Улыбаемся и машем…или как у меня украли деньги с Webmoney
Ровно месяц назад у меня взломали WebMoney эккаунт с нехилой суммой в несколько килобаксов, которые я собирался вывести на расчетный счет и не успел. В итоге, после восстановления доступа, осталось 0,36 WMZ и 50 руб. на счету. Не спасли ни антивирус Avast, который я никогда не отключал и регулярно обновлял, ни образование «инженер по специальности ‘безопасность компьютерных систем’», которые я получил в политехническом институте.
Этот месяц я потратил на ликвидацию безграмотности относительно защиты электронных денег и общение с Отделом ‘К’ УВД г. Нижнего Новгорода. Чем кончится дело в милиции, я пока не знаю, поэтому напишу об этом по факту. А советы о том, как минимизировать риск кражи электронных денег, я дам вам сейчас. Как говорится, «мне бы эти знания месяц назад»…
О чем я расскажу в статье:
- Целесообразность защиты
- Защита от вирусов и троянов
- Про пароли
- О пользе работы «по белому»
- Защита электронных кошельков от взлома
- Как у меня украли деньги
Подробно обо всем ниже.
1. Решите, насколько для вас важны электронные кошельки (WebMoney, Yandex.Деньги) и безопасность данных на компьютере. Если на кошельках оборот не больше 500 рублей в месяц, волноваться особенно не стоит, вероятность, что ими заинтересуются, низкая. Если же оборот составляет несколько килобаксов, имеет смысл подумать о надежной защите. Для меня было особенно болезненно даже не то, что украли большие деньги, а то, что я потерял на две недели контроль над эккаунтом и на некоторое время BL (на момент кражи он был 183). В итоге, я не мог принимать платежи, которые присылаются по расписанию с различных партнерских программ, а также не мог расплачиваться с фрилансерами, которые пишут статьи, делают рассылки и пр. Слава Богу, доступ восстановил, фрилансеры отнеслись с пониманием, а BL Вебмани вернули на прежний уровень.
Примите решение, какой уровень защиты вы выбираете для своих кошельков: высокий или низкий.
2. Защита компьютера от вирусов, клавиатурных шпионов и троянов – это архиважно. Именно они крадут пароли, ключи WM Кипера, а также позволяют получить несанкционированный доступ к электронным кошелькам. Нельзя уберечься от заражения компьютера на 100%, но можно снизить вероятность заражения компьютера, руководствуясь следующей стратегией:
- Установить себе комплексную защиту (антивирус + файрволл + антишпион), причем обязательно коммерческий вариант программного продукта. С недавних пор я не верю в бесплатные антивирусы (типа Avast Home) и в западные коммерческие (типа McAfee). Поэтому я приобрел себе две лицензии Касперского Internet Security 2010 и Dr. Web Security Space Pro, Др. Веб установил на рабочий лаптоп, а Касперского – на десктоп. О своих впечатлениях про эти два продукта я уже писал ранее.
- Обязательно выполняйте полную проверку компьютера раз в месяц. Проактивная защита не спасает от новых вирусов, которых еще нет в антивирусной базе. Они проникают сквозь проактивную защиту антивируса и благополучно живут на компьютере. Регулярная полная проверка всех несменных дисков повышает вероятность обнаружения «троянов» и «шпионов».
- Регулярно обновляйте антивирусные базы. Я поставил обновление баз в режим «параноидальный», в итоге базы обновляются ежедневно – благо, интернет теперь недорогой, нет смысла экономить на трафике.
- После установки комплексной защиты, вручную проверьте конфигурацию и параметры антивируса, файрволла, антишпиона, проактивной защиты. Часто по умолчанию (особенно в Касперском) установлен достаточно лояльный режим работы, который может недостаточно тщательно проверять трафик или файлы (например, архивные). Вручную переключите настройки на желаемый уровень, проверьте, что все «доверенные» приложения действительно «доверенные». В этом плане мне понравился Dr.Web, который по умолчанию не доверяет никому.
