Новый троян ворует средства с WebMoney!?

    Очень любопытную тему подняли на форуме CGM (внимание! очень много букв!)… к сожалению заметил ее только сегодня.

    В последний месяц (вроде как) появился троян для WM.
    Сделан он, как я понимаю, «на заказ» и антивирусы (Norton 360, NOD32) его не видят.
    Проходит вроде как через дырки в Java-машине, т.е. регулярного апдейта Windows не достаточно. Троян выставляет root-kit, который не обнаруживается антивирусным софтом. Реально я смог найти root-kit только при помощи UnHackMe(http://www.greatis.com/security/, входит в RegRun Platinum).
    Проявление трояна (возможно уже после того, как сворует деньги, но скорее всего — одновременно) — при заходе в WM keeper прога пишет, что некоректный пароль, а при попытке инициализации при помощи KWM-файла, троян обнуляет этот файл.

    [… скип погрыз...]

    У меня стащили в районе чуть больше 2к WMZ. Месяц назад там лежало 16к, но по счастливой случайности как раз до этого момента вывел их.

        цитата сообщения от san_piter @ cgm, 13 октября 2007 22:03


    не то чтобы мне была интересна реакция хабра-сообщества, скорее «предупрежден, значит вооружен».

    хотя шансов услышать мнение сотрудников WM здесь побольше чем на CGM'е :")

    З.Ы.: по ссылке возможно открытие окна с рекламой перед тем как попасть на форум… не моя вина — это CGM такое придумал :/
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 131

      +1
      Мне кажется для операций с денюжкой надо поставить отдельную виртуальную машину или что-то вроде того. Плюс я не знаком с WebMoney, но надеюсь там есть такая функция как подтверждение транзакций через какой-либо офлайновый механизм.
        +1
        Это стало возможно только сейчас, раньше keeper попросту не запускался под виртуальной машиной, была специфическая привязка к железу (в общем сам по себе тот еще троян)
          0
          Да ну. Смотря какой конкретно кипер :) Классик - нет, но есть же и другие интерфейсы.
            0
            Классик и имелся в виду.

            Что касается виртуальной машины - если там даже лайт, то у уважающего себя трояна есть механизм распространения по сети, а в виртуалке обязательно будет сеть...
        0
        Дырка в java-машине?
        я всегда отключаю джаву в браузере и запрещаю ей доступ в инет фаерволлом, по тому, что незачем

        просто надо быть осторожным
          0
          >Дырка в java-машине?
          это была одна из первых версий от san_piter. я у себя подобной дрянине обнаружи, но все равно не понимаю, что помешает злоумышленникам использовать другие уязвимсти для расространения, например медиаплэйера?
          +2
          Вот поэтому надо использовать Keeper Light =)
            0
            На линуксе или маке))
              0
              Да ))) Мозилла или Опера. Оно таки работает.
              +1
              Или enum-авторизацию ;)
                +1
                Если к компьютеру получен удалённый контроль, то уже не важно какого типа клиент или платёжная система. ;)
                  0
                  Тогда причем тут платежная система? :)))
                    0
                    Ну так и я о том же. ;)
                    0
                    +1
                    0
                    Или GSMKeeper, очень удобная штука, всегда вебманя под рукой. Правда с оплатой некотоых услуг проблемки есть (например оплата доменов).
                      0
                      Через кипер лайт в этом месяце увели 8к.
                      Реакция вебманей - а нам пох :(
                        0
                        а что они должны сделать? Когда у вас на улице украли гопники мобилу, вы что, пойдете в органы просить замену мобиле?
                        В чем отличия этих случаев?
                          0
                          Мне так кажется, определенные вещи они должны были бы делать.
                          В частности - своровали через обменную контору, которая вывела эти деньги в e-gold. E-gold это такая система, из которой деньги назад получить невозможно.
                          Обменная операция была по внешним признакам - на 99% мошенническая.
                          Если бы вебмани как система вводила штрафы обменным системам за проведение подобных транзакций, то тогда бы их (обменную систему) не обломало бы позвонить по телефону, указанному в персональном аттестате и уточнить, действительно ли я хочу совершать обмен.
                          Ну это как пример.

