Шахрайство з міні по максимуму - 15 Березня 2011 - Новини зі світу ІТ українською мовою

Мій сайт

Головна » 2011 » Березень » 15 » Шахрайство з міні по максимуму

23:10 Шахрайство з міні по максимуму
Неоднозначна реакція хабросообщества до опублікованої на Хабре моєї минулій статті WebMoney Keeper Mini Extension підштовхнула мене до написання наступної ... Виявляється, що багато користувачів WebMoney, маючи гаманці в кіпера Classic або Light, просто побоюються підключати собі WM Keeper Mini, що грає на руку тільки шахраям, а не самим користувачам. Чому? Про це під катом ... Будь-який користувач WM, що має кіпер Classic або Light, може на сайті безпеки системи в способах управління своїм WMID встановити довіреності на управління своїми чинними гаманцями від Classic або Light для WMID 128008643216 (mini.webmoney.ru) . Простіше кажучи, підключити собі кіпер Mini ... Тепер сама проблема - більшість користувачів WM або не знають про це, або свідомо цього не роблять! Ну, тих, хто не знає, зрозуміти ще можна, а ось інших зрозуміти складно! За своїм особистим переконанням вони вважають, що тим самим забезпечують собі максимальну безпеку в системі (це я зрозумів по коментах до статті і плюсик на них), що зайві рухи тіла їм не потрібні. Так от, пані та панове, мушу вас розчарувати - це не так! Зараз і відводять через Міні вебманькі, причому максимально багато і максимально просто! Зрозуміло, наведу пояснення ... Я не буду тут докладно описувати весь процес, думаю, ніхто не буде сперечатися, що часто крадуть в мережі файл ключів або сертифікат від WMID для доступу до ваших грошей за допомогою троянов - це факт. І захиститися від цього на 100% просто неможливо - досвідчені програмісти примудряються ловити Вінлоков (можна почитати це на Хабре), а що казати за інших? Але отримати доступ - це одне, а вивести гроші з вашого гаманця - це вже зовсім інше. Як, скажімо, вивести ваші гроші, якщо у вас стоїть підтвердження транзакцій через Enum? І тут на допомогу приходить шахраям кіпер Mini, який вони вже з великою вправністю та, думаю, навіть вже з великою любов'ю, підключають до вашого WMID'у самі, встановлюють пароль на вхід і використовують у своїх цілях, причому роблять це замість вас... Робиться це просто - за допомогою файлу ключів, або сертифікату, шахрай проводить авторизацію на сайті security.webmoney.ru, встановлює там довіреність на необхідний гаманець для Міні, потім через Міні , маючи логін і пароль, виводить ваші гроші ... Я не даремно виділив, що роблять це шахраї замість вас, бо ви запросто могли їх попередити і зробити це самі, але чомусь деякі не виявляють такого бажання. Але ж у Міні немає нічого складного, треба тільки самому все налаштувати, тому що за замовчуванням там стоять не зовсім правильні налаштування, м'яко кажучи, тобто вхід через логін і пароль. Так чому нам не зайти туди самим, випередивши шахраїв, після чого встановити та налаштувати собі все через Enum? Що нам заважає? Наша лінь або нерозуміння того, що відбувається?! Адже там давно вже є вибір: Я розумію, що «дірочка» маленька, потрібен файл ключів або сертифікат попередньо, але вона є і шахраї їй користуються, використовуючи, наприклад, фішинг, як я описував цієї статті: Фішингові листи від WebMoney Приємно, що стаття змусила багатьох думати і користувачі WM, після недавньої дійсної розсилки самих вебманей про необхідну заміну старого кореневого сертифіката, термін якого закінчився, почали писати пости «Обережно шахраї!», навіть на офіційному форумі WebMoney. До речі також сказати, що після виходу тієї статті на головну Хабра шахрай моментально дав про себе знати, бачити, уважно Хабр читає, а може і тусується тут (карма у мене тоді пристойно впала). Сподіваюся, що ця стаття теж потрапить на головну, тому - привіт, земляк, коли-небудь ти проколи і занапастити свої молоді роки! Шахраї зараз вже використовують нові домени для фішингу, але саму схему шахрайства не поміняли, так чому ж нам самим не позбавити їх можливості вести наші «кровні», встановивши собі авторизацію через Enum у своєму кіпер, на сайтах WebMoney і Міні? Enum вони обійти не можуть, та й нереально це їм зробити! Випереджаючи події, відразу скажу, що користувач Gibarian в коментах до статті Ваші WebMoney під захистом E-NUM досить зрозуміло описав ситуацію з крадіжкою WM при захисті Enum у відомого блогера (посилання спочатку статті), помилившись в одному моменті, що не змінює суті, тому, будь ласка, не треба тут наводити цей приклад, він вже діє на мене, як на багатьох BolgenOS. Якщо є інші приклади, можемо тут їх розглянути, але я таких поки що не знаю ... PS Сподіваюся, не сильно всіх втомив своїми статтями з WM безпеки, але, як кажуть, попереджений, значить озброєний!
1 2 3 4 5 Переглядів: 551 \| Додав: w1zard \| Рейтинг: 0.0/0