Примеры взлома WebMoney кошельков и настройки безопасности, способные снизить его вероятность (блокировка по IP)

28 Декабрь, 2010

Здравствуйте, уважаемые читатели блога KtoNaNovenkogo.ru. Сегодня будет, как и обещал ранее, статья посвященная безопасности работы с WebMoney (мало заработать деньги в интернете, описанными тут способами, их надо еще и сохранить). Когда я только начинал знакомиться с электронными деньгами, то первое, что бросилось в глаза — огромное количество заявлений про взлом кошельков.

Но, как водится, зная, что опасность существует и на данные грабли периодически наступают все новые и новые пользователи этой самой популярной в рунете системы, я упорно пренебрегал всеми сообщениями WebMoney Keeper Classic, о работе с которым речь шла здесь о том, что в настройках безопасности имеются существенные недоработки.

Взлом WebMoney вполне реален и опасен


Ну, некогда мне было заморачиваться с этими дурацкими предупреждениями глупой программы. Главное, чтобы работало, а о безопасности пусть Вебмани думают, ведь она сама пропагандирует, что взломать их сервера или программу практически не возможно. Ну, а если взлом вебмани невозможен, то значит и не стоит тратить такое дефицитное для любого блогера время на всякую там ерунду.

К тому же, по началу, электронных валют на этих кошельках практически и не было. К всплывающему окну с сообщением из Кипера о том, что в настройках безопасности имеются бреши, я привык и закрывал его уже на автомате. Так продолжалось около полугода, причем размер счета постепенно рос, что меня приятно грело и очень радовало. Про плохое я уже и думать забыл.

Но вот, в один не очень прекрасный день, я не смог войти в свой Keeper Classic, т.к. мне постоянно выдавалось сообщение о том, что пароль не подходит к данному WMID. В общем-то я практически сразу понял откуда ноги растут, ибо читал не раз о таком развитии событии при взломе.

И уже с отчаянием утопленника начал переписку со службой техподдержки в надежде разъяснить ситуацию (Кипер Классик сам предлагает перейти по нужным ссылкам, для выяснения сложившейся ситуации).

Дело осложнилось тем, что я уже забыл, какой именно контактный E-mail указывал при регистрации и входе в Веб мани, а это было очень критично в возникшей ситуации, ибо в техподдержке настаивали, чтобы я написал запрос именно с указанного во WMID почтового ящика (чтобы они могли хоть как то убедиться в том, что я действительно являюсь владельцем этих кошельков).

Процесс вспоминания затянулся почти на целый день, а ответ от техподдержки WebMoney я получил уже ночью. Меня спрашивали, не менял ли я файл ключей пару дней назад. Я его не менял вообще никогда, поэтому это окончательно убедило меня в том, что плакали мои электронные денежки.

Само собой, что я все равно подал запрос в Арбитраж, сообщил персональные данные указанные при регистрации (по-моему, даже скан паспорта потребовался, но возможно, что это уже на этапе восстановления доступа к своему WMID нужно было).

Ответ из арбитража был не утешительным — мне сообщили номера кошельков на которые были переведены электронные деньги с моих WM кошельков и посоветовали обратиться в милицию с заявлением по факту кражи, ибо деньги оттуда уже были успешно выведены через Билайн (телефоны тоже были приведены).

В милицию я обращать не стал, ибо как то не хотелось заморачиваться со всем этим, да и к тому же у меня тогда еще не был оформлен ИП, статус которого позволял бы на законных основаниях зарабатывать в сети. В общем, умылся я и продолжил дальше заниматься тем, чем и занимался, но только теперь к вопросам безопасности WebMoney у меня особое отношение (обжегшись на молоке — на воду дую).

Основным средством защиты от взлома я сейчас считаю подключение E-num, о котором написал эту статью, но тем не менее, и теми средствами, о которых пойдет речь в этой статье, тоже пренебрегать не стоит.

Опасность потерять свои деньги вас преследует не только при совершении обмена электронной валюты, но и в любое другое время, когда вы даже не работаете со своими кошельками.

В связи со всем выше сказанным, в этой статье я хочу поделиться с вами теми настройками безопасности, которые сделал или собираюсь сделать. Возможно, что этого будет все же не достаточно для того, чтобы электронные деньги на моих кошельках чувствовали себя как в сейфе, но по сравнению с тем полным пофигизмом, что я проповедовал в начале своей работы с WebMoney, это уже огромный шаг вперед.

Надеюсь, что и вы, уважаемые читатели, поделитесь в комментариях своими наработками по этому поводу.

Возможно, что мои слабые познания в способах взлома и кражи денег с Вебмани кошельков заставляют меня делать неправильные выводы, но мне кажется, что слабым звеном, позволившем в моем случае украсть средства со счета, был абсолютно ненадежный пароль на тот почтовый ящик, который был указан, как контактный при регистрации в WM.

