Enum — не панацея

   Рубрика: Финансы


Установкой ENUM-авторизации для каждой операции проблемы с безопасностью Webmoney все же не решились. Если вы ещё не в теме, то почитайте мои советы по безопасному использованию данной системы и про подключение ENUM-авторизации для каждой транзакции.

Итак, после установки enum-авторизации для каждой операции, я подумал, что мои деньги с кипера ну никак не увести. Оно и не удивительно — буквально для каждого движения требуется подтверждение через шифроблокнот, установленный на телефоне. Но всё перевернулось с ног на голову в тот день, когда у Маула увели 20к$. Само собой, у него была подключена enum-авторизация для каждой операции + стояли все нужные антивирусы и прочие блокировки по IP. И всё это его не спасло. Мир рухнул. Я сразу вывел всё деньги на Epass на всякий случай, оставил на кипере сто баксов на оплату всяких мелочей.

К сожалению, у Маула пост получился не особо информативный в плане способа отъёма у него денег. Только мелькает сообщение про “авторизацию через WM-mini”, и в комментариях всплывают слова про доверенности.

Само собой, данная тема меня крайне заинтересовала, и я пошел на форум Webmoney. Данный форум — отдельная песня. Строгое соблюдение чистоты имени Webmoney — главный девиз некоторых посетителей этого форума. Доходит до того, что некоторые кадры стучат на тех, кто назвал webmoney гнилой конторой. Стучат в арбитраж. Само собой строгая модерация тем на форуме, и прочие элементы тоталитаризма, но в итоге всё равно плодятся темы о том, что у людей уводят бабло через Webmoney Mini.

На этом форуме я и нашел пост человека, который расписал мошенническую схему, с использованием передачи доверенности на mini-кошелек. Само собой, сообщение этого человека было отмодерировано, и вся важная информация из этого сообщения была удалена. Но ничего — я с ним связался через icq, и у нас случилась интересная беседа. Предлагаю вашему вниманию выдержки из нашего разговора с Алексеем:

Kareg:
Добрый день, Алексей. Вы описывали схему кражи Webmoney через доверенный кошелек, этот пост был удален. Хотелось бы услышать его.

Алексей Латий:
Приветствую, Александр. Да, описывал. Она очень проста. Нужно подделать пару писем и убедить жертву подключить мини кипер.
Скажем, вы пишите WebMoney на форуме, что у вас какая-то проблема. Мошенник находит ваше сообщение и пишет вам ответ, якобы от службы WebMoney. Мол, для решения вашего вопроса нужно подключить или перейти на МиниКипер.
Далее мошенник инициирует процедуру регистрации МиниКипер со своим логином и паролем, но на ваш e-mail. Вы нажимаете ссылку, подтверждаете активацию мини.
Далее мошенник присылает вам ссылку или просто убеждает подключить к зарегистрированному МиниКипер кошельки. Как только вы это сделаете, деньги с кошельков выводятся, так как мошенник имеет свой логин и пароль к МиниКиперу, который вы активировали.

Kareg:
Используется именно Мини, потому что на нем нет Enum авторизации для каждой операции?

Алексей Латий:
Да, на нем только логин и пароль.
В итоге, нужно:

  1. Подтвердить активацию мини (от WebMoney приходит настоящее не фальшивое письмо с запросом на активацию).
  2. Подключить к новому МиниКиперу разрешение на управление кошельками.

Если вас убедили, что МиниКипер — это решение вашей проблемы, как было в моем случае, то вы кошельки подключите. Таким образом, можно абсолютно безнаказанно воровать у пользователей системы WebMoney их деньги и все будет хорошо.

Kareg:
Не секрет, что существует такой софт как Webmoney Grabbing System — которым много было взломано кошелей, до введения enum-авторизации под каждую операцию. А если подобный софт сделать, для данной дырки ( по другому не назовешь) то от этого в данный момент вообще нет защиты.

Алексей Латий:
Я думаю, что теоретически можно заставить компьютере жертвы запустить какие-то механизмы активации, но по факту это довольно сложно технически. Вообще нет, не будет и вообще дыры нет. А позиция WebMoney просто странная. Они даже не платят тем людям, которые осуществляют тех поддержку клиентов (речь идет о поддержке на форуме).

Kareg:
Теперь возникает такой вопрос. А что делать? Как обезопасить себя от кражи через вм мини? Смотреть в оба, и не кликать по ссылкам? Или можно как-либо вообще отключить подобную возможность доверия? Может что-нибудь стоит предложить самой ВМ, для закрытия данного слабого места?

Алексей Латий:
Верно, не кликать по ссылкам, если не понятно, что они делают. Так же можно уточнять подлинность контактов WebMoney на форуме или в поддержку через внутреннюю почту кипера.
-”Или можно как-либо вообще отключить подобную возможность доверия?”
Не возможно.
-”Может что-нибудь стоит предложить самой ВМ, для закрытия данного слабого места?”
Было сказано, что клиенты сами виноваты. Механизм доверенного управления прекрасен и отключать его нет смысла.

