«Помогите, украли Webmoney!»
20.07.2010 14:28
...на большинство других валют, затем вывод в пользу третьих лиц. Наконец, пользователи были принуждены обновить сертификаты и использовать обновленный ENUM. Причиной всех этих пертурбаций стали участившиеся кражи.

На написание этой статьи меня «вдохновили» несколько нашумевших краж за последние пару месяцев. К сожалению, о положительном разрешении вопроса до сих пор ничего не было слышно и, откровенно говоря, надежд на то, что деньги удастся вернуть все меньше.

Первый инцидент произошел с редактором интернет-издания СNews.ru и был описан в статье «Дерзкое ограбление в WebMoney: все рубежи защиты преодолимы». У пострадавшего была украдена 41 тыс. рублей (примерно 10 тыс. грн) и выведена через банковский счет. Ценность статьи заключается в том, что в ней подробно излагается процесс взаимодействия со службой поддержки системы WebMoney, комментарий ее представителя и рекомендации по обжалованию противоправных действий.

Второй случай приключился с известным блоггером и «SEO-гуру» Даниилом «Маулом» (Maulnet.ru). Сумма, «уведенная» злоумышленниками, приближалась к $20 тысячам вечнозеленых WMZ. В своей заметке об этом событии Маул отметил интересный факт относительно того, что злоумышленникам удалось обойти защиту каждого платежа сервисом E-Num. Новая схема кражи включала в себя махинации с новым типом кошелька – Webmoney Keeper Mini.

Принявшись за исследование вопроса о кражах с кошельков пользователей системы WebMoney, я раскопал некоторую историю развития мошеннических и хакерских приемов, которые позволяют нечестным людям наживаться за чужой счет.

Номер кошелька

Кредитный мониторинг
Вам срочно понадобились деньги, и вы не знаете, у кого их занять? Самый простой, быстрый и удобный способ взять кредит в WMZ. На нашем сайте вы найдете систематизированную информацию по предложения кредитов вебмани.
Одними из наименее затратных способов мошенничества была и продолжает оставаться так называемая социальная инженерия, проще говоря – развод. Прежде всего, старайтесь не «светить» в Сети лишний раз номер ваших кошельков. Сам по себе номер кошелька не даст злоумышленникам никакого доступа к вашим средствам. Зато они могут спокойно выставить вам счет, указав в назначении платежа что-нибудь невинное вроде оплаты услуг хостинга.

Печальная практика показывает, что нередко пользователи, которым часто приходится оплачивать большое количество счетов, делают это машинально не особенно вникая – кто и за что именно выставил счет.

Keeper Classic

Приложение для работы с Webmoney, известное как Keeper Classic, является, пожалуй, наиболее уязвимым из всех способов авторизации в платежной системе.

Еще в декабре 2005 года журнал «Хакер» писал: «Вопреки всем заверениям разработчиков, система WebMoney катастрофически ненадежна и вскрывается буквально ногтем. Существует множество червей, троянов и хакерских групп, специализирующихся на похищении электронных кошельков, кражи которых приняли массовый характер».

И далее там же: «Несмотря на то, что в последнее время появился целый комплекс «противопожарных» мер, приляпанных задним числом, положение остается критическим. Пользователи путаются в системах защиты, служба поддержки дает довольно туманные и расплывчатые рекомендации (обновить Windows, настроить брандмауэр и т.д.), а тем временем кражи электронных кошельков продолжаются».

Одна из схем кражи денег через Keeper Classic предусматривает внедрение троянских программ на компьютер пользователя, которые находят и вызывают файл ключей, необходимый для работы кипера. После этого троянец может отформатировать жесткий диск, чтобы исключить возможность пользователю оперативно пожаловаться в Арбитраж Webmoney.

Впрочем, возможно, что разработчики предприняли меры против этой известной схемы, потому что в начале нынешнего года большую популярность приобрел другой троянец. Подхватить его можно было на популярных торрент-треккерах, в частности он был замечен на RuTracker.org.

Особенность этого «зловреда» заключалась в том, что ему не требовался файл ключей и E-mail, на который приходит подтверждение на смену оборудования. Этот троян собирал своего рода виртуальный «образ» вашей системы и позволял хакеру запустить программу Webmoney Keeper на компьютере злоумышленника. Ни антивирусы, ни фаерволы не обеспечивали надежной защиты от этого троянца.

Данный троян собирался из нескольких компонентов, главным из которых являлся dll файл, маскирующийся под системный файл, который находится в папке Windows/System32. Благодаря этому файлу злоумышленник получал доступ к киперу.

Обычно деньги, похищаемые таким образом выводились через банки или обменники на подставных лиц – «дропов», которыми вполне могли оказаться ничего не подозревающий бомж, пенсионерка или студент, документами которых обманным путем завладели злоумышленники.

В целях противодействия этой схеме с апреля Webmoney принял правило, согласно которому вывод средств в пользу третьих лиц был запрещен: чтобы снять деньги, персональные данные владельца WMID и держателя платежной карты или банковского счета должны совпадать. Немного неудобно для честных граждан, но, в общем, правильно. Хотя по таким правилам несовершеннолетний подросток, заработавший (допустим честно) вебмани в сети, уже не сможет вывести их на карту родителей.

