Смелое ограбление в WEBMONEY: все рубежи защиты преодолимы
Недавно с кошелька сотрудника ИТ компании в системе WEBMONEY были похищены денежные средства.
🕛 14.03.2010, 02:36
Известен банк и номер счета, на который они были переведены. Однако банкиры и представители WEBMONEY не готовы взять меры для возврата средств. Они только советуют обратиться в милицию.Со счета в системе WEBMONEY у сотрудника ИТ компании Владимира Я. (фамилия не раскрывается по просьбе пострадавшего) была похищена 41 тыс. руб. "Я нашел, что не могу подключиться к собственному кошельку - система сообщила, что введен неверный пароль, - рассказывает Владимир. - Я связался со службой помощи, они сказали, что 9 мар. в 10 часов утра пароль был изменен. Однако я этого не делал. На протяжении дня я пытался получить от техподдержки хоть какие-то сведения, однако мне этого не получилось. А когда вечером я приехал за разъяснениями в головной офис, мне сообщили, что с моего кошелька мошенническим путем были выведены средства". http://Stfw.ru продолжит следить за развитием ситуации.
Сотрудник офиса WEBMONEY сообщил Владимиру, что денежные средства были переведены в "Альфа Банк" на счет № 40817810209810009665, принадлежащий Алексею Олеговичу Метелеву. "Я отправился в "Альфа Банк" (в отделение рядом со станцией Третьяковская) в надежде, что они примут какие-то меры, - продолжает Владимир. - Однако мне объяснили, что, потому как я не являюсь их клиентом и платеж проходил не внутри банка, они ничего для меня сделать не смогут. Однако сказали, что если получат заявку от корпорации WEBMONEY, вероятно и примут меры".
В головном офисе платежной системы Владмиру поменяли пароль на вход в кошелек, однако получить к нему доступ он не сумел. В службе помощи WEBMONEY, по заверениям пострадавшего, скорее всего, так и не осознали в чем сложность и ответили шаблонными словами о том, что кроме пароля на вход есть еще код доступа для файла ключей, который задается самим пользователем. Однако новый пароль не подходил к файлу ключей.
В техподдержке WEBMONEY к тому же порекомендовали обратиться с иском в Арбитражный сервис системы. В форме иска предлагалось ввести сумму, на которую нанесен ущерб. "Я ввел сумму, и отослал иск в систему, однако следующим окном которое я увидел, было предложение оплатить $140 за услуги арбитража, - заявляет Владимир. - Я написал в поддержку арбитража, где мне сказали, что появилось недоразумение. Они рассмотрели мой иск и порекомендовали обратиться в милицию". 11 мар. Владимир отослал послание с информацией о краже и об опыте взаимодействия с WEBMONEY на специальную электронную почту в Управление "К" МВД РФ. Ответ от милиции пока не получен.
"Самое основное - информацию, куда "увели" средства, в нашем офисе вам предоставили, - комментирует Александр Правиков, PR-менеджер WEBMONEY Transfer. - Известен банковский счет и ФИО, на которые средства были выведены. Далее вы поступили абсолютно верно и логично - подали заявка в милицию. Для эффективности расследования тоже советуем вам восстановить утраченный вами контроль над вашим WMID: это позволить видеть историю операций, IP-адреса в журнале и т.п".
Информацию о том, куда были уведены средства, по заверениям Правикова, возможно было получить и он-лайн, если бы имелась возможность подать иск на веб-сайте Арбитража. "Однако так как был потерян контроль над WMID (а, видимо, и над e-mail - раз злоумышленник сумел активировать оснащение), то выдавать конфиденциальную информацию по e-mail и по WM-почте было бы с нашей стороны неправильно, - заявляет он. - Иск подается он-лайн и безвозмездно. Боюсь, вы просто запутались в регламенте арбитража. Арбитражный сбор, как указано в наших правилах, взимается в случае опротестования сделки (мошенничество со стороны продавца и т.д.). А если имеет место несанкционированный доступ (кража...), то сбор не взимается".
