Что значит слово заскамил
Что такое «Заскамил мамонта». Фраза из трека музыканта Scally Milano стала долгоиграющим трендом
Что значит фраза «Заскамил мамонта» из трека музыканта Scally Milano, при чём тут кибермошенничество и почему это стало так модно? Фраза из песни о виртуальных аферах, вышедшей в 2020 году, до сих пор вирусится и не желает уходить из трендов. Сначала странные слова ассоциировались с историями об обманах в Сети, а затем стали универсальным ответом на что угодно.
Кто такой рэпер Scally Milano
Scally Milano, или Даниил Слонов, родился и вырос в небольшом городе на Урале, сейчас ему должно быть 18 или 19 лет. Псевдоним Scally Milano он взял себе в 2019 году, когда завёл страницу во «ВКонтакте», чтобы развивать своё творчество и делиться с подписчиками новыми треками. Какого-то особого смысла никнейм, по словам самого исполнителя, не несёт, а самим рэпом парень стал заниматься просто так.
Да, мой первый никнейм — Scally Milano. Значения вообще никакого нет, — рассказал Scally Milano в интервью музыкальному ютуб-каналу «Убираю ВРМ». — Изначально я рэп по приколу делал, никакой рекламы.
Работает музыкант в стиле скам-рэп — это в переводе на обывательский язык означает, что в своих песнях он рассказывает о кибермошенничестве и аферах, которые он якобы совершал. Так, один из самых известных примеров — история о том, как парню удалось обманом заставить американского рэпера Lil B создать фит (совместный трек). Scally Milano рассказал, что заплатил ему два доллара вместо четырёхсот с помощью фейкового перевода, и музыкант в ответ прислал готовый куплет. Однако ни на канале в ютубе, ни на странице во «ВКонтакте» трека с именем Lil B в названии не встречается.
Правда это или художественный вымысел, точно неизвестно, и для многих поклонников личность музыканта и подробности его деятельности остаются тайной. Сам рэпер говорит, что никаких доказательств его кибермошенничества нет.
Никаких доказательств вообще нет, что я этим занимался. Все следы убраны в интернете, никак ничего не докажут, — поделился исполнитель с каналом «Убираю ВРМ».
Не раз на различных тематических форумах любители рэпа спрашивали у единомышленников, знает ли кто-нибудь что-то о Scally Milano, но до сих пор вопрос остаётся без ответа.
Всем привет, думаю, многие знают челика Scally Milano (если нет, то этот челик читает рэп о том, как жёстко скамит и взламывает страницы, камеры и т. д.).
Он меня очень заинтересовал, но в интернете о нём нет никакой нормальной инфы, и я хотел бы спросить у вас, знаете ли вы что-то про него?
Реальны ли его строки о скаме, взломах и т. д.?
Как бы то ни было, именно песни о хитрых схемах по заработку и обмане обеспечили молодому исполнителю популярность.
Как Scally Milano «заскамил мамонта» и запустил тренд
Если поначалу музыкант был известен в достаточно узких кругах любителей скам-рэпа, то песня «Мамонт» принесла ему широкую известность. Впервые, судя по всему, трек был опубликован в ноябре 2020 года — именно тогда на стене в профиле во «ВКонтакте» музыкант оставил запись с так и не выполненным обещанием удалить её в течение суток.
Собираюсь удалить это через 24 часа.
В понимании людей, далёких от кибермошенничества, мамонт — это давно вымершее гигантское животное, похожее на слона, только с бивнями. А на сленге скамеров, как выяснил Medialeaks, это слово означает одну из самых популярных схем вымогательства денег: обманщики предлагают людям несуществующие товары или услуги, которые никогда не будут осуществлены, и так получают прибыль. Этот способ распространился во время пандемии в 2020 году. Также мамонтами мошенники называют своих жертв.
Получается, что в песне «Мамонт» Scally Milano рассказывает о своих удачных аферах и жертвах, которых ему удалось обмануть, — от парня по имени Роман до незнакомца с «Авито». Сейчас, по подсчётам Medialeaks, у песни на ютубе в общей сумме свыше двух миллионов прослушиваний.
Постепенно трек стал покорять различные площадки, залетать в тренды в твиттере и попадать в рекомендации в тиктоке. И всё, видимо, благодаря одной фразе: «Заскамил мамонта». Будучи вырванной из контекста, она кажется немного бессмысленной и абсурдной, что, возможно, и сделало её такой популярной, особенно среди школьников.
В течение нескольких месяцев фанаты забивали этими словами ленты в твиттере и снимали под первые строки песни ролики для тиктока. В профилях фанаты трека делились, в шутку или всерьёз, историями о том, как они якобы развели кого-то на деньги в реальности или игре. Например, техноблогер Wylsacom (настоящее имя — Валентин Петухов) рассказал, как купил себе обучающий курс, который каким-то чудесным образом завершился до того, как должен был начаться, а неизвестный пользователь твиттера прокомментировал историю, цитируя Scally Milano.
