В общем дела такие. Обратился клиент (физик): его милиционеры начали мучить: выемкой забрали с домашнего адреса системник, пригласили пообщаться (сам он чем приедет в рашу только через несколько дней). Я пообщался со следователем предварительно, он сообщил что:
1) Банк давал ответ что платежка
пришла с определенного ай-пи
2) данный ай-пи принадлежит конкретному Провайдеру
3) Провайдер сказал, что ай-пи закреплен за конкретным адресом в Екате.
4) По данному адресу располагается мой клиент (живет)
5) Милиция пришла на этот адрес
Я асболютно хорошо знаю
как человека (он инженер-техник, работает с немецкой техникой, часто ездит по стране, неплохо зарабатывает), тырить бабло не его профиль...
Я прошу помочь с постановкой вопросов в технической части для установления реального мошенника и исключения вины человека...
Мои мысли
такие:
1) Реальный злодей мог зацепиться к машине чувака по вай-фай.
2) Злодей мог удаленно использовать комп человека через инет
3) Злодей мог пользоваться дубликатом ай-пи адреса (?)
4) помимо ай-пи можно наверно посмотреть какие мак-адреса сетевого оборудования
фиксировал провайдер, банк, в случае ?3 несовпадение мак адресов доказывает именно такую версию....
5) реально все сеансы доступа прочитать с системника и сколько для этого надо времени спецам ? В случае удаленного использования это конечно не будет оправдывающим обстоятельством, но
тогда должны быть следы удаленного использования ?
В общем, помочь человеку надо, а сфера такая, что без спеца не разобраться, просто пассивно ждать как то не интересно, я слишком знаком со статистикой ошибок следствия, которые потом приводят к обвинительным приговорам.
Цитата: От пользователя: GoodJobMaster (на блок-посту!)
Я асболютно хорошо знаю как человека (он инженер-техник, работает с немецкой техникой, часто ездит по стране, неплохо зарабатывает), тырить бабло не его профиль...
Только уточните сначала у этого человека историю - потом окажется, что
какая-нибудь племянница обратилась за помощью по снятию денег для своего друга, который по каким-то причинам не может/хочет этого сделать сам.
неа... Такие глупости исключены...
Провадер у них - Планета... Т.е. даже привязки к мак адресу может не быть...
Можно с щитка инет взять через свитч на другой девай....
Цитата: От пользователя: GoodJobMaster (на блок-посту!)
1) Реальный злодей мог зацепиться к машине чувака по вай-фай.
2) Злодей мог удаленно использовать комп человека через инет
3) Злодей мог пользоваться дубликатом ай-пи адреса (?)
ИМХО, эти вопросы лучше задавать специалистам
по информационной безопасности, работающим у провайдеров или обратится в специализированную контору, типа УЦСБ
а во время отправки через ИБ несанкционированной платежки у него комп был включен? был подключен к Инету?
з.ы. это вполне конкретное время с точными минутами-секундами.
Цитата: От пользователя: GoodJobMaster (на блок-посту!)
а логи виндуса позволяют сеансы, факты включения - выключения системы определять ?
да, конечно. Программы -> Администрирование -> Просмотр событий
Эксплоревские логи. хотя если был троян, тут могут быть неправильные логи
или просто нет, того что было
программист или системный администратор? это разные специальности
спортивный интерес? в о пользователе указан мой возраст, реальный. Наверное, к этому времени я в состоянии понять как называется моя должность, и чем я вообще по жизни
занимаюсь ;-)
1) Компьютер подключен к интернету через wifi посредством роутера? Роутер тоже забрали или оставили? Проверить роутер на наличие логов, и сохранить, ловит ли wifi за пределами квартиры - соседи, улица или лестничная площадка. wifi запоролен или открыт?
2) Установлены ли на компьютере
какие-либо программы безопасности - файрволлы, антивирусы и т.п.?
3) Запросить логи у провайдера
4) mac -адрес можно подделать
5) Банк чисто местный или федеральный, что за система у них - своя или покупная? Федеральный или покупная система - больше шансов что делалось всё
удалённо, что-то типа троянов, если что-то местное - становится более вероятен wifi или какая-то социальная инженерия :-)
нет. антивирус скорее всего полуживой. завтра все узнаю точно.
