Про безопасность Webmoney

Многие ругаются на изощренную и параноидальную защиту Webmoney. Я тоже ругал. Ругал и не ругаю теперь потому, что на своей шкуре понял, что Webmoney на самом деле думает о нас, простых пользователях системы. Понял это я тогда, когда месяц назад через вирус (тот вариант, что просит вбить SMS код для работы в Windows) увели очень немаленькую сумму (слава богу, кошелек далеко не основной).

Позже, анализируя ситуацию, я понял почему кража денег стала возможной:

  1. Авторизация не была закрыта по IP-адресу.
  2. Не была настроена ENUM-авторизация. Соответственно, после переустановки Windows (вирус не подчищался даже именитым Касперским) и установке Webmoney Keeper был указан KWM-файл (который благополучно был отправлен вирусом куда нужно).
  3. Код активации по глупости отправлялся на электронную почту, которая на этом же компьютере была благополучно настроена с указанием всех реквизитов.

Что из этого следует? Не то, что Webmoney незащищенная система! А то, что я сам дурак. Так вот.

Призываю всех пользователей Webmoney осмыслить это. Ничего чрезмерного в опциях защиты Webmoney нет! Если вам небезразлична судьба ваших денег, то обязательно сделайте следующее:

  1. Ограничьте IP-адреса и подсети, доступ с которых будет разрешен к Webmoney.
  2. Настройте ENUM авторизацию (запароленное приложение на сотовый телефон) и пользуйтесь только ей, а KWM ключи уберите куда-нибудь подальше (другой компьютер, дискета, флешка).
  3. Настройте отправку кода активации оборудования по SMS на свой сотовый телефон.

Все это легко настраивается на специальном сервисе http://security.webmoney.ru.

Почему это безопасно? Потому что в данном варианте для кражи ваш средств нужно:

  1. Получить доступ к компьютерам с заданными IP-адресами.
  2. Иметь физический доступ к Вашему телефону и знать пароль от приложения.

А у вас тырили деньги и пользуетесь вы какими-либо опциями защиты Webmoney?

Комментариев: 7

  1. Anton пишет:

    Это ерунда. Создатели системы изначально не продумали систему безопасности и впоследствии наворотили непонятно чего. В результате приходится жутко извращаться, чтобы нормально и безопасно пользоваться системой.

    Посмотреть на пример качественной реализации можно в Альфа-Банке. Откройте там счет, вам дадут реквизиты для интернет-банка и увидите, что значит безопасный банкинг, когда логин и пароль не являются одним единственным инструментом для входа, а когда используются отличные от вашего ПК устройства для авторизации (мобильный телефон в частности). Система работает таким образом: вы открываете сайт банка, вводите логин и пароль. Далее _сервер_ отправляет вам одноразовый пароль на мобильный телефон. После его ввода вы попадаете куда хотели и можете проводить различные операции. При проведении операций также используется система одноразовым паролей, которые сервер (а не ваш комп) отправляет на мобильный телефон. Таким образом защищенность такой системы в разы выше, чем защита системы Вебмани с ее кучей абсолютно ненужных капч, привязок к IP, енумов, активации на телефон и т.п. Все эти механизмы (кроме, разве что, енума) нужны только для того, чтобы прописать на вашем компьютере некую контрольную сумму и такую же записать на сервере. При этом эту контрольную сумму, как известно, можно склонировать на другом компьютере и запустить там ваш кипер таким образом, что система будет думать, что он запущен на вашем, и толку от всех этих привязок к IP и т.п. нет никакого.

    По поводу енума вопрос еще остался спорным, так как я не совсем понял, как эта система работает. Если на их сервере есть некий алгоритм, который при вводе одного числа возвращает другое, то это все можно смоделировать и попасть в кипер минуя оригинальный енум. То есть если кто-то уведет кошелек с «образом» системы (чтобы запустить его на другом компе и чтобы система думала, что это ваш комп), то енум в таком случае не помеха, достаточно сгенерировать код и вбить его в программу.

  2. Николай Яровой пишет:

    Ну наверное некорректно сравнивать десктопное приложение (кипер) и и-банк Альфы.

    При этом эту контрольную сумму, как известно, можно склонировать на другом компьютере и запустить там ваш кипер таким образом, что система будет думать, что он запущен на вашем, и толку от всех этих привязок к IP и т.п. нет никакого.
    Мне казалось, что каждая операция проверяется по IP. Хотя, конечно, от трояна или руткита может не помочь. Также как и ENUM. То есть это уязвимо, конечно, и будет всегда уязвимо, т.к. локальные приложения под управлением ОС пользователя всегда будут уязвимы. Но! Пока что, на мой взгляд, подобные трояны массово не были замечены. Дело времени, конечно.