Хотя зачастую в записях речь шла о стандартных банковских переводах, в которых нет ничего незаконного.
Заскамил мамонта на банковский перевод.
Также фраза «Заскамил мамонта» встречалась в комментариях под постами в соцсетях. И происходило это настолько часто, что слова стали жить своей жизнью.
Как зумеры «скамят мамонтов» в твиттере и тиктоке
В конце концов фраза «Заскамил мамонта» стала настолько популярной, что практически отделилась от своего первоначального значения и превратилась в универсальный ответ на всё. Стоит только забить в поиске твиттера слова «заскамил мамонта», как мгновенно появится множество твитов, в которых с помощью фразы Scally Milano пользователи соцсети отвечают практически на любое сообщение и зачастую завершают таким образом диалог.
Скриншот ленты твиттера по поиску «Заскамил мамонта»
Среди школьников-тиктокеров распространился тренд снимать под трек бессюжетные ролики в чёрно-белых масках Гая Фокса (герой фильма «V значит Вендетта»). Возможно, в образе киношного мстителя ребята представляют себя крутыми и ловкими обманщиками.
Для других пользователей тиктока трек стал фоновой музыкой для видео, в которых люди проворачивают забавные и безобидные пранки. Видимо, под песню Scally Milano происходящее на экране смотрится солиднее. Например, в одном из роликов пользователь WhatsАpp просит собеседника обозвать его, а затем показывает карту «Реверсо» из игры Uno (с помощью неё игроки могут возвращать ход противнику).
Такими хитроумными «схемами» делятся и читатели твиттера.
Заскамил мамонта, а-ха-ха.
Трек, выпущенный практически год назад и едва ли чем-то сильно отличающийся от других творений в стиле скам-рэпа, каким-то образом смог зацепить слушателей и не отпускает их до сих пор. Кажется, перед нами наглядный пример того, как всего лишь одна ёмкая и яркая фраза — «Заскамил мамонта» — может сделать из обычной песни настоящий тренд.
«Заскамил мамонта» — не единственный абсурдный тренд, который полюбился российским пользователям Сети. Во «ВКонтакте» люди активно добавляют в свои беседы с друзьями бота «Сглыпу», который генерирует смешные сообщения, мемы и демотиваторы.
А указ о празднике для пап в России стал трендом в твиттере и оброс шутками о дне отца, который ушёл за хлебом.
Скам — это что такое и что значит «скамить»
Здравствуйте, уважаемые читатели блога KtoNaNovenkogo.ru. Существует огромное количество видов скама, так как Scam-случаи возможны в хайпах, инвестиционных компаниях, игровых кейсах, операциях с криптовалютами. Давно разработаны, и продолжают разрабатываться схемы, позволяющие скамить сотни людей.
Что же такое скам? Под ним понимается ситуация, в которой сторона, обязующаяся выплачивать денежные средства, внезапно прекращает это делать.
Термин многозначен, но обычно трактуется как мошенничество и употребляется по отношению к компаниям, перестающим производить выплаты и нарушающим принятые соглашения с инвесторами и партнёрами.
Как правило, скам означает одновременное уничтожение самого проекта. Если понятие относится к цифровым валютам, значит, речь идёт о ненадёжных стартапах и ICO.
А что значит «скамить»?
Под скамом мы понимаем потерю вложений в мошеннический проект.
Следовательно, термин «скамить» — значит обманывать пользователей, лишая их денег. Преступники, занимающиеся скамом — скамеры.
Напрямую скам не связан с криптовалютами, и точно так же распространён и в инвестиционных проектах с фиатными деньгами. Но все-таки активнее он стал развиваться с появлением криптовалют. Специфика блокчейна затрудняет поиск мошенников. Транзакции отслеживаются легко, но зато намного сложнее определить владельца кошелька. С банковским счётом намного проще.
Сегодня злоумышленники придумывают всё более изощрённые способы скам – афер.
В авантюрных мошеннических проектах такого типа используется простая схема. Сначала придумывается токен и токенсейл, а затем к этой схеме привлекается множество инвесторов, которым обещают быстрый крупный заработок. После того как аферисты получат от инвесторов достаточно большую сумму, они закрывают проект.
Опытные инвесторы вряд ли попадутся на такое примитивное мошенничество, а вот новичков такая афера легко оставляет без денег.
Мошеннический проект может изначально задумываться как скам, или становиться таковым уже в процессе.
Скам, что это, и как его определить «изнутри», уже вложив средства
На самом деле, признаков неблагополучия проекта довольно много, вкладчикам стоит быть внимательными.
Рассмотрим все вероятные признаки по порядку:
Можно ли ещё до инвестиций распознать, что проект изначально мошеннический
Опытные инвесторы могут это сделать довольно легко.
