How to steal Webmoney and how not to become a victim of scammers
Over the past six months or a year, the working conditions of partners and users with the WebMoney system have become more complicated. First, exchange for most other currencies was banned, then a withdrawal in favor of third parties
Over the past six months or a year, the working conditions of partners and users with the WebMoney system have become more complicated. First, exchange for most other currencies was banned, then withdrawal in favor of third parties, finally users were forced to renew certificates and use the updated ENUM. The reason for all these perturbations was the frequent theft, writes InternetUA
Several sensational thefts over the past couple of months have “inspired” me to write this article. Unfortunately, so far nothing has been heard of a positive resolution of the issue, and, frankly, the hope that money will be able to be returned is less and less.
The first incident occurred with the editor of the online publication СNews.ru and was described in the article “The impudent robbery in WebMoney: all frontiers of protection are surmountable” (https://www.cnews.ru/news/top/index .shtml? 2010/03/12/382458). 41 thousand rubles (about 10 thousand UAH) were stolen from the victim and withdrawn through a bank account. The value of the article lies in the fact that it sets out in detail the process of interaction with the support service of the WebMoney system, the comment of its representative and recommendations for appealing against illegal actions.
The second case happened to the famous blogger and “SEO guru” Daniel “Maul” (Maulnet.ru). The amount "gone" by intruders was approaching $ 20 thousand evergreen WMZ. In his note (https://maulnet.ru/archives/12126) about this event, Maul noted an interesting fact that the attackers managed to circumvent the protection of each payment with the E-Num service. The new theft scheme included fraud with a new type of wallet - Webmoney Keeper Mini.
Having started researching the issue of thefts from the purses of users of the WebMoney system, I unearthed some history of the development of fraudulent and hacking tricks that allow dishonest people to cash in at the expense of others.
Wallet number
The so-called social engineering, in other words, divorce, has been and continues to be one of the least costly methods of fraud. First of all, try not to “shine” on the Web once again the number of your wallets. By itself, the wallet number will not give attackers any access to your funds. But they can calmly bill you, indicating in the payment purpose something innocent like paying for hosting services.
Sad practice shows that often users, who often have to pay a large number of bills, do this mechanically without particularly delving into who and for what exactly billed.
Keeper Classic
The application for working with Webmoney, known as Keeper Classic, is perhaps the most vulnerable of all authentication methods in the payment system.
Back in December 2005, the Hacker magazine wrote: “Contrary to all the assurances of the developers, the WebMoney system is catastrophically unreliable and is opened literally with a fingernail. There are many worms, trojans and hacker groups specializing in the theft of electronic wallets, thefts of which have become widespread ”(“ Hacker Special ”, No. (12) 061, 2005, https://www.xakep.ru/magazine/xs/061 /064/1.asp).
“Despite the fact that recently a whole complex of“ fire-fighting ”measures has appeared, which have been retroactively tacked, the situation remains critical. Users get confused about security systems, the support service gives rather vague and vague recommendations (update Windows, configure a firewall, etc.), and meanwhile the thefts of electronic wallets continue ”(ibid.).
One of the schemes for stealing money through Keeper Classic involves the introduction of Trojan horses to the user's computer, which find and call the key file necessary for the keeper to work. After that, the Trojan can format the hard drive to prevent the user from promptly complaining to the Webmoney Arbitration.
However, it is possible that the developers took measures against this well-known scheme, because at the beginning of this year another Trojan acquired great popularity. It was possible to catch it on popular torrent trackers, in particular, it was seen on RuTracker.org.
The peculiarity of this “malware” was that it did not require a key file and E-mail, which receives confirmation of a change of equipment. This trojan collected a kind of virtual “image” of your system and allowed the hacker to run the Webmoney Keeper program on the computer and the attacker. Neither antiviruses nor firewalls provided reliable protection against this Trojan.
This trojan was assembled from several components, the main of which was a dll file disguised as a system file, which is located in the Windows / System32 folder. Thanks to this file, the attacker gained access to the keeper.
Usually, money stolen in this way was withdrawn through banks or exchangers to dummies - “drops”, which could be an unsuspecting homeless person, a pensioner, or a student, whose documents were fraudulently taken by criminals.
In order to counter this scheme, from April Webmoney adopted a rule according to which withdrawal of funds in favor of third parties was prohibited: in order to withdraw money, the personal data of the WMID holder and the holder of a payment card or bank account must match. A bit inconvenient for honest citizens, but generally correct. Although, under such rules, a minor teenager who has earned (let's say honestly) webmoney on the network will no longer be able to display them on his parents' card.