Kareg:
Ну вот, как минимум, можно было бы сделать подтверждение подачи доверительно управления через enum-авторизацию.

Алексей Латий:
Это не поможет, если перед клиентом стоит задача: активировать мини для решения проблемы. Если эту задачу нужно выполнить, то клиент на все пойдет до конца.
Единственное, что можно было бы сделать — это переписать текст уведомления, который приходит по почте. Там было сказано: если вы не активировали КиперМини, то не кликайте, игнорируйте письмо. Я на тот момент уже не мог понять, активировал я регистрацию КиперМини своими вопросом на форуме или нет.
То есть мне не понятно было это сообщение. Так же не было предупреждения о том, что КиперМини не помогает решить какие либо проблемы. А так как пользователи этого не знают, то мошенники пользуются.

Давайте подведем итоги. Мошенническая схема с использованием доверенных WM-mini кошельков опирается на социальную инженерию. Вам могут прислать письмо с подделанным адресатом, где вас попросят обновить якобы корневой сертификат, и подключить поддержку WM-mini. В рабочей запарке даже вебмастер может ничего не заподозрить и подтвердить создание wm-mini кошелька, и передачу ему доверия. Скорее всего именно так и произошло с Маулом.

Пугает другое — возможность появления софта, заточенного под данную схему, который будет работать уже с вашего компа. То что, никакие антивирусы и файерволлы не спасают — это уже никому объяснять не приходиться. Для защиты от такого софта, нужно как минимум сделать подтверждение через enum-авторизацию на создание кошельков для wm-mini и передачу доверия на другие wmid/кошельки. Такая авторизация спасет от вирусного софта, но как уже было сказано при переписке, она не спасет от социальной инженерии, при которой пользователь своими руками подключит и доверит новому Webmoney Keeper’у Mini управление всеми своими платежами и лишится всех своих денег.

Скорее всего,в данный момент, эта схема носит достаточно точечный характер — мошенники узнают WMID, на котором есть потенциально большие суммы, и “работают” с данной конкретной жертвой. Так, что будьте осторожны — вам могут подсунуть ссылку на разрешение управления кошельками там, где вы этого меньше всего ожидаете. Фраза “деньги любят тишину” в данном случае как нельзя кстати.

Список WMID, которым доверено выполнение операций от вашего имени вы можете просмотреть здесь, любые странности на этой страничке должны вас насторожить.

Какие выводы — да не особо утешительные. Безопасность ваших денег лежит полностью на ваших плечах, и система webmoney не особо горит желанием помогать вам в этой защите. Кражи через wm-mini сейчас стали крайне частым явлением, а воз и ныне там. Смотрите в оба, используйте все доступные вам инструменты, по обеспечению безопасности и не храните на wm большие суммы — держите их на картах систем Epass/Epese, ну или можно воспользоваться таким предложением, как оказание бухгалтерских услуг, чтобы выводить Вебмани вбелую. Epese в этом плане удобней — в вашего EPESE-аккаунта можно переводить деньги напрямую на WM-кошельки.

Похожие записи:

  • HenzO

    Схема хорошая, но имхо — чаще ломают качественными криптованными сплоитами.

  • Kareg

    Всё верно, от сплоитов пока спасает enum. А вот такая схема для меня в новинку. Хотя она уже пару месяцев как в ходу.

  • deBrain

    Интересная схема. Надо быть более бдительным.

  • volt0904

    Вечная борьба… Как с дорвеями. Сегодня перекрыли кислород в одном месте. Завтра найдут другую дырку, чтобы дышать.

  • TiamatInc

    Спасибо за грамотный разбор проблемы. Мне слава богу мини совершенно ни к чему. А с техподдержкой WM я только через кипер общаюсь.

  • WMTpro

    > Но всё перевернулось с ног на голову
    > Мир рухнул

    Повеселили сильно! :)
    А че вы у меня интервью не взяли? Я бы вам рассказал обо всем в подробностях, что у Маула енум стоял неправильно, что Латий должен был не на подписи в письме смотреть, а на заголовки, что на оффоруме Вебмани темы не модерируются тщательно, а только закрываются, если пишутся не совсем адекватно и т.д…
    Чего панику разводить — мир рухнул? Я не заметил даже когда.. :))
    Думаю, вы читали уже мою статью про WebMoney безопасность (http://wmtpro.ru/security_webmoney.html) и так сделали уже, поэтому можете успокоиться и начинать восстанавливать свой мир разрушенный.. :)

    П.С. Ссылку можете потереть, если считаете, что она не нужна..

  • WMTpro

    Да, совсем забыл! Передайте Латию, что в Мини есть, как вход через Енум, так и подтверждение транзакций через него, пока его второй раз не хлопнули.. :)

  • Kareg

    Про рухнувший мир — это сарказм, не воспринимайте серьёзно :) А со статьей сейчас ознакомлюсь.
    P.S. А интервью то взять, я думаю никогда не поздно!

  • Kareg

    В догонку — статью вашу ещё достаточно давно находил — думаю, что с ней стоит ознакомиться каждому. Но она не решает проблему с фейковыми доверенностями.

