Онлайн заработок, создание и монетизация сайтов, веб-разработка, SEO и SMO продвижение, фриланс, партнерки, полезные сервисы вебмастерам, блоггинг.

Главная » Интернет-бизнес / eCommerce » Советы и рекомендации по защите webmoney от взлома, защита webmoney keeper classic

Советы и рекомендации по защите webmoney от взлома

webmoneyПредистория для данной статьи не самая приятная – буквально в прошлом месяце как-то мне один знакомый рассказал о том, что взломали его webmoney keeper и увели все деньги. Чуть позже наткнулся на подобную статью еще у одного вебмастера, которая, кстати, подняла некоторую шумиху в твиттере да и вообще заставила меня серьезно подумать о защите webmoney.

Как принято в подобных ситуациях – начал гуглить, и как оказалось, проблема взлома webmoney достаточно серьезная и актуальная в сообществе людей, зарабатывающих в интернете.  В частности нашел пару веток с обсуждениями на Серче, еще что-то было на форумах самих вебманей – у кого выводили деньги на банковский счет, у кого на мобильные телефоны, ситуаций, в общем, было много разных.

Честно говоря, все это «чтиво» меня слегка шокировало, даже по самым скромны подсчетам речь идет о десятках тысяч баксов убытков, при этом позиция webmoney слегка странная. Как и в любом другом бизнесе в странах бывшего СНГ все ответственность и задача решения проблем ложится на пользователя. На Хабре проскальзывало несколько историй от людей, которые обращались в соответствующие органы – почему-то меня не удивляет, что позитивных исходов дел зафиксировано не было:)

Короче говоря, лучше взлома webmoney не допускать – хочу поделиться несколькими советами по этому поводу. Часть из них были найдены на тех же форумах, часть имеется в самом функционале webmoney. Всем, кто серьезно занимается работой в сети я бы настоятельно рекомендовал обратить внимание на этот вопрос – потерять сколько угодно денег, думаю, неприятно будет для всех. Хочу также уточнить, то все сказанное касается работы с клиентом webmoney keeper classic. Итак, приступим.

1. Самый простой и самый базовый метод защиты от webmoney взлома – использование стандартных средств самой системы:

  • Работа с последней версией программы webmoney keeper classic.
  • Активация webmoney keeper – кипер привязывается конкретно к вашему компьютеру, при запуске его на другом, нужно активировать оборудование. При этом код активации высылается на ваш e-mail.
  • Активация на телефон – отправка кода активации только на ваш мобильный телефон вместо электронной почты.
  • Подтверждение платежей – уменьшает риск совершения ошибочного перевода, для подтверждения операции вам нужно будет вводить случайно сгенерированный код.
  • Блокировка по IP – разрешается доступ к webmoney keeper только с указанных вами IP адресов. При этом можно указать отправку кода разблокировки на мобильный телефон.

Все эти настройки вы можете посмотреть после запуска своего webmoney keeper classic в нижней панели программы выводится строка «Замечания по настройкам безопасности». К сожалению, данный набор функций не гарантирует вам защиту от взлома webmoney, более того, многие пострадавшие на форуме рассказывали, что все эти средства защиты были активированы.

2. Сохранность файла ключей в надежном месте – в руководстве webmoney советуют хранить файл ключей на сменном носителе и подключать его только при запуске webmoney keeper classic. Это может быть флешка, CD или даже дискета. Читал, правда, что одного человека не спас даже внешний винчестер:) Кстати, дабы запутать злоумышленника файл ключей можно переименовать, например, в readme.txt – keeper должен найти там нужные ключи.

3. Использование отдельного компьютера (нетбука) только для операций с webmoney keeper – то есть поставить там антивирус, систему и кипер, подключать исключительно для операций с  webmoney, ни по каким сайтам больше не лазить. Сюда же можно, наверное, отнести покупку отдельного мобильного телефона и работу через мобильную версию webmoney keeper. Кстати, я уже как-то писал про клиенты WebMoney Keeper и Keeper Mini — для тех, кто не в курсе. Метод, конечно, самый радикальный и, наверное, надежный. Правда, подойдет лишь тем, кто может себе такое позволить и работает в сети «по крупному». Страховать себя так сильно из-за 200-300 баксов в месяц нет резона.

4. Не нужно держать webmoney keeper classic открытым постоянно – сделали операцию и закрываем сразу же. На форумах есть парочку историй в стиле «запустил проверить баланс, потом пошел на кухню сделать чай, а когда вернулся, все бабло слили». По этим же причинам настоятельно рекомендую удалить «муравья» из трея задач. Это вообще какая-то нездоровая ситуация – когда первый раз увидел, что клиент webmoney keeper висит постоянно в онлайне слегка офигел. Имхо потенциальный риск – ведь к процессу может «подключиться» или вклиниться какой-то нездоровый троян или скрипт. Самое интересно, что в настройках webmoney опции отключения не нашел, убирал через msconfig.

