Рискованные эксперименты, или «плач о том, как взломали мой Яндекс»

На прошлой неделе наконец-то был взломан мой аккаунт в электронной платежной системе «Яндекс.Деньги»… Почему «наконец-то»? Потому что этот «жестокий эксперимент» я проводил почти сознательно, и целью его было выяснить — за какое время будет взломан аккаунт в Яндексе при нарушении всех правил и принципов безопасности, какие только вообще можно нарушить или даже представить себе 🙂

Если не понятно, поясню: испытывая пристальный интерес к проблемам мошенничества и безопасности бизнеса в Интернете, и регулярно сталкиваясь с информацией на форумах и в рассылках о низкой надежности платежной системы Яндекс, я давно хотел проверить это лично. Да, всем известно, что Яндекс — одна из немногих платежных систем, в которой не предусмотрена блокировка доступа к аккаунту по IP, что является весьма не лишним средством защиты аккаунта от хакеров низшего («малолетки и школьники») и среднего («студенты-недоучки») уровня. Возможность блокировки по IP в настоящее время используют практически все платежные системы: WebMoney, RBK, Z-Payment… даже «всеми поругаемый» и ныне умирающий e-gold позволял пользователю включить этот весьма не лишний способ защиты. Известно также, что Яндекс — одна из немногих платежных систем, в которых пароль к публичной почте совпадает с паролем к денежному счету, что наверное не слишком хорошо с точки зрения безопасности. В Интернете с печальной регулярностью появляется информация о новых и новых уязвимостях в этой платежной системе. Например, на портале Security Lab в 2008 году (это подтверждено и на других порталах, например на «Открытых системах«) обсуждалась новость о том, что в сервисе «Яндекс.Деньги» обнаружена CSRF-уязвимость, позволяющая злоумышленнику с помощью специальной страницы определять логин от Яндекс-аккаунта и количество денег на Яндекс-кошельке, что позволяет не только собирать спам-базы адресов пользователей системы (например для того чтобы отправлять им фишинговые послания), но и взламывать платежный пароль. На форумах и блогах нередко рассказывают также шокирующие (хотя и не всегда правдоподобные) истории о фатальных проколах в системе восстановления паролей Яндекса, когда, например, незаполненная при регистрации графа «мобильный телефон» позволяет злоумышленнику, знающему ответ на секретный вопрос, якобы отправить пароль на любой, указанный им же, то есть злоумышленником, номер… Кстати, я проверил эту байку лично — оказалось полное вранье, во всяком случае в данный момент в системе восстановления пароля просто дается возможность сменить пароль при знании ответа на секретный вопрос. Однако, не будем углубляться… Подобных историй о Яндексе в Интернете рассказывается много. Возможно, что некоторые из этих «страшилок» действительно имеют под собой какую-то почву, другие — чистый вымысел блогеров (нужно чем чем-то привлекать народ, а чем еще — еще не страшилками 🙂 ). Но как бы там ни было, в Рунете бытует мнение о низкой защищенности системы Яндекс и система эта часто становится объектом критики. Однако, личного опыта в этой области мне явно не хватало: чего у меня только не пытались «ломать» за долгие годы жизни в сети, но вот моим аккаунтом в системем «Яндекс.Деньги» упорно никто не интересовался. Может быть, конечно, просто потому, что там никогда не крутились серьезные суммы, а может и просто совпадение… Как бы там ни было, как-то в 2007-ом году, после ознакомления с очередным «плачем» о взломе Яндекса на одном из форумов, я решил провести личный эксперимент и посмотреть — когда же будет взломан мой аккаунт при абсолютно наплевательском отношении к безопасности.

Какие принципы безопасности были мною нарушены в рамках этого эксперимента:

1. Смена паролей: По общепринятым правилам принято производить смену пароля в любой системе не реже одного раза в месяц. И это при отсутствии каких-либо признаков «поползновений». В случае же малейших подозрений пароли нужно менять еще чаще. Однако, ни пароль входа, ни платежный пароль в Яндексе я не менял больше двух лет! При этом сам пароль был «верхом безумства», так как состоял из фрагментов даты моего рождения и персонального кода, который открытым текстом светился на одном из старых форумов.

2. Хранение паролей: Для хранения паролей к сотням интернет-ресурсов (форумы, регистрации на сайтах, системы активной рекламы, серверы публичной почты и тому подобные не критичные для меня ресурсы) я использую Roboform, который не только удобен, но и гарантированно защищает пользователя от такого распространенного вида мошенничества, как фишинг. Конечно, Roboform — удобный и надежный менеджер паролей… Но все же я никогда не рисковал и не хранил в нем свои банковские пароли, как и пароли ни к одной из используемых мною платежных систем… кроме Яндекса. Почти уверен, что взломать Roboform чрезвычайно сложно: разработчик следит за ситуацией и обновляет программу (разумеется, речь идет о платной версии) с регулярностью, достойной уважения. Но все же, как говорится, береженого Бог бережет, и Робоформ никогда не «знал» тех паролей, потерять которые я не могу. Пароль же от Яндекса я ему все же доверил…

3. Контрольный e-mail и секретный вопрос: Только очень наивному человеку может придти в голову идея использовать публичный e-mail на Яндексе в качестве основного канала для отправки служебной информации, особенно если учесть, что пароль входа у почтовой и денежной системы Яндекса совпадает… Но я настроил систему именно так. При этом сам контрольный вопрос был предельно наивен: любимый телефон… Догадайтесь с трех раз, где можно найти ответ на этот вопрос и сколько времени это может занять у человека, даже не особо знакомого с хакерским промыслом… В большинстве случаев достаточно собрать в сети официально доступную информацию (авторские порталы, любимые форумы, социальные сети и подобные ресурсы, где мы проявляем активность — вот бездонный источник подобной информации о любом из нас.

