Риск взлома sms-аутентификации криптовалютных кошельков и бирж

Дыры в цифровом кошельке

Часто причиной кражи криптовалюты становится плохая защита цифрового кошелька, в котором человек хранит свои средства. Какие слабые места есть у подобных систем и как максимально обезопасить хранение своих криптоактивов?

Фото: Тим Яржомбек для РБК

​По последним данным, опубликованным в конце августа, более 30 тыс. человек в этом году оказались жертвами мошенничества, связанного с криптовалютой под названием эфир (Ethereum).

Согласно информации нью-йоркской фирмы Chainalysis, средний размер потерь — около $7,5 тыс. на человека.

По мнению экспертов, высокое количество краж объясняется в первую очередь недостаточной безопасностью кошельков, на которых криптовалютные инвесторы хранят свои средства.

Криптовалютный кошелек — это специальная программа, позволяющая ее владельцу получать доступ к средствам, записанным в блокчейне. «В каком-то смысле такой кошелек похож на ключ от банковской ячейки, только ячейка находится не в банке, а в децентрализованном криптохранилище», — объясняет директор по продукту рекламной блокчейн-экосистемы Papyrus Александр Швец.

Такие цифровые хранилища позволяют контролировать баланс счета, переводить средства и обменивать одну валюту на другую, там можно держать как биткоины, так и альткоины, то есть другие криптовалюты. В мире существует более 1000 криптовалют, и многие из них имеют свой собственный кошелек, то есть программу, которая поддерживает лишь криптовалюту данного типа.

По словам опрошенных РБК экспертов, наиболее популярными среди «монохранилищ» являются кошельки под биткоин — самую распространенную и дорогую цифровую валюту (общая капитализация на 19.09.2017 — $66 млрд). На втором месте по востребованности — кошельки для эфира (общая капитализация — $27 млрд).

Для удобства пользователей, работающих с несколькими криптовалютами, существуют также мультикошельки, которые могут хранить и поддерживать транзакции с разными видами цифровых денег.

Все кошельки для хранения криптовалют делят на два типа: программные и аппаратные, или, другими словами, онлайн и офлайн-кошельки, рассказывает сооснователь криптобанка Wirex Дмитрий Лазаричев.

Онлайн-кошельки часто называют «горячими»: они постоянно подключены к интернету, потратить средства с них можно в любой момент.

Такие кошельки могут находиться как на отдельных сайтах (браузерные кошельки), так и представлять собой программы, которые устанавливаются на компьютер пользователя (десктопные), рассказывает сооснователь и партнер инвестиционного фонда по работе с криптоактивами The Token Fund Владимир Смеркис.

В частности, «горячими» являются кошельки на сайтах криптовалютных бирж Poloniex, Bittrex, Bitstamp, Yobit Liqui и др. — в них переводятся необходимые для торговли средства. Кроме того, онлайн-кошельки встречаются на сайтах блокчейн-проектов, выпустивших собственные токены.

Офлайн-кошельки, или «холодные», не подключены к интернету, их устанавливают на отключенном от сети компьютере или специальном физическом носителе.

«Такое хранение валюты называется аппаратным; чаще всего для этого используются устройства, похожие на накопители», — рассказывает редактор отраслевого портала Happy Coin Club Валерий Смаль. Средства в «холодный» кошелек можно положить, указав адрес в блокчейне.

А вот снять «монеты» можно только тогда, когда устройство подключено к компьютеру (в этот момент ему передается информация и о новых поступлениях средств).

Если криптокошелек предполагает использование приватного ключа, открывающего доступ к средствам, то сооснователь блокчейн-проекта BitClave Василий Трофимчук советует хранить его также «холодным» способом. Либо, по старинке, распечатанным на бумаге в оригинальном виде, либо, как советует Александр Швец, переведенным в QR-код.

Самые востребованные криптокошельки

Среди популярных онлайн-кошельков эксперты называют мультивалютные JAXX, MyEtherWallet и Exodus. Бесплатная программа JAXX поддерживает 26 криптовалют и, как правило, используется на смартфонах.

Кошелек MyEtherWallet — браузерный, обслуживает валюты эфир и эфир классик (Ethereum Classic), а также токены компаний, выпустивших монеты на ICO (Initial Coin Offering — первичное размещение монет криптовалюты).

Программа Exodus поддерживает шесть криптовалют и устанавливается на десктоп.

У российских пользователей также популярны кошельки «Криптонатор» и HolyTransaction. Первый работает в браузере, поддерживает 12 криптовалют и позволяет обменивать монеты одной валюты на другую внутри кошелька. В HolyTransaction доступны 13 разновидностей криптовалют также с возможностью обмена.

Среди «монохранилищ» биткоина самым известным, по мнению экспертов, является blockchain.info. Помимо него для хранения «цифрового золота» часто используются сервисы Electrum и Bitpay.

Из «холодных» кошельков эксперты выделяют устройства под тремя брендами — Trezor.io, Ledger Nano S и KeepKey.

Обычно красть средства хакерам позволяют прорехи в системе безопасности и неосмотрительность хозяев кошельков, объясняют эксперты.

«В случае с «горячими» кошельками наиболее распространенными причинами взлома являются уязвимость в коде смарт-контракта (электронный алгоритм передачи информации на базе блокчейна, позволяющий осуществлять обмен средствами) и слабые зоны в коде самого кошелька. Яркий пример — кража биткоинов на сумму $460 млн с биржи Mt.Gox.

Хакеры использовали баг в системе транзакций, который существовал с первого дня работы биржи, что позволило им незаметно переводить небольшие суммы на свои счета со счетов кошельков биржи», — вспоминает Владимир Смеркис.

Еще один пример такого рода — взлом гонконгской биржи Bitfinex. Тогда мошенники похитили около 120 тыс. биткоинов на сумму $60 млн у пользователей, хранивших средства в биржевых кошельках. «Система безопасности Bitfinex имела серьезную уязвимость, что позволило злоумышленникам получить доступ к тысячам кошельков клиентов», — объясняет Смеркис.

Другим популярным способом мошенничества является фишинг. Мошенники создают обманные запросы или целые сервисы с целью получить информацию о доступе к кошельку.

«Например, при проведении ICO совершается подмена web-адреса — инвестор думает, что вкладывается в ICO, но на самом деле деньги уходят в руки преступников.

То же самое проворачивают и с криптокошельками: меняют одну букву в названии популярного сервиса, пользователи открывают там кошелек, переводят монеты и моментально их теряют», — приводит пример Валерий Смаль.

Чтобы избежать таких потерь, эксперты советуют криптоинвесторам скрупулезно проверять адреса сервисов.

Вообще, невнимательность чревата потерями всегда.

Валерий Смаль рассказывает случай из собственной практики: «В социальных сетях, когда договариваются о получении токенов того или иного проекта, часто указывают адреса кошельков.

Однажды в социальной сети, которую я веду, пользователь хотел отправить на проверку организаторам адрес кошелька, но по ошибке указал еще и приватный ключ. Его обчистили через десять минут».

Риск взлома выше всего именно для «горячих» кошельков, уверяют эксперты.

