Кража электронных денег

Крис Касперски ака мыщъх

Спецвыпуск: Хакер, номер #061, стр. 061-064-2

По завершении регистрации нам присваивается уникальный 12-значный идентификатор WMID (Web Money ID) и пара сгенерированных ключей. Открытый ключ передается на центральный сервер оператора WebMoney, а секретный сохраняется в файле с расширением *.kwm (Key of Web Money), который может быть расположен на жестком диске, сменном носителе или смарт-карте. Как видишь, обыкновенная несимметричная криптография типа PGP.

Плюс ко всему создается файл *.pwm, хранящий сведения о кошельках (текущий баланс, история операций и т.д.). В принципе он необязателен, так как вся информация расположена на центральном сервере оператора. Keeper может работать и без PWM-файла, автоматически подгружая данные из Сети, правда, только за последние три дня. Собственно, KWM-файл тоже необязателен и его можно восстановить, для чего необходимо знать пароль, иметь доступ к почтовому ящику, указанному при регистрации, а также нотариально заверенное заявление, что ты не лось (подробнее об этом по ссылке www.owebmoney.ru/returnkey.shtml). Чисто теоретически, хакер может хакнуть твои денежки только на основе пароля, но практически – для него это слишком хлопотно и небезопасно.

Секретной информацией, регламентирующей доступ к кошельку, является один лишь kwm-ключ. WMID везде публикуется открыто, и это нормально. Зная WMID, можно узнать регистрационные данные пользователя, которые он пометил "открытыми", но нельзя определить номер его кошелька (кошельков).

Номер кошелька - это условно-секретная информация. Зная номер кошелька, ты не сможешь вытащить из него деньги, но сможешь выставить счет, заполнив поле "описание покупки" как можно более правдоподобно. Конечно, дурацкий способ, но есть некоторый шанс, что он пройдет. Пользователи, регулярно оплачивающие множество мелких счетов, постепенно привыкают не обращать внимания на них и проверяют графу "от кого" только при возникновении сомнений.

Кража KWM-файлов процветает. По умолчанию ключи сохраняются в keys.kwm, но в принципе имя файла может быть любым, как, впрочем, и расширение. Большинство хакеров и троянских программ производит тупой поиск по маске *.kwm, поэтому переименование файла ключей в dontreadme.txt до некоторой степени увеличивает защищенность. Однако продвинутые хакеры могут залезть в реестр, где Keeper хранит свои настройки, и подсмотреть путь к файлу. Еще можно искать по его содержимому, сканируя все файлы (правда, это займет много времени и вызовет подозрительную дисковую активность). Гурманы наверняка перехватят вызов API-функции CreateFile, показывающей, какие файлы открывает Keeper. И даже если формат настроек реестра в последующих версиях будет изменен, вариант с CreateFile продолжит работать. Хинт: если бы разработчики не были идиотами, они бы создали несколько файлов с ключами: один подлинный, все остальные - сторожевые датчики, при обращении к которым раздается сигнал тревоги :).