Это случилось и с нами - PAXUM

design:, а все таки, когда уводили деньги, вроде как не было защиты у вас по IP? То есть максимум, что могли знать, это пароль.
Тут уже спрашивали, но ты не ответил - пароль был уникальный для аккаунта, или где-то такой ты уже юзал в другом месте? И был ли он random генеренный, или какие-то слова простые, чтобы перебрать по словарю можно? Если взломали через пароль - то тут остается несколько простых вариантов, откуда это все взялось. Например, ты мог юзать пароль такой же, как где либо на партнерке в аккаунте, где в ней же в реквизитах стоял паксум...

P.S. С Паксумом не работаю, но думаю вот...

ТС я может и не до конца в теме, какая там система с логинами и паролями на PAXUM-е, но здравый смысл подсказывает, что брутом пароль сломать - это машине пару-тройку столетий надо провести, не отключаясь от питания. если пароль только не "123"

не надо так пугать с утра! я чуть не усрался

Все написаное героем полная чушь . Пострадавший подхватил троян/вирус и не имел минимальной защиты даже по IP. И стал жертвой своей халатности. Пахум тут не причем



продолжение истории

По безопасности Paxum и других и о халатности юзеров

xkrainer писал:

Все написаное героем полная чушь . Пострадавший подхватил троян/вирус и не имел минимальной защиты даже по IP. И стал жертвой своей халатности. Пахум тут не причем продолжение истории По безопасности Paxum и других и о халатности юзеров

и тебе не болеть, ссылка верна.

Я думаю что в первую очередь виноват "личный фактор" иначе даже при современных методах с ключами и смс и IP и т.д. не крали денег бы с таких систем как например Webmoney..

Связка сплойтов тырящие все вводимые данные в браузере,поиск и отсыл хозяину сплойта ключей и подвешивание соксов - вот и всё, у злоумышленника все ваши пароли,ключи и IP.

Если сам лично не понимаешь ничего в безопасности то заведи нетбук для денежных операций. Стоит 10-15к. рублей но явно окупится.

_4eburek писал:

Может легче отдельный комп дешевый купить чтобы только через него производить денежные чтобы трояна не подхватить ? на 1.1к спизженных денег можно их штуки 2-3 купить (ноута или нетбука)

может просто МАС купить для этого ?

Зачем мак? Нетбук за 300-350 баксов с Ubuntu и забыть про такой ужас как финансы на винде.

seanx писал:

Я думаю что в первую очередь виноват "личный фактор" иначе даже при современных методах с ключами и смс и IP и т.д. не крали денег бы с таких систем как например Webmoney.. Связка сплойтов тырящие все вводимые данные в браузере,поиск и отсыл хозяину сплойта ключей и подвешивание соксов - вот и всё, у злоумышленника все ваши пароли,ключи и IP. Если сам лично не понимаешь ничего в безопасности то заведи нетбук для денежных операций. Стоит 10-15к. рублей но явно окупится.

С вебмани так просто не возьмешь, если стоит enum. Те надо получить еще и доступ к телефону, потому как никаких ключей на компе нет.

supphosting.com писал:

Зачем мак? Нетбук за 300-350 баксов с Ubuntu и забыть про такой ужас как финансы на винде.

то же верно ...

iph писал:

С вебмани так просто не возьмешь, если стоит enum. Те надо получить еще и доступ к телефону, потому как никаких ключей на компе нет.

Троян перехватывает код запроса и ответ с енума, отправляет данные хакеру, который подбирает код хранящийся на телефоне в енуме. Судя по тому, что уже были случаи взлома, коды там слабенькие.

supphosting.com писал:

Троян перехватывает код запроса и ответ с енума, отправляет данные хакеру, который подбирает код хранящийся на телефоне в енуме. Судя по тому, что уже были случаи взлома, коды там слабенькие.

Как он может перехватить код ответа? Код ответа - это как пинкалькулятор в банке. Каждому телефону ставится "своя" прога, которая и генерит коды ответа отдельно от сети. Как перехватить тут? А смс как перехватить?

