С кошелька украли все деньги (больше 200тыс руб) https://forum.webmoney.com/index.php?/topic/27589-

Здравствуйте. 

Сегодня с моего кошелька украли все деньги. Сделали более 40 платежей на разные номера телефонов трех сотовых операторов, каждый платеж по 5000 руб. В журнале операций: security.webmoney.ru видно только мои авторизации 2 дня назад, во время переводов авторизаций не было, на enum тоже никто не авторизовывался. Как такое может быть??

Здравствуйте. 

Сегодня с моего кошелька украли все деньги. Сделали более 40 платежей на разные номера телефонов трех сотовых операторов, каждый платеж по 5000 руб. В журнале операций: security.webmoney.ru видно только мои авторизации 2 дня назад, во время переводов авторизаций не было, на enum тоже никто не авторизовывался. Как такое может быть??

Надо срочно писать-звонить в СБ этих операторов с просьбой блокировать данные средства на счетах, чтобы они не были выведены!

Раз украли - писать заявление в полицию. И тоже срочно.

Как именно - интересный вопрос, но Вы предоставили мало информации. Скриншоты бы...

Могу предположить, что проплаты делались через быстрый платёж, но тогда на телефон должны были приходить СМС-подтверждения, если Вы их не видели, тогда в телефоне разве что сидел/сидит троян. Но тогда он теоретически мог и e-num клиент стырить, но тогда на e-num.ru проведение операций должно зафксировтаься.

Скорее всего у Вас ещё подключён Mini, а троян сидел в Вашей ОСи. Отлучились от компьютера - воришка выполнил вход и проделал операции, а потом всё закрыл. Или даже в фоновом режиме проделал это. Сопоставьте время, были Вы в это время у экрана, видели происходящее?

Взламывают не только мини.

Взлом кипера

Наверняка в компе сидел троян и ждал момента.

Сообщение отредактировал Firebadge: 16 сентября 2013 - 01:56

Посмотрел через добавление контактов в мини-кипере.

В данном случае владельцем или нет, но Mini был подключён

А сим карта Ваша живая? Вы звонить с нее пробовали?

Да, живая.

2AndrewTishkin: какие скриншоты нужны?

Ну, пустой журнал вряд ли интерес представляет, а вот 40 проплат увидеть в истории операций стоило бы. Ну или достаточно будет кое-что уточнить:

1. Везде ли одинаковые примечания, везде ли фигурирует один кошелёк, принадлежащий WMID 000000001000 - Telepay? Скорее всего да...
2. Какой временной разброс этих операций, какой интервал между ними? Это чтобы проанализировать, проводилось всё вручную или вор как-то максимально ускорил-автоматизировал процесс кражи? Одним махом всё сотворил или в несколько заходов?

при входе через мини приходит сообщение на кошелек о том, что осуществлялся вход

Какие-нибудь приложения My WebMoney к Mini подключены? Может при входе через них никаких сообщений не поступает в кипер и в журнале подключений тоже для них записи не добавляются?

А нет ли кому доверенности? А то похоже на "пакетные платежи".

Такая же проблема - увели средства порциями по 5000р на разные телефоны. На почту пришло уведомление что было выдано разрешение My WebMoney [Android] управлять моим wmid через СМС, после чего было выдано какое-то доверие другим лицам и средства списаны.
 

Я никогда не привязывал доступ через телефон - он только указан как контактный в аттестате (это одно и то же?). При этом телефон, который еще на днях работал теперь выдает ошибку сим карты. Оператор связи говорит что никому номер не передавал, а симка вероятно просто размагнитилась и нужно поменять.
 

Пока в голове рисуется такая схема - молодцы сотовики выдали кому-то копию симки по поддельным документам, а молодцы webmoney дали доступ к wmid только на основании телефона (контактный телефон и wmid зарегистрированы на разные данные). Виню всех кроме себя (трояна) потому что еслиб взломали мой keeper classic, то зачем такие сложности с телефоном?
 

