизвестных данных. По словам одного из пользователей форума Apple по имени Cnpeyton написал, что каждую ночь между 1 и 2 часами ночи с аппаратом происходит что-то странное.

«После изменения в тарифном плане я решил проверить затраты трафика своей жены на ее iPhone. Сама она трафик практически не использует, за исключением таинственных отправок данных каждую ночь», - пишет пользователь. «Объем передаваемого трафика достаточно велик – порядка 75 Мб каждую ночь. Я позвонил в службу поддержки AT&T и они сказали, что это могут быть обновления программного обеспечения или почта. Тем не менее, почта уже была получена вручную».

Представители ресурса Gizmodo, который так не любит Apple, сообщают, что ежедневные объемы таинственного трафика составляют десятки мегабайт.
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22502&stc=1&d=1280593109


http://www.3dnews.ru/news/Apple-tayno-kachaet-dannie-s-iPhone/

SAWWA
31.07.2010, 22:29
30.07.2010 [22:35], Артем Терехов

Практически у каждого пользователя ПК, кроме «основного инструмента», есть ноутбук, или плеер, или фотоаппарат, или планшет, или нетбук, или внешний жесткий диск… И чем больше разнообразных носителей – тем выше потребность защиты записанных на них данных. И если на ноутбуках система биометрической защиты является более-менее распространенным способом закрыть доступ нежелательным лицам, то с другими устройствами дело обстоит печальней.
Итальянский дизайнер Кьяра Рипальти (Chiara Ripalti) предлагает свой способ решения вопроса безопасности. Его концепт Ekey представляет собой USB-брелок с интегрированным биометрическим сканером отпечатка пальца. В теории, он способен защитить любое устройство, располагающее USB-портом – видимо, при наличии установленного в гаджете-приемнике ПО. Иначе можно просто вытащить Ekey из порта и спокойно получить доступ к технике.
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22503&stc=1&d=1280597328

nevzorov
01.08.2010, 02:30
...Я решил проверить затраты трафика своей жены на ее iPhone. Сама она трафик практически не использует, за исключением таинственных отправок данных каждую ночь...

Какой туповатый пользователь...:) Пусть трафик оплачивает получатель этих таинственных отправок... :)

SAWWA
01.08.2010, 10:49
мда.. народ и за бугром чудной :)

SAWWA
04.08.2010, 02:18
недавно один из наших читателей прислал
.. жесть да и только , что в Белоруссии делается, кошмар, а говорят , что порядок там навели..
в местной барахолке вот какие объявления .. раздолье для афериста
....
http://baraholka.onliner.by/viewtopic.php?t=1427654

http://www.zamkidveri.com/forum/attachment.php?attachmentid=22507&stc=1&d=1280870248

дела.. и всё через интернет

nevzorov
04.08.2010, 23:01
А в чем кошмар-то? Ну делают парни печати... Так и оборудование для их производства в свободной продаже и стоит недорого... Это всё равно, что написать: "Печатаю деньги на ксероксе! Срочно!" :)

SAWWA
04.08.2010, 23:38
ну.. аферистам подмога

nevzorov
05.08.2010, 22:35
ну.. аферистам подмога

Подмога аферистам - не возможность изготовить печать, а отсутствие ответственности за её незаконное использование. А это уже не в компетенции изготовителя.

SAWWA
17.08.2010, 02:29
Хакеры смогут "взломать" электронную систему нового автомобиля на расстоянии?
16.08.2010, 18:19 » Авто
domkrat.by
Нет, речь идет не об угонщиках, которые давно научились перехватывать сигналы охранных автомобильных систем - это уже вчерашний день. Хакеры идут дальше - им нужен доступ ко всей бортовой электронике. Для чего? Для слежения за нужным автомобилем. Или для получения полного контроля над автомобилем на расстоянии. Грядет эра автохакерства?

С каждым годом новые автомобили все больше превращаются в компьютеры на колесах. Про электронные блоки управления двигателем, "автоматом" или адаптивной подвеской мы уже и не говорим. Электронные системы вроде активного круиз-контроля или парк-пилота уже научились полностью останавливать автомобиль, если на пути появляется преграда, и рулить, мастерски совершая диагональную парковку. Автоматически, без вмешательства водителя!

Вот тут и начинается самое интересное. Раньше, на заре автомобильной электроники, все бортовые системы работали в режиме "read-only" и не поддавались перепрограммированию. Теперь же вы легко можете сделать чип-тюнинг двигателя, записав в его ЭБУ новую программу. Все больше автомобильных дефектов возникают из-за неправильной работы электронных блоков управления - и "лечатся" банальной перепрошивкой. Не нужно никаких инструментов и подъемников - только специальный компьютер и доступ к сервисному разъему, который находится в передней панели автомобиля.

Автомобиль стал уязвим для хакеров - и они обязательно этим воспользуются. Оказывается, для подключения к бортовой электронике совсем не нужно тянуть провод в салон автомобиля. Исследователи университета Рутгерс и университета Южной Каролины нашли лазейку, которая позволяет подключиться на расстоянии.

Это датчики давления воздуха в шинах. Они передают сигналы на головной компьютер автомобиля на определенной радиочастоте. А значит, на этой же частоте можно отправить и другой сигнал - например, с программой-вирусом. Что она сможет сделать? Теоретически - почти все. От мелких шалостей - заблокировать двери, включить "дворники" или клаксон - до крупных. Проследить за маршрутом нужного автомобиля, отключить охранную систему, заглушить двигатель или, наоборот, добавить оборотов, повернуть руль (помните системы помощи при парковке?)... То есть полностью управлять чужим автомобилем на расстоянии!

Вторая лазейка появилась совсем недавно. Слышали про то, что некоторые новые модели уже можно заказать с системой беспроводного доступа к сети Интернет? Да это вообще мечта любого хакера. Пора производителям задуматься о защите автомобилей от компьютерного взлома. Даешь автомобильный файервол с антивирусом!

SAWWA
17.08.2010, 03:07
Грязь на тачскрине Android-смартфона может выдать хакеру ваш пароль

16.08.2010 [16:17], Артем Терехов

Знатоки фаст-фуда должны особенно внимательно отнестись к данной новости. Согласно недавнему исследованию, проведенному Университетом Пенсильвании (University of Pennsylvania), пароль Android-смартфона можно подобрать, ориентируясь по… рисунку грязи, оставшемуся на тачскрине аппарата.
http://www.zamkidveri.com/forum/attachment.php?attachmentid=22549&stc=1&d=1281997038

Исследование потенциальных «грязевых атак» выявило, что частичные или полные шаблоны набора паролей могут быть с легкостью вычислены – даже несмотря на дополнительный шум на экране или его контакт с одеждой – благодаря использованию различных настроек камеры и освещения, использующихся для анализа рисунка грязи.

Должны ли мы удивляться? Видимо нет – шпионские фильмы и игры уже давно научили нас чему-то подобному (вспомним хотя бы Splinter Cell, где можно подобрать пароль к дверному замку по остаточным тепловым следам на клавишах). Поэтому теперь появился еще один повод как можно аккуратнее обращаться со своей мобильной техникой и не трогать экран жирными пальцами.
http://www.3dnews.ru/news/

Найк
17.08.2010, 20:22
вот китайцы молодцы!
на 2 фронта работают)

SAWWA
19.08.2010, 23:05
http://www.xakep.ru/post/52909/default.asp

Суд Октябрьского района города Омска приговорил 19-летнего студента педагогического колледжа Константина Графьева к семи месяцам колонии-поселения за то, что он взломал чужой электронный почтовый ящик.

Константин Графьев взломал почтовый ящик другого пользователя, подобрав к нему пароль, со своего домашнего компьютера, который позже был изъят в качестве вещественного доказательства. После взлома молодой человек ознакомился с содержанием почтового ящика и сменил пароль. Затем оставил владельцу аккаунта сообщение, где требовал за предоставление пароля к ящику 75 долларов.

Ранее Графьев привлекался к ответственности за аналогичные нарушения. Так, в конце 2009 года он взломал электронный почтовый ящик жителя Челябинска, требуя за разблокировку 150 долларов. Тогда омский студент получил полгода условно.

SAWWA
19.08.2010, 23:13
Похитивший 4,5 млн рублей со счетов банка хакер получил условный срок
http://www.xakep.ru/post/52753/default.asp

Суд Железнодорожного района Хабаровска приговорил местного жителя Алексея Жирнова, который с сообщниками похитил более 4,5 млн рублей со счетов коммерческого банка и покушался на хищение 10 млн рублей, к пяти годам лишения свободы условно, сообщила пресс-служба УФСБ по Хабаровскому краю.

Он признан виновным по статье 272 (неправомерный доступ к компьютерной информации) и статье 158 (кража). Сообщники Жирнова находятся в федеральном розыске, передает "Интерфакс".

По данным УФСБ, в марте 2009 года Жирнов получил неправомерный доступ к компьютерной информации хабаровских подразделений двух крупнейших в России розничных продавцов сотовых телефонов. Скопированные им сведения о паролях, сертификатах и ключах позволяли осуществлять электронные платежи.

"В апреле А.Жирнов с помощью виртуальных "коллег" получил через Интернет доступ к расчетному счету ЗАО "Связной Логистика". Злоумышленники перевели с него более 10 млн рублей на расчетные счета неустановленных лиц в отделении "Альфа Банка" в Новокузнецке. Однако воспользоваться деньгами преступники не смогли, благодаря бдительности банковских сотрудников, заблокировавших платежные операции", - говорится в сообщении.

Следующая попытка кибер-преступников оказалась более успешной. Жирнов получил доступ к расчетному счету в коммерческом банке "Платина", с которого мошенники перевели 4,5 млн рублей на лицевые счета абонентов различных сотовых компаний и на расчетные счета неустановленных банков.

"В поле зрения УФСБ по Хабаровскому краю преступники попали в начале 2009 года. Следственный отдел управления возбудил шесть уголовных дел, которые впоследствии были объединены в одно. 13 июля 2009 года оперативники задержали в краевом центре А.Жирнова", - отмечает ведомство.

SAWWA
01.09.2010, 02:05
KLx2jHwTL1c

Говорит и показывает НТВ
сегодня, 31 августа в Москве обезврежена группа хакеров, промышлявших рассылкой вредоносных программ, после инсталляции вирус блокировал компьютер. выводилось сообщение о необходимости отправки СМС на короткий номер в сети МТС, Би Лайн , Мегафон

по подсчётам милиции злоумышленники заработали за год порядка
1 000 000 000 рублей

SAWWA
03.09.2010, 02:23
02.09.2010
В Республике Удмуртия задержан взломщик паролей

30 августа 2010 года сотрудниками отдела по борьбе с экономическими преступлениями УВД по г. Глазову и Глазовскому району был задержан 27-летний житель города.
На тот момент в результате проведенных оперативно-разыскных мероприятий сотрудниками милиции при содействии интернет-провайдера были собраны достаточные материалы для доказательства причастности задержанного к неоднократному взлому паролей на персональных компьютерах частных лиц.
В частности в период с ноября прошлого года по март 2010 года он посредством своего компьютера осуществил доступ к компьютерной информации, принадлежащей жителю республики, а в декабре 2009 года с того же компьютера был взломан пароль на ПК индивидуального предпринимателя. Действия молодого человека в обоих случаях повлекли за собой модификацию и копирование информации, принадлежащей пользователям.
Оперативники полагают, что данный молодой человек может быть причастен к другим фактам взлома паролей. В настоящее время известно, что неправомерный доступ был осуществлен без цели хищения. У задержанного был безлимитный трафик.
СУ при УВД по г. Глазову и Глазовскому району в отношении молодого человека возбуждено уголовное дело по ст. 272 УК РФ. За неправомерный доступ к компьютерной информации санкция статьи предусматривает наказание в виде крупного штрафа или лишения свободы на срок до 2 лет.

http://www.mvd.ru/news/47024/
Татьяна Кудрявцева,
Пресс-служба МВД по
Удмуртской Республике

в принципе то и нужен безлимитный трафик что б взломать пароль.. это один из старейших способов.. для взлома. не всегда эффекивный. однако современные почтовые сервисы позволяют сбить пароль с 16 значений на 6.. тут поменьше комбинаций.. .. от себя :)

отлично помогает, только попалишься быстро..

SAWWA
05.09.2010, 19:18
Моддинг: запуск двигателя автомобиля после ввода PIN-кода

05.09.2010 [14:40], Артем Терехов

Если вы думаете, что ваш автомобиль недостаточно крут, чтобы показывать его друзьям и знакомым, тогда можно провести кое-какие модификации. Например, установить нетбук ASUS Eee PC 900A, функционирующий одновременно в качестве бортовой информационной системы и электронной «линии обороны» против угонщиков.
_yPlFFCGi2A
Именно так поступил пользователь youtube под ником InitialDriveGTR, интегрировавший нетбук в приборную панель своего Volvo S70 1998 года выпуска. В качестве средства ввода и отображения информации используется сторонняя сенсорная панель. Среди прочего, она отображает текущие обороты двигателя, уровень выбросов вредных газов, а также давление в нагнетателе.
Но главное, ради чего и затевалась эта модификация – при повороте ключа зажигания нетбук требует ввести PIN-код. Только после ввода можно запустить двигатель.
На прилагающемся видео моддер показывает и рассказывает о проекте.

небольшой сюрприз для взломщиков

SAWWA
08.09.2010, 02:43
http://www.xakep.ru/post/53172/
Немецкие хакеры взломали новые паспорта

Правительство Германии не считает нужным придавать слишком большое значение тому, что хакерам без особого труда удалось взломать защиту новых биометрических удостоверений личности.

Недавно немецкий телеканал ARD в передаче Plusminus продемонстрировал сюжет о том, как хакеры из клуба Chaos Computer смогли в домашних условиях с помощью специального сканнера извлечь из встроенного в паспорта RFID чипа информацию, включая отпечатки пальцев и 6-значный код, который используется в качестве цифровой подписи к официальным документам.

Министр внутренних дел Томас де Мезьер, комментируя сюжет, заявил, что нет никаких оснований для внесения изменений в технологию процесса кодирования чипов или отсрочки введения биометрических идентификационных карт, массовая выдача которых должна начаться в ноябре.

Эксперты в области безопасности из Федерального ведомства по информационной защиты (BSI), также оптимистичны. Специалист по защите личных данных BSI Дженс Бендер сказал, что новый комплекс защиты удостоверений личности гораздо выше, чем у действующих в настоящее время.

SAWWA
08.09.2010, 02:46
http://www.xakep.ru/post/53155/
Нигерийский спамер, обманувший жертв на 1,3 миллиона долларов, приговорен к 12 годам тюрьмы

Уроженец Нигерии проведет в американской тюрьме ближайшие 12 лет. Свой срок он получил за организацию мошеннической схемы с предоплатой, в результате которой кошельки жертв похудели в общей сложности на 1,3 миллиона долларов.

31-летний Окпако Майк Диамреян также будет вынужден выплатить 67 пострадавшим от его действий в период с 2004 по 2009 гг. чуть больше миллиона долларов. Редкая возможность отправить спамера за решетку представилась американским властям после того, как Диамреян переехал в США, женившись на гражданке этой страны. Вместо того, чтобы начать с женой новую жизнь, он использовал переезд для увеличения масштабов своей деятельности.

По данным следствия, Диамреян работал с адресатами очень и очень плотно. Так, одной из жертв он за два года написал свыше 1200 писем. Спамер утверждал, что в Гане у него застряла партия товара на миллионы долларов и обещал жертвам 20 процентов прибыли, если они помогут с деньгами на его отправку в США. Чтобы подтвердить правдивость своих слов, нигериец высылал фальшивые документы.

По иронии судьбы, основную часть денег Диамреяну удалось заработать лишь после приезда в США, так как жертвам было более комфортно иметь дело с человеком, уже находящимся на американской земле. В итоге некоторые люди переводили на счета мошенника сотни и даже тысячи долларов.

Согласно заявлению прокуратуры, столь длительный срок тюремного заключения был необходим для того, чтобы Диамреян не смог вернуться в Нигерию, где бы он мог беспрепятственно продолжить свою преступную деятельность.

SAWWA
08.09.2010, 23:10
4SlwdLC8kjk
9 000 000 долларов обязан выплатить по решению суда г.Санкт-Петербург хакер , участник преступной группировки, нанёсшей такой значителный ущерб одному из иностранных банков с применением поддельных банковских карт...
сколько ниточке не виться, словят :)

похоже ограбить банк виртуально становтся проще нежели физически вынести несколько мешков с валютой

вот в чём слабость электронных систем безопасности.. с ключом от сейфа из латуни не договоришься пока он надёжно находится в трясущихся руках кассира.. а компьютер можно и взломать.. и с расстояния

SAWWA
22.09.2010, 21:19
22.09.2010
В Российском сегменте сети Интернет выявлен новый вид мошенничества

В последнее время владельцам доменов в зоне .ru начали приходить спам-сообщения, рассылка которых осуществляется с использованием зараженных компьютеров. Текст электронных писем варьируется, но основой их является шантаж и вымогательство.
Чаще всего отправитель представляется главным регистратором доменных имен на Украине, по совместительству генеральным директором крупнейшего портала украинских криминальных новостей, а также почетным членом арбитражной комиссии электронной платежной системы WebMoney.

Далее в своем электронном послании он сообщает адресатам, что располагает компрометирующими материалами относительно их деятельности в сети Интернет. Мошенник требует перевести деньги на счет своего электронного кошелька или отправить SMS-сообщение на номер его мобильного телефона.
За невыполнение условий вымогатель угрожает оттоком клиентов и даже блокированием ресурса, прилагая к письму ссылки своих «прошлых работ».
Регистратор доменных имен и информационный портал Украины, сотрудником которых представляется злоумышленник, официально заявили, что не имеют отношения ни к автору писем, ни к их рассылке. О факте мошенничества проинформированы правоохранительные органы Украины.

Управление «К» предупреждает - эти сообщения содержат заведомо ложную информацию, их единственной целью является незаконное получение денежных средств.


Пресс-служба Управление «К» МВД России
http://www.mvd.ru/news/47933/

SAWWA
02.10.2010, 13:31
Хакеры из бывшего СССР взломали американские банки
http://naviny.by/rubrics/computer/2010/10/01/ic_articles_128_170676/

37 человек из стран Восточной Европы, в основном России и Молдавии, подозреваются в США в краже с банковских счетов по меньшей мере 3 млн. долларов. Их обвиняют в банковском мошенничестве, компьютерном взломе, отмывании денег и пользовании фальшивыми паспортами.

Большинству обвиняемых от 20 до 23 лет, передает ВВС. Десять из них были арестованы 30 сентября, еще 10 — ранее, а 17 находятся в бегах.

Как поведал полицейский комиссар Нью-Йорка Рэймонд Келли, следствие началось в феврале этого года, когда дознаватели явились в один из банков Бронкса расследовать подозрительную транзакцию, в ходе которой оттуда были переведены 44 тыс. долларов.

По словам Келли, детективы обнаружили, что «это всего лишь верхушка айсберга».

У большинства обвиняемых была неиммиграционная виза J1, которая предоставляется для учебы или стажировки. Среди них — так называемые «денежные мулы» (люди, которые заводили фиктивные банковские счета и обналичивали ворованные деньги).

Суть их незаконной деятельности такова: живущие в Восточной Европе хакеры вламывались в компьютеры небольших и средних компаний и муниципальных органов США и запускали в них с помощью электронной почты троянскую программу по прозвищу ZeuS, которая похищала пароли, банковские реквизиты и другие закрытые финансовые данные жертвы. Вооружившись этой информацией, злоумышленники устанавливали контроль над банковскими счетами потерпевших и тайно переводили с них деньги на другие банковские счета, которые были открыты для этой цели «мулами» с помощью фиктивных паспортов.


Власти говорят, что за 2008-2009 годы «мулы» открыли буквально сотни счетов, на которые поступали похищенные у потерпевших суммы, а потом либо перевели их в другие банки (обычно за границей), либо вынули из банкоматов и увезли на родину на себе.

Кроме россиян, по данным прокуратуры, по делу проходят граждане Украины, Беларуси, Молдавии и Казахстана. О том, кто был организатором аферы, пока ничего не сообщается. Вероятнее всего, авторы этой схемы действовали с территории стран СНГ и еще не были задержаны.

Аналогичный случай мошенничества разоблачила и британская разведка — в четверг стало известно о том, что 11 подозреваемым в причастности к хищению крупных средств с электронных банковских счетов предъявлены обвинения. По данным следствия, и те и другие использовали троянскую программу ZeuS, которую специалисты называют самой популярной на «черном» рынке. Киберграбители увели со счетов пользователей около 10 млн. долларов.

В группу предполагаемых мошенников входили выходцы из Украины, Латвии, Беларуси, Эстонии и Грузии. По словам прокуратуры, преступные организации, действовавшие по обе стороны океана, были связаны между собой.

Разоблаченная в США группировка входила в десятку крупнейших банд хакеров, которые занимаются мошенничеством с электронными счетами, пишет GZT.RU. Если верить специалистам, в сети остается еще порядка двух десятков кибер-банд, которым принадлежит 160 серверов, откуда идет рассылка сообщений с вирусом ZeuS.

Главная проблема заключается в том, что американские банки продолжают использовать системы переводов ACH, которая насчитывает десятки лет. Трояну ZeuS внедриться в нее не представляет труда. Сейчас ФБР расследует порядка 200 дел о незаконных денежных переводах на сумму около 40 млн. долларов.

Троянская программа ZeuS (также известна как Zbot, PRG, Wsnpoem, Gorhax and Kneber) ворует данные о банковских счетах, снимая всю информацию, которую пользователь вводит через клавиатуру, и отсылает эти данные злоумышленнику. Впервые была обнаружена в 2007 году. Сейчас в бот-сети ZeuS входят миллионы компьютеров, это одна из наиболее известных вредоносных программ. Именно поэтому вирус получил наименование «Зевс» в честь в вождя Олимпийских богов в Древней Греции.

SAWWA
02.10.2010, 13:48
Хакеры из бывшего СССР взломали американские банки
http://naviny.by/rubrics/computer/2010/10/01/ic_articles_128_170676/

37 человек из стран Восточной Европы, в основном России и Молдавии, подозреваются в США в краже с банковских счетов по меньшей мере 3 млн. долларов. Их обвиняют в банковском мошенничестве, компьютерном взломе, отмывании денег и пользовании фальшивыми паспортами.

Большинству обвиняемых от 20 до 23 лет, передает ВВС. Десять из них были арестованы 30 сентября, еще 10 — ранее, а 17 находятся в бегах.

Как поведал полицейский комиссар Нью-Йорка Рэймонд Келли, следствие началось в феврале этого года, когда дознаватели явились в один из банков Бронкса расследовать подозрительную транзакцию, в ходе которой оттуда были переведены 44 тыс. долларов.

По словам Келли, детективы обнаружили, что «это всего лишь верхушка айсберга».

У большинства обвиняемых была неиммиграционная виза J1, которая предоставляется для учебы или стажировки. Среди них — так называемые «денежные мулы» (люди, которые заводили фиктивные банковские счета и обналичивали ворованные деньги).

Суть их незаконной деятельности такова: живущие в Восточной Европе хакеры вламывались в компьютеры небольших и средних компаний и муниципальных органов США и запускали в них с помощью электронной почты троянскую программу по прозвищу ZeuS, которая похищала пароли, банковские реквизиты и другие закрытые финансовые данные жертвы. Вооружившись этой информацией, злоумышленники устанавливали контроль над банковскими счетами потерпевших и тайно переводили с них деньги на другие банковские счета, которые были открыты для этой цели «мулами» с помощью фиктивных паспортов.


Власти говорят, что за 2008-2009 годы «мулы» открыли буквально сотни счетов, на которые поступали похищенные у потерпевших суммы, а потом либо перевели их в другие банки (обычно за границей), либо вынули из банкоматов и увезли на родину на себе.

Кроме россиян, по данным прокуратуры, по делу проходят граждане Украины, Беларуси, Молдавии и Казахстана. О том, кто был организатором аферы, пока ничего не сообщается. Вероятнее всего, авторы этой схемы действовали с территории стран СНГ и еще не были задержаны.

Аналогичный случай мошенничества разоблачила и британская разведка — в четверг стало известно о том, что 11 подозреваемым в причастности к хищению крупных средств с электронных банковских счетов предъявлены обвинения. По данным следствия, и те и другие использовали троянскую программу ZeuS, которую специалисты называют самой популярной на «черном» рынке. Киберграбители увели со счетов пользователей около 10 млн. долларов.

В группу предполагаемых мошенников входили выходцы из Украины, Латвии, Беларуси, Эстонии и Грузии. По словам прокуратуры, преступные организации, действовавшие по обе стороны океана, были связаны между собой.

Разоблаченная в США группировка входила в десятку крупнейших банд хакеров, которые занимаются мошенничеством с электронными счетами, пишет GZT.RU. Если верить специалистам, в сети остается еще порядка двух десятков кибер-банд, которым принадлежит 160 серверов, откуда идет рассылка сообщений с вирусом ZeuS.