На данный момент я не вижу более совершенной защиты на рынке электронных валют. Если конечно можно как-то обмануть клиент, заставив его засчитать ответ правильным или вычислить этот ответ, но имхо это сложно и не слышал про такое.

ну если банковские трои обходят банковские брелки, при помощи автозалива, то я уверен (да и в продаже видел ) имеются автозаливы и на вебмани, и на паксум и на что угодно напишут.

храните деньги на сберкнижках ёбаныйврот ! lol

iph писал:

Как он может перехватить код ответа? Код ответа - это как пинкалькулятор в банке. Каждому телефону ставится "своя" прога, которая и генерит коды ответа отдельно от сети. Как перехватить тут? А смс как перехватить? На данный момент я не вижу более совершенной защиты на рынке электронных валют. Если конечно можно как-то обмануть клиент, заставив его засчитать ответ правильным или вычислить этот ответ, но имхо это сложно и не слышал про такое.

Код запроса ты видишь в браузере (тут сомнений в возможности перехвата нет?). Кот ответа ты вводишь на клавиатуре и отправляешь тем же браузером. Остается только расчитать ключ.

supphosting.com писал:

Код запроса ты видишь в браузере (тут сомнений в возможности перехвата нет?). Кот ответа ты вводишь на клавиатуре и отправляешь тем же браузером. Остается только расчитать ключ.

Я пользуюсь не лайт версией и в браузере ничего не ввожу. Ввожу в самом кипере. Задача практически сводится к реверсу самого кипера. Можно наверное конечно отследить когда он активировался и перевести деньги, так наверное проще, чем побеждать активацию. Для особо паранойных ставьте себе мобильное приложение + enum.

Я все к тому, что сильно сложно это все и наверняка в пропаже денег другие механизмы работали. Многим просто тяжело признаваться потом, что они не использовали все возможности по безопасности.

supphosting.com писал:

Код запроса ты видишь в браузере (тут сомнений в возможности перехвата нет?). Кот ответа ты вводишь на клавиатуре и отправляешь тем же браузером. Остается только расчитать ключ.

Переведи в гуглтранслейте слово enum и скажи, что тут можно рассчитать.

iph посмотри как у торнадо деньги увели.
СМС активацию тоже обошли.
Приложение enum для телефонов - слабое, об этом тоже писали, лень гуглить искать пруф если честно

taj писал:

Приложение enum для телефонов - слабое, об этом тоже писали, лень гуглить искать пруф если честно

Это де-факто тот же дигипасс. Что в простой перечислялке вопрос-ответ может быть слабого?

pounder писал:

Это де-факто тот же дигипасс. Что в простой перечислялке вопрос-ответ может быть слабого?

прокладка между креслом и клавиатурой.

Надо им ставить защиту по смс как у епейсервиса, такую обойти врядли реально. И ты всегда в курсе когда кто-либо на твой акк ломится получив смс. И поставить задержку на любой мгновенный вывод из системы, хотябы 30 минут, что-бы если что, было время позвонить в сапорт и заблокировать акк.

самая охуенная защита - логин и пасс ... ненадо больше нихрена ... все остальные улучшения только расслабляют ...

на ВМ понаставили хуйни всякой что хрен самому иной раз что получить или отправить, видимость полной безопасности, а толку? и мыло спиздят, и под ипом твоей сетки зайдут, и ключь с внешнего носителя прочитают ... всегда постараются изьебнутся, чтоб спиздить, и спиздят обязательно, как только расслабишся и еблом щелкать начнешь ...

так вот, чтоб еблом не щелкать и не расслабляться, самое лучшее когда защита со стороны системы минимальна ... все, лишний раз не полезешь с общественных мест, где траф проанализировать можно, с домашнего компа, на котором варезный фотошоп стоит тоже не полезешь ... а позаботишься чтоб и отдельный нетбук был для платежей, и чтоб ОС там стояла лицензионная и т.п. и все будет заибись

Фигасе философия.