Взлом webmoney (e-num) - увели 540уе

Lexuz77 · 08.11.2013

Итак - расскажу занятную историю моего друга, от которой я сам до сих пор в шоке (друг далеко не "ламер" - в компах разбирается на уровне админа)
Хроника событий:
1. взломали почту (на майл ру) и сменили пароль. (т.е. пароль они не подобрали получается, так как если бы подобрали, то зачем менять? тут сразу вопрос ПОЧЕМУ запрос на смену пароля на почту не пришел в смс подтверждении в привязанном телефоне?)
2. Каким то образом взломали e-num, но КАК?? - потому что даже если там делать восстановление доступа, то на номер телефона (который тогда еще был мой!) придет код активации новой копии мобильного клиента!
описание из e-num:

1. При восстановлении/смене мобильного E-NUM клиента выдается НОВОЕ приложение которому соответствует НОВЫЙ код активации, приходящий в SMS-сообщении. Старое приложение и код активации становятся недействительными.

НО у меня все работает! т.е. где то дыра!
Ну а дальше все просто - зашли в вебмани поменяли номер телефона, кодовое слово, отключили подтверждения на смс запустили процедуру восстановления доступа (правда в каком порядке я не понимаю, потому как опять же если зашли, зачем восстанавливать доступ? опять же как зашли если е-нум вроде работает мой - т.е. его не восстанавливали. Вход по логину и паролю у меня отключен), ну и вывели денежку (через чеки peymer - смотрели на сайте - все они уже обналичены)
540 бачей и 70 рублей - ...... жадные - даже мелочь потырили

А вот из лога действий хакера в почте:

Ярославль, Ярославская область, Россия (178.20.181.23)
2 письма удалено 00:40 - 01:06 браузер Firefox (Windows Vista)
2 письма перемещено в папку Корзина 00:40 - 01:06 браузер Firefox (Windows Vista)
Проверка почты 00:24 - 01:04 браузер Firefox (Windows Vista)
Восстановлен пароль 00:24 браузер Firefox (Windows Vista)
Изменен пароль 00:24 браузер Firefox (Windows Vista)

Да и еще один момент - в это же самое время пытались произвести оплату с его карты банка Тинькофф - но ее во время заблокировали! Откуда они взяли номер карты - тоже вопрос - во взломанной почте были выписки - но там номер карты указан не полностью! ЗЫ: Ждем ответов из всех возможных служб техподдержки....

mk1984 · 08.11.2013

Всё через мобилу делали. Номер у него не Мегафон?

capitalistas · 08.11.2013

Вряд ли такое возможно, или Тс чего-то не договаривает и не все было так уж защищено.

Lexuz77 · 08.11.2013

mk1984 написал(а):
Всё через мобилу делали. Номер у него не Мегафон?

Да мегафон - а причем тут это?

добавлено через 1 минуту

capitalistas написал(а):
Вряд ли такое возможно, или Тс чего-то не договаривает и не все было так уж защищено.

Да я сам был в шоке,когда узнал такое - он завтра приедет из отпуска - я сам все посмотрю на его компе - может скрины запостю в подтверждение..Да, и - что значит "и не все было так уж защищено" - ну поломали емайл - это бывает...но вот что бы e-num ломанули (тут все не на паролях завязано же - а на мобилке) - вот это уже из ряда вон. Но будем разбираться! ЗЫ: да еще забыл написать! - как раз за неделю до этих событий он отвозил документы регистратору на получение персонального сертификата

mk1984 · 08.11.2013

Lexuz77 написал(а):
Да мегафон - а причем тут это?

А при том, фрод известный, довольно таки.
Lexuz77, а он точно

Lexuz77 написал(а):
друг далеко не "ламер"

?

добавлено через 25 минут
Пару, тройку лет назад появилась у мобильных операторов возможность установки паролей на всякие мобильные помощники, сервис гиды и бла-бла-бла. Народ, непуганый на то время понаустанавливал пароли, как обычно: 123456, 000000, свою дату рождения, qwerty и т.д. Ну и благополучно забыл об этом, так как система этих помощников и сейчас тухлая, а раньше и того хуже была.
С полгода, год назад мегафон ввел систему (хотели как лучше и удобней, а как обычно о-б-о-с-р-а-л-ись) UMS (это о системе инфа, сам веб-портал по услуге ТУТ), так вот логином в эту систему является номер телефона, а пароль по-умолчанию был именно тот, что когда-то кто-то установил и забыл. Сервис этот позволяет в режиме он-лайн общаться с теми, кто у тебя в контактах телефона, отправляя смс с сайта, но до людей доходит так, как будто ты отправил с мобилы. Также на сайте можно смотреть историю своих смс, которые автоматом дублируются на сайт и, САМОЕ ГЛАВНОЕ, на сайте можно настроить переадресацию смс на другой номер, да так, что оригиналы этих смс не будут поступать на мобильный. Поясню:
Вася Фродов отправил вам на мобилу смс, а кто-то до этого на сайте установил, что смс от Васи идут сразу на мобилу Феди Пукина. При этом вы, как начальный получатель, даже не узнаете о сообщении.
В итоге, номера банков, e-num и прочие - известны - их забиваем в переадресацию и действуем: восстанавливаем пароль к почте "не ламера", узнаем, что на эту почту зарегистрирован акк e-num, далее взламываем кипер через e-num и смс. Вуаля!

