Как воруют Webmoney и как не стать жертвой мошенников
За последние полгода-год условия работы партнеров и пользователей с системой WebMoney все усложнялись. Сперва был запрещен обмен на большинство других валют, затем вывод в пользу третьих лиц, наконец пользователи были принуждены обновить сертификаты и использовать обновленный ENUM. Причиной всех этих пертурбаций стали участившиеся кражи.
На написание этой статьи меня «вдохновили» несколько нашумевших краж за последние пару месяцев. К сожалению, о положительном разрешении вопроса до сих пор ничего не было слышно и, откровенно говоря, надежд на то, что деньги удастся вернуть — все меньше.
Первый инцидент произошел с редактором интернет-издания СNews.ru. У пострадавшего была украдена 41 тыс. рублей (примерно 10 тыс. грн) и выведена через банковский счет. Ценность статьи заключается в том, что в ней подробно излагается процесс взаимодействия со службой поддержки
системы WebMoney, комментарий ее представителя и рекомендации по обжалованию противоправных действий.
Второй случай приключился с известным блоггером и «SEO-гуру» Даниилом «Маулом». Cумма, «уведенная» злоумышленниками приближалась к $20 тысячам вечнозеленых WMZ. В своей заметке (http://maulnet.ru/archives/12126) об этом событии Маул отметил интересный факт относительно того, что злоумышленникам удалось обойти защиту каждого платежа сервисом E-Num. Новая схема кражи включала в себя махинации с новым типом кошелька — Webmoney Keeper Mini.
Принявшись за исследование вопроса о кражах с кошельков пользователей системы WebMoney, я раскопал некоторую историю развития мошеннических и хакерских приемов, которые позволяют нечестным людям наживаться за чужой счет.
Номер кошелька
Одними из наименее затратных способов мошенничества была и продолжает оставаться так называемая социальная инженерия, проще говоря — развод. Прежде всего старайтесь не «светить» в Сети лишний раз номер ваших кошельков. Сам по себе номер кошелька не даст злоумышленникам никакого доступа к вашим средствам. Зато они могут спокойно выставить вам счет, указав в назначении платежа что-нибудь невинное вроде оплаты услуг хостинга.
Печальная практика показывает, что нередко пользователи, которым часто приходится оплачивать большое количество счетов, делают это машинально не особенно вникая — кто и за что именно выставил счет.
Keeper Classic
Приложение для работы с Webmoney, известное как Keeper Classic является, пожалуй, наиболее уязвимым из всех способов авторизации в платежной системе.
Еще в декабре 2005 года журнал «Хакер» писал: «Вопреки всем заверениям разработчиков, система WebMoney катастрофически ненадежна и вскрывается буквально ногтем. Существует множество червей, троянов и хакерских групп, специализирующихся на похищении электронных кошельков, кражи которых приняли массовый характер» («Хакер Спец», №(12)061, 2005, http://www.xakep.ru/magazine/xs/061/064/1.asp).
«Несмотря на то, что в последнее время появился целый комплекс "противопожарных" мер, приляпанных задним числом, положение остается критическим. Пользователи путаются в системах защиты, служба поддержки дает довольно туманные и расплывчатые рекомендации (обновить Windows, настроить брандмауэр и т.д.), а тем временем кражи электронных кошельков продолжаются» (там же).
Одна из схем кражи денег через Keeper Classic предусматривает внедрение троянских программ на компьютер пользователя, которые находят и вызывают файл ключей, необходимый для работы кипера. После этого троянец может отформатировать жесткий диск, чтобы исключить возможность пользователю оперативно пожаловаться в Арбитраж Webmoney.
Впрочем, возможно, что разработчики предприняли меры против этой известной схемы, потому что в начале нынешнего года большую популярность приобрел другой троянец. Подхватить его можно было на популярных торрент-треккерах, в частности он был замечен на RuTracker.org.
Особенность этого «зловреда» заключалась в том, что ему не требовался файл ключей и E-mail, на который приходит подтверждение на смену оборудования. Этот троян собирал своего рода виртуальный «образ» вашей системы и позволял хакеру запустить программу Webmoney Keeper на компьютере и злоумышленника. Ни антивирусы, ни фаерволы не обеспечивали надежной защиты от этого троянца.
