Перейти к содержанию
Vedmak

Пути заражения WebMoney

Recommended Posts

Vedmak

Добрый день.

Подскажите как происходит "тырение" кошелька, в частности WebMoney? Мне не совсем понятны механизмы, как я понимаю это происходит:

1) Чисто случайно ПК заражается нацеленным на похищени кошелька malware

2) Как-то отслеживаются операции когда кошелек работает

И кроме установки защитных программ какие меры помогают защититься? К примеру что лучше при аутентификации кошелька: хранить ключи доступа на ПК или использовать активацию через СМС (при каждом входе)?

Спасибо, Александр

:rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Инна Малевич

Я ещё доступ по ip ограничиваю, вхожу в кошель только дома.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond

ИМХО - Как и все электронные банки, WebMoney вряд ли можно назвать безопасным для хранения средств, если вы им пользуетесь, то в первую очередь откажитесь от программы Keeper в любых его вариациях, так как основа для кражи является в первую очередь: ключ виде name.kwm и самой программы. Не храните там никаких средств, пользуйтесь только разовыми переводами. Используйте только Web интерфейс через браузер(обязательно надо быть внимательным не только при оформлении, но не забыть подчистить хвост, частые смены версий браузера будут вам на руку) и авторизацию по сотовому телефону. :)

Примечательно то, что многие антивирусы не видят подобных заражений иногда очень подолгу. Поэтому относиться к электронным деньгам нужно всегда настороженно, да удобно и тд, но потеря средств по неосторожности и невозможности их вернуть (в большинстве случаев) - сомнительное удовольствие. :)

Добавлю, практически нет защиты от взлома WebMoney, лучшая защита - отказ от электронного хранения любых средств.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Добавлю, практически нет защиты от взлома WebMoney

Это не так. Песочница с разделением ресурсов обеспечивает вполне разумный уровень защиты.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond
Это не так. Песочница с разделением ресурсов обеспечивает вполне разумный уровень защиты.

В общем-то я с вами согласен, если не сказать даже больше, но почему-то мне кажется, что это не каждого пользователя. Использование Defence Wall вполне адекватное решение, это не реклама, это согласие :)

Я тоже использую электронные переводы денежных средств, тут уж никуда не деться, но на свою защиту (в Win 7 64bit) не могу положится с большой уверенностью, вот и пишу так, как собственное мнение :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
В общем-то я с вами согласен, если не сказать даже больше, но почему-то мне кажется, что это не каждого пользователя.

Значит, есть к чему стремиться!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StarStream
Это не так. Песочница с разделением ресурсов обеспечивает вполне разумный уровень защиты.

+1. ИМХО еще хорошо бы на локальном уровне все зашифровать по AES, хотя бы с помощью TrueCrypt 7x. И обязательно шифровать весь трафик + VPN, например, через сервис Secure Net. Но он чуть-чуть платный :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Мои знания в области троянов против веб-мани, да и самой системы веб-мани несколько устарели, но может быть подскажут вам направление дальнейших поисков и мыслей:

1. замена номера кошеля в буфере обмена (например, хотите вы кому-то перевести 10 баксов, копируете его номер, вставляете и отправляете - номер не запоминаете, и отправляете по другому - т.к в буфер обмена был уже другой номер).

2. кража с компа жертвы всех нужных для работы вебмани файлов, плюс сохраненные пароли в браузерах (от почты, например, может пригодиться)

3. Зловред сидит на компе и в нужный момент может пощелкать по кнопкам в программе

4. социальная инженерия (пришли то, пришли это)

5. ... но чаще всего (имхо) деньги пропадают из-за кидалова :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

priv8v

Пожалуйста, поясните пункт 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Эмм...Попробую, только еще раз оговорюсь, что мои знания в этой области могли устареть...