Владимир считает, что он действовал согласно с правилами, указанными на веб-сайте WEBMONEY. В описании исков есть пункт "Опротестование платежа". "Данный тип иска представляет собою протест против платежа (платежей) с кошелька истца, которые по его утверждению им не проводились, к примеру, при утрате контроля над WM идентификатором в итоге несанкционированного доступа злоумышленника в компьютеру истца", - сказано в правилах. Однако, так или иначе, пострадавший не исключает, что мог запутаться в регламенте арбитража: "уж весьма у них там все запутано".
Правиков к тому же привел экспертное мнение специалистов системы: "Кража (несанкционированный доступ) была совершена не с нового адреса - IP-адрес, с которого был запущен кипер (утилита для доступа к кошельку) и совершен перевод, использовался вами уже возле 2-х месяцев. Видимо, вы запускали кипер с 2-х различных компьютеров, т.к. система зафиксировала 2 хэша вашего оснащения, с одного из них и была совершена кража. Однако оба хэша применяли ваш кипер уже возле 2-х месяцев. Скорее всего, здесь виновен даже не троян (впрочем и эту версию необходимо проверить), а кто-то из собственных, имеющий доступ к вашему компьютеру".
Версию с доступом злоумышленника к собственным PC Владимир исключает: "Домашний компьютер был выключен, и дома никого не было. II-й компьютер - рабочий. Кража произошла в районе 10 часов утра, когда я был на рабочем месте, по этой причине несанкционированный доступ также не возможен. Остается еще 2 варианта. I - троян (на рабочем компьютере Владимира применяется антивирус "Лаборатории Касперского", на домашнем - бесплатный Майкрософт Security Essentials, - прим. STFW.RU). II-й - перевод со стороны WM, вероятно одним из работников. Подобный вариант также не стоит исключать, т.к. доступ к кошельку - дело сложное, а имея доступ к БД возможно делать все что угодно". Представитель WEBMONEY эту версию прокомментировать отказался.
Отметим, что система WEBMONEY имеет довольно серьезную систему безопасности. При создании аккаунта создается секретный файл ключей, который хранится на носителе информации (флешка или hard drive). Этот файл шифруется паролем-ключем, и доступ к файлу возможен лишь знающим ключ. После активации тайного файла ключем требуется ввести пароль на доступ к аккаунту. После этого, если IP-адрес или оснащение киперу не известно, то требуется обязательная активация ч/з e-mail, по-другому кипер не дает совершать операции. Так или иначе, злоумышленник каким-то образом смог обойти все рубежи защиты.
"В WEBMONEY оказывают всестороннюю поддержка, предоставляя информацию. И люди там весьма пытаются помочь, - заявляет Владимир. - Однако денежные средства утекли, и максимум что они могут, это посоветовать обратиться в милицию. Было бы неплохо, если бы они научились сотрудничать с милицией и банками, куда выводятся украденные денежные средства, чтоб была возможность заблокировать счет мошенника или взять иные меры. Так же хочется, чтоб помощь пользователей работала более оперативно - например, восстановление прав на утерянный аккаунт, как сказано на веб-сайте, займет от 10 до 20 суток".
Дополнение: Через час после публикации данного материала WEBMONEY прислал дополнительный комментарий (публикуется полностью):
"В этой ситуации речь ведется однозначно о трояне: пользователь потерял контроль над собственным оборудованием целиком, т.е. о "взломе" WM говорить не приходится. Оснащение пользователя располагается или находилось раньше под полным контролем 3-го лица. И это III-е лицо может управлять любыми программами этого пользователя. Это УК РФ в чистом виде. Предположение о "переводе со стороны работников WM" - несостоятельно: целостность БД обеспечивается подписями ключами владельцев кошельков, а таких ключей у "работников" нет принципиально. К тому же, раз вывод был осуществлен на банковский счет лица, идентифицированного банком - дальнейшие вопросы нужно задавать банку. При этом не от нас , а ч/з правоохранительные органы - других законных процедур нету. Мы доверяем банковской идентификации - ибо если там "дроп", то это уголовно наказуемо и для банка может иметь последствия по отзыву лицензии. Статистику таких случаев мы ведем. Случаев довольно, однако все они связаны не со взломом а с неявной или явной (троян) передачей управления владельцами кошельков собственного оснащения под контроль третьих лиц.