Vedmak

Пути заражения WebMoney

В этой теме 27 сообщений

Добрый день.

Подскажите как происходит "тырение" кошелька, в частности WebMoney? Мне не совсем понятны механизмы, как я понимаю это происходит:

1) Чисто случайно ПК заражается нацеленным на похищени кошелька malware

2) Как-то отслеживаются операции когда кошелек работает

И кроме установки защитных программ какие меры помогают защититься? К примеру что лучше при аутентификации кошелька: хранить ключи доступа на ПК или использовать активацию через СМС (при каждом входе)?

Спасибо, Александр

:rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я ещё доступ по ip ограничиваю, вхожу в кошель только дома.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ИМХО - Как и все электронные банки, WebMoney вряд ли можно назвать безопасным для хранения средств, если вы им пользуетесь, то в первую очередь откажитесь от программы Keeper в любых его вариациях, так как основа для кражи является в первую очередь: ключ виде name.kwm и самой программы. Не храните там никаких средств, пользуйтесь только разовыми переводами. Используйте только Web интерфейс через браузер(обязательно надо быть внимательным не только при оформлении, но не забыть подчистить хвост, частые смены версий браузера будут вам на руку) и авторизацию по сотовому телефону. :)

Примечательно то, что многие антивирусы не видят подобных заражений иногда очень подолгу. Поэтому относиться к электронным деньгам нужно всегда настороженно, да удобно и тд, но потеря средств по неосторожности и невозможности их вернуть (в большинстве случаев) - сомнительное удовольствие. :)

Добавлю, практически нет защиты от взлома WebMoney, лучшая защита - отказ от электронного хранения любых средств.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Добавлю, практически нет защиты от взлома WebMoney

Это не так. Песочница с разделением ресурсов обеспечивает вполне разумный уровень защиты.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это не так. Песочница с разделением ресурсов обеспечивает вполне разумный уровень защиты.

В общем-то я с вами согласен, если не сказать даже больше, но почему-то мне кажется, что это не каждого пользователя. Использование Defence Wall вполне адекватное решение, это не реклама, это согласие :)

Я тоже использую электронные переводы денежных средств, тут уж никуда не деться, но на свою защиту (в Win 7 64bit) не могу положится с большой уверенностью, вот и пишу так, как собственное мнение :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В общем-то я с вами согласен, если не сказать даже больше, но почему-то мне кажется, что это не каждого пользователя.

Значит, есть к чему стремиться!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это не так. Песочница с разделением ресурсов обеспечивает вполне разумный уровень защиты.

+1. ИМХО еще хорошо бы на локальном уровне все зашифровать по AES, хотя бы с помощью TrueCrypt 7x. И обязательно шифровать весь трафик + VPN, например, через сервис Secure Net. Но он чуть-чуть платный :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мои знания в области троянов против веб-мани, да и самой системы веб-мани несколько устарели, но может быть подскажут вам направление дальнейших поисков и мыслей:

1. замена номера кошеля в буфере обмена (например, хотите вы кому-то перевести 10 баксов, копируете его номер, вставляете и отправляете - номер не запоминаете, и отправляете по другому - т.к в буфер обмена был уже другой номер).

2. кража с компа жертвы всех нужных для работы вебмани файлов, плюс сохраненные пароли в браузерах (от почты, например, может пригодиться)

3. Зловред сидит на компе и в нужный момент может пощелкать по кнопкам в программе

4. социальная инженерия (пришли то, пришли это)

5. ... но чаще всего (имхо) деньги пропадают из-за кидалова :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Эмм...Попробую, только еще раз оговорюсь, что мои знания в этой области могли устареть...

Когда включен компьютер процесс/библиотека зловреда тоже работают, по таймауту (допустим, раз в секунду) зловред достает текст из буфера обмена и проверяет не соответствует ли он маске кошелька (начинается на букву Z,R и т.д, остальное - цифры, причем определенное кол-во - маска примерно такая вот), если зловред обнаруживает совпадение, то помещает в буфер обмена зашитый в него номер кошеля (номер кошеля редиски).

