У меня взломали аккаунт в перфект - Страница 4

[12andrey12]

Часто при взломе платежных систем при перезагрузке происходит подмена файл hosts. Подскажите пожалуйста есть ли вирусы, которые оставляют оригинальный файл hosts без изменений, а строку для перехода на фишинговый сайт, например, Perfect Money прописывают в другом файле на локальном диске?

 

[monhyip]

Ломаю уже несколько часов голову как могли взломать у меня аккаунт PM. Начнем по порядку хакер взломал почту gmail, взломал Liberty (с этой платежкой все понятно - дырявая и легко высылается пароль на почту). Идем дальше по истории в аккаунте pm можно увидеть что взломщик зашел за аккаунт --> ввел пин высланный на почту --> поменял что-то в профайле --> поменял через обменник т.е. оплатил через sci интерфейс на либу.

Так вот вопросы мошенник не восстанавливал пароль на Perfectmoney он зашел сразу зная уже пароль. Пароль у меня написан только в одном месте на моем компьютере! Но то что он достал его из этого места исключено, т.к. в данном месте есть и другие пароли к платежкам которые не были взломаны.

Т.е. вывод мошенник взломал почту, после этого взломал аккаунт либерти что не составит труда зная почту, в тоже время он украл все с perfectmoney.

Так вот появляется несколько вопросов: как мошенник мог узнать пароль от аккаунта perfectmoney если он не высылается на почту? И доступа к месту на компьютере где хранится пароль также у мошенника небыло.
Также в аккаунте была включена кодовая карта!!! Которую нельзя отключить не зная этой же кодовой карты. Кодовая карта также хранится в компе в определенном месте.

Заход на фишинговый сайт также исключен, т.к. по ссылкам в письмах не перехожу, а инвестиции в hyip проект через PM делал последний раз несколько дней назад и проверил еще раз что в проекте сайт нормальный.
По письмам на почте (туда приходят письма о высылке pin кода если бы отключали кодовую карту и т.д.) приходили письмо с pin кодом для входа в аккаунт. Далее пришло письмо с надписью

This is to inform that your profile data was changed by you or by someone logged in using your login and password on 02.25.11 12:15 from IP 188.23.12.110.

Данное письмо гласит о том что нам что-то изменили в моем profile. Напомню что изменить в profile можно только зная кодовую карту (но тут есть одна фишка), что при изменении он пишет всегда одну и туже цифру из кодовой карты т.е. подбором можно подобрать, но это долго (в кодовой карте шестизначное число).
Что можно было изменить в профайле - там нет ничего особенного кроме пароля и почты, (при изменение пароля старый не нужен). Но напомню что когда украли деньги пароль изменен не был, значит паролья не меняли. Также и почта не была изменена.

Вообщем я так и не понял как мошенник смог получить доступ к аккаунту в Perfectmoney, а после этого еще и деньги отправить.

 

[Haker]

monhyip, очень интересный случай. Возможно нашли уязвимость в самой PM?

 

[monhyip]

monhyip, очень интересный случай. Возможно нашли уязвимость в самой PM?

Не знаю возможно, еще я был очень удивлен. Когда мошенник вошел в аккаунт (напомню что к api интерфейсу пароль такойже как в аккаунт) можно было бы сразу пойти и просто перевести все деньги через api интерфейс! Но там нужно было еще в аккаунте добавить свой ip (т.к. у меня стоит огранчиение по Ip для доступа к api интерфейсу), но мошенник почему то не поспользовался этим.

Скопирую историю из ПМ:
12:19 25.02.11 User Logout
12:19 25.02.11 Account Transfer -224.6 Sent Payment: 224.6 USD to account U1131684 from U1426715. Batch: 4941155. Memo: Shopping Cart Payment. Exchange to Liberty Reserve for U7675013.
12:19 25.02.11 SCI Login SCI Login IP : 188.23.*.*
12:15 25.02.11 User Login Login IP : 188.23.*.*
12:15 25.02.11 User Change Profile was edited
12:13 25.02.11 Security Send Send PIN code. E-mail *******@gmail.com

Также забыл написать что отправил вопрос поддержке Perfectmoney чтобы они посмотрели более подробно логи как такое могло случится...