So, unfortunately, this measure could not stop the theft of Webmoney with the help of trojans. The latest fraud scheme is that a malicious application launches an additional authorization tool for the main WMID - Keeper Mini without the owner’s knowledge. But from this same keeper, the attackers are already transferring money to themselves in payment of "fake" services.
Keeper Light
Unfortunately, not only users of the software keeper are in danger. If you use access to wallets through the WEB-interface, you also have something to fear. Despite the fact that the certificates providing user access to the system are quite reliably protected, there is a way in which malware simulates the operation of the browser in such a way that it logs into WebMoney with the help of a certificate and transfers money to scammers.
To prevent such a scheme, developers have recently introduced graphical verification codes (captcha) at the authorization stage. The calculation is based on the fact that the primitive Trojan does not recognize characters. Perhaps this is true, however, who knows what awaits us in the future? At least graphic character recognition algorithms already exist, and all previous experience shows that hackers can be incredibly inventive when it comes to money. So Keeper Light users are not recommended to relax either.
Mobile midlet ENUM
Theoretically, the most secure authorization tool in Webmoney today is the ENUM service. However, the example of Daniel “Maula” already mentioned above indicates that when opening the additional Mini, ENUM keeper, the attackers also managed to get around. And this is an alarming sign.
"Guard, rob!"
What if you have a suspicion that something is amiss? An alarm should be raised if:
Money suddenly disappeared from your wallets.
Keeper reports authorization from an unknown IP address or using Keeper Mini, which you did not start.
You have lost control of WMID and cannot log in. What to do?
First of all, you need to contact support and ask to block your WMID for withdrawal of funds. There is an insignificant chance that the hackers did not manage to transfer the money. After that, you need to thoroughly clean the system from viruses, and then go through the standard procedure for restoring access to the WM identifier (https://key.wmtransfer.com/).
If the scammers still managed to steal the money, you need to find out from Webmoney employees the chain by which they were withdrawn to the bank. After that, you must contact the bank’s security service and ask for information about the account holder. But further, having these data, it is necessary to apply to the police.
True, the situation here may be complicated by the fact that the system is international, and if the money went, for example, to Russia, then the Ukrainian Ministry of Internal Affairs is likely to wash its hands. However, you should not give up and actively push Webmoney on the Ukrainian Guarantor, and perhaps luck will smile at you. At least there were precedents with the capture of woe-hackers, as you can see on this video: [MEDIA = youtube] NCO9HfL9ItY [/MEDIA]
Precautions
I think it’s already clear from all of the above that it’s best not to store large amounts on your Webmoney wallets. If there is no money, then there is nothing to steal. Thus, recommendations for users who want to protect themselves as much as possible from the threat of theft of money from the Webmoney system can be as follows:
Do not store large amounts of money in the system. Try to spend it immediately or withdraw to the bank.
I also recommend that you activate an SMS notification about the movement of money on your wallets (https://notify.webmoney.ru) in order to quickly withdraw money or be aware of unauthorized manipulations.
Keep your Keeper Classic up to date with the latest patched version.
Use a separate computer to work with Webmoney - for example, the cheapest netbook. Use it in rare cases only for working with payments, and do not go through it on the Internet. It would also be better not to include it in the local network and use another Internet service provider.
Store keys and certificates on removable media and connect only for the duration of the session.
Delete Keeper Light certificates after finishing Webmoney senas.
Do not keep Keeper Classic running all the time! Remove it from startup and from the taskbar.
Ensure sufficient security with a firewall and antivirus. Do not forget to update them in a timely manner.
Andrey Maydanik Source: https://vlasti.net/news/93488
Over the past six months or a year, the working conditions of partners and users with the WebMoney system have become more complicated. First, exchange for most other currencies was banned, then a withdrawal in favor of third parties
Over the past six months or a year, the working conditions of partners and users with the WebMoney system have become more complicated. First, exchange for most other currencies was banned, then withdrawal in favor of third parties, finally users were forced to renew certificates and use the updated ENUM. The reason for all these perturbations was the frequent theft, writes InternetUA
Several sensational thefts over the past couple of months have “inspired” me to write this article. Unfortunately, so far nothing has been heard of a positive resolution of the issue, and, frankly, the hope that money will be able to be returned is less and less.
The first incident occurred with the editor of the online publication СNews.ru and was described in the article “The impudent robbery in WebMoney: all frontiers of protection are surmountable” (https://www.cnews.ru/news/top/index .shtml? 2010/03/12/382458). 41 thousand rubles (about 10 thousand UAH) were stolen from the victim and withdrawn through a bank account. The value of the article lies in the fact that it sets out in detail the process of interaction with the support service of the WebMoney system, the comment of its representative and recommendations for appealing against illegal actions.
