Приклади злому WebMoney гаманців і налаштування безпеки, здатні знизити його вірогідність (блокування по IP)

  1. Злом WebMoney цілком реальний і небезпечний
  2. Можливі способи підвищення безпеки WebMoney
  3. WebMoney Security - блокування по IP

Привіт, шановні читачі блогу KtoNaNovenkogo.ru. Сьогодні буде, як і обіцяв раніше, стаття присвячена безпеці роботи з WebMoney ( мало заробити гроші в інтернеті, описаними тут способами, їх треба ще і зберегти). Коли я тільки починав знайомитися з електронними грошима , То перше, що кинулося в очі - величезна кількість заяв про злом гаманців.

починав знайомитися з електронними грошима

Але, як водиться, знаючи, що небезпека існує і на дані граблі періодично настають все нові і нові користувачі цієї найпопулярнішою в рунеті системи, я наполегливо нехтував усіма повідомленнями WebMoney Keeper Classic, про роботу з яким йшлося тут про те, що в настройках безпеки є істотні недоробки.

Злом WebMoney цілком реальний і небезпечний

Ну, колись мені було морочитися з цими безглуздими попередженнями дурною програми. Головне, щоб працювало, а про безпеку нехай Вебмані думають, адже вона сама пропагує, що зламати їх сервера або програму практично не можливо. Ну, а якщо злом вебмані неможливий, то значить і не варто витрачати таку дефіцитне для будь-якого блогера час на всяку там дурницю.

До того ж, для початку, електронних валют на цих гаманцях практично і не було. До спливаючого вікна з повідомленням з Кіпера про те, що в настройках безпеки є проломи, я звик і закривав його вже на автоматі. Так тривало близько півроку, причому розмір рахунку поступово зростав, що мене приємно гріло і дуже тішило. Про погане я вже й думати забув.

Але ось, в один не дуже прекрасний день, я не зміг увійти в свій Keeper Classic, тому що мені постійно видавалося повідомлення про те, що пароль не підходить до даного WMID. В общем-то я практично відразу зрозумів звідки ноги ростуть, бо читав не раз про такий розвиток події при зломі.

І вже з відчаєм потопельника почав переписку зі службою техпідтримки в надії роз'яснити ситуацію (Кіпер Класик сам пропонує перейти по потрібним посиланнях, для з'ясування ситуації, що склалася).

Справа ускладнилося тим, що я вже забув, який саме контактний E-mail вказував при реєстрації і вході в Веб мані, а це було дуже критично у виниклій ситуації, бо в техпідтримку наполягали, щоб я написав запит саме з зазначеного у WMID поштової скриньки ( щоб вони могли хоч якось переконатися в тому, що я дійсно є власником цих гаманців).

Процес згадування затягнувся майже на цілий день, а відповідь від техпідтримки WebMoney я отримав вже вночі. Мене запитували, чи не міняв я файл ключів пару днів назад. Я його не міняв взагалі ніколи, тому це остаточно переконало мене в тому, що плакали мої електронні гроші.

Само собою, що я все одно подав запит в арбітраж , Повідомив персональні дані вказані при реєстрації (по-моєму, навіть скан паспорта потрібен, але можливо, що це вже на етапі відновлення доступу до свого WMID потрібно було).

Відповідь з арбітражу не була втішним - мені повідомили номера гаманців на які були переведені електронні гроші з моїх WM гаманців і порадили звернутися в міліцію із заявою за фактом крадіжки, бо гроші звідти вже були успішно виведені через Білайн (телефони теж були наведені).

До міліції я звертати не став, бо як то не хотілося морочитися з усім цим, та й до того ж у мене тоді ще не був оформлений ІП, статус якого дозволяв би на законних підставах заробляти в мережі. Загалом, вмився я і продовжив далі займатися тим, чим і займався, але тільки тепер до питань безпеки WebMoney у мене особливе ставлення (обпікшись на молоці - на воду дую).

Основним засобом захисту від злому я зараз вважаю підключення E-num, про який написав цю статтю, але тим не менш, і тими засобами, про які піде мова в цій статті, теж нехтувати не варто.

Основним засобом захисту від злому я зараз   вважаю підключення E-num, про який написав цю   статтю, але тим не менш, і тими засобами, про які піде мова в цій статті, теж нехтувати не варто

Небезпека втратити свої гроші вас переслідує не тільки при здійсненні обміну електронної валюти , Але і в будь-який інший час, коли ви навіть не працюєте зі своїми гаманцями.

У зв'язку з усім вище сказаним, в цій статті я хочу поділитися з вами тими настройками безпеки, які зробив або збираюся зробити. Можливо, що цього буде все-таки не досить для того, щоб електронні гроші на моїх гаманцях відчували себе як в сейфі, але в порівнянні з тим повним пофігізмом, що я проповідував на початку своєї роботи з WebMoney, це вже величезний крок вперед.

