| Night |
Дата: Воскресенье, 16.10.2011, 21:14 | Сообщение # 1 |
| Сообщений: | 4581 | |
| Награды: | 116 | |
| Репутация: | 57 | |
| Статус: | Оффлайн | |
|
Установкой ENUM-авторизации для каждой операции проблемы с безопасностью Webmoney все же не решились. Если вы ещё не в теме, то почитайте мои советы по безопасному использованию данной системы и про подключение ENUM-авторизации для каждой транзакции.
Итак, после установки enum-авторизации для каждой операции, я подумал, что мои деньги с кипера ну никак не увести. Оно и не удивительно - буквально для каждого движения требуется подтверждение через шифроблокнот, установленный на телефоне. Но всё перевернулось с ног на голову в тот день, когда у Маула увели 20к$. Само собой, у него была подключена enum-авторизация для каждой операции + стояли все нужные антивирусы и прочие блокировки по IP. И всё это его не спасло. Мир рухнул. Я сразу вывел всё деньги на Epass на всякий случай, оставил на кипере сто баксов на оплату всяких мелочей.
К сожалению, у Маула пост получился не особо информативный в плане способа отъёма у него денег. Только мелькает сообщение про “авторизацию через WM-mini”, и в комментариях всплывают слова про доверенности.
Само собой, данная тема меня крайне заинтересовала, и я пошел на форум Webmoney. Данный форум - отдельная песня. Строгое соблюдение чистоты имени Webmoney - главный девиз некоторых посетителей этого форума. Доходит до того, что некоторые кадры стучат на тех, кто назвал webmoney гнилой конторой. Стучат в арбитраж. Само собой строгая модерация тем на форуме, и прочие элементы тоталитаризма, но в итоге всё равно плодятся темы о том, что у людей уводят бабло через Webmoney Mini.
На этом форуме я и нашел пост человека, который расписал мошенническую схему, с использованием передачи доверенности на mini-кошелек. Само собой, сообщение этого человека было отмодерировано, и вся важная информация из этого сообщения была удалена. Но ничего - я с ним связался через icq, и у нас случилась интересная беседа. Предлагаю вашему вниманию выдержки из нашего разговора с Алексеем:
Kareg:
Добрый день, Алексей. Вы описывали схему кражи Webmoney через доверенный кошелек, этот пост был удален. Хотелось бы услышать его.
Алексей Латий:
Приветствую, Александр. Да, описывал. Она очень проста. Нужно подделать пару писем и убедить жертву подключить мини кипер.
Скажем, вы пишите WebMoney на форуме, что у вас какая-то проблема. Мошенник находит ваше сообщение и пишет вам ответ, якобы от службы WebMoney. Мол, для решения вашего вопроса нужно подключить или перейти на МиниКипер.
Далее мошенник инициирует процедуру регистрации МиниКипер со своим логином и паролем, но на ваш e-mail. Вы нажимаете ссылку, подтверждаете активацию мини.
Далее мошенник присылает вам ссылку или просто убеждает подключить к зарегистрированному МиниКипер кошельки. Как только вы это сделаете, деньги с кошельков выводятся, так как мошенник имеет свой логин и пароль к МиниКиперу, который вы активировали.
Kareg:
Используется именно Мини, потому что на нем нет Enum авторизации для каждой операции?
Алексей Латий:
Да, на нем только логин и пароль.
В итоге, нужно:
Подтвердить активацию мини (от WebMoney приходит настоящее не фальшивое письмо с запросом на активацию).
Подключить к новому МиниКиперу разрешение на управление кошельками.
Если вас убедили, что МиниКипер - это решение вашей проблемы, как было в моем случае, то вы кошельки подключите. Таким образом, можно абсолютно безнаказанно воровать у пользователей системы WebMoney их деньги и все будет хорошо.
Kareg:
Не секрет, что существует такой софт как Webmoney Grabbing System - которым много было взломано кошелей, до введения enum-авторизации под каждую операцию. А если подобный софт сделать, для данной дырки ( по другому не назовешь) то от этого в данный момент вообще нет защиты.
Алексей Латий:
Я думаю, что теоретически можно заставить компьютере жертвы запустить какие-то механизмы активации, но по факту это довольно сложно технически. Вообще нет, не будет и вообще дыры нет. А позиция WebMoney просто странная. Они даже не платят тем людям, которые осуществляют тех поддержку клиентов (речь идет о поддержке на форуме).
