February 14th, 2020

Эс как доллар

это перепост заметки, оригинал находится на моем сайте: https://lleo.me/dnevnik/2020/02/14

Позвонил сегодня старинный товарищ хакер МетеО, поделился незамутненной радостью: он обнаружил уязвимость, позволяющую осуществлять DDo$-атаки. Эс как доллар, тут не опечатка.

DDo$-атака производится по известной схеме амплификации трафика — небольшие затраты атакующего оборачиваются 58-кратным ущербом для жертвы.

Уязвимость заключается в том, что банк Тинькофф (и я подозреваю, не он один) имеет правило: сдирать со своего клиента 59 рублей комиссии за каждый случай пополнения счета из неудобных банку источников, например через сеть Связной. Которая, в свою очередь, позволяет делать переводы от 1 рубля.

Поэтом, узнав номер карты жертвы, сваяв несложный для айтишника скрипт на левую симку в личном кабинете Связного, злоумышленник может отправить 100 рублей по рублю, причинив жертве урон на тысячу баксов. А раскошелившись на 10,000 рублей, можно загнать жертву в полумиллионные долги.

Любопытен также правовой статус: поскольку очевидно отсутствует корыстный мотив, незаконное обогащение и причинение ущерба (ущерб-то причиняет банк Тинькофф), то действия хакера, буде его левая симка окажется раскрытой, сложно признать мошенническими на том смешной основании, что он решил чисто по-христиански жертвовать своему врагу собственные рубли.
Collapse )