Манимейкер, будь осторожен! Часть 1

07.03.2008 г.
Этой статьей я открываю цикл статей на тему безопасности в интернете. Начну с довольно интересной истории одного хакера который заполучил кругленькую сумму и при этом остался совершенно безнаказан. Из рассказа я убрал почти всю техническую часть оставив главное - пищу для размышлений. Статья будет полезна как продавцам так и покупателям, читать всем обязательно! Итак, история

Одним прекрасным летним днем, когда все нормальные люди веселятся за городом на реке, я сидел в душной комнате, и проклиная свой ораз жизни, заканчивал работу над очередным заказным взломом. Заказчик оказался адекватным человеком, поэтому расплатился со мной практически сразу доплатив сверх 100$ премиальных за срочность. Получив увесистую сумму на свой WM-кошелек я решил прикупить пару девайсов для своего компа - налить деньги было в лом, поэтому совершить покупку я решил в электронном магазине. Зайдя на Яндекс я столкнулся с солидным списком крупных сетевых магазинов и вошел в один из них. Просмотрев прайс-лист и определившись с заказом жму кнопку "Оформить заказ" и увидел что платить придется либо сбербанком, либо наложенным платежом. Однаков последней строчке страницы я увидел что администрация магазина принимает оплату также виртуальными деньгами, но без автоматического оформления сделки. Иными словами, утром - деньги, вечером - стулья, об автоматическом процессинге платежей эти ребята ничего не слышали :( R К жалению таким средневековым способом оплаты практикуют множество сетевых барахолок, что едвали украшает интернет.

На этом история не заканчивается. Стрококй ниже я увидел объявление "Если у вас возникли проблемы или пожелания - напишите об этом в нащ форум". Ого, да у них еще и свой форум есть...

Дальше все технические подробюности я уберу, скажу лишь что получить полный доступ ко всем файлам на чтение/запись удалось через форум... Продолжу его расскоз после получения рутовских (root - главный администратор сервера) прав

Под рутом я мог выполнять любые действия, но почему-то захотелось только одного - денег :). Я зашел в каталог с www-документами и скриптами и начал ковыряться в движке интернет-магазина. Сперва я хотел оставить обратный ход в коде, а затем у меня возникла мысль написать администратору об ошибках и не лезть на рожон. Но остановился на третьем варианте - мне пришла в голову мысль заменить WMZ указанный на сранице с реквизитами на другой кошелек. Админы заметят не сразу, а денежки утекут совсем в другом направлении. На этом я и порешил: быстро зарегистрировал себе левый кошелек который и указал на сайте.

Как оказалось - не я один люблю расплачиваться WebMoney. Спустя пару дней ко мне упала сумма 200$, а еще через день я получил дополнительную сотню. Подумав что такое безобразие обязательно пресечется я начал думать о выводе средств. И мне в голову пришла замечательная идея - сперва я переслал деньги в обменник WMZ <-> E-gold, а затем перенаправил деньги на другой E-Gold идентификатор. После этого уже через другой обменник я вывел денежку на свой родной кошелек. Работа была приятной и чистой :).

Тяжкие последствия

По видимому, администратору пришлось не сладко, так как бедные клиенты начали спрашивать, почему из деньги утекли в неизвестном направлении. На следующий день после очередного материального пополнения я обнаружил две вещи: форум на сайте был полностью удален и все пароли были нерабочими. Спустя сутки мой кошелек заблокировали. Причем залочили частично: вход осуществлялся без проблем, но никакие операции по вводу/выводу средств не поддерживались. Видимо администрация WebMoney решила поймать меня с помощью отслеживания ip адреса. Но я не забывал о безопасности и выходил на их ресурс только через VPN+SOCS. Согласись, мало приятного, когда о твоих проделках замечает кто-то другой.

Выводы

Какой из этого можно сделать вывод?

  1. При покупке всегда проверяйте аттестат продавца
  2. Совершайте сделку с протекцией сделки и код протекции высылайте на email
  3. При покупке отдавайте предпочтения магазинам с онлайновым процессингом сделки - будеть надежнее
  4. Продавцы - коли вы пользуетесь данным методом продажи то проверяйте свои реквизиты на сайтах по чаще и вклоняйте пользователей к использованию протекции сделок.
  5. Всегда ставьте самые новые заплатки на фарум и другие скрипты.
 

У Вас недостаточно прав для добавления комментариев.
Возможно, вам необходимо зарегистрироваться на сайте.