• Добро пожаловать на инвестиционный форум!

    Во всем многообразии инвестиций трудно разобраться. MMGP станет вашим надежным помощником и путеводителем в мире инвестиций. Только самые последние тренды, передовые технологии и новые возможности. 400 тысяч пользователей уже выбрали нас. Самые актуальные новости, проверенные стратегии и способы заработка. Сюда люди приходят поделиться своим опытом, найти и обсудить новые перспективы. 16 миллионов сообщений, оставленных нашими пользователями, содержат их бесценный опыт и знания. Присоединяйтесь и вы!

    Впрочем, для начала надо зарегистрироваться!
  • 🐑 Моисей водил бесплатно. А мы платим, хотя тоже планируем работать 40 лет! Принимай участие в партнеской программе MMGP
  • 📝 Знаешь буквы и умеешь их компоновать? Платим. Дорого. Бессрочная акция от MMGP: "ОПЛАТА ЗА СООБЩЕНИЯ"

У меня взломали аккаунт в перфект - Страница 4

12andrey12

Любитель
Регистрация
01.09.2010
Сообщения
158
Реакции
467
Поинты
0.000
Часто при взломе платежных систем при перезагрузке происходит подмена файл hosts. Подскажите пожалуйста есть ли вирусы, которые оставляют оригинальный файл hosts без изменений, а строку для перехода на фишинговый сайт, например, Perfect Money прописывают в другом файле на локальном диске?
 

monhyip

ТОП-МАСТЕР
Регистрация
22.12.2007
Сообщения
120,358
Реакции
7,555
Поинты
33.410
Ломаю уже несколько часов голову как могли взломать у меня аккаунт PM. Начнем по порядку хакер взломал почту gmail, взломал Liberty (с этой платежкой все понятно - дырявая и легко высылается пароль на почту). Идем дальше по истории в аккаунте pm можно увидеть что взломщик зашел за аккаунт --> ввел пин высланный на почту --> поменял что-то в профайле --> поменял через обменник т.е. оплатил через sci интерфейс на либу.

Так вот вопросы мошенник не восстанавливал пароль на Perfectmoney он зашел сразу зная уже пароль. Пароль у меня написан только в одном месте на моем компьютере! Но то что он достал его из этого места исключено, т.к. в данном месте есть и другие пароли к платежкам которые не были взломаны.

Т.е. вывод мошенник взломал почту, после этого взломал аккаунт либерти что не составит труда зная почту, в тоже время он украл все с perfectmoney.

Так вот появляется несколько вопросов: как мошенник мог узнать пароль от аккаунта perfectmoney если он не высылается на почту? И доступа к месту на компьютере где хранится пароль также у мошенника небыло.
Также в аккаунте была включена кодовая карта!!! Которую нельзя отключить не зная этой же кодовой карты. Кодовая карта также хранится в компе в определенном месте.

Заход на фишинговый сайт также исключен, т.к. по ссылкам в письмах не перехожу, а инвестиции в hyip проект через PM делал последний раз несколько дней назад и проверил еще раз что в проекте сайт нормальный.
По письмам на почте (туда приходят письма о высылке pin кода если бы отключали кодовую карту и т.д.) приходили письмо с pin кодом для входа в аккаунт. Далее пришло письмо с надписью

This is to inform that your profile data was changed by you or by someone logged in using your login and password on 02.25.11 12:15 from IP 188.23.12.110.

Данное письмо гласит о том что нам что-то изменили в моем profile. Напомню что изменить в profile можно только зная кодовую карту (но тут есть одна фишка), что при изменении он пишет всегда одну и туже цифру из кодовой карты т.е. подбором можно подобрать, но это долго (в кодовой карте шестизначное число).
Что можно было изменить в профайле - там нет ничего особенного кроме пароля и почты, (при изменение пароля старый не нужен). Но напомню что когда украли деньги пароль изменен не был, значит паролья не меняли. Также и почта не была изменена.

Вообщем я так и не понял как мошенник смог получить доступ к аккаунту в Perfectmoney, а после этого еще и деньги отправить.
 

Haker

Специалист
Регистрация
04.12.2008
Сообщения
1,518
Реакции
36
Поинты
0.000
monhyip, очень интересный случай. Возможно нашли уязвимость в самой PM?
 

monhyip

ТОП-МАСТЕР
Регистрация
22.12.2007
Сообщения
120,358
Реакции
7,555
Поинты
33.410
monhyip, очень интересный случай. Возможно нашли уязвимость в самой PM?
Не знаю возможно, еще я был очень удивлен. Когда мошенник вошел в аккаунт (напомню что к api интерфейсу пароль такойже как в аккаунт) можно было бы сразу пойти и просто перевести все деньги через api интерфейс! Но там нужно было еще в аккаунте добавить свой ip (т.к. у меня стоит огранчиение по Ip для доступа к api интерфейсу), но мошенник почему то не поспользовался этим.