5. Не храните в webmoney все свои сбережения – оставляйте там ровно столько денег, сколько вам не жалко будет потерять. Для этой меры предосторожности есть 2 варианта – либо выводить webmoney регулярно на свои карточки (читаем, кстати, про вывод webmoney на банковскую карту) либо хранить деньги на счетах в партнерских программах. Если какая-то система для заработка закроется случайно, то вы потеряете лишь часть дохода, а не все вместе. Идеальным вариантом считаю вывод денег из системы только в случае если вы собираетесь их обналичивать – с течении нескольких дней сбросили весь заработок в webmoney, а потом вывели через посредника или на карту банка.

6. Использование нескольких кошельков webmoney. Пункт весьма спорный, есть несколько мыслей относительно него. Во-первых, меня всегда настораживали партнерки, которые в обязательном порядке при регистрации просят указывать номер кошелька вебманей, при этом у них ведь есть ваша почта и немного личных данных. На одном из форумов видел историю, когда человек потерял весьма хорошие деньги, но номер кошелька нигде не светил – как злоумышленник узнал о доходе? Этот человек и сам вроде как подозревает всякие системы – а ведь чтобы попасть в админку некоторых из них нужно отключать Каспера, когда то блокирует доступ. Есть над чем задуматься. Во-вторых, имея несколько кошельков, можно распределять по ним свои доходы – вывод, конечно, будет осуществляться через главный, но ведь часть денег все равно идет на рекламу и покупку ссылок/статей – их ведь можно и не светить.

7. Работа с webmoney keeper Light. В некоторых обсуждениях часто можно видеть информацию о том, что мол взлом keeper classic – обычное дело, тогда как информации о воровстве средств с Light версии нет. Данный способ работы не требует установки отдельного приложения на компьютере, все происходит в web браузере. В принципе, с одной стороны я не против такого метода – защищенное соединение + firefox или opera вполне могут сработать. Но, почему-то, кажется, что браузер является дополнительным объектом риска – это как и операционная система небезопасная штука. Хотя с таким же успехом можно предъявлять претензии в сторону webmoney keeper classic, только вот разработчики системы должны следить за безопасностью своего софта, а проблемы с браузером – ваша забота. И не смотря на то, что сейчас самый популярный способ взлома это воровство ключей, никто не может с уверенностью сказать мол я использую keeper Light, у меня ничего не украдут.

8. Использование оповещений WebMoney Notify. Это сервис уведомлений системы webmoney, который информирует вас по почте, аське или sms о разных операция с кошельками – вход в систему, перевод денег, получение счетов и т.п. Оповещения позволят вам оперативно среагировать на действия злоумышленника, обратиться в арбитраж и, возможно, сохранить деньги. Вывод на банковские карты ведь не пару часов занимает.

9. Контроль за безопасностью своей системы – не посещать сомнительные сайты, использовать антивирусы, фаерволы, обновлять операционную систему по мере выхода патчей, не попадаться на фишинг в письмах и т.п. Проверяйте периодически компьютер на трояны, хотя лучше старайтесь их не заводить. На форумах, правда, были посты о том, что даже самые последние антивирусные базы и лицензионные версии софта не спасали, кстати, часто пишут о взломе win XP. Сюда можно записать использование виртуальных машин – но для этого нужен персональный аттестат дабы ваш кошель не заблокировали.

10. Работа с webmoney keeper через enum. Данный сервис позволяет входить в систему, используя специальный код, которые генерируется на вашем мобильном устройстве либо с помощью считывания отпечатков пальцев. Большинство вебмастеров перешли на его использование, я не исключение и вам настоятельно рекомендую! Очень классно, что enum позволяет оплачивать счета не заходя в кипер! А вот работая через keeper classic все равно нужно быть осторожными – это ведь лишь защита от входа в систему, а не по работе внутри нее.

Вот, в принципе, все, что удалось вспомнить:) 11-тым я бы добавил правило о том, что «на 100% от взлома webmoney и воровства денег не защищает ни один метод». Поэтому, во-первых, будьте осторожны, а во-вторых, используйтесь максимально большое число мер предосторожности вместе. Это как комплексное продвижение – не поможет один метод, сможет выручить другой – устанавливайте меры защиты от самой webmoney, не храните на кошельках много денег, используйте антивирусы, оповещения и т.п.