Получив к нему доступ злоумышленник смог инициировать смену файла ключей. Нужно ли для этого еще использовать и какой-то троян, я не знаю.

Возможные способы повышения безопасности WebMoney


Но вот пароль к почтовому ящику типа 12345 или qwerty, можно считать приглашением всех нечистых на руку мошенников поживиться за ваш счет. На него я подумал еще и потому, что одновременно мне пришло письмо с какого-то сервиса о том, что я запросил смену пароля, хотя такого не было.

В общем, решив перестраховаться, поменял на всех своих ящиках и ящиках моих домашних пароли на сверхсложные, как я надеюсь, для взлома. Понимаю, что не панацея, но все же уже кое-что. Для генерации сложных паролей я использовал эту программу, ну и для их хранения она тоже очень хорошо подходит.

К тому же я запретил хранение почты на почтовых серверах. Т.е. после того, как используемая мною почтовая программа засосала всю новую корреспонденцию, эти самые письма на сервере затираются. Нечего хранить важные данные там, где ее любой умелый хакер может прочитать.

Я использую для работы Гмайл, про который писал тут. В нем можно активировать двухступенчатую аутентификацию с использованием номера мобильного телефона, которая сделает ваш ящик практически неуязвимым. Как это дело подключить, читайте в приведенной статье.

Правда, и компьютер не является панацеей, хотя, если использовать TrueCrypt для шифрования почтовой базы, то однозначно спать можно будет спокойно, ибо даже сами хакеры используют эту программу для шифрования своей переписки и скрывания вообще любых файлов. Очень рекомендую обе программы к активному использованию, ибо у них открыт исходный код и заведомо нет никаких черных ходов.

В общем, начинать обеспечение безопасности стоит, наверное, не конкретно с WebMoney, а именно с обеспечения общей безопасности работы с вашей электронной почтой и операционной системой в целом. А уже потом можно будет, не волнуясь за тылы, переходить к затыканию дыр в системе электронных валют.

Самым весомым действом, безусловно, является использование авторизации через Enum (специально предназначенный для абсолютной защиты — читайте об этом в приведенной чуть выше статье), но и теми элементарными настройками безопасности, которые предлагает сама система WebMoney, тоже не стоит пренебрегать.

Правда, даже авторизация через Enum с максимальной степенью защиты не будет являться стопроцентной гарантией защиты от взлома. Всегда может быть использован социальный инжиниринг, который может подтолкнуть пользователя самого совершить действия, которые не может совершить злоумышленник.

Был громкий взлом WebMoney кошелька с авторизацией через Enum и там сработал именно такой вариант взлома — якобы от имени системы товарища попросили настроить доступ к своему WMID через кипер лайт, тем самым получив возможность украсть очень приличную сумму в электронных валютах (половина миллиона в рублях, как я понял).

При любых просьбах на совершение вами каких-либо действий по изменению настроек в Вебманях, не лишним будет потратить минутку на то, чтобы связаться с техподдержкой и уточнить, действительно ли от них исходила такая просьба. Но мы часто бываем настолько замотаны и задерганы, что даже и мысли о проверки выполняемых действий не возникает — делаем все на автомате, лишь бы отстали. Да и вариантов развода очень много.

Радикальным способом защиты своих кровно заработанных, кроме полного отказа от использования системы (в сложившихся условиях это практически не возможно), будет незамедлительный вывод денег в реал, сразу же после поступления их в кошелек. Но это не всегда удобно и возможно сделать, поэтому давайте рассмотрим некоторые превентивные меры, которые смогут существенно снизить вероятность взлома.

WebMoney Security — блокировка по IP

Одним из самых эффективных способов является блокировка доступа по IP. Если ваш интернет провайдер предоставляет вам выделенный IP адрес, то считайте, что вам очень повезло, т.к. в этом случае будет очень просто и, что важно, эффективно осуществить блокировку.

Если ваш провайдер предоставляет вам динамический айпишник, который будет меняться в определенном диапазоне при каждом новом подключении к интернету, то настроить блокировку доступа таким образом будет сложнее, но тоже вполне реально. Я выхожу в интернет через Стрим, который предоставляет как раз именно такой вариант.

Но на сайте Стрим можно увидеть диапазон используемых им IP адресов, а следовательно, можно будет составить с помощью маски подсети вполне удобоваримые диапазоны айпишников, которым будет разрешен доступ к WebMoney.

Всем, кто захочет подключиться к их серверам с других адресов, не входящих в этот диапазон, в доступе будет отказано. Теперь взломщик должен выходить в интернет тоже через Стрим, что существенно снижает сектор обстрела.