Каковы причины и признаки скама
В чем же причины того, что выглядевший весьма надёжно инвестиционный проект становится скамом?
Признаки скама:
Вернуть средства после скама, реально ли это
Вернуть деньги после скама и ликвидации хайп-проекта практически невозможно, как и доказать их потерю в ходе судебного разбирательства.
Инвесторы передавали средства добровольно. Теоретически возможно оформление чарджбэка, возврата денег на карту за услугу, которая не была предоставлена. Однако при этом нужно юридически грамотно доказать, что вы точно не получили обещанного, а сделать это маловероятно, и прецедентов пока не было.
Значит, поделать ничего нельзя? Юридически вернуть потерянное действительно нельзя, но можно это сделать стратегически, продолжая аккуратно работать и грамотно собирая инвестиционный портфель. Тогда убытки будут перекрыты прибылью из других объектов инвестирования.
Что значит «заскамил» / «заскамил мамонта»?
Многих людей буквально бесит молодёжный сленг, так как им непонятно практически ничего, о чём говорят некоторые молодые люди. В данной статье разберёмся, что значит слово «заскамил», и что имеется ввиду, если говорят «заскамил мамонта».
На молодёжном сленге заскамить = обмануть и обогатиться за чужой счёт. Как правило, речь идёт о мошенниках в интернете, которые, говоря простым языком, кидают людей на деньги. Способов большое множество – от взлома аккаунтов в социальных сетях и просьб срочно скинуть две-три тысячи рублей до получения доступа к средствам на банковской карте через фишинговые сайты или звонки якобы от службы безопасности банка.
На жаргоне мошенников мамонт – это жертва. В молодёжном сленге мамонтом называют человека, который не разбирается в современных технологиях, имеет устаревшее мировоззрение или не обладает критическим мышлением и «ведётся» на любой «развод». Как Вы понимаете, именно такие люди и становятся жертвами мошенников.
Получается, что заскамить мамонта = кинуть на деньги наивного или неосведомленного человека. Зачастую мамонтами являются пожилые люди, так как мало кто из них хорошо разбирается в современных технологиях и принципах работы ряда систем, например, банковских.
Например, был такой случай с пожилой соседкой… Ей на телефон позвонили мошенники под видом службы безопасности банка, и сообщили о том, что кто-то пытается снять деньги с её карты. Мошенники запросили номер карты, дату окончания её действия и код безопасности с обратной стороны карты. Также её предупредили о том, что скоро придёт 6-значный код, который необходимо им сообщить. Как Вы понимаете, в результате соседка лишилась нескольких тысяч рублей, лежавших на её карте. Что тут сказать, заскамили мамонта…
Стоит отметить, что далеко не всегда жертвами мошенников становятся пожилые люди. Безграмотность населения в мире технологий и информационной безопасности до сих пор находится на очень высоком уровне. Поэтому, если Вам кажется, что происходит нечто подозрительное, то не спешите с решениями и действиями – лучше обратиться к сведущему родственнику, другу или знакомому.
Один из самых распространённых примеров это «Письмо от Нигерийского принца» которые были распространены несколько лет назад.
В последние годы количество тенденция «видоизменённых» рассылок растет. Яркий пример видоизменённого скамминга описывался в статье Северокорейская хакерская группа атаковала оборонную промышленность Израиля
Исследователи по кибер безопасности поясняют, что данная тенденция свидетельствует о том, что злоумышленникам стало проще создавать более адресные письма, что статистически повышает успешность мошенничества.
По мнению эксперта Питера Спаркса (Peter Sparkes), это напрямую связано с тем, что на черных рынках наблюдается наводнение различными базами с персональной информацией пользователей. Идентифицирующая информация становится все более доступной для злоумышленников в силу участившихся случаев утечки конфиденциальных данных, а также увеличения объемов таких утечек.
В момент пандемии 2020 года, когда на » удаленку » перешло больше половины всех занятых. Скамминг снова дал о себе знать. Вот несколько схем распространённых на карантине:
Активизировались мнимые кадровые интернет-агентства, которые предлагали трудоустройство на удаленке. Доверчивому соискателю надо заполнить анкету с личными данными. Затем приходит письмо, что он принят на работу и нужно срочно перевести деньги за некое оборудование.
Злоумышленники публикуют в интернете видеоролики с предложением возврата налога на добавленную стоимость всем россиянам, оставшимся без дохода. В этой схеме клиенты переходят по мошеннической ссылке из описания к видеоролику и самостоятельно совершают расходные операции, что ведет к потере денег.
Мошенники размещают объявление о продаже товара по заниженной цене на Avito и «Юле». Когда покупатель связывается с продавцом, тот сообщает, что находится в другом городе и предлагает ему заплатить за доставку. Если покупатель соглашается, то злоумышленники направляют ему фишинговую ссылку для оформления заказа, которая выглядит точно также как и легитимный сервис.
