Установкой ENUM-авторизации для каждой операции проблемы с безопасностью Webmoney все же не решились. Если вы ещё не в теме, то почитайте мои советы по безопасному использованию данной системы и про подключение ENUM-авторизации для каждой транзакции.

Итак, после установки enum-авторизации для каждой операции, я подумал, что мои деньги с кипера ну никак не увести. Оно и не удивительно — буквально для каждого движения требуется подтверждение через шифроблокнот, установленный на телефоне. Но всё перевернулось с ног на голову в тот день, когда у Маула увели 20к$. Само собой, у него была подключена enum-авторизация для каждой операции + стояли все нужные антивирусы и прочие блокировки по IP. И всё это его не спасло. Мир рухнул. Я сразу вывел всё деньги на Epass на всякий случай, оставил на кипере сто баксов на оплату всяких мелочей.

К сожалению, у Маула пост получился не особо информативный в плане способа отъёма у него денег. Только мелькает сообщение про «авторизацию через WM-mini», и в комментариях всплывают слова про доверенности.

Само собой, данная тема меня крайне заинтересовала, и я пошел на форум Webmoney. Данный форум — отдельная песня. Строгое соблюдение чистоты имени Webmoney — главный девиз некоторых посетителей этого форума. Доходит до того, что некоторые кадры стучат на тех, кто назвал webmoney гнилой конторой. Стучат в арбитраж. Само собой строгая модерация тем на форуме, и прочие элементы тоталитаризма, но в итоге всё равно плодятся темы о том, что у людей уводят бабло через Webmoney Mini.

На этом форуме я и нашел пост человека, который расписал мошенническую схему, с использованием передачи доверенности на mini-кошелек. Само собой, сообщение этого человека было отмодерировано, и вся важная информация из этого сообщения была удалена. Но ничего — я с ним связался через icq, и у нас случилась интересная беседа. Предлагаю вашему вниманию выдержки из нашего разговора с Алексеем:

Kareg:
Добрый день, Алексей. Вы описывали схему кражи Webmoney через доверенный кошелек, этот пост был удален. Хотелось бы услышать его.

Алексей Латий:
Приветствую, Александр. Да, описывал. Она очень проста. Нужно подделать пару писем и убедить жертву подключить мини кипер.
Скажем, вы пишите WebMoney на форуме, что у вас какая-то проблема. Мошенник находит ваше сообщение и пишет вам ответ, якобы от службы WebMoney. Мол, для решения вашего вопроса нужно подключить или перейти на МиниКипер.
Далее мошенник инициирует процедуру регистрации МиниКипер со своим логином и паролем, но на ваш e-mail. Вы нажимаете ссылку, подтверждаете активацию мини.
Далее мошенник присылает вам ссылку или просто убеждает подключить к зарегистрированному МиниКипер кошельки. Как только вы это сделаете, деньги с кошельков выводятся, так как мошенник имеет свой логин и пароль к МиниКиперу, который вы активировали.

Kareg:
Используется именно Мини, потому что на нем нет Enum авторизации для каждой операции?

Алексей Латий:
Да, на нем только логин и пароль.
В итоге, нужно:

  1. Подтвердить активацию мини (от WebMoney приходит настоящее не фальшивое письмо с запросом на активацию).
  2. Подключить к новому МиниКиперу разрешение на управление кошельками.

Если вас убедили, что МиниКипер — это решение вашей проблемы, как было в моем случае, то вы кошельки подключите. Таким образом, можно абсолютно безнаказанно воровать у пользователей системы WebMoney их деньги и все будет хорошо.

Kareg:
Не секрет, что существует такой софт как Webmoney Grabbing System — которым много было взломано кошелей, до введения enum-авторизации под каждую операцию. А если подобный софт сделать, для данной дырки ( по другому не назовешь) то от этого в данный момент вообще нет защиты.