  • cava150

    Интересная статья, спасибо автору.
    Но,у меня вопрос есть же usb устройства,которые отвечают за отпечаток пальца +enum, что и это не поможет?

  • Kareg

    Тут немного не об этом речь, в данной статье. Технические средства о которых говорите вы — обеспечивают высокий уровень защиты, но не стоит забывать о банальной внимательности и настороженности в отношении всего, того, что хочет получить доступ к вашим кошельками.

  • Санёк

    Насколько я понял у Маула бабло увели через скрипт, который обходит Enum, так как в статье он говорит, что кипером Mini не пользовался.

  • cava150

    просто когда у меня увели деньги 1000 wmu(троян), то стараюсь пользоватся данным устройством.
    Хотя не очень большие деньги, но жалко было…

  • Kareg

    cava150 — как раз таки от троянов и прочих нехороших вещей enum-авторизация для каждой операции — отличная защита.
    Санек, в статье Маул говорит, что сам не использовал кипер, но скорее всего подтвердил доверенный доступ. “Скрипт” — слишком уж общее понятие.

  • Олег

    Дааа, 20 кило рублей это сильно. У меня код назад 1500р. ушло с программного веб-мани из-за трояна. Так что я больше енуму доверяю.

    Но 20 кило рублей держать в кошельке я бы на вряд ли стал ;)

  • tailer

    20k долларов :)

  • АлаичЪ

    То есть как я понял проблема только с кипер мини?
    Если не попасться на эту удочку то и проблем не будет? Ну разумеется, при сохранении прочих мер безопасности?

  • Kareg

    Да, нужно быть внимательным и не тыкать по странным ссылкам, и не проверять доверенные WMID.

  • SEOblondinka

    Ужас какой то( Читаешь все эти посты про взломы и так грустно становится( Особенно после того как уже раз взломали.. С енумом вроде поспокойнее стало, но оказывается и ему доверять нельзя(
    Спасибо за статью. Буду начеку.

  • Федор

    Привет, хочешь что бы я сделал обзор твоего сайта здесь?http://mirimi.spb.su/ если интересно то пиши мне fed140493@yandex.ru!!! Понимаю что немножко не потеме, но надо было как то связаться=)

  • Platon

    Да уж, столько раз твердили Миру….

    Социальный инжиниринг — вот основной источник всех бед. Внимательнее нужно быть. И ломать не будут. Мне кажется, что Маул так сухо все и описал потому, что сам сглупил (по невнимательности).

    Как говорил Суворов — “Держи голову в холоде” :) И все будет хорошо.

  • 3TAJIOH

    Ппц попадос на 20к бачей…

  • Anonim

    Надо все на карточку сливать сразу…

  • Irina

    Респект за статью.Сейчас много инфы пролетело про кражи с кипера.Паника дошла вплоть до того,что уже хотят заводить отдельный комп,с которого только в кипер входят и ВСЕ!

    Мини кипер никогда не пользовала,спасиб за информацию,но я все же больше боюсь вирусни всякой, ее сложнее заметить в отличае попытки тебя нагло обокрасть

  • Reader

    Енум не панацея, но надо было еще файлы .init удалить. Тогда бы возможно и взлома не было. Вы вероятно вообще не знаете что это, раз в статье не упомянули.

  • Kareg

    Причем тут .init файлы? Они позволяют авторизоваться на кипере без enum авторизации, но они не отменяют enum-авторизацию для каждой операции. Более того, в статье вообще о другом речь.

  • Tanushka77

    Все делаем своими же руками, и мошенникам пособляем ими же. Спасибо за предупреждение!

  • Violett

    парня жалко.столько денег увели.20к это ж сколько можно всякого купить было бы

  • Михаил

    Большое спасибо за актуальную статью. Буду глядеть в оба!

  • timotv

    Про мошенничество через Keeper Mini известно было давно. На форуме WM февральская тема:

    Внимание всем пользователям системы Webmoney!
    https://forum.webmoney.ru/Default.aspx?g=posts&t=16690

  • Андрей

    Название статьи “E-NUM не панацея”, а речь идет о вариантах мошенничества с Keeper Mini. Поменяйте название статьи и не вводите людей в заблуждение.

  • Casino

    Самое интересное, что всегда когда уводят деньги и кричят что Вебмани не безопасная система, всегда это и подтверждают, что пользователя просто облапошили. Втюхнули троян и просто обманули, а виновата в этом конечно же вебмани. Что дала вам втюхнуть троян.

  • seofilms

    От хороших хакеров ничего не спасет, правда умные хакеры бы таким и заниматся не стали.

  • volt0904

    Лично я считаю, что сейчас мы вполне защищены от взлома наших кошельков. Сплю спокойно.

    Спасибо Карегу за статьи. Они во многом позволяют нам экономить время при решении той или иной проблемы, или вопроса.

  • Создатель форумов

    А если активирована эта мини… Надо как-то её обратно заблокировать! Опять вики вебмани шерстить придётся…