Особенно опасны «легкие» кошельки, требующие минимальной верификации (ввода логина и пароля) для подтверждения транзакции, а также сервисы, самостоятельно хранящие приватный ключ и seed-фразу, то есть набор слов, используемых для восстановления кошелька. В частности, самостоятельно хранят такие данные биржи и, например, кошелек JAXX.

Самыми безопасными экспертное сообщество считает аппаратные, или «холодные» кошельки. «Они обладают максимальной степенью безопасности, поскольку не подключены к интернету», — уверяет директор по продукту в блокчейн-платформе Waves Игорь Пугачевский.

Хотя риски при использовании «горячих» кошельков высоки, инвесторы, активно торгующие криптовалютой, вынуждены ими пользоваться. «Тем, кто торгует на бирже, нужен быстрый доступ на рынок через смартфон. К сожалению, пока установить на телефон можно лишь «горячие» программы», — объясняет Валерий Смаль.

Чтобы максимально обезопасить вложения, эксперты рекомендуют никогда не хранить все активы на одной платформе. «Не стоит оставлять все яйца в одной корзине, лучше использовать «холодное» хранение для основной части ваших активов, а для быстрых операций выбирать легкие мобильные программы», — советует Игорь Пугачевский.

Также участники криптосообщества советуют не забывать об элементарных правилах сетевой гигиены: следить, чтобы приватные ключи хранились только у владельца, не доверять сервисам, которые хранят ключи за пользователей, например, не размешать слишком крупные суммы на сайтах криптовалютных бирж, делать бумажные копии ключей и не распространяться о том, сколько и каких средств находится на хранении.

«Если программа позволяет, следует включить двухфакторную аутентификацию.

В таком случае помимо пароля и логина надо будет ввести еще код, который придет в виде SMS-сообщения или письма на электронную почту», — поясняет Валерий Смаль.

Такую систему верификации имеют, например, кошельки MyEtherWallet и HolyTransaction. Эксперт также советует использовать все возможности защиты, которые предоставляют сервисы.

Для сохранности цифровых активов можно привлечь третьих лиц. Для этого нужно завести кошелек с мультиподписью, то есть с возможностью верификации транзакции несколькими сторонами.

«Большинство кошельков онлайн-обменников и криптовалютных бирж обладают моноподписью, то есть владелец сам подтверждает передачу средств на чужой счет.

Если же открыть кошелек с мультиподписью, транзакцию должна будет подтвердить третья сторона (лицо или организация)», — рассказывает Дмитрий Лазаричев.

Подобной услугой пользуются, например, в The Token Fund. «Технически это реализовано следующим образом: при открытии кошелька пользователь указывает мастер-пароль и пару криптографических ключей, затем определяет от одного до 12 человек, которым доверяет подтверждение транзакции.

При попытке перевода денег доверенные лица получают сообщение с предложением одобрить или отклонить транзакцию. Для одобрения нужно получить согласие от одного до четырех человек», — объясняет Владимир Смеркис.

Криптокошелек с мультиподписью предлагают клиентам такие платформы, как Wirex, BitGo и BlockCypher.

Источник: https://www.rbc.ru/money/19/09/2017/59bbafdd9a79470a4d540bfd

Способы взлома кошельков для криптовалюты и аккаунтов при помощи SMS

Как считают многие представители криптосообщества, настоящее время можно назвать эрой “цифровых 90-ых”, где бизнесменов похищают за выкуп, силовики изымают оборудование и криптовалюты у подозреваемых или свидетелей, а хакеры в любой момент могут воспользоваться уязвимостями новых систем.

Именно поэтому Максим Тарасенко (White Hat Community Director в проекте Hacken и основателя форума по кибербезопасности HackIT) — подготовил материал, в котором раскрыты основные риски использования SMS-аутентификации, которые грозят держателям биткоина и других криптовалют.

Отрасль информационной безопасности развивается семимильными шагами, но и киберпреступники с кибермошенниками не стоят на месте.

Сегодня я попробую рассказать о том, почему SMS-аутентификация и телефоны — это то, от чего криптотрейдерам и криптобизнесменам, да и любым адекватным людям с высокой потребностью к конфиденциальности, стоит держаться подальше, и почему SMS-аутентификации пора умереть.

Мое мнение субъективно и основывается на личном опыте. Я не претендую на истину в последней инстанции, но надеюсь, что полученная информация будет полезна читателям, поскольку она особенно актуальна в свете последних событий.

На мой взгляд, сегодня в области информационной безопасности задействовано множество так называемых специалистов, экспертов и разного рода профессионалов, которые еще в 90-ые работали на перфокартах.

Мне 26, и я работаю в информационной безопасности с 14-15 лет, успел поработать в СБУ, создать свою компанию в сфере информационной безопасности (далее ИБ), запустить хакерскую конференцию и даже поучаствовать в запуске криптовалюты для хакеров.

Не так давно я решил полностью перейти на иностранные номера в мессенджерах, сменил на зарубежные все телефоны для восстановления различного рода доступов и отвязал SMS-аутентификацию везде, где это возможно. То же самое мы делаем для всех наших клиентов. Это всегда вызывает целый ряд вопросов и просьб рассказать об этом подробнее.

Варианты получения доступа к вашим аккаунтам через SMS-аутентификацию

Итак, риски перехвата SMS состоят в том, что злоумышленник, перехватив сообщение, способен завладеть вашими цифровыми аккаунтами, где номер телефона используется в качестве одной из форм аутентификации или восстановления доступа.

Основные варианты:

  • Прослушка. Перехват SMS правоохранителями вследствие превышения служебных полномочий или нецелевого использования материалов негласных следственных действий.
  • Дублирование (клонирование) SIM-карты через оператора сотовой связи с использованием персональных данных клиента и дальнейшее использование клонированной SIM-карты в противоправной деятельности.
  • Ложная базовая станция для перехвата и расшифровки всех входящих сообщений абонента и дальнейшее использование перехваченных данных в противоправной деятельности.
  • Взлом “Персонального кабинета” абонента на сайте или приложении сотового оператора и переадресация всех сообщений на адрес злоумышленника, а также дальнейшее использование полученных данных в противоправной деятельности.

Теперь рассмотрим подробно каждый из рисков:

Прослушка

Негласные следственные действия, предусмотренные главой 21 Криминально-процессуального кодекса (КПК) Украины, помимо прочего включают в себя “Снятие информации с транспортных телекоммуникационных систем”, что в простонародье и называется прослушкой. В РФ это соответствует статье 186 УПК — “Контроль и запись переговоров”. Во всем мире действуют схожие нормы проведения прослушки.

Разрешение на проведение прослушки дается в следующих случаях:

  • по уголовным делам;
  • по контрразведывательным делам;
  • в рамках внешней разведки.

Субъектами, которым разрешено использовать прослушку, являются правоохранительные органы, правоохранительные органы специального назначения (спецслужбы) и службы внешней разведки.

Прослушка в Украине и в большинстве стран проводится только по тяжким преступлениям. “Тяжкое преступление” в Украине соответствует статье, которая предполагает срок лишения свободы подозреваемого от 5 лет. Например, 212 ККУ “Уклонение от уплаты налогов” — это не тяжкая статья и прослушку по такому делу получить невозможно.