Главная проблема заключается в том, что американские банки продолжают использовать системы переводов ACH, которая насчитывает десятки лет. Трояну ZeuS внедриться в нее не представляет труда. Сейчас ФБР расследует порядка 200 дел о незаконных денежных переводах на сумму около 40 млн. долларов.

Троянская программа ZeuS (также известна как Zbot, PRG, Wsnpoem, Gorhax and Kneber) ворует данные о банковских счетах, снимая всю информацию, которую пользователь вводит через клавиатуру, и отсылает эти данные злоумышленнику. Впервые была обнаружена в 2007 году. Сейчас в бот-сети ZeuS входят миллионы компьютеров, это одна из наиболее известных вредоносных программ. Именно поэтому вирус получил наименование «Зевс» в честь в вождя Олимпийских богов в Древней Греции.
__________________________________________________ _________________________

Двадцать компьютерных хакеров, арестованных в Великобритании по подозрению в краже миллионов фунтов с банковских счетов, оказались выходцами из Украины, Латвии, Грузии, Беларуси и Эстонии. Об этом, как передает ИТАР-ТАСС, сообщили источники в британских правоохранительных органах.
Все они иммигранты из стран бывшего СССР, постоянно проживающие в Великобритании.

Задержанных подозревают в мошенничестве, результатом которого стала кража миллионов фунтов стерлингов со счетов вкладчиков крупнейших британских банков.

Названия финансовых институтов, которые оказались мишенью хакеров, также стали известны. Это HSBC, Royal Bank of Scotland, Barclays и Lloyds TSB, передает BBC.

Пока удалось установить факт кражи 6 млн фунтов стерлингов (около 9 млн долларов). Однако общая сумма похищенного, по мнению следователей, намного больше. Представитель Скотленд-ярда заявил, что размер похищенных сумм, скорее всего, значительно возрастет по мере продвижения расследования.

Следствие считает, что банда занималась мошенничеством в Великобритании с 13 октября 2009 года по 28 сентября 2010 года.

Преступники использовали вирус ZeuS, которым им удалось заразить тысячи компьютеров в Великобритании. Эта программа похищала пароли, необходимые для получения доступа к личным банковским счетам через интернет. Завладев этими данными, мошенники незаметно снимали деньги со счетов.


Из числа задержанных восьмерым предъявлено обвинение в сговоре с целью мошенничества и отмывании денег, двоим — только обвинения в мошенническом сговоре. Они остаются под стражей и сегодня должны впервые предстать перед Вестминстерским магистратским судом Лондона. Еще девять человек были арестованы по тому же делу, но отпущены под залог.

Возраст преступников от 23 до 34 лет.

SAWWA
08.10.2010, 23:43
Ограбление в стиле хай-тек
http://www.xakep.ru/post/53461/
Придя в Парижский музей современного искусства утром 20 мая этого года, вы могли обнаружить, что величественные бронзовые двери токийского дворца плотно закрыты и "украшены" объявлением о том, что музей не работает "по техническим причинам". Что же случилось? Дело в том, что несколькими часами ранее в галерее произошло одно из самых дерзких ограблений в истории.

Было похищено пять картин – шедевры кисти Пикассо, Матисса и Модильяни. Заместитель министра культуры Франции назвал это "серьезным преступлением против наследия человечества". Первоначально ущерб оценивался приблизительно в 500 миллионов евро, но позже эксперты снизили цифру до 100 миллионов, что не помешало этому преступлению остаться одним из самых крупных в своем роде.

Кража была организована до абсурда просто. Предположительно, один-единственный вор разбил окно на первом этаже, забрался в музей, взломал замок, аккуратно извлек картины из рам и не спеша покинул здание. Мужчину запечатлела камера наблюдения, но это не принесло особой пользы – изображение оказалось слишком некачественным. Полотна до сих пор не найдены. Точных сведений о системе безопасности музея нет. Уильям Браун, консультант по безопасности британского Совета музеев, библиотек и архивов, поясняет, что "пока французские официальные лица не представят отчет о краже, невозможно дать какие-либо комментарии по этому поводу".

Однако совершенно ясно, что любой современный музей должен обладать дорогой и современной системой безопасности, теоретически способной предотвращать такие серьезные похищения.

Стив Келлер, один из лучших в мире экспертов по охране музеев, чья фирма Architects Security Group установила системы безопасности в Библиотеке Конгресса США, Смитсоновском институте и даже на Статуе Свободы, рассказывает: "Двадцать лет назад термин "охрана" по сути означал наличие кнопки тревожной сигнализации и замков на дверях. Сегодня для разработки систем охраны необходимо серьезно разбираться в способах обеспечения компьютерной безопасности, устройстве коммуникационных сетей, принципах разработки высоконадежных систем, мерах противодействия терроризму, а также свободно ориентироваться в непрерывно растущем числе специализированных стандартов".

Ассортимент доступных технологий очень широк, как и количество компаний, предлагающих свои решения. Помимо крупных фирм, существуют небольшие, но обладающие серьезным опытом, например, Architects Security Group, а также узкоспециализированные производители, например, Advanced Perimeter Solutions. Такие компании зачастую предлагают уникальные технологии вроде Flexiguard Voidtech – системы датчиков вибрации для охраны объектов с примыкающими, потенциально небезопасными помещениями (например, банков, расположенных между офисными этажами).

На рынке присутствует множество передовых решений, которые наверняка могли бы защитить Парижский музей современного искусства в злополучную ночь 19 мая. Как насчет звуковых датчиков, распознающих звук бьющегося стекла? Акселерометров, способных засечь малейшее движение выставочного стенда или картины? Оконных стекол, выдерживающих ураганные порывы ветра?

Впрочем, Франция давно известна плохим положением дел в области охраны музеев, а у Парижа устойчивая репутация одного из центров "черного арт-рынка". Власти других стран всеми силами стараются не допустить такого у себя. Так, после того, как четыре года назад в Великобритании были введены новые правила охраны ценных произведений искусства, не было зафиксировано ни одного разбойного нападения на крупную или мелкую картинную галерею. Уильям Браун уверен, что "если следовать инструкциям, использовать камеры слежения и в целом относиться к безопасности серьезно, количество краж можно снизить в разы".

Одним из главных достижений последних лет стал переход от аналоговых камер скрытого видеонаблюдения к IP-системам, которые представляют собой целые сети "умных" камер, не требующих прокладки отдельных проводов, а просто подключающихся к стандартным Ethernet-разъемам локальных компьютерных сетей. Программы для анализа видеоизображения позволяют превращать IP-камеры в универсальные охранные системы. Существуют камеры, которые могут следить за картинами и мгновенно предупреждать об их исчезновении. Сразу включается тревога, и вступают в действие другие системы, например, двери с автоматической блокировкой.

Кроме того, благодаря таким программам камера может работать в режиме детектора движения и при обнаружении нарушителя включать тревогу либо транслировать ему предупреждение по радио-связи. Эти программы умеют очень многое. Например, они отличают людей от животных, находят оставленные без присмотра вещи, "читают" номера машин и даже предупреждают, если кто-то пытается пробраться в музей через толпу выходящих посетителей.

Знаменитое американское Агентство по перспективным оборонным научно-исследовательским разработкам (DARPA) планирует создать IP-камеру, способную эффективно сканировать сетчатку глаза, даже если человек бросил короткий случайный взгляд. IARPA (разведывательный отдел DARPA) разрабатывает детектор лжи, позволяющий выявлять потенциальных воров, учитывая совокупность физиологических, психологических и поведенческих факторов.

Однако есть и такие задачи, решение которых пока что не под силу камерам слежения. Например, эффективное распознавание лиц. Существующие алгоритмы находятся в зачаточном состоянии, а для корректной работы им требуется четкое фронтальное изображение. К тому же их легко обмануть с помощью накладных частей и грима. Воры, похитившие в августе 2009 года из лондонского ювелирного магазина Graff Diamonds драгоценностей на 65 миллионов долларов, прибегли к помощи профессионального визажиста и использовали латексные лицевые протезы, чтобы скрыть свою настоящую внешность.

IP-технологии обеспечивают "умную" защиту и многие эксперты считают, что за ними будущее, но любая система безопасности надежна настолько, насколько надежен ее самый слабый компонент. IP-камерам, подключенным к глобальной сети, необходимы наилучшие средства информационной защиты. Бен Фейнстейн из компании Secure Works – крупного поставщика услуг в сфере безопасности – говорит, что хакеры, получившие доступ даже к самой "умной" камере, могут сделать ее совершенно бесполезной: "Я видел имитацию воровского приема, названного в честь фильма "Одиннадцать друзей Оушена". Очень продвинутую IP-камеру направили на стакан с водой, чтобы защитить его от "похищения". "Злоумышленник" записал фрагмент трансляции, а затем подключился к камере и заменил "живое" изображение бесконечно повторяющимся фрагментом. Охранник обнаружил пропажу лишь тогда, когда похититель возобновил трансляцию".

Еще одна серьезная угроза для систем безопасности – так называемая Warkitting-атака. Она позволяет хакеру заменить прошивку роутера, получить неограниченный контроль над сетью и полностью отключить средства шифрования. После этого камеры наблюдения, сигнализация и любые другие датчики, подключенные к сети, оказываются в руках вора. Warkitting-атаки были впервые обнаружены исследователями Университета штата Индиана. Они выяснили, что хакеры проезжают мимо частных домов и взламывают беспроводные домашние роутеры, и берут под контроль компьютеры обычных пользователей, таким образом готовят плацдарм для крупномасштабных атак или вторжения в хорошо защищенные сети. Ученые определили, что на подбор пароля и изменение адреса доверенного DNS-сервера на адрес сервера злоумышленников уходит менее десяти секунд.

Есть сведения, что за несколько недель до ограбления 19 мая система безопасности Парижского музея современного искусства (на установку было потрачено примерно 18 миллионов евро) вела себя странно и неоднократно беспричинно включала сигнал тревоги. По слухам, в ночь с 19 на 20 мая внешние камеры наблюдения оказались повернуты в сторону крыши. Кто знает, не стал ли музей жертвой кибератаки нового поколения? Вполне возможно, что похитители заранее получили доступ к системам безопасности и взяли их под контроль.

Технологии и программы для проведения такой атаки существуют, но если окажется, что ограбление было организовано с их помощью, этот случай станет первым в истории. До настоящего времени хакерские нападения ассоциировались лишь с виртуальными кражами, но, судя по всему, есть большая вероятность, что реальным ограблениям могут предшествовать "подготовительные" сетевые нападения. "Считается, что кража картин в парижском музее могла стать результатом Warkitting-атаки, поскольку обычные средства безопасности были предположительно отключены через роутер, который контролировали хакеры, – рассказывает Джарт Армин, специалист компании CyberDefCon.com. – Конечно, это нельзя утверждать со стопроцентной уверенностью, но позвольте задать вам вопрос: верите ли вы, что дорогая высокотехнологичная система безопасности, надежность которой недавно проверяли, могла внезапно выйти из строя, причем ровно в тот момент, когда было совершено преступление?"

Впрочем, даже самая сложная и продвинутая система безопасности едва ли спасет от преступников, решивших прибегнуть к грубой силе. Например, почти невозможно предотвратить захват заложников. В 2006 году бандиты, переодетые в полицейских, захватили четырнадцать человек и семью менеджера компании Securitas. Угрожая автоматами Калашникова и пистолетами, заставили менеджера открыть хранилище, где находилось 53 миллиона фунтов стерлингов. Чтобы предупредить подобные нападения, необходим высокопрофессиональный персонал.

Однако даже большая сеть традиционных камер видеонаблюдения и самые подготовленные охранники не смогут противостоять изощренной электронной атаке. Сегодня именно такие атаки представляют наибольшую опасность для банков и коммерческих компаний. Разбойные нападения, аналогичные ограблению хранилища Securitas и краже в парижском музее, происходят редко. Преступники предпочитают прятаться за анонимностью, предоставляемой Интернетом.

В 2007 году сайты эстонского правительства, нескольких политических партий, а также десятков банков, СМИ и различных фирм оказались парализованы в результате мощной скоординированной кибератаки. Прекратились онлайновые транзакции, были перекрыты каналы внутренней и международной связи, сотни компаний приостановили свою деятельность. Эстония относится к числу стран, где очень популярны онлайновые банковские услуги и высок уровень проникновения Интернета – глобальной сетью охвачено около 75% населения. Атака совпала по времени с крупным дипломатическим скандалом, вызванным спорами о статусе советских военных захоронений. Кибератаки на Эстонию и позже на Грузию стали поворотным пунктом в истории интернет-конфликтов.

Оружие, которое применили хакеры, называется атакой типа "Отказ от обслуживания" (DDoS). Во время такой атаки происходит массовое бомбардирование сайта или сети ложными запросами с целью вызвать перегрузку серверов. Для проведения этих атак были задействованы компьютеры, зараженные троянским вирусом BlackEnergy, который в настоящее время используется преступниками. Джарт Армин рассказывает: "Там, где мы [CyberDefCon.com] обнаружили первые признаки кибернападения на Грузию, позже была засечена активность, имеющая отношение к нескольким ограблениям банков. Троян BlackEnergy использовался для проведения DDoS-атак против банковских серверов, пока одновременно с этим воровались деньги со счетов вкладчиков".

В начале года компания SecureWorks сообщила, что вирус BlackEnergy был применен в ходе нескольких онлайновых ограблений российских и украинских банков. Между февралем и июнем было атаковано около дюжины банков, при этом каждый потерял от 100 до 400 тысяч долларов. Армин полагает, что ущерб мог бы быть гораздо крупнее. "Все атаки, о которых нам известно, были проведены. Единственным фактором, ограничивавшим аппетиты хакеров, оказалось время, понадобившееся банкам, чтобы засечь проникновение и отключить компьютеры от Интернета".

Недавно была обнаружена новая, улучшенная версия BlackEnergy. Авторы расширили возможности вируса, а также сделали его более универсальным и опасным. Джо Стюарт из компании SecureWatch поясняет, что к традиционным DDoS-функциям BlackEnergy был добавлен Java-плагин, взламывающий программы для аутентификации и выкачивающий деньги, в то время как DDoS-атака маскирует его действия: "Эта тактика позволяет отвлечь банковских служащих, чтобы они не заметили утечку денег. При этом владельцы счетов, с которых списываются средства, не могут получить доступ к своим аккаунтам и посмотреть, что происходит".

Пока что таким нападениям подвергались лишь относительно небольшие банки в России и бывших республиках СССР, где, по слухам, и находятся криминальные синдикаты, стоящие за атаками. Однако совершенно очевидно, что крупные европейские банки тоже рискуют оказаться под ударом. "Способность банка или фирмы защититься от подобных угроз прежде всего зависит от имеющихся возможностей противостоять DDoS-атаке. Сеть из 100 тысяч компьютеров-зомби, подчиняющихся хакеру, способна справиться с существующими системами защиты", – уверен Армин. Такая оценка количества зараженных ПК может показаться нереалистичной, но киберпреступники способны очень быстро рекрутировать массу невольных сообщников, из-за чего DDoS-атаки превращаются в реальную и очень опасную угрозу.

Тенденция уводить деньги со счетов, не тыча дулом в лицо охранника, вызывает опасения, но такие преступления, по сути, являются всего лишь онлайновым эквивалентом "проникновения" сквозь двери банка на тракторе. Более опасной и скрытой угрозой стала волна афер, прокатившаяся по США за последние несколько месяцев. Десятки компаний потеряли от 50 тысяч до 1,2 миллиона долларов вследствие применения вредоносных программ, целью которых было наиболее уязвимое звено в цепочке между покупателем и интернет-банком – домашний или офисный компьютер.

Алгоритм проведения подобных афер следующий: преступники выбирают определенный сегмент рынка (например, компании, занимающиеся оптовыми поставками пищевых продуктов), затем с помощью простых программ, анализирующих результаты поиска Google, создается список из тысяч электронных адресов таких фирм, после чего аферисты организуют массовую рассылку писем, убеждающих получателей открыть приложение, в котором находится троянский вирус, собирающий пароли. Короче, хакеры пользуются доверчивостью и неосведомленностью людей, чтобы выведать их секреты.

С другой стороны, далеко не всегда бывает легко определить потенциально опасное электронное письмо. Киберпреступники применяют все более продуманные и правдоподобные уловки, например, помещают вирусы в PDF-файлы, которые выглядят как накладные, бланки или буклеты. Получив данные о счете, мошенники обманывают системы безопасности и начинают проводить платежи от имени клиента банка. Это позволяет им обходить даже такие меры предосторожности, как аутентификация типа "пользователь-пользователь" и уведомление о несанкционированном доступе. Один киберпреступник по кличке The Cashier ("Кассир") переводил украденное на счета подставных лиц, которые переправляли деньги еще дальше. Большинство задействованных в этой схеме людей совершенно не подозревали, что ими манипулируют, а просто выполняли просьбы, будто бы присланные их знакомыми, просившими переслать средства через Western Union или Moneygram. Поделив добычу на небольшие суммы и переслав их в другую страну, мошенники переводят средства на свои счета или обналичивают награбленное. После таких запутанных манипуляций нет никаких шансов вернуть деньги владельцам.

Итак, какие же технологии могут защитить покупателей и бизнесменов от кибератак? Одно из потенциальных решений этой проблемы, возможно, зреет в недрах варшавской компании Invisible Things Lab. Основатель и президент компании Джоанна Рутковска работает над операционной системой, призванной предотвращать нападения, для которых используется вредоносное ПО.

ОС носит имя Qubes и, по задумке авторов, сможет заменить обычные операционные системы. Джоанна объясняет: "Современные ОС, такие как Windows, Mac OS X или даже Linux, не обеспечивают приемлемый уровень защиты. Подтверждения этому приходят каждую неделю в виде сообщений о новых атаках на браузеры, а также о прикладных программах (например, для просмотра PDF-файлов), ставящих под угрозу все пользовательские данные. Согласитесь, неприятно, когда при наличии уязвимости в одном из приложений страдает вся система".

Qubes позволяет пользователям разделять различные задачи между "виртуальными машинами", каждой из которых можно назначить отдельные настройки безопасности. Например, одна виртуальная машина будет применяться для веб-серфинга, другая – для работы с электронной почтой, третья – для интернет-банкинга и так далее. Если же во время выполнения какой-либо из задач произойдет заражение вирусом, то ничего плохого не случится, поскольку виртуальная машина полностью изолирована от всех остальных приложений. Следовательно, вы сможете создать у себя в компьютере виртуальный сейф для ценной информации.

В то же время израильский ученый доктор Джейкоб Шейер утверждает, что он изобрел систему шифрования, способную противостоять всем существующим методам взлома. В этой системе вместо электронных сигналов используются бинарные импульсы света, проходящие по оптоволоконным каналам, благодаря чему стало возможным создать кодовое сообщение, которое могут расшифровать только отправитель и получатель. Доктор Шейер полагает, что данный принцип получит широкое распространение и уверен, что "даже квантовые компьютеры будущего не помогут хакерам расшифровать ключ". "В будущем грабить музеи будут не бандиты в масках и не одиночки", – считает Стив Келлер. Поскольку технологии для обеспечения безопасности непрерывно совершенствуются, преступникам приходится идти в обход, пользуясь темными закоулками Интернета. Современные охранные системы настолько интеллектуальны, что при правильном применении, практически не поддаются взлому. Правда, похоже, кто-то забыл сказать об этом вору, побывавшему в Парижском музее современного искусства…

По материалам журнала Т3 (http://live.xakep.ru/blog/t3/)

SAWWA
08.10.2010, 23:46
http://www.xakep.ru/post/53429/default.asp
Российская фирма Elcomsoft, специализирующаяся на криптографических технологиях и их взломе, заявила, что успешно разобралась с методикой парольной защиты, используемой в защищенных резервных копиях данных на BlackBerry-смартфонах.

Обнаруженная уязвимость в реализации 256-разрядного AES-шифрования в настольной программе резервирования BlackBerry Desktop Software открыла путь для относительно простого взлома BlackBerry-архивов, содержащих пользовательские контакты, электронную почту и пароли от нее. Так, процедура взлома 7-сивольного пароля, состоящего из строчных и двух прописных букв, отняла полчаса процессорного времени Intel Core i7. Понятно, прибавка в вычислительной мощности и эксплуатация ресурсов графических карт значительно сократит требуемое на взлом время.

По мнению экспертов, стандартная функция PBKDF2 преобразования парольной фразы в ключ почему-то использует в BlackBerry-исполнении всего лишь одну итерацию функций хеширования, хотя, к примеру, Apple применяет 2 тыс. итераций в iOS 3.x и 10 тыс. — в iOS 4.x. Опять же шифрование BlackBerry-архива проводится настольной программой, а не самим смартфоном — обмен данными ведется в незашифрованной форме.

SAWWA
21.03.2011, 01:05
Взлом и кража данных RSA: система идентификации SecurID под угрозой
Хакеры получили доступ к серверам RSA и украли информацию, которая может быть использована для подрыва безопасности двухфакторной системы авторизации, используемой более чем 40 миллионами сотрудников для доступа к важным корпоративным и правительственным сетям, объявила компания в четверг.

"В результате расследования у нас есть все основания полагать, что это была APT (Advanced Persistent Threat) атака", - сообщил исполняющий обязанности председателя RSA Арт Ковиелло в письме, опубликованном на официальном сайте компании. "Наше расследование также показало, что в результате атаки были потеряны некоторые данные".

Однако ни в письме, ни в отчете Securities and Exchange Commission не говорится о том, какая же конкретно информация была утеряна. При этом Ковиелло отметил, что она "может быть использована для снижения эффективности используемой на данный момент двухфакторной системы аутентификации и организации в дальнейшей более масштабной атаки".

Майкл Галлант, представитель компании EMC, являющейся владельцем RSA, отказался ответить на вопросы, связанные со взломом.

Среди прочих вопросов остается неизвестным, получили ли злоумышленники доступ к генераторам случайных чисел, которые система идентификации SecurID использует для создания шестизначных чисел, меняющихся каждые 60 секунд. Работники как в частной индустрии, так и в правительственных агентствах используют данный механизм в качестве дополнительных мер безопасности во время входа в сеть своих работников. Обязательное использование сотрудниками аппаратного ключа может защитить от хакеров, которые, возможно, уже перехватили пароли пользователей.

Если хакерам удалось получить доступ к генераторам для определенных компаний, то они, по всей видимости, могут генерировать пвседо-случайные числа, что позволит обойти серьезное препятствие на пути взлома систем безопасности компаний.

Также существует вероятность того, что злоумышленники попытались украсть исходные коды, что даст им список всех уязвимостей, которые можно использовать. Помимо этого не исключена кража криптографических ключей, которые позволят хакерам имитировать сервера RSA или регистрировать токены новых пользователей.

"RSA конечно постарается убедить людей в том, что их система исправно работает", - сообщил Ник Оуэн, директор Wikid Systems, компании конкурента RSA. "Это значит, что им придется рассказать всю правду о проведенной атаке. Возможно им также придется выдать пользователям новые аппаратные токены".

Оуэн отметил, что объявление компании RSA совпало с тем, что один из сайтов компании по активации лицензий на ПО прекратил свою работу по непонятным причинам. Пока не известно, связано ли падение сайта с атакой.

В письме Ковиелло сообщалось, что системы безопасности компании недавно обнаружили "чрезвычайно сложную атаку, направленную на RSA". Подобное описание и ссылка на APT говорит о вероятности того, что атака могла длится дни, недели и даже месяцы. Так или иначе, компания по этому поводу не распространялась. Они также припомнили атаки, выявленные Google в прошлом году, которые подорвали безопасность десятков компании и в результате которых были потеряны важные данные.

Подобная неопределенность уже вызвала бурную критику со стороны специалистов безопасности.

"APT: Да, нас поимели, украли все ваши данные", - иронически перефразировал письмо Ковиелло в Твиттере специалист по безопасности веб приложений Майк Бейлей. Он также передразнил Ковиелло написав: "Сорри конечно, но этот парень просто КРАСАФЧИК".

RSA разослали пользователям письма, рекомендующие следовать правилам безопасности, таким как установление сложных паролей, тщательная проверка всех носителей, требование от своих сотрудников игнорировать подозрительную почту, а также "ужесточение, строгое наблюдение и ограничение удаленного или физического доступа к инфраструктурам, размещающим важное ПО безопасности".
http://www.xakep.ru/post/55081/


Взлом и кража данных RSA: система идентификации SecurID под угрозой

Хакеры получили доступ к серверам RSA и украли информацию, которая может быть использована для подрыва безопасности двухфакторной системы авторизации, используемой более чем 40 миллионами сотрудников для доступа к важным корпоративным и правительственным сетям, объявила компания в четверг.

"В результате расследования у нас есть все основания полагать, что это была APT (Advanced Persistent Threat) атака", - сообщил исполняющий обязанности председателя RSA Арт Ковиелло в письме, опубликованном на официальном сайте компании. "Наше расследование также показало, что в результате атаки были потеряны некоторые данные".