Так вот, к сожалению, данная мера не смогла остановить кражи Webmoney при помощи троянов. Самая свежая схема мошенничества заключается в том, что вредоносное приложение заводит дополнительное средство авторизации для основного WMIDKeeper Mini – без ведома владельца. А вот с этого-то кипера злоумышленники уже переводят себе деньги в счет оплаты «липовых» услуг.

Keeper Light

К сожалению, опасности подстерегают не только пользователей программного кипера. Если вы используете доступ к кошелькам через WEB-интерфейс, вам тоже есть чего опасаться. При том, что сертификаты, обеспечивающие доступ пользователя к системе, достаточно надежно защищены, существует способ, при котором вредоносное ПО симулирует работу браузера таким образом, чтобы авторизироваться в WebMoney при помощи сертификата и совершить перевод денег мошенникам.

Чтобы воспрепятствовать такой схеме, разработчики относительно недавно ввели графические проверочные коды (капчи) на стадии авторизации. Расчет сделан на то, что примитивный троянец не распознает символы. Возможно это и так, однако, кто знает, что ожидает нас в будущем? По-крайней мере уже существуют алгоритмы распознавания графических символов, а весь предыдущий опыт показывает, что хакеры могут быть невероятно изобретательными, если речь идет о деньгах. Так что расслабляться пользователям Keeper Light тоже не рекомендуется.

Мобильный мидлет ENUM

Теоретически, наиболее безопасным средством авторизации в Webmoney на сегодняшний день является сервис ENUM. Однако уже упомянутый выше пример Даниила «Маула» свидетельствует о том, что при открытии дополнительного кипера Mini, ENUM злоумышленникам тоже удалось обойти. А это уже тревожный знак.

«Караул, грабят!»

Как быть, если у вас возникло подозрение, что что-то неладно? Тревогу стоит бить, если:

с ваших кошельков внезапно исчезли деньги;
кипер сообщает об авторизациях с неизвестного IP-адреса или при помощи Keeper Mini, которого вы не заводили;
вы утратили контроль над WMID и не можете авторизироваться.

Что делать?

Первым делом необходимо связаться со службой поддержки и попросить заблокировать Ваш WMID на вывод средств. Есть ничтожная вероятность того, что хакеры не успели перевести деньги. После этого необходимо тщательно почистить систему от вирусов, после чего пройти стандартную процедуру восстановления доступа к WM идентификатору (http://key.wmtransfer.com/).

Если мошенники все-таки успели украсть деньги, нужно выяснить у сотрудников Webmoney цепочку, по которой они были выведены в банк. После этого необходимо обратиться в службу безопасности банка и попросить предоставить данные о владельце счета. А вот дальше, располагая этими данными, необходимо обратиться с заявлением в милицию.

Правда тут ситуация может осложниться тем, что система международная, и если деньги ушли, например, в Россию, то украинское МВД здесь, скорее всего, умоет руки. Впрочем, стоит не опускать руки и активнее наседать на украинского гаранта Webmoney и, возможно, вам улыбнется удача. По-крайней, мере прецеденты с поимкой горе-хакеров имели место быть.

Меры предосторожности

Думаю, из всего выше сказанного уже понятно, что крупные суммы лучше всего не хранить на ваших кошельках Webmoney. Если денег нет, то и воровать нечего. Таким образом, рекомендации для пользователей, желающих максимально обезопасить себя от угрозы воровства денег из системы Webmoney, могут быть следующими:

Не храните в системе большие суммы денег. Старайтесь сразу же тратить их или выводить в банк.

Рекомендую также активировать уведомление по SMS о движении денег на ваших кошельках (http://notify.webmoney.ru), чтобы оперативно выводить деньги или быть в курсе несанкционированных манипуляций.

Своевременно обновляйте Keeper Classic до самой последней «залатанной» версии.

Используйте для работы с Webmoney отдельный компьютер – например, самый дешевый нетбук. Используйте его в редких случаях только для работы с платежами, и не ходите через него по Интернету. Лучше будет также не включать его в локальную сеть и использовать другого Интернет-провайдера.

Храните ключи и сертификаты на сменном носителе и подключайте только на время сеанса.

Удаляйте сертификаты Keeper Light после окончания сеанса работы с Webmoney.

Не держите Keeper Classic запущенным постоянно! Удалите его из автозагрузки и из панели задач.

Обеспечьте достаточную безопасность при помощи фаервола и антивируса. Не забывайте своевременно обновлять их.

Помните, что в вопросах, когда речь идет о деньгах, лучше «перебдеть», чем «недобдеть». Многие фрилансеры избегают обращаться в милицию с заявлениями, опасаясь, что их источниками доходов может заинтересоваться налоговая. На самом деле именно на это и рассчитывают злоумышленники. Здесь, конечно, трудно советовать что-то конкретное, но здравый смысл подсказывает, что если речь идет о достаточно крупных суммах, то лучше заблаговременно позаботиться о легализации доходов, путем регистрации какой-нибудь самой простой формы частного предпринимательства на фиксированном едином налоге.

Главное, не забывайте золотое правило о том, что спасение утопающих – дело рук самих утопающих.
Андрей Майданик
InternetUA