Отмечу, что подробности о формах и методах проведения негласных следственных действий относятся к информации с ограниченным доступом, за разглашение которой предусмотрена уголовная ответственность, так что я буду опираться только на публично доступную информацию и на зарубежные аналоги.

Суровые реалии правоохранительной системы в странах постсоветского пространства показывают крайне высокий уровень коррупции среди правоохранителей. Выражение “все покупается и все продается”, к сожалению, актуально и в этой сфере.

Силовики используют обыски, изъятия и прослушку как одну из форм давления на бизнес, а иногда и для откровенного рейдерства и грабежа. Иногда дело просто в политике. Так появилась история о том, как ФСБ Telegram взломало, в которую многие до сих пор верят.

Ниже я опишу пример подобного “взлома”.

Давайте разберемся в этом деле на очень простом примере. Следователь А заводит уголовное дело по выдуманному заявлению Гражданина Ш о якобы мошенничестве на доске объявлений в интернете.

 Гражданин Ш утверждает, что неизвестный ему мошенник запросил у него предоплату за покупку IPhone 7 на кошелек QIWI, привязанный к номеру телефона +38 093…, получил деньги и ушел в закат.

 Следователь А классифицирует данное действие по статье 190 ч.3 УК Украины “Мошенничество с использованием ЭВМ”.

В рамках уголовного дела Следователь А получает разрешение от следственного судьи на проведение негласных следственных действий.

Далее некий “неизвестный” перехватывает SMS на указанном номере и восстанавливает доступ к почте Gmail Свидетеля К, которому на самом деле принадлежит номер +38093… Дальше магическим образом “неизвестная личность”, используя форму восстановления пароля на бирже, получает полный контроль над финансами Свидетеля К и тоже “уходит в закат”.

Гражданина Ш внезапно заявляет, что ему удалось полюбовно уладить конфликт с обидчиком. Следователь А закрывает уголовное дело в связи с отсутствием состава преступления (есть много вариантов, как еще это сделать).

 Свидетель К, обнаружив пропажу крипты, пишет заявление в полицию о пропаже, но получает отказ о внесении данных в единый реестр досудебного расследования, так как криптовалюта — не деньги, актив или товар, и украсть ее с точки зрения УПК невозможно.

В этом случае адвокаты советуют Свидетелю К написать заявление о факте взлома почты (биржи, кошелька). Далее следствие заходит в тупик.

Если вы считаете, что двухфакторная авторизация в Telegram точно защитит вашу переписку, то вы ошибаетесь. Помните, что новые и новые схемы создаются каждый день, и безопасность всей системы характеризуется безопасностью самого слабого звена в ней.

Дублирование (клонирование SIM-карт)

Большинство сотовых компаний при процедуре восстановления утерянной или украденной SIM-карты требует копию паспорта (редко сверяют с оригиналом) и 2-3 последних исходящих или входящих SMS. Кроме этого, в колл-центрах крупных компаний работают “заскриптованные люди”, у которых нет времени все перепроверять, они просто действуют по инструкции.

Про эту схему уже писали тут. На конкретном примере: злоумышленнику каким-то образом удалось заполучить скан вашего паспорта (университет, работа, больница, интернет). Скан можно заказать в любом подобном магазине паспортов или на старом добром форуме для начинающих хакеров (внимание, магазин и форум указан только в качестве примера, это не совет или призыв к действию).

После получения скана злоумышленник звонит вам под предлогом очень важного дела и просит вас перезвонить по любому поводу. Он повторяет просьбу несколько раз и вешает трубку под предлогом, к примеру, плохой связи.

После этого он сохраняет данные о ваших последних звонках, идет к оператору, и с формулировкой “я паспорт забыл, но вот у меня есть копия” либо по “предварительной договоренности” с легкостью получает копию вашей SIM-карты, ответив на вопросы о последних исходящих или входящих звонках.

Дальше начинается классика с “восстановлением доступа”. Кроме этого, можно создать клон Telegram, например, как описано тут. Конкретно описанная в этом примере схема может не работать на практике, но аналоги до сих пор срабатывают. Особенно с любителями пересылать документы через социальные сети.

Ложная базовая станция

Тут старички с ухмылкой обычно начинают говорить “а где ж мошенники возьмут столько денег на дорогое оборудование” или “как же они расшифруют SMS”. Но правда состоит в том, что в интернете уже есть целые мануалы по поднятию ложной базовой станции для перехвата SMS с модемом из “моторолы” за 30 баксов и простеньким софтом, что было продемонстрировано еще в 2013 году.

Напомню, что в 2010 году стоимость кустарного оборудования для перехвата GSM действительно начиналась от 1500 до 5000 долларов США. Существует и более дорогое и труднодоступное оборудование, описанное в этой статье. Уже относительно давно есть довольно крупные проекты вроде OsmocomBB по изучению GSM-сетей и исследованию перехвата данных в GSM-сетях.

Давайте смоделируем пример. Вооружившись телефоном Motorola за 30 баксов, парой шнурков за 15 долларов и ноутбуком злоумышленник паркуется возле вашего дома, квартиры, коттеджа. Поднимает ложную сотовую станцию, перехватывает SMS, восстанавливает все необходимые доступы и “становится на лыжи”.

Конечно же, я описал упрощенную версию, на самом деле весь процесс выглядит как-то так с определенными “модификациями” и, как правило, требует подготовки всей инфраструктуры заранее.

Важно предупредить, что в примере описывался концепт развертывания собственной базовой станции без взаимодействия с реальной системой.

В реальности все было бы еще сложнее, однако общая тенденция подверженности сотовых операторов подобным атакам видна тут.

Взлом персонального кабинета абонента на сайте

Возникают ситуации, когда сотовые операторы, экономя на безопасности своих сервисов, допускают возможность взлома собственных сайтов или приложений с так называемым “личным кабинетом абонента”, в которых, как правило, имеется очень широкий функционал — от приема SMS прямо на сайте до управление балансом пользователя.

Есть реальный пример одного сотового оператора Украины, допустившего возможность привязки произвольного номера, или забавная история с российским оператором. Все это иллюстрирует отношение операторов к информационной безопасности.

Иногда можно прикинуться “чайником” и попросить настроить личный кабинет прямо в салоне связи для бабули, которая телефон забыла дома, но у злоумышленника, к примеру, внезапно под рукой оказалась копия ее паспорта. Суть проста: после завладения личным кабинетом пользователя можно изменить маршрутизацию звонков и SMS и перенаправить их на номер злоумышленника.

Защита

Как защитится от описанных рисков и почему в начале статьи я писал именно про зарубежные SIM-карты?

Нашим клиентам мы запрещаем использовать в качестве номера восстановления доступа к важной информации основной телефон.

Это должен быть обязательно другой номер, купленный специально под эти цели, никогда не вставленный ни в один из используемых телефонов в Украине (чтобы нельзя было найти и связать по IMEI).

Этот телефон должен лежать в сухом, прохладном и недоступном для обысков месте, включаться и пополняться раз в 2-3 месяца, чтобы избежать возможности перевыпуска SIM-карты оператором по причине долгого неиспользования.

Мы рекомендуем никогда не включать такой номер в стране постоянной дислокации и активировать сервисы, привязанные на этот номер, где-то за рубежом. Это связано с особенностью работы сотовых операторов и проведения прослушки.