Однако ни в письме, ни в отчете Securities and Exchange Commission не говорится о том, какая же конкретно информация была утеряна. При этом Ковиелло отметил, что она "может быть использована для снижения эффективности используемой на данный момент двухфакторной системы аутентификации и организации в дальнейшей более масштабной атаки".

Майкл Галлант, представитель компании EMC, являющейся владельцем RSA, отказался ответить на вопросы, связанные со взломом.

Среди прочих вопросов остается неизвестным, получили ли злоумышленники доступ к генераторам случайных чисел, которые система идентификации SecurID использует для создания шестизначных чисел, меняющихся каждые 60 секунд. Работники как в частной индустрии, так и в правительственных агентствах используют данный механизм в качестве дополнительных мер безопасности во время входа в сеть своих работников. Обязательное использование сотрудниками аппаратного ключа может защитить от хакеров, которые, возможно, уже перехватили пароли пользователей.

Если хакерам удалось получить доступ к генераторам для определенных компаний, то они, по всей видимости, могут генерировать пвседо-случайные числа, что позволит обойти серьезное препятствие на пути взлома систем безопасности компаний.

Также существует вероятность того, что злоумышленники попытались украсть исходные коды, что даст им список всех уязвимостей, которые можно использовать. Помимо этого не исключена кража криптографических ключей, которые позволят хакерам имитировать сервера RSA или регистрировать токены новых пользователей.

"RSA конечно постарается убедить людей в том, что их система исправно работает", - сообщил Ник Оуэн, директор Wikid Systems, компании конкурента RSA. "Это значит, что им придется рассказать всю правду о проведенной атаке. Возможно им также придется выдать пользователям новые аппаратные токены".

Оуэн отметил, что объявление компании RSA совпало с тем, что один из сайтов компании по активации лицензий на ПО прекратил свою работу по непонятным причинам. Пока не известно, связано ли падение сайта с атакой.

В письме Ковиелло сообщалось, что системы безопасности компании недавно обнаружили "чрезвычайно сложную атаку, направленную на RSA". Подобное описание и ссылка на APT говорит о вероятности того, что атака могла длится дни, недели и даже месяцы. Так или иначе, компания по этому поводу не распространялась. Они также припомнили атаки, выявленные Google в прошлом году, которые подорвали безопасность десятков компании и в результате которых были потеряны важные данные.

Подобная неопределенность уже вызвала бурную критику со стороны специалистов безопасности.

"APT: Да, нас поимели, украли все ваши данные", - иронически перефразировал письмо Ковиелло в Твиттере специалист по безопасности веб приложений Майк Бейлей. Он также передразнил Ковиелло написав: "Сорри конечно, но этот парень просто КРАСАФЧИК".

RSA разослали пользователям письма, рекомендующие следовать правилам безопасности, таким как установление сложных паролей, тщательная проверка всех носителей, требование от своих сотрудников игнорировать подозрительную почту, а также "ужесточение, строгое наблюдение и ограничение удаленного или физического доступа к инфраструктурам, размещающим важное ПО безопасности".
http://www.xakep.ru/post/55081/



Компьютерным вирусам исполнилось 40 лет
Компьютерные вирусы отмечают 40-летний юбилей: в марте 1971 года в прообразе современного интернета - американской сети ARPANET - появилась программа Creeper, способная самостоятельно перемещаться с одного компьютера на другой.

Строго говоря, Creeper не был компьютерным вирусом в современном понимании этого термина - как программы, способной к самостоятельному размножению. Его создатель - инженер Боб Томас просто пытался написать программу, которая могла бы сама "передвигаться" между компьютерами, не предполагая, что таким образом можно нанести какой-либо урон. В отличие от компьютерных вирусов и червей, созданных позднее, Creeper удалял свою копию из системы при перемещении на новый компьютер.

Попадая на новую машину, программа выводила сообщение "I'm the creeper, catch me if you can!" и немедленно пыталась перебраться дальше. Creeper работал на компьютерах DEC PDP-10 с операционной системой TENEX. Эти весьма крупногабаритные, по современным меркам, компьютеры широко использовались в вычислительных центрах при различных научно-исследовательских организациях того времени.

Одним из первых вирусов, который был нацелен на обычных пользователей, стал Elk Cloner. Эта программа была написана в 1982 году для компьютеров Apple II и распространялась на зараженных дискетах. Elk Cloner был сравнительно безвреден: при каждой пятидесятой загрузке зараженного компьютера он отображал небольшое стихотворение.
http://www.xakep.ru/tags/%E2%E8%F0%F3%F1/

SAWWA
21.03.2011, 01:07
Всего 10 групп создают 80% вирусов
"Большинство вирусов, распространяющихся через интернет в Китае, являются работой всего 10 незаконных, но очень продвинутых групп", - написано в докладе пекинской компании Kingsoft Co.

В докладе говорится, что более 30 групп находятся в жесткой конкуренции за долю на подпольном рынке вирусов, в котором клиенты платят группам за производство и распространение вирусов. Но говорят, лишь 10 из них имеют контроль над 80 процентами рынка.

Группы могут распространять вирусы либо взламывая веб-сайты, либо устанавливая деловое партнерство с теми, кто контролирует сайты и делить с ними получаемый доход.

"Группы зарабатывают деньги устанавливая вирусы на популярных сайтах, предлагающих бесплатную загрузку фильмов, электронных книг и видеоигр, получая информацию о финансах пользователей компьютеров, и вызывая у них большие экономические потери", - говорится в сообщении.

Можно предположить, что хакерские группы зарабатывают огромные суммы денег от своего бизнеса, если, по словам докладчика, только одна группа может зарабатывать наличными, по меньшей мере, 150 миллионов юаней ($22,8 млн.) в год.

Представитель Kingsoft по фамилии Ге рассказал, что компания ждёт помощи от полиции в поимке хакеров.

Между тем в ходе своего расследования Shanghai Daily обнаружила, что одна из таких групп использует сайта www.xwoditg.cc для продажи ею же разработанного мобильного телефона с вирусом для подслушивания. Вирус, названный X-spy, уже заразил 150 000 пользователей мобильных телефонов по всей стране, согласно докладу другой антивирусной компании, NetQin. Хотя вирус был в списке как программа-шпион и был запрещён для продажи в Китае несколько лет назад, веб-сайт и компания переехали в Таиланд для того, чтобы продолжить свой бизнес.

http://www.xakep.ru/post/54976/default.asp

SAWWA
17.04.2011, 03:17
Профессиональный хакер сознался во взломе компьютеров ФРС
Дата: 15.04.2011 Версия для печати Послать ссылку по почте Комментарии
http://www.xakep.ru/post/55404/

Малайзиец признался во взломе компьютерной сети, находящейся под управлением Федерального резервного банка США, и в захвате данных платежных карт.

Лин Мун Пу признал себя виновным в среду в Бруклинском окружном суде (США). В ноябре ему было предъявлено обвинение по четырем статьям, куда входили мошенничество, кража персональных данных с отягчающими обстоятельствами, незаконная передача компьютерного кода и несанкционированный доступ к правительственной информации.

Согласно обвинителям, Пу сделал карьеру на взломе финансовых учреждений, военных подрядчиков и корпораций, а также на продаже украденной информации. Среди его жертв оказалась фирма FedComp, которая занимается обработкой информации для более 2 500 кредитных союзов. Данная атака позволила Пу получить доступ к информации многочисленных кредитных союзов по всей стране.

Он был арестован в октябре несколько часов спустя после прибытия в международный аэропорт им. Джона Кеннеди в Нью-Йорке. Федеральные агенты изъяли у него "зашифрованный лэптоп", где содержались банковские данные более 400 000 кредитных и дебетовых карт, а также номера банковских счетов, отметили обвинители в судебных документах. Перед тем, как арестовать Пу, агенты проследили, как он продавал украденные номера кредитных карт за $1 000 в закусочной в Бруклине.

Пу признал свою вину лишь в мошенничестве, связанном с незаконным доступом к устройству, но сознался во взломе Федеральной резервной системы и установке вредоносного кода на сервере. Ему грозит до 10 лет тюремного заключения. Вынесение приговора назначено на сентябрь.

SAWWA
30.04.2011, 00:56
http://www.onliner.by/news/29.04.2011/17.21/
Хакеры выставили на продажу номера кредитных карт из PSN
Автор: Константин Сидорович | 29.04.2011 17:21

Похоже, неуверенность Sony касательно похищения хакерами данных о кредитных карточках пользователей PlayStation Network была оправданна. Специалисты Trend Micro сообщили, что хакеры, взломавшие PSN, выставили на продажу украденную информацию об игроках, в том числе и о номерах их кредиток, передает SlashGear.
предложения о продаже 2,2 млн номеров кредитных карт появились на нескольких подпольных хакерских форумах. По неподтвержденной информации, в Австралии уже объявилась и первая жертва хакеров. Один из пользователей утверждает, что с его карточки сняли более $2 тыс.

SAWWA
02.05.2011, 01:39
Кое чего приключилось с одним жителем Гомеля после того, вернувшимся с уикэнда из Украины, (реально близко 2 столица - Минск и Киев, ехать почти одинаково . По возвращении он заметил, что с его мультивалютной кредитной карточки исчезло порядка 2 тыс. долларов (прим. ред.)
Потерпевший прокомментировал "мол с женой были в Кыеве, немного подзакупились в тамошних магазинах, расплачивалясь кредиткой, -указал в показаниях милиции потерпевший. -После возвращения домой, проверив баланс неприятно удивился"...



Мужчина сразу же отправился в один из крупнейших белорусских банков, который эмитировал карточку. Там гомельчанина удивили еще больше информацией, выданной компьютером. Оказывается, деньги были совершенно законно сняты с использованием его карточки в... Варшаве!

- Тогда мужчина пошёл в редакцию «Комсомолки» начальник отделения дознания Центрального РОВД Гомеля Денис Юрченко. - Потерпевший настаивал, что не был в Польше в указанный период времени и свою карточку посторонним не доверял. В результате оперативно -следственных мероприятий было установлено, что данный граждани не пересекал границу, а со счета неустановленные лица сняли шесть тысяч злотых, что стало поводом для возбуждения уголовного дела, квалифицирующегося как хищение путем использования компьютерной техники. Подобное дело могло произойти либо при расплачивании за покупки в Украине ,код карточки мог быть нелегально считан и потом использован мошенниками в Варшаве либо к данному инценденту причастны сотрудники банка ..
человеческий фактор тоже проявляется.. К слову, в настоящее время в Гомеле произошло несколько подобных случаев с подобными сценариями развития ситуации..

учитывая специфическую мобильность граждан приграничных районов можно ожидать много
по материалам http://kp.by/daily/25677/837891/

SAWWA
04.05.2011, 00:36
интересный взгляд на информационную безопасность или почему необходимо не произносить коды окрывания сейфоа по телефону
(http://www.cryptogsm.ru/gsm_interception/technical/76)
Все тайное когда ни будь станет явным, известная фраза, но она актуальна и сейчас. Прямо на наших глазах начинает разгораться грандиозный скандал с прослушиванием и даже более «подглядыванием» наших мобильных телефонов. И оказывается, чем круче мобильный телефон, тем больше шпионских функций можно задействовать...
Все тайное когда ни будь станет явным, известная фраза, но она актуальна и сейчас. Прямо на наших глазах начинает разгораться грандиозный скандал с прослушиванием и даже более «подглядыванием» наших мобильных телефонов. И оказывается, чем круче мобильный телефон, тем больше шпионских функций можно задействовать:



Визуальное фотографирование окружающих лиц и предметов
Видеосъемку и акустический контроль в радиусе до 10 метров от мобильного телефона с последующей регистрацией всех говорящих.
Прослушивание всех входящих и исходящих телефонных разговоров, смс и электронной почты и скрупулезная архивация всей информации.
Четко определять местоположение объекта ( мобильника) с точностью до несколько метров.
Дистанционное включение микрофона с расстояния в десятки тысяч километров.
Дистанционное прослушивание разговоров через микрофон телефона, даже если основная батарея вынута ( для современных смарт телефонов).

Естественно, что данные технологии контроля за мобильными телефонами использовались ранее только западными спецслужбами в рамках борьбы с террористами и криминальными элементами (В России разработки и производства мобильных телефонов до настоящего времени не было). При производстве простых мобильных телефонов указанные функции были реализованы на аппаратном уровне и активизировались только по специальным запросам, которые были известны соответствующим западным спецслужбам. Данные мероприятия осуществлялись в рамках законодательства своих стран. При развитии технологии мобильной связи и появлением смарт телефонов и коммуникаторов, соединяющих функции телефона и компьютера реализация «специальных» функций или как их называют «полицейских» легла и на операционные системы, которые используются в мобильных технологиях. Все труднее стало производить универсальные высокоскоростные мало потребляющие процессоры для мобильных телефонов, которые реализуют еще дополнительную «полицейскую» функцию. К сожалению, такое значительное перераспределение специальных функций с аппаратной части на программную привела к тому, что опытные программисты стали ее ловко использовать и создали целый ряд так называемых «spy» (шпионских) телефонов на базе серийно выпускаемых мобильных телефонов. Мы насчитали более 70 моделей известнейших в мире производителей мобильных телефонов таких как NOKIA, SIEMENS, PANASONIC, MOTOROLA, SAMSUNG, SONYERICSSON и других, на базе которых были разработаны «spy» телефоны. Даже для прослушивания разговоров малышей был разработан специальный телефон, теперь не только родители, но и весь мир может свободно слышать речь их малышей. Ничего нет удивительного, что в мире увеличивается киднапинг и в основном из за открытого доступа к информации о детях.
При таком открытом поле деятельности программистов стало возможным создание не дорогих ложных базовых станций (таких как «ловушки» IMSI) которые занимаются активацией микрофона на Вашем мобильнике с помощью ложных звонков или смс, например, в информации о новой услуге ложного оператора, совсем не примечательной на первый взгляд, может содержаться код активации микрофона Вашего мобильника для последующего прослушивания разговора и помещения. Определить, что включился Ваш микрофон практически очень сложно и злоумышленник спокойно может слышать и записывать не только Ваши разговоры по телефону, но и разговоры в помещении, где находиться мобильный телефон (мы повторяем, это в основном для современных коммуникаторов и смарт телефонов). Таким образом, к Вашему мобильному телефону очень престижному и элегантному совершенно спокойно могут подключиться не только спецслужбы (естественно в соответствии с законом), но и большое количество конкурентов с целью получения сведений о Вас в том числе и компромата. Недаром в газете «Московский комсомолец» написано, что компромат в России стал очень дешев, несколько тысяч долларов. Не в этом ли причина, что «подглядывать» и «прослушивать» стало очень дешево. В приведенных ниже статьях из российских и западных СМИ наглядно приводятся доказательства появления огромного числа «spy» телефонов, главное что номенклатура их с каждым днем расширяется. Теперь мы не можем точно знать какой телефон мы покупаем обычный или «spy» и какой телефон нам вернут после незначительного ремонта. И главное, что производители телефонов ни в коей мере юридически не отвечают за эти достаточно странные изменения, не было ни одного официального заявления ни NOKIA ни SIEMENS о том, что нельзя использовать свои телефоны как подслушивающие устройства, что это нарушает права человека. В открытой прессе мы таких заявлений не нашли. Это значит, что реальная демократия – свобода прослушивания любым путем.

некоторых упомянутых производителей уже нет , а некоторые близки к уходу с рынка

SAWWA
04.05.2011, 01:20
в определённых случаях при проведении преступных приготовлений к совершению противоправных действий, направленных на изъятие значительных материальных ценностей, особо одарённые таланты прибегают к разного рода изысканным схемам, в т.ч. - использование фототехники и т.д. в общем, для сведения,

Китайские астронавты побывали на Луне? Да, если снимать на Nikon

03.05.2011 [18:42], Артем Терехов

Помните, как в конце прошлого года московская компания ElcomSoft обнаружила уязвимость в криптографической системе фотографий Canon? Аналогичная участь постигла изображения, созданные с помощью камер Nikon, – в защите аппаратов этой компании также обнаружен изъян.
http://www.zamkidveri.com/forum/images/imported/2011/05/3dn-1.gif?4273953

Исследователям удалось извлечь так называемый ключ-подпись, прикрепляющийся к каждой созданной фотографии и являющийся доказательством ее подлинности. Затем работники ElcomSoft подготовили несколько сфабрикованных изображений и оснастили их этим ключом, в результате каждая картинка смогла пройти тест Nikon Image Authentication
Software.
http://www.zamkidveri.com/forum/images/imported/2011/05/abbey_road_small-1.jpg
По словам представителей ElcomSoft, уязвимости подвержены все камеры Nikon, поддерживающие систему Image Authentication, включая следующие: D3X, D3, D700, D300S, D300, D2Xs, D2X, D2Hs и D200. Компания уже отправила официальное письмо в Nikon, однако ответ пока не поступил.
http://www.3dnews.ru/news/

SAWWA
10.06.2011, 03:03
Общий подход Microsoft в России: «Сотрудничество и партнерство с государством».

Microsoft, в начале мая купивший компанию Skype, предоставляющую услуги интернет-телефонии, не исключает возможности передачи российским спецслужбам шифровальных алгоритмов этого сервиса. «Я бы хотел это сделать», - заявил президент «Microsoft-Россия» Николай Прянишников, передает «Интерфакс».

При этом он подчеркнул, что этот вопрос еще не обсуждался. «Надо пройти еще несколько этапов интеграции (Skype - «ИФ»), - сказал Н.Прянишников.

Он отметил, что общий подход Microsoft в России: «Сотрудничество и партнерство с государством». В частности, Microsoft открыл российским спецслужбам исходные коды своих программных продуктов. «Мы хотим развивать нашу совместную с ФСБ лабораторию», - отметил он.

Н.Прянишников напомнил, что Microsoft при покупке Skype объявил, что не намерен ломать бизнес-модель компании. Skype будет управляться как отдельный бизнес в структуре Microsoft.
http://hbf.by/

Этой весной громкий резонанс на российском рынке получило высказывание представителя ФСБ, который заявил, что сервисы Skype и Gmail могут представлять угрозу национальной безопасности России, так как в них используются алгоритмы кодирования, не доступные для расшифровки спецслужбами. Позднее ФСБ уточнила, что не настаивает на запрете этих сервисов в РФ, а лишь предлагает ввести их в рамки российского правового поля.

Хакер выложил в открытый доступ исходный код Skype

Закрытый протокол популярной программы Skype оказался взломан вместе со встроенным механизмом шифрования данных. Об этом заявил в своем блоге хакер Ефим Бушманов.
Изображение
Хакер сообщил, что смог получить код с помощью метода "обратной разработки" (reverse engineering). Его суть заключается в том, что разработчик вникает во внутреннее устройство программы и на основе полученных знаний создает свой код, аналогичный исходному.

Бушманову удалось воспроизвести код протокола для первой, третьей и четвертой версий клиента Skype, а также разобраться в алгоритмах шифрования, которые использует сервис. Свои наработки он разместил на файлообменнике Depositfiles.com и на сервисе The Pirate Bay и дал ссылки на них в своем блоге. При этом разработчик уточнил, что использовал устаревшую версию протокола Skype, уже вышедшую из употребления.

В компании Skype не подтвердили информацию о взломе, но осудили действия хакера, пишет securitylab.ru.

"Это неправомерное использование нашего приложения, которое может привести к созданию вредоносных программ. Это также является нарушением прав Skype на интеллектуальную собственность. Мы предпримем все необходимые меры, чтобы остановить эти гнусные попытки подорвать работу Skype", - заявили представители пресс-службы Skype.

Отметим, что сегодня в середине дня Skype что называется завис для огромного количества пользователей. В официальном микроблоге Skype в Twitter указывается, что проблемы с доступом испытывает лишь небольшая часть пользователей. "Мы изучаем эту проблему и надеемся, что в ближайшее время представим вам все подробности",- говорится в сообщении компании.

Это уже третий серьезный сбой в работе Skype за последние полгода. При этом последний раз проблемы возникли чуть более недели назад, 26 мая с.г. Тогда сервис не был доступен пользователям платформ Microsoft Windows и Apple Mac OS X. Ранее, 24 декабря 2010 г., пользователям по всему миру также испытали проблемы с видеозвонками и другими опциями сервиса. Об этом сообщает РосБизнесКонсалтинг.

SAWWA
10.06.2011, 03:09
Современные графические процессоры делают бесполезными многие пароли
http://www.3dnews.ru/news/page-3.html
08.06.2011Павел Котов

Инженер-энтузиаст Виджей Девакумар (Vijay Devakumar) продемонстрировал, что современные видеокарты с относительной легкостью взламывают даже сложные и длинные пароли. В сочетании с новыми программными средствами графические процессоры превращают взлом паролей в рамках протокола NTLM, используемого в Windows-сетях, из невыполнимой задачи в очень даже реалистичную. В качестве примера он взял видеоадаптер Radeon HD 5770, относящийся к средней ценовой категории, и доказал, что для взлома считающегося надежным пароля из девяти символов требуется не 43 года, как предполагалось ранее, а всего 48 дней. Если же в качестве объекта взять пятизначный пароль из букв и цифр, то для его подбора методом «грубой силы» требуется всего 24 секунды.

Взлом


Разумеется, более продвинутые решения вроде Radeon HD 6970 решают данную задачу еще быстрее. Дальнейшее развитие графических чипсетов еще больше усугубит ситуацию, поскольку недорогие видеокарты и видеоадаптеры уровня ноутбуков смогут осуществлять взлом за аналогичное время. Да и сегодня на рынке присутствует множество чипов, чья мощность существенно превосходит скромную HD 5770. Большинство современных чипсетов от AMD и NVIDIA построено на мультиядерной архитектуре, которая подходит для обработки не только графических задач, но и задач общего назначения, например, для кодирования видео. При этом крупные настольные платформы вроде Mac OS X Snow Leopard и Windows 7 с DirectX 11 имеют встроенную поддержку обработки данных графическими процессорами, и технология эта будет только усовершенствоваться.

Поэтому разработчикам систем безопасности, да и самим пользователям следует помнить, что сегодня угроза нависла даже над теми средствами защиты, которые прежде считались надежными. Пароли, которые так трудно запомнить человеку, взламываются видеокартами за относительно короткое время. Поэтому необходимо внедрение дополнительных степеней защиты, которые задействуют не только пароли, но и другие средства; это могут быть, например, сканеры отпечатков пальцев или аутентификация по аппаратной части машины.

SAWWA
24.06.2011, 02:49
http://www.unian.net/rus/news/news-442472.html
Организованная украинцами группа хакеров «наказала» банки на $72 млн.

СБУ совместно с правоохранительными органами США, Великобритании, Франции, Германии, Кипра и Латвии прекратила противоправную деятельность международной преступной группировки хакеров, организованной гражданами Украины под прикрытием легальной коммерческой структуры.

Об этом УНИАН сообщили в пресс-центре СБУ.

Так, по их данным, используя специализированный компьютерный вирус Conficer, хакеры получали доступ к счетам в иностранных банковских учреждениях разных стран, снимали с них деньги и переводили в наличные.

Полученные таким способом деньги легализировались путем приобретения движимого и недвижимого имущества.

По предварительным оценкам, вследствие такой противоправной деятельности клиентам банковских учреждений причинен ущерб на сумму более 72 млн. долл.

Как рассказал сегодня на брифинге начальник Управления контрразведывательного обеспечения информационной безопасности государства СБУ Виталий ХЛЕВИЦКИЙ, в Украине допрошены 16 участников международной группировки, в том числе организаторы и координаторы.

Он отметил, что организаторам группировки хакеров от 26 до 33 лет, они все с очень хорошим образованием в сфере информационных технологий.

В настоящее время никто еще не задержан, поскольку вопрос о возбуждении уголовного дела только решается, сказал В.ХЛЕВИЦКИЙ.

Что касается потерпевших, то среди них украинцев нет, "они все находятся в США и других странах".

По словам В.ХЛЕВИЦКОГО, 21 июня в нескольких странах мира было проведено более 30-ти обысков, в Украине - 19. Иностранные спецслужбы изъяли около 30 серверов, правоохранители Латвии задержали 2-х человек. Арест наложен на более чем 40 счетов банковских учреждений Латвии и Кипра. Во время обысков, которые проводили сотрудники СБУ, изъято более 74 единиц компьютерной техники, около 300 единиц носителей электронной информации.

"По предварительной оценке изъятой компьютерной техники на предмет хранения в ней информации, которая подтверждает противоправную деятельность установленных лиц, установлено, что программное обеспечение, которое было создано или модифицировано, а потом использовано членами группировки, относится к вредному программному обеспечению", - сказал В.ХЛЕВИЦКИЙ.

Он пояснил, что злоумышленники запускали вирус, поражающий компьютерную технику и предлагали антивирусную программу, в которой содержался еще один вирус, который, в свою очередь, позволял получать данные о платежных банковских карточках людей.

"Это первая такого масштаба операция в сфере борьбы с киберпреступностью", - подчеркнул начальник управления.

