Советы и рекомендации по защите webmoney от взлома

Предистория для данной статьи не самая приятная – буквально в прошлом месяце как-то мне один знакомый рассказал о том, что взломали его webmoney keeper и увели все деньги. Чуть позже наткнулся на подобную статью еще у одного вебмастера, которая, кстати, подняла некоторую шумиху в твиттере да и вообще заставила меня серьезно подумать о защите webmoney.

Как принято в подобных ситуациях – начал гуглить, и как оказалось, проблема взлома webmoney достаточно серьезная и актуальная в сообществе людей, зарабатывающих в интернете.  В частности нашел пару веток с обсуждениями на Серче, еще что-то было на форумах самих вебманей – у кого выводили деньги на банковский счет, у кого на мобильные телефоны, ситуаций, в общем, было много разных.

Честно говоря, все это «чтиво» меня слегка шокировало, даже по самым скромны подсчетам речь идет о десятках тысяч баксов убытков, при этом позиция webmoney слегка странная. Как и в любом другом бизнесе в странах бывшего СНГ все ответственность и задача решения проблем ложится на пользователя. На Хабре проскальзывало несколько историй от людей, которые обращались в соответствующие органы – почему-то меня не удивляет, что позитивных исходов дел зафиксировано не было:)

Короче говоря, лучше взлома webmoney не допускать – хочу поделиться несколькими советами по этому поводу. Часть из них были найдены на тех же форумах, часть имеется в самом функционале webmoney. Всем, кто серьезно занимается работой в сети я бы настоятельно рекомендовал обратить внимание на этот вопрос – потерять сколько угодно денег, думаю, неприятно будет для всех. Хочу также уточнить, то все сказанное касается работы с клиентом webmoney keeper classic. Итак, приступим.

1. Самый простой и самый базовый метод защиты от webmoney взлома – использование стандартных средств самой системы:

• Работа с последней версией программы webmoney keeper classic.
• Активация webmoney keeper – кипер привязывается конкретно к вашему компьютеру, при запуске его на другом, нужно активировать оборудование. При этом код активации высылается на ваш e-mail.
• Активация на телефон – отправка кода активации только на ваш мобильный телефон вместо электронной почты.
• Подтверждение платежей – уменьшает риск совершения ошибочного перевода, для подтверждения операции вам нужно будет вводить случайно сгенерированный код.
• Блокировка по IP – разрешается доступ к webmoney keeper только с указанных вами IP адресов. При этом можно указать отправку кода разблокировки на мобильный телефон.

Все эти настройки вы можете посмотреть после запуска своего webmoney keeper classic в нижней панели программы выводится строка «Замечания по настройкам безопасности». К сожалению, данный набор функций не гарантирует вам защиту от взлома webmoney, более того, многие пострадавшие на форуме рассказывали, что все эти средства защиты были активированы.

2. Сохранность файла ключей в надежном месте – в руководстве webmoney советуют хранить файл ключей на сменном носителе и подключать его только при запуске webmoney keeper classic. Это может быть флешка, CD или даже дискета. Читал, правда, что одного человека не спас даже внешний винчестер:) Кстати, дабы запутать злоумышленника файл ключей можно переименовать, например, в readme.txt – keeper должен найти там нужные ключи.

3. Использование отдельного компьютера (нетбука) только для операций с webmoney keeper – то есть поставить там антивирус, систему и кипер, подключать исключительно для операций с  webmoney, ни по каким сайтам больше не лазить. Сюда же можно, наверное, отнести покупку отдельного мобильного телефона и работу через мобильную версию webmoney keeper. Кстати, я уже как-то писал про клиенты WebMoney Keeper и Keeper Mini — для тех, кто не в курсе. Метод, конечно, самый радикальный и, наверное, надежный. Правда, подойдет лишь тем, кто может себе такое позволить и работает в сети «по крупному». Страховать себя так сильно из-за 200-300 баксов в месяц нет резона.

4. Не нужно держать webmoney keeper classic открытым постоянно – сделали операцию и закрываем сразу же. На форумах есть парочку историй в стиле «запустил проверить баланс, потом пошел на кухню сделать чай, а когда вернулся, все бабло слили». По этим же причинам настоятельно рекомендую удалить «муравья» из трея задач. Это вообще какая-то нездоровая ситуация – когда первый раз увидел, что клиент webmoney keeper висит постоянно в онлайне слегка офигел. Имхо потенциальный риск – ведь к процессу может «подключиться» или вклиниться какой-то нездоровый троян или скрипт. Самое интересно, что в настройках webmoney опции отключения не нашел, убирал через msconfig.