Кстати, в сложившейся ситуации есть весьма простой и эффективный метод, а именно подтверждение операций по sms. Как в той же системе liqpay для входа нужно вводить специальный код, что высылается на ваш мобильных. Почему бы не ввести настройку, когда каждый пользователь мог бы установить для себя лимит перечисления денег, не требующего смс подтверждения и, собственно, сам механизм такого перевода. Например, вы указываете, что при выводе суммы больше 50 баксов должно быть обязательно подтверждение на мобильник – нет проблем, зато все довольны. Даже, если злоумышленник будет выводить меньшие суммы вы сразу «спалите» его через уведомления webmoney и сможете заблокировать счет. Но, увы, пока что никто такое делать не хочет.

Что еще посоветуете по защите webmoney от взлома? Делимся опытом в комментариях.

P.S. Постовой. TrueCrypt – отличная программа для шифрования.

05.03.10

Категории: Интернет-бизнес / eCommerce, Платежные системы.

Теги: , , , , ,

28 Comments
  1. Magir

    Вместо отдельного нетбука я юзаю виртуальную машину в Sun VirtualBox, внутри голая WinXP с шифрованием диска и доступом только к серверу вебмани. Оплачиваю в магазинах через enum.

  2. Чудной

    > Но, увы, пока что никто такое делать не хочет.

    Блин, единственным более-менее надежным способом считаю подтверждение операций по sms. А тут такой облом :(

  3. Герман

    Аналогично Magir-у
    Сам сижу под линухой. В VirtualBox заведена WinXp там кошелек. Надо провести платеж или проверить баланса. Открыл, посмотрел-провёл, вышел, закрыл.

  4. amalacer

    Создаем еще один кошелек и переводим на него деньги с кодом протекции. Дальше, думаю, понятно.

  5. Дмитрий Наумов

    Мне кажется Кипер Лайт может быть неплохим выбором если использовать его на более защищенной операционной системе, например, Linux (тот же Убунту). Мозила, кстати, на сегодня тоже не самый безопасный браузер, если верить последним исследованиям которые я изучал, Хром безопаснее, а самой безопасной оказалась Опера. Думаю, из всего этого можно слепить достаточно безопасную среду. Хотя, абсолютной защиты, конечно, не существует.

  6. DeveloperGuru.NET

    Я тоже считаю вариант с подтверждением по СМС самым оптимальным. Способ с отдельным ноутбуком не очень удобен, т.к. часто приходится пополнять счета на разных биржах, переводить и обменивать деньги.
    Остальные варианты не дают достаточной защиты, т.к. по рассказам пострадавших в большинстве случаев деньги воровались с помощью трояна, а пострадавший сам запускал кипер, вводил пароль и код подтверждения.
    Кстати, файлы ключей, вроде, уже давно не хранятся на компьютере, они нужны только при установке кипера.

  7. NetEarni

    Раньше тоже использовал на виртуальной машине с установленой ХР и шифрованием, но когда WebMoney заблокировали WMID по причине наличия трояна, коим они посчитали виртуальную машину. После долгой переписки с арбитражем и разъяснением ситуации все разблокировали и порекомендовали не использовать на виртуалках.

  8. Andrew

    Интересно такие статьи читать. С самого начала захватывает.
    Я зарабатываю пока в районе 2 зеленых бумажек в месяц в интернете и мне пока бояться нечего, но друг на сайтах крутит более крупные деньги. Посоветую ему эту статью
    Еще раз спасибо

  9. Инкот

    ENUM + Keeper Light = никаких забот.

    Все взломы, о которых пишут, проходили из-за классического десктопного кипера, так что пора бы давно его забыть.

  10. студент

    Лайт менее защищен, потому как не треубет ввода кода, а авторизует по сертификату.
    Перехватить управление программы (посылая ей нужны сигналы эммулируя работу мыши и клавы) легче, чем ломать сделаную специально защищенную программу

  11. GrAndSE

    Единственным более менее безопасным способом представляется использование sms для подтверждения операций. И то, мобильный телефон можно украсть, как и все остальное имущество. Хотя это уже совсем другая история, и как по мне, гораздо менее вероятно, что в случае кражи мобильного телефона, кто-то легко отыщет Ваш аккаунт веб-мани и все необходимые реквизиты на него, или же имея все реквизиты пойдет воровать мобильный телефон. :) Но пока этого нет, что весьма грустно :( Но идеального способа защиты не существует.
    Знаю, что когда работал программистом в компании-провайдере люди умудрялись слушая сетевой трафик воровать денежки. Ну а случаев ухода денег при заражениях компьютера троянами вообще полно. Так что лучше не давать деньгам залеживаться, пока администрация ресурса не думает помочь нам обезопасить честно

  12. 7saw

    Я с этой защитаой компа от внешних угроз, уже почти до порной дошел, и антиваирус и фаервол, и процесы почти все блокирую и порты закрываю и серавно както сыкатно. Даже флешки стараюсь не совать в комп, а то вдруг антивирус пропустит. Поставилбы на кипере вход для определенных IP, но вот только у меня каждый раз он меняется.

