FXWizard
Гуру форума
Защита WebMoney: полное руководство
Все время, пока существуют деньги, существуют и те, кто стремится заполучить их нечестным путем. У карманников, шулеров и воров есть собратья и в Сети. У них такое же мышление и такой же внутренний менталитет: "лучше украсть, чем заработать". Интернет-платежи связаны с деньгами, а потому, увы, они тоже стали для таких людей предметом пристального внимания. Не обошла эта участь и WebMoney. Однако, в отличие от многих других систем, разработчики WMT не закрывают глаза на вопросы безопасности. С самого начала своего существования WebMoney строилась таким образом, чтобы быть максимально защищенной и безопасной для пользователей… Тем не менее, многие говорят: "Я не доверю свои деньги системе WebMoney, потому что она недостаточно хорошо их защищает, и деньги могут украсть". На самом деле это совершенно не соответствует действительности. Ваши кошельки будут недоступны для посторонних, пока вы сами не совершите ошибку по собственной неосторожности. Поэтому вопрос о доверии к системе WebMoney - это, прежде всего, вопрос о доверии к самому себе.
В последнее время в Интернете стало появляться все больше и больше сайтов, предлагающих взлом системы Web Money. Яндекс на запрос: «Взлом Web Money» выдал 5043 ссылки, Google - 19,300, Yahoo! - 45,800. Как видите, цифры не маленькие. Я бы хотел взглянуть тому человеку в глаза, который бы меня опровергнул, сказав, что это в 99,9% случаев не обман. Что нет таких – вот и славно!
По сути, система работы таких сайтов до боли проста:
1. Они либо предлагают вам скачать софт, который якобы даст вам несметные богатства… (как бесплатно – например здесь _http://wmsnif.netfirms.com/ , так и платно - тут _http://wmtool.umire.com/).
2. Либо попросят перевести некоторую сумму денег за какую-либо услугу, помощь и прочее.
Некоторые работают весьма профессионально, видимо не первый день этим промышляют. Приведу небольшой пример:
«Наша компания работает в сфере электронных платежей с 1994 года.
1. Суть работы состоит в следующем:
- каждый день (включая, по Вашему желанию, выходные дни) на Ваш кошелек WEB-Money (WMZ) приходят денежные средства и инструкции по их распределению.
Кошелёк открывает Вам компания и все необходимые реквизиты пересылает почтой (Вы имеете ограниченный доступ).
- Ваша обязанность заключается в том, чтобы эти средства до 20-00 по Московскому времени были переведены на указанные в инструкциях счета.
2. Заработная плата:
По истечении календарного месяца, с 1 по 5 число следующего месяца, на Ваш личный кошелёк пересылается заработная плата по итогам месяца. WMZ Вы можете использовать как средство оплаты (Интернет-деньги), так и обналичить в любом филиале Сбербанка РФ.
Заработная плата на испытательный срок - 350$ (370 WMZ). Испытательный срок - 1 месяц. В случае, если Вы согласитесь работать по выходным дням (не обязательное условие), заработная плата составит - 400$ (420WMZ).
По истечении испытательного срока с Вами заключается трудовой договор + компания компенсирует 50% оплаты услуг Вашего Интернет-провайдера. Заработная плата будет составлять 500$ (оклад) + премиальные (до 350$).
3. Для поступления на работу:
- Скачать и установить у себя последнюю версию программы Web-Money Keeper Classic версия 2.3.0.2 (download.webmoney.ru/wm2_full.EXE).
- Перевести 10 WMZ на кошелёк компании Z683386191299 для оплаты сертификата пользователя (перестал отвечать на письма после моего вопроса: «Почему я не могу сам сертификат себе оформить???» - примечание автора)
- Выслать на данный e-mail свои данные (Ф.И.О., дата рождения, № и серия паспорта, где, кем и когда выдан, адрес прописки и проживания, контактный телефон, № Вашего кошелька WMZ).
По всем возникшим вопросам обращаться с пометкой "Прошу уточнить!"