Если злоумышленник не знает вашего номера восстановления, ему сложнее будет определить цель, которой нужно завладеть. Поэтому один номер должен быть для соцсетей и совсем другой — для восстановления Gmail и финансовых платежных инструментов.

В странах Европы, например, в Германии, уровень защиты персональных данных значительно выше, чем в странах СНГ, а значит комбинация с “пришел в салон и восстановил номер” не пройдет. Более того, можно попросить любого друга за рубежом (если такой есть), которому вы доверяете, оформить номер телефона для восстановления на его паспортные данные, и хранить SIM-карту у себя.

Основные риски и способы их нейтрализации я постарался максимально кратко вместить в рамках этой статьи.

Вынужден предупредить, что вышеперечисленный список рисков не является исчерпывающим и именно для этого существуют компании, вроде ProtectMaster или целые маркетплейсы для хакеров, вроде Hacken.

io, которые продумывают за вас модели угроз и рисков, составляют все возможные векторы атак, начиная от “силовиков”, заканчивая “хакерами” и даже тестируют безопасность ваших приложений.

Если вам был полезен материал, хотелось бы получить обратную связь в виде комментариев или вопросов. И подписывайтесь на наш канал в Телеграмм!

Источник: mining-cryptocurrency.ru

Источник: https://ecrypto.ru/operatsii-s-kriptovalyutoj/koshelki/sposoby-vzloma-koshelkov-dlya-kriptovalyuty-i-akkauntov-pri-pomoshhi-sms.html

Криптовалютные кошельки продолжают взламывать и еще раз о безопасности в сети | BitExpert: все о криптовалютах

Особенности криптовалют

Особенностью многих криптовалют является их децентрализированный характер, так как их выпуск осуществляют независимые майнеры, сосредоточенные по всему миру, и не существует  единого центра эмиссии.

Благодаря данной специфики никто не может заморозить ваши деньги на счетах в криптовалютных кошельках. Ни государство, ни даже разработчики самих кошельков. Вся информация децентрализована.

Большинство криптовалютных кошельков анонимно, то есть для хранения и распоряжения криптовалютами не надо предоставлять свои паспортные данные, проходить верификацию.

Исключением являются только кошельки Ripple. Согласно последним обновлениям данной криптовалюты, банки, контролирующие платежные шлюзы, могут заморозить не только единичные транзакции, которые им покажутся сомнительными, но и сами счета пользователей. Это “плата” разработчиков Ripple за сотрудничество с банками и активное распространение данной криптовалюты в банковской и финансовой среде.

Но с криптовалютами существует другая проблема. Хакеры хорошо научились взламывать, как счета криптовалютных бирж, где хранятся деньги трейдеров, так и сами криптовалютные кошельки.

И если владельцев криптовалютных кошельков еще можно обвинить в безалаберности и не соблюдении даже элементарных мер безопасности в сети, то профессиональные криптовалютные биржи с мощным аппаратом сотрудников по кибербезопасности в непрофессионализме обвинить трудно. Но биржи взламывают с не меньшим успехом, чем сами криптовалютные кошельки.

Почему взламывают криптовалютные кошельки

Постоянно приходят сообщения о том, что хакеры нашли ту или иную уязвимость криптовалютного кошелька или баг в самой криптовалюте, которую поддерживает кошелек. В итоге, как обычно, страдают держатели кошельков. Хакеры уходят безнаказанными, а люди безвозвратно теряют деньги, а некоторые и веру в криптовалюты и их безопасности, полностью разочаровываясь в них.

Но еще больше сообщений на форумах, в социальных сетях и в блогах появляется от самих  владельцев кошельков, которые потеряли деньги не по причине компьютерного бага и уязвимости в самой криптовалюте или кошельке, а в следствии своей невнимательности, упущений, незнаний, не принятия мер по усилению защиты кошельков.

Люди используют общественный WiFi для входа в криптовалютные кошельки и осуществления платежей, а в это время хакеры перехватывают данные их закрытых ключей. Многие пользователи кошельков отказываются от установки двухфакторной верификации своих счетов.

Ведь данная дополнительная мера безопасности требует помимо ввода пароля еще и подтверждения своего входа в кошелек через почтовый ящик. Для владельцев кошельков лишнее действие по верификации в виде входа на электронный ящик и введения полученного кода подтверждения в кошелек, вызывает трудности. Не удобно, требует лишнего времени и усилий.

Поэтому многие пользователи криптовалют отказываются от таких дополнительных мер безопасности.

А ведь многие разработчики кошельков придумали трехфакторную верификацию, когда помимо почтового подтверждения необходимо ввести код, который приходит на мобильный телефон.

По этому принципу работают и мультиподписи. Чтобы осуществить платеж необходимо ввести проверочный код, который приходит на привязанный к криптовалютному кошельку номер мобильного телефона или другого устройства.

Все эти дополнительные меры безопасности усложняют работу с кошельком, требуют совершения дополнительных действий, а иногда и специальных знаний или изучения информации.

Держателям криптовалют они не удобны, люди отказываются от их совершения.

В итоге, хакеры и прочие мошенники пользуются такой леностью подавляющего большинства населения, взламывают кошельки и воруют деньги пользователей, при этом оставаясь анонимными и безнаказанными.

Не стоит забывать о важной особенности многих критповалют – их открытом характере. Все платежи по блокчейн прозрачны. Любой их может отследить и проверить. А месте с платежами можно узнать все операции по криптовалютному счету и его остатки. Таким образом, хакеры заранее знают, где воровать и сколько денег они получат в итоге.

Случаи последних взломов кошельков

Буквально вчера в сети появилось еще одно сообщение о крупной массовой краже средств с кошельков вкладчиков. И опять виной тому безалаберность самих граждан и их желание все упростить и пойти самым простым, но часто не самым безопасным путем.

На сей раз пострадали владельцы кошельков IOTA. В общей сложности они потеряли порядком 4 миллионов долларов. Это только те потери, о которых известно. Но далеко не все люди сообщили о том, что были обворованы.

В этот раз виноваты не разработчики криптовалюты IOTA и не создатели кошельков, которые поддерживают данную криптовалюту. Как это часто бывает виноваты сами пользователи.

Кражи происходили из-за онлайн генераторов seed-фраз для онлайн кошельков. Хакеры либо получили контроль над такими сайтами, либо самостоятельно создали таковые, чтобы своровать seed-фразы пользователей.

Дело в том, что в большинстве криптовалют сам кошелек генерирует seed-фразу, которая необходима для восстановления доступа к кошельку и дает полный контроль над счетом и всеми деньгами, которые в нем расположены. Но только не в кошельке IOTA.

При создании нового кошелька IOTA, пользователь должен самостоятельно ввести seed-фразу, которая включает 81 символ. На сайте HelloIOTA представлена инструкция, в которой указано о нескольких вариантах решения этой проблемы.

Одним из способов является  использование seed-генератора, созданного на основе IPFS. Другой вариант заключается в генерировании ключа при помощи Mac- или Linux-терминала.

Проблема заключается в том, чтобы воспользоваться одним из вышеуказанных способов, необходимо обладать специальными знаниями или внимательно прочитать инструкции по применению и разобраться в механизме генерации seed-фраз. На это требуется время и специальные знания.