Разумеется, в процессе эксперимента я старался не собирать на счету хоть сколько-нибудь ощутимых сумм, хотя иногда они там все же мелькали и если бы злоумышленники были попроворнее, то они могли бы поживиться более основательно… Но… поскольку хакеры оказались не слишком расторопными, то результат эксперимента таков:

Аккаунт все же был взломан. Злоумышленник с IP-адресом, принадлежащим какому-то провайдеру (вероятно прокси) из доблестного города Саранска (хорошо еще что не Мухосранска 🙂 ), оплатил номер телефона в системе Билайн на сумму 112 рублей, оставив мне зачем-то на счету 37 копеек… наверное на развод… 🙂 Номер оплаченного телефона (на который я, разумеется, пытался позвонить со Скайпа (из чистого любопытства, а вдруг удастся услышать или даже записать и выставить на всеобщее обозрение писклявый голос юного хакера), отказался все же выключен на протяжении нескольких дней, то есть номер все же использовался «по-взрослому», для отмывки украденных денег.

Служба безопасности Яндекса, — как и следовало ожидать (с этим я был хорошо знаком по отзывам на форумах и полностью был к этому готов), — ответила стандартной отпиской: Были использованы правильные пароли, а потому, дескать, вы сами во всем виноваты… И в этом с ними, разумеется, нужно согласиться, однако,  все же удивительно, что имея на руках IP и номер телефона, а также мое заявление о том, что платеж был мошенническим, они не стали сами передавать эти данные в милицию, но порекомендовали это сделать мне, пообещав, что предоставят все данные по требованию правоохранительных органов… В общем-то, это, конечно, их право, но такое отношение к собственной репутации все же несколько удручает… Ведь ущерб (в 112 рублей), нанесенный мне, несоизмеримо меньше ущерба, нанесенного репутации Яндекса, и кто как не они должны были бы быть заинтересованы в том, чтобы поймать и публично наказать злоумышленника (тем более, что он так наследил, что изловить его особого труда не составило бы)… но видимо все же делать этого они банально не умеют.

Однако, какие выводы я сделал из этого?

 Вывод первый. Может быть платежная система «Яндекс.Деньги» не столь уж и плоха, если при таких вопиющих нарушениях безопасности, которые я допустил в процессе эксперимента, мой аккаунт благополучно просуществовал больше года без каких-либо видимых проблем? Хотя, возможно, конечно, что это просто счастливое совпадение… А может времена были другие и сейчас такие оплошности уже даром не проходят… Еще вариант ответа: злоумышленники не интересовались той «приманкой» в виде дежурной сотни на моем счету Яндекса, считая ее издевательством над собой…

Вывод второй. Кража средств с моего аккаунта на Яндексе совпала по времени с намного более маштабной волной «поползновений» на мои ресурсы: Неоднократные попытки взлома аккаунтов в RBK и PayPal, заражение трех сайтов вирусами, — и все это за несколько последних дней. Сюда можно добавить, что чуть больше месяца назад была зафиксирована попытка взлома и моего WM-кипера. При этом пароли к некоторым из тех ресурсов никогда и ни в каком виде не хранились на моем компьютере (в отличие от Яндекса, пароль к которому лежал в Робоформе, как уже упоминалось). С учетом этого, можно с большой вероятностью предположить, что целью злоумышленников в данном случае был не мой Яндекс-аккаунт, как таковой, но скорее мой компьютер, и вся секретная информация в нем, и причиной всех этих неприятностей, включая и кражу денег с Яндекс-аккаунта, стала какая-то брешь в системе защиты компьютера. Я склонен считать, что мой хваленый KIS проворонил какой-то keylogger или «сниффер».

Ну а что касается эксперимента, то он продолжается. Общий вывод, сделанный на первом этапе, весьма неутешителен: Стандартный аккаунт в системе «Яндекс.Деньги» действительно не предоставляет пользователю достаточной защиты, хотя бы потому, что там отсутствует блокировка по IP. У блокировки есть, конечно, и оборотная сторона — неудобство, возникающее из-за того, что пользоваться платежной системой можно только с одного компьютера, точнее — только посредством одного интернет-канала. Но в некоторых ситуациях, когда требуется особо строгий контроль, эта мера является совсем не лишней. И в Яндексе такая возможность, насколько я понял, просто отсутствует. Хотя недавно они ввели (и видимо не от того, что им нечем заняться) систему усиленной защиты аккаунтов, на которую я и перешел. Разумеется, меня развеселил тот факт, что переход на усиленную защиту в Яндексе является платным, и, хотя речь идет о символической сумме в 30 рублей, но все же прецедент удивительный: репутация Яндекса сейчас такова, что этой платежной системе было бы лучше самой приплачивать клиентам, стимулируя их к переходу на усиленную защиту… и чтобы в такой ситуации ухитряться еще и драть деньги с клиентов… удивительно! Как бы там ни было, усиленная система защиты предполагает использование дополнительного платежного пароля, формируемого из кодовой таблицы (которая также время от времени обновляется). Разумеется, если хранить эту таблицу на своем компьютере (пусть даже в виде картинки), то эффективность такого метода защиты близка к нулю. Поэтому кодовая таблица сразу после получения следует распечатать на принтере и положить в блокнот, удалив копию с компьютера.

Насколько эффективна усиленная защита… как говорится, поживем — увидим. Думаю, что на данном этапе это вполне надежный вариант. Но эксперимент не закончен, и возможно, что продолжение этой истории следует…

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.