Информационная безопасность / Как я вернул украденные Webmoney или IT детектив

в 9:58, , рубрики: webmoney, webmoney transfer, вебмани, метки: , ,

Позволю себе начать с коротенького вступления

Webmoney
Долго не решался написать данную статью, но все же решился. Хабр меня возбудил победил побудил к действию :o). Постараюсь написать ее интересной, увлекательной и полезной, тем более что это моя первая серьезная статья :o).
Дайте-ка угадаю… Вы конечно же сейчас подумали что вы не раз уже читали/слышали об этом, а не дай Бог и сами бывали в подобной ситуации. Но как показало sphinx`ление (производное от гугления) по хабру и яндексление подобные темы интересны и пользуются популярностью (лучше бы это конечно было не так), но я имею ввиду не столько саму тему кражи электронных циферок, видя которые на экране своего монитора вы приходите в восторг, сколько темы с рассказами из собственного опыта. Другими словами жизненные актуальные темы. Речь конечно же идет о темах так или иначе связанных с IT, если вы пришли сюда из поисковой системы и еще не поняли :o). Да что скрывать меня самого увлекают подобные статьи на хабре, читаю их с интересом.
Но моя ситуация несколько отличается от уже описанных например тут и тут. А значит имеет право на существование и наверняка будет кому-то полезна. Более того я не увидел рекомендаций о том как свести к минимуму подобные риски, да и некоторая информация может быть уже не актуальна. Чем я и хочу восполнить данный пробел в этой статье собрав все воедино.

Вы еще здесь?

Отлично! Значит мне удалось вас заинтересовать и мы продолжаем, а то что-то коротенькое вступление уже затянулось.

IT детектив

Было это в 2008 году летом. Да и не даты важны, а события происходящие в них. Был обычный пятничный вечер. Ничто не предвещало беды. Я как всегда смотрел порнушку очередной выпуск Comedy Club, который сменил интересный фильм перед сном.
На следующий день проснувшись мне почему то захотелось зайти в свой Webmoney Keeper Classic, хотя средств я ни от кого не ждал а значит в субботний день в полдень делать то там как бы и нечего. Но что то меня тянуло зайти и проверить все ли на месте. Я конечно же прислушался к своему внутреннему Я (да и вообще я живу в гармонии с собой :o) и совершил попытку входа. Именно попытку, потому как зайти я не смог. Кипер настойчиво говорил что пароль не верный даже после n-ной попытки когда не осталось ни одного волоса не на голове не в других местах. Конечно же хотелось оказаться идиотом и поймать себя на том что или раскладка не та или капс зажат или банальная опечатка. Но к огромному сожалению я не поймал себя не на чем из перечисленного. И с каждой попыткой я все больше понимал, не хотя в это верить, что скорее всего к моему киперу получен доступ, с него переведены все средства в неизвестном направлении, а их там было на тот момент примерно 12-13 тыс.руб. в долларах, и изменен пароль.
Сразу хочется отметить что это конечно не большие деньги, но все-таки деньги. Особенно в регионах нашей большой и необъятной родины. Да что там говорить в моем регионе это и на данный момент чуть выше средней зарплаты (те кто из регионов меня поймут). А тогда был 2008, т.е. эти средства имели больший вес чем сегодня. Ну я конечно же пошел вешаться расстроился. Я хоть и не эмо эмоционален как и многие ITшники наверное, но душа то у меня есть :o).