Поэтому большинство пользователей кошельков не хотят вникать в проблему, в чем-то разбираться, изучать новое. Они предпочитают самый простой вариант. Воспользоваться услугами, которые предлагают онлайн генераторы seed- фраз.

При этом люди обращаются к помощи первых попавшихся им в сети онлайн генераторов, не проверяя их репутацию.

Пользуясь услугами не проверенных сторонних сервисов, никто не задумывается о том, кому могут принадлежать такие сайты. Возможно их специально создали мошенники, чтобы потом своровать ваши деньги, а может быть хакеры получили доступ к уже существующим онлайн-генераторам.

Владеть сайтом онлайн генератором зачастую означает владеть самой seed-фразой, а вместе с ней и доступом к многочисленным кошелькам, seed-фразы к которым были сгенерированы на таких сайтах.

Решение проблемы

Специалисты советуют не пользоваться сомнительными сайтами. Если вы все-таки решили создать seed-фразу, используя онлайн генератор, то после создания данной seed-фразы, ее необходимо изменить, поменяв местами части фразы, отдельные буквы или цифры. Таким образом, чтобы полученная в результате seed-фраза отличалась от того, что было создано онлайн генератором.

В таком случае никто не сможет украсть вашу seed-фразу и получить к ней доступ. Так как свою личную seed-фразу вы создали сами, а онлайн генератор вам только помог сделать это.

Другие кражи

Больше всего краж происходит с криптовалютных кошельков Ethereum. Это связано прежде всего с тем, что сеть Ethereum абсолютна открыта, любой человек даже без специального образования и навыков может узнать, сколько денег содержится на кошельке.

“Фирменный” криптовалютный кошелек Ehtereum myetherwallet.com бьет все рекорды по взломам, совершенным с использованием фишинговых программ, ворующих закрытые ключи или мнемонические фразы.

Источник: https://bitexpert.io/materialy-ot-chitatelej/kriptovalyutnye-koshelki-prodolzhayut-vzlamyvat-i-eshhe-raz-o-bezopasnosti-v-seti/

Взлом биржи. Держите меня семеро, или как обезопасить себя

Лучшие брокеры Описание
№1 Самый большой бонус Самый большой бонус в истории Форекс 1500 $ Возми хотя бы для тренировки
№1 Амаркетс Хороший брокер. Тут я открыл свои ПАММ счета! Есть памм конструктор! Есть лицензии, раздает советников, Есть аналитика и многое другое
№2 Альпари Мой первый брокер. Работает с 1998 года. Есть паммы, ECN, Участвует В ЦРФИН
№3 WELTRADE Лицензированный Брокер, который не кидает клиентов. Вывод за 30 мин. 24/7. Криптовалюта, акции, нефть/золото. Бонус при реге 10/50 $
№4 XM Самый крупный брокер ЕС, более 1 000 000 трейдеров из 200-т стран
№5 Форекс4ю Лучший центовый брокер
№6 Exness Лучший забугорный брокер
№7 EXANTE Это только для профи! Он имеет лицензию от MiFid, это очень круто. Дает выход на все мировые биржи, фондовые, товарные. Но минималка 10 000$
№8 NPBFX Крутяк! Через него можно раздавать сигналы через ZuluTrade, RoboX, MirrorTrader, Myfxbook AutoTrade, Signals MetaQuotes. Кто в теме, тот поймет! Иногда продажа сигналов перекрывает сам заработок на торговли ) Наберите 100 подписчиков за 10 $ в мес )) а если больше

Я думаю, если вы интересуетесь криптовалютным рынком, то уже слышали историю, как в январе произошел взлом биржи CoinCheck. В результате, это событие заставило карманых инвесторов похудеть почти на пол миллиарда долларов.

Но одновременно с этим, данное событие произвело сильнейший удар по имиджу криптовалютного направления. Отмечу, что 5-го марта проследовала реакция, и японские биржи опасаясь взлома объединились в одну организацию. Она должна будет решать не только вопросы регулирования. Будет и всячески бороться против внешнего врага в виде хакеров.

Провожу бесплатное обучение на Форекс

Я ВебМастерМаксим провожу консультирование по заработку на Форекс! Вы с легкостью повторите мой путь! Интересует?

Форекс обучение

Все, что связано с блокчейн, так или иначе, но набирает популярность, и, конечно, это привлекает потенциальных мошенников. Пока криптовалютные биржи и держатели криптовалют проявляют безалаберность в рамках хранения активов, все больше всплывает историй о взломах и обманах.

Как пчелы на мед

Взлом биржи как что-то обычное.

Согласно многочисленным отчетам, настоящим лакомым кусочком для хакеров и мошенников являются различные блокчейн-проекты. Я думаю, вы и сами слышали, как различные ICO постоянно атакуются хакерами.

Кстати про суть ICO читай по ссылке! Кроме того, крупные криптовалютные биржи атакуются не в меньшей степени, но, как правило, после того, как происходит взлом биржи – убытки бывают куда более внушительными.

Вы даже запросто сможете в интернете найти кучу историй того, как хакеры взломали ту или иную биржу. Независимо от того, какой масштаб у биржи, какая у нее защита, как показала практика, хакерам все ни по чем И взлом очень возможен. Это настораживает и явно показывает нам, что на темной стороне работают далеко не глупцы.

Очевидно, что отсутствие правового регулирования и отсутствие явных норм создает благодатную почву для различных хакеров и мошенников. Очевидно, что права рядовых инвесторов не защищены и ни одна биржа не может дать гарантии сохранности средств, существует серьезная вероятность взлома биржи.

Ловись, рыбка!

Взламывают биржи по-разному.

В чем же может быть уязвимость блокчейн при атаке? Начну с того, что пользователи наивно полагают, якобы, все, что связано с криптовалютой или блокчейн – это уже безопасно по умолчанию. А тем не менее такая тема, как воровство криптовалют — совершенно не новость.

Вообще, никто не уделяет должного внимания ни архитектуре, ни программному коду. Кроме того, как показала практика, умные контракты тоже не обеспечивают надежный уровень защиты.

Безопасность умных контрактов все-равно что взлом бирже по опасности!

В феврале различные специалисты провели расчеты и выявили, что из 1 миллиона контрактов Эфириума, порядка 35000 обладают критическими недостатками.

Кстати, представители одного колледжа из Лондона провели свое расследование и проверили 3000 контрактов Эфириума.

Порядка 89% процентов из них оказались с серьезными багами, что, теоретически позволило бы украсть порядка 6 миллионов долларов! Ещё есть такое понятие как худшие криптовалюты. Оно конечно чуть попсовое, но я полагаю, что в нем много интересного!

Взлом биржи DDOS. Даешь повышенную безопасность!

Правда, если мы говорим про атаки хакеров, то излюбленными методами остаются Фишинг и DDOS. В рамках DDOS атаки хакеры нагоняют на сервер искусственный трафик, в результате, сервер не выдерживает нагрузки и валится. Вот от такого рода атак как раз очень сильно страдают различные биржи, потому что происходят их взломы.

  • Будущие ICO. Довериться или нет?
  • Скальпинг криптовалют. Интересная тема!

