Виртуальный метаболизм

Спецвыпуск: Хакер, номер #061, стр. 061-040-4

2. Чтобы обеспечить абсолютную конфиденциальность сделок, при каждом сеансе генерируются уникальные сеансовые ключи.

Безопасность системы "Яндекс.Деньги" опирается на криптографический алгоритм RSA с длиной ключа 1024 бит. Каждая финансовая операция заверяется подписью процессингового центра системы, а сообщения шифруются и подписываются с помощью ПО отправляющей стороны.

Довольно эффективная защита. Так что на вооружении е-money-грабителей остаются лишь методы социальной инженерии либо перехват реквизитов с помощью троянов, кейлоггеров и т.п. Чтобы пользователь добровольно скачал себе троян, придумывают массу разных "интересных предложений" - от надоевшего всем генератора WM до всяческих рабочих приложений, в которые вшит троян. Если жертва заражена успешно, хакер получает всю (или отфильтрованную) информацию, в том числе ключи, аккаунты и проч. Но впереди хакера ожидают другие проблемы…

Эти платежные системы значительно отличаются от систем управления счетом, при взломе которых достаточно перехватить ключевую информацию (номер кредитной карты и т.п.) – это и есть доступ к счету. Поэтому, например, для хакающего "Яндекс.Деньги" получение и расшифровка информации - только полдела, а вторая половина – это вскрытие добытых ключей. Разоблачить ключ длиной 1024 бита в разумные сроки практически нереально, так что нужно охотиться за незашифрованными данными.

Для пользователей можно выдвинуть предложение: "Пришли на такой-то кошелек такую-то сумму и тут же получишь взамен сумму в два раза больше!" Самое удивительное, что многие откликаются на просьбы :), особенно если ты не забираешь деньги сразу, а завлекаешь дальше, действительно переводя клиенту нужную сумму.

Обмен валюты тоже не обходится без мошенников. Оригинальный способ заполучить деньги у доверчивых пользователей – создать фальшивые обменные пункты, в которых предлагается обменять одну электронную валюту на другую по заманчивому курсу. Но для начала выгодного обмена нужно от пользователя требуют скачать и установить специальную программу, под которой скрывается троян, с помощью которого и опустошается кошелек жертвы.

Появление электронных обменных центров закономерно, их "породил" активный оборот электронных денег на просторах всемирной паутины. Обменники появились сравнительно недавно, поэтому их использование затруднено, а механизмы обмена недостаточно проработаны. Но как все новое и стремительно развивающееся, электронные обменные пункты с каждым днем становятся доступнее, а электронная наличность - ликвиднее.

Онлайновых обменников много, но далеко не всем можно доверять. Прежде всего смотри, как давно они работают.

Не ищи минимальный процент – не рискуй, иначе останешься с носом.

Иногда конфиденциальность важнее, чем процент за обналичку.

При выводе денег из системы гарантии отсутствуют, так как не заключается никакого договора на услугу.

Защита платежных систем достаточна крепкая, поэтому ее пробивают, как правило, только социальной инженерией.

Реквизиты перехватывают с помощью троянов, кейлоггеров и сниферов.