С нами с 29.02.04
Сообщения: 1118
Рейтинг: 883
|
Добавлено: 19/01/11 в 17:38 |
design:, а все таки, когда уводили деньги, вроде как не было защиты у вас по IP? То есть максимум, что могли знать, это пароль.
Тут уже спрашивали, но ты не ответил - пароль был уникальный для аккаунта, или где-то такой ты уже юзал в другом месте? И был ли он random генеренный, или какие-то слова простые, чтобы перебрать по словарю можно? Если взломали через пароль - то тут остается несколько простых вариантов, откуда это все взялось. Например, ты мог юзать пароль такой же, как где либо на партнерке в аккаунте, где в ней же в реквизитах стоял паксум...
P.S. С Паксумом не работаю, но думаю вот...
|
|
|
|
+ + +
профессионально дышу. дорого.
С нами с 30.04.10
Сообщения: 1076
Рейтинг: 34
|
Добавлено: 19/01/11 в 20:06 |
ТС я может и не до конца в теме, какая там система с логинами и паролями на PAXUM-е, но здравый смысл подсказывает, что брутом пароль сломать - это машине пару-тройку столетий надо провести, не отключаясь от питания. если пароль только не "123"
|
|
|
|
Ищу рай
С нами с 20.09.06
Сообщения: 6999
Рейтинг: 525
|
Добавлено: 20/01/11 в 17:52 |
не надо так пугать с утра! я чуть не усрался
|
|
|
|
erMoney
С нами с 30.04.04
Сообщения: 3836
Рейтинг: 1826
|
Добавлено: 22/01/11 в 14:43 |
|
|
|
|
С нами с 28.08.03
Сообщения: 155
Рейтинг: 54
|
Добавлено: 23/01/11 в 05:05 |
и тебе не болеть, ссылка верна.
|
|
|
|
С нами с 20.11.06
Сообщения: 515
Рейтинг: 614
|
Добавлено: 24/01/11 в 21:00 |
Я думаю что в первую очередь виноват "личный фактор" иначе даже при современных методах с ключами и смс и IP и т.д. не крали денег бы с таких систем как например Webmoney..
Связка сплойтов тырящие все вводимые данные в браузере,поиск и отсыл хозяину сплойта ключей и подвешивание соксов - вот и всё, у злоумышленника все ваши пароли,ключи и IP.
Если сам лично не понимаешь ничего в безопасности то заведи нетбук для денежных операций. Стоит 10-15к. рублей но явно окупится.
|
|
|
|
ASSES AND TITS
С нами с 15.03.03
Сообщения: 4478
Рейтинг: 1816
|
Добавлено: 15/02/11 в 23:34 |
_4eburek писал: | Может легче отдельный комп дешевый купить чтобы только через него производить денежные чтобы трояна не подхватить ? на 1.1к спизженных денег можно их штуки 2-3 купить (ноута или нетбука) |
может просто МАС купить для этого ?
|
|
|
|
С нами с 02.09.06
Сообщения: 598
Рейтинг: 613
|
Добавлено: 16/02/11 в 03:21 |
Зачем мак? Нетбук за 300-350 баксов с Ubuntu и забыть про такой ужас как финансы на винде.
|
|
|
|
С нами с 21.12.08
Сообщения: 851
Рейтинг: 431
|
Добавлено: 16/02/11 в 04:20 |
seanx писал: | Я думаю что в первую очередь виноват "личный фактор" иначе даже при современных методах с ключами и смс и IP и т.д. не крали денег бы с таких систем как например Webmoney..
Связка сплойтов тырящие все вводимые данные в браузере,поиск и отсыл хозяину сплойта ключей и подвешивание соксов - вот и всё, у злоумышленника все ваши пароли,ключи и IP.
Если сам лично не понимаешь ничего в безопасности то заведи нетбук для денежных операций. Стоит 10-15к. рублей но явно окупится. |
С вебмани так просто не возьмешь, если стоит enum. Те надо получить еще и доступ к телефону, потому как никаких ключей на компе нет.
|
|
|
|
ASSES AND TITS
С нами с 15.03.03
Сообщения: 4478
Рейтинг: 1816
|
Добавлено: 16/02/11 в 17:05 |
supphosting.com писал: | Зачем мак? Нетбук за 300-350 баксов с Ubuntu и забыть про такой ужас как финансы на винде. |
то же верно ...
|
|
|
|
С нами с 02.09.06
Сообщения: 598
Рейтинг: 613
|
Добавлено: 16/02/11 в 17:44 |
iph писал: | С вебмани так просто не возьмешь, если стоит enum. Те надо получить еще и доступ к телефону, потому как никаких ключей на компе нет. |
Троян перехватывает код запроса и ответ с енума, отправляет данные хакеру, который подбирает код хранящийся на телефоне в енуме. Судя по тому, что уже были случаи взлома, коды там слабенькие.
|
|
|
|
С нами с 21.12.08
Сообщения: 851
Рейтинг: 431
|
Добавлено: 16/02/11 в 18:36 |
supphosting.com писал: | Троян перехватывает код запроса и ответ с енума, отправляет данные хакеру, который подбирает код хранящийся на телефоне в енуме. Судя по тому, что уже были случаи взлома, коды там слабенькие. |
Как он может перехватить код ответа? Код ответа - это как пинкалькулятор в банке. Каждому телефону ставится "своя" прога, которая и генерит коды ответа отдельно от сети. Как перехватить тут? А смс как перехватить?