С уважением, Михайлов Дмитрий Владимирович».
Ну что, кто-то уже начал судорожно тянуться к своему киперу??!!!
Не советую…
Это была прелюдия, дабы показать вам всю серьезность сложившейся ситуации. Я постараюсь дать исчерпывающий перечень советов, касающихся защиты ваших денег. Существует два подхода к собственной безопасности. Первый - сложный: не оставлять утюг включенным, не курить в постели… Второй подход намного легче. Вы просто не соблюдаете никаких правил и надеетесь на русский «АВОСЬ!!» Точно так же и с WebMoney. Есть сложный способ: например, проштудировать сайт о безопасности Web Money и выполнить всё, что там написано. Это, конечно, потребует времени и усилий, поэтому многим не подойдет. Другой способ - ничего не читать, игнорировать все "предохранители" в Keeper'е, открывать подряд все письма, приходящие на e-mail, запускать сомнительные программы, не пользоваться антивирусами и файерволами. Именно тем, кто выбрал этот простой путь, я и посвящаю данную статью. Поскольку существует далеко не нулевая вероятность, что деньги с ваших кошельков будут похищены, полезно заранее знать, как их потом вернуть обратно. Об этом мы и поговорим ниже. Пока хотелось бы коснуться настроек кипера и вашего ПК, которые помогут уберечь ваши деньги. Многие из этих советов вы уже наверняка не раз слышали, но все же позволю себе повторить их еще раз, дабы собрать и систематизировать все советы в одном месте.
КАТЕГОРИИ ОПАСНОСТИ И ИХ ПРЕДОТВРАЩЕНИЕ
Попробуем разобраться, какие виды опасности нас будут подстерегать при использовании WebMoney, и каковы общие рекомендации по их предотвращению.
Генераторы WM
В лучшем случае, заплатив за такую чудо-программу, вы просто ее не получите, а ее создатель, только что так расхваливавший свое детище, вдруг перестанет отвечать на ваши письма. В худшем случае вы действительно получите от продавца exe-файл, только в нем будет не обещанный "кряк", а вирусный код. Запустив его, вы впустите на компьютер троянский конь, который найдет на винчестере ключи .kwm, отследит ввод пароля в Keeper'е и незаметно передаст эту информацию через Интернет злоумышленнику. Думаю, не нужно напоминать, что, обладая паролем и файлом с ключами, посторонний человек сможет получить доступ к вашему WMID и похитить деньги с кошельков (если, конечно, вы не позаботились о дополнительных мерах безопасности). Самые находчивые "деятели" придумали продавать программы, которые якобы могут подбирать PIN-коды WM-карт. Это, конечно, тоже обман. Итак, первое правило: не покупать и не запускать "взломщики" WebMoney. Это, в принципе, относится к любым подозрительным программам.
Рассылка вирусов по почте
Распространен следующий вариант мошенничества. Злоумышленник рассылает письма от лица администрации WebMoney или различных ее сервисов, в которых провоцирует пользователя запустить прикрепленное вложение. Например, текст может быть таким:
"Внимание! Уважаемый пользователь WebMoney Keeper Classic и WebMoney Keeper Light. Просим Вас ознакомиться с информацией, прикрепленной к этому письму, в связи с тем, что в системе WebMoney обнаружены некоторые недостатки".
или таким:
"Уважаемый пользователь! На Ваш WMID в арбитражный сервис WebMoney поступила жалоба от WMID ХХХХХХХХХХХХ. Вам необходимо в кратчайшие сроки аргументировано ответить на нее, используя специальный интерфейс на сайте Арбитража http://arbitrage.webmoney.ru. Для получения доступа к интерфейсу заполните, пожалуйста, анкету во вложении и вышлите ее нам".
Тексты могут быть совершенно разными. Находчивости мошенников нет предела, мне постоянно приходится сталкиваться все с новыми и новыми письмами, которые выглядят очень правдоподобно. Однако, единственная их задача - заставить получателя запустить файл во вложении. Естественно, там не будет никаких анкет или инструкций. Там будет вирус, который при запуске поселится на вашем компьютере и будет действовать уже описанным выше способом.