The second case happened to the famous blogger and “SEO guru” Daniel “Maul” (Maulnet.ru). The amount "gone" by intruders was approaching $ 20 thousand evergreen WMZ. In his note (https://maulnet.ru/archives/12126) about this event, Maul noted an interesting fact that the attackers managed to circumvent the protection of each payment with the E-Num service. The new theft scheme included fraud with a new type of wallet - Webmoney Keeper Mini.
Having started researching the issue of thefts from the purses of users of the WebMoney system, I unearthed some history of the development of fraudulent and hacking tricks that allow dishonest people to cash in at the expense of others.
Wallet number
The so-called social engineering, in other words, divorce, has been and continues to be one of the least costly methods of fraud. First of all, try not to “shine” on the Web once again the number of your wallets. By itself, the wallet number will not give attackers any access to your funds. But they can calmly bill you, indicating in the payment purpose something innocent like paying for hosting services.
Sad practice shows that often users, who often have to pay a large number of bills, do this mechanically without particularly delving into who and for what exactly billed.
Keeper Classic
The application for working with Webmoney, known as Keeper Classic, is perhaps the most vulnerable of all authentication methods in the payment system.
Back in December 2005, the Hacker magazine wrote: “Contrary to all the assurances of the developers, the WebMoney system is catastrophically unreliable and is opened literally with a fingernail. There are many worms, trojans and hacker groups specializing in the theft of electronic wallets, thefts of which have become widespread ”(“ Hacker Special ”, No. (12) 061, 2005, https://www.xakep.ru/magazine/xs/061 /064/1.asp).
“Despite the fact that recently a whole complex of“ fire-fighting ”measures has appeared, which have been retroactively tacked, the situation remains critical. Users get confused about security systems, the support service gives rather vague and vague recommendations (update Windows, configure a firewall, etc.), and meanwhile the thefts of electronic wallets continue ”(ibid.).
One of the schemes for stealing money through Keeper Classic involves the introduction of Trojan horses to the user's computer, which find and call the key file necessary for the keeper to work. After that, the Trojan can format the hard drive to prevent the user from promptly complaining to the Webmoney Arbitration.
However, it is possible that the developers took measures against this well-known scheme, because at the beginning of this year another Trojan acquired great popularity. It was possible to catch it on popular torrent trackers, in particular, it was seen on RuTracker.org.
The peculiarity of this “malware” was that it did not require a key file and E-mail, which receives confirmation of a change of equipment. This trojan collected a kind of virtual “image” of your system and allowed the hacker to run the Webmoney Keeper program on the computer and the attacker. Neither antiviruses nor firewalls provided reliable protection against this Trojan.
This trojan was assembled from several components, the main of which was a dll file disguised as a system file, which is located in the Windows / System32 folder. Thanks to this file, the attacker gained access to the keeper.
Usually, money stolen in this way was withdrawn through banks or exchangers to dummies - “drops”, which could be an unsuspecting homeless person, a pensioner, or a student, whose documents were fraudulently taken by criminals.
In order to counter this scheme, from April Webmoney adopted a rule according to which withdrawal of funds in favor of third parties was prohibited: in order to withdraw money, the personal data of the WMID holder and the holder of a payment card or bank account must match. A bit inconvenient for honest citizens, but generally correct. Although, under such rules, a minor teenager who has earned (let's say honestly) webmoney on the network will no longer be able to display them on his parents' card.
So, unfortunately, this measure could not stop the theft of Webmoney with the help of trojans. The latest fraud scheme is that a malicious application launches an additional authorization tool for the main WMID - Keeper Mini without the owner’s knowledge. But from this same keeper, the attackers are already transferring money to themselves in payment of "fake" services.
Keeper Light
Unfortunately, not only users of the software keeper are in danger. If you use access to wallets through the WEB-interface, you also have something to fear. Despite the fact that the certificates providing user access to the system are quite reliably protected, there is a way in which malware simulates the operation of the browser in such a way that it logs into WebMoney with the help of a certificate and transfers money to scammers.
To prevent such a scheme, developers have recently introduced graphical verification codes (captcha) at the authorization stage. The calculation is based on the fact that the primitive Trojan does not recognize characters. Perhaps this is true, however, who knows what awaits us in the future? At least graphic character recognition algorithms already exist, and all previous experience shows that hackers can be incredibly inventive when it comes to money. So Keeper Light users are not recommended to relax either.