Итак, давайте перейдем от теории к конкретике. Блокировку доступа по IP можно настроить в сервисе WebMoney Security, который предназначен именно для подобных вещей. Естественно, что прежде, чем приступить к настройкам, вам придется авторизоваться на сервисе.

На вкладке «журнал подключений» вы сможете увидеть список айпишников с которых вы подключались к серверам Вебмани. Если он у вас статический, то можете его скопировать прямо здесь. Если вы работаете с электронными деньгами еще с каких-либо компьютеров (офис, дом или еще где), то вы сможете найти эти IP в этом же списке журнала подключений.

Теперь перейдите на вкладку «блокировки». Для начала добавьте в нижней части окна те адреса, с которых будет разрешен доступ к серверам авторизации. Выберите тип добавляемого айпишника, поставив галочку в положение «Фиксированный IP» или «Подсеть». Я выбрал вариант «подсеть» и добавил начальные адреса и маску, по которой можно вычислить весь диапазон возможных значений:

Для преобразования IP из вида диапазона начального и конечного адресов в вид, где указывается только начальный и маска сети, можно использовать какой-нибудь онлайн сервис для расчета маски. К сожалению, у меня не сохранились ссылки на тот, которым воспользовался я для этого дела. Хотя, все это можно сделать и самому.

После того, как вы закончите добавление айпишников или подсетей в форму блокировки доступа, вам нужно будет активировать (включить) эту самую блокировку в WebMoney Security.

Для этого в верхней части окна вкладки «блокировки» нужно нажать на кнопку «Включить», перед этим не забыв вставить в поле «Email, на который высылается код разблокировки» адрес почтового ящика, который сможет вас спасти в том случае, если вы вынуждены будет заходить с другого айпишника, а не с того, который указали в настройках (поменялся провайдер или возник какой-либо другой форс мажор).

В этом случае на указанный вами Email будет выслано письмо, в котором будет содержаться ссылка для снятия блокировки. Вы сможете авторизоваться в вашем WebMoney Keeper Classic и изменить настройки.

Кроме Email вы можете указать номер телефона, на который будет выслан код отмены в виде SMS сообщения, что существенно повысит надежность, т.к. получить несанкционированный доступ к сотовому телефону значительно сложнее, чем к почтовому ящику.

Для этого вам нужно будет нажать на кнопку «Разрешить отправку кода разблокировки на телефон», номер вашего мобильника будет взят из данных вашего аттестата в Вебмани. Следовательно, если хотите изменить номер, на который будет высылаться код снятия, то вам нужно будет изменить данные вашего аттестата.

Так же в сервисе WebMoney Security можно активировать ENUM авторизацию через специальный сервис, благодаря которому можно использовать для авторизации не какие-либо программы или почтовые ящики, а сотовый телефон, который, в общем-то, дает практически стопроцентную гарантию безопасной работы с электронными деньгами.

Но предварительно нам понадобится зарегистрироваться в E NUM, как описано в этой статье, и привязать номер телефона к своему почтовому ящику.

Можете также посмотреть видео на тему сбережения Веб маней в целости и сохранности:

Удачи вам! До скорых встреч на страницах блога KtoNaNovenkogo.ru

Еще:

Рубрики :Электронные деньги

Комментарии и отзывы

Лоис

Да, все это эффективно, конечно. Но мне кажется, самое простое, что легко и удобно использовать — это когда все транзакции подтверждаются КП, который приходит на телефон в виде голосового СМС. Телефон указывается только в аттестате, а доступ к нему обычно закрывается. Хороший способ и E-num.

alex

Не сказали где хранить все эти сложные пароли для доступа к вебмани, не в голове же точно — не запомнишь, в блокноте опасно. Лучше использовать программу keepass.

mixac

Наверное самый эффективный способ сохранить электронные деньги, это лучше не хронить их в электронной валюте, а более или менее приличные суммы выводить.

Rimsskii

Очень актуальная для меня тема. Взломали.Взяли кредит. Поменяли контактный сотовый телефон. На вопрос как Техподдержка вебмани молчит. Заявление в милицию подал через сайт гос.услуг. Объяснения там написал. Жду.

BloggerMen

Просто не нужно хранить деньги на WM. Получил — вывел, и все проблемы. Даже если взломают, потери будут минимальными.