Lexuz77 написал(а):
Да и еще один момент - в это же самое время пытались произвести оплату с его карты банка Тинькофф - но ее во время заблокировали! Откуда они взяли номер карты - тоже вопрос - во взломанной почте были выписки - но там номер карты указан не полностью! ЗЫ: Ждем ответов из всех возможных служб техподдержки....

А тут уашпэ цукер:
В логах смс, на сайте UMS от мегафона обязательно в сообщениях от банка указывается последние четыре цифры карты. Для номера телефона, на который в банке подключен "мобильный банк" этого достаточно, для переводов средств с карты. Тут отлично сработала СБ Тинькова, пусть ваш кент пузырь проставит хамоватому Олежику (Тинькову), за то, что у него (вашего товарища) не увели лаве с карты.

Да, совет от меня - пусть заходит на этот сайт мегафона и сбрасывает пароль и пусть потом смотрит откуда ноги растут. И, если на этот номер подключены и другие банки - пусть проверит все средсвта по онлайн-банкам.

В сухом остатке, если схема выше имела место быть, то ваш друг, извините, ламер (и на старуху бывает проруха). Никогда не надо ставить левые и простые парольки, даже думая что сайт - мусор и навредить не может.

Схема выше неактуальна, если друг установил на свой Android какой нибудь троян банковский, то он не ламер, а лузер и отъём денег значительно упрощается..

П.С. Не облизывайтесь (потенциальные мошенники), мегафон зуб дает, что схема уже прикрыта с UMS. Но возможно ваш друг уже более полугода под колпаком, поэтому и получилось с ним так.
П.с.2. Если обидел - извините...

Sevalerin · 09.11.2013

также попадал на взлом "мейл-ру шной" почты. каким образом сам не понимаю, так как почтой пользовался редко, и то через почтовый клиент.

по теме, как злоумышленник узнал какая именно почта стоит в кошельке?

skol13 · 09.11.2013

mk1984 написал(а):
В сухом остатке, если схема выше имела место быть, то ваш друг, извините, ламер (и на старуху бывает проруха). Никогда не надо ставить левые и простые парольки, даже думая что сайт - мусор и навредить не может.

Схема выше неактуальна, если друг установил на свой Android какой нибудь троян банковский, то он не ламер, а лузер и отъём денег значительно упрощается..

П.С. Не облизывайтесь (потенциальные мошенники), мегафон зуб дает, что схема уже прикрыта с UMS. Но возможно ваш друг уже более полугода под колпаком, поэтому и получилось с ним так.
П.с.2. Если обидел - извините...

Всех приветствую.
Это как раз я - тот самый ламер

Решил зарегистрироваться, чтобы поучаствовать в обсуждении, так как есть несколько настораживающих моментов.
Значится так. Ломанули действительно через Мегафон.
Хронология теперь такова:
1. 06.11.2013 - зашли в сервис-гид мегафона. (Мне было смс)
2.
З.Ы. На конструктивную критику не обижаюсь - из всего надо уметь извлекать опыт.

mk1984 · 09.11.2013

И на какой номер шла переадресация? Или ворюга подчистил хвосты уже?
С банкингом как - не увели с других банков?

capitalistas · 09.11.2013

Да, пароли надо всегда ставить сложные (очень сложные) и записывать на бумажку, а о бумажке никому не рассказывать, чтоб никто не догадался)) А потом заучить его наизусть и бумажку без надобности не мусолить, только в крайних случаях

skol13 · 09.11.2013

mk1984 написал(а):
И на какой номер шла переадресация? Или ворюга подчистил хвосты уже?
С банкингом как - не увели с других банков?