Кто может, подскажите, неужели достаточно злоумышленнику получить доступ к трубке из контактов аттестата и ничего больше не требуется?
И если я написал в support.wmtransfer.com сколько обычно ждать ответа? Видел про 3 месяца писали, это правда?

Такая же проблема - увели средства порциями по 5000р на разные телефоны. На почту пришло уведомление что было выдано разрешение My WebMoney [Android] управлять моим wmid через СМС, после чего было выдано какое-то доверие другим лицам и средства списаны.
 
Я никогда не привязывал доступ через телефон - он только указан как контактный в аттестате (это одно и то же?). При этом телефон, который еще на днях работал теперь выдает ошибку сим карты. Оператор связи говорит что никому номер не передавал, а симка вероятно просто размагнитилась и нужно поменять.
 
Пока в голове рисуется такая схема - молодцы сотовики выдали кому-то копию симки по поддельным документам, а молодцы webmoney дали доступ к wmid только на основании телефона (контактный телефон и wmid зарегистрированы на разные данные). Виню всех кроме себя (трояна) потому что еслиб взломали мой keeper classic, то зачем такие сложности с телефоном?
 
Кто может, подскажите, неужели достаточно злоумышленнику получить доступ к трубке из контактов аттестата и ничего больше не требуется?
И если я написал в support.wmtransfer.com сколько обычно ждать ответа? Видел про 3 месяца писали, это правда?

Пока в голове рисуется такая схема - молодцы сотовики выдали кому-то копию симки по поддельным документам 
Кто может, подскажите, неужели достаточно злоумышленнику получить доступ к трубке из контактов аттестата и ничего больше не требуется?
И если я написал в support.wmtransfer.com сколько обычно ждать ответа? Видел про 3 месяца писали, это правда?

Почитайте другую свежую тему Украли деньги с кошелька, вторую страницу тоже, там самое интересное, говорится и про дубликат SIM-карты, и про возможные сценарии, с помощью которых можно проделать этот трюк. Как раз вариант с приложением My WebMoney я там рассматривал.

Я делаю вывод, что у Вас кроме Classic был подключён Mini. Имея номер телефона, восстановить пароль к Мини плёвое дело, ну а дальше выдача доверенности мобильному приложению и всё как Вы описали.

Если Mini подключён не был, это уже загадочнее, потому что на security.webmoney.ru для подключения другого способа управления вход через мобилку отключён (да и всё равно нужно знать пароль на вход), и, как я писал в теме по ссылке, при подключённом Classic/Light войти можно только с них или через E-num

Про три месяца - это срок рассмотрения иска, а не ответа от саппорта. Ни о каком иске в данном случае и речи быть не может, бегом в полицию искать воров по горячим следам

Да, у меня тоже самое что и у Pedro Abdurahman DaGama (и телефон тоже мтс был), а вы ему там пишете, что это невозможно.

У меня не было ничего подключено кроме keeper classic, а mini подключил вор. Не сразу нашел инструкцию подключения этого mini/my webmoney и там написано что его можно подключить только через keeper classic. Но вот воры как-то умудрились обойтись одним телефоном - в классик я сейчас захожу как обычно, в логе ip сеансы вора с его ip только через mini, да и активация на емейл нужна была-бы еслиб в классик заходили с другой машины. Хотя... с логами ip непонятка - в "журнале ip" его 3 сеанса указаны с пометкой mini, хотя все мои сеансы просто номерами, а в разделе "способы управления" его сеансы в последних сеансах классика. Хотя возможно это из-за того, что я этот мини отключил и сеансы теперь показываются в логе единственно доступного классика.

Никогда не доверял этим чертовым мобильникам - вынудили указать для вывода средств. Вот так и оказалось, что через него кто-то спокойно кому угодно в карман залезть может. Интересно, какого черта webmoney отсылают коды на телефон хотя я никогда не включал никаких оповещений и активаций через смс - только email, так как всегда чего-то подобного опасался со стороны сотовых компаний?