Начинаем расследование

Выкурив сигаретку и хорошо обдумав дальнейший план действий я вернулся к своему ПК, ибо понимал что время играет против меня, а по горячим следам есть вероятность размотать клубок потянув за ниточку, пока похищенные средства не прошли несколько оффшорных зон :o). Вы наверное сейчас подумали — он еще и шутит. Да сейчас это несколько весело вспоминать, в тот момент конечно было не до смеха.
Прежде чем продолжить рассказывать самое интересное скажу что блокировки по ip у меня не стояло, код активации кипера приходил на почту. Пароль от почты и кошелька, вернее WMID, был одинаков, но не самый простой конечно, но и не самый сложный. Да знал о безопасности но не предохранялся. Здесь можете закидать меня гнилыми помидорами или тухлыми яйцами или что там у вас под рукой. Пожалейте свои ай-разныеустройства :o) не кидайтесь ими в меня. Но статья эта не о моей халатности в то время по отношению к киперу.
Итак первым делом я отправил запрос в поддержку webmoney с описанием проблемы и своими предположениями по поводу кражи средств. Но если вы еще не забыли это была суббота, а значит ответа можно было ждать до понедельника. Но я не терял надежды и ждал ответа. Не знаю совпадение это или нет, или мошенник действительно подгадал время чтобы оттянуть время ответа поддержки из-за выходных. Ответ пришел, если мне не изменяет память, в воскресенье. Мимо делом отправил запрос на восстановление доступа к вмиду.
А пока я ждал письмо я усердно пытался найти у себя какой-нибудь вирус, кейлоггер или хоть что-нибудь что могло мне сделать такую какушку. Скажу что из антивирусов у меня стоял KIS, интернет ПК получал от молчаливого маршрутизатора (молчаливый потому что на пинги из вне не отвечал). Но естественно найти я ничего не мог. В почте на mail.ru писем с активационной ссылкой небыло. Видимо мошенник их удалил. Интересно почему он не поменял пароль от почты, это бы усложнило мне жизнь значительно. С каких ip были входы тоже не посмотреть (сейчас насколько мне известно можно видеть только предыдущий вход). Да и вообще на тот момент mail.ru был намного скуднее в плане безопасности чем сейчас, кажется у него даже авторизация с отправкой логина и пароля шла не зашифрованным трафиком (если сотрудники оной компании читают эту статью, антиреспект вам ребята что трафик до сих пор ходит через http). Webmoney впринципе тоже не имел всего того функционала что имеет сейчас. Но об этом я расскажу позже. Раз не посмотреть я решил отправить запрос в поддержку mail.ru с описанием проблемы и просьбой прислать мне логи входов с указанием ip и времени входа за последние несколько суток. Я был поражен ответом. Кстати ответили они довольно быстро в этот же день. Ответ конечно меня поразил. Несмотря на то что я являюсь владельцем почтового ящика я не могу получить логи доступа и порекомендовали мне обратиться в отдел К, ибо только по их запросу могут выдать такую информацию. Но понятно что сейчас меня это интересовало меньше.
Я четко понимал что письмо активации скорее всего было в моем ящике, после было удалено. Иначе даже имея ключ к WMID не получить к нему доступ. Но оставался вопрос почему тогда пароль не сменили на почту? К слову сказать это так и осталось для меня загадкой. Какие только предположения и гипотезы не посещали мою светлую голову. Под подозрением были все от недобросовестных сотрудников webmoney имеющих доступ к подобным операциям до недобросовестных сотрудников провайдера которые могли сниффить трафик. Но ведь помимо этого еще и необходимо иметь ключ. А значит его либо скопировали с моего ПК либо у кого еще есть копия? Но т.к. у себя я ничего не нашел, значит бяка которая была либо уже удалилась сделав свое черное дело, либо мне не хватило мозгов ее найти, либо одно из двух.
Ну да ладно. Давайте вернемся к ответу вебманей. Но прежде чем продолжить рекомендую вам сходить перекурить, а пока вы перекуриваете пусть чайник вскипятит воду для чашечки кофе которую вы с удовольствием употребите дочитывая данную статью, а то вы уже наверное немного утомились.

Я не курю что мне делать?

Поднимитесь в самый верх страницы (быстро это можно сделать клавишей home) прочитайте название статьи и вернитесь обратно.
Прочитали? Ваш вопрос не имеет отношения к данной статье :o) Могу посоветовать сделать зарядку. Это полезно, на хабре часто советуют.

Я не пью кофе что мне делать?

