Название: Пропажа денег с WebMoney Отправлено: Parnter00 от 25 Октября 2010, 18:17:17 Привет всем, нужна помощь.
Цитирую сообщение оставленное в саппорт WM: (пока жду ответа, хотелось бы услышать мнение со стороны) Имело место несанкционированное движение моих средств на кошельках. Код: Расходная операция Детали операции приведены ниже Откуда: Zномер, Имя Фамилия Отчество (Ник) Куда: Z405700448994 Сумма: 60.03 WMZ Комиссия: 0.49 WMZ Примечание: Exchange 60.52 WMZ to WMR purse Rномер Дата: 25.10.10 14:39 Код: Расход, оплата счёта Детали операции приведены ниже Откуда: Rномер, Имя Фамилия Отчество (Ник) Куда: R139768380597 Сумма: 3195.88 WMR Комиссия: 25.57 WMR Примечание: Пополнение баланса для id104124542 Дата: 25.10.10 14:41 Данные переводы я не делал, во время переводов находился за компьютером, кипер был включен, примерно в 15.10 услышал характерный звук прихода средств - это был приход по обмену Z>R, я очень удивился, потому что я ничего не делал с кипером в это время. После чего я обнаружил перевод моих R средств на кошелек R139768380597. Первый раз такое вижу, что бы средства куда то сами уходили, антивирус установлен, компьютер просканирован и антивирус ничего не обнаружил. Блокировка по ип была выключена, e-num тоже, файлы ключей хранились на флешке, активация кипера включена. По логам безопасности увидел левый IP адрес с которого был запущен кипер: 365517320 2010-10-25 14:38:51 2010-10-25 14:45:00 ххх.ххх.247.120 этот ип из моей подсети, мой - ххх.ххх.253.61 статический, с которого я всегда захожу в кипер. Судя по WMID кошелька R139768380597, он принадлежит ООО "В КОНТАКТЕ". А судя по примечанию, платеж был произведен в пользу пользователя Вконтакте с id104124542, у которого на странице можно увидеть одно установленное приложение "Покупай рубли Вконтакте и плати без комиссии!", которое позволяет переводить WM в "Вконтакте" а от туда в платежную систему "Qiwi". Есть несколько вопросов. - Я правильно понимаю, что некто с адреса ххх.ххх.247.120 зашел в мой кипер через свой компьютер в 14:38:51 на 6 минут и осуществил эти 2 операции? - У злоумышленника были мои файлы ключей и пароль от них, а также доступ к моему ящику для активации нового оборудования? - По логам мыла, последний заход в него был с моего адреса 10 дней назад. Ведь если заход происходит с нового ип адреса, то нужно активировать кипер через мыло, так? несостыковочка... - Как обезопасить себя от повторного случия? - Имеет ли смысл писать заявление в милицию? Пусть сумма не большая, но принцип важнее.. - Был ли это вообще злоумышленник из моей подсети? Слишком все очевидно.. +несостыковочка с мылом.. .... Что бы вы посоветовали мне делать в данной ситуации? Название: Re: Пропажа денег с WebMoney Отправлено: Igor Michailov от 25 Октября 2010, 18:27:50 У вас в компьютере однозначно сидит вирус.
Название: Re: Пропажа денег с WebMoney Отправлено: Parnter00 от 25 Октября 2010, 18:34:40 У вас в компьютере однозначно сидит вирус. Получается что переводы были с моего компьютера, а управлял переводами этот вирус? От куда тогда появилось левое ип в безопасности? Хотелось бы услышать мнения и по другим заданым в саппорт вопросам Название: Re: Пропажа денег с WebMoney Отправлено: Антон Серго от 25 Октября 2010, 19:07:18 Получается что переводы были с моего компьютера, а управлял переводами этот вирус? От куда тогда появилось левое ип в безопасности? Хотелось бы услышать мнения и по другим заданым в саппорт вопросам Может сперва дождемся их ответа?Название: Re: Пропажа денег с WebMoney Отправлено: Parnter00 от 25 Октября 2010, 19:12:08 Список необходимых действий:
1. Проведите полное сканирование Вашего компьютера антивирусной программой и поищите вирусы. Если это не получается сделать, используйте другой антивирус или задумайтесь о полной переустановке ОС. Также для того чтобы найти вирус-Троян, который не обнаруживают антивирусы, Вы можете поступить следующим образом, см. http://virusinfo.info/showthread.php?t=1235 2. Cмените ключи доступа в Кипер (см. http://wiki.webmoney.ru/wiki/show/smena_klyuchey_WM_Keeper_Classic ) и пароль на вход в кипер (это делается в меню инструменты – параметры программы – вкладка безопасность – изменить пароль). Смените пароль на ваш почтовый ящик. Скачайте заново! и установите последнюю версию кипера с сайта www.webmoney.ru 3. Обязательно поставьте блокировку по IP. Помните, что если у Вас динамический IP или же несколько точек входа, это не препятствие, см. http://www.webmoney.ru/rus/about/demo/help/classic/resp3_07_ipblock.shtml Если у Вас возникают проблемы с установкой блокировки по IP ознакомтесь с инструкциями по ссылке http://wiki.webmoney.ru/wiki/show/Blokirovka_po_IP 