Сподіваюся, що і ви, шановні читачі, поділіться в коментарях своїми напрацюваннями з цього приводу.

Можливо, що мої слабкі пізнання в способах злому і крадіжки грошей з Вебмані гаманців змушують мене робити неправильні висновки, але мені здається, що слабкою ланкою, що дозволила в моєму випадку вкрасти гроші з рахунку, був абсолютно ненадійний пароль на той поштову скриньку, яка була вказана , як контактний при реєстрації в WM.

Отримавши доступ до нього зловмисник зміг ініціювати зміну файлу ключів. Чи потрібно для цього ще використовувати і якийсь троян, я не знаю.

Можливі способи підвищення безпеки WebMoney

Але ось пароль до поштової скриньки типу 12345 або qwerty, можна вважати запрошенням всіх нечистих на руку шахраїв поживитися за ваш рахунок. На нього я подумав ще й тому, що одночасно мені прийшов лист з якогось сервісу про те, що я запросив зміну пароля, хоча такого не було.

Загалом, вирішивши перестрахуватися, поміняв на всіх своїх ящиках і ящиках моїх домашніх паролі на надскладні, як я сподіваюся, для злому. Розумію, що не панацея, але все ж уже дещо. Для генерації складних паролів я використовував цю програму, ну і для їх зберігання вона теж дуже добре підходить.

Для генерації складних паролів я використовував цю   програму, ну і для їх зберігання вона теж дуже добре підходить

До того ж я заборонив зберігання пошти на поштових серверах. Тобто після того, як використовувана мною поштова програма засмоктала всю нову кореспонденцію, ці самі листи на сервері затираються. Нічого зберігати важливі дані там, де її будь умілий хакер може прочитати.

Я використовую для роботи Гмайл , Про який писав тут. У ньому можна активувати двоступеневу аутентифікацію з використанням номера мобільного телефону, яка зробить ваш ящик практично невразливим. Як це справа підключити, читайте в наведеній статті.

Правда, і комп'ютер не є панацеєю, хоча, якщо використовувати TrueCrypt для шифрування поштової бази, то однозначно спати можна буде спокійно, бо навіть самі хакери використовують цю програму для шифрування свого листування та приховування взагалі будь-яких файлів. Дуже рекомендую обидві програми до активного використання, бо у них відкритий вихідний код і свідомо немає ніяких чорних ходів.

Дуже рекомендую обидві програми до активного використання, бо у них відкритий вихідний код і свідомо немає ніяких чорних ходів

Загалом, починати забезпечення безпеки варто, напевно, не конкретно з WebMoney, а саме з забезпечення загальної безпеки роботи з вашої електронної поштою і операційною системою в цілому. А вже потім можна буде, не хвилюючись за тили, переходити до затикання дірок в системі електронних валют.

Найвагомішим дійством, безумовно, є використання авторизації через Enum (спеціально призначений для абсолютного захисту - читайте про це в наведеній трохи вище статті), а й тими елементарними налаштуваннями безпеки, які пропонує сама система WebMoney, теж не варто нехтувати.

Правда, навіть авторизація через Enum з максимальним ступенем захисту не буде стовідсотковою гарантією захисту від злому. Завжди може бути використаний соціальний інжиніринг, який може підштовхнути користувача самого вчинити дії, які не може зробити зловмисник.

Був гучний злом WebMoney гаманця з авторизацією через Enum і там спрацював саме такий варіант злому - нібито від імені системи товариша попросили налаштувати доступ до свого WMID через кіпер лайт, тим самим отримавши можливість вкрасти дуже пристойну суму в електронних валютах (половина мільйона в рублях, як я зрозумів).

При будь-яких проханнях на вчинення вами будь-яких дій зі зміни налаштувань в вебмані, не зайвим буде витратити хвилинку на те, щоб зв'язатися з техпідтримкою і уточнити, чи дійсно від них виходила така прохання. Але ми часто буваємо настільки замотані і засмикані, що навіть і думки про перевірки виконуваних дій не виникає - робимо все на автоматі, аби відчепилися. Та й варіантів розлучення дуже багато.

Радикальним способом захисту своїх кровно зароблених, крім повної відмови від використання системи (в умовах, що склалися це практично не можливо), буде негайний вивід грошей в реал, відразу ж після надходження їх в гаманець. Але це не завжди зручно і можливо зробити, тому давайте розглянемо деякі превентивні заходи, які зможуть істотно знизити ймовірність злому.