Вы издеваетесь? Выпейте яду :o)

Идем по следу

image
Итак вы немного передохнули, перед вами стоит чашка вкуснейшего кофе и манит своим запахом всех живых существ находящихся неподалеку от нее, организм получивший очередную дозу никотина готов к продолжению. Приступим.
В ответном письме от webmoney говорилось что действительно злоумышленник получил доступ к моему вмиду и вывел оттуда все имеющиеся средства. Благо приложили небольшой лог, время и суммы переводов (да да мошенник разбил эту сумму на несколько) и номер кошелька в системе RBK Money на который ушли все эти переводы через обменник. Ну а дальше вроде как все стандартно, пишите заявление в милицию (была когда-то у нас в стране такая служба :o) и т.д. Я если честно ожидал больших действий от вебманей в данной ситуации. Ну да ладно, хоть какая то зацепка есть. Обращаться в милицию мне конечно же не хотелось т.к. вы сами знаете почему, да и к тому же были выходные. Не пропадать же времени, тем более что счет наверное шел на секунды. Да и какова вероятность найти мошенника, он ведь наверняка не глупее меня и был анонимен. Надежда была (или не было… вот Вера, Катя и Маша точно были, а Надежды вроде не было :o) только на себя.
Кстати раньше мошенникам в этом плане было проще. Можно было обменивать средства и получателем указывать кошелек в другой системе или кошелек другого WMID не относящегося к тому с которого идет обмен. На данный момент такой возможности нет, что тоже можно отнести к плюсу безопасности.
Следующим шагом необходимо было каким-то образом узнать имеются ли на том кошельке куда ушли средства, мои кровно заработанные денежки. Именно в этот момент я и думал что webmoney проявит активность ибо подобную информацию им получить явно проще чем мне. На этом этапе было ясно что арбитраж тут не пришей… ну в общем вы знаете. Тому кто не знает разъяснят в комментариях :o).
Поэтому не долго думая я решил сразу же обратиться в поддержку РБК мани с подробным описанием случившегося и просьбой сообщить есть ли там какие-то средства, если нет, то куда ушли. Обращался через тикет. Девушка разумеется ответила что не может предоставить мне подобную информацию. Но после минут примерно 20-ти переговоров и предоставления всей необходимой информации она таки вошла в моё положение. Обычно я вхожу, а девушки потом в положении. Здесь же ситуация была иная. В положении был я и она вошла, в мое положение. Шучу :o) А то сейчас вы меня злым аморальным дядькой представите.
Когда я ей предоставил письмо от webmoney с подробностями когда и сколько денег пришли на кошелек с точностью до секунд у нее не оставалось сомнений что либо все что я рассказал правда, либо я сам владелец данного кошелька в их системе (но тогда тем более зачем от меня скрывать мои переводы). Взлом webmoney или обменника она видимо исключила. Тем более что особо конфиденциальной информации я не просил. А всего лишь сказать какая следующая станция моих вм`ок, точнее уже рбкашек. Она любезно сообщила что следующая остановка магазин аккаунтов на рапиду (rapidshare.com). Ну и разумеется дала их адрес. Я конечно же поблагодарил девушку (врят-ли она прочитает данную статью, но все же если прочитает еще раз СПАСИБО вам).
С чувством азарта, предвкушением своих кровных и надеждой что там мы их застанем стучим в асю к менеджеру данного магазина. Объясняю всю ситуацию с подробностями. Как я вышел на них. Называю номер кошелька с которого должны были быть куплены аккаунты. Примерный промежуток времени в который могли произвести оплату и конечно же подтверждаю свои слова перепиской с Манями, которые веб и с рбк манями.
Менеджер подтверждает что есть подобная оплата, куплено несколько аккаунтов на всю сумму разными номиналами (от месяца до года). И к моему огромному счастью они еще не активированы и потому могут быть временно заблокированы на активацию, а значит средства временно заморозятся там. К тому же менеджер сообщил, посмотрев на подобную оплату, что это их тоже настораживает.
Настроение улучшается. Ниточка привела нас к клубку. Немного скажу о аккаунтах, которые они продают. Если аккаунт активируется то вернуть средства за него уже не возможно. А пока он не активирован ему можно сменить данные авторизации и продать по новой. Видимо за такой короткий срок злоумышленник не успел найти покупателей и продать аккаунты, а если и успел, то по крайней мере их не успели активировать. А т.к. это уже вторичный рынок то и гарантии за эти аккаунты несет продавец, в нашем случае злоумышленник. Такой схемой он хотел вывести средства анонимно. Ибо доступ к аккаунту можно продать хоть соседу за наличку. А если выводить через платежные системы нужно либо самому светиться, либо дропа искать.
Возвращаемся к нашему манагеру. Разумеется вернуть средства они могут если рбк мани подтвердят им что средства украдены. А для того чтобы рбк подтвердили магазину, нужно чтобы веб мани подтвердили рбк факт мошенничества. Я разумеется обещаю что подтверждение будет. Объясняю всю цепочку которую необходимо пройти и что на это может уйти какое-то время. Менеджер любезно говорит что они согласны подождать. Ну что ж отлично.

