Взлом вашего ящика электронной почты может быстро привести злоумышленника как минимум к получению сведений о ваших кошельках webmoney и их балансе. Никаких смс с уведомлением вы не получите, даже если к аккаунту привязан номер мобильного телефона.
Disclaimer: я не пользуюсь webmoney, кошелек был создан в каком-то лохматом году и имеет нулевой баланс, поэтому каких-то особенностей использования и настроек могу не знать. Но постараюсь описать то, с чем пришлось столкнуться на практике.
Сегодня в почтовом ящике на mail.ru обнаружились два прочитанных письма от webmoney. В одном содержалась ссылка (проверочный код) для поиска «моих» (то есть привязанных к моему адресу электронной почты) кошельков, в другом — ссылка для смены пароля к аккаунту на webmoney.
Так как я этих писем не читала, сразу стало понятно, что моя почта взломана. Как это случилось, я не знаю, тема нашего разговора не о простых и сложных паролях, правомерности использования соседских wifi или мобильной безопасности. Могу лишь сказать себе в оправдание о том, что никогда не храню пароли в браузерах и настройки безопасности, доступные в ящике mail.ru, максимально ужесточены. Стопроцентной уверенности в том, что доступ к моему почтовому ящику — это целиком и полностью моя вина, а mail.ru ни при чем, нет. Но разговор все-таки про webmoney.
Повторив действия злоумышленника, я за пару минут получила номер своего кошелька и восстановила доступ к аккаунту путем новой смены пароля. При этом доступа к моей почте мне было достаточно.
Первое желание, которое у меня возникло после выполнения этих действий — посмотреть, кто и когда входил в мой аккаунт webmoney (кстати, на mail.ru найти эту информацию я не смогла).
И вот тут случилось то, что меня очень удивило. Для входа на «портал безопасности» webmoney мне прислали одноразовый код на мой номер мобильного. До сих пор не могу понять, почему получение сведений о кошельках (enumeration) и смена пароля — это события менее критичные и выполняются не только без ввода одноразового кода, но и без уведомления о факте смены по смс. Для интернет-банков эти уведомления давно стали нормой.
Возможно, активные пользователи webmoney поправят меня и скажут, что данные опции уведомления могут или должны быть настроены мной самостоятельно, но я с ними не соглашусь. Наверняка при выполнении платежей эти коды запрашиваются по умолчанию. Почему не включить их по умолчанию на операцию смены пароля?
Если причина взлома моего почтового ящика не является следствием моей собственной халатности (или является, но не только моей), то вполне возможно, что в эту минуту кто-то заходит в ваш кошелек webmoney через ваш почтовый ящик. Письма в mail.ru и webmoney отправлены, тем не менее, предлагаю всем читателям, имеющим кошельки, на всякий случай проверить свои логи в системе webmoney.
P.S. И да, мне очень повезло, что этот «плохой парень» не сменил мой пароль на mail.ru. Хотя об этом мне бы точно пришло смс (несмотря на то, что на mail.ru деньги я не храню).
Disclaimer: я не пользуюсь webmoney, кошелек был создан в каком-то лохматом году и имеет нулевой баланс, поэтому каких-то особенностей использования и настроек могу не знать. Но постараюсь описать то, с чем пришлось столкнуться на практике.
Сегодня в почтовом ящике на mail.ru обнаружились два прочитанных письма от webmoney. В одном содержалась ссылка (проверочный код) для поиска «моих» (то есть привязанных к моему адресу электронной почты) кошельков, в другом — ссылка для смены пароля к аккаунту на webmoney.
Так как я этих писем не читала, сразу стало понятно, что моя почта взломана. Как это случилось, я не знаю, тема нашего разговора не о простых и сложных паролях, правомерности использования соседских wifi или мобильной безопасности. Могу лишь сказать себе в оправдание о том, что никогда не храню пароли в браузерах и настройки безопасности, доступные в ящике mail.ru, максимально ужесточены. Стопроцентной уверенности в том, что доступ к моему почтовому ящику — это целиком и полностью моя вина, а mail.ru ни при чем, нет. Но разговор все-таки про webmoney.
Повторив действия злоумышленника, я за пару минут получила номер своего кошелька и восстановила доступ к аккаунту путем новой смены пароля. При этом доступа к моей почте мне было достаточно.
Первое желание, которое у меня возникло после выполнения этих действий — посмотреть, кто и когда входил в мой аккаунт webmoney (кстати, на mail.ru найти эту информацию я не смогла).
И вот тут случилось то, что меня очень удивило. Для входа на «портал безопасности» webmoney мне прислали одноразовый код на мой номер мобильного. До сих пор не могу понять, почему получение сведений о кошельках (enumeration) и смена пароля — это события менее критичные и выполняются не только без ввода одноразового кода, но и без уведомления о факте смены по смс. Для интернет-банков эти уведомления давно стали нормой.
Возможно, активные пользователи webmoney поправят меня и скажут, что данные опции уведомления могут или должны быть настроены мной самостоятельно, но я с ними не соглашусь. Наверняка при выполнении платежей эти коды запрашиваются по умолчанию. Почему не включить их по умолчанию на операцию смены пароля?
Если причина взлома моего почтового ящика не является следствием моей собственной халатности (или является, но не только моей), то вполне возможно, что в эту минуту кто-то заходит в ваш кошелек webmoney через ваш почтовый ящик. Письма в mail.ru и webmoney отправлены, тем не менее, предлагаю всем читателям, имеющим кошельки, на всякий случай проверить свои логи в системе webmoney.
P.S. И да, мне очень повезло, что этот «плохой парень» не сменил мой пароль на mail.ru. Хотя об этом мне бы точно пришло смс (несмотря на то, что на mail.ru деньги я не храню).