Дерзкое ограбление в WebMoney: все рубежи защиты преодолимы
На днях с кошелька сотрудника CNews в системе WebMoney были похищены деньги. Известен банк и номер счета, на который они были переведены. Но банкиры и представители WebMoney не готовы принять меры для возврата средств. Они лишь советуют обратиться в милицию.Со счета в системе WebMoney у сотрудника CNews Владимира Я. (фамилия не раскрывается по просьбе пострадавшего) была похищена 41 тыс. руб. «Я обнаружил, что не могу подключиться к своему кошельку - система сообщила, что введен неверный пароль, - рассказывает Владимир. – Я связался со службой поддержки, они сказали, что 9 марта в 10 часов утра пароль был изменен. Но я этого не делал. В течение дня я пытался получить от техподдержки хоть какие-то сведения, но мне этого не удалось. А когда вечером я приехал за разъяснениями в головной офис, мне сообщили, что с моего кошелька мошенническим путем были выведены средства».
Сотрудник офиса WebMoney рассказал Владимиру, что деньги были переведены в «Альфа Банк» на счет № 40817810209810009665, принадлежащий Алексею Олеговичу Метелеву. «Я отправился в «Альфа Банк» (в отделение рядом со станцией Третьяковская) в надежде, что они примут какие-то меры, - продолжает Владимир. - Но мне объяснили, что, так как я не являюсь их клиентом и платеж проходил не внутри банка, они ничего для меня сделать не смогут. Но сказали, что если получат заявку от компании WebMoney, возможно и примут меры».
В головном офисе платежной системы Владмиру поменяли пароль на вход в кошелек, но получить к нему доступ он не смог. В службе поддержки WebMoney, по словам пострадавшего, вероятнее всего, так и не поняли в чем проблема и ответили шаблонными словами о том, что помимо пароля на вход существует еще код доступа для файла ключей, который задается самим пользователем. Но новый пароль не подходил к файлу ключей.
В техподдержке WebMoney также порекомендовали обратиться с иском в Арбитражный сервис системы. В форме иска предлагалось ввести сумму, на которую нанесен ущерб. «Я ввел сумму, и отправил иск в систему, но следующим окном которое я увидел, было предложение оплатить $140 за услуги арбитража, - говорит Владимир. - Я написал в поддержку арбитража, где мне сказали, что возникло недоразумение. Они рассмотрели мой иск и порекомендовали обратиться в милицию». 11 марта Владимир отправил письмо с информацией о краже и об опыте взаимодействия с WebMoney на специальную электронную почту в Управление «К» МВД России. Ответ от милиции пока не получен.
«Самое главное – информацию, куда «увели» средства, в нашем офисе вам предоставили, - комментирует Александр Правиков, PR-менеджер WebMoney Transfer. - Известен банковский счет и ФИО, на которые средства были выведены. Дальше вы поступили совершенно правильно и логично – подали заявление в милицию. Для эффективности расследования также советуем вам восстановить утраченный вами контроль над вашим WMID: это позволить видеть историю операций, IP-адреса в журнале и т.п».
Информацию о том, куда были уведены средства, по словам Правикова, можно было получить и онлайн, если бы имелась возможность подать иск на сайте Арбитража. «Но поскольку был утерян контроль над WMID (а, по всей видимости, и над e-mail - раз злоумышленник смог активировать оборудование), то выдавать конфиденциальную информацию по e-mail и по WM-почте было бы с нашей стороны неправильно, - говорит он. - Иск подается онлайн и бесплатно. Боюсь, вы просто запутались в регламенте арбитража. Арбитражный сбор, как указано в наших правилах, взимается в случае опротестования сделки (мошенничество со стороны продавца и т.д.). А если имеет место несанкционированный доступ (кража…), то сбор не взимается».
