У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

Сумма серьёзная... Внушает веру. Вы заинтересовывали милицию частью суммы? :)

Дело осложняется тем, что я нерезидент... Но я поду писать все равно.

Spowen добавил 11.03.2010 в 18:23

Не советует по своим личным убеждениям или потому что забанить/залочить действительно могут? С персональным аттестатом имеется ввиду. У меня был персональный (и есть, только без денег уже).

Все это ерунда, вот когда будет обмен валют, переводы и.т.д генерироваться c подтверждением пароля через СМС плюс ещё отдельный код платежа на перевод безопасность будет 99%.

Тогда все эти антивирусы, IP и.т.д примочки можно откинуть ваше.

1) Вход пароль в Keeper генерироваться c подтверждением пароля через СМС.

2) обмен валют, переводы, код платежа генерироваться c подтверждением пароля через СМС.

3) геморрой 1), 2) зато безопасность 100%

4) Плюс ещё на каждый Z,R -кошельки задавать свой код платежа пароля тогда ваше 110% 🚬

5) Oграничить перевод на другие Z,R итд - кошельки, допустим перевод только на 5 кошельков проверенных остальных блокирует, если надо добавить новый Z,R активацию через СМС.

6) Все эти функции активации на выбор владельца 1,2,4,5 обязательный для всех я бы оставил 1)

Тоже увели деньги с Вебмани недавно. Отписал в саппорт и арбитраж. Деньги с моего кошелька перевели на другой, но саппорт успел заблокировать доступ к кошельку взломщика.

Начал процедуру восстановления доступа к кошельку. Аттестат формальный, но на реальные данные зареган. Попросили выслать на почту скан паспорта. И вот у меня к вам ребята вопрос. Стоит ли отправлять скан? Всегда побаивался отправлять подобное неизвестно куда, да еще и прочел, что вебмани вскрытую собирает информацию о компе и владельце. Вобщем кто-нить отправлял им скан? Были ли последствия? Ведь налоги я не плачу с зароботка :)

И кстати, Каспер не нашел ни троянов, ни вирусов. Проверял сразу после взлома и сегодня. Также, не могу понять откуда вирус пролез, стоит фаервол и антивирус. Правда, иногда приходится заходить на сомнительные сайты, так как ссылки в сапе проверяю вручную и естественно, попадается фигня какая-то.

Думаю это оно, у меня в сумме где-то тоже 3-4 нашлось (включая файл в директории Webmoney). Могу выложить описания когда буду дома если интересно. 2 из них одинаковые.

Spowen добавил 11.03.2010 в 18:31

Вам ничего больше не остается и им тоже. Они никак не узнают что Вы - это Вы без скана паспорта (скажите спасибо что не сказали заверить нотариально) а ВЫ если хотите восстановить контроль - пришлете. Я послал, это требуется для восстановления доступа к старому ID.

Но вообще у меня такого не было - я уже не раз отправлял скан для подтверждения владения доменами.

Естественно подобную информацию можно украсть, но... что ж - не жить вообще теперь? :)

Я после этого инцидента много опыта для себя почерпнул. Больше в моральном плане. Самое главное, что понял - как говорил какой-то великий мыслитель: "Усомнись". Нельзя быть уверенным ни в чем :) В безопасности хранения данных например.

Spowen добавил 11.03.2010 в 21:31

Пришел ответ от Альфа-Банка:

Блокировка по IP и активация кипера (что на телефон, что на мыло), а так же ключи спрятанные на отдельной флешке в сейфе больше значения не имеют.

Злоумышленники нашли капитальную дыру в самой архитектуре (в работе кипера классик или вообще протоколе взаимодействия с серверами).

По теме - в конце февраля так же ломанули кошелек и увели все деньги.

Защита в виде 2 фаерволов (аппаратного на роутере и софтогового Outpost FireWall Pro в режиме блокировать все, кроме явно разрешенного), проактивной защиты (Outpost FireWall Pro в режиме повышенной локальной безопасности), антивируса (лицензионный dr.web с постоянно обновляемыми базами) не помогли.

Примерно в тоже время увели кошелек у знакомого, только у него был Касперский (полный пакет фаервол+проактивка+антивирус).

Потом вирус нашли при помощи утилиты CureIT. Хотя по сути это тот же DrWeb для "одноразового" использования. Здачит злыдень смог заблокировать работу(или спрятаться) от штатно установленного антивируса (а CureIT запускается из произвольной папки + имена всех рабочих файлов у нее при каждом обновлении случайным образом изменяются - что-то типа полиморфа получается, что сильно затрудняет ее обнаружение)

Насчет не ставить "Левого софта" или не ходить на "порно сайты" - эти представления как основном источнике вирусов давно устарели. Сейчас эксплойты например внедряются через ифреймы с приличных сайтов - путем их взлома и незаметного (на первый взгляд, если в коде не копаться) внедрения гадости на них либо через рекламные модули (заходите вы на "хороший" сайт, но на нем грузится с другого сервера рекламный модуль с вредоносным кодом - как было в случае с ТС, так же похоже было у и меня).

Но самое главное не сработали все виды защиты самой Webmoney:

1. ключи находились ВНЕ компьютера, на отдельной флешке, флешка убрана на хранение и к компу не подключалась - т.е. теперь для перехвата контроля ключ не обязателен (а на кой ляд он вообще тогда сдался? только нормальным пользователям доп. геморррой создавать??)

