Home » Безопасность » Безопасность Webmoney

Безопасность Webmoney

Безопасность webmoney

В прошлом посте я писал, что в конце апреля произошло довольно печальное для меня событие: мой webmoney-аккаунт взломали и украли с него все деньги. Сумма была довольно ощутимая для меня, хотя иногда накапливается и больше (это,по сути,единственное утешение). В этой статье я расскажу, как оказался возможен взлом моего аккаунта (при том, что я уделял достаточно внимания вопросам безопасности) и как его можно избежать (и почему я не сделал этого раньше?).


Итак, что же произошло? В воскресенье вечером я запустил свой webmoney keeper classic и получил следующую ошибку:

Ошибка при входе в webmoney

В конце описания приводится ссылка https://wiki.webmoney.ru/wiki/show/Sereznaya_oshibka_pri_prieme_komandy, где более подробно расписаны возможные причины ошибки и способы исправления. В тот момент я еще не подозревал о взломе, тем более, что в описании ошибки об этом нет ни слова.

Воспользовавшись поиском, я без труда нашел тему на форуме СЕ (http://forum.searchengines.ru/showthread.php?t=469862), из которой стало ясно, что я присоединился к клубу тех, чьи webmoney стали собственностью воров. В принципе, все детали можно узнать из этой темы, но там уже более 1000 сообщений, поэтому я основные моменты расскажу здесь.

Кто виноват?

Сначала рассмотрим, как вообще такое могло произойти, ведь у меня стояли антивирус и файрволл, была включена блокировка по подсетям IP моего провайдера и кипер всегда требует активацию при запуске на другом компьютере (при этом почта не была взломана и мне не приходили письма со ссылками для активации). Давайте по пунктам.

Антивирус защищает только от известных вирусов и троянов. Создатели же троянов, ворующих вебмани, специально делают так, чтобы они (трояны) не обнаруживались антивирусами. Так что в этом плане не стоит надеяться на антивирусы.

У меня на компьютере стоит Outpost Firewall, который кроме отражения атак из Интернета, еще контролирует изменение кода одних программ другими. Но тут создатели трояна воспользовались особенностью ОС Windows, которая заключается в порядке загрузки библиотек dll: если приложение использует какую-либо dll, то ее поиск сначала ведется в каталоге приложения. Описываемый троян создает в каталоге вебмани файл inetmib1.dll, который как раз и является собственно троянской программой. Если вы найдете этот файл у себя в каталоге вебмани, то это значит, что вы тоже заражены. Замечу, что inetmib1.dll является системной dll и находится в каталоге C:\WINDOWS\system32\ .

Таким образом, при запуске кипера запускается и троянская библиотека. Поскольку большинство пользователей работают с правами администратора (в том числе и я), а киперу разрешён доступ в Интернет (почему я поленился дать ему доступ только к серверам сервиса вебмани?), то и троян может делать все, что надо хакеру.

Тут надо заметить, что в день, когда произошла кража, ни я, ни другие пострадавшие, кипер не запускали. Раньше я читал про случаи взлома вебмани, в которых кража осуществлялась в тот момент, когда кипер был запущен и, по сути, управлялся удаленно. В моем случае хакер получил активированный “слепок” кипера и, выбрав подходящий день, запустил его у себя, с эмуляцией моего компьютера, изменил ключи и пароли.

Такое возможно из-за того, что в каталоге “C:\Documents and Settings\user\Application Data\WebMoney\” хранится файл с расширением .init, представляющий собой активированный на данном компьютере ключ доступа. Если его перенести на другой точно такой же компьютер, то можно без проблем запустить кипер. Понятно, что железо можно легко эмулировать, ведь полной работоспособности от него не требуется, надо только сообщить киперу правильный набор.

Осталась блокировка по IP. В теме форума высказывались предположения, что троян умеет “подбирать” нужный IP из разрешенного диапазона. Что это значит и как это возможно, я не знаю. Скорее, тут использована какая-то уязвимость проверки на IP самой системы вебмани.

Остался последний вопрос, который, наверняка, волнует читателей: а как троян попадает на компьютер? Через одну из уязвимостей ОС или установленного приложения. Лично у меня подозрения на джаву — за несколько дней до кражи был подозрительный запуск джава-машины. Возможно, также, использование уязвимостей в pdf ридере. А изначально проникновение осуществляется при заходе на какой-либо сайт.

Что делать?