Скопирую историю из ПМ:
12:19 25.02.11 User Logout
12:19 25.02.11 Account Transfer -224.6 Sent Payment: 224.6 USD to account U1131684 from U1426715. Batch: 4941155. Memo: Shopping Cart Payment. Exchange to Liberty Reserve for U7675013.
12:19 25.02.11 SCI Login SCI Login IP : 188.23.*.*
12:15 25.02.11 User Login Login IP : 188.23.*.*
12:15 25.02.11 User Change Profile was edited
12:13 25.02.11 Security Send Send PIN code. E-mail *******@gmail.com

Также забыл написать что отправил вопрос поддержке Perfectmoney чтобы они посмотрели более подробно логи как такое могло случится...

Еще раз подтверждается что Perfect money это не LR --> саппорт ответили
> Hacker's IP address is 188.23.12.110.
> Hacker's other e-currency accounts: U7675013
> Hacker's User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:2.0b11) Gecko/20100101 Firefox/4.0b11
> Time: GMT+1
>
> 1. Time when hacker logged first time to your account is 02/25/11 12:13:54.
>
> 2. System sent PIN code to email [email protected]
> Hacker successfully entered the correct PIN code.
>
> 3. Time when hacker changed your profile information is 02/25/11 12:15:28.
> Profile modification: hacker changed the password of your account.
>
> 4. Time when hacker logged out from your account is 02/25/11 12:19:58.
>
> 5. Time when hacker sent money from your account via SCI to exchanger is 02/25/11 12:19:58
> The transaction has been confirmed by entering a valid code-card number.
>
> This is the last operation of hacker.
>
> We found no other operations with Liberty Reserve account U7675013.
> We found no other member accounts with IP 188.23.12.110.
> We found no activity of hacker in your other accounts in the system.
>
> There are few members who are possible related to your case. Kindly provide to
> us the latest 10 websites you visited (for example to order withdrawals or
> register) right before this incident.
>
> We've contacted autoconverter.ru and requested all related information about
> this exchange operation. The investigation is not closed yet.

Из этого главный вопрос, мошенник сменил пароль в аккаунт как же я тогда вошел под старым паролем:)?
И откуда он мог узнать кодовую карту.

p.s теперь включил в аккаунте полностью все защиты включая высылку смс. Надеюсь больше меня не взломают в данной платежке.
 
Последнее редактирование:

i_aquaman

Интересующийся
Регистрация
21.01.2011
Сообщения
74
Реакции
14
Поинты
0.000
monhyip, вспоминайте где вы могли светить е-майл, зарегистрированный под ПМ.
Этот е-майл [email protected] у вас только под ваш аккаунт в ПМ зарегистрирован или используется для чего-то еще?
Почему вы сразу, как начали использовать ПМ, не включили функцию авторизации и уведомлений по смс (ОТР)?
Такое впечатление что у вас угнал деньги непосредственно инсайдер из самой ПМ.
 

Father

Должник!!!
Регистрация
31.10.2008
Сообщения
1,105
Реакции
13
Поинты
0.000
monhyip, вспоминайте где вы могли светить е-майл, зарегистрированный под ПМ.
Этот е-майл [email protected] у вас только под ваш аккаунт в ПМ зарегистрирован или используется для чего-то еще?
Почему вы сразу, как начали использовать ПМ, не включили функцию авторизации и уведомлений по смс (ОТР)?
Такое впечатление что у вас угнал деньги непосредственно инсайдер из самой ПМ.

Об этом я писал еще вчера, но мои сообщения в очередной раз потерли на данном форуме :mad:
 

Haker

Специалист
Регистрация
04.12.2008
Сообщения
1,518
Реакции
36
Поинты
0.000
Из этого главный вопрос, мошенник сменил пароль в аккаунт как же я тогда вошел под старым паролем?
Хм... возможно он для чего-то сменил старый пароль на такой же?
 

monhyip

ТОП-МАСТЕР
Регистрация
22.12.2007
Сообщения
120,358
Реакции
7,555
Поинты
33.410
1. По тому вопросу почему я зашел под старым паролем, когда мошенник уже поменял, PM ответили что он поменял по просьбе Perfeсtmoney (система раз в месяц требует поменять пароль), и чтото там система не успела обновить и я успел зайти под старым паролем.

