Яндекс деньги: Веселятся и списывают деньги

В чем это заключается? Интернет-деньги это дикость на мой взгляд.

в чём заключается «дикость»? А что до удобства: анонимус А может с лёгкостью перевести деньги анонимусу Б. При этом ни А, ни Б не узнают НИКАКОЙ лишней информации друг о друге. Да, если у анонимуса А нет счёта, или он не хочет его светить даже в ЯД/ВМ, то ему придётся заплатить несколько больше. Но за анонимность нужно платить.

А вот и нет, через прокси уже тянет

Зависит от зарплаты. Если она стабильная еще есть. А так имхо парни наглые. Обычно переводят через кошелек с мелким счетом или без счета, а может просто нашли кошель на 5000 тыс, и было лень или жалко комиссии с него перводить тоже еще на один.

Понимаю, что вы потеряли деньги, и ваше единственное желание сейчас просто их вернуть. Я работаю в Яндекс.Деньгах, у меня есть возможность узнать у руководителя службы поддержки, что произошло. История сложная, я постараюсь объяснить, что было и почему вам так отвечали.

Мне кажется, есть некоторая чехарда в том, что вы спутали адрес привязки к платежному паролю и адрес для email-информирования. Смотрите: информирование можно подключить на странице Управление счетом), при этом ящик для восстановления пароля не изменится. Указать ящик, для восстановления платёжного пароля можно только в Яндекс.Паспорте. (Прошу прощения, если повторяю то, что вам уже рассказали, или вы сами с этим разобрались).

Для email-информирования у вас действительно был привязан адрес на Gmail. К платёжному паролю был привязан адрес на Яндексе (созданный по умолчанию при регистрации счета), вручную вы его не меняли вплоть до окончания всех этих событий. Ящик ***@yandex.ru был назначен, как актуальный, еще в ноябре 2011 года. Второй ящик, ***@gmail.com, стал актуальным 17.09.2012 в 8:20. То есть, когда мошенники совершали операции с вашим счетом, актуальным ящиком был ***@yandex.ru. Саппорт видит, что 17 сентября в 08:19 платёжный пароль был успешно сброшен с помощью привязанного телефона – из этого саппорт делает вывод: адрес с yandex на gmail утром 17 сентября поменяли именно вы, когда меняли платёжный пароль. Скорее всего, история с двумя адресами почты не имеет никакого отношения к украденным деньгам, а вся беда в вирусе. К сожалению, уязвимости, позволяющие злоумышленникам перехватить ваши данные, встречаются не только в windows, но и в линуксе.

Что касается молчания саппорта о нескольких платежах в секунду, то мы не можем комментировать действия мошенников – не хотим ничего подсказывать хакерам. Сотрудники поддержки действительно правы, направляя вас в полицию. Без участия полиции вести расследование ситуации, в которой кто-то посторонний получил доступ к вашему счету, мы просто не имеем право. Полиция придет с официальным запросом к нам, к Вконтакту, ко всем участникам цепочки движения денег. Если вы хотите довести дело до конца, обратитесь в любое отделение полиции по месту вашего проживания. Скажите, если нужна какая-то помощь с заявлением. Мы тоже заинтересованы в том, чтобы такие случаи расследовались. Тем более, сейчас начался осенний всплеск мошенничества.

Ася Мелкумова, Яндекс.Деньги

В этой ветке вспоминали похожую историю из поста на Хабре. Героя того поста никто из Яндекс.Денег не игнорировал, мы с ним постоянно разговаривали). Но случай еще печальнее: человек потерял пароли многое от чего, в том числе и от Хабры).

Ты что молчишь? Давай лучше на твоих системах вирус/троянец поищем.

Итак поехали по пунктам:

Для email-информирования у вас действительно был привязан адрес на Gmail. К платёжному паролю был привязан адрес на Яндексе (созданный по умолчанию при регистрации счета), вручную вы его не меняли вплоть до окончания всех этих событий. Ящик ***@yandex.ru был назначен, как актуальный, еще в ноябре 2011 года. Второй ящик, ***@gmail.com, стал актуальным 17.09.2012 в 8:20. То есть, когда мошенники совершали операции с вашим счетом, актуальным ящиком был ***@yandex.ru. Саппорт видит, что 17 сентября в 08:19 платёжный пароль был успешно сброшен с помощью привязанного телефона – из этого саппорт делает вывод: адрес с yandex на gmail утром 17 сентября поменяли именно вы, когда меняли платёжный пароль.