                          Еще как пример - можно было бы добавить лимиты по суммам на совершение операций.
                          Как бы дело скорее в том, что система защищенности вебмани сейчас совсем далека от нормальной, и их это не беспокоит.
                            0
                            да. лимиты очень пригодились бы.
                            у меня обычно не бывает операций с суммами больше 50WMZ, а когда бывают мне не напряжно сходить и отключить лимит на несколько часов...
                              0
                              А обменники - это не бизнес WM. Как они могут пойти и указать владельцу обменника, который к ним не имеет никакого отношения, что ему делать и как они его будут штрафовать? По каким признакам определять заранее, какая это будет трансакция? Обменники - они же сами по себе...
                                0
                                Это спорное утверждение.
                                Обменники в данном случае являются партнерами и вебманей, и мошенников. Т.е. вебмани получаются партнерами мошенников.
                                Виза/мастеркард же применяют санкции против магазинов, которые принимают мошеннические транзакции (случае, когда процент чарджбеков превышает определенный заранее установленный уровен). Я не думаю, что в данном случае есть существенная разница.

                                Признаки достаточно прозрачные - вывод крупной суммы. Вывод на аккаунт, который был зарегистрирован за несколько минут до перевода. Вывод в систему e-gold, которая является "зоной невозвращения денег" (я им позвонил после факта воровства - они отказались даже блокировать средства аккаунте до судебного решения). Всего этого достаточно, чтобы вызвать подозрение. И проверить достаточно легко - позвонить или написать по контактам, которые указаны в персональном аттестате и общедоступны. Если бы все обменные системы так делали в подозрительных случаях - сворованные деньги обналичить было бы на порядки сложнее. Но это им не нужно. А не нужно потому, что Webmoney своим бездействием фактически одобряет воровство.

                                Я не могу сейчас сходу сказать, что именно нужно делать, но, однозначно - возлагать какую-то долю ответственности на обменные пункты. Т.е. именно они сейчас являются той дырой, через которую сворованные знаки ВМЗ переводятся в живые деньги.
                                  0
                                  Так их и так блокируют, лишают аттестатов и т.п.

                                  И я полагаю, что у Визы и МастерКарда все же другие отношения с магазинами - хотя бы из-за давнего преобладания пластика как формы оплаты на Западе.
                            0
                            Что, так и ответили - а нам пох? Точный текст ответа, а заодно WMID в студию, пожалуйста
                              0
                              вм айди я здесь публиковать не буду. По почте могу выслать, если представитесь.
                              dmitry@malyshenko.com

                              Разумеется, ответ дословно был не таким. Но отношение - таким.
                              С деньгами мы расстались морально сразу. Но - хотелось знать "как сделали" и "как избежать"
                              Позвонили в суппорт. Суппорт сказал - мы такие вопросы не решаем, не отвечаем, обращайтесь в арбитраж.
                              Обратились в арбитраж. Выставили претензию к обменному пункту (могли связаться, уточнить) -
                              "Указанный при подаче искового заявления тип иска не соответствует сути иска.
                              Возврат средств невозможен.
                              Вам следует обращаться в правоохранительные органы"

                              Еще один иск выставили к своему полузаброженному айди, в котором просто перечислили вопросы, которые задали суппорту, и с которыми суппорт перенаправил в арбитраж. Айди вписали просто потому, что он там необходим.

                              Результат - айди заблокировали, ни на один вопрос не ответили.

                              И вообще, ни одной рекомендации по усилению безопасности так и не получил. Блокировки доступа по айпи - явно недостаточно. Перейти с одного типа кошелька на другой - невозможно, только новая регистрация. Спрашиваем - можно ли перенести при этом аттестат - ответа до сих пор нет.

                              Ну вот такое.
                            0
                            плюс на закрытый ключ пароль ставить в IE. А сам ключ ессно хранить на PGP/TrueCrypt диске
                            0
                            слышал, но если честно не совсем понимаю как трой работает, на сколько я знаю при перечисление суммы нужно указать код перевода, который рандомом выдает сервак ... или я что то не догоняю ?
                              0
                              Пароль может заимствует и ключ от кошелька, а дальше человек делает, хотя я в этом совсем не разбираюсь...
                                0
                                если заимствует пароль и тырит ключ, то через что он их пересылает ?! +) Знающие люди обьясните а ?
                                  0
                                  да все через тот же кипер по идее и делает... не так уж и сложно симитировать работу человека - отправляй апликушке события с нажатиями кнопок клавы, перемещениями мыши и она не отличит эти действия от человеческих. код, который вводится перед транзакцией тоже обойти не сложно... и защита по IP с активацией железа в этом случае не спасает, т.к. действия производятся с машины и IP пострадавшего :(
                                0
                                Код для подтверждения транзакции генерируется на стороне клиента и предназначен только для проверки того, что транзакцию производит человек, а не внешняя программа.