  13. Владимир

    Ещё один способ усиления защиты для Keeper Light — использовать отдельный браузер для работы с ним. Можно тот же FF, только с минимумом плагинов (или вообще без них) и максимальными настройками безопасности.

  14. Kriss

    Спасибо за советы.. дельные.
    Держу часами кипер включенным. Как прочитал статью — выключил.
    На многое открыл глаза.. еще раз спасибо.. все таки свои деньги очень дороги, особенно, когда их не так уж много.

  15. Dream

    Владимир прав, можно добавить в общий список, главное чтобы этот браузер был не IE.

  16. Моторокер

    > 7. Работа с webmoney keeper Light. В некоторых обсуждениях часто можно видеть информацию о том, что мол взлом keeper classic – обычное дело, тогда как информации о воровстве средств с Light версии нет.

    У камрада так деньги увели через обменник. Вернуть не получилось. В поддержке сказали, что в системе троян и всё.

    Авторизовался по сертификату. Вроде даже пароля на него не стояло.

  17. WeboLife

    Ухх…какое руководство настрочил. Спасибо огромное.

  18. DD

    Это паранойя.
    Работаю активно с keeper classic уже 5 лет, никаких проблем.
    Достаточно уметь пользоваться антивирусом и фаерволлом. Ну и немного думать тоже

  19. Xstroy

    Списочек действий полезный, однако сам постоянно мучаюсь с WM. Большую часть времени работаю через спутник, а это — отсутствие стабильных ip, соответственно операции удаётся совершать операции только работая через мобильник, а это ооочень медленно.

  20. my-cash.net

    Молодец автор, достойный обзор. К 9-й позиции я бы еще добавил вещи типа плагина NoScript для FF, да и вообще настройку системы, ее компонентов, используемого ПО.

  21. Gennady

    Поддерживаю вышеуказанные меры безопасности. Думаю, что оптимально иметь два кошелька:- один — рабочий, второй для хранения лишних денег. Вот на тот второй кошелек надо установить все возможные меры безопасности. Спасибо за статью.

  22. kinofilm

    Увели почти 500 баксов, как я понял из разговоров с суппортом с помощью трояна, хотя сам троян не обнаружил.
    Стояла активация кипера по смс — не помогло. Ищу инфу про лайт, не могу разобраться с сертификатами — что это такое и с чем их едят. Но в любом случае вебманями если и буду пользоваться, то как параноик — срочно выводя деньги из системы.

  23. Киндер сюрприз

    На мой взгляд мера защиты проста, как мир — не запускайте кипер без надобности, а после проведения денежных операций — сразу выключайте. Даже детям понятно — вирус может увести деньги с кошелька только при включеном WebMoney. Так и получается — пошел попить кофе, вернулся, а денег нет. По поводу совета хранить деньги на счетах партнерских программ — я лично не согласен с этим советом. Партнерки лопаются с завидным постоянством. Идеальный вариант — регулярно выводить деньги на карточку.

  24. Виктор Игоревич.

    спс. за советы..
    ток вот я чет не могу написать никак арбитраж чтобы заблокировали вэбмани либо вернули.. на е-нуме до этого не регистрировался.. щас зарегистрировался вроде..
    надо как-то заблокировать вэбмани, что-то сделать а я не могу т.к. всезде просит активацию а я не могу зайти на вэбмани т.к. теперь когда сперли пасс как бы не подходит ((( чего делать.. ребят подскажите. (как написать в арбитраж так чтобы вернули WMID либо заблокировали.. чтобы ещё не дай боже чего не произошло..) (test053@mail.ru на это мыло ответьте плз.

  25. kyoks

    У меня кипер как-то даже взламывали: http://kyoks.ru/?p=4050 — около года назад
    :( на 2000р. – ладно хоть не на большую сумму, ато читал на серче, что по 200 штук воровали :((
    Именно поэтому стараюсь не держать деньги на кипере — либо сразу на вывод, либо на покупку!

  26. Юрий

    сижу под линуксом, в виртуалке кипер

  27. стал злым

    Троян своровал кошелек с кипера ну и 250 зеленых с него, несмотря на лицензионный Nod32 и аутпост файрвол, Enum-авторизация. —> WinXP — сплошной троян.

Добавить комментарий

Ваш e-mail не публикуется. Обязательные поля помечены *
Если вы комментируете впервые, то текст будет отправлен на модерацию.