5. Не храните в webmoney все свои сбережения – оставляйте там ровно столько денег, сколько вам не жалко будет потерять. Для этой меры предосторожности есть 2 варианта – либо выводить webmoney регулярно на свои карточки (читаем, кстати, про вывод webmoney на банковскую карту) либо хранить деньги на счетах в партнерских программах. Если какая-то система для заработка закроется случайно, то вы потеряете лишь часть дохода, а не все вместе. Идеальным вариантом считаю вывод денег из системы только в случае если вы собираетесь их обналичивать – с течении нескольких дней сбросили весь заработок в webmoney, а потом вывели через посредника или на карту банка.

6. Использование нескольких кошельков webmoney. Пункт весьма спорный, есть несколько мыслей относительно него. Во-первых, меня всегда настораживали партнерки, которые в обязательном порядке при регистрации просят указывать номер кошелька вебманей, при этом у них ведь есть ваша почта и немного личных данных. На одном из форумов видел историю, когда человек потерял весьма хорошие деньги, но номер кошелька нигде не светил – как злоумышленник узнал о доходе? Этот человек и сам вроде как подозревает всякие системы – а ведь чтобы попасть в админку некоторых из них нужно отключать Каспера, когда то блокирует доступ. Есть над чем задуматься. Во-вторых, имея несколько кошельков, можно распределять по ним свои доходы – вывод, конечно, будет осуществляться через главный, но ведь часть денег все равно идет на рекламу и покупку ссылок/статей – их ведь можно и не светить.

7. Работа с webmoney keeper Light. В некоторых обсуждениях часто можно видеть информацию о том, что мол взлом keeper classic – обычное дело, тогда как информации о воровстве средств с Light версии нет. Данный способ работы не требует установки отдельного приложения на компьютере, все происходит в web браузере. В принципе, с одной стороны я не против такого метода – защищенное соединение + firefox или opera вполне могут сработать. Но, почему-то, кажется, что браузер является дополнительным объектом риска – это как и операционная система небезопасная штука. Хотя с таким же успехом можно предъявлять претензии в сторону webmoney keeper classic, только вот разработчики системы должны следить за безопасностью своего софта, а проблемы с браузером – ваша забота. И не смотря на то, что сейчас самый популярный способ взлома это воровство ключей, никто не может с уверенностью сказать мол я использую keeper Light, у меня ничего не украдут.

8. Использование оповещений WebMoney Notify. Это сервис уведомлений системы webmoney, который информирует вас по почте, аське или sms о разных операция с кошельками – вход в систему, перевод денег, получение счетов и т.п. Оповещения позволят вам оперативно среагировать на действия злоумышленника, обратиться в арбитраж и, возможно, сохранить деньги. Вывод на банковские карты ведь не пару часов занимает.

9. Контроль за безопасностью своей системы – не посещать сомнительные сайты, использовать антивирусы, фаерволы, обновлять операционную систему по мере выхода патчей, не попадаться на фишинг в письмах и т.п. Проверяйте периодически компьютер на трояны, хотя лучше старайтесь их не заводить. На форумах, правда, были посты о том, что даже самые последние антивирусные базы и лицензионные версии софта не спасали, кстати, часто пишут о взломе win XP. Сюда можно записать использование виртуальных машин – но для этого нужен персональный аттестат дабы ваш кошель не заблокировали.

10. Работа с webmoney keeper через enum. Данный сервис позволяет входить в систему, используя специальный код, которые генерируется на вашем мобильном устройстве либо с помощью считывания отпечатков пальцев. Большинство вебмастеров перешли на его использование, я не исключение и вам настоятельно рекомендую! Очень классно, что enum позволяет оплачивать счета не заходя в кипер! А вот работая через keeper classic все равно нужно быть осторожными – это ведь лишь защита от входа в систему, а не по работе внутри нее.

Вот, в принципе, все, что удалось вспомнить:) 11-тым я бы добавил правило о том, что «на 100% от взлома webmoney и воровства денег не защищает ни один метод». Поэтому, во-первых, будьте осторожны, а во-вторых, используйтесь максимально большое число мер предосторожности вместе. Это как комплексное продвижение – не поможет один метод, сможет выручить другой – устанавливайте меры защиты от самой webmoney, не храните на кошельках много денег, используйте антивирусы, оповещения и т.п.

Кстати, в сложившейся ситуации есть весьма простой и эффективный метод, а именно подтверждение операций по sms. Как в той же системе liqpay для входа нужно вводить специальный код, что высылается на ваш мобильных. Почему бы не ввести настройку, когда каждый пользователь мог бы установить для себя лимит перечисления денег, не требующего смс подтверждения и, собственно, сам механизм такого перевода. Например, вы указываете, что при выводе суммы больше 50 баксов должно быть обязательно подтверждение на мобильник – нет проблем, зато все довольны. Даже, если злоумышленник будет выводить меньшие суммы вы сразу «спалите» его через уведомления webmoney и сможете заблокировать счет. Но, увы, пока что никто такое делать не хочет.

Что еще посоветуете по защите webmoney от взлома? Делимся опытом в комментариях.

P.S. Постовой. TrueCrypt – отличная программа для шифрования.