Он не исключил, что сумма причиненного вреда может быть больше, чем 72 млн. долл., и возможно, эти люди осуществляли свою противоправную деятельность и раньше.

Как рассказал старший специальный агент ФБР США Норман САНДЕРС, ФБР расследовало это дело в течении 3-х лет. Обмениваясь информацией с СБУ, стало понятно, что спецслужбы обеих стран расследуют преступные действия одних и тех же лиц.

"Без поддержки СБУ не получилось бы проведение этой спецоперации", - сказал Н.САНДЕРС.

По словам и.о. руководителя представительства ФБР США в Украине Бренда СМИТА, киберпреступностью может быть охвачен весь мир, и нельзя говорить, что Украина является одной из стран, в которой хакерство наиболее распространено.

Он подчеркнул, что аналогичные преступления совершаются по всему миру.

По его словам, специалисты ФБР непосредственно принимали участие в действиях, которые проводились на территории Украины.

По словам В.ХЛЕВИЦКОГО, за такие действия украинским законодательством предусмотрено наказание в виде лишения свободы сроком от 3 до 6 лет. Американское законодательство предусматривает более жесткие санкции, вплоть до пожизненного заключения.

SAWWA
02.07.2011, 00:47
проще теперь станет жить простым гражданам в наш непростой век начала массового внедрения электроники в обиход, пока не вшили всем и малым и великим Метку с Числом человеческим:


"Закон вступит в силу через три месяца после даты официальной публикации. Он коснётся банковских, мобильных и электронных платежей Глава 1. Общие положения Статья 1. Предмет регулирования настоящего Федерального закона Настоящий Федеральный закон устанавливает правовые и организационные основы национальной платежной системы, регулирует порядок оказания платежных услуг, в том числе осуществления перевода денежных средств, использования электронных средств платежа, деятельность субъектов национальной платежной системы, а также определяет требования к организации и функционированию платежных систем, порядок осуществления надзора и наблюдения в национальной платежной системе. Статья 2. Нормативно-правовое регулирование отношений в национальной платежной системе 1. Законодательство Российской Федерации о национальной платежной системе основывается на Конституции Российской Федерации, международных договорах Российской Федерации и состоит из настоящего Федерального закона и иных федеральных законов. 2. Правительство Российской Федерации и федеральные органы исполнительной власти в пределах своих полномочий в случаях, предусмотренных настоящим Федеральным законом и иными федеральными законами, могут принимать нормативные правовые акты в целях регулирования отношений в национальной платежной системе. 3. Центральный банк Российской Федерации (Банк России) в пределах своих полномочий в случаях, предусмотренных настоящим Федеральным законом и иными федеральными законами, может принимать нормативные акты в целях регулирования отношений в национальной платежной системе. Статья 3. Основные понятия, используемые в настоящем Федеральном законе В настоящем Федеральном законе используются следующие основные понятия: 1) национальная платежная система - совокупность операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством Российской Федерации, операторов платежных систем, операторов услуг платежной инфраструктуры (субъекты национальной платежной системы); 2) оператор по переводу денежных средств - организация, которая в соответствии с законодательством Российской Федерации вправе осуществлять перевод денежных средств; 3) оператор электронных денежных средств - оператор по переводу денежных средств, осуществляющий перевод электронных денежных средств без открытия банковского счета (перевод электронных денежных средств); 4) банковский платежный агент - юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, которые привлекаются кредитной организацией в целях осуществления деятельности, предусмотренной настоящим Федеральным законом; 5) банковский платежный субагент - юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, которые привлекаются банковским платежным агентом в целях осуществления деятельности, предусмотренной настоящим Федеральным законом; 6) оператор платежной системы - организация, определяющая правила платежной системы, а также выполняющая иные обязанности, предусмотренные настоящим Федеральным законом; 7) оператор услуг платежной инфраструктуры - операционный центр, платежный клиринговый центр и расчетный центр; 8) операционный центр - организация, обеспечивающая в рамках платежной системы для участников платежной системы и их клиентов доступ к услугам по переводу денежных средств, в том числе с использованием электронных средств платежа, а также обмен электронными сообщениями (далее - операционные услуги); 9) платежный клиринговый центр - организация, созданная в соответствии с законодательством Российской Федерации, обеспечивающая в рамках платежной системы прием к исполнению распоряжений участников платежной системы об осуществлении перевода денежных средств и выполнение иных действий, предусмотренных настоящим Федеральным законом (далее - услуги платежного клиринга); 10) центральный платежный клиринговый контрагент - платежный клиринговый центр, выступающий в соответствии с настоящим Федеральным законом плательщиком и получателем средств по переводам денежных средств участников платежной системы; 11) расчетный центр - организация, созданная в соответствии с законодательством Российской Федерации, обеспечивающая в рамках платежной системы исполнение распоряжений участников платежной системы посредством списания и зачисления денежных средств по банковским счетам участников платежной системы, а также направление подтверждений, касающихся исполнения распоряжений участников платежной системы (далее - расчетные услуги); 12) перевод денежных средств - действия оператора по переводу денежных средств в рамках применяемых форм безналичных расчетов по предоставлению получателю средств денежных средств плательщика; 13) трансграничный перевод денежных средств - перевод денежных средств, при осуществлении которого плательщик либо получатель средств находится за пределами Российской Федерации, и (или) перевод денежных средств, при осуществлении которого плательщика или получателя средств обслуживает иностранный центральный (национальный) банк или иностранный банк; 14) безотзывность перевода денежных средств - характеристика перевода денежных средств, обозначающая отсутствие или прекращение возможности отзыва распоряжения об осуществлении перевода денежных средств в определенный момент времени; 15) безусловность перевода денежных средств - характеристика перевода денежных средств, обозначающая отсутствие условий или выполнение всех условий для осуществления перевода денежных средств в определенный момент времени; 16) окончательность перевода денежных средств - характеристика перевода денежных средств, обозначающая предоставление денежных средств получателю средств в определенный момент времени; 17) платежная услуга - услуга по переводу денежных средств, услуга почтового перевода и услуга по приему платежей; 18) электронные денежные средства - денежные средства, которые предварительно предоставлены одним лицом (лицом, предоставившим денежные средства) другому лицу, учитывающему информацию о размере предоставленных денежных средств без открытия банковского счета (обязанному лицу), для исполнения денежных обязательств лица, предоставившего денежные средства, перед третьими лицами и в отношении которых лицо, предоставившее денежные средства, имеет право передавать распоряжения исключительно с использованием электронных средств платежа. При этом не являются электронными денежными средствами денежные средства, полученные организациями, осуществляющими профессиональную деятельность на рынке ценных бумаг, клиринговую деятельность и (или) деятельность по управлению инвестиционными фондами, паевыми инвестиционными фондами и негосударственными пенсионными фондами и осуществляющими учет информации о размере предоставленных денежных средств без открытия банковского счета в соответствии с законодательством, регулирующим деятельность указанных организаций; 19) электронное средство платежа - средство и (или) способ, позволяющие клиенту оператора по переводу денежных средств составлять, удостоверять и передавать распоряжения в целях осуществления перевода денежных средств в рамках применяемых форм безналичных расчетов с использованием информационно-коммуникационных технологий, электронных носителей информации, в том числе платежных карт, а также иных технических устройств; 20) платежная система - совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств, включающая оператора платежной системы, операторов услуг платежной инфраструктуры и участников платежной системы, из которых как минимум три организации являются операторами по переводу денежных средств; 21) значимая платежная система - платежная система, отвечающая критериям, установленным настоящим Федеральным законом (системно значимая платежная система или социально значимая платежная система); 22) правила платежной системы - документ (документы), содержащий (содержащие) условия участия в платежной системе, осуществления перевода денежных средств, оказания услуг платежной инфраструктуры и иные условия, определяемые оператором платежной системы в соответствии с настоящим Федеральным законом; 23) участники платежной системы - организации, присоединившиеся к правилам платежной системы в целях оказания услуг по переводу денежных средств; 24) обмен электронными сообщениями - получение операционным центром электронных сообщений, содержащих распоряжения участников платежной системы, передача указанных сообщений в платежный клиринговый центр, расчетный центр, а также передача извещений (подтверждений) о приеме и об исполнении распоряжений участников платежной системы; 25) платежные клиринговые позиции - суммы денежных средств, подлежащих списанию и зачислению расчетным центром по банковским счетам участников платежной системы." - сообщает сайт "Аргументов и Фактов" в статье http://www.aif.ru/money/article/44160

SAWWA
02.07.2011, 00:48
"Глава 2. Порядок оказания платежных услуг, в том числе осуществления перевода денежных средств, и использования электронных средств платежа Статья 4. Порядок оказания платеж-ных услуг 1. Оператор по переводу денежных средств оказывает услуги по переводу денежных средств на основании договоров, заключаемых с клиентами и между операторами по переводу денежных средств, в рамках применяемых форм безналичных расчетов в соответствии с требованиями законодательства Российской Федерации. 2. Банковские платежные агенты и банковские платежные субагенты участвуют в оказании услуг по переводу денежных средств на основании договоров, заключаемых соответственно с операторами по переводу денежных средств и банковскими платежными агентами в соответствии с требованиями статьи 14 настоящего Федерального закона. 3. Организации федеральной почтовой связи оказывают услуги почтового перевода денежных средств в соответствии с требованиями Федерального закона от 17 июля 1999 года N 176-ФЗ "О почтовой связи". 4. Платежные агенты оказывают услуги по приему платежей в соответствии с Федеральным законом от 3 июня 2009 года N 103-ФЗ "О деятельности по приему платежей физических лиц, осуществляемой платежными агентами". Статья 5. Порядок осуществления перевода денежных средств 1. Оператор по переводу денежных средств осуществляет перевод денежных средств по распоряжению клиента (плательщика или получателя средств), оформленному в рамках применяемой формы безналичных расчетов (далее - распоряжение клиента). 2. Перевод денежных средств осуществляется за счет денежных средств плательщика, находящихся на его банковском счете или предоставленных им без открытия банковского счета. 3. Перевод денежных средств осуществляется в рамках применяемых форм безналичных расчетов посредством зачисления денежных средств на банковский счет получателя средств, выдачи получателю средств наличных денежных средств либо учета денежных средств в пользу получателя средств без открытия банковского счета при переводе электронных денежных средств. 4. Внесение наличных денежных средств на свой банковский счет или получение наличных денежных средств со своего банковского счета у одного оператора по переводу денежных средств не является переводом денежных средств. 5. Перевод денежных средств, за исключением перевода электронных денежных средств, осуществляется в срок не более трех рабочих дней начиная со дня списания денежных средств с банковского счета плательщика или со дня предоставления плательщиком наличных денежных средств в целях перевода денежных средств без открытия банковского счета. 6. В осуществлении перевода денежных средств наряду с оператором по переводу денежных средств, обслуживающим плательщика, и оператором по переводу денежных средств, обслуживающим получателя средств, могут участвовать другие операторы по переводу денежных средств (далее - посредники в переводе). 7. Если иное не обусловлено применяемой формой безналичных расчетов или федеральным законом, безотзывность перевода денежных средств, за исключением перевода электронных денежных средств, наступает с момента списания денежных средств с банковского счета плательщика или с момента предоставления плательщиком наличных денежных средств в целях перевода денежных средств без открытия банковского счета. 8. Безусловность перевода денежных средств наступает в момент выполнения определенных плательщиком и (или) получателем средств либо иными лицами условий осуществления перевода денежных средств, в том числе осуществления встречного перевода денежных средств в иной валюте, встречной передачи ценных бумаг, представления документов, либо при отсутствии указанных условий. 9. В случае, если плательщика средств и получателя средств обслуживает один оператор по переводу денежных средств, окончательность перевода денежных средств, за исключением перевода электронных денежных средств, наступает в момент зачисления денежных средств на банковский счет получателя средств или обеспечения получателю средств возможности получения наличных денежных средств. 10. В случае, если плательщика средств и получателя средств обслуживают разные операторы по переводу денежных средств, окончательность перевода денежных средств наступает в момент зачисления денежных средств на банковский счет оператора по переводу денежных средств, обслуживающего получателя средств, с учетом требований статьи 25 настоящего Федерального закона. 11. При переводе денежных средств обязательство оператора по переводу денежных средств, обслуживающего плательщика, перед плательщиком прекращается в момент наступления его окончательности. 12. Оператор по переводу денежных средств до осуществления перевода денежных средств обязан предоставлять клиентам возможность ознакомления в доступной для них форме с условиями осуществления перевода денежных средств в рамках применяемой формы безналичных расчетов, в том числе: 1) с размером вознаграждения и порядком его взимания в случае, если оно предусмотрено договором; 2) со способом определения обменного курса, применяемого при осуществлении перевода денежных средств в иностранной валюте (при различии валюты денежных средств, предоставленных плательщиком, и валюты переводимых денежных средств); 3) с порядком предъявления претензий, включая информацию для связи с оператором по переводу денежных средств; 4) с иной информацией, обусловленной применяемой формой безналичных расчетов. 13. Клиент обязан предоставить оператору по переводу денежных средств достоверную информацию для связи с клиентом, а в случае ее изменения своевременно предоставить обновленную информацию. Обязанность оператора по переводу денежных средств по направлению клиенту уведомлений, предусмотренных настоящим Федеральным законом, считается исполненной при направлении уведомления в соответствии с имеющейся у оператора по переводу денежных средств информацией для связи с клиентом. Статья 6. Особенности осуществления перевода денежных средств по требо-ванию получателя средств 1. При осуществлении безналичных расчетов в форме перевода денежных средств по требованию получателя средств (прямом дебетовании) оператор по переводу денежных средств на основании договора с плательщиком осуществляет списание денежных средств с банковского счета плательщика с его согласия (акцепта плательщика) по распоряжению получателя средств (далее - требование получателя средств). 2. Право получателя средств предъявлять требования к банковскому счету плательщика должно быть предусмотрено договором между обслуживающим плательщика оператором по переводу денежных средств и плательщиком. 3. Акцепт плательщика может быть дан до поступления требования получателя средств (заранее данный акцепт плательщика) или после его поступления обслуживающему плательщика оператору по переводу денежных средств. Акцепт плательщика может быть дан в договоре между обслуживающим плательщика оператором по переводу денежных средств и плательщиком либо в виде отдельного документа или сообщения. 4. Акцепт плательщика может быть дан в отношении одного или нескольких получателей средств, одного или нескольких требований получателя средств. 5. Требование получателя средств может направляться непосредственно обслуживающему плательщика оператору по переводу денежных средств или через оператора по переводу денежных средств, обслуживающего получателя средств. 6. В случае отсутствия заранее данного акцепта плательщика оператор по переводу денежных средств передает поступившее требование получателя средств для акцепта плательщику не позднее дня, следующего за днем поступления требования получателя средств. 7. Акцепт плательщика должен быть дан в течение пяти рабочих дней, если более короткий срок не предусмотрен договором между оператором по переводу денежных средств и плательщиком. 8. При акцепте плательщика требование получателя средств исполняется в сумме акцепта плательщика. 9. Допускается акцепт плательщика в части суммы требования получателя средств (частичный акцепт плательщика), если иное не предусмотрено договором между оператором по переводу денежных средств и плательщиком. 10. В случае частичного акцепта плательщика оператор по переводу денежных средств обязан указать на это при подтверждении получателю средств исполнения его требования. 11. При отказе плательщика от акцепта или неполучении акцепта в установленный срок требование получателя средств подлежит возврату получателю средств с указанием причины возврата. 12. При поступлении требования получателя средств с заранее данным акцептом плательщика обслуживающий плательщика оператор по переводу денежных средств обязан проверить соответствие требования получателя средств условиям заранее данного акцепта плательщика. 13. При соответствии требования получателя средств условиям заранее данного акцепта плательщика оно исполняется в сумме и в срок, которые предусмотрены условиями заранее данного акцепта плательщика. 14. При несоответствии требования получателя средств условиям заранее данного акцепта плательщика или невозможности их проверки обслуживающий плательщика оператор по переводу денежных средств обязан возвратить требование получателя средств без исполнения, если договором не предусмотрена обязанность обслуживающего плательщика оператора по переводу денежных средств в указанном случае запросить акцепт плательщика. 15. Оператор по переводу денежных средств обязан направить плательщику уведомление об исполнении требования получателя средств не позднее дня, следующего за днем исполнения. Статья 7. Особенности осуществления перевода электронных денежных средств 1. При осуществлении безналичных расчетов в форме перевода электронных денежных средств клиент предоставляет денежные средства оператору электронных денежных средств на основании заключенного с ним договора. 2. Клиент - физическое лицо может предоставлять денежные средства оператору электронных денежных средств с использованием своего банковского счета или без использования банковского счета. 3. Клиент - юридическое лицо или индивидуальный предприниматель предоставляет денежные средства оператору электронных денежных средств только с использованием своего банковского счета. 4. Оператор электронных денежных средств учитывает денежные средства, предоставленные клиентом, путем формирования записи, отражающей размер обязательств оператора электронных денежных средств перед клиентом в сумме предоставленных им денежных средств (далее - остаток электронных денежных средств). 5. Оператор электронных денежных средств не вправе предоставлять клиенту денежные средства для увеличения остатка электронных денежных средств клиента. 6. Оператор электронных денежных средств не вправе осуществлять начисление процентов на остаток электронных денежных средств или выплату любого вознаграждения клиенту. 7. Перевод электронных денежных средств осуществляется на основании распоряжений плательщиков в пользу получателей средств. В случаях, предусмотренных договорами между плательщиком и оператором электронных денежных средств, между плательщиком и получателем средств, перевод электронных денежных средств может осуществляться на основании требований получателей средств в соответствии со статьей 6 настоящего Федерального закона с учетом особенностей перевода электронных денежных средств, за исключением случаев использования электронных средств платежа, предусмотренных частью 4 статьи 10 настоящего Федерального закона. 8. Перевод электронных денежных средств может осуществляться между плательщиками и получателями средств, являющимися клиентами одного оператора электронных денежных средств или нескольких операторов электронных денежных средств. 9. При переводе электронных денежных средств юридические лица или индивидуальные предприниматели могут являться получателями средств, а также плательщиками в случае, если получателем средств является физическое лицо, использующее электронные средства платежа, указанные в части 2 статьи 10 настоящего Федерального закона. 10. Перевод электронных денежных средств осуществляется путем одновременного принятия оператором электронных денежных средств распоряжения клиента, уменьшения им остатка электронных денежных средств плательщика и увеличения им остатка электронных денежных средств получателя средств на сумму перевода электронных денежных средств. 11. Перевод электронных денежных средств осуществляется незамедлительно после принятия оператором электронных денежных средств распоряжения клиента. 12. Договором, заключенным оператором электронных денежных средств с клиентом, может быть предусмотрена возможность использования плательщиком - физическим лицом и получателем средств - юридическим лицом или индивидуальным предпринимателем электронных средств платежа, когда действия, указанные в части 10 настоящей статьи, осуществляются неодновременно (далее - автономный режим использования электронного средства платежа). В таком случае получатель средств обязан ежедневно передавать информацию о совершенных операциях оператору электронных денежных средств для ее учета не позднее окончания рабочего дня оператора электронных денежных средств. 13. Оператор электронных денежных средств незамедлительно после исполнения распоряжения клиента об осуществлении перевода электронных денежных средств направляет клиенту подтверждение об исполнении указанного распоряжения. 14. В случае автономного режима использования электронного средства платежа оператор электронных денежных средств направляет плательщику и в случае, предусмотренном договором, получателю средств подтверждения об осуществлении перевода электронных денежных средств незамедлительно после учета оператором электронных денежных средств информации, полученной в соответствии с частью 12 настоящей статьи. 15. Перевод электронных денежных средств становится безотзывным и окончательным после осуществления оператором электронных денежных средств действий, указанных в части 10 настоящей статьи. 16. В случае автономного режима использования электронного средства платежа перевод электронных денежных средств становится безотзывным в момент использования клиентом электронного средства платежа в соответствии с требованиями части 12 настоящей статьи и окончательным после учета оператором электронных денежных средств информации, полученной в соответствии с частью 12 настоящей статьи. 17. Денежное обязательство плательщика перед получателем средств прекращается при наступлении окончательности перевода электронных денежных средств. 18. В случае автономного режима использования электронного средства платежа денежное обязательство плательщика перед получателем средств прекращается в момент наступления безотзывности перевода электронных денежных средств. 19. Оператор электронных денежных средств осуществляет на постоянной основе учет информации об остатках электронных денежных средств и осуществленных переводах электронных денежных средств. 20. Помимо осуществления перевода электронных денежных средств остаток (его часть) электронных денежных средств клиента - физического лица, использующего электронное средство платежа, предусмотренное частью 4 статьи 10 настоящего Федерального закона, может быть по его распоряжению переведен только на банковский счет. Такой остаток (его часть) электронных денежных средств клиента - физического лица не может быть выдан наличными денежными средствами. 21. Помимо осуществления перевода электронных денежных средств остаток (его часть) электронных денежных средств клиента - физического лица, использующего электронное средство платежа, предусмотренное частью 2 статьи 10 настоящего Федерального закона, может быть по его распоряжению переведен на банковский счет, переведен без открытия банковского счета или выдан наличными денежными средствами. 22. Помимо осуществления перевода электронных денежных средств остаток (его часть) электронных денежных средств клиента - юридического лица или индивидуального предпринимателя может быть по его распоряжению зачислен или переведен только на его банковский счет. 23. Клиент - юридическое лицо или индивидуальный предприниматель обязан иметь банковский счет, открытый у оператора электронных денежных средств для перевода остатка (его части) электронных денежных средств, или предоставить ему информацию о банковском счете этого юридического лица или индивидуального предпринимателя, открытом в иной кредитной организации, на который может осуществляться перевод остатка (его части) электронных денежных средств. 24. На переводы электронных денежных средств в иностранной валюте между резидентами, на переводы электронных денежных средств в иностранной валюте и валюте Российской Федерации между резидентами и нерезидентами, а также на переводы электронных денежных средств в иностранной валюте и валюте Российской Федерации между нерезидентами распространяются требования валютного законодательства Российской Федерации, актов органов валютного регулирования и актов органов валютного контроля. Используемые в настоящем пункте понятия и термины применяются в том значении, в каком они используются в Федеральном законе от 10 декабря 2003 года N 173-ФЗ "О валютном регулировании и валютном контроле", если иное не предусмотрено настоящим Федеральным законом. 25. Оператор электронных денежных средств до заключения договора с клиентом - физическим лицом обязан предоставить ему следующую информацию: 1) о наименовании и месте нахождения оператора электронных денежных средств, а также о номере его лицензии на осуществление банковских операций; 2) об условиях использования электронного средства платежа, в том числе в автономном режиме; 3) о способах и местах осуществления перевода электронных денежных средств; 4) о способах и местах предоставления денежных средств клиентом - физическим лицом оператору электронных денежных средств; 5) о размере и порядке взимания оператором электронных денежных средств вознаграждения с физического лица в случае взимания вознаграждения; 6) о способах подачи претензий и порядке их рассмотрения, включая информацию для связи с оператором электронных денежных средств. Статья 8. Распоряжение клиента, порядок его приема к исполнению и исполнения 1. Распоряжение клиента должно содержать информацию, позволяющую осуществить перевод денежных средств в рамках применяемых форм безналичных расчетов (далее - реквизиты перевода). Перечень реквизитов перевода устанавливается нормативными актами Банка России, нормативными правовыми актами федеральных органов исполнительной власти и договором, заключенным оператором по переводу денежных средств с клиентом или между операторами по переводу денежных средств. 2. Распоряжение клиента может передаваться, приниматься к исполнению, исполняться и храниться в электронном виде, если иное не предусмотрено законодательством Российской Федерации, нормативными актами Банка России, нормативными правовыми актами Российской Федерации или договором, заключенным оператором по переводу денежных средств с клиентом или между операторами по переводу денежных средств. 3. Оператор по переводу денежных средств вправе составить распоряжение от своего имени для исполнения распоряжения клиента. 4. При приеме к исполнению распоряжения клиента оператор по переводу денежных средств обязан удостовериться в праве клиента распоряжаться денежными средствами, проверить реквизиты перевода, достаточность денежных средств для исполнения распоряжения клиента, а также выполнить иные процедуры приема к исполнению распоряжений клиентов, предусмотренные законодательством Российской Федерации. 5. Если право клиента распоряжаться денежными средствами не удостоверено, а также если реквизиты перевода не соответствуют установленным требованиям, оператор по переводу денежных средств не принимает распоряжение клиента к исполнению и направляет клиенту уведомление об этом не позднее дня, следующего за днем получения распоряжения клиента. 6. Достаточность денежных средств, находящихся на банковском счете клиента, для исполнения его распоряжения определяется в порядке, установленном нормативными актами Банка России. При недостаточности денежных средств, находящихся на банковском счете клиента, оператор по переводу денежных средств не принимает распоряжение клиента к исполнению, если иное не предусмотрено законодательством Российской Федерации и договором, а также направляет клиенту уведомление об этом не позднее дня, следующего за днем получения распоряжения клиента. 7. При недостаточности денежных средств распоряжение клиента о переводе денежных средств без открытия банковского счета, включая перевод электронных денежных средств, не принимается к исполнению оператором по переводу денежных средств и клиенту незамедлительно направляется уведомление об этом. 8. Прием распоряжения клиента к исполнению подтверждается оператором по переводу денежных средств клиенту в порядке, предусмотренном законодательством Российской Федерации или договором. 9. Распоряжение клиента может быть до наступления безотзывности перевода денежных средств отозвано клиентом в порядке, предусмотренном законодательством Российской Федерации и договором. 10. Распоряжение клиента исполняется оператором по переводу денежных средств в рамках применяемых форм безналичных расчетов в размере суммы, указанной в распоряжении клиента. Вознаграждение оператора по переводу денежных средств (при его взимании) не может быть удержано из суммы перевода денежных средств, за исключением случаев осуществления трансграничных переводов денежных средств. 11. Исполнение распоряжения клиента подтверждается оператором по переводу денежных средств клиенту в порядке, предусмотренном законодательством Российской Федерации и договором. 12. Положения настоящей статьи применяются также в случае приема и исполнения распоряжений посредниками в переводе и в случае составления операторами по переводу денежных средств распоряжений от своего имени в целях исполнения распоряжений клиентов в рамках применяемых форм безналичных расчетов с учетом особенностей, предусмотренных законодательством Российской Федерации и договорами между операторами по переводу денежных средств. Статья 9. Порядок использования электронных средств платежа 1. Использование электронных средств платежа осуществляется на основании договора об использовании электронного средства платежа, заключенного оператором по переводу денежных средств с клиентом, а также договоров, заключенных между операторами по переводу денежных средств. 2. Оператор по переводу денежных средств вправе отказать клиенту в заключении договора об использовании электронного средства платежа. 3. До заключения с клиентом договора об использовании электронного средства платежа оператор по переводу денежных средств обязан информировать клиента об условиях использования электронного средства платежа, в частности о любых ограничениях способов и мест использования, случаях повышенного риска использования электронного средства платежа. 4. Оператор по переводу денежных средств обязан информировать клиента о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления в порядке, установленном договором с клиентом. 5. Оператор по переводу денежных средств обязан обеспечить возможность направления ему клиентом уведомления об утрате электронного средства платежа и (или) о его использовании без согласия клиента. 6. Оператор по переводу денежных средств обязан фиксировать направленные клиенту и полученные от клиента уведомления, а также хранить соответствующую информацию не менее трех лет. 7. Оператор по переводу денежных средств обязан предоставлять клиенту документы и информацию, которые связаны с использованием клиентом его электронного средства платежа, в порядке, установленном договором. 8. Оператор по переводу денежных средств обязан рассматривать заявления клиента, в том числе при возникновении споров, связанных с использованием клиентом его электронного средства платежа, а также предоставить клиенту возможность получать информацию о результатах рассмотрения заявлений, в том числе в письменной форме по требованию клиента, в срок, установленный договором, но не более 30 дней со дня получения таких заявлений, а также не более 60 дней со дня получения заявлений в случае использования электронного средства платежа для осуществления трансграничного перевода денежных средств. 9. Использование клиентом электронного средства платежа может быть приостановлено или прекращено оператором по переводу денежных средств на основании полученного от клиента уведомления или по инициативе оператора по переводу денежных средств при нарушении клиентом порядка использования электронного средства платежа в соответствии с договором. 10. Приостановление или прекращение использования клиентом электронного средства платежа не прекращает обязательств клиента и оператора по переводу денежных средств, возникших до момента приостановления или прекращения указанного использования. 11. В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции. 12. После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления. 13. В случае, если оператор по переводу денежных средств не исполняет обязанность по информированию клиента о совершенной операции в соответствии с частью 4 настоящей статьи, оператор по переводу денежных средств обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента. 14. В случае, если оператор по переводу денежных средств исполняет обязанность по информированию клиента о совершенной операции в соответствии с частью 4 настоящей статьи и клиент не направил оператору по переводу денежных средств уведомление в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств не обязан возместить клиенту сумму операции, совершенной без согласия клиента. 15. В случае, если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента - физического лица о совершенной операции в соответствии с частью 4 настоящей статьи и клиент - физическое лицо направил оператору по переводу денежных средств уведомление в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом - физическим лицом уведомления. В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента - физического лица. 16. Положения части 15 настоящей статьи в части обязанности оператора по переводу денежных средств возместить сумму операции, совершенной без согласия клиента до момента направления клиентом - физическим лицом уведомления, не применяются в случае совершения операции с использованием клиентом - физическим лицом электронного средства платежа, предусмотренного частью 4 статьи 10 настоящего Федерального закона. Статья 10. Порядок использования электронных средств платежа при осуществлении перевода электронных денежных средств 1. Перевод электронных денежных средств осуществляется с проведением идентификации клиента или без проведения идентификации в соответствии с Федеральным законом от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма". 2. В случае проведения оператором электронных денежных средств идентификации клиента - физического лица в соответствии с Федеральным законом от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" использование электронного средства платежа осуществляется клиентом - физическим лицом при условии, что остаток электронных денежных средств в любой момент не превышает 100 тысяч рублей либо сумму в иностранной валюте, эквивалентную 100 тысячам рублей по официальному курсу Банка России. Указанное электронное средство платежа является персонифицированным. 3. Допускается превышение суммы, указанной в части 2 настоящей статьи, вследствие изменения официального курса иностранной валюты, устанавливаемого Банком России. 4. В случае непроведения оператором электронных денежных средств идентификации клиента - физического лица в соответствии с Федеральным законом от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" использование электронного средства платежа осуществляется клиентом - физическим лицом при условии, что остаток электронных денежных средств в любой момент не превышает 15 тысяч рублей. Указанное электронное средство платежа является неперсонифицированным. 5. Общая сумма переводимых электронных денежных средств с использованием одного неперсонифицированного электронного средства платежа не может превышать 40 тысяч рублей в течение календарного месяца. 6. Оператор электронных денежных средств не осуществляет перевод электронных денежных средств, если в результате такого перевода будут превышены суммы, указанные в частях 2, 4 и 5 настоящей статьи. При этом физическое лицо вправе получить остаток (его часть) электронных денежных средств в соответствии с частями 20 и 21 статьи 7 настоящего Федерального закона. 7. Использование электронного средства платежа клиентом - юридическим лицом или индивидуальным предпринимателем осуществляется с проведением его идентификации оператором электронных денежных средств в соответствии с Федеральным законом от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма". Указанное электронное средство платежа является корпоративным. Использование корпоративного электронного средства платежа осуществляется при условии, что остаток электронных денежных средств не превышает 100 тысяч рублей либо сумму в иностранной валюте, эквивалентную 100 тысячам рублей по официальному курсу Банка России, на конец рабочего дня оператора электронных денежных средств. 8. Допускается превышение суммы, указанной в части 7 настоящей статьи, вследствие изменения официального курса иностранной валюты, устанавливаемого Банком России. 9. В случае превышения суммы, указанной в части 7 настоящей статьи, оператор электронных денежных средств обязан осуществить зачисление или перевод денежных средств в размере превышения указанного ограничения на банковский счет юридического лица или индивидуального предпринимателя без его распоряжения. 10. Оператор электронных средств платежа обязан обеспечивать при использовании электронных средств платежа, предусмотренных настоящей статьей, возможность их определения клиентами как неперсонифицированных, персонифицированных или корпоративных электронных средств платежа. 11. Переводы электронных денежных средств с использованием персонифицированных электронных средств платежа, корпоративных электронных средств платежа могут быть приостановлены в порядке и случаях, которые аналогичны порядку и случаям приостановления операций по банковскому счету, которые предусмотрены законодательством Российской Федерации. 12. При переводе электронных денежных средств с использованием персонифицированных электронных средств платежа и корпоративных электронных средств платежа на остаток электронных денежных средств может быть обращено взыскание в соответствии с законодательством Российской Федерации. 13. Оператор электронных денежных средств обязан обеспечить невозможность использования электронного средства платежа до ознакомления клиента - физического лица с информацией, указанной в части 25 статьи 7 настоящего Федерального закона. 14. Положения настоящей статьи о порядке использования корпоративных электронных средств платежа применяются также к электронным средствам платежа, используемым нотариусом, занимающимся частной практикой, или адвокатом, учредившим адвокатский кабинет." - сообщает сайт "Аргументов и Фактов" в статье http://www.aif.ru/money/article/44160

