1. Хто винен?
2. Що робити?
3. ризики
4. висновок

Теги: webmoney , вебмані , WM , злом , крадіжка , гроші , як уникнути? , windows , java , уразливості , inetmib1.dll , mprapi.dll , setupapi.dll , .init , Trojan.Siggen.643 40 , Trojan.Scar.3 , Trojan.Ofic la.26 , Trojan-PSW.Win32.WebMoner , Trojan.PWS.Webmonier.33 , Trojan.PWS.Webmonier.198 , PWS.Webmonier.364 , Trojan.PWS.Webmonier.619 , WM Inside , новини

Авторська стаття: блог Олександра Тодосійчук

У минулому пості я писав, що в кінці квітня відбулося досить сумне для мене подія: мій webmoney-аккаунт зламали і вкрали з нього всі гроші. Сума була досить відчутна для мене, хоча іноді накопичується і більше (це, по суті, єдина розрада). У цій статті я розповім, як опинився можливий злом мого аккаунта (при тім, що я приділяв достатньо уваги питанням безпеки) і як його можна уникнути (�� чому я не зробив цього раніше?).

Отже, що ж сталося? У неділю ввечері я запустив свій webmoney keeper classic і отримав наступну помилку:

В кінці опису наводиться посилання https://wiki.webmoney.ru/wiki/show/Sereznaya_oshibka_pri_prieme_komandy , Де більш детально розписані можливі причини помилки і способи виправлення. В той момент я ще не підозрював про злом, тим більше, що в описі помилки про це немає ні слова.

Скориставшись пошуком, я без зусиль знайшов тему на форумі РЄ ( http://forum.searchengines.ru/showthread.php?t=469862 ), З якої стало ясно, що я приєднався до клубу тих, чиї webmoney стали власністю злодіїв. В принципі, всі деталі можна дізнатися з цієї теми, але там вже більше 1000 повідомлень, тому я основні моменти розповім тут.

Хто винен?

Спочатку розглянемо, як взагалі таке могло статися, адже у мене стояли антивірус і фаєрвол, була включена блокування по подсетям IP мого провайдера і кіпер завжди вимагає активацію при запуску на іншому комп'ютері (при цьому пошта не була зламана і мені не приходили листи з посиланнями для активації). Давайте по пунктах.

Антивірус захищає тільки від відомих вірусів і троянів. Творці ж троянів, що крадуть вебмані, спеціально роблять так, щоб вони (трояни) не виявлялися антивірусами. Так що в цьому плані не варто сподіватися на антивіруси.

У мене на комп'ютері стоїть Outpost Firewall, який крім відбиття атак з Інтернету, ще контролює зміна коду одних програм іншими. Але тут творці трояна скористалися особливістю ОС Windows, яка полягає в порядку завантаження бібліотек dll: якщо додаток використовує будь-яку dll, то її пошук спочатку ведеться в каталозі додатки. Описуваний троян створює в каталозі вебмані файл inetmib1.dll, який якраз і є власне троянської програмою. Якщо ви знайдете цей файл у себе в каталозі вебмані, то це означає, що ви теж заражені. Зауважу, що inetmib1.dll є системною dll і знаходиться в каталозі C: WINDOWSsystem32.

Таким чином, при запуску кіпера запускається і троянська бібліотека. Оскільки більшість користувачів працюють з правами адміністратора (в тому числі і я), а кіперу дозволений доступ в Інтернет (чому я полінувався дати йому доступ тільки до серверів сервісу вебмані?), То і троян може робити все, що треба хакеру.

Тут треба зауважити, що в день, коли сталася крадіжка, ні я, ні інші постраждалі, кіпер не виконувалась. Раніше я читав про випадки злому вебмані, в яких крадіжка здійснювалася в той момент, коли кіпер був запущений і, по суті, управлявся віддалено. У моєму випадку хакер отримав активоване "зліпок" кіпера і, вибравши відповідний день, запустив його у себе, з емуляцією мого комп'ютера, змінив ключі і паролі.

Таке можливо через те, що в каталозі "C: Documents and SettingsuserApplication DataWebMoney" зберігається файл з розширенням .init, що представляє собою активоване на даному комп'ютері ключ доступу. Якщо його перенести на інший точно такий же комп'ютер, то можна без проблем запустити кіпер. Зрозуміло, що залізо можна легко емулювати, адже повної працездатності від нього не вимагається, треба тільки повідомити кіперу правильний набір.