Развязка и возврат денег

Пишем письмо в webmoney с описанием уже всего имеющегося и приложением всех переписок. Просим подтвердить факт воровства для рбк. Попытки дозвониться до вебманей не увенчались успехом ни в воскресенье ни в понедельник. Трубку так никто и не взял. Больше я звонить не стал, ждал ответа на письмо. Дозвонившись я думал что ускорю процесс. Но ускорило бы это процесс или нет мы с вами никогда не узнаем уже.
Тем временем пока жду ответа на письмо дозваниваюсь в рбк мани. Вкратце обрисовываю ситуацию и меня милая девушка оператор переводит на службу безопасности. Там человеку мужского пола объясняю всю ситуацию, прошу почту для того чтобы выслать подтверждающие переписки. Сходимся на том что когда веб мани подтвердят им факт кражи, они просто вернут деньги от магазина на мой счет в их системе. Но я разумеется должен свой аккаунт подтвердить. Не знаю как сейчас, раньше было 2 статуса. Как они точно назывались не помню но для первого сканы паспорта не требовались. Что-то вроде аттестата псевдонима у вебманей. А второй на подобии формального. Пока webmoney молчали я подтвердил свой аккаунт, дополнительно скинул копию паспорта на почту в службу безопасности по их же просьбе.
Теперь оставалось одно. Ждать пока вебмани родят ежика как-то объявятся. Они конечно же объявились, не помню сколько времени прошло, наверное около недели. Но объявились они звонком на телефон. Аттестат у был оформлен на меня. Я им подтвердил что я это Шерлок Холмс я и прошу их подтвердить факт кражи для RBK money. После чего я еще несколько раз связывался со службой рбк и узнавал подтвердили или нет факт кражи. Прошло еще какое-то время и вебмани наконец-то родили подтвердили факт. После чего прошло еще какое-то время в ожидании возврата средств на мой новый кошелек в рбк.
И о чудо! Деньги были зачислены, после чего успешно выведены в оффшорную зону банк и получены. Затем они были пропиты от счастья потрачены по назначению.
В общей сложности ушло на все примерно недели 3. Я конечно же получил доступ к своему WMID, кстати раньше процедура восстановления была дольше и сложнее. В органы обращаться не стал потому как средства возвращены, а вероятность поимки и наказания стремилась к нулю. IP адрес с которого злоумышленник заходил в кипер естественно принадлежал прокси. Единственное что еще заметил это то что он или она произвели обмен не по выгодному курсу :o)
Вы скажете вам повезло! Да безусловно. Я полностью с этим согласен. Могло быть все намного хуже.
Здесь можете повторить перекур и усвоить прочитанную информацию :o)

Рекомендации

Хочется упомянуть ситуацию по одной из ссылок где возврат средств производился при помощи арбитража вебманей. Вдаваться в подробности не буду, их вы можете прочитать по ссылке, но там упоминается что если бы был персональный аттестат то процедура происходила бы быстрее. Да это так. Но есть одно но. Персональным аттестатам да если еще с хорошим возрастом и высоким BL замечательно дают займы под большой процент. Вы наверное уже догадались к чему я клоню? Правильно. Если в такой ситуации угонят ваши средства то могут не просто под ноль все выгрести а еще и в минус увести. Вы еще и должны останетесь. Но даже если у вас не персональный аттестат а вы честный пользователь, то ведь никто не мешает злоумышленнику со своего реального вмида выдать вам займ, а потом его же и снять. Причем в такой ситуации суммы могут быть довольно большие ведь здесь злоумышленник будет займодавцом и сам будет решать какие средства у него имеются и как он ими будет оперировать. Причем доказать что займодавец злоумышленник будет очень не просто, а вот ему как честному гражданину занявшему вам кругленькую сумму в суде очень даже пойдут на встречу при взыскании с вас долга.
Опять же хочется отметить что там фактически все решал арбитраж, и т.к. система для мошенников становится все более сложной уже не просто угнать средства в другую систему, но возможно. С помощью тех же дропов, да что там дропов, в большинстве случаев если вор оформит аттестат на себя врятл-ли дело дойдет до судебного разбирательства по понятным надеюсь вам причинам. А значит он совершенно спокойно привяжет к своему аккаунту кошелек другой системы и средства утекут туда. Дальнейшее путешествие их может быть намного дольше чем в моем случае а значит найти их будет значительно сложнее и на это потребуется больше времени, которое так ценно, особенно в таких ситуациях. И будет очень большая вероятность их не застать в конечной точке.
Мне кажется что я говорю очень очевидные вещи, но все же лишний раз их прочитать не повредит ни кому.