SAWWA
02.07.2011, 00:49
"Глава 3. Субъекты национальной платежной системы и требования к их деятельности Статья 11. Оператор по переводу денежных средств и требования к его деятельности 1. Операторами по переводу денежных средств являются: 1) Банк России; 2) кредитные организации, имеющие право на осуществление перевода денежных средств; 3) государственная корпорация "Банк развития и внешнеэкономической деятельности (Внешэкономбанк)" (далее - Внешэкономбанк). 2. Банк России осуществляет деятельность оператора по переводу денежных средств в соответствии с настоящим Федеральным законом, Федеральным законом от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" и нормативными актами Банка России. 3. Кредитные организации осуществляют деятельность операторов по переводу денежных средств в соответствии с настоящим Федеральным законом, Федеральным законом "О банках и банковской деятельности" и нормативными актами Банка России. 4. Внешэкономбанк осуществляет деятельность оператора по переводу денежных средств в соответствии с настоящим Федеральным законом и Федеральным законом от 17 мая 2007 года N 82-ФЗ "О банке развития". Статья 12. Оператор электронных денежных средств и требования к его деятельности 1. Оператором электронных денежных средств является кредитная организация, в том числе небанковская кредитная организация, имеющая право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций, предусмотренная пунктом 1 части третьей статьи 1 Федерального закона "О банках и банковской деятельности". 2. Лицо, не являющееся оператором электронных денежных средств, не вправе становиться обязанным по электронным денежным средствам и осуществлять перевод электронных денежных средств. 3. Лицо, не являющееся оператором электронных денежных средств, не вправе становиться обязанным по денежным обязательствам, которые используются для исполнения денежных обязательств между иными лицами или совершения иных сделок, влекущих прекращение обязательств между иными лицами, на основании распоряжений, передаваемых в электронном виде обязанному лицу. Положения настоящей части не распространяются на прекращение денежных обязательств с участием организаций, осуществляющих профессиональную деятельность на рынке ценных бумаг, клиринговую деятельность, деятельность центрального контрагента и (или) деятельность по управлению инвестиционными фондами, паевыми инвестиционными фондами и негосударственными пенсионными фондами, в соответствии с законодательством, регулирующим деятельность указанных организаций. 4. Оператор электронных денежных средств обязан уведомить Банк России в установленном им порядке о начале деятельности по осуществлению перевода электронных денежных средств не позднее 10 рабочих дней со дня первого увеличения остатка электронных денежных средств. В уведомлении должны быть указаны: 1) наименование и место нахождения оператора электронных денежных средств, а также номер его лицензии на осуществление банковских операций; 2) вид (виды) предоставляемых клиентам электронных средств платежа; 3) наименования организаций, привлеченных оператором электронных денежных средств для оказания операционных услуг и (или) услуг платежного клиринга (при их привлечении). 5. Оператор электронных денежных средств обязан установить правила осуществления перевода электронных денежных средств, включая: 1) порядок деятельности оператора электронных денежных средств, связанной с переводом электронных денежных средств; 2) порядок предоставления клиентам электронных средств платежа и осуществления перевода электронных денежных средств с их использованием; 3) порядок деятельности оператора электронных денежных средств при привлечении банковских платежных агентов, организаций, оказывающих операционные услуги и (или) услуги платежного клиринга; 4) порядок обеспечения бесперебойности осуществления перевода электронных денежных средств; 5) порядок рассмотрения претензий оператором электронных денежных средств, включая процедуры оперативного взаимодействия с клиентами; 6) порядок обмена информацией при осуществлении переводов электронных денежных средств. 6. Оператор электронных денежных средств обязан обеспечить бесперебойность осуществления перевода электронных денежных средств в соответствии с требованиями, установленными нормативными актами Банка России. 7. Оператор электронных денежных средств вправе заключать договоры с другими организациями, по условиям которых эти организации вправе оказывать оператору электронных денежных средств операционные услуги и (или) услуги платежного клиринга при осуществлении перевода электронных денежных средств. Статья 13. Требования к деятельности оператора электронных денежных средств при увеличении остатков электронных денежных средств физических лиц - абонентов оператора связи 1. Оператор электронных денежных средств вправе заключить с оператором связи, имеющим право самостоятельно оказывать услуги радиотелефонной подвижной связи (далее - оператор связи), договор, по условиям которого оператор электронных денежных средств вправе увеличивать остаток электронных денежных средств физического лица - абонента такого оператора связи за счет его денежных средств, являющихся авансом за услуги связи, в порядке, установленном настоящей статьей. Увеличение остатка электронных денежных средств оператором электронных денежных средств осуществляется при наличии договора, заключенного с таким физическим лицом, предусмотренного частью 1 статьи 7 настоящего Федерального закона. 2. Оператор связи не вправе предоставлять физическому лицу - абоненту денежные средства в целях увеличения оператором электронных денежных средств остатка электронных денежных средств. 3. Оператор электронных денежных средств и оператор связи осуществляют информационное и технологическое взаимодействие в целях увеличения остатков электронных денежных средств в порядке, предусмотренном договором. 4. Увеличение остатка электронных денежных средств физического лица - абонента оператора связи осуществляется на основании его распоряжения, передаваемого оператором связи оператору электронных денежных средств, в соответствии с соглашением между физическим лицом - абонентом и оператором связи. 5. Оператор связи обязан уменьшить сумму денежных средств физического лица - абонента, внесенных им в качестве аванса за услуги связи, незамедлительно после получения подтверждения оператора электронных денежных средств об увеличении остатка электронных денежных средств указанного физического лица - абонента. С момента увеличения остатка электронных денежных средств оператор электронных денежных средств становится обязанным перед физическим лицом в размере суммы, на которую был увеличен остаток электронных денежных средств. 6. Оператор связи до предоставления возможности передачи распоряжений физического лица - абонента, указанных в части 4 настоящей статьи, обязан обеспечить физическому лицу - абоненту возможность ознакомления с информацией о деятельности оператора электронных денежных средств, указанной в части 25 статьи 7 настоящего Федерального закона. 7. Оператор связи должен предоставлять физическому лицу - абоненту до передачи его распоряжения оператору электронных денежных средств следующую информацию: 1) об электронном средстве платежа физического лица; 2) о сумме увеличения остатка электронных денежных средств; 3) о размере вознаграждения, уплачиваемого физическим лицом - абонентом, в случае его взимания; 4) о дате и времени предоставления информации. 8. Физическое лицо - абонент вправе отказаться от передачи распоряжения оператору электронных денежных средств после получения информации, указанной в части 7 настоящей статьи, а оператор связи обязан обеспечить ему такую возможность. 9. Положения частей 7 и 8 настоящей статьи не применяются в случае, если с физического лица - абонента не взимается вознаграждение оператором связи, а также оператором электронных денежных средств за увеличение остатка электронных денежных средств. 10. Оператор электронных денежных средств не вправе осуществлять увеличение остатка электронных денежных средств физического лица - абонента при превышении сумм, установленных статьей 10 настоящего Федерального закона. 11. Оператор связи обязан направить физическому лицу - абоненту с использованием сетей радиотелефонной подвижной связи подтверждение увеличения остатка электронных денежных средств незамедлительно после получения соответствующей информации от оператора электронных денежных средств. Такое подтверждение должно включать в себя информацию, предусмотренную частью 7 настоящей статьи. 12. Оператор связи обязан осуществлять расчеты с оператором электронных денежных средств в сумме увеличенных остатков электронных денежных средств не позднее рабочего дня, следующего за днем увеличения остатков электронных денежных средств. При неисполнении оператором связи указанной обязанности оператор электронных денежных средств приостанавливает увеличение остатков электронных денежных средств до исполнения такой обязанности оператором связи. Статья 14. Требования к деятельности оператора по переводу денежных средств при привлечении банковского платежного агента (субагента) 1. Оператор по переводу денежных средств, являющийся кредитной организацией, в том числе небанковской кредитной организацией, имеющей право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций в соответствии с Федеральным законом "О банках и банковской деятельности", вправе на основании договора привлекать банковского платежного агента: 1) для принятия от физического лица наличных денежных средств и (или) выдачи физическому лицу наличных денежных средств, в том числе с применением платежных терминалов и банкоматов; 2) для предоставления клиентам электронных средств платежа и обеспечения возможности использования указанных электронных средств платежа в соответствии с условиями, установленными оператором по переводу денежных средств; 3) для проведения идентификации клиента - физического лица, его представителя и (или) выгодоприобретателя в целях осуществления перевода денежных средств без открытия банковского счета в соответствии с требованиями законодательства Российской Федерации о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма. 2. Банковский платежный агент, являющийся юридическим лицом, в случаях, предусмотренных договором с оператором по переводу денежных средств, вправе привлекать банковского платежного субагента на основании заключаемого с ним договора для осуществления деятельности (ее части), указанной в пунктах 1 и 2 части 1 настоящей статьи. При таком привлечении соответствующие полномочия банковского платежного субагента не требуют нотариального удостоверения. 3. Привлечение оператором по переводу денежных средств банковского платежного агента может осуществляться при одновременном соблюдении следующих требований: 1) осуществлении указанной в части 1 настоящей статьи деятельности (ее части) (далее - операции банковского платежного агента) от имени оператора по переводу денежных средств; 2) проведении банковским платежным агентом в соответствии с требованиями законодательства Российской Федерации о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма идентификации клиента - физического лица, его представителя и (или) выгодоприобретателя в целях осуществления перевода денежных средств без открытия банковского счета; 3) использовании банковским платежным агентом специального банковского счета (счетов) для зачисления в полном объеме полученных от физических лиц наличных денежных средств в соответствии с частями 5 и 6 настоящей статьи; 4) подтверждении банковским платежным агентом принятия (выдачи) наличных денежных средств путем выдачи кассового чека, соответствующего требованиям частей 10 - 13 настоящей статьи; 5) предоставлении банковским платежным агентом физическим лицам информации, предусмотренной частью 15 настоящей статьи; 6) применении банковским платежным агентом платежных терминалов и банкоматов в соответствии с требованиями законодательства Российской Федерации о применении контрольно-кассовой техники при осуществлении наличных денежных расчетов. 4. Привлечение банковским платежным агентом банковского платежного субагента может осуществляться при одновременном соблюдении следующих требований: 1) осуществлении указанной в части 1 настоящей статьи деятельности (ее части) (далее - операции банковского платежного субагента) от имени оператора по переводу денежных средств; 2) осуществлении операций банковского платежного субагента, не требующих идентификации физического лица в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма; 3) запрете для платежного банковского субагента на привлечение других лиц к осуществлению операций банковского платежного субагента; 4) использовании банковским платежным субагентом специального банковского счета (счетов) для зачисления в полном объеме полученных от физических лиц наличных денежных средств в соответствии с частями 5 и 6 настоящей статьи; 5) подтверждении банковским платежным субагентом принятия (выдачи) наличных денежных средств путем выдачи кассового чека, соответствующего требованиям частей 10 - 13 настоящей статьи; 6) предоставлении банковским платежным субагентом физическим лицам информации, предусмотренной частью 15 настоящей статьи; 7) применении банковским платежным субагентом платежных терминалов и банкоматов в соответствии с требованиями законодательства Российской Федерации о применении контрольно-кассовой техники при осуществлении наличных денежных расчетов. 5. По специальному банковскому счету банковского платежного агента (субагента) могут осуществляться следующие операции: 1) зачисление принятых от физических лиц наличных денежных средств; 2) зачисление денежных средств, списанных с другого специального банковского счета банковского платежного агента (субагента); 3) списание денежных средств на банковские счета. 6. Осуществление иных операций, помимо предусмотренных частью 5 настоящей статьи, по специальному банковскому счету не допускается. 7. Контроль за соблюдением банковскими платежными агентами (субагентами) обязанностей по сдаче оператору по переводу денежных средств полученных от физических лиц наличных денежных средств для зачисления в полном объеме на свой специальный банковский счет (счета), а также по использованию банковскими платежными агентами (субагентами) специальных банковских счетов для осуществления расчетов осуществляют налоговые органы Российской Федерации. 8. Оператор по переводу денежных средств обязан выдавать налоговым органам справки о наличии у него специальных банковских счетов и (или) об остатках денежных средств на специальных банковских счетах, выписки по операциям на специальных банковских счетах организаций (индивидуальных предпринимателей), являющихся банковскими платежными агентами (субагентами), в течение трех дней со дня получения мотивированного запроса налогового органа. Справки о наличии специальных банковских счетов и (или) об остатках денежных средств на специальных банковских счетах, а также выписки по операциям на специальных банковских счетах организаций (индивидуальных предпринимателей), являющихся банковскими платежными агентами (субагентами) у такого оператора по переводу денежных средств, могут быть запрошены налоговыми органами в случаях проведения контроля, предусмотренного частью 7 настоящей статьи, в отношении этих организаций (индивидуальных предпринимателей), являющихся банковскими платежными агентами (субагентами). 9. Форма (форматы) и порядок направления налоговыми органами запроса оператору по переводу денежных средств устанавливаются федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов. Форма и порядок предоставления оператором по переводу денежных средств информации по запросам налоговых органов устанавливаются федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов, по согласованию с Центральным банком Российской Федерации. Форматы предоставления оператором по переводу денежных средств в электронном виде информации по запросам налоговых органов утверждаются Центральным банком Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов. 10. Контрольно-кассовая техника в составе платежного терминала, банкомата, применяемого банковскими платежными агентами (субагентами), должна обеспечивать выдачу кассового чека, содержащего следующие обязательные реквизиты: 1) наименование документа - кассовый чек; 2) общую сумму принятых (выданных) денежных средств; 3) наименование операции банковского платежного агента (субагента); 4) размер вознаграждения, уплачиваемого физическим лицом в виде общей суммы, включающей в том числе вознаграждение банковского платежного агента (субагента) в случае его взимания; 5) дату, время приема (выдачи) денежных средств; 6) номер кассового чека и контрольно-кассовой техники; 7) адрес места приема (выдачи) денежных средств; 8) наименование и место нахождения оператора по переводу денежных средств и банковского платежного агента (субагента), а также их идентификационные номера налогоплательщика; 9) номера телефонов оператора по переводу денежных средств, банковского платежного агента и банковского платежного субагента. 11. Все реквизиты, напечатанные на кассовом чеке, должны быть четкими и легко читаемыми в течение не менее шести месяцев. 12. Кассовый чек может содержать также иные реквизиты в случаях, если это предусмотрено договором между оператором по переводу денежных средств и банковским платежным агентом. 13. Применяемые банковским платежным агентом (субагентом) платежные терминалы или банкоматы должны обеспечивать печать на кассовом чеке своего номера и реквизитов, предусмотренных частью 10 настоящей статьи, в некорректируемом виде, обеспечивающем идентичность информации, зарегистрированной на кассовом чеке, контрольной ленте и в фискальной памяти контрольно-кассовой техники. 14. В случае изменения адреса места установки платежного терминала или банкомата банковский платежный агент (субагент) обязан в день осуществления такого изменения направить соответствующее уведомление в налоговый орган с указанием нового адреса места установки контрольно-кассовой техники, входящей в состав платежного терминала или банкомата. 15. При привлечении банковского платежного агента (субагента) в каждом месте осуществления операций банковского платежного агента (субагента) до начала осуществления каждой операции физическим лицам должна предоставляться следующая информация: 1) адрес места осуществления операций банковского платежного агента (субагента); 2) наименование и место нахождения оператора по переводу денежных средств и банковского платежного агента (субагента), а также их идентификационные номера налогоплательщика; 3) номер лицензии оператора по переводу денежных средств на осуществление банковских операций; 4) реквизиты договора между оператором по переводу денежных средств и банковским платежным агентом, а также реквизиты договора между банковским платежным агентом и банковским платежным субагентом в случае его привлечения; 5) размер вознаграждения, уплачиваемого физическим лицом в виде общей суммы, включающей в том числе вознаграждение банковского платежного агента (субагента) в случае его взимания; 6) способы подачи претензий и порядок их рассмотрения; 7) номера телефонов оператора по переводу денежных средств, банковского платежного агента и банковского платежного субагента. 16. При использовании банковским платежным агентом (субагентом) платежного терминала или банкомата информация, предусмотренная частью 15 настоящей статьи, должна предоставляться физическим лицам в автоматическом режиме. 17. Банковский платежный агент вправе взимать с физических лиц вознаграждение, если это предусмотрено договором с оператором по переводу денежных средств. 18. Банковский платежный субагент вправе взимать с физических лиц вознаграждение, если это предусмотрено договором с банковским платежным агентом и договором банковского платежного агента с оператором по переводу денежных средств. 19. Оператор по переводу денежных средств должен вести перечень банковских платежных агентов (субагентов), в котором указываются адреса всех мест осуществления операций банковских платежных агентов (субагентов) по каждому банковскому платежному агенту (субагенту) и с которым можно ознакомиться по запросу физических лиц. Оператор по переводу денежных средств обязан предоставлять перечень банковских платежных агентов (субагентов) налоговым органам по их запросу. Банковский платежный агент обязан передавать оператору по переводу денежных средств информацию о привлеченных банковских платежных субагентах, необходимую для включения в указанный перечень, в порядке, установленном договором с оператором по переводу денежных средств. 20. Оператор по переводу денежных средств должен осуществлять контроль за соблюдением банковским платежным агентом условий его привлечения, установленных настоящей статьей и договором между оператором по переводу денежных средств и банковским платежным агентом, а также законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма. 21. Несоблюдение банковским платежным агентом условий его привлечения, требований настоящей статьи и законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма является основанием для одностороннего отказа оператора по переводу денежных средств от исполнения договора с таким банковским платежным агентом. 22. Банковский платежный агент должен осуществлять контроль за соблюдением банковским платежным субагентом условий его привлечения, установленных настоящей статьей и договором между банковским платежным агентом и банковским платежным субагентом, а также требований настоящей статьи. 23. Несоблюдение банковским платежным субагентом условий его привлечения и требований настоящей статьи является основанием для одностороннего отказа банковского платежного агента от исполнения договора с таким банковским платежным субагентом, в том числе по требованию оператора по переводу денежных средств. 24. Порядок осуществления контроля оператором по переводу денежных средств за деятельностью банковских платежных агентов устанавливается нормативными актами Банка России и договором между оператором по переводу денежных средств и банковским платежным агентом. 25. Порядок осуществления контроля банковским платежным агентом за деятельностью банковского платежного субагента устанавливается договором между оператором по переводу денежных средств и банковским платежным агентом, а также договором между банковским платежным агентом и банковским платежным субагентом. Статья 15. Оператор платежной системы и требования к его деятельности 1. Оператором платежной системы может являться кредитная организация, организация, не являющаяся кредитной организацией и созданная в соответствии с законодательством Российской Федерации, Банк России или Внешэкономбанк. 2. Оператор платежной системы, являющийся кредитной организацией, Банком России или Внешэкономбанком, может совмещать свою деятельность с деятельностью оператора по переводу денежных средств, оператора услуг платежной инфраструктуры и с иной деятельностью, если это не противоречит законодательству Российской Федерации. 3. Оператор платежной системы, не являющийся кредитной организацией, может совмещать свою деятельность с деятельностью оператора услуг платежной инфраструктуры (за исключением расчетного центра) и с иной деятельностью, если это не противоречит законодательству Российской Федерации. 4. Банк России осуществляет деятельность оператора платежной системы на основании настоящего Федерального закона в соответствии с нормативными актами Банка России и заключаемыми договорами. 5. Оператор платежной системы обязан: 1) определять правила платежной системы, организовывать и осуществлять контроль за их соблюдением участниками платежной системы, операторами услуг платежной инфраструктуры; 2) осуществлять привлечение операторов услуг платежной инфраструктуры, за исключением случая, когда оператор платежной системы совмещает функции оператора услуг платежной инфраструктуры, исходя из характера и объема операций в платежной системе, обеспечивать контроль за оказанием услуг платежной инфраструктуры участникам платежной системы, а также вести перечень операторов услуг платежной инфраструктуры; 3) организовывать систему управления рисками в платежной системе в соответствии со статьей 28 настоящего Федерального закона, осуществлять оценку и управление рисками в платежной системе; 4) обеспечивать возможность досудебного и (или) третейского рассмотрения споров с участниками платежной системы и операторами услуг платежной инфраструктуры в соответствии с правилами платежной системы. 6. Оператор платежной системы, не являющийся кредитной организацией, обязан привлечь в качестве расчетного центра кредитную организацию, которая не менее одного года осуществляет перевод денежных средств по открытым в этой кредитной организации банковским счетам. 7. Организация, намеревающаяся стать оператором платежной системы, должна направить в Банк России регистрационное заявление по форме и в порядке, которые установлены Банком России. 8. К регистрационному заявлению кредитной организации, намеревающейся стать оператором платежной системы, прилагаются следующие документы: 1) решение органа управления кредитной организации об организации платежной системы; 2) бизнес-план развития платежной системы на ближайшие два календарных года с указанием целей и планируемых результатов организации платежной системы, включая анализ рыночных и инфраструктурных факторов; 3) правила платежной системы, соответствующие требованиям настоящего Федерального закона; 4) перечень операторов услуг платежной инфраструктуры, которые будут привлекаться для оказания услуг платежной инфраструктуры в платежной системе. 9. Организация, не являющаяся кредитной организацией, намеревающаяся стать оператором платежной системы, должна соответствовать следующим требованиям: 1) обладать чистыми активами в размере не менее 10 миллионов рублей; 2) физические лица, занимающие должности единоличного исполнительного органа и главного бухгалтера такой организации, должны иметь высшее экономическое, высшее юридическое образование или высшее образование в сфере информационных и коммуникационных технологий, а при наличии иного высшего профессионального образования - опыт руководства отделом или иным подразделением кредитной организации или оператора платежной системы не менее двух лет; 3) физические лица, занимающие должности единоличного исполнительного органа и главного бухгалтера такой организации, не должны иметь судимость за преступления в сфере экономики, а также фактов расторжения трудового договора с ними по инициативе работодателя на основании, предусмотренном пунктом 7 части первой статьи 81 Трудового кодекса Российской Федерации, в течение двух лет, предшествовавших дню подачи в Банк России регистрационного заявления. 10. К регистрационному заявлению организации, не являющейся кредитной организацией, намеревающейся стать оператором платежной системы, прилагаются следующие документы: 1) учредительные документы; 2) решение уполномоченного органа такой организации об организации платежной системы; 3) бизнес-план развития платежной системы на ближайшие два календарных года с указанием целей и планируемых результатов организации платежной системы, включая анализ рыночных и инфраструктурных факторов; 4) правила платежной системы, соответствующие требованиям настоящего Федерального закона; 5) перечень операторов услуг платежной инфраструктуры, которые будут привлекаться для оказания услуг платежной инфраструктуры в платежной системе; 6) письменное согласие кредитной организации, в том числе в форме заключенного с ней договора, стать расчетным центром платежной системы с учетом требований части 6 настоящей статьи; 7) документы, содержащие сведения о размере чистых активов организации, с приложением форм бухгалтерской отчетности, составленной на последнюю отчетную дату, предшествующую дате представления документов в Банк России для регистрации. Указанные формы отчетности должны быть подписаны единоличным исполнительным органом организации и главным бухгалтером (их заместителями); 8) документы, подтверждающие соблюдение требований, предусмотренных пунктами 2 и 3 части 9 настоящей статьи. 11. В срок, не превышающий 30 календарных дней со дня получения регистрационного заявления от организации, намеревающейся стать оператором платежной системы, Банк России принимает решение о регистрации указанной организации в качестве оператора платежной системы или решение об отказе в такой регистрации. 12. В случае принятия решения о регистрации организации в качестве оператора платежной системы Банк России присваивает организации регистрационный номер, включает информацию о ней в реестр операторов платежных систем, который является общедоступным, и направляет организации регистрационное свидетельство по форме, установленной Банком России, в срок не позднее пяти рабочих дней с даты принятия указанного решения. Порядок ведения реестра операторов платежных систем устанавливается Банком России. 13. Организация, направившая в Банк России регистрационное заявление, вправе стать оператором платежной системы со дня получения регистрационного свидетельства Банка России. 14. Оператор платежной системы обязан указывать свой регистрационный номер при предоставлении информации о платежной системе. 15. Платежная система должна иметь наименование, указанное в правилах платежной системы, содержащее слова "платежная система". Ни одна организация в Российской Федерации, за исключением организации, зарегистрированной в реестре операторов платежных систем, не может использовать в своем наименовании (фирменном наименовании) слова "платежная система" или иным образом указывать на осуществление деятельности оператора платежной системы. Операторы услуг платежной инфраструктуры, участники платежной системы вправе указывать на принадлежность к платежной системе в соответствии с правилами платежной системы. Банк России вправе использовать слова "платежная система" в отношении платежной системы Банка России. 16. Оператор платежной системы, не являющийся кредитной организацией, обязан соблюдать требования, предусмотренные частью 9 настоящей статьи, в течение всего времени осуществления деятельности оператора платежной системы. 17. Банк России отказывает кредитной организации в регистрации в качестве оператора платежной системы в случае: 1) непредставления документов, предусмотренных частью 8 настоящей статьи; 2) несоответствия разработанных правил платежной системы требованиям настоящего Федерального закона. 18. Банк России отказывает организации, не являющейся кредитной организацией, в регистрации в качестве оператора платежной системы в случае: 1) непредставления документов, предусмотренных частью 10 настоящей статьи; 2) установления несоответствия организации требованиям, предусмотренным частью 9 настоящей статьи; 3) несоответствия разработанных правил платежной системы требованиям настоящего Федерального закона. 19. В случае отказа в регистрации в качестве оператора платежной системы Банк России в письменной форме уведомляет об этом организацию, направившую регистрационное заявление, с указанием оснований отказа и приложением представленных для регистрации документов в срок не позднее пяти рабочих дней с даты принятия решения об отказе в регистрации. 20. Организация, являющаяся оператором платежной системы, намеревающаяся стать оператором другой платежной системы, обязана направить в Банк России дополнительное регистрационное заявление по форме и в порядке, которые установлены Банком России, с указанием регистрационного номера в реестре операторов платежных систем. 21. К дополнительному регистрационному заявлению кредитной организации, являющейся оператором платежной системы, намеревающейся стать оператором другой платежной системы, прилагаются документы, предусмотренные частью 8 настоящей статьи. 22. К дополнительному регистрационному заявлению организации, не являющейся кредитной организацией, являющейся оператором платежной системы, намеревающейся стать оператором другой платежной системы, прилагаются документы, предусмотренные пунктами 2 - 8 части 10 настоящей статьи. 23. Банк России принимает решение о регистрации организации, являющейся оператором платежной системы, намеревающейся стать оператором другой платежной системы, или решение об отказе в такой регистрации в срок, не превышающий 30 календарных дней со дня получения дополнительного регистрационного заявления. 24. В случае принятия решения о регистрации организации, являющейся оператором платежной системы, в качестве оператора другой платежной системы Банк России включает информацию в реестр операторов платежных систем без присвоения нового регистрационного номера и направляет организации уведомление по форме, установленной Банком России, в срок не позднее пяти рабочих дней с даты принятия соответствующего решения. 25. Организация вправе стать оператором другой платежной системы со дня получения уведомления Банка России о регистрации организации, являющейся оператором платежной системы, в качестве оператора другой платежной системы. 26. Не позднее дня, следующего за днем получения уведомления Банка России, организация обязана направить в Банк России ранее выданное регистрационное свидетельство. 27. Банк России направляет организации новое регистрационное свидетельство с указанием платежных систем, оператором которых является организация, на следующий рабочий день после дня получения от организации ранее выданного регистрационного свидетельства. 28. Банк России принимает решение об отказе в регистрации кредитной организации, являющейся оператором платежной системы, в качестве оператора другой платежной системы при непредставлении документов, предусмотренных частью 8 настоящей статьи. 29. Банк России принимает решение об отказе в регистрации организации, не являющейся кредитной организацией, являющейся оператором платежной системы, в качестве оператора другой платежной системы при непредставлении документов, предусмотренных пунктами 2 - 8 части 10 настоящей статьи, либо при несоответствии оператора платежной системы установленным требованиям. 30. При изменении сведений об операторе платежной системы, указанных при его регистрации, оператор платежной системы обязан уведомить Банк России по установленной им форме в течение трех рабочих дней после дня наступления таких изменений. На основании полученного уведомления оператора платежной системы Банк России в течение трех рабочих дней со дня его получения вносит соответствующие изменения в реестр операторов платежных систем. 31. Банк России вправе принимать решения об исключении сведений об организации из реестра операторов платежных систем по следующим основаниям и в следующие сроки: 1) на основании заявления оператора платежной системы с указанием им рабочего дня, в который сведения об организации исключаются из реестра операторов платежных систем, - в рабочий день, указанный в заявлении, но не ранее дня представления заявления оператора платежной системы; 2) в случаях, предусмотренных частями 8 и 9 статьи 34 настоящего Федерального закона, - в рабочий день, следующий за днем принятия решения Банком России; 3) в случае установления Банком России при осуществлении надзора факта существенного несоответствия сведениям, на основании которых осуществлялась регистрация оператора платежной системы, - в рабочий день, следующий за днем принятия решения Банком России; 4) при отзыве Банком России лицензии на осуществление банковских операций у кредитной организации, являющейся оператором платежной системы, - в рабочий день, следующий за днем отзыва лицензии Банком России; 5) в случае ликвидации оператора платежной системы как юридического лица - в рабочий день, следующий за днем, в который Банку России стало известно о ликвидации юридического лица, являющегося оператором платежной системы. 32. Исключение сведений об организации из реестра операторов платежных систем по иным основаниям, за исключением оснований, предусмотренных частью 31 настоящей статьи, не допускается. 33. При исключении сведений об организации из реестра операторов платежных систем Банк России вносит соответствующую запись в реестр операторов платежных систем и не позднее дня, следующего за днем такого исключения, направляет организации уведомление об исключении сведений о ней из реестра операторов платежных систем, за исключением случая, предусмотренного пунктом 5 части 31 настоящей статьи. Не позднее дня, следующего за днем получения уведомления Банка России, организация обязана возвратить Банку России свое регистрационное свидетельство. 34. Со дня, следующего за днем получения оператором платежной системы, не являющимся кредитной организацией, уведомления об исключении сведений из реестра операторов платежных систем, осуществление переводов денежных средств в рамках платежной системы прекращается, а переводы денежных средств, осуществление которых было начато до указанного дня, должны быть завершены центральным платежным клиринговым контрагентом и (или) расчетным центром в течение срока, установленного частью 5 статьи 5 настоящего Федерального закона. В отношении значимых платежных систем срок прекращения осуществления и завершения переводов денежных средств может быть увеличен Банком России, но не более чем до одного месяца. 35. Порядок завершения переводов денежных средств центральным платежным клиринговым контрагентом и (или) расчетным центром в случае отзыва у них лицензий на осуществление банковских операций определяется федеральным законом. 36. Оператор платежной системы обязан представлять в Банк России изменения правил платежной системы, изменения перечня операторов услуг платежной инфраструктуры не позднее 10 дней со дня внесения соответствующих изменений. 37. Операторы платежных систем могут заключить договор о взаимодействии своих платежных систем при условии отражения порядка такого взаимодействия в правилах платежных систем. 38. Деятельность оператора платежной системы, в рамках которой осуществляется перевод денежных средств между операторами по переводу денежных средств, находящимися на территории Российской Федерации, может осуществляться только организацией, созданной в соответствии с законодательством Российской Федерации и соответствующей требованиям настоящего Федерального закона. 39. Оператор по переводу денежных средств, за исключением Банка России, у которого открыты банковские счета не менее трех других операторов по переводу денежных средств и между этими счетами осуществляются переводы денежных средств в течение трех месяцев подряд в размере, превышающем значение, установленное Банком России, обязан обеспечить в соответствии с требованиями настоящей статьи направление в Банк России заявления о регистрации оператора платежной системы в течение 30 дней после дня начала соответствия указанному требованию. По истечении четырех месяцев после дня начала соответствия указанному требованию осуществление перевода денежных средств между банковскими счетами операторов по переводу денежных средств, открытыми у такого оператора по переводу денежных средств, допускается только в рамках платежной системы. Требования настоящей части не распространяются на операторов по переводу денежных средств, являющихся расчетными центрами платежных систем, операторы платежных систем которых зарегистрированы Банком России, в части переводов денежных средств, осуществляемых в рамках указанных платежных систем. 40. Банк России направляет организации, осуществляющей деятельность оператора платежной системы и не направившей в Банк России регистрационное заявление в соответствии с настоящей статьей, требование о регистрации такой организации в качестве оператора платежной системы. Указанная организация обязана направить в Банк России регистрационное заявление не позднее 30 календарных дней со дня получения такого требования либо прекратить осуществление деятельности оператора платежной системы. Статья 16. Оператор услуг платежной инфраструктуры и требования к его деятельности 1. Оператором услуг платежной инфраструктуры может являться кредитная организация, организация, не являющаяся кредитной организацией, Банк России или Внешэкономбанк. 2. Оператор услуг платежной инфраструктуры, являющийся кредитной организацией, Банком России или Внешэкономбанком, может совмещать оказание операционных услуг, услуг платежного клиринга и расчетных услуг, в том числе в рамках одной организации. 3. Оператор услуг платежной инфраструктуры, не являющийся кредитной организацией, Банком России или Внешэкономбанком, может совмещать оказание операционных услуг, услуг платежного клиринга, в том числе в рамках одной организации. 4. Оператор услуг платежной инфраструктуры, являющийся кредитной организацией, Банком России или Внешэкономбанком, может совмещать свою деятельность с деятельностью оператора по переводу денежных средств, оператора платежной системы и иной деятельностью, если это не противоречит законодательству Российской Федерации. 5. Оператор услуг платежной инфраструктуры, не являющийся кредитной организацией, может совмещать свою деятельность с деятельностью оператора платежной системы и иной деятельностью, если это не противоречит законодательству Российской Федерации. 6. Банк России осуществляет деятельность оператора услуг платежной инфраструктуры на основании настоящего Федерального закона в соответствии с нормативными актами Банка России и заключаемыми договорами. 7. Оператор услуг платежной инфраструктуры осуществляет свою деятельность в соответствии с правилами платежной системы и договорами, заключаемыми с участниками платежной системы и другими операторами услуг платежной инфраструктуры. 8. Правилами платежной системы должны определяться требования к операторам услуг платежной инфраструктуры, с которыми могут заключаться договоры в соответствии с настоящим Федеральным законом. 9. В отношении операторов услуг платежной инфраструктуры должны быть определены требования к их финансовому состоянию, технологическому обеспечению и другим факторам, влияющим на бесперебойность функционирования платежной системы, которые должны быть объективными, доступными для публичного ознакомления и обеспечивать равноправный доступ операторов услуг платежной инфраструктуры в платежную систему. 10. Операторы услуг платежной инфраструктуры обязаны предоставлять оператору платежной системы информацию о своей деятельности (в части оказания услуг платежной инфраструктуры) в соответствии с правилами платежной системы. 11. При осуществлении перевода денежных средств в рамках платежной системы операторами по переводу денежных средств, находящимися на территории Российской Федерации, должны привлекаться операторы услуг платежной инфраструктуры, которые соответствуют требованиям настоящего Федерального закона и находятся на территории Российской Федерации, за исключением случая, предусмотренного частью 8 статьи 17 настоящего Федерального закона. Статья 17. Требования к деятельности операционного центра 1. Операционный центр осуществляет свою деятельность в соответствии с правилами платежной системы и на основании договоров об оказании операционных услуг с оператором платежной системы, участниками платежной системы, платежным клиринговым центром и расчетным центром, если заключение таких договоров предусмотрено правилами платежной системы. 2. В платежной системе может быть несколько операционных центров. 3. Операционный центр обеспечивает обмен электронными сообщениями между участниками платежной системы, между участниками платежной системы и их клиентами, платежным клиринговым центром, расчетным центром, между платежным клиринговым центром и расчетным центром. 4. Операционный центр может осуществлять иные действия, связанные с использованием информационно-коммуникационных технологий, необходимые для функционирования платежной системы и предусмотренные правилами платежной системы. 5. Операционный центр несет ответственность за реальный ущерб, причиненный участникам платежной системы, платежному клиринговому центру и расчетному центру вследствие неоказания (ненадлежащего оказания) операционных услуг. 6. Правилами платежной системы и договором об оказании операционных услуг ответственность операционного центра за реальный ущерб может быть ограничена размером неустойки, за исключением случаев умышленного неоказания (ненадлежащего оказания) операционных услуг. 7. В случае, если правилами платежной системы и договором об оказании операционных услуг предусмотрена обязанность операционного центра обеспечить гарантированный уровень бесперебойности оказания операционных услуг в течение определенного времени, могут быть установлены ответственность операционного центра за реальный ущерб и неустойка. 8. Оператор платежной системы в случаях и порядке, предусмотренных правилами платежной системы, вправе привлекать операционный центр, находящийся за пределами Российской Федерации, для оказания операционных услуг участникам платежной системы. В указанном случае оператор платежной системы несет ответственность за надлежащее оказание операционных услуг участникам платежной системы. Статья 18. Требования к деятельности платежного клирингового центра 1. Платежный клиринговый центр осуществляет свою деятельность в соответствии с правилами платежной системы и на основании договоров об оказании услуг платежного клиринга, заключаемых с участниками платежной системы, операционным центром и расчетным центром, если заключение таких договоров предусмотрено правилами платежной системы. 2. В платежных системах, в рамках которых осуществляются переводы денежных средств по сделкам, совершенным на организованных торгах, услуги платежного клиринга могут оказываться в рамках клиринговой услуги клиринговой организацией, осуществляющей свою деятельность в соответствии с Федеральным законом от 7 февраля 2011 года N 7-ФЗ "О клиринге и клиринговой деятельности". 3. В платежной системе может быть несколько платежных клиринговых центров. 4. Договор об оказании услуг платежного клиринга, заключаемый с участниками платежной системы, является договором присоединения. 5. В соответствии с договором об оказании услуг платежного клиринга, заключаемым с расчетным центром, платежный клиринговый центр обязуется передавать расчетному центру от имени участников платежной системы подлежащие исполнению распоряжения участников платежной системы. 6. Платежный клиринговый центр несет ответственность за убытки, причиненные участникам платежной системы и расчетному центру вследствие неоказания (ненадлежащего оказания) услуг платежного клиринга. 7. Правилами платежной системы и договором об оказании услуг платежного клиринга ответственность платежного клирингового центра за убытки может быть ограничена размером неустойки, за исключением случаев умышленного неоказания (ненадлежащего оказания) услуг платежного клиринга. 8. Центральным платежным клиринговым контрагентом может выступать кредитная организация, Банк России или Внешэкономбанк в порядке, предусмотренном правилами платежной системы и договорами об оказании услуг платежного клиринга. 9. Центральный платежный клиринговый контрагент обязан: 1) обладать денежными средствами, достаточными для исполнения своих обязательств, либо обеспечивать исполнение своих обязательств, в том числе за счет гарантийного фонда, в размере наибольшего обязательства, по которому центральный платежный клиринговый контрагент становится плательщиком, за период, определяемый правилами платежной системы; 2) ежедневно осуществлять контроль за рисками неисполнения (ненадлежащего исполнения) участниками платежной системы своих обязательств по переводу денежных средств, применять в отношении участников платежной системы, анализ финансового состояния которых свидетельствует о повышенном риске, ограничительные меры, включая установление максимального размера платежной клиринговой позиции, и предъявлять требования о повышенном размере обеспечения исполнения обязательств участников платежной системы по переводу денежных средств. Статья 19. Требования к деятельности расчетного центра 1. Расчетным центром может выступать кредитная организация, Банк России или Внешэкономбанк. 2. В платежной системе может быть несколько расчетных центров. 3. Расчетный центр осуществляет свою деятельность в соответствии с правилами платежной системы и на основании договоров банковского счета, заключаемых с участниками платежной системы и (или) центральным платежным клиринговым контрагентом (при его наличии), а также договоров, заключаемых с операционным центром и платежным клиринговым центром, если заключение таких договоров предусмотрено правилами платежной системы. 4. Расчетный центр исполняет поступившие от платежного клирингового центра распоряжения участников платежной системы посредством списания и зачисления денежных средств по банковским счетам участников платежной системы и (или) банковскому счету центрального платежного клирингового контрагента (при его наличии). 5. Расчетный центр платежной системы в случае, предусмотренном частью 2 статьи 18 настоящего Федерального закона, может исполнять распоряжения участников платежной системы, поступившие от клиринговой организации, осуществляющей свою деятельность в соответствии с Федеральным законом от 7 февраля 2011 года N 7-ФЗ "О клиринге и клиринговой деятельности"." - сообщает сайт "Аргументов и Фактов" в статье http://www.aif.ru/money/article/44160