  3. Anton пишет:

    А чем сервис Альфы отличается от сервиса Вебмани? Если вебмани может отправлять смс с кодом активации на мобильный телефон, то почему он не может отправлять одноразовый пароль для входа в аккаунт вебмани? Добавь они хотя бы такую возможность и удали всякие там капчи — система будет уже в сотни раз безопаснее в силу того, что завладеть одновременно компьютером и мобильным телефоном много сложнее, чем просто компьютером.

    Вместо этого всего они предлагают привязать к IP, хранить ключевой файл на внешнем носителе (хотя, в принципе, я согласен с этим), заставляют людей вводить по капче на каждый чих, устанавливать на телефон некие приложения енум и т.п. Где-то я читал, как как-то советовал купить для Вебмани аж целый отдельный нетбук и пользоваться вебмани только на нем, чтобы снизить вероятность захвата данных!!! Столько лишних действий и все ради того, чтобы усложнить жизнь людям и, лишь незначительно, повысить уровень безопасности.

    Касательно увода кошельков. Много раз читал в сети рассказы о том, как у людей уводили крупные суммы с кошельков и блокировали к ним доступ. Делалось все это через трояна, который уводил с компа жертвы ключевые файлы и делал небольшой образ системы. После этого на компе злоумышленника запускался кипер под таким образом и система (вебмани) думала, что это компьютер пользователя. Деньги переводились на другие кошельки.

    Так что, мне кажется, обезопасить одну локальную систему гораздо сложнее, чем разнести безопасность на несколько несвязанных между собой (кроме одного хозяина) приборов.

  4. Николай Яровой пишет:

    Сервис отличается одним очень важным фактором. Он работает на 1 машине в сети для множества пользователей, не имея доступа к исполняемуму коду и при грамотном админе сервера взломать практически нереально. Локальные же приложения ломаются и зачастую из-за того, что мы не админы и не может идеально настроить защишу своего ПК. Кроме того, мы используем компьютеры для своих нужд, «цепляя» вирусы через браузер.

    то почему он не может отправлять одноразовый пароль для входа в аккаунт вебмани?
    Помоему эта возможность есть, Enum по SMS. Только она ничего не решает. Вы же сами написали, после входа кипер не защищен, можно сдампить его и отправить злоумышленнику.

    Я думаю, лучшее решение для маньяков — подтверждение через SMS каждого платежа. Я бы даже платил за каждую SMS, если б такое сделали.

  5. Anton пишет:

    Я имел ввиду серверную часть сервиса, когда спрашивал, чем они отличаются. :)

    Касательно енум по смс — не знаю, мне предложили вариант установки на телефон некой программы, которая, как я понял, связывается с сервером енум и получает оттуда ответный код. Чтобы его прикрутить к Киперу понадобилось прочесть небольшую горку инструкций (еще один бич Вебмани).

    А касательно сервиса для смс-подтверждений платежей я согласен, да, если его введут, я буду только рад и это будет в сотни раз действеннее, чем все защиты, которые используются сейчас. Мне даже кажется, что это отметет львиную долю краж с кошельков.

  6. Николай Яровой пишет:

    Да, приложение это другой вариант ENUM, я тоже его использую. Связи с сервером там вроде бы нет, но каждое приложение содержит уникальный код. Настройка действительно не интуитивно понятная.

    ENUM по SMS вроде как есть и в тоже время его нет. Опция «Вопрос-Ответ через SMS» при запуске кипера предлагается, но настроить ее мне не удалось.

    Смс-подтверждения это в корне правильное и единственное решение проблемы, — если смс будет запрашивать сервер Webmoney, принимающий окончательное решение о правомерности платежа, и ввод ответа для проведения платежа будет осуществляться через телефон (ответной смс), а не каким-либо образом через компьютер.

  7. Anton пишет:

    Можно и не отправлять ответное СМС. Если сервер Вебмани будет отправлять одноразовый пароль по смс на телефон своего клиента, а затем проверять этот пароль на сервере и тут же его, в случае его правильности, аннулировать и проводить платеж. Захотел пользователь перевести 100 вмр Васе Пупкину, указал сумму, указал кошелек, нажал «отправить», ему на телефон упал одноразовый пароль, он ее ввел, на сервере пароль проверился и если он правильный, платеж прошел дальше и пароль аннулировался. И вся система. Все просто и без всяких там капчей (вообще, от чего эти капчи защищают, от автоматического нажатия вирусами кнопок в приложении?).

    А если они такую систему до сих пор не ввели, значит это им выгодно, ведь каждый «левый» перевод (кража денег с кошелька) сопровождается снятием комиссии в размере 0,8% от суммы перевода. То есть каждое такое неправомерное действие только обогащает систему за счет комиссии. :-)

Оставьте свой отзыв!