Передісторія для даної статті не найприємніша - буквально минулого місяця якось мені один знайомий розповів про те, що зламали його webmoney keeper і повели все гроші. Трохи пізніше натрапив на подібну статтю ще у одного вебмастера, яка, до речі, підняла деяку галас в твіттері та й взагалі змусила мене серйозно подумати про захист webmoney.

Як прийнято в подібних ситуаціях - почав гуглити, і як виявилося, проблема злому webmoney досить серйозна і актуальна в співтоваристві людей, які заробляють в інтернеті. Зокрема знайшов пару гілок з обговореннями на серч, ще щось було на форумах самих вебманей - у кого виводили гроші на банківський рахунок, у кого на мобільні телефони, ситуацій, в загальному, було багато різних.

Чесно кажучи, все це «чтиво» мене злегка шокувало, навіть за найбільш скромними підрахунками мова йде про десятки тисяч баксів збитків, при цьому позиція webmoney злегка дивна. Як і в будь-якому іншому бізнесі в країнах колишнього СНД все відповідальність і завдання вирішення проблем лягає на користувача. На Хабре проскакувало кілька історій від людей, які зверталися до відповідних органів - чомусь мене не дивує, що позитивних результатів справ зафіксовано не було :)

Коротше кажучи, краще злому webmoney не допускати - хочу поділитися кількома порадами з цього приводу. Частина з них були знайдені на тих же форумах, частина є в самому функціонал webmoney. Всім, хто серйозно займається роботою в мережі я б настійно рекомендував звернути увагу на це питання - втратити скільки завгодно грошей, думаю, неприємно буде для всіх. Хочу також уточнити, то всі сказане стосується роботи з клієнтом webmoney keeper classic. Отже, приступимо.

1. Найпростіший і найбільш базовий метод захисту від webmoney злому - використання стандартних засобів самої системи:

• Робота з останньою версією програми webmoney keeper classic.
• Активація webmoney keeper - кіпер прив'язується саме до вашого комп'ютера, при запуску його на іншому, потрібно активувати обладнання. При цьому код активації висилається на ваш e-mail.
• Активація на телефон - відправка коду активації тільки на ваш мобільний телефон замість електронної пошти.
• Підтвердження платежів - зменшує ризик здійснення помилкового переказу, для підтвердження операції вам потрібно буде вводити випадково згенерований код.
• Блокування по IP - дозволяється доступ до webmoney keeper тільки з зазначених вами IP адрес. При цьому можна вказати відправку коду розблокування на мобільний телефон.

Всі ці настройки ви можете подивитися після запуску свого webmoney keeper classic в нижній панелі програми виводиться рядок «Зауваження з налагодження безпеки». На жаль, даний набір функцій не гарантує вам захист від злому webmoney, більш того, багато постраждалих на форумі розповідали, що всі ці засоби захисту були активовані.

2. Збереження файлу ключа в безпечному місці - в керівництві webmoney радять зберігати файл ключів на змінному носії і підключати його тільки при запуску webmoney keeper classic. Це може бути флешка, CD або навіть дискета. Читав, правда, що одну людину не врятував навіть зовнішній вінчестер :) До речі, щоб заплутати зловмисника файл ключів можна перейменувати, наприклад, в readme.txt - keeper повинен знайти там потрібні ключі.

3. Використання окремого комп'ютера (нетбука) тільки для операцій з webmoney keeper - тобто поставити там антивірус, систему і кіпер, підключати виключно для операцій з webmoney, ні по яких сайтах більше не лазити. Сюди ж можна, напевно, віднести покупку окремого мобільного телефону і роботу через мобільну версію webmoney keeper. До речі, я вже якось писав про клієнти WebMoney Keeper і Keeper Mini - для тих, хто не в курсі. Метод, звичайно, самий радикальний та, напевно, надійний. Правда, підійде лише тим, хто може собі таке дозволити і працює в мережі «по великому». Страхувати себе так сильно через 200-300 баксів на місяць немає резону.

4. Не потрібно тримати webmoney keeper classic відкритим постійно - зробили операцію і закриваємо відразу ж. На форумах є парочку історій в стилі «запустив перевірити баланс, потім пішов на кухню зробити чай, а коли повернувся, все бабло злили». З цих же причин настійно рекомендую видалити «мурашки» з трея завдань. Це взагалі якась нездорова ситуація - коли перший раз побачив, що клієнт webmoney keeper висить постійно в онлайні злегка офігів. Имхо потенційний ризик - адже до процесу може «підключитися» або вклинитися якийсь нездоровий троян або скрипт. Найцікавіше, що в налаштуваннях webmoney опції відключення не знайшов, забирав через msconfig.

5. Не зберігайте в webmoney всі свої заощадження - залишайте там рівно стільки грошей, скільки вам не шкода буде втратити. Для цієї запобіжні заходи є 2 варіанти - або виводити webmoney регулярно на свої картки (читаємо, до речі, про висновок webmoney на банківську карту ) Або зберігати гроші на рахунках в партнерських програмах. Якщо якась система для заробітку закриється випадково, то ви втратите лише частина доходу, а не всі разом. Ідеальним варіантом вважаю виведення грошей з системи тільки в разі якщо ви збираєтеся їх переводити - з перебігу декількох днів скинули весь заробіток в webmoney, а потім вивели через посередника або на карту банку.