4. Изучите журнал подключений к Вашему wmid с целью выявления подозрительных IP-адресов. Делать это следует по ссылке - https://security.webmoney.ru/asp/default.asp 5. Пересмотрите своё отношение к безопасности Вашей системы и внимательно изучите раздел, посвященный безопасному использованию кипера - https://security.webmoney.ru/asp/default.asp Вам следует обратиться в милицию с заявлением о совершении в отношении Вас противоправных действий. Для этого Вам необходимо: 1. Обратиться в ОВД по месту Вашего жительства; 2. Не забыть взять с собой паспорт; 3. Написать заявление на имя начальника ОВД, в которое Вы обратились; 4. Получить талон-уведомление о регистрации Вашего заявления в журнале КУСП; 5. Рекомендовать дежурному по ОВД (либо лицу, принимавшему у Вас заявление) обратиться для разрешения вопросов, связанных с Вашим заявлением, в подразделения Специальных Технических Мероприятий. В заявлении необходимо максимально точно указать всю имеющуюся у Вас информацию: номер кошелька, Ваши контактные данные, подробную информацию о платеже. По возможности приложите документы, подтверждающие зачисления на Ваш кошелек. Также следует приложить распечатку всех IP-адресов, с которых заходили в Кошелёк. Получить историю входов в Кошелёк можно здесь https://security.webmoney.ru/asp/default.asp, опция “Журнал IP”. Дополнительную имеющуюся у нас информацию, касающуюся данного дела, мы предоставим правоохранительным органам по запросу. Название: Re: Пропажа денег с WebMoney Отправлено: Parnter00 от 25 Октября 2010, 19:12:53 На большинство вопросов я не получил от них ответ..
Название: Re: Пропажа денег с WebMoney Отправлено: Parnter00 от 25 Октября 2010, 19:43:22 А хотелось бы узнать что..
Если в журнале подключений к моему wmid присутствует "левый" ip, значит с этого ип (либо через это звено в цепочке) кто то зашел на мой кипер? И следовательно он знал пароль от моего wmid, у него были ключи для входа, а так же доступ к моему мылу? Ведь иначе, как я понимаю, доступа к киперу не получить? Но если в журнале мыла нету записи что туда кто то заходил за последние 10 дней и соответственно никто не активировал оборудование, а активация включена на кипере, от куда же взялась запись в журнале кипера о левом ип во время совершения этих переводов? Был ли это вообще злоумышленник из моей подсети? Не слишком ли глупо получается.. совершить такое и оставить свой след, причем ип именно моего провайдера, моего города... Неспроста это. Если даже он и достал файлы ключей от кипера и пароль от него, что очень маловероятно, но он точно никак не мог узнать пароль от этих ключей и он не заходил на мыло что бы активировать оборудование. Получается что эти переводы были произведены прямо с моего компьютера, от сюда напрашивается вопрос, от куда тогда это левое ип в журнале? Непонятная ситуейшн) Название: Re: Пропажа денег с WebMoney Отправлено: Parnter00 от 26 Октября 2010, 13:42:01 В ходе расследования необходимо будет каким то образом подтверждать происхождение средств на моих кошельках? Не попросят ли у меня компьютер, с которого я заходил на мой WMID для экспертизы и т.п..? И вообщем, в целом, от меня кроме заявления еще нужно что то будет? Просто не хочется дальнейшего гемора после написания заявления..
И еше.. не могли бы вы дать примерный шаблон написания заявления? Название: Re: Пропажа денег с WebMoney Отправлено: Алексей А. Шаталов от 26 Октября 2010, 14:25:42 В ходе расследования необходимо будет каким то образом подтверждать происхождение средств на моих кошельках? Не попросят ли у меня компьютер, с которого я заходил на мой WMID для экспертизы и т.п..? Какой в этом смысл, если подтвердить, с какого компьютера Вы заходили на WMID можно по Вашему ip-адресу, который привязывает месторасположение пользователя по широте-долготе с точностью до метра.И вообщем, в целом, от меня кроме заявления еще нужно что то будет? Просто не хочется дальнейшего гемора после написания заявления.. Нужно будет являться на допросы, знакомиться с материалами дела и т.д., в общем, участвовать в производстве по делу в качестве потерпевшего. Как правило, изначально такие дела сливают в отказные материалы, и вообще не возбуждают. Так что, Вам одному рассчитывать на что-либо дельное не стоит без помощи специалиста, который...И еше.. не могли бы вы дать примерный шаблон написания заявления? и составит Вам заявление и все остальное...Название: Re: Пропажа денег с WebMoney Отправлено: Parnter00 от 26 Октября 2010, 14:40:00 А данный специалист и есть человек, который принимает заявление? Сомневаюсь что он будет что то понимать в вебмани\интернете и т.п.. Нужно кого то определенного искать на этот случай?
