E-money: доверять или нет?

Крис Касперски ака мыщъх

Спецвыпуск: Хакер, номер #061, стр. 061-058-8

Аттестаты

Существуют аттестаты различных уровней. "Аттестат псевдонима" выдается всем, кто зарегистрируется в системе. Формальный аттестат - всем, кто пожелал предоставить информацию о себе в Центре Аттестации. Начальный и Персональный аттестаты выдаются только за деньги (электронные) и только после проверки всех сведений Аттестатором. Как правило, требуют показать паспорт при личной встрече или выслать нотариально заверенное удостоверение. Стоимость аттестации колеблется от 5-ти до 20-ти долларов. Еще существуют аттестаты продавца/разработчика, регистратора, гаранта, оператора, но они менее интересны, поскольку мало кто пользуется ими.

Можно ли подделать аттестат? Чисто теоретически вполне возможно, так как это обычный сертификат, заверенный цифровой подписью. В данной области криптографы совершили прорыв еще лет пять назад, к тому же аппаратные мощности за последнее время значительно возросли, так что... Впрочем, можно пойти и по другому пути. Если сотрудники МВД неоднократно были замешаны в выдаче "левых" паспортов по непроверенным данным (статья!), то получить "нужный" аттестат можно куда за меньшее вознаграждение: с юридической точки зрения это не есть документ, и его "подделка", равно как и халатность, не будет сочтена преступлением при проверке регистрационных сведений. К тому же аттестаторы - не эксперты по безопасности, и закинуть на их компьютер программу, выдающую аттестаты от их имени, способен любой хакер. Достаточно просто вступить в переписку по e-mail, выцарапать из заголовка IP, запустить сканер безопасности и убедиться, что у них стоит незалатанная Windows с дырявым IE. А у некоторых даже находят целый табун заброшенных кем-то троянских коней :).

Аттестаты придуманы только для самоуспокоения и для честных людей. До тех пор, пока аттестат не будет признан юридическим документом (если когда-нибудь это время наступит, то нескоро), от виртуальных платежей лучше воздержаться. Риск нарваться на мошенника слишком велик, тем более что практически всегда можно найти альтернативные способы оплаты (наложенный платеж, кредитные карты и т.д.). Основное отличие кредитной карты от WebMoney состоит в том, что если по твоей кредитке будет сделана покупка, которую ты не совершал, с высокой степенью вероятности банк все-таки вернет деньги, а сотрудники WebMoney только разведут руками.

Вердикт

Очень часто пользователи системы WebMoney оказываются в ситуации: есть деньги, но нет возможности воспользоваться ими, а для платежной системы это фатально. Невозможность оплатить счет, быстро ввести или вывести деньги из системы равносильна их отсутствию. WebMoney требует глубокой начальной подготовки, которая опять-таки неприемлема для нефинансовых работников. Многие не хотят разбираться, как все это работает, кто такие обменники/биржи и где их искать. Человек имеет деньги и хочет совершить покупку, не вставая со своего кресла. Возможно ли это? В общем случае - нет и еще раз нет! Платежи через WebMoney имеют крайне ограниченную сферу применения и крайне небезопасны. Разработчики однозначно не знают, как создаются и взламываются защитные механизмы, поэтому кража электронных денег не представляет никакой проблемы. Опытный мошенник легко обчистит кошельки и в считанные минуты выведет деньги из системы так, что их будет не вернуть. Забавно, но WebMoney намного более дружественна к хакерам, чем к честным пользователям :).