skud-pro
Пользователи-
Публикаций
13 -
Зарегистрирован
-
Посещение
Репутация
0 NeutralИнформация о skud-pro
-
Звание
Пользователь
Посетители профиля
Блок последних пользователей отключён и не показывается другим пользователям.
-
бесплатный впн меня всегда напрягал, это по сути бесплатный mitm для неhttps трафика. С другой стороны, платный то же самое только за деньги vpnbook не пробовал? В свое время очень мне помог, когда под рукой вообще ничего не было.
-
Для начала можно и тут пофлудить. Не думаю что бы общая инфа про абс была абсолютно секретной или каким то образом зашкварила рассказчика. А жабой я не пользуюсь, как то неудобно и не особо секурно.. Что бы ты первым делом сделал когда получил бы доступ к банковской сети и эскалировал свои права до админа?
-
and_wm (10 September 2016 - 03:48) писал: Да по факту ты можешь откатить проводки, но провести без ключа, а он может идти в виде таблетки уже никак. Ты хочешь сказать что составы в ЦБ отправляются вручную? no way. Где то может быть и может быть даже где то есть людю и роботы проверяющие на лютый фрод при отправке в ЦБ, но далеко не везде. and_wm (10 September 2016 - 03:48) писал: Свернутый баланс по завершению банковского дня, уже никак внутри не поменяешь. Вернее можно, но это куча переписки с контролирующей организацией. Отчеты уходят на ЦБ (в каждой стране он называется по разному) при не совпадении данных по ушедшим и принятым файлам, и подкорректированным тобой в БД по прошествии, сразу подымается буча. Со всеми вытекающими. Зачем менять баланс? Транзакция то на перевод денег, баланс сам сменится. Одна из десятков тысяч транзакций. and_wm (10 September 2016 - 03:48) писал: Так что для начала определись что ты хочешь учудить. Слышал про то что с конца прошлого года по первые месяцы этого с банков рф слили несколько миллиардов? Вот я планирую поизучать вопрос работы с абс. Есть конкретные примеры систем, документация, особенности?
-
Ragnarok (10 September 2016 - 00:21) писал: предложи админу свои услуги, раз ты в этом деле мастер. оффтопишь, Ragnarok)) И кто сказал что я мастер? Я скорее параноик, а уж где где, а тут ssl нужен. Другой вопрос почему его нет. Вот если кто знает, было бы интересно услышать варианты.
-
and_wm (09 September 2016 - 05:09) писал: Открою тебе тайну великую. Даже если ты шаришься в сети банка то у тебя доступа к ЕРЦ нет, от слова совсем. Вы перечитали pci dss и стоБР. В жизни все иначе Мы же не о ТОП10 банков говорим. and_wm (09 September 2016 - 05:09) писал: Ну это только если ты физически не подключен к серверу. Есть админские подсети, есть сервера с двумя сетевухами, есть доступ ентерпрайз админа, с ним выудить админский доступ к ядру сети ничего не стоит, хоть в Инет его шарь. and_wm (09 September 2016 - 05:09) писал: У свифта вообще отдельный терминал, с отдельной линией. И так по многим банковским системам. про свифт да, не знаю, возможно что то типа отдельное, но в общей инфраструктуре. and_wm (09 September 2016 - 05:09) писал: Если ты еще что сможешь с счета на счет перекинуть это только через КБ, отдельный, возможно в системе одного банка и то до первой выписки по счету. Это вообще непонятно на чем основано. Причем тут КБ когда речь об АБС? Вобщем мне интересно пообщаться с тем у кого опыт а не умение читать pci dss.
-
cotto (09 September 2016 - 02:12) писал: Видимо не считают нужным наверно делать шифрование,может дорого , но хотя бы от ддос точно нужно защиту поставить я думаю. Прикрутить ssl копейки стоит.. Если не охота платить за официальный валидный серт, то можно самоподписанный юзать. Можно даже свой собственный УЦ поднять, от его имени выдать ссльный серт, и ключики до кучи, использовать как криптуху в сделках и т.д., в арбитражах при утере аккаунтов, да много для чего. Целую инфраструктуру pki можно поднять. И то и то денег в общем то не стоит. А вот на счет того почему не считают нужным хз. Это ведь реально нужно. Кто-то ведь с обычного домашнего инета сюда заходит
-
лол, не, я понимаю что кардинг и обнесение Банка это разные суммы. Однако вы разве не слышали о том что сейчас это так скажем тренд, даже ДБО уже не так интересно как слить весь Банк? Причем тренд уже такого уровня что ЦБ будет делать (уже проектирует) у себя антифрод. Вдумайтесь. ЦБ делает у себя антифрод. Для транзакций между ЦБ и банками. Не на пустом месте, были преценденты. Получить доступ к сети Банка и эскалировать свои привелегии в инфраструктуре сейчас не просто реально а очень реально. Золотой век ведь идет, непуганных админов и тупых безопасников, про бизнес юзеров я вообще молчу Вот я и спрашиваю, кто-нибудь умеет работать с АБСкой?
-
Если речь не о продаже а именно о вариантах монетизации своими силами.. варинты примерно такие 1. Слив всех данных, возможно будет что то по картону. 2. Внедрение кейлоггера на странице оплаты, собираем картон (если технически реализуемо). 3. xss с дальнейшим эксплуатированием известных уязвимостей. 4. xss в момент очередной zero-day уязвимости. 5. Отроянивание всех документов, если там есть, например pdf. Дальнейшая охота, скажем, на ДБО, бухи ведь такие ресурсы посещают. 6. Анализ клиентской базы с последующими персональными предложениями через фейки или через свои доп страницы этого же ресурса (админка жи есть))) 7. Перевод онлайн платежей на свой счет, опять же, если технически реализуемо. 8. Глубокий анализ клиентской базы на предмет интересных личностей с дальнейшей раскруткой. Но на все это нужно время, скиллы, и собственно желание
-
Кто-нибудь умеет работать с банковскими АБС? Например если есть доступ в сеть Банка, и в сети есть права ентерпрайз админа, дальнейший шаг - слив всего Банка на свой счет, но тут желателен опыт или что-то типа того. АБСка по сути просто БД с транзакциями, верно? Пару раз в день ходят составы в ЦБ, как ходит тот же swift я хз, в составе ЦБ или в своем какой-то собвтенном? Вобщем нужна инфа по теме, мб есть у кого опыт и знания.
-
Коллеги, может вопрос покажется странным, возможно раньше уже где-то обсуждалось, но.. почему коннект к этому ресурсу ничем не защищается? Самый простой mitm и привет, компрометация и аккаунтов и гаранта и админки, ну ты понел. Сюда же мусорская прослушка трафика куском сорма. А на 443м висит серт dataflow, защита от ддос)) Если есть какие то очевидные причины не шифровать трафик, с радостью послушал бы.
-
Под 3% от суммы на счете ЛС
-
freddy777 (05 September 2016 - 17:04) писал: exploit.im Ну ок, джабер, это ж не форум, не площадка, как например joker.buzz.
-
Одно из структурных преприятий со своей мини филиальной сетью. Хожу прямо внутрь сети. В сетке есть сервера (в том числе и сайт), хранилища, терминалки, базы, пользовательские компы и даже один fw Вот подскажите, где этот аксес продать можно? Кроме ccc, других адекватных формуов не знаю. Либо в какую тему здесь закинуть можно?