Интересно, какого черта webmoney отсылают коды на телефон хотя я никогда не включал никаких оповещений и активаций через смс

Автоматически может подключиться только Подтверждение операций при помощи SMS 
В других местах обычно СМСкам есть альтернатива, когда подключено полноценное упрравление через Classic/Light, по крайней мере я с СМСками сталкиваюсь на таких своих WMIDах очень редко, сходу разве что сейчас могу вспомнить займы на debt из последнего.

E-num, я так понял, Вы тоже не подключали никогда? Если так - проникновение через него отпадает.

Про IP-адреса - у меня тоже входы через Mini отображаются на странице Способы управления в блоке Classic. Тут вряд ли подвох, хотя раньше во времена громких краж воры умудрялись подделывать адрес входа, фишка там была, вроде, в совпадающих начальных цифрах. Но всё же в данном случае дырка где-то в другом месте, хм...

Но всё же в данном случае дырка где-то в другом месте, хм...

Меня вроде бы осенило, но в то же время появились новые сомнения.

Я понял, как на security.webmoney.ru можно проникнуть через вариант входа "Логин и пароль"

(Революция через Login. Логинимся на сайте без запущенного Кипера!),

хоть он там и отключён.

Через passport.webmoney.ru и систему тикетов доверия, которую я как раз недавно описывал.

В чём заминка? В том, что логин = e–mail, WMID или номер телефона, а вот пароль = пароль на вход в Classic (в данном случае).

Как вор узнал его? Ну да, сразу приходит на ум версия про троянскую программу, но если всё же без троянов?

Под этим полем ввода пароля есть ссылочка напомнить пароль, которая переправляет нас на сервис восстановления доступа.

Ну, пусть даже мы сможем начать восстановление, введём правильную дату рождения владельца WMIDа, которую узнаем из соц.сети, а дальше? Дальнейшие инструкции высылаются на e-mail...

Добью анализ

E-num, я так понял, Вы тоже не подключали никогда? Если так - проникновение через него отпадает.

Хотел же написать "вроде бы", но передумал, а зря.
Вспомнил я про сюрприз, который ввели несколько лет назад:

Для новых участников системы WebMoney, прошедших регистрацию WM Keeper Classic и указавших уникальные персональные данные, а также для новых участников WM Keeper Mini, подключивших WM Keeper Classic или WM Keeper Light, регистрация в сервисе E-num производится автоматически. В этом случае при входе в сервис следует ввести регистрационный email-адрес и выбрать способ входа - "SMS-авторизация".

По этому сценарию необходимо всего лишь узнать e-mail жертвы, что на порядок проще

PS: когда примерно началось

Keeper Classic 3.8.0.0: тысяча мелочей как одно целое
Кстати, на регистрационный email автоматически создаётся аккаунт E-NUM, что очень удобно.

И про принудиловку в конце 2010-го: Е-NUM проблемы!

Но всё же в данном случае дырка где-то в другом месте, хм...

Меня вроде бы осенило, но в то же время появились новые сомнения.

Я понял, как на security.webmoney.ru можно проникнуть через вариант входа "Логин и пароль"

(Революция через Login. Логинимся на сайте без запущенного Кипера!),

хоть он там и отключён.

На секьюрити по этой схеме залогиниться нельзя (сам пытался - не получилось). 

Добью анализ

E-num, я так понял, Вы тоже не подключали никогда? Если так - проникновение через него отпадает.

Хотел же написать "вроде бы", но передумал, а зря.
Вспомнил я про сюрприз, который ввели несколько лет назад:

>

Для новых участников системы WebMoney, прошедших регистрацию WM Keeper Classic и указавших уникальные персональные данные, а также для новых участников WM Keeper Mini, подключивших WM Keeper Classic или WM Keeper Light, регистрация в сервисе E-num производится автоматически. В этом случае при входе в сервис следует ввести регистрационный email-адрес и выбрать способ входа - "SMS-авторизация".

По этому сценарию необходимо всего лишь узнать e-mail жертвы, что на порядок проще

 

Тоже не так все просто. Да, регистрация в E-num есть и в сервис E-num войти можно, но вот привязку WMID к аккаунту E-num нужно произвести самостоятельно через секьюрити.вебмани, а там нужно логиниться через основной кипер.