ВНИМАНИЕ! В Webmoney воруют деньги
#1 Участник
Отправлено 11 марта 2010 - 02:07
У меня увели мой идентификатор WMID 386988286405 и опустошили все счета.
Это было сделать невозможно потому что:
1. На компьютере стоит антивирус И файервол с последними базами(NOD) и раз в неделю проверяю DrWeb CureIt (вероятность вируса крайне мала).
2. Почту держу на Яндексе раз в месяц меняю пароль. У меня это длинная буквенно-циферная последовательность . Пытаться на Яндексе перебором подобрать пароль невозможно - требуется ввести коды с картинки. (Вероятность овладения почтой, по-моему невозможна)
3. Стоит активация через почту всех действий.
4. Пароли на комьютере в явном\неявном виде не храню, менеджеров паролей не использую.
5. На своём компьютере я один пользователь. Пользуюсь Webmoney Classic только со своего компьютера и НИКОГДА не выходил с других.
6. Домашняя сеть защищена роутером с файерволом.
По-моему все условия говорят о том, что увести идентификатор невозможно (нужно иметь доступ к моей почте, знать мой пароль, иметь мой файл ключа и пароль от файла ключа). Такой информацией могут обладать только сотрудники веб-мани.
Судя по обилию жалоб на форуме, в компании кто-то завёлся и портит имидж системы Webmoney.
Пока разборка проведена не будет не советую особо расчитывать на эту систему.
Написал о своей проблеме в арбитраж, и в отдел К. Посмотрим, что будет.
Я установил IP воров, он динамический, принадлежит Корбине(ЗАО "Инвестэлектросвязь"):
Время входа Время выхода IP адрес
2010-03-05 16:13:35 2010-03-05 16:23:43 93.80.78.177
2010-03-05 15:53:23 2010-03-05 16:11:28 93.80.155.31
Если будут сильно тянуть с расследованием, понятно что старые логи потрутся и опять злоумышленники остануться безнаказанными. А они на это и расчитывали - ломали вечером перед выходными, заявка будет рассмотрена не ранее 9 марта и т.д. и т.п.
P.S. Я и все мои знакомые срочно переходим на другие системы оплаты.
#2 Продвинутый пользователь
Отправлено 11 марта 2010 - 02:20
Блокировку по ИП религия не позволила поставить?
Хотя это неважно- трой у вас на компе был( и может сейчас есть),только не один антивирус его не определил.
И фаер с роутером не помог.
Бывает.
Не Вы первый и не Вы последний.
Если есть сомнения в моих словах по поводу троя,то поменяйти пароль и ключи с этого же компа и заведите туда еще немного вм скиньте- результат будет тот же.
А переходить на ЭПС,которые никогда не станут первыми на российском рынке,это дело каждого личного выбора.
ЗЫ. А почему по Вашему мнению,"крыса в ВМ"( будем так ее называть) ворует только мелочь у частников,а у крупных обменников,у которых постоянно лежат по 50-150квмз,ничего не тащит? боится? )))))))
#3 Знаток
Отправлено 11 марта 2010 - 02:46
- новый трой и ваши антивирусы - хня и еще пара букв
- и шо? кейлоггер каждый раз запоминает ваши пароли да хоть 100 раз в день меняйте их
- почта крадена, так же как и деньги. активацию на мобилу поставить тоже религия запретила?
- 1 раз ввели и ср...ть хотел трой на то храните Вы их или не храните
- замечательно. файл с ключами тоже на компе храните?
- ну почта же работает?
#4 Участник
Отправлено 11 марта 2010 - 03:25
А то, что у крупных обменников,у которых постоянно лежат по 50-150квмз,ничего не тащит еще больше наводит на мысль, что есть два варианта:
- надеются, что частники из за небольших сумм не будут связываться с "органами";
- подтверждается, что действует кто-то внутри вебмани.
2Howard: А по поводу того, что все мои условия "шоколадные для любого мошенника, крадущего пароли", я могу предложить Вам опубликовать эту фразу с моим сообщением на первой странице сайта webmoney.ru и могу Вам гарантировать со стопроцентной уверенностью, что не только мои знакомые начнут массово выводить деньги из Вашей системы.
Когда я смогу ожидать увидеть это на главной?