Еще раз подтверждается что Perfect money это не LR --> саппорт ответили

> Hacker's IP address is 188.23.12.110.
> Hacker's other e-currency accounts: U7675013
> Hacker's User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:2.0b11) Gecko/20100101 Firefox/4.0b11
> Time: GMT+1
>
> 1. Time when hacker logged first time to your account is 02/25/11 12:13:54.
>
> 2. System sent PIN code to email [email protected]
> Hacker successfully entered the correct PIN code.
>
> 3. Time when hacker changed your profile information is 02/25/11 12:15:28.
> Profile modification: hacker changed the password of your account.
>
> 4. Time when hacker logged out from your account is 02/25/11 12:19:58.
>
> 5. Time when hacker sent money from your account via SCI to exchanger is 02/25/11 12:19:58
> The transaction has been confirmed by entering a valid code-card number.
>
> This is the last operation of hacker.
>
> We found no other operations with Liberty Reserve account U7675013.
> We found no other member accounts with IP 188.23.12.110.
> We found no activity of hacker in your other accounts in the system.
>
> There are few members who are possible related to your case. Kindly provide to
> us the latest 10 websites you visited (for example to order withdrawals or
> register) right before this incident.
>
> We've contacted autoconverter.ru and requested all related information about
> this exchange operation. The investigation is not closed yet.

Из этого главный вопрос, мошенник сменил пароль в аккаунт как же я тогда вошел под старым паролем?
И откуда он мог узнать кодовую карту.

p.s теперь включил в аккаунте полностью все защиты включая высылку смс. Надеюсь больше меня не взломают в данной платежке.

 

[i_aquaman]

monhyip, вспоминайте где вы могли светить е-майл, зарегистрированный под ПМ.
Этот е-майл [email protected] у вас только под ваш аккаунт в ПМ зарегистрирован или используется для чего-то еще?
Почему вы сразу, как начали использовать ПМ, не включили функцию авторизации и уведомлений по смс (ОТР)?
Такое впечатление что у вас угнал деньги непосредственно инсайдер из самой ПМ.

 

[Father]

monhyip, вспоминайте где вы могли светить е-майл, зарегистрированный под ПМ.
Этот е-майл [email protected] у вас только под ваш аккаунт в ПМ зарегистрирован или используется для чего-то еще?
Почему вы сразу, как начали использовать ПМ, не включили функцию авторизации и уведомлений по смс (ОТР)?
Такое впечатление что у вас угнал деньги непосредственно инсайдер из самой ПМ.

Об этом я писал еще вчера, но мои сообщения в очередной раз потерли на данном форуме

 

[Haker]

Из этого главный вопрос, мошенник сменил пароль в аккаунт как же я тогда вошел под старым паролем?

Хм... возможно он для чего-то сменил старый пароль на такой же?

 

[monhyip]

1. По тому вопросу почему я зашел под старым паролем, когда мошенник уже поменял, PM ответили что он поменял по просьбе Perfeсtmoney (система раз в месяц требует поменять пароль), и чтото там система не успела обновить и я успел зайти под старым паролем.

2. Pm ответили

> Hello,
>
> During the investigation we found that 936752 "all-hyips.biz" member's
> account was accessed by the same person who is responsible for
> unauthorized transactions in your account.
>
> Other accounts owned by 936752 "all-hyips.biz":
>
> 374980 (Sportarbs)
> 237493 (Calistrathogas.ro)

Перевожу -- Из их расследования стало известно что тотже хакер взломал счета all-hyips.biz, вначале я из этого письма понял что меня взломал all-hyips и он также владелец аккаунтов sportarbs и т.д.
Я связался с владельцем all-hyips, он рассказал что того же числа 25 в пятницу у него также украли деньги в либерти и perfectmoney.
Последнюю надпись этого письма то что владелец счета 936752 "all-hyips.biz" является владельцем также других счетов я не понял,(админ all-hyips был от сказаного в шоке) отправил вопрос в PM.

Чуть позже пришел еще один ответ от Perfectmoney насчет sportarbs

This is to address the "information" that Sportarbs has been spreading lately.

Perfect Money has terminated the Sportarbs account due to an obvious fraudulent
scheme utilized by Sportarbs. While the account of Sportarbs once had a significant
balance; its own customers remained unpaid. Slightly later, the funds have been
withdrawn to a bank account. All of this happened before the Sportarbs account has
been blocked.

Perfect Money has blocked the account once it was clear that Sportarbs are withdrawing
the funds to their own bank account, instead of paying to the customers. This company
knew about their obligations to the clients, yet they chose to avoid paying.

At this point the account of Sportarbs is empty (Please see below), as almost all the
funds have been withdrawn a month prior to the account termination.

The reason for termination of the account is to prevent you from transferring funds to
Sportarbs, and as a result, losing funds. You can see that there is no balance at that
account that could be used by SportArbs to make a refund.

Perfect Money Finance Corp. has fulfilled all of its obligations before Sportarbs.
All Sportarbs's bank transfer withdrawal requests have been fulfilled and there is no
outstanding obligations to Sportarbs on our part.

Из этого письма я только понял что они описывают какие sportarbs плохие

i_aquaman, Смс я включал раньше потом решил отключить. Подумал деньги списывают зря за каждый заход, меня защитит одна перфокарта, но сильно ошибался и поплатился за это. Мыло [email protected] светилось во многих местах в той же пирамиде ммм-2011 где оно и могло найти хакера. Но некто не знал что этот email привязан к perfectmoney и libertyreserve.