                                Но есть вирусы, которые получают управление над компьютером, и могут передать изображение с циферками по сети. На другом конце человек их читает, предаёт назад во вредоносную программу, которая вводит цифры в поле для подтверждения и завершает операцию.

                                И не обязательно вредоносный код должен выполняться с помощью Java-машины. Были случаи, когда эксплойтом заражался ИЕ (после обычного захода на один из сайтов), и уже ИЕ (для которого разрешён доступ в сеть правилами фаервола) производил транзакции по переводу средств на кошельки злоумышленника.
                                  0
                                  ясно, спасибо за пояснения. Интересует еще один вопрос, если проблема стоит остро почему разработчики WebMoney ничего не предпринимают ... или проблема не актуальна ?
                                    0
                                    У кипера множество степеней защиты, но когда получен контроль над управлением компьютером, как-то распознать, что транзакцию проводит не владелец кошелька невозможно. Но WMT всегда идёт на встречу и помогает вернуть средства, если это возможно.
                                      0
                                      угу, только надо еще доказать что у тебя эти деньги украли +)
                                        0
                                        Логи транзакций, арбитраж.
                                        Кипер, на который деньги ушли, блокируется без проблем.
                                          0
                                          Обычно это труда не составляет. Уж поверьте мне. ;)
                                          Остановить движение средств могут после обычного обращения. Но чтоб их вернуть, может понадобится обращение в правоохранительные органы.
                                            0
                                            Тут скорее арбитраж, нежели правоохранительные органы. Это же не банковский счет и привязки никакой, там нормативная база у WM хорошо разработана.
                                              0
                                              Ну да, в первую очередь арбитраж. Но по поводу кражи (именно для установления факта) WMT может послать в органы.
                                                0
                                                Факты у них в логах, к тому же там в топике кто-то сумел получить счета еголд(!) с обменников, на которые ушли деньги, это раз, два - после еголда еще название конторы, на которую ушли деньги с еголда. И это все саппорт WM дал.
                                                  0
                                                  Логи движения средств не являются фактом кражи. Вы могли и сами перечислить средства, а потом попытаться вернуть их. WMT не всегда даёт логи движения средств.
                                          0
                                          Слишком неправдоподобно, единственный реальный троян, который я знаю (рабочий), после введения кода подтверждения транзакции состоит из 3х строчек на дельфи, он просто подменяет номер кошелька, на который отправляются средства самим хозяином на номер злоумышленника.

                                          А по поводу картинки, то там, если я не ошибаюсь, все реализовано динамически и навряд ли как-то можно это отследить и передать, разве что какая-то брешь в самой этой технологии (к примеру, можно прочитать сгенерированный номер в памяти), углубляться не могу, многого просто не знаю...
                                            +1
                                            Про подмены кошелька - отдельный разговор. А картинка просто снимается "с экрана" (по аналогии с RAdmin).
                                              –1
                                              Теоретически - вполне реально, но:

                                              1. Нужно снять конкретный объект на экране, а я не думаю, что это возможно. Значит будет сделан полный скриншот + ужим наверное (но до определенных размеров, иначе картинку не разберешь), так как трафик.

                                              2. Что делать с открытыми окнами программы (в hide режиме по-моему оно не работает), ждать пока пропадет активность пользователя? Получается надо усадить целый штаб "обслуживателей трояна".

                                              Скорее всего там попросту есть скрытые механизмы, если верить всему и *квм файл был действительно обнулен (а значит сохранен где-то "для себя" трояном), владелец-то уже пользоваться кошельком не смог, а деньги переведены были...
                                                0
                                                Конкретный объект снять небольшая проблема. Активные окна программы прикрыть - тоже. Вы что - думаете программа с помощью общения со святым духом узнаёт, что её окно спрятано/показано ? Она к операционке обращается. А если та ей банально врёт (не так сложно сделать). Конечно WMKeeper проводит определённые проверки, но если троян писали специально под него, то... увы, против лома - нет приёма: если твой компьютер котролирует кто-то, то этот кто-то может сделать с ним что угодно.
                                                  0
                                                  Читаю тот форум, там очень многих пограбили, начало 6ой страницы, а там 4-5 человек уже заявили, все в покер играют, перевод идет моментально, судя по их словам.