Когда включен компьютер процесс/библиотека зловреда тоже работают, по таймауту (допустим, раз в секунду) зловред достает текст из буфера обмена и проверяет не соответствует ли он маске кошелька (начинается на букву Z,R и т.д, остальное - цифры, причем определенное кол-во - маска примерно такая вот), если зловред обнаруживает совпадение, то помещает в буфер обмена зашитый в него номер кошеля (номер кошеля редиски).

Со стороны пользователя это выглядит так: вы хотите оплатить размещение ссылки на ваш сайт на какой-то мордочке (не важно за что платите...), идете в асю/форум и копируете в буфер обмена его номер, затем идете в вебмани кипер и вставляете туда этот номер (а номер то уже не тот!) и отправляете деньги. Т.е если не знать про такую зарытую свинью/быть невнимательным, то можно запросто отправить деньги не тому человеку...

Такой троян крайне примитивен, прост в создании, мало весит, не делает особо подозрительных действий (только в автозагрузку должен добавиться).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ai-hei-mei

ну, даже если кто-то стырит мой name.kwm, вебмани же ещё пароль нужен (даже два т.к он на новом компьютере требует два раза пароль вводить), к тому же, мне сразу же придет оповещение о том, что кто-то там открыл мой кипер на другом компьютере.

priv8v

а такая свинья может быть при проведении оплаты через браузер?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SearchInform
Используйте только Web интерфейс через браузер(обязательно надо быть внимательным не только при оформлении, но не забыть подчистить хвост, частые смены версий браузера будут вам на руку) и авторизацию по сотовому телефону. :)

Насколько знаю, как-раз таки веб-интервейс у Webmoney намного ненадежней, чем программа. Он более уязвим к вирусам и фишингу. Главное, при использовании кипера не хранить ключи на компе, настроить вход через SMS и SMS-подтверждение всех операций. В идеале - и вход только с определенного IP, но могут возникнуть проблемы при динамичном адресе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Насколько знаю, как-раз таки веб-интервейс у Webmoney намного ненадежней, чем программа. Он более уязвим к вирусам и фишингу. Главное, при использовании кипера не хранить ключи на компе, настроить вход через SMS и SMS-подтверждение всех операций. В идеале - и вход только с определенного IP, но могут возникнуть проблемы при динамичном адресе.

А еще надежнее вообще этим не пользоваться, все делать через киви кошелек через терминалы ;)

Можно обычный кипер удалить и подсунуть вора, точно также через хостс и подмена ДНС подсунуть глубоко законспирированный фишинг.

Проще яндексом пользоваться

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Насколько знаю, как-раз таки веб-интервейс у Webmoney намного ненадежней, чем программа. Он более уязвим к вирусам и фишингу. Главное, при использовании кипера не хранить ключи на компе, настроить вход через SMS и SMS-подтверждение всех операций. В идеале - и вход только с определенного IP, но могут возникнуть проблемы при динамичном адресе.

Так Кипер по умолчанию отслеживает заходы с нового оборудования. Он просто не даст штатно зайти с другого компа. Начинается процедура авторизации, гемор. Меня по началу это ужасно бесило, потом привык.

Ключи храню на флешке, чтобы их не было на компе.

Проще яндексом пользоваться

Проще, но вот чем это чревато http://habrahabr.ru/post/149924/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Так Кипер по умолчанию отслеживает заходы с нового оборудования. Он просто не даст штатно зайти с другого компа. Начинается процедура авторизации, гемор. Меня по началу это ужасно бесило, потом привык.

Ключи храню на флешке, чтобы их не было на компе.

Проще, но вот чем это чревато http://habrahabr.ru/post/149924/

Спереть можно всё что хочешь, надо только постараться :)

А почему всегда Билайн? В винлоках положи на билайн, тут вывели на билайн. У них единственных есть возможность вывода денег со счёта, правильно?

Вебмани, похоже, тоже ничего не сделали бы (ну что они могут сделать?) стали вы хоть как-то разбираться. http://www.nikitakorolev.ru/?p=farewell-to-wm

Служба безопасности Яндекс.Денег работает неплохо. Я один раз перечислил хостингу ручным платежом общей сложностью 50 руб, там они торознутые были, отвечали по несколько дней (работает один человек, он же владелец хостинга), в итоге надо было вернуть около 250 руб, они обещали несколько раз, потом замолчали.