Со стороны пользователя это выглядит так: вы хотите оплатить размещение ссылки на ваш сайт на какой-то мордочке (не важно за что платите...), идете в асю/форум и копируете в буфер обмена его номер, затем идете в вебмани кипер и вставляете туда этот номер (а номер то уже не тот!) и отправляете деньги. Т.е если не знать про такую зарытую свинью/быть невнимательным, то можно запросто отправить деньги не тому человеку...

Такой троян крайне примитивен, прост в создании, мало весит, не делает особо подозрительных действий (только в автозагрузку должен добавиться).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ну, даже если кто-то стырит мой name.kwm, вебмани же ещё пароль нужен (даже два т.к он на новом компьютере требует два раза пароль вводить), к тому же, мне сразу же придет оповещение о том, что кто-то там открыл мой кипер на другом компьютере.

priv8v

а такая свинья может быть при проведении оплаты через браузер?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Используйте только Web интерфейс через браузер(обязательно надо быть внимательным не только при оформлении, но не забыть подчистить хвост, частые смены версий браузера будут вам на руку) и авторизацию по сотовому телефону. :)

Насколько знаю, как-раз таки веб-интервейс у Webmoney намного ненадежней, чем программа. Он более уязвим к вирусам и фишингу. Главное, при использовании кипера не хранить ключи на компе, настроить вход через SMS и SMS-подтверждение всех операций. В идеале - и вход только с определенного IP, но могут возникнуть проблемы при динамичном адресе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Насколько знаю, как-раз таки веб-интервейс у Webmoney намного ненадежней, чем программа. Он более уязвим к вирусам и фишингу. Главное, при использовании кипера не хранить ключи на компе, настроить вход через SMS и SMS-подтверждение всех операций. В идеале - и вход только с определенного IP, но могут возникнуть проблемы при динамичном адресе.

А еще надежнее вообще этим не пользоваться, все делать через киви кошелек через терминалы ;)

Можно обычный кипер удалить и подсунуть вора, точно также через хостс и подмена ДНС подсунуть глубоко законспирированный фишинг.

Проще яндексом пользоваться

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Насколько знаю, как-раз таки веб-интервейс у Webmoney намного ненадежней, чем программа. Он более уязвим к вирусам и фишингу. Главное, при использовании кипера не хранить ключи на компе, настроить вход через SMS и SMS-подтверждение всех операций. В идеале - и вход только с определенного IP, но могут возникнуть проблемы при динамичном адресе.

Так Кипер по умолчанию отслеживает заходы с нового оборудования. Он просто не даст штатно зайти с другого компа. Начинается процедура авторизации, гемор. Меня по началу это ужасно бесило, потом привык.

Ключи храню на флешке, чтобы их не было на компе.

Проще яндексом пользоваться

Проще, но вот чем это чревато http://habrahabr.ru/post/149924/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Так Кипер по умолчанию отслеживает заходы с нового оборудования. Он просто не даст штатно зайти с другого компа. Начинается процедура авторизации, гемор. Меня по началу это ужасно бесило, потом привык.

Ключи храню на флешке, чтобы их не было на компе.

Проще, но вот чем это чревато http://habrahabr.ru/post/149924/

Спереть можно всё что хочешь, надо только постараться :)

А почему всегда Билайн? В винлоках положи на билайн, тут вывели на билайн. У них единственных есть возможность вывода денег со счёта, правильно?

Вебмани, похоже, тоже ничего не сделали бы (ну что они могут сделать?) стали вы хоть как-то разбираться. http://www.nikitakorolev.ru/?p=farewell-to-wm

Служба безопасности Яндекс.Денег работает неплохо. Я один раз перечислил хостингу ручным платежом общей сложностью 50 руб, там они торознутые были, отвечали по несколько дней (работает один человек, он же владелец хостинга), в итоге надо было вернуть около 250 руб, они обещали несколько раз, потом замолчали.