2. Pm ответили

> Hello,
>
> During the investigation we found that 936752 "all-hyips.biz" member's
> account was accessed by the same person who is responsible for
> unauthorized transactions in your account.
>
> Other accounts owned by 936752 "all-hyips.biz":
>
> 374980 (Sportarbs)
> 237493 (Calistrathogas.ro)
Перевожу -- Из их расследования стало известно что тотже хакер взломал счета all-hyips.biz, вначале я из этого письма понял что меня взломал all-hyips и он также владелец аккаунтов sportarbs и т.д.
Я связался с владельцем all-hyips, он рассказал что того же числа 25 в пятницу у него также украли деньги в либерти и perfectmoney.
Последнюю надпись этого письма то что владелец счета 936752 "all-hyips.biz" является владельцем также других счетов я не понял,(админ all-hyips был от сказаного в шоке:)) отправил вопрос в PM.

Чуть позже пришел еще один ответ от Perfectmoney насчет sportarbs

This is to address the "information" that Sportarbs has been spreading lately.

Perfect Money has terminated the Sportarbs account due to an obvious fraudulent
scheme utilized by Sportarbs. While the account of Sportarbs once had a significant
balance; its own customers remained unpaid. Slightly later, the funds have been
withdrawn to a bank account. All of this happened before the Sportarbs account has
been blocked.

Perfect Money has blocked the account once it was clear that Sportarbs are withdrawing
the funds to their own bank account, instead of paying to the customers. This company
knew about their obligations to the clients, yet they chose to avoid paying.

At this point the account of Sportarbs is empty (Please see below), as almost all the
funds have been withdrawn a month prior to the account termination.

The reason for termination of the account is to prevent you from transferring funds to
Sportarbs, and as a result, losing funds. You can see that there is no balance at that
account that could be used by SportArbs to make a refund.

Perfect Money Finance Corp. has fulfilled all of its obligations before Sportarbs.
All Sportarbs's bank transfer withdrawal requests have been fulfilled and there is no
outstanding obligations to Sportarbs on our part.
Из этого письма я только понял что они описывают какие sportarbs плохие:)

i_aquaman, Смс я включал раньше потом решил отключить. Подумал деньги списывают зря за каждый заход, меня защитит одна перфокарта:), но сильно ошибался и поплатился за это. Мыло [email protected] светилось во многих местах в той же пирамиде ммм-2011 где оно и могло найти хакера. Но некто не знал что этот email привязан к perfectmoney и libertyreserve.

Владелец all-hyips.biz уже также написал в Pm.
 

i_aquaman

Интересующийся
Регистрация
21.01.2011
Сообщения
74
Реакции
14
Поинты
0.000
monhyip, Эх, зря вы смс (ОТР) отключали - за эту функцию в цепочке безопасности и стоит использовать эту ЭПС.
Скорей всего на вас кто то из админов хайпов, в которых вы светили аккаунты от почты и ЭПС, покусился или сделали наводку на вас кому надо.
Советую вам сменить пароли на почтовый аккаунт и аккаунты в ЭПС с длиной пароля минимум 15 символов (используя в их составе спецзнаки и мнемотехники). И заходить в аккаунт gmail по протоколу https, а не http (устанавливается в настройках аккаунта gmail).
Удачи.
 

monhyip

ТОП-МАСТЕР
Регистрация
22.12.2007
Сообщения
120,358
Реакции
7,555
Поинты
33.410
Последний ответ от perfectmoney:
Dear Stanislav,

> quote: [email protected]
> Used a single person?
> And this person hacked my account I understand correctly?
> quote end

Yes, all accounts mentioned were accessed from the same PC.

The latest email regarding Sportarbs was sent to you due to mistake
as auto-reply to the email with pattern with "sportarbs" keyword. It's
not linked to the investigation.

Best Regards,
Перевод --> да верно доступ ко всем аккаунтам был с одного компьютера!
И последнее письмо про sportarbs было выслано по ошибке (по ключевому слову sportarbs) и не относится к расследованию!

Т.е. по словам перфектмани к взлому моего аккаунта причастен админ all-hyips.biz так еще и он же имел доступ к аккаунту в sportarbs.
Сейчас отправил запрос в Perfect чтобы сказали ip того пользователя который именно взломал мой аккаунт и имел доступ к другим аккаунтам, естественно ip без прокси.
 