Цитата: От пользователя: Appl
Запросить логи у провайдера
принято. сроки хранения какие то есть. инцидент случился в сентябре.
Цитата: От пользователя: Appl
mac -адрес можно подделать
ок. я предполагал !
Цитата: От пользователя: Appl
Банк чисто местный или федеральный
завтра узнаю у следователя
зы. созвонился с УЦСБ. в понедельник передадут наш случай спецу, пока не буду озвучивать кому, вероятно получится проконсультироваться и пообщаться на предмет
их участия, если оно будет кстати.
Цитата: От пользователя: Appl
социальная инженерия
в смысле подстава как бы не подстава ? двуликий янус ? :-)
Цитата: От пользователя: GoodJobMaster (на блок-посту!)
2) Злодей мог удаленно использовать комп человека через инет
троян. системник изъяли, проанализируют и мы узнаем, что через его комп ходили в инет.
Цитата: От пользователя: GoodJobMaster (на блок-посту!)
3) Злодей мог пользоваться
дубликатом ай-пи адреса (?)
не знаю как у планеты, а у кабинета инетом можно пользоваться в любом месте сегмента сети, воткнул вай-фай с авторизатором в соседнем доме и качаешь :-D Главное добыть логин/пароль, но это не проблема ;-)
Цитата: От пользователя: GoodJobMaster (на блок-посту!)
1) Реальный злодей мог зацепиться к машине чувака по вай-фай.
а разве это уже сейчас 100% и так не известно (не следует из вводных данных )?
1) при отсутствии роутера, 2)комп был включен (почти 100% вероятность) в момент
икс, 3)ай-пи совпадает, значит,
технически в сеть вышло железо, стоящее в квартире, в которую проведен кабель...другое дело по его воле или супротив :-)
Либо где в сегменте (или другом сегменте) кто то параллельно влез в сеть под его ай-пи...., это вообще возможно технически ?
Сегодня господин следователь
был весьма занят, пригласил в понедельник, новости опубликую. Как я понял на экспертизу пока ничего не отправлено... стоит в кабинете, пылиться... а ведь по идее можно образ системы снять... или винт просто забрать .... :-( ничего не меняется в нашей раше...
Разве не проще мошенникам использовать какой-то анонимный прокси, расположенный в Бразилии? К чему такие сложности? Имхо, что-то тут не так. Надо искать среди родственников подросткового возраста
Разве не проще мошенникам использовать какой-то анонимный прокси
Я бы вам не советовал :-) считать, что анонимный прокси на самом деле анонимен....в обычной, бытовой жизни, да - обычного сисадмина анализирующего трафик ...провести
можно. Но если сильно припрет и ресурс будет государственный...все концы подымут....
Наиболее "правильно" ломать чужой WiFi - работать быстро и не на виду видеокамер :-)
Цитата: От пользователя: GoodJobMaster (на блок-посту!)
Либо где в сегменте (или другом сегменте) кто то параллельно влез в сеть под его ай-пи...., это вообще возможно технически ?
я же написал про кабинет. Берешь роутер, втыкаешь в любую дырку сегмента, вводишь логин и пароль и вуаля :-D Как
добыть логин и пароль описывать не надо? ;-)
Цитата: От пользователя: GoodJobMaster (на блок-посту!)
1) при отсутствии роутера, 2)комп был включен (почти 100% вероятность) в момент
икс, 3)ай-пи совпадает, значит, технически в сеть вышло железо, стоящее в квартире, в которую проведен
кабель...другое дело по его воле или супротив
удаленный рабочий стол наше все :super:
Цитата: От пользователя: wowka13
Наиболее "правильно" ломать чужой WiFi - работать быстро и не на виду видеокамер :-)
зачем ломать? в многих кафе куча
бесплатного вай-фая ;-)
Тоже верно. Да и не только в кафе. Много где, включая автосалоны, автомойки, да вон в тот же алатырь пойти наверх и сиди грабь сколько хочешь и никто никогда тебя не найдет. Так что
история со взломом квартирного инета ради этого очень сомнительно выглядит. Неоправданные трудозатраты
Внимание! сейчас Вы не авторизованы и не можете подавать сообщения как зарегистрированный пользователь.
Чтобы авторизоваться, нажмите на эту ссылку (после авторизации вы вернетесь на
эту же страницу)