Платёжный мейл был изменён вместе с выпуском вашей карты. Тоесть где то в мае. Значит на глаза очередная ваша ложь или заметание следов от какой то дыры.

Что касается молчания саппорта о нескольких платежах в секунду, то мы не можем комментировать действия мошенников – не хотим ничего подсказывать хакерам.

Так и запишим - дыра есть.

Сотрудники поддержки действительно правы, направляя вас в полицию.

Не если мне есть на кого подавать в суд то только ЯНдекс деньги... Заявление на Вас будет подано на неделе.

Ты что молчишь? Давай лучше на твоих системах вирус/троянец поищем.

Готов предоставить яндексу свои смартфон и рабочий ноут на анализ но с условием: Вирусы находятся - я делаю на своём теле тату с лого яндекса если нет то возвращают деньги ВСЕМ у кого они были списаны в 10 кратном размере!

Я не из яндекса, но мне например до сих пор не понятно, как именно увели деньги. Тебе самому не интересно выяснить?

К сожалению, уязвимости, позволяющие злоумышленникам перехватить ваши данные, встречаются не только в windows, но и в линуксе

Евгений Валентинович добавил этот пост в избранное.

О, как меня достало совместное использование двух — моего обычного на @gmail.com и использование своей почты через них. Когда авторизация завершается по таймауту, то нельзя просто зайти на свой почтовый ящик. Иду на mail.mydomain.com, ввожу логин с паролем — меня редиректит на залогиненный... @gmail.com. А мой домен так и не залогинен. Приходится сперва _выходить_ с @gmail.com и потом заходить на оба аккаунта заново. А ещё я использую поочерёдно 2..4 разных машины. И на кажой приходится проводить эту процедуру.

Угу, это просто пестец. Глючит жестоко. Из-за этого я стараюсь избегать данной процедуры всеми способами. Вплоть до того, что максимально долго пользуюсь только одним аккаунтом.

К сожалению, уязвимости, позволяющие злоумышленникам перехватить ваши данные, встречаются не только в windows, но и в линуксе.

И у Яндекс.Денег есть подтвержденние существования вирусов для Linux которые уводят пароли?

99% линуксойдов качают софт непонятно откуда, потом собирают, и ставят в систему. Пользуются wine.

Если у вас дома все такие одаренные, то это не значит, что остальные такие же идиоты. Не нужно судить о других по себе.

Сочувствую.

Атак на самом деле много разных. Фишинг и невнимательный пользователь. Ноутбук, оставленный без присмотра. Уязвимости в Java, или в самом браузере... Сотни троянов с кейлоггерами и десятки (или тоже сотни?) руткитов. Вирусов не так много, да и действующих наверное совсем нет.

А на тебя подписался Евгений Ваганович.

Paypal [/thread]

мы не можем комментировать действия мошенников – не хотим ничего подсказывать хакерам

Security by Obscurity? А казалось - серьёзная контора...

Готов предоставить яндексу свои смартфон и рабочий ноут на анализ но с условием: Вирусы находятся

в большинстве случаев пароли не перехватываются так, как ты думаешь. Юзер сам вводит пароль НЕ ТУДА. Сляпать страничку, которая выглядит как ввод пароля - дело пяти минут. Адрес будет чуть другой, но ты смотрел адрес? У тебя он вообще виден? А может это и не браузер был? И зачем этой страничке(псевдобраузеру) оставлять следы на твоих системах?

Евгений Валентинович добавил этот пост в избранное.

зря смеёшься, речь тут идёт не только и не столько о вирусах. Мы живём не в 90ом году, сейчас крякер инета можно написать на JavaScript, какой-то exeшник для этого уже давно не нужен. Соответственно его не нужно запускать, и его невозможно отследить (ну не будет-же антивирус отслеживать все формы пароля, похожие на яндекс, но не яндекс. Эти формы не сильно-то и различаются на самом деле). И чем тут тебе поможет Linux?