Ещё один способ «развода» — это sms-сообщения о начислении социальной помощи за «нерабочие дни» и «Карантин». В ответ мошенники просят для регистрации «социальной помощи» оплатить гос. пошлину с любой карты банка.
Как итог будьте внимательны.
Информационная безопасность
1.3K постов 22.8K подписчиков
Правила сообщества
Обязательно к прочтению для авторов:
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.
Один из самых распространённых примеров это «Письмо от Нигерийского принца» которые были распространены несколько лет назад.
«scamming». от слова «scam»
А мне понравилось как на сайте автора в разделе «Карта Решения ИБ» ссылки на Касперского, ПТ и прочий МакАфи ведут на сам же сайт автора. Что автор этим хотел показать? %)
В момент пандемии 2020 года, когда на » удаленку » перешло больше половины всех занятых. Скамминг снова дал о себе знать.
А разводы в интернете куда-то уходили я не понял? Все эти тонны постов о разводе на авито/инстаграмме и пр. типа забыли или как?
Блин, этот пост просто кладезь бесполезности!
Этр ж сколько дебилов в мире верит в такую хуету.
Пиздец, я расстроен тупизной людей
Хороший добротный пост. Таких должно быть больше. Любого, кто тебе любезно пишет: «Здравствуйте. » надо сразу слать лесом. Возможно, размещая такие посты на различных социальных площадках, можно спасти какую-то часть населения, но не всех, ведь всегда есть тупые, которые подают милостыню на улице или ведутся на «письма принцев» в интернете.
Электронная подпись: как обходиться без бумаги и при этом не отдать все свои активы мошенникам?
Электронная подпись появилась в России еще в прошлом веке, когда компьютеры были большими, а интернет был по диал-апу. С тех пор применение усиленной электронной подписи (ЭП) расширяется. Её регистрируют как крупные организации, так и совсем небольшие ИП.
После начала пандемии коронавируса случился настоящий бум получений ЭП, ведь иначе бизнес бы встал. В результате за 2020 год было выдано почти вдвое больше сертификатов ЭП, чем в 2019-м. Разберемся, что такое ЭП, почему она так привлекательна для мошенников и как защитить ее от злоумышленников.
ЧТО ТАКОЕ ЭЛЕКТРОННАЯ ПОДПИСЬ?
В этом материале мы говорим об усиленной электронной подписи – идентификаторе человека при дистанционном обмене информацией, имеющем юридическую силу.
Бывает еще простая электронная подпись, подтверждающая, что документ отправил конкретный пользователь. Ее можно сделать с помощью обычных офисных программ, но уровень ее защищенности таков, что всерьез ее воспринимать сложно. Однако простые подписи используются широко. Например, ими незаметно для клиента заверяются все операции по банковским картам. Простая подпись может быть доказательством в арбитражном суде.
Чтобы ввести электронный документооборот, требовался инструмент, одновременно достаточно защищенный, чтобы ему можно было доверять, и достаточно простой, чтобы им мог пользоваться обычный пользователь ПК. Так появилась усиленная электронная подпись.
Усиленная ЭП – это реквизит документа, подтверждающий его авторство и отсутствие изменений в данных с момента подписания. Она защищена криптографическими методами, и взломать ее практически невозможно.
Чтобы подписать документ, нужна пара из секретного и открытого ключа.
Когда человек ставит электронную подпись, алгоритм считает контрольную сумму данных и зашифровывает получившееся значение секретным ключом.
Получатель документа с помощью парного открытого ключа узнаёт, кем именно был подписан документ и проверяет совпадение контрольной суммы. Если после подписи в документе хотя бы переставят запятую или удалят пробел, она будет уже другой. Значит, подпись недействительна.
Из всех ЭП юридической силой собственноручной подписи обладает только усиленная квалифицированная. Чтобы получить ее, нужно, чтобы соответствующий открытый ключ был подписан секретным ключом УЦ.Открытый ключ с метаданными владельца и подписью УЦ и называется сертификатом электронной подписи.
Неквалифицированная подпись используется в основном в деловой среде. Ее может выдать любой удостоверяющий центр (УЦ), в том числе и внутренний УЦ предприятия. Сообщение с неквалифицированной электронной подписью может (по предварительной договоренности сторон и в специально предусмотренных законом случаях) быть приравнено к бумажному документу, подписанному собственноручно.
Квалифицированная подпись по закону считается официальным документом. Она позволяет удаленно работать с налоговой инспекцией, присылать документы в суд – делать все то же, для чего нужна собственноручная подпись. Она подтверждается сертификатом от аккредитованного удостоверяющего центра.
С помощью сотрудников Музея криптографии, который скоро откроется в Москве, мы смогли составить хронологию использования ЭП в России.
