Так уж случилось, что увели мой Webmoney кошель — соответственно денежки оттуда утекли. Сумма была не очень большая в районе 250-300 долларов, но дело в общем-то не в этом(никогда не храните деньги на webmoney в больших количествах). Несколько строчек о том, как ваши деньги могут украсть несмотря на защитные редуты установленные в вашей ОС, и пара слов о системе webmoney в целом.
Как произошла кража.
В субботу меня выкинуло из кипера, который я запустил буквально ради нескольких операций — и начало писать, что пароль не подходит. Погуглим — и стало ясно, что дело плохо. Сразу же написал в саппорт о краже и просьбе блокировки. Но тут вообще дело интересное — по выходным они не работают, и соответственно кошелек мне заблокировали только в понедельник + предложили писать в арбитраж и подавать заявку на восстановление доступа. То есть, если деньги у вас украдут в выходные — вам никак не связаться с саппортом.
Между тем, проблема эта — достаточно массовая. Есть большие топик на серче, гофаке, на самом форуме вебмани. Как раз-таки ветки на гофаке помогли мне осознать с чем я столкнулся и как с этим бороться.
Советую почитать топики:
- http://gofuckbiz.com/showthread.php?t=15014
- http://gofuckbiz.com/showthread.php?t=14505
Особенно советую обратить внимание на пост http://gofuckbiz.com/showpost.php?p=277113&postcount=47
Повторю его и у себя:
WM Inside
WebMoney Grabbing System
Программа предназначена для получения доступа к счетам пользователей WebMoney Keeper Classic.
При авторизации пользователя в системе (входе в кипер) программа грабит все необходимые авторизационные данные и отсылает на сервер. Никаких подмен номеров кошельков в буфере обмена, распознавания капч, программного нажатия кнопок, социнженерии и прочих “детских” методов. Вы сами сольете титульные знаки, когда посчитаете нужным. Не требуется доступ к мылу пользователя для активации. Всю необходимую инфу об оборудовании и системе пользователя трой собирает и отправляет на сервер.
* Написан на ассемблере. Размер билда: 9 кБ (Файл несжат).
* Каждый билд криптуется уникальным ключем. (В будующем планируется полиморф).
* Работа троя невидима для фаерволлов.
* В хороших отношения со всеми известными антивирусами. (VirusTotal: 0/39).Работа происходит следующим образом.
После запуска ЕХЕ, трой устанавливается в систему (при наличии в ней WebMoney Keeper Classic) и самоудаляется сразу если он отсутствует. При следующем входе пользователя в систему WebMoney (при вводе WMID и пароля) сграбленная инфа отправляется на сервер, после чего трой самоудаляется.
К трою прилагаются скрипты: сборщик логов и просмотр лога в онлайн. Скрипты на PHP, БД не требуется. Сграбленная инфа отображается в Online Log-Viewer’e по каждому ВМИДу, непосредственно оттуда она может импортироваться методом Copy+Paste в клиент (либо можно скачать и сохранить в файл).Клиент представляет собой приложение, предназначенное для запуска из-под него Кипера с целью подмены в нем данных на нужные (сграбленные).
Клиент запускает Кипер и производит необходимые изменения в памяти процесса Кипера, в результате чего Кипер передает на сервер ВМ не реальную информацию, а ту инфу, которую трой сграбил на машине пользователя (системная инфа и инфа об оборудовании).
Этим достигается “прозрачный” вход на счет пользователя без необходимости активации оборудования по мылу или телефону. Клиент имеет приятный и интуитивно понятный графический интерфейс, работа с ним осуществляется “в два клика” — Log-Viewer: Ctrl+C; Client: “Import”,Ctrl+V,”Run Keeper” — и Вы уже на нужном счете.
Клиент с Кипером можно запускать и на виртуальной машине — поскольку инфа об оборудовании подменяется, сервер WebMoney не узнает, что Кипер запущен на виртуальной машине.