P.S. не надо делать подмену понятий, Вы только показываете себя как безграмотного человека с точки зрения информационной безопасности отвечая на "Домашняя сеть защищена роутером с файерволом" словами "ну почта же работает?". Файервол необходим для разрешения или запрещения определенных соединений. Естественно к почте отношение это не имеет, а необходимо для того, чтобы запретить все входящие соединения "из вне" ко внутренним компьютерам сети. Возможно Вы хотели поманипулировать мнением окружающих "шутливым" способом, но когда речь идет о краже, это не самый лучший способ решения проблемы.
#5 Знаток
Отправлено 11 марта 2010 - 04:20
Ховард лишь указал на уязвимыме места Вашей системы, с указанием средств Вебмани, с помошью которых ето можно избежать..........................................
То что Вы их не используете, ну никак не вина системы. Мой совет- енум и отправка активаций на телефон + блок айпи.
------ Браузерная онлайн игра Новая Эра ------
#6 Новичок
Отправлено 11 марта 2010 - 09:32
У меня вот 3 месяца кошелек отлично жил с приличной суммой на нем, и только спустя 3 дня когда я решил привязать банковскую карту к кошельку, его взломали.
Конечно может совпадение, но на компе нет трояв, которые бы знал 1 из 3 антивирей и агнитум фаервол, плюс везде где работает человек может быть мошенничество.
Вообще не вижу проблемы для сотрудника ВМ бабло стянуть, а потом пол года разблокировать кошель.
Ну а примеры с обменниками, кардеры же тоже грабят не майкрософт, а счета простых пользователей.
#7 Знаток
Отправлено 11 марта 2010 - 10:39
Я пользуюсь системой уже более 3х лет и ничего ещё не пропадало.Кстати, ай-пи у меня тоже динамический и блокировка по нему стоит, как это сделать можете посмотреть на форуме по поиску.У меня даже тема была по защите компа год тому назад.
#8 Продвинутый пользователь
Отправлено 11 марта 2010 - 10:50
2. У корбины все логи пишутся, кто и когда использовал IP у них записано.
3. Пишите заяву и отдел К все запрашивает, там есть отдел он все предоставит. Дальше уже можно будет прийти домой и забрать все нужно Если конечно этот человек не был очередным прокси сервером
#9 Знаток
Отправлено 11 марта 2010 - 11:39
2Howard: А по поводу того, что все мои условия "шоколадные для любого мошенника, крадущего пароли", я могу предложить Вам опубликовать эту фразу с моим сообщением на первой странице сайта webmoney.ru и могу Вам гарантировать со стопроцентной уверенностью, что не только мои знакомые начнут массово выводить деньги из Вашей системы.
Когда я смогу ожидать увидеть это на главной?
У Вас в окне кипера есть пункт "Есть замечания по настрокам безопасности", которые в Вашем случае моргает красным... Куда еще на более первой? Или Вы наплевали на этот пункт а сейчас плачетесь? Почему у Вас не стоят там все зеленые галочки, а стоит большинство красных? Или надо большими буквами посреди экрана написать "за сохранность денег отвечаете Вы"? Еще подсветить это и к клавиатуре подвести 220 вольт, чтобы било током, если пользоватеь не проситал это и не потвердил каждую букву? А может обеспечить, чтобы после установки к Вам приезжал дяденька из Вебманей, который жил бы рядом с Вами и контролировал, чтобы Вы не ползали по порносайтам и не открывали файлы, прикрепленные к письму с темой "глянь фотку голой Анны Курниковой".
Нет, уважаемый Bagum. Такого не будет, думайте своими мозгами и читайте целый раздел, посвященный Вебманям. Читать лень? - Это Ваша проблема.
P.S. не надо делать подмену понятий, Вы только показываете себя как безграмотного человека с точки зрения информационной безопасности отвечая на "Домашняя сеть защищена роутером с файерволом" словами "ну почта же работает?". Файервол необходим для разрешения или запрещения определенных соединений. Естественно к почте отношение это не имеет, а необходимо для того, чтобы запретить все входящие соединения "из вне" ко внутренним компьютерам сети. Возможно Вы хотели поманипулировать мнением окружающих "шутливым" способом, но когда речь идет о краже, это не самый лучший способ решения проблемы.
Я ничем не манипулировал и ничего не подменял. Правильно Вы говорите " запретить все входящие соединения "из вне" ко внутренним компьютерам сети", а что делать с теми процессами, которые проходят из нутри компа, уходящими наружу? О-па...облом, да? Простого письма достаточно с файлом с ключами, всеми паролями и т.д.+ приложенные пару фоток с вебкамеры и пара записей с микрофона, чтобы получить доступ ко всему, что Вы так небрежно подарили мошенникам.