Mobile midlet ENUM
Theoretically, the most secure authorization tool in Webmoney today is the ENUM service. However, the example of Daniel “Maula” already mentioned above indicates that when opening the additional Mini, ENUM keeper, the attackers also managed to get around. And this is an alarming sign.
"Guard, rob!"
What if you have a suspicion that something is amiss? An alarm should be raised if:
Money suddenly disappeared from your wallets.
Keeper reports authorization from an unknown IP address or using Keeper Mini, which you did not start.
You have lost control of WMID and cannot log in. What to do?
First of all, you need to contact support and ask to block your WMID for withdrawal of funds. There is an insignificant chance that the hackers did not manage to transfer the money. After that, you need to thoroughly clean the system from viruses, and then go through the standard procedure for restoring access to the WM identifier (https://key.wmtransfer.com/).
If the scammers still managed to steal the money, you need to find out from Webmoney employees the chain by which they were withdrawn to the bank. After that, you must contact the bank’s security service and ask for information about the account holder. But further, having these data, it is necessary to apply to the police.
True, the situation here may be complicated by the fact that the system is international, and if the money went, for example, to Russia, then the Ukrainian Ministry of Internal Affairs is likely to wash its hands. However, you should not give up and actively push Webmoney on the Ukrainian Guarantor, and perhaps luck will smile at you. At least there were precedents with the capture of woe-hackers, as you can see on this video: [MEDIA = youtube] NCO9HfL9ItY [/MEDIA]
Precautions
I think it’s already clear from all of the above that it’s best not to store large amounts on your Webmoney wallets. If there is no money, then there is nothing to steal. Thus, recommendations for users who want to protect themselves as much as possible from the threat of theft of money from the Webmoney system can be as follows:
Do not store large amounts of money in the system. Try to spend it immediately or withdraw to the bank.
I also recommend that you activate an SMS notification about the movement of money on your wallets (https://notify.webmoney.ru) in order to quickly withdraw money or be aware of unauthorized manipulations.
Keep your Keeper Classic up to date with the latest patched version.
Use a separate computer to work with Webmoney - for example, the cheapest netbook. Use it in rare cases only for working with payments, and do not go through it on the Internet. It would also be better not to include it in the local network and use another Internet service provider.
Store keys and certificates on removable media and connect only for the duration of the session.
Delete Keeper Light certificates after finishing Webmoney senas.
Do not keep Keeper Classic running all the time! Remove it from startup and from the taskbar.
Ensure sufficient security with a firewall and antivirus. Do not forget to update them in a timely manner.
Andrey Maydanik Source: https://vlasti.net/news/93488
Original message
Как воруют Webmoney и как не стать жертвой мошенников
За последние полгода-год условия работы партнеров и пользователей с системой WebMoney все усложнялись. Сперва был запрещен обмен на большинство других валют, затем вывод в пользу третьих лиц
За последние полгода-год условия работы партнеров и пользователей с системой WebMoney все усложнялись. Сперва был запрещен обмен на большинство других валют, затем вывод в пользу третьих лиц, наконец пользователи были принуждены обновить сертификаты и использовать обновленный ENUM. Причиной всех этих пертурбаций стали участившиеся кражи, пишет InternetUA
На написание этой статьи меня «вдохновили» несколько нашумевших краж за последние пару месяцев. К сожалению, о положительном разрешении вопроса до сих пор ничего не было слышно и, откровенно говоря, надежд на то, что деньги удастся вернуть — все меньше.
Первый инцидент произошел с редактором интернет-издания СNews.ru и был описан в статье «Дерзкое ограбление в WebMoney: все рубежи защиты преодолимы» (https://www.cnews.ru/news/top/index.shtml?2010/03/12/382458). У пострадавшего была украдена 41 тыс. рублей (примерно 10 тыс. грн) и выведена через банковский счет. Ценность статьи заключается в том, что в ней подробно излагается процесс взаимодействия со службой поддержки системы WebMoney, комментарий ее представителя и рекомендации по обжалованию противоправных действий.
Второй случай приключился с известным блоггером и «SEO-гуру» Даниилом «Маулом» (Maulnet.ru). Cумма, «уведенная» злоумышленниками приближалась к $20 тысячам вечнозеленых WMZ. В своей заметке (https://maulnet.ru/archives/12126) об этом событии Маул отметил интересный факт относительно того, что злоумышленникам удалось обойти защиту каждого платежа сервисом E-Num. Новая схема кражи включала в себя махинации с новым типом кошелька — Webmoney Keeper Mini.