                                                  Да, насчет хуков, простите, не подумал сразу. Но смущает, если это все моментально. Видимо есть механизмы считки того же кода сгенерированного.
                                                  0
                                                  Ключи трутся для того, чтоб пользователь не мог быстро связаться со службой поддержки. А снять конкретный участок экрана, получив координаты нужного обьекта вообще не составляет труда, так же, как и установить значение конкретного поля ввода. Отсутствие пользователя за компом тоже элементарно определяется по активности клавиатуры, мыши и других устройств ввода/вывода. Я не просто так об этом говорю. Я знаком с конкретными случаями краж и способами их осуществления.
                                                    0
                                                    Я не буду говорить Вам, с чем я знаком, но там действительно баги кипера, все переводилось в течение 20 секунд, при запущенном кипере, самое сложное - получить код картинки (что касается настроек, вроде "не получать счета от неавторизованных пользователей", то галочка легко убирается еще с ранних версий), мне интересны уже детали :)
                                                      0
                                                      Да, и галочка элементарно убирается. По поводу картинки уже уморился писать. :) Изображение любого отображаемого обьекта хранится в памяти компьютера (средствами операционной системы). Снять эти данные - проще пареной репы.
                                                        0
                                                        >Снять эти данные - проще пареной репы.
                                                        а зачем!?
                                                        подмените метод котрый показывает картинку, и показывайте сами себе всё что угодно, зачем распознавать неудобные анимированные гифки, если можно удобно показывать "000" ;)
                                                          0
                                                          Активное «влазание» процесса в процесс с заменой может вызвать реакцию у антивирусной программы (ведь автор трояна не знает наверняка каким антивирусным и мониторным ПО пользуется «клиент») поэтому для трояна лучше сидеть тише кулера, ниже svсhost-a ;)
                                                            +1
                                                            Банальное "лазание" по кнопкам и настройкам кипера при помощи дельфи и чтение памяти трояном, реализованным как драйвер ОС в данный момент не ловится.
                                                            0
                                                            Подменить можно, но я не уверен, что на сервере код картинки в свою очередь не проверяется :)
                                                              0
                                                              у WM не проверяется... на данный момент, как я понимаю, картинка это защита от примитивных "кликеров", которая легко отключается в настройках...
                                                                0
                                                                Она бессмысленна, я не стал проверять и сниффить трафик, но в настройках она не отключается...
                                                      0
                                                      сейчас не могу по теме трояна - спать пора, утром думать буду.а е сли пооффтопить на темукриншотов, то скриншоты отлично снимаются даже со свернутых окон (не разворачивая).
                                            0
                                            Возможно, они более серьезно проработали, но еще с пол года назад я видел код простейшей OCR-системы, которая эти циферки распозновала...
                                            0
                                            У меня недавно с кипером был глюк такой, что при заходе на кошелёк, после ввода пароля и пути к ключу программа выкидывала критичискую ошибку, причём после переустановки и обнавление программы тоже самое. В итоге прошло само как то... Не связано ли это с каким либо троянчиком?
                                              0
                                              а деньги с кошелька не уплыли ?! Если все на месте то можно не переживать. Хотя возможен такой, что злоумышленики рассчитывают сорвать банк, но в этом случае можно снимать со счета скажем по 100 у.е. дабы не накопилось слишком много +)
                                                0
                                                У меня тож такое было, это врядли с этим связано, там что-то было с файлами ключей..
                                                0
                                                Очень не правдопадобно...
                                                Ну как он может деньги украсть?