Браузеры

image
Никогда не храните данные авторизации в браузерах. А также на листочках, ладонях и других интимных частях тела, которые рано или поздно предстанут чьему-либо взору :o)
Более того я рекомендую пользоваться password manager`ами дабы не вбивать логины/пароли вручную, это конечно не спасет от бяк которые следят за буфером обмена, зато спасет от простых кейлоггеров. Да и более того это просто удобно. Совсем очевидное о криптостойких паролях вида vjzgjxnfvfbk.hefnt,tybrjukfyteuflfnmjnyttgfhjkm и последних версиях браузеров и хорошего антивируса (для тех у кого свет горит в окне) я говорить не буду.
Никогда не авторизуйтесь на чужих компьютерах под своими учетными записями, там любая бяка может сидеть, если же знаете что компьютер IT специалиста и уж у него то точно вирусов нет, тем более не авторизуйтесь :o).
Старайтесь пользоваться сайтами по протоколу https, особенно на тех на которых есть конфиденциальная информация или любая другая представляющая собой какую-то ценность. К огромному сожалению многие ресурсы не пользуются данными благами и тем самым не заботятся о своих пользователях. Но есть и такие которые пользуются но не используют по умолчанию. В таком случае пробуйте вручную. Даже если у них просрочен сертификат подтверждающий доверие к ресурсу и вы этому ресурсу действительно доверяете, используйте протокол https.
Когда пользуетесь открытыми сетями, особенно это касается бесплатного wifi, авторизовывайтесь только на тех сайтах, трафик с которыми является зашифрованным, тем более если это касается ценной информации. Хотя я бы предпочел другой вариант, если нет острой необходимости зайти скажем в почту или посмотреть не пришли ли денюжки вообще не заходить на такие сайты из открытых сетей. Береженого Бог бережет. Сделаете это дома.
Сейчас я больше чем уверен что вы подумали про меня что я параноик. Но я же не говорю о тех случаях когда нужно зайти в почту, которую вы завели для спама и вам ее не жалко потерять. Хотите спать более спокойно — будьте бдительны.
Надеюсь после этого вы станете чаще смотреть на протокол по которому идет ваш трафик до того или иного ресурса.