Последнее редактирование:

Rich_and_Free

МАСТЕР
Регистрация
02.11.2007
Сообщения
4,732
Реакции
260
Поинты
0.000
Последний ответ от perfectmoney:

Перевод --> да верно доступ ко всем аккаунтам был с одного компьютера!
И последнее письмо про sportarbs было выслано по ошибке (по ключевому слову sportarbs) и не относится к расследованию!

Т.е. по словам перфектмани к взлому моего аккаунта причастен админ all-hyips.biz так еще и он же имел доступ к аккаунту в sportarbs.
Сейчас отправил запрос в Perfect чтобы сказали ip того пользователя который именно взломал мой аккаунт и имел доступ к другим аккаунтам, естественно ip без прокси.

ответственно заявляю, что не имею никакого отношения к взлому вашего и чьих либо кошельков. Также я ни коим образом не могу являться владельцем кошелька спортарбса.
В перфект мани написал с чего они решили что я владелец кошелька спортарбс, и почему это они начали выносить на общее обозрение? почему не высказали претензии мне? почему не заблокировали мой аккаунт если я мошенник? ничего не понимаю. если есть у них что-то то не мешало бы выложить это на всеобщее обозрение либо сразу в полицию пусть доказательства отдают.
А то порочить мою репутацию вот так вот очень просто можно...

теперь по поводу взлома моих акков либы и перфекта:
- это было не в пятницу, а в четверг (прощу прощения что ввел в заблуждение)
- на либе, взломали акк гмэйла, запросили на либе номер кошелька, сбросили пароль и пины. я это заметил, вывел почти все деньги с акка, сменил пасс к почте и либе. через 2 часа остаток денег на либе украли.
- по перфекту, зашли в акк перфекта не сбрасывая старый пароль (значит чел знал пароль), по истории перфекта высылалось 2 пина но я их не получал (значит человек по прежнему имел доступ к мылу). Затем хакер создал АПИ и настроил его на свой ip, и перевел деньги (денег было не много).
история из перфекта:
00:43 24.02.11 Account Transfer -15.8 Sent Payment: 15.8 USD to account U2315055 from U1203488. Batch: 4933775. Memo: API Payment.
00:41 24.02.11 Security Change API. IP(s): 46.118.39.119
00:40 24.02.11 Security Create API
00:40 24.02.11 User Login Login IP : 46.118.*.*
00:34 24.02.11 User Logout
00:30 24.02.11 User Login Login IP : 46.118.*.*

p.s. от перфекта ответа до сих пор нет :(
 
Последнее редактирование:

Rich_and_Free

МАСТЕР
Регистрация
02.11.2007
Сообщения
4,732
Реакции
260
Поинты
0.000
пришел ответ от перфектов:
Please check your computer for viruses/Troyans as the hacker knew your
login and password. Please change the password at your account as well
as the password of your email as, again, the hacker has obtained access
to the email. Make sure that you scan your computer for spyware
regularly, change your passwords regularly, and you may consider also
turning on an SMS Login.

The transaction in question (batch 4933775 ) went to hackers account U2315055
and exchanger. The money, according the exchanger ended up at
account: U4766658 at Liberty Reserve.

Unfortuantly we can not reverse such transaction as it has already left
our system.
 

Сергей Фурманов

Интересующийся
Регистрация
10.09.2009
Сообщения
18
Реакции
1
Поинты
0.000
Для того, чтобы избежать таких взломов надо соблюдать несколько простых и незатейливых правил:
1) Установить хотя бы бесплатный антивирус типа Avast с проверкой почты и антифишингом. Еще лучше дополнительно установить фаервол типа Zone Alarm или Agnitum Outpost. Настроить их соответственно.
2) Установить в броузере необходимые дополнения безопасности.
3) Настроить политику безопасности в аккаунте Perfect Money (проверка IP, броузера и т.п.).
4) Не пользоваться web-интерфейсом, а лучше почтовым клиентом типа Mozilla Thunderbird. И ни в коем случае не хранить письма на сервере.
5) Настроить почтовые аккаунты на работу по защищенному протоколу SSL/TLS.
6) Периодически менять пароль на аккаунте Perfect Money.
7) Не хранить на одном аккаунте большую сумму, а раскидывать на несколько мелких, которые не привлекут злоумышленника.
Все это не так сложно, как может показаться, зато надежно.
 