И у Яндекс.Денег есть подтвержденние существования вирусов для Linux которые уводят пароли?

покажи мне, где ты увидел слово «вирус»? учи матчасть, школьник - отсутствие вирусов не означает, что твои пароли и всё остальное никому не известны.

Security by Obscurity? А казалось - серьёзная контора...

не. под словом «хакер» тут имелось ввиду «МД с ЛОРа». Все эти атаки давно и хорошо известны и достаточно подробно описаны. Я могу их перечислить, но не буду. По тем же причинам, почему не стану рассказывать, как изготовить бомбу (простую) в домашних условиях - не из-за террористов, а из-за того, что после моего рассказа значительно прибавится работы врачам скорой помощи. А им и так работы хватает, акромя МД, начитавшихся моих рассказов.

Адрес будет чуть другой, но ты смотрел адрес?

Вот таких людей, которые на такое попадаются я вобще не понимаю.
p.s. На месте ТС'а я бы все имеющиеся данные очень тщательно проанализировал, в том числе на наличие троянов. А то пока какая-то каша с яндекс почтой, хотя очевидно, что пароль увели не так.

Вот таких людей, которые на такое попадаются я вобще не понимаю.

что тут непонятного? У большинства вообще адресная строка выключена, ибо не нужна. Особенно в мобильных девайсах - там все 100%.

На месте ТС'а я бы все имеющиеся данные очень тщательно проанализировал, в том числе на наличие троянов. А то пока какая-то каша с яндекс почтой, хотя очевидно, что пароль увели не так.

почему очевидно? для меня очевидно только одно - ТС ничего не понял, и пытается перевести стрелки. понимать и анализировать он просто не желает, а желает, что-бы это делали в яндексе. А что сделают в яндексе? Ну перевёл xxx деньги на счёт yyy, пароль 123 - правильный. Что тут такого? Возможно, пароль 123 на почту, а с этой почты сменили платёжный пароль на 321. Временно. Потом поменяли обратно (в почте за паролем 123 было сообщение «ваш новый пароль zlwp8oVithvvhTe4x*lh»). Конечно возможны ещё 100500 вариантов.

сменили платёжный пароль на 321. Временно. Потом поменяли обратно

Как они на старый пароль обратно поменяли? Он нигде в яндексе не хранится. А если знали, то зачем вобще его менять? Не, тут явно у ТСа как-то пароль увели. Вот только как - это самое любопытное.

Как они на старый пароль обратно поменяли? Он нигде в яндексе не хранится.

сам яндекс никто не ломал. А новый пароль ЕМНИП приходит на почту, типа «ваш платёжный пароль zlwp8oVithvvhTe4x*lh». По уму это письмо нужно удалить после прочтения, но никто конечно так не делает. Более правильно прислать почту «перейдите по ссылке», и показать юзеру веб-страничку с паролем, которая кроме кеша нигде не засветится, но, ЕМНИП в яндексе не так. Проверю с другой системы, мне всё равно нужно сегодня аккаунт на яд завести.

А если знали, то зачем вобще его менять?

есть пароль на аккаунт яндекса, а есть платёжный пароль. Для совершения любой транзакции надо сначала зайти по первому паролю, потом ввести второй. Однако, имея только первый пароль возможно

1. посмотреть текущий платёжный пароль в старой почте

2. поменять платёжный пароль на свой (тут конечно есть некоторые сложности, но они естественно преодолимы).

Вина яндекса если и есть, то только в том, что они не огородили свой сервис от совсем глупых пользователей, которых сейчас пачками и ломают.

Я могу их перечислить, но не буду

отец в треде.


p.s. всё не читал, но
«20 минут. Более 260 операций»

блин, они бы так бабло защищали, как с парсерами сражаются

пропали циферки в сети
будет урок на будущее

отец в треде.

дважды. Правда оно не от большого ума. За то опыта общения с МД хоть отбавляй...

пропали циферки в сети будет урок на будущее

это вполне РЕАЛЬНЫЕ деньги. Если конечно уметь ими пользоваться.