- Используйте виртуальную клавиатуру для ввода паролей и «ключей». Встроенная виртуальная клавиатура имеется в Kaspersky Internet Security 2010.
3. Политика безопасности – следующая важная задача. Раньше я пользовался тремя паролями. Два из них были весьма сложными (9 знаков, заглавные и маленькие буквы, цифры), которыми я защищал конфиденциальную информацию, а один был для «публики», им я пользовался при регистрации на форумах. Сейчас я пересмотрел политику безопасности: Все пароли задаю разными и меняю все важные пароли раз в месяц. Причем, пароли делаю вида «HjlkjYtiouff65″. Я долго думал, как их запоминать, в итоге пришел к выводу, что их не надо помнить. Записываем их в текстовые файлы, которые называем какими-нибудь общими словами, например, mylist.txt и сохраняем в какой-нибудь несистемной папке (лучше на сменном носителе). Для ввода пароля просто делаете копи-пейст из файла (вероятность перехвата клавиатурным шпионом в данном случае меньшая, нежели ввод вручную, хотя опасность перехвата остается). Используем для этого специальные программы-менеджеры паролей. При частой смене паролей, такой вариант работы с паролями намного безопаснее варианта, когда у вас есть два суперсложных пароля, которые вы держите в голове и используете на всех возможных ресурсах, вводя вручную.
4. «Честным быть выгодно«
- Первый вопрос, который мне задали в «Отделе К», когда я обратился в милицию, был вопрос «откуда у вас столько денег на Webmoney?». Второй вопрос был «установлена ли у вас лицензионная ОС и софт?». Как видите, глупо обращаться в милицию, если вы нарушаете закон. Я – индивидуальный предприниматель, поэтому я легко объяснил, откуда у меня такие деньги. Также, на моем ноуте установлен только лицензионный софт (Windows 7, the Bat!, Dr.Web, MS Office). В данном случае бояться мне было нечего. В других случаях, не являясь ИП или не имея зарегистрированного ООО, люди даже будучи жертвами, боятся обращаться в правоохранительные органы.
- Аттестат «Продавца» Webmoney – то, что позволило мне вернуть доступ к эккаунту в течение двух недель. В противном случае, процедура восстановления могла затянуться на месяц, а то и более. Если вы серьезно настроены на ведение бизнеса в интернете, получите себе персональный аттестат в системе Webmoney (это стоит не больше $12 ), в результате доверие к вам как со стороны заказчиков, так и со стороны Арбитража Webmoney будет выше.
- Указывайте реальные паспортные данные в Вебмани и Яндекс.Деньгах. Это также помогает избежать блокировок кошелька и ускоряет разблокировку эккаунта в случае «дизастера».
- Не пользуйтесь нелицензионным софтом. Часто в keygen или взломанных приложениях уже встроены трояны и шпионы, которые воруют данные с компьютера. Вы даже не заметите, как у вас «уведут» эккаунт.
5. Мой кошелек – моя крепость. Защищаем эккаунт от несанкционированного доступа. Это, пожалуй, самый главный пункт из всех перечисленных. Запомните, никто и ничто не может гарантировать на 100% защиту от взлома и кражи, но снизить риск взлома и кражи можно, следуя рекомендациям, перечисленным ниже.
Общие рекомендации по усилению защиты Webmoney эккаунта
- Если есть выбор, регистрируйтесь в WM Keeper Light, его взломать сложнее, нежели WM Keeper Classic
- Перейдите на E-NUM авторизацию (или SMS-авторизацию) там, где это возможно
- Для WM Keeper загрузите ключ .kwm в E-NUM хранилище и удалите .init файл с компьютера
- Регулярно меняйте пароли на вход в эккаунт, регулярно меняйте ключи и сертификаты от WMID
- Используйте только один, наиболее защищенный компьютер, для работы с кошельками (фрилансеры с большим оборотом на кошельках обычно покупают нетбук и работают с WebMoney и Яндекс.Деньгами только с него!)