Фишинг. Рыбалка или метод взлома биржи?

Фишинг – это тоже очень старый метод, в рамках которого мошенники создают точную копию какого-то официального сайта, а потом рассылают спам с его пиаром. В спаме может быть дана определенная завлекающая информация, и создана она только с одной целью, чтобы потенциальные жертвы нажали на ссылку, которая находится в письме.

Как только человек делает это, то со своими деньгами он может распрощаться, так как мошенники получат доступ к его аккаунту. По сему, каждый пользователь криптовалютных бирж должен четко понимать, что не стоит нажимать на всякие левые ссылки, которые приходят ему на почту, так как за это можно будет сильно поплатиться.

Взлом биржи — тщетная попытка или дело времени?

Опять же, как показывает практика, взлом биржи для хакеров – это только вопрос времени. Сама биржа может долго рассказывать про свой высочайший уровень защиты от взлома, но в большинстве случаев хакеры все равно своего добиваются и обирают до нитки целую кучу людей. Очевидно, что криптовалютные биржи не могут дать должный уровень защиты и грамотно защитить средства своих клиентов.

Больше про криптопортфель Amarkets тут.

Понятное дело, что различные громкие взломы бирж не только бьют по карману людей, но и создают серьезный удар по имиджу самой сферы. Посудите сами, были бы вы сейчас крупным инвестором и знали, что есть такая тенденция, стали бы вы вкладывать в это направление деньги? Я думаю, что вряд ли бы вы рискнули!

Что делать?

Какие мер применить биржам под страхом взлома?

Ясное дело, что в рамках подобного рода тенденции возникает рациональный вопрос – что делать? В действительности, есть один интересный способ.

В данном случае, любая криптовалютная биржа должна проводить постоянные внешние и внутренние аудиты, чтобы вовремя выявлять подозрительные активности, предшествующие взломам.

Как вы знаете, одна из фундаментальных основ блокчейна состоит в использовании умных контрактов.

Чтоб не быть взломанным нужны серьезные меры!

Понятное дело, что необходимо проводить и постоянную ревизию самого блокчейн. Многие биржи сейчас все чаще с целью защиты начали вводить так называемую двухфакторную аутентификацию. Некоторые биржи в рамках этого вопроса пошли еще дальше, и просят своих пользователей предоставить сканы их документов.

Кроме того, основная часть активов многих криптовалютных бирж хранится на холодных кошельках. То есть, они сосредоточены на носителе, который не подключен ни к какому компьютеру, а определенная часть активов выводится онлайн только при совершении операций.

Криптоквартиры! Больше информации про крипто аккаунт и мошенничества с ним связанные тут.

Как известно, существует три типа лжи: ложь во благо, явная ложь и статистика. Так вот, если верить статистике, то она гласит, что на каждые 1000 строчек кода находится 1 критическая ошибка.

И при этом нет никакой гарантии, что этот самый мелкий баг не будет связан с безопасностью.

Как известно, любая мельчайшая деталь может привести к тому, что карточный домик рухнет и взлом биржи произойдет!

Взлом биржи с идельным кодом.

Эксперты по кибербезопасности отмечают, что даже если разработчики биржи напишут идеальный код, все равно нельзя исключить того факта, что при создании кода они пользовались сторонними ресурсами, где были критические ошибки. Стоит понимать, что любая биржа связана именно с деньгами.

И отдельное место в рамках этого вопроса занимают атаки, связанные с так называемой социальной инженерией. Кроме того, нельзя в рамках этого вопроса исключать человеческий фактор, например, банальная невнимательность приводит к тому, что люди становятся жертвами мошенников.

Причиной взлома биржи часто бывают сами пользователи.

Рядовые пользователи криптовалютных активов часто любят использовать откровенно слабенькие пароли, теряют ключи от своих кошельков или предают эти данные левым людям. В общем, глупая неосмотрительность – этот тот фактор, который в рамках этого вопроса играет важную роль.

В частности, после того, как происходит взлом биржи, сами ее участники могут надеяться лишь на некую порядочность хакеров, что те вернут деньги, но, я думаю, вы и сами должны понимать, что это глупо.

К примеру, если мы возьмем классическую банковскую схему, то если хакеры взломают банк и украдут средства, то сами представители банка смогут отследить несанкционированные транзакции и отменить их, вернув деньги клиентам.

Понятно дело, что в рамках криптовалютной темы такая схема не отработана. В силу анонимности транзакций, возмещение ущерба при операциях по криптовалютам в техническом плане практически невозможна. Да, конечно, бывали истории, когда хакеры возвращали хотя бы часть средств, но надеяться на это глупо.

Подведем итоги по взлому бирж.

В целом взлом биржи- это явление распространенное. Ко взлому биржи уже не стоит относится, как к чему-то очень необычному. Похоже, взлом биржи уже давно следовало бы отнести к несистемным рискам. Получается, что взлом биржи — это часть всего бизнеса с ними связанного. Когда прекратятся взломы бирж, похоже, сами биржи существовать перестанут и взламывать уже будет нечего!

Выводы

Как вы можете сами догадаться, в сфере криптовалютных бирж не все так гладко, как хотелось бы, очень много вопросов, на которые стоит обратить внимание. Права инвесторов тут совершенно не защищены, но при этом каждый инвестор должен не забывать про личную безопасность.

Ясное дело, что не нужно передавать свои данные левым людям, да и средства стоит хранить преимущественно на холодных кошельках. Просто многие люди не заморачиваются, и хранят деньги прямо на бирже, а потом получается, что получается. Всегда нужно быть осмотрительным и следить, что происходит вокруг вас самих.

(4

Источник: https://WebMasterMaksim.ru/kriptovalyuta/vzlom-birzhi.html

Как создать и защитить биткоин-кошелек?

Поделится

Любой, кто впервые решил купить bitcoin, сразу же сталкивается с непростым вопросом — куда лучше поместить купленные биткоины, как выбрать для них надежный, удобный и безопасный биткоин-кошелек?

Попробуем разобраться, как создать биткоин-кошелек, чем отличаются биткоин-кошельки разных типов, и какой из них будет оптимальным выбором для начинающего пользователя.

Чем отличаются и как создаются биткоин-кошельки разных типов?

Биткоин-кошельки упрощенно можно разделить на два типа — локальные и онлайн-кошельки.

Локальный биткоин-кошелек хранится на устройстве пользователя: обычно на компьютере или смартфоне, но иногда и на специализированных устройствах, таких, как аппаратные кошельки Ledger, Trezor или Keepkey.

Для создания локального биткоин-кошелька скачивают и устанавливают специальное программное обеспечение. При создании биткоин-кошелька «тяжелой» разновидности придется скачать еще и так называемый блокчейн, который «весит» несколько сотен гигабайт.

Иногда процесс скачивания «тяжелого» кошелька растягивается на несколько суток. При установке «легкого» кошелька этой сложности можно избежать.

Онлайн-кошелек — это кошелек, доступ к которому дает тот или иной интернет-сервис (либо узкоспециализированный сайт для хранения биткоинов, либо криптовалютная биржа, на которой, помимо операций покупки и продажи криптовалют, можно хранить их в предоставляемых кошельках).