ЗЫЖ я всё думаю, почему люди, заходя в Сеть теряют 95% интеллекта? Вот пример: приходит человек в полицию метрополитена крупного города, и говорит: или-или, я сейчас вам принёс все свои авоськи, с которыми я ездил в вашем с*аном метро, где у мну украли кошелёк с 5тр, и если вы найдёте в этих авоськах хоть одну дырку, то я сделаю татушку у себя на лбу, с логотипом метро. В противном случае, вы заплатите ВСЕМ обворованным пассажирам вашего метро в 10и кратном размере!

И? Что ему скажут?

РЕАЛЬНЫЕ деньги

конечно-конечно, реальнее только слитки золота

конечно-конечно, реальнее только слитки золота

Где я могу воспользоваться слитками золота как деньгами?

анаголично, а где в реальном мире можно использовать яндексбабло?

можно подумать, бумажки когда-то были более реальными. Факт в том, что их можно поменять на любую другую валюту, или купить что угодно.

Где я могу воспользоваться слитками золота как деньгами?

в любом отделении сбербанка принимают драгметаллы.q11q11

анаголично, а где в реальном мире можно использовать яндексбабло?

1. можно платить за разнообразные услуги/товары

2. можно поменять на наличные

3. можно перевести на счёт (с этим правда сложнее анонимусу. хотя... Откуда у анонимуса счёт?)

анаголично, а где в реальном мире можно использовать яндексбабло?

Можно через карточку

Сенсация! Простой пользователь ЛОРа, drBatty, привел пример взлома интернетов на JavaScript!

страничку http://vk.com/ можно нарисовать и без JS

впрочем и http://mail.yandex.ru/ тоже можно на чистом HTML

Идиот? Людям делать больше нефиг, только с компа ТСа руками пароли от ЯД тырить.
Есть конечно много способов стырить пароли, другой вопрос в том, как на это реагирует сам ЯД.

И если тупых виндузятников логично разводить по типа «да вы сами, уязвимость у вас, бла бла», то в сабжевом случае это уже даже не смешно.
Так что со стороны ЯДа ответ типа такого является гнилой отмазой.
Такое же же загинание пальцев как у остальных говноконтор: вебмани, PM, LR.
У вас была привязка по IP, к мобильнику ключи на токене? ОЙ! У вас уязвимость! Да и вообще ваши 10к фантиков ничего не стоили.

Это была демонстрация, что от яндекса нигде не спрячешься.

На хабре после жалобы на яндекс снесли раздел «Я негодую». Здесь, видимо, снесут толксы.

это вполне РЕАЛЬНЫЕ деньги.

LOL!
Да у них прямо в дисклеймере написано будет, сокращенно: мы ничего вам не должны, можем вас забанить в любую минуту и без подтверждения и не будем обязаны возвращать ваши циферки.
И банят и не возвращают.

Именно поэтому пользоватся надо услугами нормальных банков которые ценят свою репутацию и обязаны (!) защитать деньги клиентов.
А шарашкины конторы должны сдохнуть, т.к они всеми силами держат качество услуг на уровне Папуа Новая Гвинея.

Лучше бы целиком снесли.

Идиот? Людям делать больше нефиг, только с компа ТСа руками пароли от ЯД тырить.

я не идиот. Фальшивые странички vk я видел лично. Вот нагуглил: http://inimob.ru/vzlom-vkontakte/77-falshivye-vkontakte-osteregajtes-poddelok... Ты не поверишь, нашлось 100500 идиотов, кто на этьо купился. Если не миллионы. Некоторых знаю лично. Наверняка и для яндекса тоже есть.

Есть конечно много способов стырить пароли, другой вопрос в том, как на это реагирует сам ЯД.

ясное дело как - послушно выполнит указанную транзакцию. Там что, сканер роговицы или искусственный интеллект?

И если тупых виндузятников логично разводить по типа «да вы сами, уязвимость у вас, бла бла», то в сабжевом случае это уже даже не смешно.

Дык о том и речь, что для получения паролей вовсе необязательно взламывать операционную систему. И толку в связи с этим от неуязвимости этого нашего GNU/Linux?

Так что со стороны ЯДа ответ типа такого является гнилой отмазой.