Kareg:
Теперь возникает такой вопрос. А что делать? Как обезопасить себя от кражи через вм мини? Смотреть в оба, и не кликать по ссылкам? Или можно как-либо вообще отключить подобную возможность доверия? Может что-нибудь стоит предложить самой ВМ, для закрытия данного слабого места?
Алексей Латий:
Верно, не кликать по ссылкам, если не понятно, что они делают. Так же можно уточнять подлинность контактов WebMoney на форуме или в поддержку через внутреннюю почту кипера.
-”Или можно как-либо вообще отключить подобную возможность доверия?”
Не возможно.
-”Может что-нибудь стоит предложить самой ВМ, для закрытия данного слабого места?”
Было сказано, что клиенты сами виноваты. Механизм доверенного управления прекрасен и отключать его нет смысла.
Kareg:
Ну вот, как минимум, можно было бы сделать подтверждение подачи доверительно управления через enum-авторизацию.
Алексей Латий:
Это не поможет, если перед клиентом стоит задача: активировать мини для решения проблемы. Если эту задачу нужно выполнить, то клиент на все пойдет до конца.
Единственное, что можно было бы сделать - это переписать текст уведомления, который приходит по почте. Там было сказано: если вы не активировали КиперМини, то не кликайте, игнорируйте письмо. Я на тот момент уже не мог понять, активировал я регистрацию КиперМини своими вопросом на форуме или нет.
То есть мне не понятно было это сообщение. Так же не было предупреждения о том, что КиперМини не помогает решить какие либо проблемы. А так как пользователи этого не знают, то мошенники пользуются.
Давайте подведем итоги. Мошенническая схема с использованием доверенных WM-mini кошельков опирается на социальную инженерию. Вам могут прислать письмо с подделанным адресатом, где вас попросят обновить якобы корневой сертификат, и подключить поддержку WM-mini. В рабочей запарке даже вебмастер может ничего не заподозрить и подтвердить создание wm-mini кошелька, и передачу ему доверия. Скорее всего именно так и произошло с Маулом.
Пугает другое - возможность появления софта, заточенного под данную схему, который будет работать уже с вашего компа. То что, никакие антивирусы и файерволлы не спасают - это уже никому объяснять не приходиться. Для защиты от такого софта, нужно как минимум сделать подтверждение через enum-авторизацию на создание кошельков для wm-mini и передачу доверия на другие wmid/кошельки. Такая авторизация спасет от вирусного софта, но как уже было сказано при переписке, она не спасет от социальной инженерии, при которой пользователь своими руками подключит и доверит новому Webmoney Keeper’у Mini управление всеми своими платежами и лишится всех своих денег.
Скорее всего,в данный момент, эта схема носит достаточно точечный характер - мошенники узнают WMID, на котором есть потенциально большие суммы, и “работают” с данной конкретной жертвой. Так, что будьте осторожны - вам могут подсунуть ссылку на разрешение управления кошельками там, где вы этого меньше всего ожидаете. Фраза “деньги любят тишину” в данном случае как нельзя кстати.
Список WMID, которым доверено выполнение операций от вашего имени вы можете просмотреть здесь, любые странности на этой страничке должны вас насторожить.
Какие выводы - да не особо утешительные. Безопасность ваших денег лежит полностью на ваших плечах, и система webmoney не особо горит желанием помогать вам в этой защите. Кражи через wm-mini сейчас стали крайне частым явлением, а воз и ныне там. Смотрите в оба, используйте все доступные вам инструменты, по обеспечению безопасности и не храните на wm большие суммы - держите их на картах систем Epass/Epese, ну или можно воспользоваться таким предложением, как оказание бухгалтерских услуг, чтобы выводить Вебмани вбелую. Epese в этом плане удобней - в вашего EPESE-аккаунта можно переводить деньги напрямую на WM-кошельки.
Взято со стороннего форума
|
|
| webguru |
Дата: Среда, 29.08.2018, 12:20 | Сообщение # 2 |
| Сообщений: | 1 | |
| Награды: | 0 | |
| Репутация: | 0 | |
| Статус: | Оффлайн | |
|
Вот кстати классный материал как подключить Enum к кошельку Webmoney http://webdiz.com.ua/ispolzovanie-enum-dlya-bezopasnogo-vkhoda-v-webmoney
Веду блог webdiz.com.ua как создать сайт. В котором я в доступной форме рассказываю как создать сайт и заработать на нем
|
|