Теперь, когда примерно понятен механизм взлома, можно придумать способы защиты. Одна из самых частых рекомендаций, которые можно встретить — купить отдельный компьютер (нетбук) специально для работы с кипером и больше ни для чего другого его не использовать. Этот вариант мне не совсем подходит, т.к. кроме получения денег на кипер, я также делаю оплаты с его помощью. Конечно, сайт, например, Сапы более надежен, чем какой-то варезник, но нет никакой гарантии, что в один прекрасный день сайт сервиса не будет взломан и на нем не разместится троян. Поэтому, нужен более надежный способ защиты.

И такой способ существует — это enum авторизация. Ее суть заключается в том, что вы устанавливаете себе на мобильный телефон (или КПК) специальное приложение, которое при вводе одного числа генерирует другое, причем способ генерации чисел уникален для каждого экземпляра приложения. При входе в кипер с помощью enum авторизации вам надо ввести число-ответ, выданное приложением. При этом, файлы ключей хранятся на удаленном enum сервере и украсть их невозможно.

Этот способ авторизации существует уже давно, но я не спешил на него переходить, т.к. существует вариант, когда троянская программа, дождавшись запуска кипера и авторизации, просто переведет деньги на кошелек хакера. Но совсем недавно в вебмани появилась возможность включить запрос подтверждения через enum не только на вход в кипер, но и на любую операцию. При этом в формировании числа-ответа используется не только число-вопрос, но и номер кошелька и сумма. Так что подставить другой кошелек и сумму в момент перевода не получится (конечно, вам надо быть внимательным).

Понятно, что в итоге получается очень много мороки, но лучше потратить лишнюю минуту, чем лишиться своих накоплений.

Подробнее про enum можно почитать:

Риски

Какие риски есть в случае использования enum сервиса? Взлом хранилища enum мне кажется маловероятным. В любом случае, этот факт обнаружится очень быстро, что приведет к блокированию уязвимости со стороны системы.

Есть риск потери или кражи мобильного телефона. Но очень маловероятно, что он попадет в руки хакерам, которые смогут внедрить к вам троянскую программу (при enum авторизации все еще нужен обычный пароль на вход). Кроме того, можно поставить пароль, который будет запрашиваться при запуске enum приложения на телефоне.

Чтобы облегчить себе жизнь в случае утраты телефона, сохраните enum приложение на специальную флешку, которая не используется для других целей, запишите в специальный бумажный блокнот код ативации, пароли и другую информацию, которую вы вводили при регистрации. Это облегчит восстановление доступа в будущем.

С точки зрения безопасности удалите enum приложение с компьютера, ни в коем случае не используйте эмуляторы мобильных телефонов.

При совершении переводов проверяйте правильность кошельков и сумм.

Переход на enum авторизацию надо делать на “чистом” компьютере. Для надежности сначала стоит сменить файлы ключей, сохранив их в надежном месте. После перехода обязательно удалите все .init файлы ключей, о которых я писал выше.

Выполнение этих условий дает практически 100% гарантию сохранности ваших вебмани кошельков. Даже в случае полного контроля вашего компьютера хакером, он ничего не сможет сделать, не имея доступа к вашему телефону с установленным enum приложением.

Заключение

Надеюсь, что вы смогли дочитать этот длинный пост до конца. Мне кажется, что реальные истории мотивируют гораздо лучше, чем простые призывы к действию. В данном случае я надеюсь, что вы примите действия для защиты ваших денег.

Хороший обзор всех способов защиты читайте на блоге Александра Тодосийчука: Советы и рекомендации по защите webmoney от взлома и E-NUM – система авторизации и защиты платежей Webmoney . Но надежных альтернатив enum я не вижу.

  • Pavel

    К сожалению, e-num тоже не абсолютное решение безопасности. У меня недавно тоже взломали кошелек и вывели деньги через пополнение счета телефона билайн (читая темы я так понял, что как то установили контроль над моим кипером, т.к. был заход на кипер с моего IP перед кражой, и мой комп был включен, но я в этот момент был не за компом). При этом e-num никак не помог – его видимо легко обошли. Насколько я понял, e-num взломать все равно можно – т.е. просто определить алгоритм шифрования, так что после этой расшифровки от него мало толку.

    Вот в интернет банкинге у меня стоит подтверждение всех операций со счетом кодом, который высылается смс-кой на мобильник. Мне кажется это одно из самых безопасных решений, хотя при желании и оно ломается (перехват смс-ок – к сожалению реальность, сам видел как это делается). Так что абсолютной защиты в онлайне наверное не существует…

    Я сам сейчас делаю так. Есть кошелек вебмани – для оплат. И есть кошелек для “сбережений”. Тот кошелек, что “для сбережений” – стоит на отдельном чистом компе специально для финансовых операций и ничего больше на нем нет, к инету подключается исключительно когда нужно что-то оплатить. Перед тем как сделать оплату – с кошелька “для сбережений” деньги переводятся на кошелек для “оплат”, оттуда оплачивается что надо уже с обычного компа. Конечно, получаются дополнительные комиссии, но я согласен платить за безопасность. До кражи денег с вебмани я этим не заморачивался, но после этого вот пришлось серьезно задуматься.