                                                1. Украсть файл с ключами и пароль к нему. Но при запуске на дргом компе все это не запустится (если нормаьно настроено)
                                                2. Сделать автоматический перевод от имени владельца.
                                                - Очень слжно, т.к. там надо ввести цифры, указанные на картинке
                                                - будет четко видно, куда ушли деньги
                                                  0
                                                  По поводу кражи, смотрите выше. Да, будет видно, куда ушли бабки, но обычно создаются временные кошельки, используются схемы по переводу через несколько платёжных систем. Только быстрое реагирование и сообщение в службу поддержки WMT, а также в обменные пункты, через которые уводились средства, можно остановить и вернуть деньги.
                                                  0
                                                  При использовании онлайн кошельков придерживаюсь стратегии: «хранить на одном кошельке ровно столько, сколько не жаль потерять». Да, цинично, но диверсификация накоплений не даст возможности проснуться нищим ;-)
                                                    –4
                                                    use a Mac
                                                      0
                                                      Надо было ставить Outpost! ID block + средне-параноидальные настройки веб-контроля помогают ;) http://habrahabr.ru/blog/habraware/28105…
                                                        0
                                                        Люди пользуются IE, это раз, два - думают, что дырка из-за JVM браузера, а за javascript никто не думает (читаю топик на том форуме), хотя все дырки в IE из-за переполнений буфера/etc. тем же яваскриптом.
                                                          0
                                                          Ну, если ИЕ, то им только KIS 7 или OSS 2008 для чайников поможет. Аутпост джава-скрипты обрубает на корню при соотв. галке - каспера давно не пробовал. http://www.security-suite.ru или http://www.kaspersky.ru - что кому
                                                            0
                                                            В том-то и дело, что в том же каспере эвристика настолько тупая, что закриптованный js специальным софтом оно ловит, а банальный

                                                            'Thi'+'s i'+'s a st'+'rin'+'g'

                                                            Нет!
                                                              0
                                                              ого. реальная новость для соотв. раздела securitylab
                                                                0
                                                                Та уже давно не новость. Люди посылали примеры реализации конкретных експлойтов, с помощью которых потом уводились средства с кошельков, разработчикам антивирусов. Но помогло ли это?
                                                                  +1
                                                                  Если Вы работали/разбираетесь в этой области, то знаете, что самый последний и захудалый троян можно спрятать от любого антивируса простым изменением сигнатуры (криптовкой), т.к. именно на этом и основывается "борьба с вирусами", не важно какими, даже с пхп-скриптами безобидными, лежащими где-то далеко в папке без дела года 2 :)
                                                                    0
                                                                    Всё верно.
                                                                      0
                                                                      а декриптовать, простите, чем будем?
                                                                        0
                                                                        имею в виду - криптованный скрипт исполняется? вы уверены?
                                                                          0
                                                                          Не совсем понял о чем речь, но попытаюсь все-таки ответить.

                                                                          У любого антивируса есть база сигнатур (подписей) разных видов вирусов и их модификаций, по такому принципу они и определяются антивирусом. Есть программы, которые могут менять сигнатуру, но это до следующей поимки антивирусом и добавления его новой синатуры в базу. А еще есть полиморфные трояны/вирусы, суть их в том, что они не имеют постоянной сигнатуры.

                                                                          Что касается криптованных скриптов, то делается это на уровне конструкций языка.

                                                                          К примеру, есть такая функция как eval и urlencode/urldecode, самое простейшее. Исходный код сначала кодируется, потом декодируется, а потом испольняется в браузере посредством eval. У меня есть исходные тексты крипторов для javascript файлов, но они не оправдывают себя, это раз, два - если задача стоит спрятать именно от антивируса - лучше, чем спрятать руками пока ничего не придумано.

                                                                          За сим кланяюсь, спокойной ночи :)
                                                            0
                                                            *ушел обновлять каспера*
                                                              0
                                                              уж лучше AVZ... в нем покозырнее защита от руткитов...
                                                              а каспером потом шлифовочную зачистку произвести, по подозрениям из AVZ
                                                                0
                                                                Каспер купил автора AVZ, и сейчас этот чел работает в лаборатории касперского.
                                                                  0
                                                                  не важно. важно что в AVZ есть необходимый для данного случая функционал (или пока еще есть). а где работает автор не принципиально. глядишь и AVP и AVZ со временем станут получше, обменявшись опытом :)
                                                              0
                                                              У меня другая история была с вебмани. Однажды спросили у меня номер моего кошелька, чтобы денежку за проделанную работу перечеслить. Общение проходило в аське. Так вот я скопировал номерок из файла, а когда вставил в аську, номерок другой получился. Сначала я удивился и подумал, что сам косячу, но проделав тот же маневр в разных редакторах получался один и тотже результат, любой скопированный номер менялся на чей-то левый. Комбинация цифр подменялась только тогда, когда перед номером стояла R (Z не пробывал).
                                                              Обновив антивирус и прогнав винт антишпионом, эта хрень пропала после перезагрузки компа.
                                                              Для меня всё закончилось удачно - вовремя заметил.
                                                            • UFO just landed and posted this here
                                                              • UFO just landed and posted this here
                                                                • UFO just landed and posted this here
                                                                  • UFO just landed and posted this here
                                                                    • UFO just landed and posted this here
                                                                      • UFO just landed and posted this here
                                                                        • UFO just landed and posted this here
                                                                          0
                                                                          >> "Страдает магазин, который продал товар. Банк просто блокирует исходящую транзакцию и все."

