Как не допустить кражи паролей с вашего ПК


Итак, все по порядку. Совсем недавно я устовил себе на компьютер Webmoney Keeper — программу для работы с платежной системой WEBMONEY. С самого начала я, ошибочно, не серьезно отнесся к вопросам безопасности при работе с данной платежной системой. И, как выяснилось в последствии — очень даже напрасно. Все было хорошо — деньги поступали на мой счет, я оплачивал различные товары и услуги и вдруг, в один \»прекрасный\» день я просто не смог зайти в свой аккаунт. Система упорно не пускала меня, не принимая пароля… Я был очень удивлен. Написав письмо в службу поддержки платежной системы Webmoney, указав при этом все свои регистрационные данные (логин, пароль, e-mail), я получил ответ, что вход в мой аккаунт был осуществлен в такое-то время и в этом же сеансе пароль был изменен… Естественно, я в такое время даже за компьютером не находился… Налицо был несанкционированный доступ к моим деньгам. 

Итак, все по порядку. Совсем недавно я устовил себе на компьютер Webmoney Keeper — программу для работы с платежной системой WEBMONEY. С самого начала я, ошибочно, не серьезно отнесся к вопросам безопасности при работе с данной платежной системой. И, как выяснилось в последствии — очень даже напрасно. Все было хорошо — деньги поступали на мой счет, я оплачивал различные товары и услуги и вдруг, в один \»прекрасный\» день я просто не смог зайти в свой аккаунт. Система упорно не пускала меня, не принимая пароля… Я был очень удивлен. Написав письмо в службу поддержки платежной системы Webmoney, указав при этом все свои регистрационные данные (логин, пароль, e-mail), я получил ответ, что вход в мой аккаунт был осуществлен в такое-то время и в этом же сеансе пароль был изменен… Естественно, я в такое время даже за компьютером не находился… Налицо был несанкционированный доступ к моим деньгам. 
 
Я был просто ошарашен (это как-то очень мягко сказано). Я написал еще одно письмо в службу поддержки с просьбой восстановить доступ к моему аккаунту, при этом переслал файл ключей .kwm в качестве подтверждения принадлежности ко мне данного аккаунта. Но, оказалось все не так просто. Для данной процедуры потребовалось открывать еще один аккаунт, покупать на него сертификат и только потом выполнять процедуру восстановления доступа к взломаному аккаунту. При этом мне написали, что состояние счета на этот момент может быть совсем не такое, какое было до взлома моего аккаунта webmoney… Другими словами пока я буду чудить с открытием другого счета, получением сертификата и прочей ерунды, злоумышленник, естественно, уже перекинет все деньги куда-то на другой счет, и, как говориться — поезд ушел… 
 
Вообщем, я решил не возиться с, бесполезным на мой взгляд, восстановлением, и решил разобраться и научиться на будущее — как защититься от взлома кошелька в платежной системе Webmoney. 
 
Для начала, мне стало интересно каким же способом было так виртуозно совершено похищение и файла-кошелька и пароля доступа к платежной системе Webmoney. Как известно, без этих данных доступ к кошельку невозможен. Понимая, что на мой компьютер была проникнута какая-то программа, осуществившая похищение ключей и паролей к моему кошельку в webmoney, я начал искать дыры в системе безопасности своего компьютера. 
 
Полазив по интернету и прочитав множество материалов и статей по безопасности, я ужасом обнаружил, что совершенно не занимался этим вопросом серьезно… Да, наступил на грабли, о чем очень хочу предостеречь новых пользователей. Лучше учиться на чужих ошибках… 
 
Итак, что же произошло. Во-первых, в списке процесов (у меня Windows XP SP1) я обнаружил какой-то явно подозрительный процесс \»no0017.exe\». Уничтожив этот процесс я перегрузил компьютер, и, очень удивился когда обнаружил опять этот подозрительный процесс с списке задач, только на этот раз назывался он несколько иначе — \»no0032.exe\». Понятно, что это была таже программа только слегка изменившая имя собственного файла. Тогда я начал искать откуда же производиться автозапуск этой злосчастной программы… (Не знаю почему, но я был уверен, что именно в ней причина моих бед). 
 