- Без особой необходимости не запускайте WM Keeper
- Для WM Keeper Light импортируйте сертификат без возможности экспортирования с усиленной защитой по паролю
- Используйте сервис СМС-извещений о транзакциях
- Установите суточный лимит расходных операций для доверенных кошельков (если это необходимо)
- Установите блокировку по IP
- Проверяйте, не появилось ли доверенных WMID, прикрепленных к вашему эккаунту (это одна из схем кражи денег)
- Не доверяйте приходящим к вам письмам с требованиями сменить пароль на сайте, выслать ключ от кошелька – это письма от мошенников, Вебмани никогда не просят это сделать через почту
- Не регистрируйте WMID на публичные email ящики, особенно это касается почты на @mail.ru, @yandex.ru и пр. Купите домен с хостингом, организуйте на нем почтовый ящик и укажите его в качестве регистрационного
- Переключите активацию WM Keeper на режим «Активация посредством SMS»
- Не храните большие суммы на электронных кошельках, «храните деньги в сберегательных банках»
Общие рекомендации по усилению защиты Яндекс.Денег
Совет один: Перейдите на усиленную авторизацию с таблицей кодов.
Как у меня украли деньги
И, наконец, я расскажу о том, как у меня увели доступ к WMID и украли деньги. Оказывается, при халатном отношении к безопасности электронных денег сделать это, «как поле перейти». Мошенник делает следующее:
- покупает «трояна» за $100, который «собирают» специально для него (его не видят ни Касперский, ни Dr. Web, ни тем более всякие Avast, NOD и McAfee)
- «подсаживает» его вам на компьютер (например, через один из ваших сайтов, через почту, через ICQ)
- уводит пароль от кипера и волшебный файл <WMID>.init
- запускает кипер внутри специальной виртуальной машины, которая эмулирует аппаратно-программную среду на основе украденного кеш-файла ключей .init (WM Keeper Classic думает, что его запустили на той же машине и не попросить активацию и ключ от кошелька, а также подставит IP адрес из вашей же подсети, поэтому в логах будет ваш IP)
- меняет пароли и ключи, получает полный контроль над деньгами и WMID
Посмотрите пункты 2 и 3 общих рекомендаций по усилению защиты (связаны они с E-NUM авторизацией и E-NUM подтверждением переводов), она делают взлом WMID практически невозможным. Также, если позволяет опыт, можете запускать кипер из под виртуальной машины (например, из под VM Ware). Для любителей острых ощущений, все это можно до кучи настроить под Linux (например, на Ubuntu), тогда враг точно не пройдет.
Увы, всего не описать в одной статье, поэтому если потребуется помощь, напишите мне, чем смогу – помогу.
Так есет и касперский то не особо видят троянов, я себе зачистил троянов антималваре прогой
Недавно прочитал в инете статью, что есть программа, которая обходит все антивирусы. На яндексе вроде была статья.
Яндекс – найдется все.
Оперирую не очень большими суммами, но все равно давно использую ноутбук для работы с кошельками, больше на ноуте нет никакого софта (кроме Аваста
и Outpost). Для рабочей машины удобно использовать Linux, меньше вероятность потерять контроль над важными акками.
Статья однозначно полезная. Спасибо.
Спасибо за отзыв. Что касается линукса в качестве рабочей машины – на него увы не поставишь Фотошоп и MS Office (увы, GIMP и OpenOffice меня не устраивают).
Вот это по делу! Спасибо за такое количество полезной информации! Пересмотрю свое отношение к безопасности обязательно!
Согласен. GIMP и OpenOffice в бесплатной вариации жутко корявые. Работать с ними не ругаясь, не получается. Однако приловчился
А вот фришный Inscape в качестве иллюстратора порадовал. Удобный, быстрый и простой.
Мне больше нужен растровый редактор. Пытаюсь привыкнуть к Paint.Net.
Ну так конечно же. А почему у Вас была связка из только 2х антивирусов?
Купите и установите все возможные же.
Бред полный.
В линуксе замечательно работают и фотошоп и МС офис (хотя, что он умеет такого, чего не умеет опенофис?)
И да, вот еще. А в чём проблема использовать виртуальную машину для веб мани?