Imp

Блокировка по IP — это конечно хорошо, но как утверждают сами сотрудники ВМ — не является решением проблемы. У меня месяца 3 назад взломали кошелек. Доступ к почте им не потребовался. Как я понял, использовался какой-то хитро мудрый троян. Ситуация дальше развивалась примерно как у Вас: детский лепет про милицию со стороны сотрудников ВМ. С точки зрения обеспечения безопасности, так они прислали столько советов, что запаришься их все реализовывать: тут и блокировка АйПи, и какие-то невообразимые криптографические программы и др. На мой взгляд, все эти заморочки — это задача ВМ, это именно они должны обеспечивать безопасность и при этом создавать удобный для использования сервис, чтобы пользоваться, а не париться. А так получается, если нет хваленой «невесомости», т.е. защиты со стороны ВМ, то проще пользоваться Яндекс деньгами — быстрее и без заморочек.

Александр Мареев

Спасибо за полезную статью, три года пользуюсь данной платежной системой, однако настройками безопасности не занимался, думал что это головная боль самой системы. Прочитал статью и сразу же закрыл все «дыры», надеюсь что теперь до моего кипера никто не доберется:)

Вячеслав

А может воспользоваться советом системы и хранить ключи на внешнем носителе? Например на CD диске. Был у меня летом такой же сбой, когда WebMoney пару раз требовал обновить кипер, а в результате обновлений не заметил где сохранил ключи. И в один прекрасный день просто не смог подключиться. Пришлось весь комп перерыть в поисках ключа. Худо бедно вошел, и сразу все ключи перенес на внешний носитель. Сбои прекратились.

Андрей

Где-то читал о том, что если ключей на компе нет, то к веб-мани доступ никак не получишь. Но, думаю, даже если это так, еще какой-нибудь способ придумают.

Rimsskii

Андрей говорит, что:

Где-то читал о том, что если ключей на компе нет, то к веб-мани доступ никак не получишь. Но, думаю, даже если это так, еще какой-нибудь способ придумают.

На компе есть хитрые файлики, если их не удалить то есть ключи или нет без разницы!

Предлагаю пользоваться вебмани-мини. Выглядит как сайт. При этом запретить программный доступ, ключи и всё остальное.

Олег

Есть принцип E-Num.

т.е. при входе в Веб-мани Кипер класик Вам приходит на телефон (ранее привязанный к аккаунту) СМС с набором цифр. Вы их вводите, затем открывается доступ для ввода ИД номера и пароля. И все.

Rimsskii

Олег: В моем случае ранее привязанный телефон чудесным образом поменялся на другой номер. Техподдержка вебмани на троекратный вопрос о том как это мб молчит.

И инфа для размышления. wmZ- кошельки росположены не в России и на запрос из России отвечают крайне неинформативно, со слов сотрудника отдела «К».

Дмитрий

с чего вы взяли, что TrueCrypt используют хакеры? Они вам сами сказали? TCHunt v1.5 — её убийца. Мобильный телефон тоже не панацея, если пользуйтесь смартфоном

Сергей

Здравствуй Андрей. Учился создавать сайт на твоих видеоуроках на сайте www.sdelaysite.com. Спасибо, много познал, всё сделал, что хотел сделать. Может тебе, да и всем это будет полезно, действительно информация о паролях уходит хаккерам, через троян на вашем пк, все мы пользуемся клавиатурой, троян считывает информацию, которую вы вводите через клавиатуру, моло того он даже делает подсчет количество раз клатсонья по клавишам при вводе. Мой вам совет: производите ввод пароля, через экранную клавиатуру, троян мало понимает и делает ошибки по считыванию информации. Всем удачи.

Станислав

ЯД тоже ломают влёт. У меня недавно 7500р. увели.

Сергей

Спасибо за статью! Поставил защиты и сразу понял, что кошелек давно взломан, но деньги не пропадали, наверно ждали когда сумма больше будет. Теперь буду чаще выводить, хотя у нас в РБ не выгодно.

Евгений

Выставляйте активацию на новом оборудовании по СМС и будет счастье(активировать нужно будет даже если просто переустановили), блокировать по ип это просто ужас например как у меня где непросто динамические айпишники, а постоянно меняющиеся абсолютно разные сети (32, 90, 188 и т.д.). В статье не указано об этом ничего, от этого статья полностью теряет свою актуальность, главная ошибка пользователя вебмани, то что нужно активацию переводить на телефон сразу же при регистрации, по умолчанию она на емейл, вот вас и ломают.

Нурболат

я сам пользуюсь Webmoney Mini, пока все нормально, думаю что надо всегда заранее обезопасить себя от таких проблем!

alximik

В свое время меня тоже ломанули, но там была хитрая схема, заблочился комп (помните эпидемию с кодами активации на телефон?) и вывели все. Хороший материал, на своем сайте http://blackship.ru активно использую как энциклопедию.

евгений

веб мани хреновая система. Это лохотрон покруче МММ. Служба поддержки у них никакая вообще и по отделениям полный бардак. Перешел на яндекс деньги и проблем с выводом не знаю.

Подписаться не комментируя