SAWWA
02.07.2011, 00:50
"Глава 4. Требования к организации и функционированию платежных систем Статья 20. Правила платежной системы 1. Правилами платежной системы должны определяться: 1) порядок взаимодействия между оператором платежной системы, участниками платежной системы и операторами услуг платежной инфраструктуры; 2) порядок осуществления контроля за соблюдением правил платежной системы; 3) ответственность за несоблюдение правил платежной системы; 4) критерии участия, приостановления и прекращения участия в платежной системе; 5) порядок привлечения операторов услуг платежной инфраструктуры и ведения перечня операторов услуг платежной инфраструктуры; 6) применяемые формы безналичных расчетов; 7) порядок осуществления перевода денежных средств в рамках платежной системы, включая моменты наступления его безотзывности, безусловности и окончательности; 8) порядок сопровождения перевода денежных средств сведениями о плательщике в соответствии с требованиями Федерального закона от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" в случае, если они не содержатся в распоряжении участника платежной системы; 9) порядок оплаты услуг по переводу денежных средств, являющийся единообразным в рамках платежной системы; 10) порядок осуществления платежного клиринга и расчета; 11) порядок оплаты услуг платежной инфраструктуры, являющийся единообразным в рамках платежной системы; 12) порядок предоставления участниками платежной системы и операторами услуг платежной инфраструктуры информации о своей деятельности оператору платежной системы; 13) система управления рисками в платежной системе, включая используемую модель управления рисками, перечень мероприятий и способов управления рисками; 14) порядок обеспечения бесперебойности функционирования платежной системы; 15) временной регламент функционирования платежной системы; 16) порядок присвоения кода (номера), позволяющего однозначно установить участника платежной системы и вид его участия в платежной системе; 17) порядок обеспечения исполнения обязательств участников платежной системы по переводу денежных средств; 18) порядок взаимодействия в рамках платежной системы в спорных и чрезвычайных ситуациях, включая информирование операторами услуг платежной инфраструктуры, участниками значимой платежной системы оператора значимой платежной системы о событиях, вызвавших операционные сбои, об их причинах и последствиях; 19) требования к защите информации; 20) перечень платежных систем, с которыми осуществляется взаимодействие, и порядок такого взаимодействия; 21) порядок изменения правил платежной системы; 22) порядок досудебного разрешения споров с участниками платежной системы и операторами услуг платежной инфраструктуры. 2. Правилами платежной системы могут быть предусмотрены другие положения, необходимые для обеспечения функционирования платежной системы. 3. Правила платежной системы, за исключением правил платежной системы Банка России, являются договором. Правила платежной системы могут быть составлены в виде единого документа или нескольких взаимосвязанных документов. 4. В правилах платежной системы запрещается установление: 1) требований, препятствующих участию в платежной системе, не соответствующих требованиям части 10 статьи 21 настоящего Федерального закона; 2) требований к участникам платежной системы о неучастии в других платежных системах (условие об исключительном участии); 3) требований к участникам платежной системы об ограничении (запрете) осуществления между ними клиринга и расчета вне рамок платежной системы на основании договоров, заключаемых между участниками платежной системы, под ответственность таких участников; 4) требований к операторам услуг платежной инфраструктуры об ограничении (запрете) оказания услуг платежной инфраструктуры в рамках других платежных систем (условие об исключительном оказании услуг платежной инфраструктуры); 5) минимального размера оплаты услуг по переводу денежных средств участниками платежной системы и их клиентами. 5. Оператор платежной системы обязан предоставлять организациям, намеревающимся участвовать в платежной системе, правила платежной системы для предварительного ознакомления без взимания платы, за исключением расходов на изготовление копий правил платежной системы. 6. Правила платежной системы, включая тарифы, являются публично доступными. Оператор платежной системы вправе не раскрывать информацию о требованиях к защите информации и информацию, доступ к которой ограничен в соответствии с федеральным законом. 7. Участники платежной системы присоединяются к правилам платежной системы только путем принятия их в целом. 8. Оператор платежной системы может в одностороннем порядке вносить изменения в правила платежной системы при условии: 1) обеспечения участникам платежной системы возможности предварительного ознакомления с предлагаемыми изменениями и направления своего мнения оператору платежной системы в установленный им срок, который не может быть менее одного месяца; 2) установления срока внесения изменений не менее одного месяца со дня окончания срока, указанного в пункте 1 настоящей части. 9. Правила платежной системы Банка России определяются нормативными актами Банка России на основании настоящего Федерального закона. 10. Особенности правил платежных систем, в рамках которых осуществляются переводы денежных средств по сделкам, совершенным на организованных торгах, устанавливаются Банком России по согласованию с уполномоченным федеральным органом исполнительной власти. Статья 21. Участники платежной системы 1. Участниками платежной системы могут стать следующие организации при условии их присоединения к правилам платежной системы в порядке, установленном правилами платежной системы: 1) операторы по переводу денежных средств (включая операторов электронных денежных средств); 2) профессиональные участники рынка ценных бумаг, а также юридические лица, являющиеся участниками организованных торгов и (или) участниками клиринга в соответствии с Федеральным законом от 7 февраля 2011 года N 7-ФЗ "О клиринге и клиринговой деятельности"; 3) страховые организации, осуществляющие обязательное страхование гражданской ответственности в соответствии с законодательством Российской Федерации; 4) органы Федерального казначейства; 5) организации федеральной почтовой связи. 2. В случае заключения между операторами платежных систем договора о взаимодействии платежных систем участниками платежной системы могут являться центральный платежный клиринговый контрагент и (или) расчетный центр другой платежной системы, действующие по поручению оператора такой платежной системы. 3. Участниками платежной системы могут являться международные финансовые организации, иностранные центральные (национальные) банки, иностранные банки. 4. Правилами платежной системы должно быть предусмотрено прямое участие в платежной системе и может быть предусмотрено косвенное участие в платежной системе. 5. Правилами платежной системы могут быть предусмотрены различные виды прямого и косвенного участия в платежной системе. 6. Прямое участие в платежной системе требует открытия в расчетном центре банковского счета организации, становящейся прямым участником, в целях осуществления расчета с другими участниками платежной системы. 7. Прямыми участниками платежной системы могут являться только операторы по переводу денежных средств, включая операторов электронных денежных средств, профессиональные участники рынка ценных бумаг, юридические лица, являющиеся участниками организованных торгов и (или) участниками клиринга в соответствии с Федеральным законом от 7 февраля 2011 года N 7-ФЗ "О клиринге и клиринговой деятельности" (при осуществлении ими переводов денежных средств по сделкам, совершенным на организованных торгах), страховые организации, осуществляющие обязательное страхование гражданской ответственности в соответствии с законодательством Российской Федерации (при осуществлении ими расчетов по обязательным видам страхования гражданской ответственности, предусмотренным законодательством Российской Федерации), и органы Федерального казначейства. 8. Косвенное участие в платежной системе требует открытия банковского счета косвенному участнику - организации, предусмотренной частью 1 настоящей статьи, прямым участником платежной системы, являющимся оператором по переводу денежных средств, в целях осуществления расчета с другими участниками платежной системы. 9. Отношения между прямыми и косвенными участниками платежной системы регулируются правилами платежной системы и заключенными договорами банковского счета. 10. Для каждого вида участия в платежной системе правилами такой платежной системы устанавливаются отдельные критерии участия, которые должны включать доступные для публичного ознакомления требования, обеспечивающие равноправный доступ участников платежной системы одного вида в платежную систему. Указанные требования могут касаться финансового состояния, технологического обеспечения и других факторов, влияющих на бесперебойность функционирования платежной системы. 11. Операторы по переводу денежных средств, за исключением Банка России, могут участвовать в платежных системах в целях осуществления трансграничного перевода денежных средств при условии уведомления об этом Банка России не позднее 10 календарных дней со дня начала участия в платежной системе в порядке, установленном Банком России. 12. Операторы по переводу денежных средств не могут участвовать в платежной системе, в рамках которой осуществляется перевод денежных средств на территории Российской Федерации, при наличии одного из следующих условий: 1) отсутствия на территории Российской Федерации юридического лица, выполняющего функции оператора платежной системы, соответствующего требованиям настоящего Федерального закона; 2) отсутствия правил платежной системы, соответствующих требованиям настоящего Федерального закона; 3) нарушения требований части 11 статьи 16 настоящего Федерального закона; 4) нарушения требований части 10 статьи 29 настоящего Федерального закона. Статья 22. Признание платежной системы значимой 1. Платежная система является системно значимой в случае ее соответствия хотя бы одному из следующих критериев: 1) осуществления в рамках платежной системы в течение трех календарных месяцев подряд переводов денежных средств с общим объемом на сумму и отдельными переводами денежных средств на сумму не менее значений, установленных Банком России; 2) осуществления в рамках платежной системы Банком России переводов денежных средств при рефинансировании кредитных организаций и осуществлении операций на открытом рынке; 3) осуществления в рамках платежной системы переводов денежных средств по сделкам, совершенным на организованных торгах. 2. Платежная система является социально значимой в случае ее соответствия хотя бы одному из следующих критериев: 1) осуществления в рамках платежной системы в течение трех календарных месяцев подряд переводов денежных средств с общим объемом на сумму не менее значений, установленных Банком России, и более половины этих переводов денежных средств на сумму не более значения, установленного Банком России; 2) осуществления в течение календарного года в рамках платежной системы переводов денежных средств с использованием платежных карт в количестве не менее значения, установленного Банком России; 3) осуществления в течение календарного года в рамках платежной системы переводов денежных средств без открытия банковского счета в количестве не менее значения, установленного Банком России; 4) осуществления в течение календарного года в рамках платежной системы переводов денежных средств клиентов - физических лиц по их банковским счетам (за исключением переводов денежных средств с использованием платежных карт) в количестве не менее значения, установленного Банком России. 3. Признание платежной системы значимой осуществляется Банком России на основании информации, подтверждающей соответствие платежной системы установленным критериям значимости: 1) при регистрации Банком России оператора платежной системы; 2) при осуществлении Банком России надзора и наблюдения в национальной платежной системе; 3) на основании письменного заявления оператора платежной системы с приложением документов, подтверждающих соответствие платежной системы установленным критериям значимости. 4. При принятии решения о признании платежной системы значимой Банк России в течение семи календарных дней: 1) включает информацию о признании платежной системы значимой в реестр операторов платежных систем; 2) в письменной форме уведомляет оператора платежной системы о признании платежной системы значимой. 5. Банк России опубликовывает информацию о включении платежной системы в перечень значимых платежных систем в официальном издании Банка России "Вестник Банка России". 6. Платежная система признается значимой со дня включения информации о признании ее значимой в реестр операторов платежных систем. 7. Оператор значимой платежной системы обязан: 1) в течение 90 календарных дней со дня получения уведомления Банка России о признании платежной системы значимой обеспечить соблюдение требований, предъявляемых Банком России в соответствии со статьей 24 настоящего Федерального закона; 2) в течение 120 календарных дней со дня получения уведомления Банка России о признании платежной системы значимой внести необходимые изменения в правила платежной системы в целях соблюдения требований статьи 24 настоящего Федерального закона и направить измененные правила платежной системы в Банк России либо не позднее семи календарных дней уведомить Банк России о соответствии правил платежной системы, представленных Банку России при регистрации оператора платежной системы, требованиям статьи 24 настоящего Федерального закона. 8. Банк России осуществляет анализ соответствия значимой платежной системы установленным критериям значимости. В случае, если ранее признанная значимой платежная система не соответствует в течение шести календарных месяцев ни одному из установленных критериев значимости, Банк России выносит решение о признании такой платежной системы утратившей системную или социальную значимость. 9. После принятия решения о признании платежной системы утратившей системную или социальную значимость Банк России в течение семи календарных дней: 1) включает информацию о признании платежной системы утратившей системную или социальную значимость в реестр операторов платежных систем; 2) в письменной форме уведомляет оператора платежной системы о признании платежной системы утратившей системную или социальную значимость. 10. Банк России опубликовывает информацию о признании платежной системы утратившей системную или социальную значимость в официальном издании Банка России "Вестник Банка России". 11. Платежная система Банка России признается системно значимой платежной системой. 12. Банк России обязан обеспечить соблюдение платежной системой Банка России требований к системно значимым платежным системам, предусмотренных статьей 24 настоящего Федерального закона. Статья 23. Порядок проверки Банком России соответствия правил значимой платежной системы установленным требованиям 1. Проверка соответствия правил значимой платежной системы требованиям, установленным настоящим Федеральным законом и принятыми в соответствии с ним нормативными актами Банка России (далее - проверка соответствия), осуществляется Банком России после признания платежной системы значимой. 2. Оператор значимой платежной системы в срок, указанный в пункте 2 части 7 статьи 22 настоящего Федерального закона, представляет в Банк России для проверки соответствия правила платежной системы в двух экземплярах либо сообщает Банку России о возможности проверки соответствия правил платежной системы, представленных Банку России при регистрации оператора платежной системы. 3. Проверка соответствия правил значимой платежной системы осуществляется Банком России в срок, не превышающий 90 календарных дней со дня представления правил значимой платежной системы для проверки соответствия правил платежной системы или со дня сообщения Банку России о возможности проверки соответствия правил платежной системы, представленных Банку России при регистрации оператора платежной системы. 4. При соответствии правил платежной системы требованиям настоящего Федерального закона и принятых в соответствии с ним нормативных актов Банка России Банк России проставляет на правилах платежной системы отметку о соответствии и направляет один экземпляр правил значимой платежной системы оператору значимой платежной системы. 5. При несоответствии правил платежной системы требованиям настоящего Федерального закона и принятых в соответствии с ним нормативных актов Банка России Банк России в письменной форме уведомляет оператора платежной системы о таком несоответствии. В уведомлении указываются требования, которым не соответствуют представленные Банку России правила платежной системы, а также срок, который не может быть более 90 дней, для их изменения и повторного представления Банку России для проверки соответствия. 6. При внесении изменений в правила значимой платежной системы, в том числе по требованию Банка России, предъявленному при осуществлении Банком России надзора в национальной платежной системе, оператор значимой платежной системы обязан представить изменения указанных правил в Банк России для проверки соответствия не позднее 10 дней после внесения указанных изменений. Статья 24. Требования к значимой платежной системе 1. Банк России устанавливает следующие требования к системно значимой платежной системе: 1) осуществление оператором платежной системы, и (или) платежным клиринговым центром, и (или) расчетным центром мониторинга и анализа рисков в режиме реального времени; 2) осуществление расчета в платежной системе в режиме реального времени или в течение одного дня; 3) осуществление расчета через расчетный центр, соответствующий требованиям финансовой устойчивости и управления рисками, установленным Банком России; 4) обеспечение гарантированного уровня бесперебойности оказания операционных услуг; 5) соответствие системы управления рисками значимой платежной системы требованиям, установленным частью 8 статьи 28 настоящего Федерального закона. 2. Банк России устанавливает следующие требования к социально значимой платежной системе: 1) осуществление оператором платежной системы, и (или) платежным клиринговым центром, и (или) расчетным центром мониторинга и анализа рисков на постоянной основе; 2) осуществление расчета через расчетный центр, являющийся банком - участником системы обязательного страхования вкладов физических лиц в банках Российской Федерации, соответствующий требованиям управления рисками, установленным Банком России, или через небанковскую кредитную организацию, осуществляющую расчет по счетам других кредитных организаций не менее трех лет; 3) соответствие требованиям, предусмотренным пунктами 4 и 5 части 1 настоящей статьи. 3. Требования Банка России к значимой платежной системе применяются по истечении 90 календарных дней со дня получения оператором платежной системы уведомления Банка России о признании платежной системы значимой. 4. При утрате платежной системой значимости установленные Банком России требования к значимой платежной системе могут не соблюдаться со дня получения оператором платежной системы уведомления Банка России о признании платежной системы утратившей системную или социальную значимость. Статья 25. Осуществление платежного клиринга и расчета в платежной системе 1. Платежный клиринг в платежной системе осуществляется платежным клиринговым центром посредством: 1) выполнения процедур приема к исполнению распоряжений участников платежной системы, включая проверку соответствия распоряжений участников платежной системы установленным требованиям, определение достаточности денежных средств для исполнения распоряжений участников платежной системы и определение платежных клиринговых позиций; 2) передачи расчетному центру для исполнения принятых распоряжений участников платежной системы; 3) направления участникам платежной системы извещений (подтверждений), касающихся приема к исполнению распоряжений участников платежной системы, а также передачи извещений (подтверждений), касающихся исполнения распоряжений участников платежной системы. 2. Процедуры приема к исполнению распоряжений участников платежной системы выполняются платежным клиринговым центром в соответствии с правилами платежной системы. 3. Определение платежной клиринговой позиции участника платежной системы может осуществляться на валовой основе и (или) на нетто-основе. 4. Платежная клиринговая позиция на валовой основе определяется в размере суммы индивидуального распоряжения участника платежной системы или общей суммы распоряжений участников платежной системы, по которым участник платежной системы является плательщиком или получателем средств. 5. После определения платежной клиринговой позиции на валовой основе распоряжения участников платежной системы передаются платежным клиринговым центром расчетному центру для исполнения. 6. Платежная клиринговая позиция на нетто-основе определяется в размере разницы между общей суммой подлежащих исполнению распоряжений участников платежной системы, по которым участник платежной системы является плательщиком, и общей суммой распоряжений участников платежной системы, по которым участник платежной системы является получателем средств. 7. После определения платежной клиринговой позиции на нетто-основе платежный клиринговый центр передает расчетному центру для исполнения распоряжения платежного клирингового центра на сумму определенных платежных клиринговых позиций на нетто-основе участников платежной системы и (или) принятые распоряжения участников платежной системы. 8. Расчет в платежной системе осуществляется расчетным центром посредством списания и зачисления денежных средств по банковским счетам участников платежной системы и (или) центрального платежного клирингового контрагента на основании поступивших от платежного клирингового центра распоряжений в размере сумм определенных платежных клиринговых позиций. 9. При заключении между операторами платежных систем договора о взаимодействии между платежными системами платежный клиринг и расчет в целях перевода денежных средств между участниками одной платежной системы осуществляются соответственно платежным клиринговым центром и расчетным центром этой платежной системы, если иное не предусмотрено договором о взаимодействии между платежными системами. Платежный клиринг и расчет в целях перевода денежных средств между участниками различных платежных систем осуществляются в порядке, предусмотренном договором о взаимодействии между платежными системами. Статья 26. Обеспечение банковской тайны в платежной системе Операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры и банковские платежные агенты (субагенты) обязаны гарантировать банковскую тайну в соответствии с законодательством Российской Федерации о банках и банковской деятельности. Статья 27. Обеспечение защиты информации в платежной системе 1. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации. Правительство Российской Федерации устанавливает требования к защите указанной информации. 2. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с защищаемой информацией. 3. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России, согласованными с федеральными органами исполнительной власти, предусмотренными частью 2 настоящей статьи. Контроль за соблюдением установленных требований осуществляется Банком России в рамках надзора в национальной платежной системе в установленном им порядке, согласованном с федеральными органами исполнительной власти, предусмотренными частью 2 настоящей статьи. Статья 28. Система управления рисками в платежной системе 1. В целях настоящего Федерального закона под системой управления рисками в платежной системе понимается комплекс мероприятий и способов снижения вероятности возникновения неблагоприятных последствий для бесперебойности функционирования платежной системы с учетом размера причиняемого ущерба. 2. Оператор платежной системы обязан определить одну из следующих используемых в платежной системе организационных моделей управления рисками в платежной системе: 1) самостоятельное управление рисками в платежной системе оператором платежной системы; 2) распределение функций по оценке и управлению рисками между оператором платежной системы, операторами услуг платежной инфраструктуры и участниками платежной системы; 3) передача функций по оценке и управлению рисками оператором платежной системы, не являющимся кредитной организацией, расчетному центру. 3. Система управления рисками должна предусматривать следующие мероприятия: 1) определение организационной структуры управления рисками, обеспечивающей контроль за выполнением участниками платежной системы требований к управлению рисками, установленных правилами платежной системы; 2) определение функциональных обязанностей лиц, ответственных за управление рисками, либо соответствующих структурных подразделений; 3) доведение до органов управления оператора платежной системы соответствующей информации о рисках; 4) определение показателей бесперебойности функционирования платежной системы в соответствии с требованиями нормативных актов Банка России; 5) определение порядка обеспечения бесперебойности функционирования платежной системы в соответствии с требованиями нормативных актов Банка России; 6) определение методик анализа рисков в платежной системе, включая профили рисков, в соответствии с требованиями нормативных актов Банка России; 7) определение порядка обмена информацией, необходимой для управления рисками; 8) определение порядка взаимодействия в спорных, нестандартных и чрезвычайных ситуациях, включая случаи системных сбоев; 9) определение порядка изменения операционных и технологических средств и процедур; 10) определение порядка оценки качества функционирования операционных и технологических средств, информационных систем независимой организацией; 11) определение порядка обеспечения защиты информации в платежной системе. 4. Способы управления рисками в платежной системе определяются оператором платежной системы с учетом особенностей организации платежной системы, модели управления рисками, процедур платежного клиринга и расчета, количества переводов денежных средств и их сумм, времени окончательного расчета. 5. Система управления рисками может предусматривать следующие способы управления рисками: 1) установление предельных размеров (лимитов) обязательств участников платежной системы с учетом уровня риска; 2) создание гарантийного фонда платежной системы; 3) управление очередностью исполнения распоряжений участников платежной системы; 4) осуществление расчета в платежной системе до конца рабочего дня; 5) осуществление расчета в пределах предоставленных участниками платежной системы денежных средств; 6) обеспечение возможности предоставления кредита; 7) использование безотзывных банковской гарантии или аккредитива; 8) другие способы управления рисками, предусмотренные правилами платежной системы. 6. Правилами платежной системы может быть предусмотрено создание оператором платежной системы коллегиального органа по управлению рисками в платежной системе, в состав которого включаются ответственные за управление рисками представители оператора платежной системы, операторов услуг платежной инфраструктуры, участников платежной системы. В состав органа по управлению рисками по согласованию с Банком России могут быть включены представители Банка России с правом совещательного голоса. 7. В функциональные обязанности и компетенцию органа управления рисками входят: 1) установление критериев оценки системы управления рисками, включая системный риск, и проведение указанной оценки; 2) формирование предложений и рекомендаций по итогам проведения оценки системы управления рисками. 8. Система управления рисками значимой платежной системы должна предусматривать создание органа управления рисками значимой платежной системы, указанного в части 6 настоящей статьи, и использование не менее двух способов управления рисками, указанных в пунктах 1 - 7 части 5 настоящей статьи. Статья 29. Обеспечение исполнения обязательств участников платежной системы 1. Порядок обеспечения исполнения обязательств участников платежной системы устанавливается правилами платежной системы. 2. При осуществлении расчета на нетто-основе в значимой платежной системе должно обеспечиваться исполнение наибольшего по размеру обязательства участника значимой платежной системы. 3. Правилами платежной системы может быть предусмотрено создание оператором платежной системы либо по его поручению центральным платежным клиринговым контрагентом или расчетным центром гарантийного фонда платежной системы за счет денежных средств (гарантийных взносов) участников платежной системы. Правилами платежной системы может быть предусмотрено внесение в гарантийный фонд платежной системы денежных средств оператора платежной системы, центрального платежного клирингового контрагента и (или) расчетного центра. 4. Порядок определения размера гарантийного взноса устанавливается правилами платежной системы. 5. Гарантийный фонд платежной системы используется оператором платежной системы либо по его поручению центральным платежным клиринговым контрагентом или расчетным центром в целях обеспечения исполнения обязательств участников платежной системы. 6. В случае неисполнения (ненадлежащего исполнения) обязательств участником платежной системы его гарантийный взнос используется для удовлетворения требований по таким обязательствам. 7. При недостаточности гарантийного взноса участника платежной системы используются гарантийные взносы других участников платежной системы в порядке, предусмотренном правилами платежной системы. В этом случае указанный участник платежной системы обязан возместить сумму использованных гарантийных взносов, а также уплатить проценты за их использование, если это предусмотрено правилами платежной системы. 8. В случае прекращения участия в платежной системе участнику платежной системы возвращается его гарантийный взнос в порядке и сроки, которые предусмотрены правилами платежной системы. 9. Гарантийный фонд платежной системы учитывается на отдельном банковском счете, открываемом оператору платежной системы, центральному платежному клиринговому контрагенту или участникам платежной системы (далее - счет гарантийного фонда платежной системы) в соответствии со статьей 30 настоящего Федерального закона. 10. Счет гарантийного фонда платежной системы может быть открыт только в Банке России, Внешэкономбанке, а также в банке - участнике системы страхования вкладов или небанковской кредитной организации, не имеющей права осуществлять размещение привлеченных во вклады денежных средств. Статья 30. Счет гарантийного фонда платежной системы 1. При открытии счета гарантийного фонда платежной системы оператору платежной системы операции по указанному счету осуществляются на основании распоряжений оператора платежной системы. 2. При открытии счета гарантийного фонда платежной системы центральному платежному клиринговому контрагенту операции по указанному счету осуществляются либо на основании распоряжений оператора платежной системы без распоряжения центрального платежного клирингового контрагента, либо на основании распоряжений центрального платежного клирингового контрагента с согласия оператора платежной системы. 3. При открытии счета гарантийного фонда платежной системы участнику платежной системы операции по указанному счету осуществляются либо на основании распоряжений оператора платежной системы или центрального платежного клирингового контрагента без распоряжения участника платежной системы, которому открыт данный счет, либо на основании распоряжений участника платежной системы, которому открыт такой счет, с согласия оператора платежной системы или центрального платежного клирингового контрагента. 4. При открытии счета гарантийного фонда платежной системы центральному платежному клиринговому контрагенту или участнику платежной системы соответственно оператор платежной системы или оператор платежной системы и центральный платежный клиринговый контрагент имеют право получать от оператора по переводу денежных средств, у которого открыт счет гарантийного фонда платежной системы, информацию об операциях по этому счету. 5. При открытии счета гарантийного фонда платежной системы центральному платежному клиринговому контрагенту или участнику платежной системы указывается лицо, которое вправе давать распоряжения по этому счету в соответствии с требованиями частей 2 и 3 настоящей статьи. 6. Согласие оператора платежной системы или центрального платежного клирингового контрагента на совершение операций по счету гарантийного фонда платежной системы дается способом, предусмотренным договором банковского счета в соответствии с правилами платежной системы. 7. Оператор платежной системы, центральный платежный клиринговый контрагент, участник платежной системы вправе переводить на счет гарантийного фонда платежной системы собственные денежные средства в случаях, предусмотренных частями 3 и 7 статьи 29 настоящего Федерального закона. 8. В случае признания оператора платежной системы, центрального платежного клирингового контрагента, участника платежной системы банкротом денежные средства, находящиеся на счете гарантийного фонда платежной системы, в конкурсную массу не включаются и подлежат возврату предоставившим их лицам в размере денежных средств, оставшихся после исполнения всех обязательств участников платежной системы. 9. По долгам оператора платежной системы, центрального платежного клирингового контрагента, участника платежной системы не может быть наложен арест на денежные средства, находящиеся на счете гарантийного фонда платежной системы, а также не могут быть приостановлены операции по указанному счету. Приостановление операций по счету гарантийного фонда платежной системы по основаниям, предусмотренным законодательством Российской Федерации о налогах и сборах, не допускается. 10. На денежные средства, находящиеся на счете гарантийного фонда платежной системы, не может быть обращено взыскание по обязательствам оператора платежной системы, центрального платежного клирингового контрагента или участника платежной системы. Глава 5. Надзор и наблюдение в национальной платежной системе Статья 31. Цели надзора и наблюдения в национальной платежной системе 1. Основными целями надзора и наблюдения в национальной платежной системе являются обеспечение стабильности национальной платежной системы и ее развитие. 2. В целях настоящего Федерального закона надзор в национальной платежной системе означает деятельность Банка России по контролю за соблюдением операторами по переводу денежных средств, являющимися кредитными организациями, операторами платежных систем, операторами услуг платежной инфраструктуры требований настоящего Федерального закона и принимаемых в соответствии с ним нормативных актов Банка России. 3. Надзор за соблюдением кредитными организациями требований настоящего Федерального закона и принимаемых в соответствии с ним нормативных актов Банка России осуществляется Банком России в соответствии с законодательством Российской Федерации о банках и банковской деятельности, за исключением случая, указанного в части 8 статьи 34 настоящего Федерального закона. 4. Надзор за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры (далее - поднадзорные организации) требований настоящего Федерального закона и принимаемых в соответствии с ним нормативных актов Банка России осуществляется Банком России в соответствии с настоящим Федеральным законом. 5. В целях настоящего Федерального закона наблюдение в национальной платежной системе означает деятельность Банка России по совершенствованию операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры (далее - наблюдаемые организации), другими субъектами национальной платежной системы своей деятельности и оказываемых ими услуг, а также по развитию платежных систем, платежной инфраструктуры (далее - объекты наблюдения) на основе рекомендаций Банка России. Статья 32. Осуществление надзора в национальной платежной системе 1. При осуществлении надзора в национальной платежной системе Банк России: 1) анализирует документы и информацию (в том числе данные отчетности), которые касаются деятельности поднадзорных организаций и участников платежных систем, а также организации и функционирования платежных систем; 2) проводит инспекционные проверки поднадзорных организаций в соответствии со статьей 33 настоящего Федерального закона; 3) осуществляет действия и применяет меры принуждения в соответствии со статьей 34 настоящего Федерального закона в случае нарушения поднадзорными организациями требований настоящего Федерального закона или принятых в соответствии с ним нормативных актов Банка России. 2. Банк России определяет формы и сроки предоставления отчетности, в том числе в виде отчетности поднадзорной организации и сводной отчетности по платежной системе, методику составления указанной отчетности. 3. При осуществлении надзора в национальной платежной системе Банк России вправе запрашивать и получать от поднадзорных организаций и участников платежной системы документы и иную необходимую информацию, в том числе содержащую персональные данные. 4. Порядок осуществления надзора в национальной платежной системе определяется в соответствии с нормативными актами Банка России. Статья 33. Порядок проведения инспекционных проверок поднадзорных организаций 1. Банк России проводит плановые инспекционные проверки поднадзорных организаций не чаще одного раза в два года в соответствии с утвержденным Банком России планом проверок. 2. При нарушении бесперебойности функционирования значимой платежной системы Банк России проводит внеплановые инспекционные проверки. 3. Инспекционные проверки могут проводиться по отдельным вопросам деятельности поднадзорных организаций либо являться комплексными. 4. При проведении инспекционной проверки поднадзорной организации уполномоченные представители (служащие) Банка России имеют право: 1) получать и проверять документы поднадзорной организации; 2) при необходимости получать копии документов для приобщения к материалам проверки; 3) получать устные и письменные пояснения по вопросам деятельности поднадзорной организации; 4) получать доступ в места осуществления деятельности поднадзорной организации; 5) получать доступ к информационным системам поднадзорной организации, включая получение информации в электронном виде. 5. По итогам инспекционной проверки уполномоченные представители (служащие) Банка России составляют акт инспекционной проверки, содержащий общую информацию о деятельности поднадзорной организации, информацию о выявленных в ходе проверки нарушениях с приложением подтверждающих документов, сведения о фактах противодействия проверке. 6. Срок проведения инспекционной проверки Банка России не может превышать три месяца. 7. Порядок проведения инспекционных проверок поднадзорных организаций регулируется нормативными актами Банка России. Статья 34. Действия и меры принуждения, применяемые Банком России в случае нарушения поднадзорной организацией требований настоящего Федерального закона или принятых в соответствии с ним нормативных актов Банка России 1. В случаях, если нарушения требований настоящего Федерального закона или принятых в соответствии с ним нормативных актов Банка России поднадзорной организацией непосредственно не влияют на бесперебойность функционирования платежной системы, а также не влияют на услуги, оказываемые участникам платежной системы и их клиентам, Банк России осуществляет следующие действия: 1) доводит до сведения органов управления поднадзорной организации информацию о выявленном нарушении в письменной форме с указанием допущенного нарушения и срока, в течение которого такое нарушение должно быть устранено, при этом указанный срок не может быть менее 10 рабочих дней; 2) направляет органам управления поднадзорной организации рекомендации надзорного органа по устранению выявленного нарушения и рекомендует им представить в надзорный орган программу мероприятий, направленных на устранение нарушения. 2. В случаях, если нарушения требований настоящего Федерального закона или принятых в соответствии с ним нормативных актов Банка России поднадзорной организацией влияют на бесперебойность функционирования платежной системы либо на услуги, оказываемые участникам платежной системы и их клиентам, Банк России применяет одну из следующих мер принуждения: 1) направляет предписание об устранении нарушения с указанием срока для его устранения; 2) ограничивает (приостанавливает) предписанием оказание операционных услуг, в том числе при привлечении операционного центра, находящегося за пределами Российской Федерации, и (или) услуг платежного клиринга. 3. В предписание об устранении нарушения не включается информация о неприменении поднадзорной организацией документов (актов) Банка России, не являющихся нормативными актами, предписаниями Банка России или актами Банка России, предусмотренными пунктом 1 части 1 настоящей статьи. 4. Меры принуждения, предусмотренные частью 2 настоящей статьи, применяются Банком России также в следующих случаях: 1) при повторном в течение последних 12 месяцев нарушении поднадзорной организацией требования настоящего Федерального закона или принятого в соответствии с ним нормативного акта Банка России, если в отношении поднадзорной организации Банком России за нарушение этого требования осуществлялись действия, предусмотренные пунктом 1 части 1 настоящей статьи, или применялись меры принуждения, предусмотренные частью 2 настоящей статьи; 2) при действиях (бездействии) поднадзорной организации, повлекших (повлекшем) приостановление (прекращение) осуществления переводов денежных средств в рамках платежной системы либо их несвоевременное осуществление, если в отношении поднадзорной организации Банком России осуществлялись действия, предусмотренные пунктом 1 части 1 настоящей статьи, или применялись меры принуждения, предусмотренные частью 2 настоящей статьи; 3) если предписание Банка России не было выполнено поднадзорной организацией в установленный срок; 4) при неустранении нарушения, информация о котором была доведена Банком России до сведения поднадзорной организации в соответствии с пунктом 1 части 1 настоящей статьи, в установленный срок. 5. Мера принуждения, указанная в пункте 2 части 2 настоящей статьи, вводится на определенный предписанием срок и может включать ограничения: 1) предельного размера позиций на нетто-основе участника (участников) платежной системы; 2) предельного количества распоряжений участника (участников) платежной системы и (или) общей суммы указанных распоряжений в течение дня. 6. В случае, если по истечении срока действия меры принуждения, указанной в пункте 2 части 2 настоящей статьи, допущенные нарушения не устранены, срок действия данной меры принуждения может быть продлен предписанием Банка России до устранения нарушения. 7. Предписание Банка России о применении меры принуждения, указанной в пункте 2 части 2 настоящей статьи, направляется оператору платежной системы и оператору услуг платежной инфраструктуры, в отношении которых вводится ограничение. 8. В случае неоднократного невыполнения предписаний с требованием об устранении нарушения, влияющего на бесперебойность функционирования платежной системы, в течение одного года со дня направления первого предписания Банка России об устранении такого нарушения Банк России исключает оператора платежной системы из реестра операторов платежных систем. 9. В случае неоднократного в течение года применения к оператору платежной системы, являющемуся кредитной организацией, за нарушение требований настоящего Федерального закона или принятых в соответствии с ним нормативных актов Банка России, если указанное нарушение влияет на бесперебойность функционирования платежной системы, мер, предусмотренных статьей 74 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", Банк России исключает оператора платежной системы, являющегося кредитной организацией, из реестра операторов платежных систем. 10. Решение об исключении оператора платежной системы из реестра операторов платежных систем оформляется в виде приказа Банка России и опубликовывается в официальном издании Банка России "Вестник Банка России". Обжалование решения Банка России об исключении оператора платежной системы из реестра операторов платежных систем, а также применение мер по обеспечению иска (обеспечительных мер) не приостанавливает действия указанного решения Банка России. 11. Банк России привлекает поднадзорную организацию и ее должностных лиц к административной ответственности в соответствии с Кодексом Российской Федерации об административных правонарушениях. Статья 35. Содержание и приоритеты наблюдения в национальной платежной системе 1. Наблюдение в национальной платежной системе включает следующие виды деятельности: 1) сбор, систематизацию и анализ информации о деятельности наблюдаемых организаций, других субъектов национальной платежной системы и связанных с ними объектов наблюдения (далее - мониторинг); 2) оценку деятельности наблюдаемых организаций и связанных с ними объектов наблюдения (далее - оценка); 3) подготовку по результатам указанной оценки предложений по изменению деятельности оцениваемых наблюдаемых организаций и связанных с ними объектов наблюдения (далее - инициирование изменений). 2. Приоритетным является наблюдение за значимыми платежными системами, которое осуществляется Банком России посредством всех видов деятельности, указанных в части 1 настоящей статьи. В отношении наблюдаемых организаций, других субъектов национальной платежной системы, платежных систем, не являющихся значимыми, а также других объектов наблюдения Банк России осуществляет мониторинг. 3. При осуществлении мониторинга Банк России вправе запрашивать и получать от наблюдаемых организаций, других субъектов национальной платежной системы информацию об оказываемых ими платежных услугах, услугах платежной инфраструктуры. 4. Банк России вправе запрашивать и получать от организаций федеральной почтовой связи информацию об осуществлении ими почтовых переводов денежных средств, за исключением сведений, отнесенных Федеральным законом от 17 июля 1999 года N 176-ФЗ "О почтовой связи" к тайне связи, в порядке, установленном Банком России, по согласованию с федеральным органом исполнительной власти в области связи. 5. При осуществлении оценки Банк России определяет степень соответствия наблюдаемых организаций и связанных с ними объектов наблюдения рекомендациям Банка России, к которым относятся собственные рекомендации Банка России, а также рекомендации по использованию стандартов или лучшей мировой и отечественной практики, при условии опубликования соответствующих документов в изданиях Банка России на русском языке. При необходимости Банк России издает методические разъяснения по использованию указанных рекомендаций. 6. Банк России осуществляет оценку в соответствии с методиками оценки, которые опубликовываются в официальном издании Банка России "Вестник Банка России", размещаются на интернет-сайте Банка России и при необходимости дополнительно доводятся до сведения наблюдаемых организаций. 7. До проведения оценки Банк России предлагает оператору значимой платежной системы самостоятельно провести предварительную оценку с применением опубликованных методик оценки и направлением результатов оценки в Банк России. Предварительная оценка, проведенная оператором значимой платежной системы, учитывается при проведении оценки Банком России. 8. Обобщенные результаты оценки опубликовываются и размещаются на интернет-сайте Банка России. Детализированные результаты оценки могут быть опубликованы Банком России с согласия оператора оцениваемой значимой платежной системы. 9. При инициировании изменений по результатам оценки Банк России может: 1) довести материалы оценки и ее результаты до органов управления наблюдаемой организации с их последующим обсуждением; 2) совместно с наблюдаемыми организациями разработать мероприятия по предлагаемым изменениям; 3) опубликовать и разместить на интернет-сайте Банка России информацию об отказе наблюдаемой организации принять предложенные Банком России изменения, а также позицию наблюдаемой организации по данному вопросу. 10. Банк России опубликовывает обзор результатов наблюдения за значимыми платежными системами и общий обзор результатов наблюдения в национальной платежной системе не реже одного раза в два года. 11. Порядок осуществления наблюдения в национальной платежной системе определяется нормативными актами Банка России. Статья 36. Взаимодействие Банка России с федеральными органами исполнительной власти при осуществлении надзора и наблюдения в национальной платежной системе 1. При осуществлении надзора и наблюдения в национальной платежной системе Банк России взаимодействует с федеральными органами исполнительной власти. 2. При осуществлении надзора и наблюдения за платежными системами, в которых осуществляются переводы денежных средств в целях расчета по сделкам с ценными бумагами и (или) сделкам, совершенным на организованных торгах, Банк России взаимодействует с федеральным органом исполнительной власти по финансовым рынкам, в том числе по вопросам участия в платежных системах профессиональных участников рынка ценных бумаг, юридических лиц - участников организованных торгов и (или) участников клиринга, а также по вопросам взаимодействия операторов услуг платежной инфраструктуры с клиринговыми организациями, центральными контрагентами и (или) депозитариями. 3. При осуществлении надзора и наблюдения за платежными системами, в которых осуществляются переводы денежных средств в целях расчетов по обязательным видам страхования гражданской ответственности, предусмотренным законодательством Российской Федерации, Банк России взаимодействует с уполномоченным федеральным органом исполнительной власти. Статья 37. Международное сотрудничество Банка России по вопросам надзора и наблюдения в национальной платежной системе 1. Сотрудничество Банка России с центральными банками и иными органами надзора и наблюдения в национальных платежных системах иностранных государств осуществляется в соответствии с заключенными с ними соглашениями (меморандумами) о сотрудничестве. 2. Банк России может запросить центральный банк и иной орган надзора и наблюдения в национальной платежной системе иностранного государства о предоставлении информации или документов, которые получены в ходе исполнения функций надзора и наблюдения, а также может предоставить центральному банку и иному органу надзора и наблюдения в национальной платежной системе иностранного государства указанные информацию или документы, которые не содержат сведений о переводах денежных средств, при условии обеспечения указанным органом надзора и наблюдения в национальной платежной системе режима сохранности информации, соответствующего установленным законодательством Российской Федерации требованиям обеспечения сохранности информации, предъявляемым к Банку России. В отношении информации и документов, которые получены от центральных банков и иных органов надзора и наблюдения в национальных платежных системах иностранных государств, Банк России обязан соблюдать требования по раскрытию информации в соответствии с заключенными соглашениями (меморандумами) о сотрудничестве." - сообщает сайт "Аргументов и Фактов" в статье http://www.aif.ru/money/article/44160