1994 – в России принят первый стандарт электронной подписи – ГОСТ Р 34.10-94 (сейчас действуют национальный стандарт ГОСТ Р 34.10-2012 и межгосударственный ГОСТ 34.10-2018)
2002 – вступил в силу первый закон, призванный регулировать использование ЭП – 1-ФЗ «Об электронной цифровой подписи». Он содержал слишком серьезные требования к ЭП и сильно ограничивал возможности по применению электронных документов.
2011 – вышел закон 63-ФЗ «Об электронной подписи», значительно облегчающий ее применение. Это создало основу для перехода к безбумажному документообороту.
2018 – ЭП стала использоваться на портале «Госуслуги»
2019 – появление облачной подписи, которую можно оформить удаленно.
2020 – ключи ЭП можно получать через МФЦ.
2020 – ЭП активно используется в банках для защиты переводов.
Электронная подпись стала по-настоящему доступна. Но так ли это хорошо?
Секретный ключ чужой электронной подписи для мошенников поистине золотой. Имея его, для всего цифрового мира злоумышленник может оставить её настоящего владельца без банковского депозита, бизнеса и единственного жилья.
Самые распространенные преступления с использованием ЭП:
— вывод средств со счетов компании;
— заключение договора дарения или купли-продажи на собственность человека или компании, включая недвижимость и дорогую технику;
— различные манипуляции с организацией: смена руководителя компании, главбуха, других ключевых сотрудников, ограничение доступа организации к госзакупкам и даже ликвидация компании.
Чтобы осознать полный спектр возможностей мошенников, представьте, что вы решили очень сильно навредить собственному материальному положению. Что вы можете для этого сделать? Мошенник с вашим секретным ключом может сделать все то же самое.
Открытый ключ на то и открытый, что давать его можно всем, кому требуется подтвердить вашу электронную подпись. Им можно:
— зашифровать что-то так, что расшифровать сможет только владелец парного секретного ключа;
— проверить подпись, созданную с использованием парного секретного ключа.
Имея доступ к открытому ключу, получить секретный невозможно. Поэтому его можно безопасно предоставлять всем, кому нужно прочитать ваши документы.
УДОСТОВЕРЯЮЩИЙ ЦЕНТР: ЗАЧЕМ ОН НУЖЕН?
На всех сайтах удостоверяющих центров говорится: чтобы получить электронную подпись, нужно получить в УЦ ключевую пару и сертификат. Создается впечатление, что ключевую пару могут сделать только там. Но это а) не так, б) нарушает главное правило работы с ЭП: секретный ключ не должен оказываться в чужих руках. Тем более – в непонятно чьих.
Удостоверяющие центры – это частные организации (порой ИП или вообще частные лица), которые не в полной мере контролируются государством. До 2020 года существовали сотни УЦ, среди которых встречались созданные с мошенническими целями – как раз для кражи секретных ключей. Теперь требования к ним значительно ужесточили, и многие недобросовестные игроки с этого рынка отсеялись. Но все ли? Вряд ли вам хочется проверить это ценой собственной квартиры или бизнеса.
Поэтому если УЦ не аккредитован в Минкомсвязи, с ним можно иметь дело только если:
— это собственный УЦ вашего предприятия;
— он сертифицирует подписи для участия в конкретных мероприятиях (например, в торгах, и тогда УЦ должен иметь аккредитацию не менее чем шести торговых площадок).
Смысл создания аккредитованных УЦ – в дополнительной защите подписи путем сертификации. Сертификат УЦ говорит о том, что его сотрудники удостоверились в том, что конкретный гражданин пришел к ним с паспортом и заявил, что принесенная им ключевая пара принадлежит ему. Для такой идентификации достаточно предоставить в УЦ открытый ключ. Но явиться лично и с паспортом придется. Дистанционные способы подтверждения личности в таком важном деле, как получение сертификата, могут применяться только в исключительных случаях. Если УЦ предлагает такие варианты просто по желанию клиента, возможно, организация настолько же непринципиальна и в других вопросах информационной безопасности.
Кроме выдачи сертификата электронной подписи, УЦ по заявлению владельца может приостановить действие сертификата или отозвать его, и тогда ЭП потеряет силу. Об этом пользователю, имеющему парный открытый ключ, сообщит программа, проверяющая подпись. В сообщении будет сказано: «Подпись верна, сертификат недействителен». Но между тем, как секретный ключ станет кому-либо известен, до тех пор, пока УЦ поместит сертификат открытого ключа в список отозванных, пройдет какое-то время. За этот промежуток злоумышленник вполне может провести операции, которые будут считаться легитимными.