Хм. как то странно, половина текста не влезла - самое важное

В общем, пункт 2:
Номер, на который была сделана переадресация +79083913868.
Мне пришло смс о входе в сервис гид, но оно пришло битое (так бывает), а инфа о неполном сообщении на моем телефоне не выдается, его можно увидеть только если самому войти в список входящих. Да и сделано оно было ночью.
Был заменен номер телефона также и в вебмани, на какой, я не вспомню, не сохранил в расстройствах. Но вроде бы этот же.
Теперь о том что насторожило.
Какова вероятность того, что слив инфы прошел от регистратора?
Просто как то много совпадений. Собрать воедино е-мейл, номер телефона и вмид - это как то сразу наводит на мысль об утечке со стороны регистратора.
Только там эти данные были все вместе. Плюс еще копия паспорта, в котором указана дата рождения. Которая, каюсь, была использована как пароль от сервис гида, поскольку во-первых, я не подозревал о такой подлянке со стороны Мегафона, а во-вторых, там допускались только цифры и не более 6 (по крайней мере когда я брал этот номер), ну я и подумал, что дата рождения вполне подойдет. Зная о "во-первых" я бы конечно был как то осмотрительней.
А так версия об регистраторе вполне подойдет. Есть номер, есть вмид, есть мыло и есть дата рождения. Почему бы не проверить, не лопух ли клиент? Клиент оказался лопухом...
И кстати! У регистратора интересно есть ли возможность просмотреть движение средств на кошельках? Как то тоже подозрительно совпало появление средств на кошельке с их угоном. Обычно я не держу там средств. и здесь не собирался но затянул с выводом.
ТКСбанк конечно молодцы, респект им огромный.
Вот кстати насколько реально наехать на мегафон с требованием компенсации? Это же они пердато придумали со своей системой - прям не бэкдор - а парадная для злоумышленников. Тем более если учесть что многие интернет-банкинги и электронные деньги завязаны на систему одноразовых паролей, то их эту возможность переадресации смс на другой номер кроме как диверсией никак назвать нельзя!

добавлено через 1 минуту
Да и в догонку.
На этом номере кроме ткс еще по одной карте инфа приходит - но там только информирование, платеж сделать никак нельзя. Но я ее на всякий случай блокировал до выяснения...

eddiman · 09.11.2013

skol13 написал(а):
Вот кстати насколько реально наехать на мегафон с требованием компенсации?

Нереально, если почитать договор с Мегафоном, то подписав его Вы на всё согласны. Если в результате созданной Мегафоном ситуации, Вы лишитесь всего имущества, то Мегафон не при делах по договору.

morg · 09.11.2013

skol13 написал(а):
И кстати! У регистратора интересно есть ли возможность просмотреть движение средств на кошельках?

Исключено.
Вряд ли регистратор стал бы сливать ваши данные не зная ваших оборотов, да и вообще рисковать уголовкой.

mk1984 · 10.11.2013

skol13 написал(а):
Просто как то много совпадений. Собрать воедино е-мейл, номер телефона и вмид - это как то сразу наводит на мысль об утечке со стороны регистратора.

Сложного ничего, если в кипере и e-num включена функция уведомления на мыло. Просто сопоставить.

skol13 написал(а):
Какова вероятность того, что слив инфы прошел от регистратора?
Просто как то много совпадений. Собрать воедино е-мейл, номер телефона и вмид - это как то сразу наводит на мысль об утечке со стороны регистратора.
Только там эти данные были все вместе. Плюс еще копия паспорта, в котором указана дата рождения. Которая, каюсь, была использована как пароль от сервис гида, поскольку во-первых, я не подозревал о такой подлянке со стороны Мегафона, а во-вторых, там допускались только цифры и не более 6 (по крайней мере когда я брал этот номер), ну я и подумал, что дата рождения вполне подойдет. Зная о "во-первых" я бы конечно был как то осмотрительней.

Версия имеет место быть, главное - идите в полицию, там всё рассакзывайте как было и говорите ОБЯЗАТЕЛЬНО о своих домыслах, не стесняйтесь, пусть проверяют. Если регистратор человек нормальный - всё поймет и проблем не возникнет у него. Ну а если он падла, то туда ему и дорога.

skol13 написал(а):
поскольку во-первых, я не подозревал о такой подлянке со стороны Мегафона

К сожалению, вы не единственный, кто пострадали, у людей так с банков поуводили крупные суммы.

skol13 написал(а):
З.Ы. На конструктивную критику не обижаюсь - из всего надо уметь извлекать опыт.

и

skol13 написал(а):
Как то тоже подозрительно совпало появление средств на кошельке с их угоном. Обычно я не держу там средств. и здесь не собирался но затянул с выводом.

В жизни бывает всякое, дай Бог это были не последние деньги, главное не унывайте. Ну и обязательно в полицию. Только отпишитесь, что да как. Желаю поймать этого клоуна за помидорки.

Nickma · 10.11.2013

На форуме вебмани читал, что с Мегафоном это не единственный такой случай, с другими операторами вроде не было.

skol13 · 10.11.2013

eddiman написал(а):
Нереально, если почитать договор с Мегафоном, то подписав его Вы на всё согласны. Если в результате созданной Мегафоном ситуации, Вы лишитесь всего имущества, то Мегафон не при делах по договору.