Rich_and_Free

МАСТЕР
Регистрация
02.11.2007
Сообщения
4,732
Реакции
260
Поинты
0.000
Для того, чтобы избежать таких взломов надо соблюдать несколько простых и незатейливых правил:
1) Установить хотя бы бесплатный антивирус типа Avast с проверкой почты и антифишингом. Еще лучше дополнительно установить фаервол типа Zone Alarm или Agnitum Outpost. Настроить их соответственно.
2) Установить в броузере необходимые дополнения безопасности.
3) Настроить политику безопасности в аккаунте Perfect Money (проверка IP, броузера и т.п.).
4) Не пользоваться web-интерфейсом, а лучше почтовым клиентом типа Mozilla Thunderbird. И ни в коем случае не хранить письма на сервере.
5) Настроить почтовые аккаунты на работу по защищенному протоколу SSL/TLS.
6) Периодически менять пароль на аккаунте Perfect Money.
7) Не хранить на одном аккаунте большую сумму, а раскидывать на несколько мелких, которые не привлекут злоумышленника.
Все это не так сложно, как может показаться, зато надежно.

гениально! поздравляю - вы изобрели велосипед...
а еще лучше не пользоваться вообще платежками... ;)
 

monhyip

ТОП-МАСТЕР
Регистрация
22.12.2007
Сообщения
120,358
Реакции
7,555
Поинты
33.410
Получил еще один ответ от PM попросили не распространять их ответы на форумах, и дождаться окончания расследования. Будем ждать...
 

blog-rabota

Интересующийся
Регистрация
17.05.2011
Сообщения
40
Реакции
0
Поинты
0.000
блин вот и меня вчера ограбили. Все дело в том что на почту ничего не приходило. По ссылкам не переходил. Хотел сделать вклад а там на счету почти 0. Только что зашел на ПМ чтобы сделать скрин вижу поступила автовыплата от HYIP. Думал дай смс подключу на всякий случай. И не успел. Смотрю и эти 15 баксов ушли. Зайти в аккаунд уже не могу. на почту пришло сообшение что были измения в профиле. Написал в тех поддержку жду ответа.

добавлено через 32 минуты
Зашел на либерти тоже все смели причем это сделал один и тотже. В Вайруме была внесен депозит, его тоже вывел прежде времено причем к себе на кошель. Ip везде один 74.3.163.66 деньги переводит вот сюда U7916625 кто нибудь знает как избавиться от этого.
 
Последнее редактирование:

YoYoYo

Профессионал
Регистрация
13.02.2011
Сообщения
929
Реакции
28
Поинты
0.000
По ходу дела какя-то новая вирусня поехала по сети.
лезет исключительно через брузеры.
сменя паролей на мыльниках не помогает, видно что хакеры в мыльники заходят и с ноыми паролями.
что сделал - просто с другого компа сменил все пароли в мыльниках.
 

чеба

Любитель
Регистрация
21.08.2008
Сообщения
260
Реакции
1
Поинты
0.000
По ходу дела какя-то новая вирусня поехала по сети.
лезет исключительно через брузеры.
сменя паролей на мыльниках не помогает, видно что хакеры в мыльники заходят и с ноыми паролями.
что сделал - просто с другого компа сменил все пароли в мыльниках.

Почта была гугловская? У меня один ак взломали, восстановить доступ пока не удалось.
 

YoYoYo

Профессионал
Регистрация
13.02.2011
Сообщения
929
Реакции
28
Поинты
0.000
чеба,
почта майил-ру, причем все ящики подряд вздрючены. Гугль не тронут, скорее всего благодоря подчищенным кукам после выхода с бразеров. (1 раз всего в ящике с браузера - завел ящик, открыл в нем ПОП3, подключил к клиенту, и более в него не нагой.) А майл ру требует авторизации постянно браузере, то "мой мир", то еще какая лабуда.

Радует, что с перфекта уже давно на "гмыло отдельное" перенес ящик (в ПМ это можно сделать легко)
 

bond777

ТОП-МАСТЕР
Регистрация
11.03.2008
Сообщения
49,014
Реакции
19,957
Поинты
0.000
По ходу дела какя-то новая вирусня поехала по сети.
лезет исключительно через брузеры.
каким образом через браузеры?? у каждого браузера есть в настройках своя структура безопасности и блокировок лишних манипуляций.

вся троянская фигня...это, практически всегда, результат фишинга и случайного скачивания каких-то левых прог и документов... а также лазание по порно-сайтам с плохой защитой компа.

добавлено через 4 минуты
Ip везде один 74.3.163.66 деньги переводит вот сюда U7916625 кто нибудь знает как избавиться от этого.

создатель этого фаста, получается, химичит
https://mmgp.com/showthread.php?t=91153&page=6
 
Последнее редактирование:
Сверху Снизу