Владелец all-hyips.biz уже также написал в Pm.

 

[i_aquaman]

monhyip, Эх, зря вы смс (ОТР) отключали - за эту функцию в цепочке безопасности и стоит использовать эту ЭПС.
Скорей всего на вас кто то из админов хайпов, в которых вы светили аккаунты от почты и ЭПС, покусился или сделали наводку на вас кому надо.
Советую вам сменить пароли на почтовый аккаунт и аккаунты в ЭПС с длиной пароля минимум 15 символов (используя в их составе спецзнаки и мнемотехники). И заходить в аккаунт gmail по протоколу https, а не http (устанавливается в настройках аккаунта gmail).
Удачи.

 

[monhyip]

Последний ответ от perfectmoney:

Dear Stanislav,

> quote: [email protected]
> Used a single person?
> And this person hacked my account I understand correctly?
> quote end

Yes, all accounts mentioned were accessed from the same PC.

The latest email regarding Sportarbs was sent to you due to mistake
as auto-reply to the email with pattern with "sportarbs" keyword. It's
not linked to the investigation.

Best Regards,

Перевод --> да верно доступ ко всем аккаунтам был с одного компьютера!
И последнее письмо про sportarbs было выслано по ошибке (по ключевому слову sportarbs) и не относится к расследованию!

Т.е. по словам перфектмани к взлому моего аккаунта причастен админ all-hyips.biz так еще и он же имел доступ к аккаунту в sportarbs.
Сейчас отправил запрос в Perfect чтобы сказали ip того пользователя который именно взломал мой аккаунт и имел доступ к другим аккаунтам, естественно ip без прокси.

 

[Rich_and_Free]

Последний ответ от perfectmoney:

Перевод --> да верно доступ ко всем аккаунтам был с одного компьютера!
И последнее письмо про sportarbs было выслано по ошибке (по ключевому слову sportarbs) и не относится к расследованию!

Т.е. по словам перфектмани к взлому моего аккаунта причастен админ all-hyips.biz так еще и он же имел доступ к аккаунту в sportarbs.
Сейчас отправил запрос в Perfect чтобы сказали ip того пользователя который именно взломал мой аккаунт и имел доступ к другим аккаунтам, естественно ip без прокси.

ответственно заявляю, что не имею никакого отношения к взлому вашего и чьих либо кошельков. Также я ни коим образом не могу являться владельцем кошелька спортарбса.
В перфект мани написал с чего они решили что я владелец кошелька спортарбс, и почему это они начали выносить на общее обозрение? почему не высказали претензии мне? почему не заблокировали мой аккаунт если я мошенник? ничего не понимаю. если есть у них что-то то не мешало бы выложить это на всеобщее обозрение либо сразу в полицию пусть доказательства отдают.
А то порочить мою репутацию вот так вот очень просто можно...

теперь по поводу взлома моих акков либы и перфекта:
- это было не в пятницу, а в четверг (прощу прощения что ввел в заблуждение)
- на либе, взломали акк гмэйла, запросили на либе номер кошелька, сбросили пароль и пины. я это заметил, вывел почти все деньги с акка, сменил пасс к почте и либе. через 2 часа остаток денег на либе украли.
- по перфекту, зашли в акк перфекта не сбрасывая старый пароль (значит чел знал пароль), по истории перфекта высылалось 2 пина но я их не получал (значит человек по прежнему имел доступ к мылу). Затем хакер создал АПИ и настроил его на свой ip, и перевел деньги (денег было не много).
история из перфекта:

00:43 24.02.11 Account Transfer -15.8 Sent Payment: 15.8 USD to account U2315055 from U1203488. Batch: 4933775. Memo: API Payment.
00:41 24.02.11 Security Change API. IP(s): 46.118.39.119
00:40 24.02.11 Security Create API
00:40 24.02.11 User Login Login IP : 46.118.*.*
00:34 24.02.11 User Logout
00:30 24.02.11 User Login Login IP : 46.118.*.*

p.s. от перфекта ответа до сих пор нет

 

[Rich_and_Free]

пришел ответ от перфектов:

Please check your computer for viruses/Troyans as the hacker knew your
login and password. Please change the password at your account as well
as the password of your email as, again, the hacker has obtained access
to the email. Make sure that you scan your computer for spyware
regularly, change your passwords regularly, and you may consider also
turning on an SMS Login.

The transaction in question (batch 4933775 ) went to hackers account U2315055
and exchanger. The money, according the exchanger ended up at
account: U4766658 at Liberty Reserve.

Unfortuantly we can not reverse such transaction as it has already left
our system.