Странно, но ни в Автозагрузке, ни в списке запуска из MsConfig.exe не было ничего похожего и подозрительного… Обшарив в реестре ключи Run, Runonce, RunOnceEx (находяться здесь: HCU\\Software\\Microsoft\\Windows\\CurrentVersion\\, HLM\\Software\\Microsoft\\Windows\\CurrentVersion\\), файлы system.ini и win.ini из папки Windows также не обнаружил ничего лишнего и подозрительного. 
 
На одном из форумов прочитал уникальный, на мой взгляд, способ скрытого запуска программ при загрузке операционной системы. Найдя ключ в реестре HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon я, наконец-то, нашел то, что так долго искал. Значение параметра Shell было явно источником скрытого запуска. Выглядело оно так: explorer.exe dvdrec.exe.
Никаких DVD-программ я себе никогда не устанавливал, по причине отсутствия данного устройства. Сам файл лежал в папке windows\\system32\\ и поэтому без проблем запускался при старте ситемы. Вот так вот просто… 
 
Убрав лишнее (оставил только explorer.exe), я перезапустил машину. И вот, наконец-то результат — никаких подозрительных задач и процесов в списке задач. Самое интересное что ни AVP, ни DrWeb с самыми последними обновлениями своих антивирусных баз ни как не реагировали… 
 
Теперь мне было ясно каким способом были украдены ключи и пароли доступа к платежной системе Webmoney. Следующим шагом я начал искать способ/дыру через которую мне закатали эту программу. Никаких посторонних за машиной не было, за последний месяц я ничего с внешних носителей не устанавливал и не запускал, поэтому оставался только Интернет. Прочитал о том, что многие вирусы проникают на компьютер с помощью электронной почты. Вам присылается письмо с файлом, как правило завлекательного содержания, типа: WinXPCrack, my_foto, HarryPotter и прочее. Данный вариант проникновения заразы я сразу отбросил. Пользуюсь почтовой программой The Bat, с настроенным фильтром приема почты строго с определенного e-mail адреса и строго в plain/text. Даже если и приходят какие-то вложения в письмах (а случается это крайне редко) — сразу удаляются не открываясь и не запускаясь. 
 
Оставался способ атаки, который неоднократно описан на многих сайтах — атака через открытые порты системы. Признаться подобный способ проникновения меня сначала смутил — Windows Firewall включен. Но, Вы даже не представляете — как я был ошарашен, когда обнаружил, что данная галочка в настройках сетевого соединения была снята. Хотя я точно знаю, что включал ее. Таким образом, вирусная программа, которая проникла ко мне на компьютер еще и отключила сетевой экран, дабы преспокойно проникать на диски, собирать информацию и отсылать куда-надо. 
 
Пробегая по истории посещеных мною сайтов за последнее время, обнаружил что как-то лазил на один из сайтов в кряками к программам (нужен был ключик к одной програмке). Думаю, даже уверен, что именно оттуда подцепил себе вирус… Почитав еще различные статьи на эту тему, выяснил для себя, что на данный момент существует множество дыр в javascript — это такой язык скриптов, который используется при создании web-страниц, т.е. пользователь загружает страницу и вместе с этим — загружает себе на компьютер вредоносную программу. А потом (как я) кусает локти от последствий… Видимо так произошло и со мной. 
 
Ну а самым большим шоком для меня было обнаружение в папке temp простого текстового файла, в котором были все данные обо мне, моих паролях к разным програмам, вообщем ВСЕ… Мои логины и пароли к моему почтовому ящику на mail.ru, логин и пароль на запуск TheBat, мой ip-адрес, мои данные, указанные при установке WindowsXP, точные пути/папки расположения некоторых программ и файлов, пароль доступа к платежной системе Webmoney и сам файл ключей kwm в MIME-формате… Вообщем — все на ладони. Видимо, именно этот файл был отправлен злоумышленнику… 
 
Пришлось быстро менять все пароли, логины ко всему. На свой ящик на mail.ru я так уже и не попал — пришлось заводить новый… Но, зато теперь я разобрался — как обезопасить свой компьютер от подобных действий: проникновение в систему, скрытый запуск программ, которые собирают все, абсолютно все данные и пароли.
Советую всем новичкам последовать моему примеру и выполнить следующие действия: 
 