Данный троян собирался из нескольких компонентов, главным из которых являлся dll файл, маскирующийся под системный файл, который находится в папке Windows/System32. Благодаря этому файлу злоумышленник получал доступ к киперу.
Обычно деньги, похищаемые таким образом выводились через банки или обменники на подставных лиц - «дропов», которыми вполне могли оказаться ничего не подозревающий бомж, пенсионерка или студент, документами которых обманным путем завладели злоумышленники.
В целях противодействия этой схеме, с апреля Webmoney приняли правило, согласно которому вывод средств в пользу третьих лиц был запрещен: чтобы снять деньги, персональные данные владельца WMID и держателя платежной карты или банковского счета должны совпадать. Немного неудобно для честных граждан,но в общем правильно. Хотя по таким правилам несовершеннолетний подросток, заработавший (допустим честно) вебмани в сети уже не сможет вывести их на карту родителей.
Так вот, к сожалению, данная мера не смогла остановить кражи Webmoney при помощи троянов. Самая свежая схема мошенничества заключается в том, что вредоносное приложение заводит дополнительное средство авторизации для основного WMID – Keeper Mini без ведома владельца. А вот с этого-то кипера злоумышленники уже переводят себе деньги в счет оплаты «липовых» услуг.
Keeper Light
К сожалению, опасности подстерегают не только пользователей программного кипера. Если вы используете доступ к кошелькам через WEB-интерфейс, вам тоже есть чего опасаться. При том, что сертификаты, обеспечивающие доступ пользователя к системе достаточно надежно защищены, существует способ, при котором вредоносное ПО симулирует работу браузера таким образом чтобы авторизироваться в WebMoney при помощи сертификата и совершить перевод денег мошенникам.
Чтобы воспрепятствовать такой схеме, разработчики относительно недавно ввели графические проверочные коды (капчи) на стадии авторизации. Расчет сделан на то, что примитивный троянец не распознает символы. Возможно это и так, однако, кто знает, что ожидает нас в будущем? По-крайней мере уже существуют алгоритмы распознавания графических символов, а весь предыдущий опыт показывает, что хакеры могут быть невероятно изобретательными, если речь идет о деньгах. Так что расслабляться пользователям Keeper Light тоже не рекомендуется.
Мобильный мидлет ENUM
Теоретически, наиболее безопасным средством авторизации в Webmoney на сегодняшний день, является сервис ENUM. Однако уже упомянутый выше пример Даниила «Маула» свидетельствует о том, что при открытии дополнительного кипера Mini, ENUM злоумышленникам тоже удалось обойти. А это уже тревожный знак.
«Караул, грабят!»
Как быть, если у вас возникло подозрение, что что-то неладно? Тревогу стоит бить, если:
- С ваших кошельков внезапно исчезли деньги.
- Кипер сообщает об авторизациях с неизвестного IP-адреса или при помощи Keeper Mini, которого вы не заводили.
- Вы утратили контроль над WMID и не можете авторизироваться.
- Не храните в системе большие суммы денег. Старайтесь сразу же тратить их или выводить в банк.
- Рекомендую также активировать уведомление по SMS о движении денег на ваших кошельках (http://notify.webmoney.ru), чтобы оперативно выводить деньги или быть в курсе несанкционированных манипуляций.
- Своевременно обновляйте Keeper Classic до самой последней «залатанной» версии.
- Используйте для работы с Webmoney отдельный компьютер — например самый дешевый нетбук. Используйте его в редких случаях только для работы с платежами, и не ходите через него по интернету. Лучше будет также не включать его в локальную сеть и использовать другого интернет-провайдера.
- Храните ключи и сертификаты на сменном носителе и подключайте только на время сеанса.
- Удаляйте сертификаты Keeper Light после окончания сенаса работы с Webmoney.
- Не держите Keeper Classic запущенным постоянно! Удалите его из автозагрузки и из панели задач.
- Обеспечьте достаточную безопасность при помощи фаервола и антивируса. Не забывайте своевременно обновлять их.
Підписуйтесь на наш Telegram канал, щоб знати найважливіші новини першими. Також Ви можете стежити за останніми подіями міста та регіону на нашій сторінці у Facebook.