Дружище, продолжай использовать Windows и хранить пароли в текстовом файле, это вообще прекрасная идея.
Первое что сделает злоумышленник, который подсадил вам трояна, так это посмотрит список последних файлов, которые Вы открывали. Без лишних усилий откроет mylist.txt со всеми вашими паролями… Выводы делайте сами.
Спасибо за статью! Обязательно усилю безопасность. А как быть тем кто принимает автоматические платежи через сайт в обменниках и магазинах?
@Andrew, вы не внимательны. У меня не было связки из двух антивирусов до кражи. А после я установил Dr.Web на лаптопе, Касперский – на десктопе.
@Alex, Windows мне удобнее, Линукс не предлагать (под него нет кучи софта, который мне нужен для работы). А по поводу хранения паролей – сейчас использую тулзу.
@Антон, использую тулзу для хранения паролей
@Николай, не понял вопроса, чем это отличается в плане необходимости укреплять защиту от тех, кто принимает прямые платежи на кошель?
отличается тем что файлы к кошельку находятся на сервере хостинга. То есть нужно выбирать правильно хостинг и скрипт сайта покупать безопасный. Расскажите какой хостинг брать и где лучше заказывать скрипт?
Сочувствую как земляку и труженику. Что касается антивисусов – ранее пользовался Dr.Web Security Space5.0 + Outpost и жил спокойно, не цеплял ничего, как только перешли на версию 6.0 сам начал пополнять антивирусную базу Данилова заразой выловленной на своем компе. Вывод один -если б не фаервол, который просто не дает запускаться неизвестным екзешникам, то была б беда. С начала этого года отправил в лабораторию DrWeb 4 винлокера и 2 трояна, которым они позже присвоили название по свое классификации. Ежели еще чего пропустит их детище, то пойду к ним зарплату требовать
На другой антивирусник переходить не вижу смысла, 100% гарантий все равно не будет, если троян поработает в системе то и enum авторизация не спасет (Маула не спасла) а значит денежки приходится охранять самому.
) такая же дырявая как и антивирус+фаервол, или руки еще под win7 не заточил как надо 
А по сему, как только денежка упала в кошелек, сразу делаю вывод.
На днях поставил win7 демку, поработал неделю – не понравилось, что то было не так, а вто что не пойму, ведь с семеркой еще не работал. Снес к едрени, поставил сборку win7x64, полез в кошелек а он втророй день уже заблокирован. Саппорт ответил довольно быстро – 2 часа: была попытка проникновения с помощью трояна. Понятно, что в истории входов все подсети были мои, а значит win7 (говорили самая надежная
Оставляем деньги в кошельке только на мелкие расходы!
Привет, земляк! Я тоже из Нижнего. И у меня тоже ломанули ВМИД. Если кому интересно – вот моя история http://knowtruth.ru/forum/viewtopic.php?f=3&t=2&sid=ab1685128540783b6bddf9792e1a3d66
Я согласен со всеми пунктами по безопасности. НО. Разве это беда пользователя, что кипер легко сжирает левый IP-адрес? Я считаю, что это проблема безопасности самой WebMoney. Что ж это за ПО, которое не может даже определить, что ему суют даже не проксь, а вообще левые 4 цифры адреса?
Да и потом – это далеко единственная дыра в WebMoney. Опыт HQHost (http://www.knowtruth.ru/index.php?option=com_content&view=article&id=49:-webmoney-hq-hostcom&catid=1:latest-news&Itemid=50) это отлично доказывает.
«Что ж это за ПО, которое не может даже определить, что ему суют даже не проксь, а вообще левые 4 цифры адреса?»
Как программист заявляю: нельзя написать ПО, которое бы защитилось от подстановки собственного IP адреса (всегда можно написать виртуальную срезу в которой сэмулировать любые параметры, особенно легко подменить сетевой уровень в Windows). Так что вебмани тут ничего не могут сделать. А вообще, я перешел на ENUM авторизацию, стараюсь не держать больших сумм на WMID, поэтому проблема безопасности стала не такой страшной.