При обращении в СБ ЯД они посоветовали еще раз написать им в поддержку, вдруг это какая-то ошибка. Я им объяснил ситуацию, что уже несколько раз писал, приложил полный скриншот переписки с ними.

Все операции по кошельку Пети были оперативно заблокированы, о чём он мне скащал, что кошелек заблокирован, пока вернуть не могут. Потом вернули, по-моему, с того же кошелька.

Вебмани бы их полностью прибанили, похоже. А в Яндексе можно разбаниться (вспомнил, у него потребовали идентфикацию о паспорту, чтобы разбанить).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Будем надеяться, что со вступлением в силу ФЗ-163 "О национальной платежной системе", Яндекс.Деньги в таких случаях будут капошиться, потому что они будут нести ответственность за кражу и должны будут компенсировать.

Слышал, что вебмани не будет электронными деньгами, то есть соответствовать этому закону они не будут.

Яндекс.Деньги и РБК Мани будут, Яндекс уже новое соглашение написали: http://money.yandex.ru/offer.xml

Сам ФЗ-163: http://www.rg.ru/2011/06/30/fz-dok.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кстати, разве можно использовать Я.Д для работы? В смысле оплаты своих услуг и подобного. Раньше точно нельзя было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Можно, видимо, сейчас все принимают их, в том числе ручными переводами на равня с вебмани. Даже больше их.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ты не понял вопроса. Я.Д раньше нельзя было использовать в коммерческих целях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сейчас как раз новые же правила, нельзя для пр. деятельности ....

Национальная платежная система етить, читай "была отличная система, давайте убъем её."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Спереть можно всё что хочешь, надо только постараться :)

Банальный пример- чел работает в компании, у него стоит на пк менеджер паролей, где хранятся пароли от многих вещей + добротный антивирус. Менеджер блочится после 5 минут бездействия пк ( к примеру). Вопрос - что мешает IT-шнику из конторы, где этот чел работает, при наличии соответсвующих прав зайти на ПК, зайти в менеджер, перекатать пароли на бумажку и слить их. Раскрываемо? Да хер. Где доказательства, что он что то писал, если нет камер... А теперь задумайтесь... А сотрудники IT- сервис деск (как ныне зовутся) меняются во многих конторах, как перчатки, т.к. берут "школоту" обычно, а доступ то у них есть....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сейчас как раз новые же правила, нельзя для пр. деятельности ....

Национальная платежная система етить, читай "была отличная система, давайте убъем её."

Почему новые? Я это в правилах читал еще в прошлом году.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Спереть можно всё что хочешь, надо только постараться :)

С таким подходом к безопасности можно параноиком стать ;)

Вопрос не в том, что спереть можно все, а в том, насколько применяемые меры защиты соотносятся с рисками. Настраивать двухэтапную аутентификацию, хранить ключи на флешке, блокировать вход по айпи для кошелька с 100 wmr явная глупость. А вот при работе с крупными суммами такие меры просто необходимы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Проще яндексом пользоваться

Давненько уже было, посмотрел, подумал, и стало удивительно страшно мне, осталось ощущение участия в аттракционе и несерьезности. Имхо деньги должны быть отдельно от остальных сервисов. И зря они кошелек программный бросили развивать и похоронили.

С таким подходом к безопасности можно параноиком стать ... явная глупость.

Зачем Вы так. В фильмах художественных по телеку всякого разного показывают, ну там водитель в машине и вдруг он волшебно превратился в алкоголика или убивца ценного мексиканского тушкана, помёршего от старости в нескольких километрах от дороги.

Так хоть больше вероятность, что неким счетом электронных денег, где даже и совсем нет денег, злодеи не воспользуются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...