#10 Новичок
Отправлено 11 марта 2010 - 15:04
не вдаваясь в дискуссию, чья эта вина, хочу сообщить, что вчера около 22.00 у меня произошла абсолютно аналогичная ситуация:
- сменили пароль
- вывели деньги
Уже 12 часов жду ответа от Арбитража и прошу Вашего совета, как можно ускорить это, потому что я даже не знаю WMID, который у меня украл деньги! А ведь мне надо подать на него иск, чтобы его поскорее заблокировали и не обначили мои деньги.
Речь идет о большой сумме - 70 000 рублей!
Коллеги,
помогите, пожалуйста!
В Финансовой службе сказали, что вроде Тех.поддержка может отследить историю операций и сказать мне WMID, куда ушли деньги. Но они отправляют меня в Арбитраж!
А время идет. Воры уже могут деньги обналичить.
Посоветуйте, пожалуйста:
а) как ускорить Арбитраж
б) можно все-таки у Тех.поддержки получить WMID, куда ушли мои деньги?
Большое спасибо!
Вячеслав
П.С. Кстати, на кошельке стояла активация оборудования на сотовый телефон.
#11 Участник
Отправлено 11 марта 2010 - 16:16
2Сега: Украли достаточно, сумма сравнима с моим месячным окладом в НИИ.
2Алиса: по поводу DC, я же не совсем больной человек свой список фалов периодически просматриваю, левых клиентов не устанавливаю, расшаренности диска С: никогда не замечал, но у других такое видел. Думаю это какой-нибудь троян или левый DC клиент.
2Howard: У меня нет там ничего красного(WM Classic 3.9.0.0) замочек с крестиком в зеленном кружке. Есть два замечания - нет активации на телефон и нет блокировки по IP.
а)Блокировку по IP я подумаю как сделать (но в данном случае она бы не помогла, так как сеть из которой входил злоумышленник тоже Корбина, и диапазон адресов + маска тут бесполезна)
б) активация на телефон - читаем предыдущий пост и грустим про Webmoney (хотя, конечно, каждый случай надо обсуждать отдельно)
Я вот думаю, что можно было бы сделать, но все эти пункты так же бесплоезны, для Ваших мистических вирусов которые не видят антивирусники\файерволы:
1. сделать активацию на телефон(пока не представлял, как мошенники это могут симмитировать, но из предыдущего поста надо узнавать).
2. Купить еще eToken (но если это вииирусы, то вообщем-то так же бесполезно как файл ключа - вирус делает дамп и отсылает его, кстати, не понимаю, как это будет работать с активацией по телефону, или запросы будут приходить и на телефон и еще ключ для активации использоваться будет?)
3. Сделать блокировку по IP (слишком большой диапазон адресов и в моем случае это бы не помогло).
4. Enum? Я может чего-то не понимаю, но по-моему для телефонов антивирусников нет, так что своровать оттуда приложение передав вирус по Bluetooth/MMS/GPRS плевое дело. Или при синхронизации коммуникатора/телефона с ПК. А если делать Java-эмулятор на ПК, как предлагали тут, то защита ничем не отличается от файла ключа.
Вообщем, полазив по форуму, я вижу, что все предложения сводятся к тому, что все юзеры лазиют по порносайтам и открывают сомнительные вложения к письмам, хавают вирусы. НО при этом НИОДИН из пользователей какие бы у него способы активации не стояли НЕ ВИДЕЛ никаких сообщений об активации ни на телефон ни на почту. Мой вывод такой - кто-то чётко знает, что и как проверяет Webmoney-клиент и на другом компе точно воссоздает данные вещи, поэтому никаких активаций нет, и все спокойно можно увести, какие бы активации не стояли. ЛИБО, что совсем страшно существует способ делать переводы в обход существующих средств защиты, не используя даже клиента или используя жуткомодифицированное что-то(которое не сообщает о смене оборудования и т.п.). Или для того, чтобы эту информацию украсть необходимо, как мне кажется, сделать какой-то вирус для WM-клиента, а это значит, что дырявая защита используемых dll-ок, и совсем не шифруется никак файл ключей (или защита любительская). Но у меня все больше складывается ощущение, что и дальше ВСЕГДА будут проблемы в вирусах и больше ни в чем.