Принявшись за исследование вопроса о кражах с кошельков пользователей системы WebMoney, я раскопал некоторую историю развития мошеннических и хакерских приемов, которые позволяют нечестным людям наживаться за чужой счет.
Номер кошелька
Одними из наименее затратных способов мошенничества была и продолжает оставаться так называемая социальная инженерия, проще говоря — развод. Прежде всего старайтесь не «светить» в Сети лишний раз номер ваших кошельков. Сам по себе номер кошелька не даст злоумышленникам никакого доступа к вашим средствам. Зато они могут спокойно выставить вам счет, указав в назначении платежа что-нибудь невинное вроде оплаты услуг хостинга.
Печальная практика показывает, что нередко пользователи, которым часто приходится оплачивать большое количество счетов, делают это машинально не особенно вникая — кто и за что именно выставил счет.
Keeper Classic
Приложение для работы с Webmoney, известное как Keeper Classic является, пожалуй, наиболее уязвимым из всех способов авторизации в платежной системе.
Еще в декабре 2005 года журнал «Хакер» писал: «Вопреки всем заверениям разработчиков, система WebMoney катастрофически ненадежна и вскрывается буквально ногтем. Существует множество червей, троянов и хакерских групп, специализирующихся на похищении электронных кошельков, кражи которых приняли массовый характер» («Хакер Спец», № (12) 061, 2005, https://www.xakep.ru/magazine/xs/061/064/1.asp).
«Несмотря на то, что в последнее время появился целый комплекс «противопожарных» мер, приляпанных задним числом, положение остается критическим. Пользователи путаются в системах защиты, служба поддержки дает довольно туманные и расплывчатые рекомендации (обновить Windows, настроить брандмауэр и т.д.), а тем временем кражи электронных кошельков продолжаются » (там же).
Одна из схем кражи денег через Keeper Classic предусматривает внедрение троянских программ на компьютер пользователя, которые находят и вызывают файл ключей, необходимый для работы кипера. После этого троянец может отформатировать жесткий диск, чтобы исключить возможность пользователю оперативно пожаловаться в Арбитраж Webmoney.
Впрочем, возможно, что разработчики предприняли меры против этой известной схемы, потому что в начале нынешнего года большую популярность приобрел другой троянец. Подхватить его можно было на популярных торрент-треккерах, в частности он был замечен на RuTracker.org.
Особенность этого «зловреда» заключалась в том, что ему не требовался файл ключей и E-mail, на который приходит подтверждение на смену оборудования. Этот троян собирал своего рода виртуальный «образ» вашей системы и позволял хакеру запустить программу Webmoney Keeper на компьютере и злоумышленника. Ни антивирусы, ни фаерволы не обеспечивали надежной защиты от этого троянца.
Данный троян собирался из нескольких компонентов, главным из которых являлся dll файл, маскирующийся под системный файл, который находится в папке Windows/System32. Благодаря этому файлу злоумышленник получал доступ к киперу.
Обычно деньги, похищаемые таким образом выводились через банки или обменники на подставных лиц — «дропов», которыми вполне могли оказаться ничего не подозревающий бомж, пенсионерка или студент, документами которых обманным путем завладели злоумышленники.
В целях противодействия этой схеме, с апреля Webmoney приняли правило, согласно которому вывод средств в пользу третьих лиц был запрещен: чтобы снять деньги, персональные данные владельца WMID и держателя платежной карты или банковского счета должны совпадать. Немного неудобно для честных граждан,но в общем правильно. Хотя по таким правилам несовершеннолетний подросток, заработавший (допустим честно) вебмани в сети уже не сможет вывести их на карту родителей.
Так вот, к сожалению, данная мера не смогла остановить кражи Webmoney при помощи троянов. Самая свежая схема мошенничества заключается в том, что вредоносное приложение заводит дополнительное средство авторизации для основного WMID – Keeper Mini без ведома владельца. А вот с этого-то кипера злоумышленники уже переводят себе деньги в счет оплаты «липовых» услуг.
Keeper Light
К сожалению, опасности подстерегают не только пользователей программного кипера. Если вы используете доступ к кошелькам через WEB-интерфейс, вам тоже есть чего опасаться. При том, что сертификаты, обеспечивающие доступ пользователя к системе достаточно надежно защищены, существует способ, при котором вредоносное ПО симулирует работу браузера таким образом чтобы авторизироваться в WebMoney при помощи сертификата и совершить перевод денег мошенникам.