КЕЙС: КАК СДЕЛАТЬ СЕБЕ ЭП
Верный способ защитить секретный ключ от утечек на начальном этапе – сделать на предприятии собственный УЦ. Он не будет аккредитованным, зато вы точно будете знать, кто имеет доступ к настолько важным данным. Приведем кейс от дружественной компании, которая не поленилась немного поработать, и теперь ее руководство спит спокойно. Ну, почти спокойно: инсайдерское в+оздействие (то есть, злой умысел сотрудника) никто не отменял, но это уже другая задача.
Для создания ключевой пары и последующей работы с цифровой подписью мы использовали отдельный компьютер с заведомо «чистой» системой. Мы протестировали несколько систем, и остановились на российском Alt Linux. Для добавления поддержки шифрования и цифровой подписи по ГОСТ в ней оказалось достаточно установить пакет openssl-gost-engine и добавить в начало конфигурационного файла несколько строчек:
В других системах на основе GNU/Linux все тоже заработало, но усилий приложить потребовалось чуть больше. Нам удалось настроить софт для создания ключевой пары под Windows и MacOS, но в этих случаях гораздо острее встает проблема вредоносного ПО, нацеленного на кражу секретного ключа.
После создания ключевых пар мы обратились в аккредитованный УЦ и зарегистрировали их по установленной законом процедуре. Мы предъявили в УЦ открытые ключи и необходимые документы как для физических лиц, так и для организации. Этот этап оказался самым сложным: сотрудники УЦ не сразу поняли, что нам не нужна медвежья услуга по созданию ключевой пары, а достаточно просто подписать уже существующий открытый ключ.
Мы ссылались на ФЗ-63 «Об электронной подписи». В ст. 2 этого закона и во многих других статьях сказано, что сертификат электронной подписи, в том числе квалифицированной, выдает УЦ. Но нет ни слова о том, что УЦ выдает ключевую пару. Сотрудники сначала аргументировали отказ в выдаче сертификата доводами вроде «Ну мы всегда так делали». Но затем они, вероятно, все же почитали закон и посоветовались с юристами. В результате наше законное требование было выполнено, мы успешно избежали навязанной и небезопасной услуги.
С 1 января 2022 года вступят в силу изменения к ФЗ-63, но принципиально поменяется только выбор УЦ, в которых могут получить сертификат руководители предприятий, индивидуальные предприниматели и нотариусы. Список компаний, которые смогут выдать сертификат в таких случаях, будет ограничен УЦ ФНС и организаций, которые налоговая служба сочтет доверенными. Получать ключевую пару именно в них закон по-прежнему не требует.
Как хранить секретный ключ
Ключевую пару можно хранить в специализированном устройстве. Для этого обычно используют рутокен или е-токен. УЦ выдает секретные ключи именно на этих устройствах, но их вполне можно приобрести самостоятельно.
Внешне токен похож на обычную USB-флешку, но внутри содержит не накопитель, а криптопроцессор – устройство, хранящее секретные ключи и осуществляющее внутри себя все необходимые криптопреобразования. Поместить секретные ключи в эти устройства можно, но извлечь их оттуда уже не получится, что обеспечивает дополнительный уровень защиты.
Две главных опасности для секретного ключа – это вредоносное ПО и действия пользователя. Надеяться только на антивирусные программы недостаточно. Важно соблюдать правила:
— не оставлять токен подключенным к компьютеру дольше необходимого;
— не оставлять устройство без присмотра (его нужно всегда иметь при себе или хранить в сейфе);
— ни в коем случае не помещать секретный ключ в облачное хранилище и вообще не использовать для его хранения Интернет.
ЭП: ТЕХНИКА БЕЗОПАСНОСТИ
1. Изучите компьютерную грамотность сами и обучите ей сотрудников или родственников! Антивирусы – это хорошо, но лучшая защита пользователя от кибермошенничества – его собственная голова. Люди, которые могут хотя бы подойти к вашему компьютеру, должны знать, что такое фишинг, как отличить настоящий сайт от подделки и почему нельзя открывать все ссылки подряд.
2. Поддерживайте антивирусную защиту актуальной! Самый распространенный способ «украсть ЭП» (а точнее секретный ключ) на сегодня – зловредные программы, которыми преступники заражают компьютеры.
3. Не используйте токен на компьютере, в защищенности которого вы не уверены.
4. Ключевую пару можно и нужно создать самостоятельно.
5. Не пользуйтесь услугами неаккредитованных удостоверяющих центров, если это не ваш собственный УЦ.
6. Секретный ключ, в том числе содержащий его токен, нельзя передавать никому. Даже родным и близким. Сотрудникам, которые имеют право подписывать документы, сделайте их личные ключи.
7. Паспортные данные и тем более сканы документа должны храниться максимально надежно. Нельзя размещать их в Интернете, даже в якобы безопасных хранилищах. Если при получении какой-либо услуги вместо паспорта допустимо предъявить другой документ, так и поступите. Иначе есть риск обзавестись неучтенной цифровой подписью.