Залишилася блокування по IP. У темі форуму висловлювалися припущення, що троян вміє "підбирати" потрібний IP з дозволеного діапазону. Що це означає і як це можливо, я не знаю. Швидше, тут використана якась вразливість перевірки на IP самої системи вебмані.

Залишився останній питання, яке, напевно, хвилює читачів: а як троян потрапляє на комп'ютер? Через одну з вразливостей ОС або встановленої програми. Особисто у мене підозри на Джава - за кілька днів до крадіжки був підозрілий запуск джава-машини. Можливо, також, використання вразливостей в pdf рідері. А спочатку проникнення здійснюється при заході на який-небудь сайт.

Що робити?

Тепер, коли приблизно зрозумілий механізм злому, можна придумати способи захисту. Одна з найбільш частих рекомендацій, які можна зустріти - купити окремий комп'ютер (нетбук) спеціально для роботи з кіпером і більше ні для чого іншого його не використовувати. Цей варіант мені не зовсім підходить, тому що крім отримання грошей на кіпер, я також роблю оплати з його допомогою. Звичайно, сайт, наприклад, Сапи надійніший, ніж якийсь виразника, але немає ніякої гарантії, що в один прекрасний день сайт сервісу не буде зламаний і на ньому не розміститься троян. Тому, потрібен більш надійний спосіб захисту.

І такий спосіб існує - це enum авторизація. Її суть полягає в тому, що ви встановлюєте собі на мобільний телефон (або КПК) спеціальний додаток, яке при введенні одного числа генерує інше, причому спосіб генерації чисел унікальний для кожного екземпляра додатка. При вході в кіпер за допомогою enum авторизації вам треба ввести число-відповідь, видане додатком. При цьому, файли ключів зберігаються на віддаленому enum сервері і вкрасти їх неможливо.

Цей спосіб авторизації існує вже давно, але я не поспішав на нього переходити, тому що існує варіант, коли троянська програма, дочекавшись запуску кіпера і авторизації, просто переведе гроші на гаманець хакера. Але зовсім недавно в вебмані з'явилася можливість включити запит підтвердження через enum не тільки на вхід в кіпер, а й на будь-яку операцію. При цьому у формуванні числа-відповіді використовується не тільки число-питання, а й номер гаманця і сума. Так що підставити інший гаманець і суму в момент переведення не вийде (звичайно, вам треба бути уважним).

Зрозуміло, що в підсумку виходить дуже багато мороки, але краще витратити зайву хвилину, ніж втратити своїх накопичень.

Детальніше про enum можна почитати:

ризики

Які ризики є в разі використання enum сервісу? Злом сховища enum мені здається малоймовірним. У будь-якому випадку, цей факт виявиться дуже швидко, що призведе до блокування уразливості з боку системи.

Є ризик втрати або крадіжки мобільного телефону. Але дуже малоймовірно, що він потрапить в руки хакерам, які зможуть впровадити до вас троянську програму (при enum авторизації все ще потрібен звичайний пароль на вхід). Крім того, можна поставити пароль, який буде запитуватися при запуску enum додатки на телефоні.

Щоб полегшити собі життя в разі втрати телефону, збережіть enum додаток на спеціальну флешку, яка не використовується для інших цілей, запишіть в спеціальний паперовий блокнот код атіваціі, паролі та іншу інформацію, яку ви вводили при реєстрації. Це полегшить відновлення доступу в майбутньому.

З точки зору безпеки видаліть enum додаток з комп'ютера, ні в якому разі не використовуйте емулятори мобільних телефонів.

При здійсненні переказів перевіряйте правильність гаманців і сум.

Перехід на enum авторизацію треба робити на "чистому" комп'ютері. Для надійності спочатку варто змінити файли ключів, зберігши їх у надійному місці. Після переходу обов'язково видаліть всі .init файли ключів, про які я писав вище.

Виконання цих умов дає практично 100% гарантію збереження ваших вебмані гаманців. Навіть в разі повного контролю вашого комп'ютера хакером, він нічого не зможе зробити, не маючи доступу до вашого телефону з встановленим enum додатком.

висновок

Сподіваюся, що ви змогли дочитати цей довгий пост до кінця. Мені здається, що реальні історії мотивують набагато краще, ніж прості заклики до дії. В даному випадку я сподіваюся, що ви прийміть дії для захисту ваших грошей.