Возможно смогут помочь:
1. Создание системы подтверждений ВСЕХ операций СМС-кой с мобильного телефона (отослать смс с моего мобильного телефона передав случайный номер показанный на сайте сложновато - надо иметь удаленное управление мобилой).
2. Если бесполезно страховаться и вирусы всегда "сильней" ввести возможность лимитирования денег на операцию и на сутки (к примеру чтобы я мог задать, один перевод не более 1000 руб и за сутки не более 2000 руб) с созданием минимального периода смены этих настроек (к примеру изменение указанных сумм не раньше чем n-часов указанных пользователем). Тогда даже если украли кошель не переведут больше отмерянного.
Проанализировав всю информацию у меня все больше складывается ощущение, что угроза не на стороне пользователей.
#12 Новичок
Отправлено 11 марта 2010 - 16:30
у меня тоже стояла активация "Опция включена. Код активации при смене оборудования будет отправляться ТОЛЬКО на телефон."
и каждые раз когда я заходил в прогу под новым IP(он у меня динамический - корбина) у меня сразу включалась защита и присылался код активации на телефон
но 3 марта 2010 меня обокрали
но узнал я об этом много позже спасибо опять же Webmoney
4 марта я не смог войти в кипер, т.е. был потерян контроль над своим WMID 171710737318(кто-то поменял пароль доступа), был процесс восстановления контроля над моим WMID - причем интересно что этот процесс был довольно быстрым не до 20дней как обещали когда я обратился для восстановления только это конечно уже не помогло, когда восстановили контроль и сообщили мне новый пароль я смог зайти и увидел, что во время когда у меня не было возможности доступа с моего счёта были украдены деньги, в оплату счёта яндекс денег (CardsOnline) и ваучера ukash
что пароль в кипере меняется очень просто и даже без уведомления об этом хотя бы на мыло это конечно круто учитывая что это не так уж сложно организовать и был бы плюс для безопасности – так бы хоть я узнал сразу что кто то поменял пароль когда у меня не был кипер включен и в этот день я уже не заходил в него , но то что не сработала защита от других IP с кодом активации отправленному на мобильник в тот момент когда подключился вор это что интересное, даже если предположить что он её отключил, даже и в этот момент когда он только подключился защита должна ведь была сработать или нет? А работает эта защита когда ей хочется или скорее даже когда КОМУ-ТО это выгодно?
До этого например и после этого случая смс-ки так и сыпались мне что было подключение с неактивного ранее оборудования и запрос на активацию
IP-ники мне сообщили продавцы (и в логе webmoney был он же) и я посмотрел лог своих IP за тот день и они различаются у меня не было этого IP-ка
Вот этот IP - 95.25.164.81
и там же при одной из покупок была указана эта почта - g.olgin@yandex.ru
конечно же мне не знакомая
#13 Знаток
Отправлено 11 марта 2010 - 16:35
а)Блокировку по IP я подумаю как сделать (но в данном случае она бы не помогла, так как сеть из которой входил злоумышленник тоже Корбина, и диапазон адресов + маска тут бесполезна)
В Корбине выделенные ip отсутствуют как класс?
У моего провайдера он выдается всем бесплатно (практически принудительно), у других провайдеров оно стоит 100-150р в месяц - это явно не деньги для тех, кто в результате может потерять сумму, на порядки большую, чем 3-5 долларов!
По личному опыту, самый лучший вариант это "Кипер-лайт" в ОПЕРЕ и под ЛИНУКСОМ.
А если туда добавить ещё и е-нум авторизацию, регистрацию с емылом на своем собственном почтовом сервере(на своём же компе), нормальный пароль (а не qwerty123) и привязку к ip, то гарантия 200%, что никто никуда не влезет и ничего не украдёт (если только весь программно-аппартаный комплекс, что, обычно, маловероятно!)
Догоним и перегоним Howardа! И Наталью тоже! И Firebadge, как же без него!
#14 Продвинутый пользователь
Отправлено 11 марта 2010 - 16:44
Как правило Енума достаточно для избавления от большинства проблем. Под телефон напишут вам вирус, но вот как его засунуть в конкретно ваш телефон? Будут выслеживать вас с блютус устройством ради оклада в вашем НИИ? Смешно. Исключение составят вирусы/трояны перехватывающие управление над уже запущенным кипером либо подменяющим получателя платежа - но тут уже включаем мозги и кипер не оставляем без присмотра4. Enum? Я может чего-то не понимаю, но по-моему для телефонов антивирусников нет, так что своровать оттуда приложение передав вирус по Bluetooth/MMS/GPRS плевое дело. Или при синхронизации коммуникатора/телефона с ПК. А если делать Java-эмулятор на ПК, как предлагали тут, то защита ничем не отличается от файла ключа.