им надо было написать «ты сам идиот, если ввёл платёжный пароль на jandex.ru»? Идиот конечно, но своему _клиенту_ этого никто не скажет. А сам клиент будет кричать «у меня неуязвимый линукс, а я эксперт в области безопасности!!!111». Что мы и наблюдаем здесь.

Такое же же загинание пальцев как у остальных говноконтор: вебмани, PM, LR. У вас была привязка по IP, к мобильнику ключи на токене? ОЙ! У вас уязвимость! Да и вообще ваши 10к фантиков ничего не стоили.

я полагаю, если человек не ценит свои деньги, то они ничего и не стоят. Для него. Почему мы IRL используем замки, охрану и банковские ячейки, а в Сети надеемся, что кто-то этим будет заниматься за нас, да ещё и бесплатно? Все эти привязки неудобны, и отнимают время/деньги, но ходить с охранником тоже неудобно, и тоже не бесплатно. И недёшево.

А шарашкины конторы должны сдохнуть, т.к они всеми силами держат качество услуг на уровне Папуа Новая Гвинея.

это конечно так. Но свято место пусто не бывает - если яндекс не сможет всё нормально сделать, сделает кто-то другой. Сами по себе сетевые деньги исчезнут исключительно вместе с Сетью.

Мьсе не слышал про xss?

Сами по себе сетевые деньги исчезнут исключительно вместе с Сетью.

В нормальных странах обходятся без шарашкиных контор?

В России проблемы с кардерами уже не такие большие, так что будет вполне логично когда все это говнецо сдохнет.

ясное дело как - послушно выполнит указанную транзакцию. Там что, сканер роговицы или искусственный интеллект?

Послушно выполнит 260 (ДВЕСТИ ШЕСТЬДЕСЯТ) операций?

В ЯДе обычно блочат при 200 рублей на счету за «подозрительную активность».

И толку в связи с этим от неуязвимости этого нашего GNU/Linux?

Толк в том, что на форум/блог приходит поддержка ЯДа (которой пару дней назад было насрать на клиента) и начинает рассказывать про уязвимости, хакеров и конфеденциальность.

им надо было написать «ты сам идиот, если ввёл платёжный пароль на jandex.ru»?

Они именно так и пишут, только в более мягкой форме.

Идиот конечно, но своему _клиенту_ этого никто не скажет.

Конечно он идиот, т.к связался с шарашкиной конторой, я с этим не спорю.

А сам клиент будет кричать «у меня неуязвимый линукс, а я эксперт в области безопасности!!!111». Что мы и наблюдаем здесь.

Да клиент что угодно может кричать, это его право, он не обязан быть компетентным.
Только вот с ЯДа тут и там у людей уводят бабло и за года два ничего с этим не изменилось.

Почему мы IRL используем замки, охрану и банковские ячейки, а в Сети надеемся, что кто-то этим будет заниматься за нас, да ещё и бесплатно?

В нормальных странах полиция отвечает за безопасность граждан.
Поэтому долларовый миллионер может в Лондоне ходить без охраны по городу и с ним ничего не случится.

Так и в хорошем банке/платежной системе безопасностью моих денег занимается СБ, мне не нужны никакие привязки и защиты.
При этом если они у меня есть, то мне не будут говорить «сам дурак».

Платежный пароль можно увести только фишингом, т.к он не хранится в куках.
Я не думаю, что многие поведутся и введут платежный пароль, если платить не собирались.

Тем более xss это дыра в сервисе Яндекса и если оно имеет место быть, то это не проблема ТСа.

сам яндекс никто не ломал.

Я это где-то говорил что-ли?

А новый пароль ЕМНИП приходит на почту, типа «ваш платёжный пароль zlwp8oVithvvhTe4x*lh»

Ну конечно.

посмотреть текущий платёжный пароль в старой почте

Нельзя.

поменять платёжный пароль на свой

С чего ты взял, что они поменяли платежный пароль? И никто платежный пароль по почте не высылает.

В России проблемы с кардерами уже не такие большие, так что будет вполне логично когда все это говнецо сдохнет.

карманники появились вместе с карманами. и отомрут тогда, когда отомрут карманы. Тоже самое с сетевыми деньгами. И тоже с банковскими картами.