Физически файл кошелька хранится на серверах упомянутого сервиса. Управление онлайн-кошельком осуществляется либо с помощью клиентской программы, либо просто через браузер на устройстве владельца биткоинов.

Для того, чтобы открыть биткоин-кошелек в интернете, нужно зарегистрироваться на том или ином сервисе, а иногда — пройти сложную процедуру подтверждения личности. Впрочем, есть ряд сервисов, где получить биткоин-кошелек можно после самой простой регистрации.

В их число входит и биржа EXMO, обладающая многолетней положительной репутацией надежной и удобной торговой платформы.

Где лучше создавать биткоин-кошелек?

Локальный биткоин-кошелек не очень подходит для хранения биткоинов, если их владелец технически неопытен или иногда забывает пароли.

Если владелец забудет пароль и сид-фразу к «легкому» биткоин-кошельку, биткоины будут потеряны безвозвратно, то же произойдет, если при поломке или взломе ПК будет утрачен файл «тяжелого» кошелька.

Для неопытного человека более предпочтительно использовать для хранения биткоинов онлайн-сервис, при условии, что будет выбран технически надежный, взломоустойчивый ресурс, обладающий хорошей деловой репутацией.

Криптовалютная биржа является отличной альтернативой биткоин-кошельку. Так, на криптовалютной платформе EXMO можно не только легко и просто приобретать различные криптовалюты, но и хранить их на вашем биржевом счете.

Источник: https://Sergei-Loginov.com/kak-sozdat-i-zashhitit-bitkoin-koshelek/

Примеры взлома WebMoney кошельков и настройки безопасности, способные снизить его вероятность (блокировка по IP)

Здравствуйте, уважаемые читатели блога KtoNaNovenkogo.ru. Сегодня будет, как и обещал ранее, статья посвященная безопасности работы с WebMoney (мало заработать деньги в интернете, описанными тут способами, их надо еще и сохранить). Когда я только начинал знакомиться с электронными деньгами, то первое, что бросилось в глаза — огромное количество заявлений про взлом кошельков.

Но, как водится, зная, что опасность существует и на данные грабли периодически наступают все новые и новые пользователи этой самой популярной в рунете системы, я упорно пренебрегал всеми сообщениями WebMoney Keeper Classic, о работе с которым речь шла здесь о том, что в настройках безопасности имеются существенные недоработки.

Взлом WebMoney вполне реален и опасен

Ну, некогда мне было заморачиваться с этими дурацкими предупреждениями глупой программы. Главное, чтобы работало, а о безопасности пусть Вебмани думают, ведь она сама пропагандирует, что взломать их сервера или программу практически не возможно. Ну, а если взлом вебмани невозможен, то значит и не стоит тратить такое дефицитное для любого блогера время на всякую там ерунду.

К тому же, по началу, электронных валют на этих кошельках практически и не было. К всплывающему окну с сообщением из Кипера о том, что в настройках безопасности имеются бреши, я привык и закрывал его уже на автомате. Так продолжалось около полугода, причем размер счета постепенно рос, что меня приятно грело и очень радовало. Про плохое я уже и думать забыл.

Но вот, в один не очень прекрасный день, я не смог войти в свой Keeper Classic, т.к. мне постоянно выдавалось сообщение о том, что пароль не подходит к данному WMID. В общем-то я практически сразу понял откуда ноги растут, ибо читал не раз о таком развитии событии при взломе.

И уже с отчаянием утопленника начал переписку со службой техподдержки в надежде разъяснить ситуацию (Кипер Классик сам предлагает перейти по нужным ссылкам, для выяснения сложившейся ситуации).

Дело осложнилось тем, что я уже забыл, какой именно контактный E-mail указывал при регистрации и входе в Веб мани, а это было очень критично в возникшей ситуации, ибо в техподдержке настаивали, чтобы я написал запрос именно с указанного во WMID почтового ящика (чтобы они могли хоть как то убедиться в том, что я действительно являюсь владельцем этих кошельков).

Процесс вспоминания затянулся почти на целый день, а ответ от техподдержки WebMoney я получил уже ночью. Меня спрашивали, не менял ли я файл ключей пару дней назад. Я его не менял вообще никогда, поэтому это окончательно убедило меня в том, что плакали мои электронные денежки.

Само собой, что я все равно подал запрос в Арбитраж, сообщил персональные данные указанные при регистрации (по-моему, даже скан паспорта потребовался, но возможно, что это уже на этапе восстановления доступа к своему WMID нужно было).

Ответ из арбитража был не утешительным — мне сообщили номера кошельков на которые были переведены электронные деньги с моих WM кошельков и посоветовали обратиться в милицию с заявлением по факту кражи, ибо деньги оттуда уже были успешно выведены через Билайн (телефоны тоже были приведены).

В милицию я обращать не стал, ибо как то не хотелось заморачиваться со всем этим, да и к тому же у меня тогда еще не был оформлен ИП, статус которого позволял бы на законных основаниях зарабатывать в сети. В общем, умылся я и продолжил дальше заниматься тем, чем и занимался, но только теперь к вопросам безопасности WebMoney у меня особое отношение (обжегшись на молоке — на воду дую).

Основным средством защиты от взлома я сейчас считаю подключение E-num, о котором написал эту статью, но тем не менее, и теми средствами, о которых пойдет речь в этой статье, тоже пренебрегать не стоит.

Опасность потерять свои деньги вас преследует не только при совершении обмена электронной валюты, но и в любое другое время, когда вы даже не работаете со своими кошельками.

В связи со всем выше сказанным, в этой статье я хочу поделиться с вами теми настройками безопасности, которые сделал или собираюсь сделать. Возможно, что этого будет все же не достаточно для того, чтобы электронные деньги на моих кошельках чувствовали себя как в сейфе, но по сравнению с тем полным пофигизмом, что я проповедовал в начале своей работы с WebMoney, это уже огромный шаг вперед.

Надеюсь, что и вы, уважаемые читатели, поделитесь в комментариях своими наработками по этому поводу.

Возможно, что мои слабые познания в способах взлома и кражи денег с Вебмани кошельков заставляют меня делать неправильные выводы, но мне кажется, что слабым звеном, позволившем в моем случае украсть средства со счета, был абсолютно ненадежный пароль на тот почтовый ящик, который был указан, как контактный при регистрации в WM.

Получив к нему доступ злоумышленник смог инициировать смену файла ключей. Нужно ли для этого еще использовать и какой-то троян, я не знаю.

Возможные способы повышения безопасности WebMoney

Но вот пароль к почтовому ящику типа 12345 или qwerty, можно считать приглашением всех нечистых на руку мошенников поживиться за ваш счет. На него я подумал еще и потому, что одновременно мне пришло письмо с какого-то сервиса о том, что я запросил смену пароля, хотя такого не было.

В общем, решив перестраховаться, поменял на всех своих ящиках и ящиках моих домашних пароли на сверхсложные, как я надеюсь, для взлома. Понимаю, что не панацея, но все же уже кое-что. Для генерации сложных паролей я использовал эту программу, ну и для их хранения она тоже очень хорошо подходит.

К тому же я запретил хранение почты на почтовых серверах. Т.е. после того, как используемая мною почтовая программа засосала всю новую корреспонденцию, эти самые письма на сервере затираются. Нечего хранить важные данные там, где ее любой умелый хакер может прочитать.