    • olen33

      У вас, видимо, enum был установлен только для авторизации, а для операций не был включен. Я о такой возможности взлома написал в посте.
      Не имея приложения, которое стоит на телефоне и кода активации к нему сгенерировать число-ответ невозможно.
      Насчет раздельных кошельков – я сейчас тоже подумываю о таком варианте для большей надежности.

  • ynas

    Сам тоже не так давно озаботился безопасностью вебманей и пришел к такому же решению. Мне кажется не нужно хранить enum приложение на случай потери телефона, у них есть процедура восстановления клиента как раз для таких случаев. И уж если телефон украли, лучше сделать установленное на нем приложение недействительным, мало ли.

    • Если есть другой телефон, на который можно установить приложение, то хранить
      стоит. Конечно, в случае потери телефона, старое приложение надо сделать
      недействительным и скачать новое. Но гораздо проще это осуществить, имея
      доступ к своему аккаунту, без общения со службой поддержки.

      • ynas

        При получении нового приложения старое автоматически станет недействительным, поэтому считаю смысла хранить его нет.
        Насколько я понял, получить новое приложение можно автоматически без входа в свой аккаунт, вот тут http://www.enum.ru/recovery.aspx правда сам не пробовал.
        Интересно, там только email нужен для получения? Так ведь выходит кто угодно может там мою почту ввести (если знает) и установленное у меня приложение станет нерабочим. Что думаешь по этому поводу?

        • Да, действительно, получить новое приложение можно без обращения в техподдержку. Это я сейчас восстанавливаю доступ к вебмани аккаунту (ждать надо 10-20 дней) и перестраховываюсь :-)
          Кроме почты надо будет ввести ище и ответ на контрольный вопрос, тогда на почту придет ссылка, по которой можно попасть в свой аккаунт и уже оттуда сгенерировать и скачать новое приложение.
          Кстати, не советую честно отвечать ни на один из их стандартных вопросов – надо либо ввести свой, либо давать “левый” ответ.

  • Пользуюсь WM Keeper Light, закрытый ключ подписи храню на eToken, если еще и enum прикрутить, то будет вполне секурно :)

  • вася

    enum вовсе не панацея. в т.ч. на каждую операцию.
    вот живой пример свежий http://maulnet.ru/archives/12126
    и в каментах ссылки на то, почему так.

    • Пост Маула и комментарии там я читал. К сожалению, пока остается непонятно, как это было реализовано технически.

  • andnik

    надо wm письмами гневными закидать
    пусть шевелятся уже

  • Поучительная статья. Я как-то даже и не думал, что это вообще возможно. Закину ее как-нибудь к себе в блог под тегом безопасность, с ссылкой на источник. Надеюсь не будешь возражать? =))

  • Галина

    Доброго времечка!
    Нашла у себя файл inetmib1.dll .
    Это значит, что троян уже засел ко мне?
    Скажите, можно ли его просто тупо удалить?
    Или могут быть какие последствия?
    Благодарю, Галина.

    • Зависит от того, где нашли. Если в каталоге c:Program FilesWebMoney , то это троян и надо его обязательно удалить, но если в c:WindowsSystem32 , то это просто системный файл, удалять ни в коем случае нельзя.

  • Delirium

    Мне кажется 100% защита в принципе не возможна! Но eToken позволяет значительно повысить безопасность. Раньше подходил к вопросу безопасности в WM спустя рукава, но как то в нашей домашней сетке у одного “товарисча” на расшаренном диске увидел сотни чужих kwm-ключей… стало немного не посебе.
    По случаю досталась мне целая коробка eToken Pro 64KB – закинул свои kwm-ключи сразу на 2 usb-брелка (если один потеряю, что бы не остаться без денег) и больше не запариваюсь. Если кому надо могу продать подешевке (дешевле чем у производителя) от 800 рублей + почтовые расходы. Обращайтесь на мыло: mac.life@yandex.ru

  • Artur__

    Здравствуи уважаимыи народ) нашел на днях *чудо кошельки* думал все это пиздешь но как не странно работает так причем в 10 раз увеличивает я еще такого не видел но вчемфишка положить можно тьлько не меньше 1000 рублеи.я уже так зароботал на машину думаю это очень хорошо.Так что дерзаите (R376370804620) думаю просто так 10000 не валяются!!