WebMoney Security - блокування по IP

Одним з найбільш ефективних способів є блокування доступу по IP. Якщо ваш інтернет провайдер надає вам виділений IP адреса, то вважайте, що вам дуже пощастило, тому що в цьому випадку буде дуже просто і, що важливо, ефективно здійснити блокування.

Інтернет провайдер надає мені динамічний IP , Який буде змінюватися в певному діапазоні при кожному новому підключенні до інтернету, то налаштувати блокування доступу таким чином буде складніше, але теж цілком реально. Я виходжу в інтернет через Стрім, який надає як раз саме такий варіант.

Але на сайті Стрім можна побачити діапазон використовуваних їм IP адрес, а отже, можна буде скласти з допомогою маски підмережі цілком легкотравний діапазони айпішніков, яким буде дозволено доступ до WebMoney.

Всім, хто захоче підключитися до їх серверів з інших адрес, що не входять в цей діапазон, в доступі буде відмовлено. Тепер зломщик повинен виходити в інтернет теж через Стрім, що істотно знижує сектор обстрілу.

Отже, давайте перейдемо від теорії до конкретики. Блокування доступу по IP можна налаштувати в сервісі WebMoney Security , Який призначений саме для подібних речей. Природно, що перш, ніж приступити до налаштувань, вам доведеться авторизуватися на сервісі.

На вкладці « журнал підключень »Ви зможете побачити список айпішніков з яких ви підключалися до серверів Вебмані. Якщо він у вас статичний, то можете його скопіювати прямо тут. Якщо ви працюєте з електронними грошима ще з якихось комп'ютерів (офіс, будинок або ще де), то ви зможете знайти ці IP в цьому ж списку журналу підключень.

Якщо ви працюєте з електронними грошима ще з якихось комп'ютерів (офіс, будинок або ще де), то ви зможете знайти ці IP в цьому ж списку журналу підключень

Тепер перейдіть на вкладку «блокування». Для початку додайте в нижній частині вікна ті адреси, з яких буде дозволений доступ до серверів авторизації. Виберіть тип IP-адреси, поставивши галочку в положення «Фіксований IP» або «Підмережа». Я вибрав варіант «підмережа» і додав початкові адреси і маску, по якій можна обчислити весь діапазон можливих значень:

Я вибрав варіант «підмережа» і додав початкові адреси і маску, по якій можна обчислити весь діапазон можливих значень:

Для перетворення IP з виду діапазону початкового і кінцевого адрес в вид, де вказується тільки початковий і маска мережі, можна використовувати який-небудь онлайн сервіс для розрахунку маски. На жаль, у мене не збереглися посилання на той, яким скористався я для цієї справи. Хоча, все це можна зробити і самому.

Після того, як ви закінчите додавання айпішніков або підмереж в форму блокування доступу, вам потрібно буде активувати (включити) цю саму блокування в WebMoney Security.

Для цього у верхній частині вікна вкладки «блокування» потрібно натиснути на кнопку «Включити», перед цим не забувши вставити в поле «Email, на який надсилається код розблокування» адресу поштової скриньки, який зможе вас врятувати в тому випадку, якщо ви змушені буде заходити з іншого IP-адреси, а не з того, що вказали в налаштуваннях (змінився провайдер або виник будь-якої іншої форс мажор).

У цьому випадку на вказаний вами Email буде надіслано листа, в якому буде міститися посилання для зняття блокування. Ви зможете авторизуватися в вашому WebMoney Keeper Classic і змінити настройки.

Крім Email ви можете вказати номер телефону, на який буде висланий код скасування у вигляді SMS повідомлення, що істотно підвищить надійність, тому що отримати несанкціонований доступ до стільникового телефону значно складніше, ніж до поштової скриньки.

Для цього вам потрібно буде натиснути на кнопку «Дозволити відправку коду розблокування на телефон», номер вашого мобільного буде взятий з даних вашого атестата в Вебмані. Отже, якщо хочете змінити номер, на який буде надсилатися код зняття, то вам потрібно буде змінити дані вашого атестата .

Так само в сервісі WebMoney Security можна активувати ENUM авторизацію через спеціальний сервіс, завдяки якому можна використовувати для авторизації не які-небудь програми або поштові скриньки, а стільниковий телефон, який, в общем-то, дає практично стовідсоткову гарантію безпечної роботи з електронними грошима.

Але попередньо нам знадобиться зареєструватися в E NUM, як описано в цій статті, і прив'язати номер телефону до своєї поштової скриньки.

Можете також подивитися відео на тему заощадження Веб Манею в цілості й схоронності:

Удачі вам! До швидких зустрічей на сторінках блогу KtoNaNovenkogo.ru

Збірки по темі

Використовую для заробітку