6. Використання декількох гаманців webmoney. Пункт вельми спірне, є кілька думок щодо нього. По-перше, мене завжди насторожували партнерки, які в обов'язковому порядку при реєстрації просять вказувати номер гаманця вебманей, при цьому у них адже є ваша пошта і трохи особистих даних. На одному з форумів бачив історію, коли людина втратила дуже хороші гроші, але номер гаманця ніде не світив - як зловмисник дізнався про дохід? Ця людина і сам ніби як підозрює всякі системи - але ж щоб потрапити в адмінку деяких з них потрібно відключати Каспера, коли щось блокує доступ. Є над чим замислитися. По-друге, маючи кілька гаманців, можна розподіляти по ним свої доходи - висновок, звичайно, буде здійснюватися через головний, але ж частина грошей все одно йде на рекламу і покупку посилань / статей - їх адже можна і не світити.

7. Робота з webmoney keeper Light. У деяких обговореннях часто можна бачити інформацію про те, що мовляв злом keeper classic - звичайна справа, тоді як інформації про крадіжки коштів з Light версії немає. Даний спосіб роботи не вимагає установки окремого додатка на комп'ютері, все відбувається в web браузері. В принципі, з одного боку я не проти такого методу - захищене з'єднання + firefox або opera цілком можуть спрацювати. Але, чомусь, здається, що браузер є додатковим об'єктом ризику - це як і операційна система небезпечна штука. Хоча з таким же успіхом можна пред'являти претензії в бік webmoney keeper classic, тільки ось розробники системи повинні стежити за безпекою свого софта, а проблеми з браузером - ваша турбота. І не дивлячись на те, що зараз найпопулярніший спосіб злому це злодійство ключів, ніхто не може з упевненістю сказати мовляв я використовую keeper Light, у мене нічого не вкрадуть.

8. Використання сповіщень WebMoney Notify . Це сервіс повідомлень системи webmoney, який інформує вас поштою, асьці або sms про різні операція з гаманцями - вхід в систему, переказ грошей, отримання рахунків і т.п. Сповіщення дозволять вам оперативно зреагувати на дії зловмисника, звернутися в арбітраж і, можливо, зберегти гроші. Висновок на банківські карти ж не пару годин займає.

9. Контроль за безпекою своєї системи - не відвідувати сумнівні сайти, використовувати антивіруси, фаєрволи, оновлювати операційну систему в міру виходу патчів, не попадатися на фішинг в листах і т.п. Перевіряйте періодично комп'ютер на трояни, хоча краще намагайтеся їх не заводити. На форумах, правда, було пости про те, що навіть самі останні антивірусні бази і ліцензійні версії софта не рятували, до речі, часто пишуть про злом win XP. Сюди можна записати використання віртуальних машин - але для цього потрібен персональний атестат щоб ваш гаманець не заблокований.

10. Робота з webmoney keeper через enum . Даний сервіс дозволяє входити в систему, використовуючи спеціальний код, які генерується на вашому мобільному пристрої або за допомогою зчитування відбитків пальців. Більшість веб-майстрів перейшли на його використання, я не виняток і вам настійно рекомендую! Дуже класно, що enum дозволяє оплачувати рахунки не заходячи в кіпер! А ось працюючи через keeper classic все одно потрібно бути обережними - це ж лише захист від входу в систему, а не по роботі всередині неї.

Ось, в принципі, все, що вдалося згадати :) 11-тим я б додав правило про те, що «на 100% від злому webmoney і крадіжки грошей не захищає ні один метод». Тому, по-перше, будьте обережні, а по-друге, використовується максимально велике число запобіжних заходів разом. Це як комплексне просування - не допоможе один метод, зможе виручити інший - встановлюйте заходи захисту від самої webmoney, не зберігайте на гаманцях багато грошей, використовуйте антивіруси, оповіщення тощо

До речі, в ситуації, що склалася є дуже простий і ефективний метод, а саме підтвердження операцій по sms. Як в тій же системі liqpay для входу потрібно вводити спеціальний код, що висилається на ваш мобільних. Чому б не ввести настройку, коли кожен користувач міг би встановити для себе ліміт перерахування грошей, що не потребує смс підтвердження і, власне, сам механізм такого перекладу. Наприклад, ви вказуєте, що при виведенні суми більше 50 баксів має бути обов'язково підтвердження на мобільник - немає проблем, зате всі задоволені. Навіть, якщо зловмисник буде виводити менші суми ви відразу «спалите» його через повідомлення webmoney і зможете заблокувати рахунок. Але, на жаль, поки що ніхто таке робити не хоче.

Що ще порадите щодо захисту webmoney от злому? Ділимося досвідом в коментарях.

PS Постовий. TrueCrypt - відмінна програма для шифрування .