8. Установите пароли на токен и компьютер. Пароль должен иметь достаточную длину и содержать как буквы в разных регистрах, так и цифры со спецсимволами. Еще лучше использовать ключевую фразу (passphrase): это набор слов, разделенных цифрами или спецсимволами. Например, 1k*СпОc0бОв/=\zaS4itit`+token|_|. Его придется выучить наизусть. Записанный на бумажке, даже самый сложный пароль теряет смысл. Достаточно один раз забыть такой листок на столе – и в лучшем случае просто придется заказывать новую подпись.
9. Не храните незащищенный секретный ключ на жестком диске компьютера.
10. Если вы – руководитель, и у ваших подчиненных есть ЭП, дающая право подписывать документы от имени предприятия, при увольнении сотрудника отзывайте его подпись даже раньше, чем он получит расчет.
Ответ на пост «Надежный пароль и пара советов по информационной безопасности»
Поэтому не стоит скачивать что либо с не проверенных источников!
Существует целый ряд форумов где можно купить любого рода вирусные программы, причем не в деркнете, для того что бы его найти достаточно погуглить 10 минут.
Вот к примеру можно купить загрузку своего файла на 10 000 ПК всего за 850$
А вот за 150$ можно купить свой стилер
Итого за 1000$ злоумышленник может получить доступ до приватной информации на 10 000 ПК!
Резюмируя, не стоит ничего скачивать с не проверенных сайтов.
P.S. Чукча не писатель
Как потерять профиль на Авито
Был у меня на Авито профиль, пользовался им несколько лет, много чего своего продал, не мало купил за эти годы. Но вчера мой профиль был заблокирован по причине обнаружения признаков взлома. Написал в поддержку, на что сегодня был получен ответ:
При этом никогда ничего запрещённого я не продавал, никого не обманывал, вся история переписок и объявлений сохранены в моем профиле. Отправляю этот текст в ответном письме, на что мне ответили следующее:
У меня вопрос к службе «безопасности» Авито:
даже тут на Пикабу регулярно появляются посты о том, как людей обманывают с помощью вашей площадки, в том числе с помощью сервиса «Авито-доставка», но несмотря на это на сегодняшний день эта самая информационная безопасность попросту отсутствует, людей продолжают обманывать. Речь конкретно о наличии технической возможности совершения недобросовестных действий с помощью вашего сервиса. Почему у честных и порядочных пользователей, владеющих профилем несколько лет, вы можете просто отнять его, потому что по результатам ваших секретных «методов проверки» там было обнаружено что-то подозрительное, а мошенники продолжают «угонять» чужие профили с многолетним стажем, для совершения своих обманных схем? Может уже пора уязвимости закрывать и жуликов блокировать, а не нормальных пользователей?
Ответ на пост «Сбербанк опять протерял данные клиентов»
Вы будете все удивлены, но подобные «утечки» на самом деле ими не являются. Не уверен, конечно, по поводу именно вашего случая, но тем не менее.
Сбербанк опять протерял данные клиентов
Сейчас звонили с 4951525517 и 4952077457 и выдали мне мои персональные данные которые есть только на домклик (domclick). Одновременно с этим пришла смс с 900 о восстановлении доступа с домклик. Опять походу ИБ прошляпило слив данных.
Очередные мошенники с Авито. yandex-wallet.ru
4) Смотрю ssl сертификат сайта. Сравните
С сертификатом основного сайта яндекса
Для просмотра сертификата нажмите на значок замочка в адресной строке браузера.
5) К сожалению, страница оплаты уже была недоступна. И самое интересное я посмотреть не смог. Предположу, что мошенник, поняв, что от меня ничего не добиться, сделал эту ссылку неактивной. В тор браузере сайт вообще не открылся, что тоже характерно.
6) В принципе, уже давно всё стало понятно. Но я решил спросить у поисковиков про сервера доменных имён этого сайта (см. п.3). И вижу что-то до боли знакомое
Вера в честность людей чуть меня не подвела. Вне всякого сомнения, это были мошенники. Ну и переписка на память.
Поисковики хорошо работают с сайтом пикабу. Так что скоро в них по запросу «мошенники yandex-wallet.ru » будет показываться этот пост вместо пустотой выдачи.
Рекомендую пока не пользоваться Авито Доставкой, т.к. можете не получить деньги за отправленный товар
Это актуально для ВСЕХ, кто продаёт через АвитоДоставка. И не важно какой сложности стоят пароли и т.д., т.к. мошенники используют лазейку в самом Авито и вывод денег происходит через сотрудников Авито, минуя самого продавца.
Мне не повезло с тем, что я воспользовался АвитоДоставкой когда о дыре в своей системе безопасности они давно знали, но шумиха в новостях ещё не поднялась и ничего по устранению не было сделано. После публикации моего поста на Пикабу, они подождали несколько дней. Поняли, что в новости это не попадёт (новостным порталам повтор, тем более с меньшей суммой стал не интересен) и дали стандартную отписку, чтобы я почаще пароль менял и всё.