                                                                          Судя по всему даже они не страдают, иначе бы драли своих продавцов в хвост и в гриву. Требование VISA - показывать паспорт, но за последний год у меня паспорт не спросили ни разу, хотя я пользуюсь карточкой довольно часто и сумма покупок выше 1000 р.
                                                                          • UFO just landed and posted this here
                                                                              0
                                                                              Спасибо, я в курсе как все это работает :) Я про оффлайн-магазины писал, там бы паспорт спрашивать - самое оно, ибо дамп на пластик залить гораздо проще, чем все необходимые данные кардхолдера найти (кроме случаев покупки данных, конечно :)), да и самому можно смело покупать в другом городе - никто из продавцов тебя не запомнит, а спрашивали бы паспорт, было бы гораздо сложнее...

                                                                              А с онлайн-магазинами - да, до сих пор есть магазы, которые даже CVV2 не проверяют.

                                                                              Кстати, интересная фишка - FireFox в formhistory.dat пишет даже те данные, которые были введены в https (если в в форме не было явно указано autocomplete="off", о чем знают далеко не все веб-разработчики) и отключить это невозможно (а в Mozilla почему-то можно), в итоге, после одной онлайновой покупки все необходимые данные в formhistory.dat лежат в открытом виде. :)
                                                                              • UFO just landed and posted this here
                                                                                  0
                                                                                  Это на первый взгляд. Тем не менее, там все в открытом виде - я оттуда вытянул свои полные данные о карте.

                                                                                  http://en.wikipedia.org/wiki/Mork_(file_format)

                                                                                  Для ознакомления можно убрать из текста $00, а если интересует вся информация нужно воспользоваться конвертером.
                                                                                  Чтобы это отключить нужно вообще отключить autocomplete, отдельно для https это можно сделать только в Mozilla.
                                                                            • UFO just landed and posted this here
                                                                          0
                                                                          Правда, есть ещё варианты. Мною, например, была утеряна карточка. Её "потратили" в магазине. Когда я пришёл перевыпускать карточку (в тот же день) мне сотрудник банка предложил подать заявление на возврат средств. Особого желания не было (там денег было аналог нескольких десятков долларов), но подумал чем чёрт не шутит. в итоге через несколько месяцев меня вызвали в службу безопасности банка и занялись с моим мозгом сексом по полной программе, обвиняя меня что это я потратил деньги. Банк - один из самых крупнейших в Украине, думаю, кто живёт в Украине догадается какой.
                                                                            0
                                                                            Дак говорите уже, чего там. Крупнейших банков в Украине много, Приват, Аваль, Укрсоцбанк - какой из них? Неужели первый?
                                                                            • UFO just landed and posted this here
                                                                          • UFO just landed and posted this here
                                                                            • UFO just landed and posted this here
                                                                              • UFO just landed and posted this here
                                                                                  0
                                                                                  Не ну квитанции выдаются и в вебманях и в яде. А по поводу страховки банковских вкладов...
                                                                                  100 тыщ рублей макс сумма (ну или что-то около того)... Не думаю, что кого-то это спасет.
                                                                                  • UFO just landed and posted this here
                                                                                      0
                                                                                      Сейчас уже 300 тыс, кажется.
                                                                                        0
                                                                                        Уже ответили. Было 100 000, стало 300 000. А что именно нереально?
                                                                                  0
                                                                                  А как же Гаранты и банки в WM? Все средства обеспечиваются и обязаны быть обеспечены теми самыми хрустящими бумажками или золотом, в случае с WMG.
                                                                                  "Банк последней руки" и вернет вам в соотношении 1 к 1.
                                                                                –1
                                                                                habr хорош уж тем, что тут можно насладиться трелями таких эрудитов, как santagenius:

                                                                                >увести деньги с пластиковой карты невозможно
                                                                                Смешно!

                                                                                >У себя на кухне, за тысячу долларов можно сварить столько, что хватит взорвать все станции метро в г.Москва и еще на мосты останется
                                                                                Очень смешно!