На данный момент я не вижу более совершенной защиты на рынке электронных валют. Если конечно можно как-то обмануть клиент, заставив его засчитать ответ правильным или вычислить этот ответ, но имхо это сложно и не слышал про такое.
|
|
|
|
С нами с 26.10.10
Сообщения: 215
Рейтинг: 35
|
Добавлено: 16/02/11 в 22:27 |
ну если банковские трои обходят банковские брелки, при помощи автозалива, то я уверен (да и в продаже видел ) имеются автозаливы и на вебмани, и на паксум и на что угодно напишут.
|
|
|
|
ASSES AND TITS
С нами с 15.03.03
Сообщения: 4478
Рейтинг: 1816
|
Добавлено: 16/02/11 в 22:47 |
храните деньги на сберкнижках ёбаныйврот ! lol
|
|
|
|
С нами с 02.09.06
Сообщения: 598
Рейтинг: 613
|
Добавлено: 17/02/11 в 01:51 |
iph писал: | Как он может перехватить код ответа? Код ответа - это как пинкалькулятор в банке. Каждому телефону ставится "своя" прога, которая и генерит коды ответа отдельно от сети. Как перехватить тут? А смс как перехватить?
На данный момент я не вижу более совершенной защиты на рынке электронных валют. Если конечно можно как-то обмануть клиент, заставив его засчитать ответ правильным или вычислить этот ответ, но имхо это сложно и не слышал про такое. |
Код запроса ты видишь в браузере (тут сомнений в возможности перехвата нет?). Кот ответа ты вводишь на клавиатуре и отправляешь тем же браузером. Остается только расчитать ключ.
|
|
|
|
С нами с 21.12.08
Сообщения: 851
Рейтинг: 431
|
Добавлено: 17/02/11 в 02:01 |
supphosting.com писал: | Код запроса ты видишь в браузере (тут сомнений в возможности перехвата нет?). Кот ответа ты вводишь на клавиатуре и отправляешь тем же браузером. Остается только расчитать ключ. |
Я пользуюсь не лайт версией и в браузере ничего не ввожу. Ввожу в самом кипере. Задача практически сводится к реверсу самого кипера. Можно наверное конечно отследить когда он активировался и перевести деньги, так наверное проще, чем побеждать активацию. Для особо паранойных ставьте себе мобильное приложение + enum.
Я все к тому, что сильно сложно это все и наверняка в пропаже денег другие механизмы работали. Многим просто тяжело признаваться потом, что они не использовали все возможности по безопасности.
|
|
|
|
С нами с 10.02.11
Сообщения: 476
Рейтинг: 36
|
Добавлено: 17/02/11 в 09:35 |
supphosting.com писал: | Код запроса ты видишь в браузере (тут сомнений в возможности перехвата нет?). Кот ответа ты вводишь на клавиатуре и отправляешь тем же браузером. Остается только расчитать ключ. |
Переведи в гуглтранслейте слово enum и скажи, что тут можно рассчитать.
|
|
|
|
С нами с 05.04.07
Сообщения: 1661
Рейтинг: 1090
|
Добавлено: 17/02/11 в 09:41 |
iph посмотри как у торнадо деньги увели.
СМС активацию тоже обошли.
Приложение enum для телефонов - слабое, об этом тоже писали, лень гуглить искать пруф если честно
|
|
|
|
С нами с 10.02.11
Сообщения: 476
Рейтинг: 36
|
Добавлено: 17/02/11 в 10:46 |
taj писал: | Приложение enum для телефонов - слабое, об этом тоже писали, лень гуглить искать пруф если честно |
Это де-факто тот же дигипасс. Что в простой перечислялке вопрос-ответ может быть слабого?
|
|
|
|
С нами с 26.10.10
Сообщения: 215
Рейтинг: 35
|
Добавлено: 21/02/11 в 01:28 |
pounder писал: | Это де-факто тот же дигипасс. Что в простой перечислялке вопрос-ответ может быть слабого? |
прокладка между креслом и клавиатурой.
|
|
|
|
deluxecoin.com
С нами с 27.11.08
Сообщения: 1447
Рейтинг: 707
|
Добавлено: 21/02/11 в 10:35 |
Надо им ставить защиту по смс как у епейсервиса, такую обойти врядли реально. И ты всегда в курсе когда кто-либо на твой акк ломится получив смс. И поставить задержку на любой мгновенный вывод из системы, хотябы 30 минут, что-бы если что, было время позвонить в сапорт и заблокировать акк.
|
|
|
|
+ +
клоны загельмахера
С нами с 11.10.08
Сообщения: 14532
Рейтинг: 1943
|
Добавлено: 25/02/11 в 04:43 |
самая охуенная защита - логин и пасс ... ненадо больше нихрена ... все остальные улучшения только расслабляют ...
на ВМ понаставили хуйни всякой что хрен самому иной раз что получить или отправить, видимость полной безопасности, а толку? и мыло спиздят, и под ипом твоей сетки зайдут, и ключь с внешнего носителя прочитают ... всегда постараются изьебнутся, чтоб спиздить, и спиздят обязательно, как только расслабишся и еблом щелкать начнешь ...
так вот, чтоб еблом не щелкать и не расслабляться, самое лучшее когда защита со стороны системы минимальна ... все, лишний раз не полезешь с общественных мест, где траф проанализировать можно, с домашнего компа, на котором варезный фотошоп стоит тоже не полезешь ... а позаботишься чтоб и отдельный нетбук был для платежей, и чтоб ОС там стояла лицензионная и т.п. и все будет заибись
|
|
бандера придет - пизды огребет
|
0
|
|
|
Авм в Тверь - сайн в дверь
С нами с 13.03.06
Сообщения: 1152
Рейтинг: 254
|
Добавлено: 25/02/11 в 08:09 |
Фигасе философия.
|
|
|
|