2. была включена активация кипера - кода или запросов на активацию не приходило

3. была включена блокировка по IP - аналогично блокировка не снималась, но ее как то обошли

4. не говоря уже о всяких мелочах - типа капчи при переводах или запрета на перевод средств на неавторизованные WMID

Т.е. теперь вся безопасность webmoney сейчас держится на примитивных логин(WMID)+пароль и вашей способности не допустить их утечки. ВСЕ! Остальное обходится с использованием дыр самой WM, которые они не могут (или не хотят) исправлять!

MyTraf добавил 12.03.2010 в 03:12

Вообще насколько я помню у самой WM в правилах написано, что переводы в банки возможны только на имя того же человека, на имя которого зарегистрирован WMID.

На этом моменте люди с кошельками зарегистрированными на левые (не свои) данные уже много раз попадались - после блокировки кошелька или утери ключей не могли свои деньги получить - вебманевцы были неприклонны. (видать потому что деньги то им остаются с таких "утерянных" кошельков ☝ формально то они на кошельке даже остались в виде циферок, но если к нему никто доступ получить не может то ими можно спокойно распоряжаться как своими)

А как своровать и вывести на чужой счет - так пожалуйста в любой момент.

У меня тоже деньги на чей-то счет увели. На чей именно - в арбитраже называть отказываются, на все вопросы отправляют в милицию дело заводить, дескать данные только по запросу в рамках дела выдадут.

На вопрос как вообще вывели на имя и счет другого человека и как обошли степени защиты самой вм - в тупую молчанку играют (тикет без ответа уже 2-ю неделю висит).

MyTraf добавил 12.03.2010 в 05:55

Это как раз вполне просто объясняется - вирус действует совместно с руткитом (root-kit), который маскирует его присутствие в системе перехватывая некоторые функции windows. Вещь достаточно обычная для "хорошего" вируса. Но этот рут-кит сначала должен был как-то на компьютер установиться, а для этого обойти защиту винды и браузера (найти незапатченную "дыру"), а после этого проактивную защиту и проверку резидентным антивирусом, после этого внедрится в систему и скачать основной вирус, который и будет собственно выполнять "грязную работ" (для чего еще попутно обойти фаервол).

Вот это уже "высший пилотаж" вирусописания...

MyTraf добавил 12.03.2010 в 06:24

Сейчас он нормально определяется dr.web и cureIT. По-идее и касперским должен, т.к. я им этот файл на анализ почти 2 недели назад отсылал (хотя ответа о добавлении новой записи в базу так до сих пор и не получил, только стандартный авто-ответ что файл принят в обработку...).

НО проверять нужно загрузившись из другой системы (например с LiveCD), дабы вирус не мог помешать процессу сканирования.

MyTraf, при всем сочуствии к вашей утрате, чего вы добиваетесь?

Чтобы WM прекратила свои операции не неопределенный срок, пока не будет выработана зашита против ДАННОГО трояна?

А за этим троем последуют другие, благо умельцев отмороженных хватает.

PS Пока самым действенной остается защита в виде отдельного винта или ноутбука, а также кипера на мобиле.

Период активности по кражам с вебмани совпадает во многих случаях - значит трой автономно не работает.

Чтобы у вас украли деньги через трой время работы в сети хакера и ваше должно совпасть + вебмани должен быть включен.

Этот самый Федосеев фигурирует уже везде. Если написать коллективное письмо в Альфу и в блогах разместить - мож счет закроют?

Блокировка была по одному выделенному IP или по диапазону? Если первое, то были ли в списке IP подключений левые?

Странно, что вы еще не поняли, что безопасность вообще ни на чем не держится. Не нужен злоумышленнику ни WMID, ни пароль, когда у него есть снимок окружения зологиненного кипера. Теперь безопасность может держаться только на параное пользователя и везении, если только WM не устранили эту дырищу в последней версии.

Не вводите людей в заблуждение. Если и определяется, то только известные модификации. Может быть как исходный код изменен, чтобы компилировался недетектируемый вариант, так и конверт наложен.

Никак не соглашусь с данным утверждением. 2 дня назад увели приличную сумму со сменой паролей в вебманях. Когда начали распутывать куда и как увели деньги - выяснилось, что это было физически сделано с IP-адреса моего домашнего провайдера, в тот момент, когда физически компьютер был выключен, ибо никого не было дома.

Выделенного ИП-шника у нашего провайдера нет, поэтому все лезут через один ип. Остатается предположить, что это мог быть школьник-сосед(что маловероятно) или кул-хацкер, который ломанул ещё как минимум один комп из локалки и с него запустил "образ" и увёл деньги.

Так что выключенный компьютер с установленной вебманей - не гарантия того, что бабло не уведут.

Я жду последнего ответа от провайдера и уже с собранной информацией пойду писать заявление в ОВД, ибо я сам уже упёрся в СБ яндекс-денег, которые естественно не выдают информацию по тому, кто и куда дальше увёл деньги :(

Не ждите. Провайдер наверняка ответит то же самое, что и все остальные: "сведения предоставляются только по запросу органов следствия".