Enum тоже не спасает. Обходят это.
А что касается подмены среды – почему-то с другими платёжными системы таких проблем не возникает. В любом случае ВёбМани виноваты в том, что их ПО можно совершенно спокойно вскрыть.
Не держать больших сумм – это единственный выход. А это лишний раз подтверждает, что доверять ВёбМани нельзя.
Да, у меня тоже пропало всякое доверие вебманьке, с которой до последнего времени проблем не было. 29.09.2010, какой-то упырь слил все бабки со счёта через ОАО «В Контакте»… Начал искать пути решения этой проблемы, чтобы такого больше не повторилось и пришёл в ужас от дырявости вебмани. Такого количества ругательных отзывов я не видел в адрес ни одной другой системы… теперь ломаю голову над тем, что делать? То ли переходить на другую систему (что очень неудобно, так как давно работаю по WM), то ли искать пути повышения сохранности инфы…
Ну что? Принимайте в клуб. Ситуация практически аналогичная описанной автором этого блога. Правда к моему счастью сумма получилась меньше чем слитая у Григория. Так если у него речь идет о килобаксах, то у меня о килорублях =) Отчасти благодаря моим оперативным действиям по пресечению деятельности вируса и как следствие спешке воров. Кое-какие мысли позаимствовал из этого поста. В частности цену вируса и еще хорошее напоминание про лицензионный софт. Я ведь как-то и забыл об этом когда собрался пойти в овд.
Моя история http://erun.ru/seo/modules/Articles/article.php?storyid=104
Поздравлять тут, особенно, не с чем
У меня недавно (несколько дней назад) тоже были украдены деньги. И это при том, что стояли все блокировки ( и по ай пи). Ключи на компе не хранились. Коды о разблокировке приходили только по смс.
Я даже стал задумываться, а не сами сотрудники вэбмани воруют у своих пользователей? Пошарив по инету, увидел, что такие догадки не только у меня.
По поводу суппорта и арбитража вэбмани – это или некомпетентные люди с неоконченным средним образованием, или им на все пофиг, или, дейтвительно, воруют сами. Такие выводы сделал из преписки с ними же.
Система безопасности крайне не надежна и, к тому же, сложновата (может, поэтому и ненадежна).
Вот, к примеру, ]]>https://liqpay.com]]>. У них номер счета – номер мобильного. Каждый раз, когда заходишь в свой счет, вводишь номер мобильного, в ответ приходит смс с паролем, вводишь его в форму и все – ты в аккаунте! И не надо никаких ключей и тп! Почему же нельзя это реализовать в вэбмани??? Я им задавал такой вопрос, но он был проигнорирован! Вот так…
Еще хочу добавить, что вина должна ложиться только на вэбмани за то, что у них воруют деньги пользователей! Столько прецендентов, а они не делают никаких телодвижений! Отписываются заранее заготовленными шаблонами! Считаю, что иски в суды пора подавать именно на вэбмани, таким образом, заствив выплатить компенсации и ущербы пользователям, подтолкнуть их пересмотре своей системы безопасности, или, если ничего не изменится, прикрыть эту контору!
Сегодня, в 4 утра 25 минут некий господин из владивостока, с айпишника канадского вычистил мой ВМИД, оставив на бедность 37 копеек, скотина!
Смму взял баксов 500, не так много, но обидно до чертиков. Пересматриваю защиту компа и кошельков в срочном порядке, основываясь на Ваших совеах.
ВебМани таит в себе огромную опасность…
Григорий, вы как программист, подумайте и расскажите в своём блоге, о том какой должна быть защищённая платёжная система. Как обеспечить 100% гарантию от взлома. Не надо говорить что это невозможно – ничего не возможно нет. Решение всегда можно найти.
Чем сильнее защита, тем менее удобно пользоваться системой. На счет того, что таит в себе Вебмани – не могу ничего комментировать. Я продолжаю пользоваться этой системой электронных платежей, потому что альтернативы пока нет. В принципе, я ей доволен (пользуюсь enum авторизацией, запускаю кипер на отдельном ноуте).