    * Скачать все самые последнии обновления к операционной системе с сайта Microsoft, особенно те, которые имеют статус \»критические\»;
    * Поставить на компьютер нормальный Firewall. Я поставил Agnitum Outpost Firewall Pro version 2.1, скачать можно на официальном сайте, прочитать о тонкостях настройки этой программы можно на этом форуме. Встроенный в Windows Firewall можно совсем отключить за бесполезностью. (хотя на нескольких форумах о нем некоторые хорошо отзываются, но только в XPSP2…);
    * Позакрывать порты TCP/UDP — 135, 139, 445, 69 и 4444.
    * Обновить антивирусные базы своей антивирусной программы (бывает — помогает);
    * Отключаем расшаривание общих ресурсов. Очень странно что по молчанию Ваши диски в системе открыты… Для этого в реестре делаем следующее:
      в ключе HKLM\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters создаем (если нету) или изменяем параметр AutoShareWks (должен иметь тип — REG_DWORD) на значение 0. Предварительно ОБЯЗАТЕЛЬНО сделайте копию Вашего реестра (на всякий случай);
    * При просмотре сайтов пользуйтесь последней версией броузера Opera с отключенными javascript
      (Файл-Быстрые настройки-убрать галочки с \»Включить Java\», \»Включить javascript\»);
    * Для поклонником Internet Explorer настроить в свойствах программы на вкладке Безопастность (Сервис-Свойства обозревателя-вкладка \»Безопастность\»-Другой):
      — Установка элементов Рабочего стола — Отключить;
      — Выполнять сценарии приложений Java — Отключить (можете поставить \»Предлагать\» и сами определять — каким сайтам это можно или нельзя);
      — Разрешить операции вставки из сценария — Отключить или Предлагать (см. предыдущий пункт);
      — Загрузка неподписанных элементов ActiveX — Отключить;
      — Использование элементов ActiveX, не помеченных как безопастные — Отключить;
    * Отключите потенциально опасные службы (Пуск-Панель Управления-Администрирование-Службы):
      — NetMeeting Remote Desktop Sharing;
      — Telnet;
      — Диспетчер сеанса справки для удаленного рабочего стола;
      — Службы терминалов;
      — Удаленный реестр.
    * Отключите учетные записи сомнительных пользователей, которым почему-то по умолчанию разрешен доступ на Ваш компьютер (Пуск-Панель Управления-Администрирование-Управление компьютеом-Локальные пользователи-Пользователи):
      — HelpAssistant;
      — SUPPORT_388945a0;
      — проверьте — или отключена у Вас учетная запись \»Гость\». 
 
Пользователям платежной системы Webmoney: 
 
    * Скачать последнюю версию Webmoney Keepera с сайта Webmoney;
    * Установить в настройках безопастности контроль за IP-адресом. Этой настройкой доступ к Вашему кошельку будет разрешен только с Вашего IP-адреса;
    * Хранить файлы ключей и кошельков ТОЛЬКО НА СМЕННЫХ НОСИТЕЛЯХ. Я записал эти файлы на болванку и вставляю этот диск исключительно на время работы с платежной системой Webmoney;
    * Установить размер файла ключей более 100 мегабайт. Даже если кто-то и попытается украсть у Вас эти файлы — сделать это будет достаточно проблематично;
    * Измените расширение файла ключей с kwm на например txt. Программе Webmoney Keeper абсолютно все равно какое расширение у файла ключей, а вот воришка может обломаться когда будет искать; 
 
В завершении несколько аксиом, чтобы избежать неприятных случаев кражи, потери важной информации: 
 
   1. Никогда не храните Ваши логины, пароли, номера счетов, кодовые слова и комбинации в открытом виде — в простом текстовом файле; на липкой бумажке, приклеенной к Вашему монитору, в Вашем блокноте на одной из первых страниц. По себе знаю — при определенной тренировке все эти данные можно хранить в голове — самый надежный способ. Не бойтесь потратить на это время — игра стоит свечь!
      В крайнем случае запишите все данные в один файл, сожмите этот файл архиватором, задав на архив сложный пароль (как минимум из 16-ти символов, состоящих из больших и маленьких букв и цифр). Рекомендую архиватор RAR. Вскрыть такой пароль практически невозможно.
   2. Никому не доверяйте доступ и управление Вашими конфидециальными данными, особенно доступ к платежным системам, кошелькам, счетам. В жизни всякое бывает…
   3. Регулярно обновляйте Вашу операционную систему на предмет безопастности. Как правило, это заплатки с сайта Microsoft.
   4. Не забывайте скачивать последние базы к Вашей антивирусной программе. 
 
Надеюсь, данный материал окажеться полезным, и поможет Вам избежать роковых ситуаций.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Перейти к верхней панели