Проблем не на стороне пользователей, а на стороне их мозгов, увы.
#15 Пользователь
Отправлено 11 марта 2010 - 17:12
Поясню. У меня тоже 27 февраля украли деньги, разумеется никаких активаций не приходило - НИЧЕГО! Так же прождал 3 дня для восстановления доступа и до этого момента ничего не знал. Так вот. Для восстановления контроля нужно создать еще один wmid - что я и сделал, и наученый горьким опытом, прикрутил к нему enum. Теперь же контроль к моему основному wmid восстановлен, но вот прикрутить к нему enum я не могу - мобильный номер в их базе используется только один раз и никто из техподдержки (webmoney, enum) мне не помогли и посоветовали перенести заявку на перерегистрацию enum в архив. Сейчас пользуюсь etokenpro + все что там насоветовал кипер в плане настроек безопасности.
Сдается мне, настроек много а толку мало. EtokenPro конечно устойчив к взлому - после нескольких неправильных вводов пина он блокируется навсегда. Однако я придерживаюсь мнения что файлы ключей тут ни при чем и допускаю вероятность причастия сотрудников Вебмани.
ps. IP взломщиков тоже корбины, заявление в милицию написал, все приобщил к делу.
pps. лиценз. XP prof, NOD32+Agnitum outpost.
#16 Пользователь
Отправлено 11 марта 2010 - 17:30
Предлагаю капчу заменить енумом.
Подписывайтесь кто за.
#17 Знаток
Отправлено 11 марта 2010 - 17:32
...а для этого надо использовать ЗАЩИЩЕННЫЕ, а не дырявые ОС!От трояна не спасет ни enum, ни токен, ни чего. Можете даже не писать у кого какая защита стояла, это все бессмысленно при трояне. Нужно защищать саму транзакцию.
Правда, почему-то, под них классик писать не хотят!
Догоним и перегоним Howardа! И Наталью тоже! И Firebadge, как же без него!
#18 Участник
Отправлено 11 марта 2010 - 17:56
Следует помнить, что браузер в первую очередь предназначен для отображения веб-страниц, защита ядра программы и движка по исполнению надстроек там по идее на порядки ниже, чем в клиентах специально разработаных для выполнения финансовых операций. Я крайне удивлен прочитав Ваше сообщение. Единственное, что я подумаю по поводу блокировки по IP, но читаем приведенную ссылку.
2Vyacheslav: Из психологии воров: злоумышленники обычно не охотяться за какими-то конкретным человеком, они берут то, что "плохо" лежит, естественно именно за моим окладом в НИИ никто не охотился. По поводу мозгов без пяти минут кандидата наук по системному анализу будте аккуратнее в выражениях. Если уж хотите показать, свои способности и их отсутствие у окружающих, то лучше говорить про неинформированность пользователей по каким-либо вопросам или халатность при отношении к чему-либо.
#19 Знаток
Отправлено 11 марта 2010 - 18:13
2WMID 234064988281 : Долго рассказывать про бесполезность Ваших решений, просто прочитайте эту ветку: http://forum.kaspers...hp/t154121.html (сообщения tolik777)
Следует помнить, что браузер в первую очередь предназначен для отображения веб-страниц, защита ядра программы и движка по исполнению надстроек там по идее на порядки ниже, чем в клиентах специально разработаных для выполнения финансовых операций. Я крайне удивлен прочитав Ваше сообщение. Единственное, что я подумаю по поводу блокировки по IP, но читаем приведенную ссылку.
У этого горе-админа кривые руки и дырявая винда дома. Вот оттуда всё и воруется!
А линукс, даже такой "старый", как в его случае, взломать ОЧЕНЬ сложно!
И не стоит забывать, что в *NIX все права сильно разграниченны и если не работать по root'ом, то никаких важных данных упустить не получится!
Догоним и перегоним Howardа! И Наталью тоже! И Firebadge, как же без него!
#20 Знаток
Отправлено 11 марта 2010 - 18:16
Догоним и перегоним Howardа! И Наталью тоже! И Firebadge, как же без него!