SAWWA
02.07.2011, 00:50
"Глава 6. Заключительные положения Статья 38. Заключительные положения 1. Организации, которые на день вступления в силу настоящего Федерального закона являлись обязанными лицами по денежным обязательствам, предусмотренным частью 3 статьи 12 настоящего Федерального закона (далее - обязанные организации), вправе продолжать принятие на себя таких денежных обязательств в течение 15 месяцев со дня официального опубликования настоящего Федерального закона. 2. В течение срока, указанного в части 1 настоящей статьи, обязанная организация вправе также осуществить уступку прав требования и перевод долга по принятым денежным обязательствам, предусмотренным частью 3 статьи 12 настоящего Федерального закона, кредитной организации, имеющей право осуществлять переводы денежных средств без открытия банковских счетов, в том числе электронных денежных средств. В этом случае обязанная организация обязана уведомить физических лиц о предстоящей уступке прав требования и переводе долга путем размещения соответствующего объявления в средствах массовой информации, на своем интернет-сайте, а также вправе направить уведомление иным способом. 3. Если в течение 30 календарных дней с момента первого размещения уведомления в средствах массовой информации или на своем интернет-сайте физическое лицо не направило в адрес обязанной организации в письменном или электронном виде свои возражения против уступки прав требования и перевода долга, считается, что физическое лицо выразило согласие на уступку прав требования и перевод долга. 4. Если физическое лицо в срок, указанный в части 3 настоящей статьи, направило в адрес обязанной организации в письменном или электронном виде свои возражения против уступки прав требования и перевода долга, обязанная организация не вправе осуществить уступку прав требования и перевод долга. В этом случае обязательства между обязанной организацией и физическим лицом в части денежных обязательств, предусмотренных частью 3 статьи 12 настоящего Федерального закона, прекращаются с момента получения обязанной организацией возражений физического лица. При этом обязанная организация должна в течение трех рабочих дней со дня обращения физического лица возвратить остаток денежных средств, переданных ей физическим лицом в целях принятия обязанной организацией денежных обязательств, предусмотренных частью 3 статьи 12 настоящего Федерального закона. 5. Кредитные организации, осуществляющие перевод электронных денежных средств на день вступления в силу настоящего Федерального закона, обязаны привести свою деятельность в соответствие с требованиями настоящего Федерального закона в течение трех месяцев со дня вступления в силу настоящего Федерального закона. 6. Организации, осуществляющие деятельность операторов платежных систем, обязаны привести свою деятельность в соответствие с требованиями настоящего Федерального закона и направить в Банк России регистрационное заявление в соответствии со статьей 15 настоящего Федерального закона в течение шести месяцев со дня вступления в силу указанной статьи настоящего Федерального закона. 7. Положения части 11 статьи 16 и пункта 3 части 12 статьи 21 настоящего Федерального закона в части привлечения операционного центра и (или) платежного клирингового центра применяются по истечении трех лет после дня официального опубликования настоящего Федерального закона. 8. Со дня вступления в силу настоящего Федерального закона деятельность банковских платежных агентов (субагентов) без использования специального банковского счета (счетов) для зачисления в полном объеме полученных от физических лиц наличных денежных средств в соответствии с частями 5 и 6 статьи 14 настоящего Федерального закона не допускается. 9. Действие статьи 14 настоящего Федерального закона распространяется на отношения, возникшие из договоров, ранее заключенных кредитными организациями и организациями, не являющимися кредитными организациями, а также индивидуальными предпринимателями в соответствии со статьей 131 Федерального закона "О банках и банковской деятельности". Статья 39. Порядок вступления в силу настоящего Федерального закона 1. Настоящий Федеральный закон вступает в силу по истечении девяноста дней после дня его официального опубликования, за исключением положений, для которых настоящей статьей установлены иные сроки вступления их в силу. 2. Пункты 12 - 16 статьи 3, статьи 5, 6 и 8 настоящего Федерального закона вступают в силу по истечении ста восьмидесяти дней после дня официального опубликования настоящего Федерального закона. 3. Статьи 1, 2, пункты 1, 6 - 11, 20 - 25 статьи 3, статьи 15 и 16, части 1 - 7 статьи 17, статьи 18 - 25, 27 - 37 настоящего Федерального закона вступают в силу по истечении одного года после дня официального опубликования настоящего Федерального закона. 4. Части 2, 4 - 8, 11 - 16 статьи 9 настоящего Федерального закона вступают в силу по истечении 18 месяцев после дня официального опубликования настоящего Федерального закона. Источник: «Российская газета»." - сообщает сайт "Аргументов и Фактов" в статье http://www.aif.ru/money/article/44160