Чтобы воспрепятствовать такой схеме, разработчики относительно недавно ввели графические проверочные коды (капчи) на стадии авторизации. Расчет сделан на то, что примитивный троянец не распознает символы. Возможно это и так, однако, кто знает, что ожидает нас в будущем? По-крайней мере уже существуют алгоритмы распознавания графических символов, а весь предыдущий опыт показывает, что хакеры могут быть невероятно изобретательными, если речь идет о деньгах. Так что расслабляться пользователям Keeper Light тоже не рекомендуется.
Мобильный мидлет ENUM
Теоретически, наиболее безопасным средством авторизации в Webmoney на сегодняшний день, является сервис ENUM. Однако уже упомянутый выше пример Даниила «Маула» свидетельствует о том, что при открытии дополнительного кипера Mini, ENUM злоумышленникам тоже удалось обойти. А это уже тревожный знак.
«Караул, грабят!»
Как быть, если у вас возникло подозрение, что что-то неладно? Тревогу стоит бить, если:
С ваших кошельков внезапно исчезли деньги.
Кипер сообщает об авторизациях с неизвестного IP-адреса или при помощи Keeper Mini, которого вы не заводили.
Вы утратили контроль над WMID и не можете авторизироваться. Что делать?
Первым делом необходимо связаться со службой поддержки и попросить заблокировать Ваш WMID на вывод средств. Есть ничтожная вероятность того, что хакеры не успели перевести деньги. После этого необходимо тщательно почистить систему от вирусов, после чего пройти стандартную процедуру восстановления доступа к WM идентификатору (https://key.wmtransfer.com/).
Если мошенники все-таки успели украсть деньги, нужно выяснить у сотрудников Webmoney цепочку, по которой они были выведены в банк. После этого необходимо обратиться в службу безопасности банка и попросить предоставить данные о владельце счета. А вот дальше, располагая этими данными необходимо обратиться с заявлением в милицию.
Правда тут ситуация может осложниться тем, что система международная, и если деньги ушли, например, в Россию, то Украинское МВД здесь скорее всего умоет руки. Впрочем, стоит не опускать руки и активнее наседать на Украинского Гаранта Webmoney, и, возможно, вам улыбнется удача. По-крайней мере прецеденты с поимкой горе-хакеров имели место быть, в чем можно убедиться на этом видео:
Меры предосторожности
Думаю, из всего выше сказанного уже понятно, что крупные суммы лучше всего не хранить на ваших кошельках Webmoney. Если денег нет — то и воровать нечего. Таким образом, рекомендации для пользователей, желающих максимально обезопасить себя от угрозы воровства денег из системы Webmoney, могут быть следующими:
Не храните в системе большие суммы денег. Старайтесь сразу же тратить их или выводить в банк.
Рекомендую также активировать уведомление по SMS о движении денег на ваших кошельках (https://notify.webmoney.ru), чтобы оперативно выводить деньги или быть в курсе несанкционированных манипуляций.
Своевременно обновляйте Keeper Classic до самой последней «залатанной» версии.
Используйте для работы с Webmoney отдельный компьютер — например самый дешевый нетбук. Используйте его в редких случаях только для работы с платежами, и не ходите через него по интернету. Лучше будет также не включать его в локальную сеть и использовать другого интернет-провайдера.
Храните ключи и сертификаты на сменном носителе и подключайте только на время сеанса.
Удаляйте сертификаты Keeper Light после окончания сенаса работы с Webmoney.
Не держите Keeper Classic запущенным постоянно! Удалите его из автозагрузки и из панели задач.
Обеспечьте достаточную безопасность при помощи фаервола и антивируса. Не забывайте своевременно обновлять их.
Андрей Майданик Источник: https://vlasti.net/news/93488
За последние полгода-год условия работы партнеров и пользователей с системой WebMoney все усложнялись. Сперва был запрещен обмен на большинство других валют, затем вывод в пользу третьих лиц
За последние полгода-год условия работы партнеров и пользователей с системой WebMoney все усложнялись. Сперва был запрещен обмен на большинство других валют, затем вывод в пользу третьих лиц, наконец пользователи были принуждены обновить сертификаты и использовать обновленный ENUM. Причиной всех этих пертурбаций стали участившиеся кражи, пишет InternetUA
На написание этой статьи меня «вдохновили» несколько нашумевших краж за последние пару месяцев. К сожалению, о положительном разрешении вопроса до сих пор ничего не было слышно и, откровенно говоря, надежд на то, что деньги удастся вернуть — все меньше.