Этот пост создан с целью, чтобы как можно больше пользователей Авито узнали о проблеме с АвитоДоставкой и не попали на деньги. Узнай я об этом до отправки заказа, то не стал бы пользоваться и не попал бы. Сейчас я уже на всех своих объявлениях отключил АвитоДоставку и остальным пока не рекомендую пользоваться.
А теперь распишу всё по порядку.
8 февраля в 11:52 у меня оформили заказ через АвитоДоставку. До этого я несколько раз отправлял ей, принцип работы знал. Это сейчас я понимаю, что мне тогда просто везло.
На следующий день, 9 февраля я передал упакованный заказ в пункт БоксБерри. После передачи получил вот такую накладную:
В принципе обычная накладная. Только небольшое замечание: теперь в дополнение к Авито ещё и любой сотрудник БоксБерри, имеющий доступ к базе, может посмотреть мой номер телефона и сумму, которую я должен получить после доставки (выделено красным).
А вот тут начинается самое интересно. Я тоже сначала не мог понять как вошли в мой профиль и вывели деньги. Помог разобраться пост об украденных 119 тыс. (там всё подробно описано).
10 февраля, в день когда покупатель должен был получить посылку, а я деньги за неё, с номера телефона с поддельным ID, который повторяет цифры в номере телефона в накладной и профиле совершается звонок в службу поддержки Авито. Оператор Авито, думая что звонит владелец аккаунта и не запрашивая дополнительных подтверждающих данных, меняет почту в профиле. Почему так просто? Зачем продавцу нужно менять почту, которая у меня с момента регистрации на Авито, т.е. с мая 2011 года (почти 10 лет!) и именно в день получения денег за заказ, не понятно. При этом на старую почту никаких уведомлений не приходит! Авито, по-моему гениально! Почему нельзя сделать отправку уведомления на почту, которую отвязывают и предупредить об этом? Было бы это уведомление, то возможно всё получилось бы по другому.
В тех.поддержке мне написали, что уведомление приходит только на новую почту (логика? нет, не слышали).
В качестве доказательства, что этот звонок был совершён не мной или может с использованием вредоносного ПО или клона сим-карты прикладываю выписку оператора связи за этот период времени.
Хорошо, что я ещё догадался сделать фото экрана с этим обращением. Правда меня тогда смутило только время: что это за обращение в 4 часа ночи для настройки профиля. И если бы не пост об украденных 119 тыс., то я бы так и не придал значения этому обращению.
Далее мошенники делают сброс пароля с использованием новой почты и получают полный доступ к профилю. Всё! И пользователь никак не может повлиять или защититься от этого. Будь у тебя хоть супер-пупер сложный пароль, вот так с помощью звонка в тех.поддержку Авито можно поменять почту, а затем сбросить любой пароль и поставить свой.
Скрин экрана с фиксацией входа по новой почте:
Ну вот и всё. Теперь мошенникам остаётся только дождаться сообщения об удачной продаже и вывести деньги. Правда в отличие от поста про 119 тыс. тут они немного поторопились, думая что заказ заберут утром.
Я утром тоже решил проверить состояние заказа и попытался войти на сайт. Естественно это у меня не получилось. Начинаю вспоминать истории, когда после отправки заказа профиль специально блокировали, чтобы покупатель смог получить товар, а потом и деньги вернуть, т.к. продавец при блокировке не может вывести деньги. Кто же знал, что тут другая схема.
Во второй раз доступ к профилю у меня сохраняется ровно до того момента, как покупатель не забрал посылку (почта в профиле же остаётся левая). Только в этот раз, чтобы я им опять не помешал мой номер телефона меняется на 8-963-3830359. И опять никаких смс или других уведомлений не пришло.
В 14:26 Авито уведомляет, что покупатель забрал заказ и кидает в чат мошенникам, которым сам же, единолично предоставил доступ к профилю, ссылку на вывод денег.
В 14:51 мошенники забирают деньги и Авито их поздравляет. Отлично!
И тут просто море вопросов:
1. Почему Авито так легко, без какой-либо проверки меняет почту и при этом никаких уведомлений не присылает?
2. Почему также легко можно поменять номер телефона в профиле. Где сообщения на старый номер, что его пытаются сменить?
3. Почему производится вывод денег в день, когда был зафиксирован факт взлома аккаунта, изменена почта, а потом ещё и номер телефона, а сам продавец просил не выводить ему деньги?
Посмотрим, будет ли на этот пост ответная реакция от Авито. Пока пишут меняйте почаще пароли и «Мы не участвуем в мошеннических схемах и технически не можем в них участвовать, как и давать доступы к профилю третьим лицам».