Название: Re: Пропажа денег с WebMoney Отправлено: Алексей А. Шаталов от 26 Октября 2010, 14:59:23 А данный специалист и есть человек, который принимает заявление? Сомневаюсь что он будет что то понимать в вебмани\интернете и т.п.. Нужно кого то определенного искать на этот случай? Принимать у Вас заявление будет дежурный оперативный сотрудник. Он может работать, например, по линии угонов, а сегодня он просто по графику заступил на дежурство. Вот и думайте, как хорошо он разбирается в том, что такое, вообще, WM, или нет...Название: Re: Пропажа денег с WebMoney Отправлено: Igor Michailov от 26 Октября 2010, 18:27:27 А данный специалист и есть человек, который принимает заявление? Сомневаюсь что он будет что то понимать в вебмани\интернете и т.п.. Нужно кого то определенного искать на этот случай? А ему и не надо ничего понимать. Его дело: заявление от вас принять, зарегистрировать его в КУПС, выдать вам талон-уведомление.Название: Re: Пропажа денег с WebMoney Отправлено: Николай Николаевич Федотов от 26 Октября 2010, 19:06:55 А хотелось бы узнать что.. Вам прислали очень правильные советы. Ведь ваша задача - избежать дальнейшего или последующего хищения, а не устанавливать технические подробности работы вражеского трояна. Тем более, вам не следует заниматься розыском. Если в журнале подключений к моему wmid присутствует "левый" ip, значит с этого ип (либо через это звено в цепочке) кто то зашел на мой кипер? И следовательно он знал пароль от моего wmid, у него были ключи для входа, а так же доступ к моему мылу? Ведь иначе, как я понимаю, доступа к киперу не получить? Но если в журнале мыла нету записи что туда кто то заходил за последние 10 дней и соответственно никто не активировал оборудование, а активация включена на кипере, от куда же взялась запись в журнале кипера о левом ип во время совершения этих переводов? Указанных вами данные недостаточно для построения версий. Не вполне понятно, что вы называете "логами мыла". При передаче электронной почты различные логи ведутся в двенадцати местах.Впрочем, одну версию я вам выскажу. На вашем компьютере сидит троян, который совершает операции прямо от вашего имени, с вашего адреса. Был ли это вообще злоумышленник из моей подсети? Не слишком ли глупо получается.. совершить такое и оставить свой след, причем ип именно моего провайдера, моего города... Неспроста это. Не исключено, что в логах засветился ваш собственный IP-адрес, который провайдер выделил вам в предыдущем сеансе связи. Если даже он и достал файлы ключей от кипера и пароль от него, что очень маловероятно, но он точно никак не мог узнать пароль от этих ключей и он не заходил на мыло что бы активировать оборудование. Получается что эти переводы были произведены прямо с моего компьютера, от сюда напрашивается вопрос, от куда тогда это левое ип в журнале? Непонятная ситуейшн) Расшифровать ключи не очень сложно. Активация оборудования не является необходимой. В ходе расследования необходимо будет каким то образом подтверждать происхождение средств на моих кошельках? Нет. Не попросят ли у меня компьютер, с которого я заходил на мой WMID для экспертизы и т.п..? Непременно. Без такой экспертизы нет расследования. И вообщем, в целом, от меня кроме заявления еще нужно что то будет? Участие в деле в качестве потерпевшего. Скорее всего, вам (вашему адвокату) придётся обжаловать попытки отказать в возбуждении дела или прекратить его под надуманными предлогами. Просто не хочется дальнейшего гемора после написания заявления.. Без этого не обойтись. Так устроена правоохранительная система в любой стране.Название: Re: Пропажа денег с WebMoney Отправлено: Parnter00 от 26 Октября 2010, 22:54:45 Спасибо за ответы. По поводу засвеченного IP адреса - у меня статический (постоянный) адрес и в журнале только он, кроме этого одного "левого'
и по поводу Цитировать Непременно. Без такой экспертизы нет расследования. Я же как потерпевший выступать буду, зачем у меня компьютер забирать на экспертизу? Что там найдут? Ведь все необходимые логи и в т.ч. мой ип предоставит WM органам правопорядка? Название: Re: Пропажа денег с WebMoney Отправлено: Udo Kraft от 14 Марта 2011, 13:46:55 - Имеет ли смысл писать заявление в милицию? Пусть сумма не большая, но принцип важнее.. Нет и еще раз нет. 90% вероятности того, что у вас на машине вирус. Проверьте все внимательно и считайте пропавшие 100 баксов как плату за науку.По существу. Вам тут уже кратко описали все возможные мытарства после обращения в милицию. Прикиньте - что вам дороже. Далее. На моей практие были случаи (не со мной :)), когда в подобной ситуации в результате все шишки сыпались на подавшего заявление. У вас заберут комп, причем надолго, посмотрят, что есть интересного на диске (а все ли ваше ПО легально??) и т.д. Оно вам надо? Енум, файлы паролей на флешке, а флешка - ТОЛЬКО под подушкой. Да, еще я надеюсь, что у вас персональный аттестат? Удачи! |