Важная особенность — клиент имеет возможность соксификации Кипера. Для этого используется прокси-движок известной программы FreeCap. Вам не нужно запускать Кипер из FreeCap’a, в клиенте включаете опцию “Use FreeCap” и при запуске Кипера его соединения будут пущены через сокс, задаваемый в FreeCap’e (а в нем можно задавать как Socks 4/5, HTTP Proxy с авторизацией или без, так и цепочки из соксов). Поскольку Кипер передает на сервер локально определяемый IP адрес, то рекомендуется также использовать VPN (а также для безопасности). Сграбленная инфа может импортироваться и экспортироваться в/из клиент(а) как в виде текста (непосредственно из Log-Viewer’a), так и в виде файла, который может быть скачан из того же Log-Viewer’a или сохранен из клиента.
Вот видимо от такой, либо подобной штуки меня не спас ни антивирус, не файерволл, ни постоянно обновляемая винда, ни дополнительное программное обеспечение, установленное у меня ради безопасности моего кошелька.
Само собой у меня стояла и блокировка по IP, ключи на компе не хранились, активация привязана была к телефону. Но по самой механике работы вредоносного ПО становиться понятно — эти защитные функции просто бесполезны. По этой же причине не спасала ранее и Enum-Авторизация. Но сейчас кое-что изменилось, но об этом позже.
Итак, мои действия сейчас:
- Форматирование жестких дисков на компе, ноуте + форматирование флешек.
- Установка заного WINXPSP3 + постоянно поддержка их в актуально состоянии.
- Установка антивируса, файерволла, софта типо Trojan Remover и т.д.
- Установка VMWARE, на неё ставится образ UBUNTU, на неё ставиться keeper light и только через этот образ будет проходить использование webmoney и иных платежных систем. Никакой иной активности в этом образе производиться не будет.
- Так как я немогу отказаться от использования браузера Firefox в пользу Opera, в нем отключу флеш, уберу из плагинов acrobat + стоит сопоставить pdf файлы как txt.
- Также установить к FF аддон noscript для устранения айфреймов + различных скриптов на страницах. Также в нем есть возможность блокировки flash-элементов и запрет исполнения pdf-файлов в браузере.
Стоит отметить, что буквально несколько дней назад вышла новая версия Webmoney Keeper Classic, в которой сделали возможность КАЖДУЮ операцию подтверждать через ENUM. Отличное нововведение, которое, возможно, позволит не использовать достаточно напряжный способ с Vmvare.
Такие вот дела. Стоит отметить ненавязчивый сервис вебмани:
- Не работает саппорт по выходным, не заблокировать свой кошель в случае чего.
- Восстановление контроля над кошелем идет в течении 20! рабочих дней. Причем после подачи заявки, тебе говорят прислать сканы и прочие данные, после их отсылки, через пару-тройку дней приходит ответ — что заявка будет выполнена в течение 20 рабочих дней. То есть, процесс идет ОТ месяца. А нужно-то выслать новый файл ключей и сгенерировать новый пароль.
С другой стороны — мне потеря моего кошелька очень сильно показала насколько я привык к WM как платежному средству. Купить десяток доменов, оплатить хостинг, платно добавить сайт в яндекс каталог (yaca), оплатить оплатить покупки, оплатить интернет — быстро, удобно, за 5 секунд и 10 кликов. Есть одна проблема — по сути нет нормальных альтернатив WM.
И после потери кошелька остаешься словно без рук. Это я на себе испытал сполна 
И на партнерках кошельки для выплат менять, да и потеря денег неприятна. Но самое неприятное это то, что обычные меры безопасности не спасают от потери заработанного бабла.
Надеюсь, что введение ENUM-авторизации на каждую операцию решит данную проблему. Советую всем подключить эту возможность. Желаю всем не наступать на грабли, на которые наступил я.
P.S У меня оказывается продолжается обмен постовыми. Выполняю просьбу. Вебмастер с ником seoexecutor, рассказывает о Сео.