Новая тема   Ответить

 Perlover
design:, а все таки, когда уводили деньги, вроде как не было защиты у вас по IP? То есть максимум, что могли знать, это пароль.
Тут уже спрашивали, но ты не ответил - пароль был уникальный для аккаунта, или где-то такой ты уже юзал в другом месте? И был ли он random генеренный, или какие-то слова простые, чтобы перебрать по словарю можно? Если взломали через пароль - то тут остается несколько простых вариантов, откуда это все взялось. Например, ты мог юзать пароль такой же, как где либо на партнерке в аккаунте, где в ней же в реквизитах стоял паксум...

P.S. С Паксумом не работаю, но думаю вот...

 [ДантеS]
ТС я может и не до конца в теме, какая там система с логинами и паролями на PAXUM-е, но здравый смысл подсказывает, что брутом пароль сломать - это машине пару-тройку столетий надо провести, не отключаясь от питания. если пароль только не "123"

 JasonX
не надо так пугать с утра! я чуть не усрался

 xkrainer
Все написаное героем полная чушь . Пострадавший подхватил троян/вирус и не имел минимальной защиты даже по IP. И стал жертвой своей халатности. Пахум тут не причем



продолжение истории

По безопасности Paxum и других и о халатности юзеров

 design
xkrainer писал:
и тебе не болеть, ссылка верна.

 seanx
Я думаю что в первую очередь виноват "личный фактор" иначе даже при современных методах с ключами и смс и IP и т.д. не крали денег бы с таких систем как например Webmoney..

Связка сплойтов тырящие все вводимые данные в браузере,поиск и отсыл хозяину сплойта ключей и подвешивание соксов - вот и всё, у злоумышленника все ваши пароли,ключи и IP.

Если сам лично не понимаешь ничего в безопасности то заведи нетбук для денежных операций. Стоит 10-15к. рублей но явно окупится.

 Big Voo
_4eburek писал:

может просто МАС купить для этого ?

 supphosting.com
Зачем мак? Нетбук за 300-350 баксов с Ubuntu и забыть про такой ужас как финансы на винде.

 iph
seanx писал:

С вебмани так просто не возьмешь, если стоит enum. Те надо получить еще и доступ к телефону, потому как никаких ключей на компе нет.

 Big Voo
supphosting.com писал:

то же верно ...

 supphosting.com
iph писал:
Троян перехватывает код запроса и ответ с енума, отправляет данные хакеру, который подбирает код хранящийся на телефоне в енуме. Судя по тому, что уже были случаи взлома, коды там слабенькие.

 iph
supphosting.com писал:

Как он может перехватить код ответа? Код ответа - это как пинкалькулятор в банке. Каждому телефону ставится "своя" прога, которая и генерит коды ответа отдельно от сети. Как перехватить тут? А смс как перехватить?

На данный момент я не вижу более совершенной защиты на рынке электронных валют. Если конечно можно как-то обмануть клиент, заставив его засчитать ответ правильным или вычислить этот ответ, но имхо это сложно и не слышал про такое.

 tramadol
ну если банковские трои обходят банковские брелки, при помощи автозалива, то я уверен (да и в продаже видел ) имеются автозаливы и на вебмани, и на паксум и на что угодно напишут.

 Big Voo
храните деньги на сберкнижках ёбаныйврот ! lol

 supphosting.com
iph писал:
Код запроса ты видишь в браузере (тут сомнений в возможности перехвата нет?). Кот ответа ты вводишь на клавиатуре и отправляешь тем же браузером. Остается только расчитать ключ.

 iph
supphosting.com писал:

Я пользуюсь не лайт версией и в браузере ничего не ввожу. Ввожу в самом кипере. Задача практически сводится к реверсу самого кипера. Можно наверное конечно отследить когда он активировался и перевести деньги, так наверное проще, чем побеждать активацию. Для особо паранойных ставьте себе мобильное приложение + enum.

Я все к тому, что сильно сложно это все и наверняка в пропаже денег другие механизмы работали. Многим просто тяжело признаваться потом, что они не использовали все возможности по безопасности.

 pounder
supphosting.com писал:
Переведи в гуглтранслейте слово enum и скажи, что тут можно рассчитать.

 taj
iph посмотри как у торнадо деньги увели.
СМС активацию тоже обошли.
Приложение enum для телефонов - слабое, об этом тоже писали, лень гуглить искать пруф если честно

 pounder
taj писал:
Это де-факто тот же дигипасс. Что в простой перечислялке вопрос-ответ может быть слабого?

 tramadol
pounder писал:
прокладка между креслом и клавиатурой.

 Neverland
Надо им ставить защиту по смс как у епейсервиса, такую обойти врядли реально. И ты всегда в курсе когда кто-либо на твой акк ломится получив смс. И поставить задержку на любой мгновенный вывод из системы, хотябы 30 минут, что-бы если что, было время позвонить в сапорт и заблокировать акк.

 cdroller
самая охуенная защита - логин и пасс ... ненадо больше нихрена ... все остальные улучшения только расслабляют ...

на ВМ понаставили хуйни всякой что хрен самому иной раз что получить или отправить, видимость полной безопасности, а толку? и мыло спиздят, и под ипом твоей сетки зайдут, и ключь с внешнего носителя прочитают ... всегда постараются изьебнутся, чтоб спиздить, и спиздят обязательно, как только расслабишся и еблом щелкать начнешь ...

так вот, чтоб еблом не щелкать и не расслабляться, самое лучшее когда защита со стороны системы минимальна ... все, лишний раз не полезешь с общественных мест, где траф проанализировать можно, с домашнего компа, на котором варезный фотошоп стоит тоже не полезешь ... а позаботишься чтоб и отдельный нетбук был для платежей, и чтоб ОС там стояла лицензионная и т.п. и все будет заибись

 Xvost
Фигасе философия.