Я использую для работы Гмайл, про который писал тут. В нем можно активировать двухступенчатую аутентификацию с использованием номера мобильного телефона, которая сделает ваш ящик практически неуязвимым. Как это дело подключить, читайте в приведенной статье.

Правда, и компьютер не является панацеей, хотя, если использовать TrueCrypt для шифрования почтовой базы, то однозначно спать можно будет спокойно, ибо даже сами хакеры используют эту программу для шифрования своей переписки и скрывания вообще любых файлов. Очень рекомендую обе программы к активному использованию, ибо у них открыт исходный код и заведомо нет никаких черных ходов.

В общем, начинать обеспечение безопасности стоит, наверное, не конкретно с WebMoney, а именно с обеспечения общей безопасности работы с вашей электронной почтой и операционной системой в целом. А уже потом можно будет, не волнуясь за тылы, переходить к затыканию дыр в системе электронных валют.

Самым весомым действом, безусловно, является использование авторизации через Enum (специально предназначенный для абсолютной защиты — читайте об этом в приведенной чуть выше статье), но и теми элементарными настройками безопасности, которые предлагает сама система WebMoney, тоже не стоит пренебрегать.

Правда, даже авторизация через Enum с максимальной степенью защиты не будет являться стопроцентной гарантией защиты от взлома. Всегда может быть использован социальный инжиниринг, который может подтолкнуть пользователя самого совершить действия, которые не может совершить злоумышленник.

Был громкий взлом WebMoney кошелька с авторизацией через Enum и там сработал именно такой вариант взлома — якобы от имени системы товарища попросили настроить доступ к своему WMID через кипер лайт, тем самым получив возможность украсть очень приличную сумму в электронных валютах (половина миллиона в рублях, как я понял).

При любых просьбах на совершение вами каких-либо действий по изменению настроек в Вебманях, не лишним будет потратить минутку на то, чтобы связаться с техподдержкой и уточнить, действительно ли от них исходила такая просьба. Но мы часто бываем настолько замотаны и задерганы, что даже и мысли о проверки выполняемых действий не возникает — делаем все на автомате, лишь бы отстали. Да и вариантов развода очень много.

Радикальным способом защиты своих кровно заработанных, кроме полного отказа от использования системы (в сложившихся условиях это практически не возможно), будет незамедлительный вывод денег в реал, сразу же после поступления их в кошелек. Но это не всегда удобно и возможно сделать, поэтому давайте рассмотрим некоторые превентивные меры, которые смогут существенно снизить вероятность взлома.

WebMoney Security — блокировка по IP

Одним из самых эффективных способов является блокировка доступа по IP. Если ваш интернет провайдер предоставляет вам выделенный IP адрес, то считайте, что вам очень повезло, т.к. в этом случае будет очень просто и, что важно, эффективно осуществить блокировку.

Интернет провайдер предоставляет мне динамический IP, который будет меняться в определенном диапазоне при каждом новом подключении к интернету, то настроить блокировку доступа таким образом будет сложнее, но тоже вполне реально. Я выхожу в интернет через Стрим, который предоставляет как раз именно такой вариант.

Но на сайте Стрим можно увидеть диапазон используемых им IP адресов, а следовательно, можно будет составить с помощью маски подсети вполне удобоваримые диапазоны айпишников, которым будет разрешен доступ к WebMoney.

Всем, кто захочет подключиться к их серверам с других адресов, не входящих в этот диапазон, в доступе будет отказано. Теперь взломщик должен выходить в интернет тоже через Стрим, что существенно снижает сектор обстрела.

Итак, давайте перейдем от теории к конкретике. Блокировку доступа по IP можно настроить в сервисе WebMoney Security, который предназначен именно для подобных вещей. Естественно, что прежде, чем приступить к настройкам, вам придется авторизоваться на сервисе.

На вкладке «журнал подключений» вы сможете увидеть список айпишников с которых вы подключались к серверам Вебмани. Если он у вас статический, то можете его скопировать прямо здесь. Если вы работаете с электронными деньгами еще с каких-либо компьютеров (офис, дом или еще где), то вы сможете найти эти IP в этом же списке журнала подключений.

Теперь перейдите на вкладку «блокировки». Для начала добавьте в нижней части окна те адреса, с которых будет разрешен доступ к серверам авторизации. Выберите тип добавляемого айпишника, поставив галочку в положение «Фиксированный IP» или «Подсеть». Я выбрал вариант «подсеть» и добавил начальные адреса и маску, по которой можно вычислить весь диапазон возможных значений:

Для преобразования IP из вида диапазона начального и конечного адресов в вид, где указывается только начальный и маска сети, можно использовать какой-нибудь онлайн сервис для расчета маски. К сожалению, у меня не сохранились ссылки на тот, которым воспользовался я для этого дела. Хотя, все это можно сделать и самому.

После того, как вы закончите добавление айпишников или подсетей в форму блокировки доступа, вам нужно будет активировать (включить) эту самую блокировку в WebMoney Security.

Для этого в верхней части окна вкладки «блокировки» нужно нажать на кнопку «Включить», перед этим не забыв вставить в поле «Email, на который высылается код разблокировки» адрес почтового ящика, который сможет вас спасти в том случае, если вы вынуждены будет заходить с другого айпишника, а не с того, который указали в настройках (поменялся провайдер или возник какой-либо другой форс мажор).

В этом случае на указанный вами Email будет выслано письмо, в котором будет содержаться ссылка для снятия блокировки. Вы сможете авторизоваться в вашем WebMoney Keeper Classic и изменить настройки.

Кроме Email вы можете указать номер телефона, на который будет выслан код отмены в виде SMS сообщения, что существенно повысит надежность, т.к. получить несанкционированный доступ к сотовому телефону значительно сложнее, чем к почтовому ящику.

Для этого вам нужно будет нажать на кнопку «Разрешить отправку кода разблокировки на телефон», номер вашего мобильника будет взят из данных вашего аттестата в Вебмани. Следовательно, если хотите изменить номер, на который будет высылаться код снятия, то вам нужно будет изменить данные вашего аттестата.

Так же в сервисе WebMoney Security можно активировать ENUM авторизацию через специальный сервис, благодаря которому можно использовать для авторизации не какие-либо программы или почтовые ящики, а сотовый телефон, который, в общем-то, дает практически стопроцентную гарантию безопасной работы с электронными деньгами.

Но предварительно нам понадобится зарегистрироваться в E NUM, как описано в этой статье, и привязать номер телефона к своему почтовому ящику.

Можете также посмотреть видео на тему сбережения Веб маней в целости и сохранности:

Удачи вам! До скорых встреч на страницах блога KtoNaNovenkogo.ru

* Нажимая на кнопку «Подписаться» Вы соглашаетесь с политикой конфиденциальности.

Подборки по теме

Использую для заработка

Рубрика: Осваиваемся с интернет-деньгами

Источник: https://KtoNaNovenkogo.ru/zarabotok_na_saite/dengi/bezopasnost-zashhita-vzlom-webmoney-koshelkov-webmoney-security-blokirovka-po-ip.html

Ссылка на основную публикацию