При обращении в СБ ЯД они посоветовали еще раз написать им в поддержку, вдруг это какая-то ошибка. Я им объяснил ситуацию, что уже несколько раз писал, приложил полный скриншот переписки с ними.

Все операции по кошельку Пети были оперативно заблокированы, о чём он мне скащал, что кошелек заблокирован, пока вернуть не могут. Потом вернули, по-моему, с того же кошелька.

Вебмани бы их полностью прибанили, похоже. А в Яндексе можно разбаниться (вспомнил, у него потребовали идентфикацию о паспорту, чтобы разбанить).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

Будем надеяться, что со вступлением в силу ФЗ-163 "О национальной платежной системе", Яндекс.Деньги в таких случаях будут капошиться, потому что они будут нести ответственность за кражу и должны будут компенсировать.

Слышал, что вебмани не будет электронными деньгами, то есть соответствовать этому закону они не будут.

Яндекс.Деньги и РБК Мани будут, Яндекс уже новое соглашение написали: http://money.yandex.ru/offer.xml

Сам ФЗ-163: http://www.rg.ru/2011/06/30/fz-dok.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Кстати, разве можно использовать Я.Д для работы? В смысле оплаты своих услуг и подобного. Раньше точно нельзя было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

Можно, видимо, сейчас все принимают их, в том числе ручными переводами на равня с вебмани. Даже больше их.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

ты не понял вопроса. Я.Д раньше нельзя было использовать в коммерческих целях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Сейчас как раз новые же правила, нельзя для пр. деятельности ....

Национальная платежная система етить, читай "была отличная система, давайте убъем её."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Спереть можно всё что хочешь, надо только постараться :)

Банальный пример- чел работает в компании, у него стоит на пк менеджер паролей, где хранятся пароли от многих вещей + добротный антивирус. Менеджер блочится после 5 минут бездействия пк ( к примеру). Вопрос - что мешает IT-шнику из конторы, где этот чел работает, при наличии соответсвующих прав зайти на ПК, зайти в менеджер, перекатать пароли на бумажку и слить их. Раскрываемо? Да хер. Где доказательства, что он что то писал, если нет камер... А теперь задумайтесь... А сотрудники IT- сервис деск (как ныне зовутся) меняются во многих конторах, как перчатки, т.к. берут "школоту" обычно, а доступ то у них есть....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Сейчас как раз новые же правила, нельзя для пр. деятельности ....

Национальная платежная система етить, читай "была отличная система, давайте убъем её."

Почему новые? Я это в правилах читал еще в прошлом году.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SearchInform
Спереть можно всё что хочешь, надо только постараться :)

С таким подходом к безопасности можно параноиком стать ;)

Вопрос не в том, что спереть можно все, а в том, насколько применяемые меры защиты соотносятся с рисками. Настраивать двухэтапную аутентификацию, хранить ключи на флешке, блокировать вход по айпи для кошелька с 100 wmr явная глупость. А вот при работе с крупными суммами такие меры просто необходимы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT
Проще яндексом пользоваться

Давненько уже было, посмотрел, подумал, и стало удивительно страшно мне, осталось ощущение участия в аттракционе и несерьезности. Имхо деньги должны быть отдельно от остальных сервисов. И зря они кошелек программный бросили развивать и похоронили.

С таким подходом к безопасности можно параноиком стать ... явная глупость.

Зачем Вы так. В фильмах художественных по телеку всякого разного показывают, ну там водитель в машине и вдруг он волшебно превратился в алкоголика или убивца ценного мексиканского тушкана, помёршего от старости в нескольких километрах от дороги.

Так хоть больше вероятность, что неким счетом электронных денег, где даже и совсем нет денег, злодеи не воспользуются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×