SAWWA
03.07.2011, 00:53
Петерис Сахуров и Марина Маслобоева, как выяснилось, заманивали американцев рекламой гостиниц. Эти двое молодых людей были задержаны по требованию прокуратуры США. По крайней мере год они орудовали в Латвии. Однако нашим полицейским не хватало доказательств для их ареста. По предварительным данным, в организованную ими сеть («ботнет») могли входить не менее 4000 компьютеров жителей Латвии.

Как это работает: кибер-преступники заражают компьютеры пользователей, после чего могут этими машинами командовать. Так что компьютеры, без ведома их хозяев, рассылают спам, «нападают» на другие машины, пересылают конфиденциальную информацию пользователей и т.д.

Пока неизвестно, сколько точно жителей Латвии пострадали от действий хакеров из Резекне.

Генпрокуратура Латвии уже получила запрос США о выдаче Сахурова и Маслобоевой, которые, предположительно нанесли американским интернет-пользователям ущерб на 2 миллион долларов.

Как сообщила пресс-представитель прокуратуры Лаура Пакалне, согласно договорам между Латвией и США, латвийские граждане вполне могут быть выданы. Однако для решения этого вопроса потребуется изучить все дело. Пока последовал лишь предварительный запрос.

Они работали под видом рекламного агентства

Американские следователи раскрыли часть схемы, по которой действовали обвиняемые. Они сформировали фальшивое рекламное агентство и, утверждая, что представляют гостиничную сеть, получили место для баннера на сайте местной газеты штата Minneapolis Star Tribune.

Как пишут сами представители газеты, от имени фирмы по электронной почте договаривалась некая Лиза Половски. Она просила место для рекламы «лучших гостиниц Запада». Специалисты портала проверили объявление — оно не вызвало никаких подозрений. Сервер в Нидерландах показывал заманчивые картинки. Однако уже после установки Сахуров и Маслобоева изменили код. Новый код стал отправлять пользователей на латвийские серверы.

В итоге, когда посетители сайта нажимали на кнопку баннера, в их компьютеры загружалась программа, сообщавшая, что компьютер инфицирован. После этого потенциальным жертвам мошенничества нужно было указать номер своей кредитной карточки, при использовании которой им следовало купить антивирусную программу и решить проблему, которой в действительности не существовало.

Если «антивирусную программу» не покупали, хранящиеся в компьютере данные владельца замораживались, и он терял к ним доступ.

Представители портала сняли злостное объявление уже на следующий день. Однако за время его работы, по подсчетам министерства юстиции США, убытки пользователей составили не менее 2 млн. долларов США.

Кстати, за размещение объявления «Лиза Половски» так не расплатилась.

Для справки

Напомним, 23 июня по запросу США были задержаны двое жителей Резекне – 22-летний Петерис Сахуров и 23-летняя Марина Маслобоева, которых американская сторона обвиняет в мошенничестве.

Сейчас подготавливаются документы для того, чтобы задержанные могли быть осуждены по американским законам. Сами молодые люди не арестованы. За данное преступление, если их вина будет доказана полностью, им может грозить до 20 лет лишения свободы, а также штраф в 250 000 долларов. Если они будут признаны виновными и в компьютерном мошенничестве, им грозит еще десять лет тюрьмы и еще один штраф в том же размере.

Латвийские власти на основании американских ордеров арестовали не менее пяти банковских счетов, на которые перечислялись незаконно полученные средства, сообщили в министерстве юстиции США. Счета использовались для трат денег, полученных в результате мошенничества.

Министерство юстиции США сообщило, ФБР и международные партнеры раскрыли еще одну схему компьютерного мошенничества, жертвами которой стали 960 пользователей компьютеров, и убытки от которой составили 72 млн долларов (35 млн латов).

В связи с действиями этой схемы никто пока не задержан, но уже конфискованы 22 компьютера и сервера в США, а также 25 компьютеров и серверы во Франции, Латвии, Литве, Великобритании, Нидерландах, Германии и Швеции, сообщает министерство юстиции США.

Помощь в раскрытии преступления оказали правоохранительные органы Франции, Канады, Кипра, Латвии, Литвы, Великобритании, Нидерландов, Румынии, Германии и Швеции.


http://www.kriminal.lv/news/vychislennye-v-latvii-hakery-budut-vydany-ssha