Первый инцидент произошел с редактором интернет-издания СNews.ru и был описан в статье «Дерзкое ограбление в WebMoney: все рубежи защиты преодолимы» (https://www.cnews.ru/news/top/index.shtml?2010/03/12/382458). У пострадавшего была украдена 41 тыс. рублей (примерно 10 тыс. грн) и выведена через банковский счет. Ценность статьи заключается в том, что в ней подробно излагается процесс взаимодействия со службой поддержки системы WebMoney, комментарий ее представителя и рекомендации по обжалованию противоправных действий.
Второй случай приключился с известным блоггером и «SEO-гуру» Даниилом «Маулом» (Maulnet.ru). Cумма, «уведенная» злоумышленниками приближалась к $20 тысячам вечнозеленых WMZ. В своей заметке (https://maulnet.ru/archives/12126) об этом событии Маул отметил интересный факт относительно того, что злоумышленникам удалось обойти защиту каждого платежа сервисом E-Num. Новая схема кражи включала в себя махинации с новым типом кошелька — Webmoney Keeper Mini.
Принявшись за исследование вопроса о кражах с кошельков пользователей системы WebMoney, я раскопал некоторую историю развития мошеннических и хакерских приемов, которые позволяют нечестным людям наживаться за чужой счет.
Номер кошелька
Одними из наименее затратных способов мошенничества была и продолжает оставаться так называемая социальная инженерия, проще говоря — развод. Прежде всего старайтесь не «светить» в Сети лишний раз номер ваших кошельков. Сам по себе номер кошелька не даст злоумышленникам никакого доступа к вашим средствам. Зато они могут спокойно выставить вам счет, указав в назначении платежа что-нибудь невинное вроде оплаты услуг хостинга.
Печальная практика показывает, что нередко пользователи, которым часто приходится оплачивать большое количество счетов, делают это машинально не особенно вникая — кто и за что именно выставил счет.
Keeper Classic
Приложение для работы с Webmoney, известное как Keeper Classic является, пожалуй, наиболее уязвимым из всех способов авторизации в платежной системе.
Еще в декабре 2005 года журнал «Хакер» писал: «Вопреки всем заверениям разработчиков, система WebMoney катастрофически ненадежна и вскрывается буквально ногтем. Существует множество червей, троянов и хакерских групп, специализирующихся на похищении электронных кошельков, кражи которых приняли массовый характер» («Хакер Спец», № (12) 061, 2005, https://www.xakep.ru/magazine/xs/061/064/1.asp).
«Несмотря на то, что в последнее время появился целый комплекс «противопожарных» мер, приляпанных задним числом, положение остается критическим. Пользователи путаются в системах защиты, служба поддержки дает довольно туманные и расплывчатые рекомендации (обновить Windows, настроить брандмауэр и т.д.), а тем временем кражи электронных кошельков продолжаются » (там же).
Одна из схем кражи денег через Keeper Classic предусматривает внедрение троянских программ на компьютер пользователя, которые находят и вызывают файл ключей, необходимый для работы кипера. После этого троянец может отформатировать жесткий диск, чтобы исключить возможность пользователю оперативно пожаловаться в Арбитраж Webmoney.
Впрочем, возможно, что разработчики предприняли меры против этой известной схемы, потому что в начале нынешнего года большую популярность приобрел другой троянец. Подхватить его можно было на популярных торрент-треккерах, в частности он был замечен на RuTracker.org.
Особенность этого «зловреда» заключалась в том, что ему не требовался файл ключей и E-mail, на который приходит подтверждение на смену оборудования. Этот троян собирал своего рода виртуальный «образ» вашей системы и позволял хакеру запустить программу Webmoney Keeper на компьютере и злоумышленника. Ни антивирусы, ни фаерволы не обеспечивали надежной защиты от этого троянца.
Данный троян собирался из нескольких компонентов, главным из которых являлся dll файл, маскирующийся под системный файл, который находится в папке Windows/System32. Благодаря этому файлу злоумышленник получал доступ к киперу.
Обычно деньги, похищаемые таким образом выводились через банки или обменники на подставных лиц — «дропов», которыми вполне могли оказаться ничего не подозревающий бомж, пенсионерка или студент, документами которых обманным путем завладели злоумышленники.
В целях противодействия этой схеме, с апреля Webmoney приняли правило, согласно которому вывод средств в пользу третьих лиц был запрещен: чтобы снять деньги, персональные данные владельца WMID и держателя платежной карты или банковского счета должны совпадать. Немного неудобно для честных граждан,но в общем правильно. Хотя по таким правилам несовершеннолетний подросток, заработавший (допустим честно) вебмани в сети уже не сможет вывести их на карту родителей.