                                                                                >подскажите хотя б теоретический способ воровать деньги с PayPal'а в промышленных масштабах

                                                                                Подсказываю:
                                                                                http://www.paypalwarning.com/
                                                                                http://www.paypalsucks.com/
                                                                                http://www.auditmypc.com/pay-pal.asp
                                                                                • UFO just landed and posted this here
                                                                                    0
                                                                                    >Конечно. Особенно когда это говорят человеку с двухлетним опытом работы в СБ одного из крупнейших банков страны
                                                                                    Жаль, что проработав целых два года "в СБ одного из крупнейших банков страны" Вы до сих пор думаете, что увести деньги с пластиковой карты невозможно
                                                                                    • UFO just landed and posted this here
                                                                                        0
                                                                                        >Разве что клиент совершенно не контролирует свой баланс.
                                                                                        Вот Вы сами и признались, что возможно. Не надо быть таким категоричным
                                                                                        • UFO just landed and posted this here
                                                                                            0
                                                                                            >просто на мутантов не расчитывал :)
                                                                                            Просто отлично сказано! Осталось только назвать банк, в котором работаете
                                                                                            • UFO just landed and posted this here
                                                                                0
                                                                                Хочу сказать, что есть в Вебмани такая служба как Арбитраж.
                                                                                Если у Вас укарли деньги, то сразу же блокируйте подавайте заявку на wmid злоумышленника, плюс активируйте блокировуку его кошелька. Тогда есть шанс, что Ваши деньги дальше не уплывут и вернутся к Вам обратно.
                                                                                  0
                                                                                  >>Если у Вас украли деньги, то сразу же блокируйте подавайте заявку на wmid злоумышленника.

                                                                                  Никакой арбитраж не поможет, т.к. по такой схеме воры не работают.
                                                                                  Вам же говорят, троян с вашего кипера берет и выводит в другую платежную систему через обменный пункт.
                                                                                  Стандартная схема:
                                                                                  ваш кошель -> обменный пункт (например, www.roboxchange.com) -> E-GOLD

                                                                                  И все, с денюшками можете распрощаться раз и на всегда.
                                                                                  У меня два раза так уводили. Никакой антивирусник не смог найти у меня в системе червячка. Приходилось грохать всю систему и переформатировать винт...

                                                                                  А чтоб найти злоумышленников нужно, как минимум обращаться в МВД и Интерпол.
                                                                                    0
                                                                                    Да, если в другую платежную систему троян выводит, то не получится вернуть :(
                                                                                  +2
                                                                                  как страшно жить
                                                                                    0
                                                                                    Я дико извиняюсь, а разве хранение *kwm на сменном носителе, как советует сама WebMoney, не избавляет от проблемы червя?
                                                                                      0
                                                                                      советует. но для описываемой ситуации это не таблетка - для авторизации в WM вам понадобится показать киперу ключик, как следствие червь его тоже прочитать сможет... правда если носитель в режиме R/O то червь не сможет попортить файл с ключем, но я так понимаю, это все равно не помешает ему выпотрошить кошелек :(
                                                                                      –1
                                                                                      ну правильно что не видит!! Потому что надо пользоваться норм антивирусами, такими как Symantec AntiVirus.
                                                                                        0
                                                                                        Слушайте, в технической стороне вопроса мне сложно, как рыжей блондинке и матери троих детей :), но люди, юзайте e-num. И будет вам счастье.
                                                                                          +1
                                                                                          А мать троих детей и рыжая блондинка по совместительству на улицу выезжает только на танке, чтобы никакая птица там...кирпич, прохожие ничего не сделали? :)

                                                                                          Такая ситуация и тут, троян проникает через бажный IE, а дальше дело техники. Сама ОС дает возможности быть взломанным через любой софт, о какой защите можно говорить, если практически все (даже я сейчас) сидят под администратором, а даже если и нет, его получить не сложно :) Софту ничего не остается...

                                                                                          Взломать можно все, дело только в затратах ресурсов. Если все поголовно перейдут на enum, думаете не будет увеличения числа троянов/эксплоитов под мобильники...Это тоже рынок :) И здесь тоже спрос рождает предложение :)
                                                                                            0
                                                                                            Да нет, ну что вы :) Я как раз образчик полной самоуверенности в жуткой смеси с беззащитностью и, как говорит мой лучший друг и подцепивший от него муж - уклюжестью. Я довольно большая разгильдяйка, а будучи мамой только двоих детей - еще и регулярно ночами шлялась по городу. Возможно, когда мелкий подрастет, снова буду :)
                                                                                            Но только не по отношению к собственной рабочей машине!!!