Я не подписывался под их халатное отношение к вопросам безопасности и разгильдяйство. Я не буду даже писать про свое отношение к тому, что они вообще в принципе сделали возможность переадресации смс - оно крайне негативное и полностью состоит из непечатных слов. Если уж они сделали эту возможность, то нужно было сделать так, чтобы подключать ее можно было только после письменного заявления абонента.
Несанкционированный доступ произошел благодаря вот этой существовавшей дыре:
www.securitylab.ru/news/439356.php
Если, конечно, исключить причастность регистратора вебмани.
С момента нахождения дыры в мегафоне до моего взлома прошло 7 месяцев. Мне вот интересно, сколько успели "набрутить в запас" паролей на вход злоумышленники пока была дырища? Мегафонцы, конечно, геи редкостные. Могли бы после затыкания дыры хоть бы смску сбросить пользователям чтобы пароль сменили на сервис-гид. Или вообще сбросить его всем самостоятельно. Надо бы как-то поднять привлечь внимание общественности к этому вопросу. У кого мысли есть какие?
И мне вот интересно, почему на мегафон банки не давят?
Вот к примеру ТКС точно в курсе проблем:
www.banki.ru/services/responses/bank/?responseID=4867553
www.banki.ru/services/responses/bank/?responseID=4874540
Это как раз объясняет то, что они так оперативно заблокировали попытку списания средств. И я спрошу их, работают ли они с мегафоном для решения проблемы
А вебмани мои пострадали вот из-за этого:
https://enter.webmoney.ru/addMP.aspx?lang=ru
Странно что не залезли на киви - там тоже была примерно такая же сумма денег, тоже не успел их вывести.

morg написал(а):
Исключено.
Вряд ли регистратор стал бы сливать ваши данные не зная ваших оборотов, да и вообще рисковать уголовкой.

Ну как то все же активность злоумышленников как раз в момент присутствия денег в кошельке несколько настораживает. 7 месяцев выходит ждали и тут им просто повезло? Не верю, как сказал бы Станиславский...
И потом, почему только мои данные? Можно всех регистрирующих персональный аттестат. А потом потихоньку тырить. К тому же они там задавали наводящие вопросы типа "а нахрена вам персональный аттестат?" Ну я им ответил что менять буду деньги - вот и поставили себе галочку зайти при случае глянуть, чо я там наменял...
В любом случае я задам этот вопрос и вебманям тоже. Будет нужно - задам в письменной форме. Наверняка я не первый кто попал на бабки - пусть поднимут статистику нет ли перегибов в пользу какого то одного регистратора среди моих собратьев по несчастью...

P.S. Модеры поправьте пожалуйста ссылки в моем сообщении.
Не дает мне самому их вставить нормально, мал еще, пишет

Mod: обратите внимание на п.2.5 Правил форума!

Nickma · 10.11.2013

skol13 написал(а):
Ну как то все же активность злоумышленников как раз в момент присутствия денег в кошельке несколько настораживает. 7 месяцев выходит ждали и тут им просто повезло? Не верю, как сказал бы Станиславский...

Скорее всего просто совпало. Сейчас вспомнил, что один раз угоняли почту на майл, и через день ночью приходила смс с заказанным кодом для входа в вебмани, но видимо ничего не получилось, поскольку опрератор другой и смс не перевелась.

Alesio · 10.11.2013

на почте вобще лучше не хранить никаких намеков на платежки и т.д не в корзине в во входящих...тем более майл ру..проходной двор

eddiman · 10.11.2013

skol13 написал(а):
Я не подписывался под их халатное отношение к вопросам безопасности и распиз...ство.

Ну если Вы не официально получали симку а с рук её купили, то может и не подписывались, впрочем это сути не меняет. Вы или ещё кто-то, сначала договор с оператором подписывал а уже потом получал на руки эту сим-карту. А подписав договор, он заранее согласился что оператор не несёт ответственности по всем мыслимым и не мыслимым рискам. Будет время и желание - почитайте договор.

zarubin · 10.11.2013

Alesio, а где не проходной двор? думаю любую почту можно взломать

Endy · 10.11.2013

ТС, пишите в тп WebMoney, обьясните все, я думаю они вам помогут.

Взлом webmoney (e-num) - увели 540уе

Любитель

МАСТЕР

ТОП-МАСТЕР

Любитель

МАСТЕР

Профессионал

Интересующийся

МАСТЕР

ТОП-МАСТЕР

Интересующийся

ТОП-МАСТЕР

Форекс-, крипто-конкурсы

МАСТЕР

ТОП-МАСТЕР

Интересующийся

ТОП-МАСТЕР

Любитель

ТОП-МАСТЕР

ТОП-МАСТЕР

Интересующийся

Похожие темы