Так вот, к сожалению, данная мера не смогла остановить кражи Webmoney при помощи троянов. Самая свежая схема мошенничества заключается в том, что вредоносное приложение заводит дополнительное средство авторизации для основного WMID – Keeper Mini без ведома владельца. А вот с этого-то кипера злоумышленники уже переводят себе деньги в счет оплаты «липовых» услуг.
Keeper Light
К сожалению, опасности подстерегают не только пользователей программного кипера. Если вы используете доступ к кошелькам через WEB-интерфейс, вам тоже есть чего опасаться. При том, что сертификаты, обеспечивающие доступ пользователя к системе достаточно надежно защищены, существует способ, при котором вредоносное ПО симулирует работу браузера таким образом чтобы авторизироваться в WebMoney при помощи сертификата и совершить перевод денег мошенникам.
Чтобы воспрепятствовать такой схеме, разработчики относительно недавно ввели графические проверочные коды (капчи) на стадии авторизации. Расчет сделан на то, что примитивный троянец не распознает символы. Возможно это и так, однако, кто знает, что ожидает нас в будущем? По-крайней мере уже существуют алгоритмы распознавания графических символов, а весь предыдущий опыт показывает, что хакеры могут быть невероятно изобретательными, если речь идет о деньгах. Так что расслабляться пользователям Keeper Light тоже не рекомендуется.
Мобильный мидлет ENUM
Теоретически, наиболее безопасным средством авторизации в Webmoney на сегодняшний день, является сервис ENUM. Однако уже упомянутый выше пример Даниила «Маула» свидетельствует о том, что при открытии дополнительного кипера Mini, ENUM злоумышленникам тоже удалось обойти. А это уже тревожный знак.
«Караул, грабят!»
Как быть, если у вас возникло подозрение, что что-то неладно? Тревогу стоит бить, если:
С ваших кошельков внезапно исчезли деньги.
Кипер сообщает об авторизациях с неизвестного IP-адреса или при помощи Keeper Mini, которого вы не заводили.
Вы утратили контроль над WMID и не можете авторизироваться. Что делать?
Первым делом необходимо связаться со службой поддержки и попросить заблокировать Ваш WMID на вывод средств. Есть ничтожная вероятность того, что хакеры не успели перевести деньги. После этого необходимо тщательно почистить систему от вирусов, после чего пройти стандартную процедуру восстановления доступа к WM идентификатору (https://key.wmtransfer.com/).
Если мошенники все-таки успели украсть деньги, нужно выяснить у сотрудников Webmoney цепочку, по которой они были выведены в банк. После этого необходимо обратиться в службу безопасности банка и попросить предоставить данные о владельце счета. А вот дальше, располагая этими данными необходимо обратиться с заявлением в милицию.
Правда тут ситуация может осложниться тем, что система международная, и если деньги ушли, например, в Россию, то Украинское МВД здесь скорее всего умоет руки. Впрочем, стоит не опускать руки и активнее наседать на Украинского Гаранта Webmoney, и, возможно, вам улыбнется удача. По-крайней мере прецеденты с поимкой горе-хакеров имели место быть, в чем можно убедиться на этом видео:
Меры предосторожности
Думаю, из всего выше сказанного уже понятно, что крупные суммы лучше всего не хранить на ваших кошельках Webmoney. Если денег нет — то и воровать нечего. Таким образом, рекомендации для пользователей, желающих максимально обезопасить себя от угрозы воровства денег из системы Webmoney, могут быть следующими:
Не храните в системе большие суммы денег. Старайтесь сразу же тратить их или выводить в банк.
Рекомендую также активировать уведомление по SMS о движении денег на ваших кошельках (https://notify.webmoney.ru), чтобы оперативно выводить деньги или быть в курсе несанкционированных манипуляций.
Своевременно обновляйте Keeper Classic до самой последней «залатанной» версии.
Используйте для работы с Webmoney отдельный компьютер — например самый дешевый нетбук. Используйте его в редких случаях только для работы с платежами, и не ходите через него по интернету. Лучше будет также не включать его в локальную сеть и использовать другого интернет-провайдера.
Храните ключи и сертификаты на сменном носителе и подключайте только на время сеанса.
Удаляйте сертификаты Keeper Light после окончания сенаса работы с Webmoney.
Не держите Keeper Classic запущенным постоянно! Удалите его из автозагрузки и из панели задач.
Обеспечьте достаточную безопасность при помощи фаервола и антивируса. Не забывайте своевременно обновлять их.
Андрей Майданик Источник: https://vlasti.net/news/93488