                                                                                            Будет. И увеличение спроса, и предложения, согласна. Но на данный момент времени - это действенная альтернатива.
                                                                                            Еще на домашних машинах можно покупать и ставить d-link тот же, он не только маршрутизатор, но еще и неплохо фиксирует взломы сети и пр.
                                                                                              +1
                                                                                              Ой, чушь это все с д-линками, у меня вот "планет" стоит, иногда вообще левое блокирует, а на остальное не реагирует :)

                                                                                              А про шляния по ночам понравилоась, да :) делайте что угодно со мной, но не троньте компьютер :)))
                                                                                                0
                                                                                                Я не сказала "идеально" или "абсолютно". Я сказала - неплохо :) В общем и целом я довольно спокойно живу при таком раскладе и на моем wm-кошельке часто бывают крупные суммы.

                                                                                                Ну конечно! Компьютер - это и работа, и зарплата, соответственно, и кандидатская, интернет, масса архивов за 10 лет уже... Это кусок жизни, потому что целый пласт информации.
                                                                                                  0
                                                                                                  Я желаю Вам, чтобы денег было еще больше и к Вам никогда не проникали wm-трояны :)
                                                                                                    0
                                                                                                    Да они не мои, по большей части :) - потом перечисляется зарплата или оплата заказов по работе и пр. :) Но если их будет больше, значит, мое направление будет развивать еще более бурную деятельность :)
                                                                                          +1
                                                                                          Подобные трояны существую очень давно и вполне нормально работают.
                                                                                          Есть, которые воруют сертификаты для Keeper Light (делается в 10 строк на любом языке), есть, которые воруют файлы ключей, есть которые сами отправляют деньги (ждут запуска кипера, сами втыкают цыфры ит.п.). Это не новость. Это суровая правда жизни. Скрыть подобную программу от антивируса легче простого.
                                                                                          На черном хакерском рынке подобный троян будет стоить не больше 3 сотен баксов (имхо). Плюс еще 10$ за каждый заширофванный билд (чтобы не палился антивирусами).

                                                                                          Так что вот так, господа. Однако я все равно активно пользуюсь WebMoney.
                                                                                          Почти спокойно себя чувствую с WMKeeper Light и неэкспортирумым сертификатом. Конечно, это не спасет меня от автозаливочного скрипта, который мог бы внедрить троян на демонстриуемую мне страничку баланса, однако современный файрвол (который может позволить себе любой пользователь со средней з\п, пользующийся вм) или проактивная защита тут вполне актуальны.
                                                                                            0
                                                                                            было бы интересно увидеть код, незаметно для пользователя ворующий сертификат Keeper Light. Особенно установленного в strong режиме, с запросом пользователя.
                                                                                              0
                                                                                              код, просто ворующий сертификаты очень прост, открываем хранилище, перечисляем записи, экспортируем, отсылаем. а обходы разного рода предупреждений, защит и т.п. - это, думаю, более сложные техники. я с ходу могу придумать, наверное, штуки 2 таких, сложно реализумых (на базе внедрения и перехвата).
                                                                                              0
                                                                                              *робко тянет руку из зала*

                                                                                              Простите, а что мешает устанавливать сертификат именно так, как рекомендовано на сайте WM - с запросом подтверждений при обращении к ключу?

                                                                                              и еще...*как "воруют сертификаты для Keeper Light", если .PFX-файла нет физически на компе, а сам сертификат установлен в неэкспортируемом режиме (по вашему же),
                                                                                              да еще и с запросом подтверждения от юзера, если происходит обращение к ключу?
                                                                                                0
                                                                                                Любое обращение в системе обходится. Не сказать, что легко, но не могу себе представить код, который НЕ обойти.
                                                                                                А вот на чем завязана неэкспортируемость сертификатов - я хз.
                                                                                              0
                                                                                              Тут про глюки IE говорили. Я надеюсь глюков с Opera или FireFox меньше(или нету)?
                                                                                              Или меня тоже обворуют, если я ипользую веб-интерфейс + e-num авторизацию?

                                                                                              OffTop:Что-то тут коментов с последнего моего посещения много стало....

                                                                                              Only users with full accounts can post comments. Log in, please.