Кража электронных денег

Крис Касперски ака мыщъх

Спецвыпуск: Хакер, номер #061, стр. 061-064-8

С остальными браузерами еще проще. Берешь исходники FireFox и создаешь хакерский мини-браузер на их основе, который ничего не выводит на экран, но с кошельками работает только так. Правда, среди пользователей WebMoney не так уж много поклонников FireFox, но это все же лучше, чем совсем ничего :). Кстати, пусть приверженцы IE не чувствуют себя в безопасности: исходные тексты W2K были украдены уже давно, и создать свой клон IE на их основе вполне реально, не говоря уже о том, что IE - это просто набор DCOM-объектов - собрать свой браузер на их основе сможет даже начинающий.

А что если импортировать сертификат перед каждым открытием кошелька, а затем удалять его из хранилища? Действительно, это до некоторой степени увеличит защищенность. Однако хакерская программа может либо дожидаться появления окна "WebMoney Keeper :: Light Edition" (сигнализирует о том, что пользователь вошел в систему), либо шпионить за клавишами, передавая секретный пароль вместе с сертификатом по Сети. Так что электронные деньги все равно остаются в щекотливой ситуации...

Надежность авторизации по сотовому телефону

Последним писком моды стала система авторизации с помощью сотового телефона. При регистрации в службе ENUM (http://enum.ru) на твой мобильник устанавливается специальное Java-приложение (мидлет). Приложение называет себя Enum Client, принимает пятизначные числа (например 09652) и генерирует на их основе ответ, причем алгоритм генерации уникален для каждого пользователя. Если у владельца кошелька нет сотового телефона, подойдет Pocket PC или любое другое устройство с поддержкой Java.

Служба ENUM позволяет совершать покупки через сервис Merchant (https://merchant.webmoney.ru), вообще не прибегая к Keeper'у (ни к классическому, ни к облегченному). Считается, что взломать электронный кошелек и похитить наличность в этом случае уже не удастся. "Мошенники и вирусописатели используют интернет для кражи ценной информации с наших компьютеров. Но какую бы защиту мы ни изобрели - файрволы, антивирусы, антикейлоггеры, антитрояны, сертификаты - всегда есть теоретическая вероятность ее обхода и кражи паролей с компьютера, потому что и хакеры, и защитные инструменты используют ОДИН И ТОТ ЖЕ канал - интернет. И проблема интернета состоит в том, что не существует альтернативного канала хранения-передачи информации. ENUM решает эту проблему, предоставляя нам тот самый другой канал. Хакер может влезть на компьютер, "подсадить" троянский вирус, но он не сможет влезть в мобильный телефон. Угадать же, по какому уникальному для каждого пользователя алгоритму Enum Client из одного числа получает другое, тоже нельзя", - взято с http://owebmoney.ru/enum.shtml.