Webmoney money money… Must be funny… In the rich man's world

image
Здесь стоит пользоваться всеми возможными способами безопасности. Конечно подтверждения по смс будут стоить денег, но чуть ниже я расскажу о том как можно немного сэкономить :o).
Начнем с блокировки по ip. Не пренебрегайте данной опцией ни в коем случае! Если у вас статический белый IP (да хоть и серый, внешний то все равно белый) прописывайте только его а не подсеть как предлагает по умолчанию webmoney. Сменится — разблокируете, вам прийдет смс. Пользуетесь с нескольких ip пропишите их все. У вас динамические ip, пропишите подсеть/подсети(тут как раз поможет то что по умолчанию). Суть такова как можно больше сузить круг ip адресов с которых можно войти в ваш кипер.
В идеале это конечно 1 IP!
Есть такая бяка events.webmoney.ru называется. Вроде как деловая соц. сеть. Так вот. По умолчанию в ваш твиттер в этой соц.сети или блог как правильно назвать то и не знаю автоматом добавляется информация о совершенных вами действиях в кипере. Например оплатили вы мобильник на 100р., а об этом уже знают в деловой сети, причем по умолчанию насколько помню эта информация открыта для всех. Соответственно идем в эту сеть заходим в настройки и отключаем все уведомления, также делаем закрытой эту ленту для чтения всем кроме вас. Так на всякий случай, а случай бывает всякий. Зачем это нужно думаю понятно. Чем меньше о вас можно собрать информации тем сложнее к вам подобраться.
По этой же самой причине в аттестате, если он у вас не продавца, закрываем все данные для просмотра. В идеале останется только ник, а может и ник можно убрать. На вскидку не вспомню а лезть смотреть не хочется, хочется уже статью закончить :o)
И наконец есть сервис уведомлений notify.webmoney.ru об операциях, типа смс банкинга. Он конечно платный, да и нас смс интересует. Но мы будем экономить. Подключаем уведомления только на расходные операции перед завершением работы кипера. Когда нам нужно сделать какие-то проплаты мы заходим в кипер, отключаем уведомления, делаем проплаты, включаем. Главное не забыть выкл/вкл :o)
В таком случае когда проплаты совершаем мы нам не будут валиться смски и платить за них мы не будем. А поваляться только в том случае когда кто-то начнет угонять ваши средства. Конечно он ведь тоже может зайти и выключить уведомления. Может. Но возможно он этого и не сделает, а значит у нас есть доп. безопасность.
Также есть включенная по умолчанию функция оплаты посредством смс. Если вы ею не пользуетесь, обязательно отключите ее. Отключается она как и ставиться блокировка по ip на security.webmoney.ru.
Ходить куда-то курить вам уже не предлагаю. Как говорила Масяня — Всё, теперь курить можно прямо здесь! :o)

Почта

image
Я затрону только сервис mail.ru, хотя общие рекомендации подойдут к любому другому. Да и вообще я не пытаюсь вам написать инструкцию к применению, а стараюсь показать те моменты на которые стоит обратить особое внимание. Уверен в комментариях вы меня дополните, потому как я наверняка что-то упустил.
Никогда не используйте одинаковый пароль к почте и куда-то еще. К почте он должен быть уникальным и не использоваться больше нигде. Потому как на основной почте у вас завязано много аккаунтов от других ресурсов. В идеале на каждый ресурс/сайт свой пароль. Это ж как мне все запомнить? подумали вы. Я уже писал выше о программах облегчающих жизнь.
В мэйле в настройках безопасности ставим уровень максимальный, это вроде все галочки в разделе. Не пренебрегаем указанием своего номера телефона для восстановления аккаунта в случае чего и кодовым словом. Включаем отображение при авторизации когда и откуда был последний вход в почту. Со временем привыкните каждый раз смотреть на эту строчку дабы не увидеть там чужого ip.
Ну и конечно же не стоит рассказывать всем какой у вас крутой пароль и писать его на заборах большими буквами вместо мата.
Кстати вообще лучше пользоваться Яндекс почтой потому как спама там явно меньше и протокол https является стандартом. Да еще и к своему домену можно прикрутить.

Вроде ничего не забыл.
Вам конечно же дорогие мои усидчивые и с большим потенциалом терпения читатели желаю читать подобные статьи только в спокойной обстановке за чашкой кофе (вы до сих пор не пьете кофе?), а не после гугления когда у вас увели ваши деньжища.

P.S. При написании данной статьи выпито несколько чашек кофе, выкурено несколько мануалов сигарет.
Прослушана не одна песня нашей российской эстрады, в основном хиты 90-х. Нет я не стар :o)
А и еще… Были пироженки со вкусной начинкой, а именно вареной сгущенкой.

Я дочитал статью до конца но так и не понял какие пироженки были?

Вкусные! Название не помню но облитые шоколадом :o)

А фото пироженки можно?

Опять глумитесь? ;o)

На этой позитивной ноте я и хочу закончить свою статью (многие наверное сейчас вздохнули с облегчением, что ж тогда с облегчением вас :o). Надеюсь она кому-то оказалась полезной, если нет, значит я зря убил несколько часов в надежде принести хоть какую-то пользу человечеству.

Автор: bost84


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js