 

[Сергей Фурманов]

Для того, чтобы избежать таких взломов надо соблюдать несколько простых и незатейливых правил:
1) Установить хотя бы бесплатный антивирус типа Avast с проверкой почты и антифишингом. Еще лучше дополнительно установить фаервол типа Zone Alarm или Agnitum Outpost. Настроить их соответственно.
2) Установить в броузере необходимые дополнения безопасности.
3) Настроить политику безопасности в аккаунте Perfect Money (проверка IP, броузера и т.п.).
4) Не пользоваться web-интерфейсом, а лучше почтовым клиентом типа Mozilla Thunderbird. И ни в коем случае не хранить письма на сервере.
5) Настроить почтовые аккаунты на работу по защищенному протоколу SSL/TLS.
6) Периодически менять пароль на аккаунте Perfect Money.
7) Не хранить на одном аккаунте большую сумму, а раскидывать на несколько мелких, которые не привлекут злоумышленника.
Все это не так сложно, как может показаться, зато надежно.

 

[Rich_and_Free]

Для того, чтобы избежать таких взломов надо соблюдать несколько простых и незатейливых правил:
1) Установить хотя бы бесплатный антивирус типа Avast с проверкой почты и антифишингом. Еще лучше дополнительно установить фаервол типа Zone Alarm или Agnitum Outpost. Настроить их соответственно.
2) Установить в броузере необходимые дополнения безопасности.
3) Настроить политику безопасности в аккаунте Perfect Money (проверка IP, броузера и т.п.).
4) Не пользоваться web-интерфейсом, а лучше почтовым клиентом типа Mozilla Thunderbird. И ни в коем случае не хранить письма на сервере.
5) Настроить почтовые аккаунты на работу по защищенному протоколу SSL/TLS.
6) Периодически менять пароль на аккаунте Perfect Money.
7) Не хранить на одном аккаунте большую сумму, а раскидывать на несколько мелких, которые не привлекут злоумышленника.
Все это не так сложно, как может показаться, зато надежно.

гениально! поздравляю - вы изобрели велосипед...
а еще лучше не пользоваться вообще платежками...

 

[monhyip]

Получил еще один ответ от PM попросили не распространять их ответы на форумах, и дождаться окончания расследования. Будем ждать...

 

[blog-rabota]

блин вот и меня вчера ограбили. Все дело в том что на почту ничего не приходило. По ссылкам не переходил. Хотел сделать вклад а там на счету почти 0. Только что зашел на ПМ чтобы сделать скрин вижу поступила автовыплата от HYIP. Думал дай смс подключу на всякий случай. И не успел. Смотрю и эти 15 баксов ушли. Зайти в аккаунд уже не могу. на почту пришло сообшение что были измения в профиле. Написал в тех поддержку жду ответа.

добавлено через 32 минуты
Зашел на либерти тоже все смели причем это сделал один и тотже. В Вайруме была внесен депозит, его тоже вывел прежде времено причем к себе на кошель. Ip везде один 74.3.163.66 деньги переводит вот сюда U7916625 кто нибудь знает как избавиться от этого.

 

[YoYoYo]

По ходу дела какя-то новая вирусня поехала по сети.
лезет исключительно через брузеры.
сменя паролей на мыльниках не помогает, видно что хакеры в мыльники заходят и с ноыми паролями.
что сделал - просто с другого компа сменил все пароли в мыльниках.

 

[чеба]

По ходу дела какя-то новая вирусня поехала по сети.
лезет исключительно через брузеры.
сменя паролей на мыльниках не помогает, видно что хакеры в мыльники заходят и с ноыми паролями.
что сделал - просто с другого компа сменил все пароли в мыльниках.

Почта была гугловская? У меня один ак взломали, восстановить доступ пока не удалось.

 

[YoYoYo]

чеба,
почта майил-ру, причем все ящики подряд вздрючены. Гугль не тронут, скорее всего благодоря подчищенным кукам после выхода с бразеров. (1 раз всего в ящике с браузера - завел ящик, открыл в нем ПОП3, подключил к клиенту, и более в него не нагой.) А майл ру требует авторизации постянно браузере, то "мой мир", то еще какая лабуда.

Радует, что с перфекта уже давно на "гмыло отдельное" перенес ящик (в ПМ это можно сделать легко)

 

[bond777]

По ходу дела какя-то новая вирусня поехала по сети.
лезет исключительно через брузеры.

каким образом через браузеры?? у каждого браузера есть в настройках своя структура безопасности и блокировок лишних манипуляций.

вся троянская фигня...это, практически всегда, результат фишинга и случайного скачивания каких-то левых прог и документов... а также лазание по порно-сайтам с плохой защитой компа.

добавлено через 4 минуты

Ip везде один 74.3.163.66 деньги переводит вот сюда U7916625 кто нибудь знает как избавиться от этого.

создатель этого фаста, получается, химичит
https://mmgp.com/showthread.php?t=91153&page=6