Алексей Латий:
Я думаю, что теоретически можно заставить компьютере жертвы запустить какие-то механизмы активации, но по факту это довольно сложно технически. Вообще нет, не будет и вообще дыры нет. А позиция WebMoney просто странная. Они даже не платят тем людям, которые осуществляют тех поддержку клиентов (речь идет о поддержке на форуме).

Kareg:
Теперь возникает такой вопрос. А что делать? Как обезопасить себя от кражи через вм мини? Смотреть в оба, и не кликать по ссылкам? Или можно как-либо вообще отключить подобную возможность доверия? Может что-нибудь стоит предложить самой ВМ, для закрытия данного слабого места?

Алексей Латий:
Верно, не кликать по ссылкам, если не понятно, что они делают. Так же можно уточнять подлинность контактов WebMoney на форуме или в поддержку через внутреннюю почту кипера.
-«Или можно как-либо вообще отключить подобную возможность доверия?»
Не возможно.
-«Может что-нибудь стоит предложить самой ВМ, для закрытия данного слабого места?»
Было сказано, что клиенты сами виноваты. Механизм доверенного управления прекрасен и отключать его нет смысла.

Kareg:
Ну вот, как минимум, можно было бы сделать подтверждение подачи доверительно управления через enum-авторизацию.

Алексей Латий:
Это не поможет, если перед клиентом стоит задача: активировать мини для решения проблемы. Если эту задачу нужно выполнить, то клиент на все пойдет до конца.
Единственное, что можно было бы сделать — это переписать текст уведомления,  который приходит по почте. Там было сказано: если вы не активировали КиперМини, то не кликайте, игнорируйте письмо. Я на тот момент уже не мог понять, активировал я регистрацию КиперМини своими вопросом на форуме или нет.
То есть мне не понятно было это сообщение. Так же не было предупреждения о том, что КиперМини не помогает решить какие либо проблемы. А так как пользователи этого не знают, то мошенники пользуются.

Давайте подведем итоги. Мошенническая схема с использованием доверенных WM-mini кошельков опирается на социальную инженерию. Вам могут прислать письмо с подделанным адресатом, где вас попросят обновить якобы корневой сертификат, и подключить поддержку WM-mini. В рабочей запарке даже вебмастер может ничего не заподозрить и подтвердить создание wm-mini кошелька, и передачу ему доверия. Скорее всего именно так и произошло с Маулом.

Пугает другое — возможность появления софта, заточенного под данную схему, который будет работать уже с вашего компа. То что, никакие антивирусы и файерволлы не спасают — это уже никому объяснять не приходиться. Для защиты от такого софта, нужно как минимум сделать подтверждение через enum-авторизацию на создание кошельков для wm-mini и передачу доверия на другие wmid/кошельки. Такая авторизация спасет от вирусного софта, но как уже было сказано при переписке, она не спасет от социальной инженерии, при которой пользователь своими руками подключит и доверит новому Webmoney Keeper’у Mini управление всеми своими платежами и лишится всех своих денег.

Скорее всего,в данный момент, эта схема носит достаточно точечный характер — мошенники узнают WMID, на котором есть потенциально большие суммы, и «работают» с данной конкретной жертвой. Так, что будьте осторожны — вам могут подсунуть ссылку на разрешение управления кошельками там, где вы этого меньше всего ожидаете. Фраза «деньги любят тишину» в данном случае как нельзя кстати.

Список WMID, которым доверено выполнение операций от вашего имени вы можете просмотреть здесь, любые странности на этой страничке должны вас насторожить.

Какие выводы — да не особо утешительные. Безопасность ваших денег лежит полностью на ваших плечах, и система webmoney не особо горит желанием помогать вам в этой защите. Кражи через wm-mini сейчас стали крайне частым явлением, а воз и ныне там. Смотрите в оба, используйте все доступные вам инструменты, по обеспечению безопасности и не храните на wm большие суммы — держите их на картах систем Epass/Epese, ну или можно воспользоваться таким предложением, как оказание бухгалтерских услуг, чтобы выводить Вебмани вбелую. Epese в этом плане удобней — в вашего EPESE-аккаунта можно переводить деньги напрямую на WM-кошельки.