Владимир считает, что он действовал в соответствии с правилами, указанными на сайте WebMoney. В описании исков есть пункт «Опротестование платежа». «Данный тип иска представляет собой протест против платежа (платежей) с кошелька истца, которые по его утверждению им не проводились, например, при утрате контроля над WM идентификатором в результате несанкционированного доступа злоумышленника в компьютеру истца», - говорится в правилах. Но, тем не менее, пострадавший не исключает, что мог запутаться в регламенте арбитража: «уж очень у них там все запутано».
Правиков также привел экспертное мнение специалистов системы: «Кража (несанкционированный доступ) была совершена не с нового адреса – IP-адрес, с которого был запущен кипер (программа для доступа к кошельку) и совершен перевод, использовался вами уже около двух месяцев. По всей видимости, вы запускали кипер с двух разных компьютеров, т.к. система зафиксировала два хэша вашего оборудования, с одного из них и была совершена кража. Но оба хэша использовали ваш кипер уже около двух месяцев. Вероятнее всего, тут виновен даже не троян (хотя и эту версию нужно проверить), а кто-то из своих, имеющий доступ к вашему компьютеру».
Версию с доступом злоумышленника к своим ПК Владимир исключает: «Домашний компьютер был выключен, и дома никого не было. Второй компьютер - это рабочий. Кража произошла в районе 10 часов утра, когда я был на рабочем месте, поэтому несанкционированный доступ тоже не возможен. Остается еще два варианта. Первый – троян (на рабочем компьютере Владимира используется антивирус «Лаборатории Касперского», на домашнем – бесплатный Microsoft Security Essentials, - прим. CNews). Второй - перевод со стороны WM, возможно одним из сотрудников. Такой вариант тоже не стоит исключать, т.к. доступ к кошельку - дело сложное, а имея доступ к БД можно делать все что угодно». Представитель WebMoney эту версию прокомментировать отказался.
Отметим, что система WebMoney имеет достаточно серьезную систему безопасности. При создании аккаунта создается секретный файл ключей, который хранится на носителе информации (флешка или жесткий диск). Этот файл шифруется паролем-ключем, и доступ к файлу возможен только знающим ключ. После активации секретного файла ключем требуется ввести пароль на доступ к аккаунту. После этого, если IP-адрес или оборудование киперу не известно, то требуется обязательная активация через e-mail, иначе кипер не дает совершать операции. Тем не менее, злоумышленник каким-то образом сумел обойти все рубежи защиты.
«В WebMoney оказывают всестороннюю помощь, предоставляя информацию. И люди там очень стараются помочь, - говорит Владимир. – Но деньги утекли, и максимум что они могут, это посоветовать обратиться в милицию. Было бы хорошо, если бы они научились сотрудничать с милицией и банками, куда выводятся украденные деньги, чтобы была возможность заблокировать счет мошенника или принять другие меры. Так же хочется, чтобы поддержка пользователей работала более оперативно - к примеру, восстановление прав на утерянный аккаунт, как сказано на сайте, займет от 10 до 20 дней». CNews продолжит следить за развитием ситуации.
Дополнение: Спустя час после публикации данного материала WebMoney прислал дополнительный комментарий (публикуется целиком):
"В данном случае речь идет однозначно о трояне: пользователь утратил контроль над своим оборудованием полностью, т.е. о "взломе" WM говорить не приходится. Оборудование пользователя находится или находилось ранее под полным контролем третьего лица. И это третье лицо может управлять любыми программами этого пользователя. Это УК РФ в чистом виде. Предположение о "переводе со стороны сотрудников WM" – несостоятельно: целостность БД обеспечивается подписями ключами владельцев кошельков, а этих ключей у "сотрудников" нет принципиально. Кроме того, раз вывод был осуществлен на банковский счет лица, идентифицированного банком – дальнейшие вопросы надо задавать банку. Причем не от нас , а через правоохранительные органы - иных законных процедур не существует. Мы доверяем банковской идентификации - ибо если там "дроп", то это уголовно наказуемо и для банка может иметь последствия по отзыву лицензии. Статистику подобных случаев мы ведем. Случаев достаточно, но все они связаны не со взломом а с явной или неявной (троян) передачей управления владельцами кошельков своего оборудования под контроль третьих лиц.