Администрация WebMoney и разработчики различных сервисов системы никогда не рассылают пользователям подобных писем. Любая связь, как правило, осуществляется по WM-почте. Исключения составляют некоторые самостоятельные сервисы, например, "Антанта" (рассылает по Email свои учебные материалы), а также письма от всевозможных роботов (отправка кода активации, кода разблокировки IP и т.д.). В любом случае, такие письма никогда не содержат вложений.
Отсюда второе правило: не запускать файлы во вложениях, даже если все выглядит очень правдоподобно. При получении от WebMoney письма с вложениями, сообщите об этом в службу поддержки и переспросите отправителя, действительно ли он посылал вам это письмо.
Загрузка вирусов через браузер
Очень часто вирусописатели используют уязвимости браузера Internet Explorer (а также иных браузеров), позволяющие загружать на компьютер пользователя и автоматически запускать без его согласия вредоносный код в тот момент, когда пользователь находится на сайте и ничего не подозревает. Для того чтобы полностью этого избежать, следите за обновлениями браузера и вовремя скачивайте патчи. Об этом, впрочем, мы поговорим чуть позже. Минимальные же требования безопасности таковы: не нажимать на ссылках в письмах, рассылаемых от лица WebMoney или других WM-сервисов, если они вызывают хоть малейшие подозрения. Вот один из примеров такого письма:
"Вас приветствует биржа обмена Exchanger.ru! Только что Вы совершили обмен 6160 WMR на 220 WMZ. Видимо, операция была прервана по каким-то причинам. Для того, чтобы получить обменянные средства, пройдите по ссылке: http://wm.exchager.ru/?code=1594628"
Ну, во-первых, мы же точно знаем, что 6160 WMR на 220 WMZ не меняли. Это сразу должно вызвать подозрения. Во-вторых, посмотрим внимательно на ссылку. Там значится домен exchager.ru. Теперь задумка мошенников становится понятной. Они использовали домен, очень похожий на exchanger.ru, на котором находится обменная биржа WebMoney. Расчет идет на то, что пользователь, обрадовавшийся такой удачи (надо же, какое везение - обменный автомат по ошибке прислал ссылку с секретным кодом не по тому адресу!) не станет вникать в суть дела и тут же кликнет по ссылке. Увы, в большинстве случаев так и происходит. На поддельном сайте нас ждет не только разочарование (220 WMZ мы, конечно, не получим), но и троянский конь, незаметно загружаемый на компьютер. Итак, третье правило: не нажимать на подозрительные ссылки в подозрительных письмах.
Как видим, похищению WM-средств с кошельков почти всегда предшествует попадание на компьютер специального вируса, который ищет на нем ваш файл с ключами и отслеживает введение пароля в Keeper'е. Способы заражения такими вирусами очень разнообразны и действуют они незаметно и мгновенно. Ситуация осложняется тем, что похитители обычно сразу же (в считанные минуты) после получения доступа к вашему WMID выводят украденные средства из системы и поймать их в таком случае практически невозможно. Поэтому прежде чем оперировать существенными суммами, обязательно предпримите все меры предосторожности и обеспечьте стопроцентную безопасность своих средств.
КОМПЛЕКСНЫЙ ПОДХОД К ПРОБЛЕМЕ БЕЗОПАСНОСТИ
Сегодняшняя безопасность в любой сфере - это всегда целый комплекс мер. Только совместное их применение может дать нужный результат: обезопасить электрика от поражения током, альпиниста - от обрыва в пропасть, спортсмена - от получения травмы и т.д. Каждая мера в отдельности тоже может защитить, но только в случае, если обстоятельства сложатся лояльно. Чем больше мер одновременно задействовано - тем меньше зависимость от обстоятельств.
Так же и в случае с WebMoney: существует целый набор инструментов защиты, которые каждый участник системы может применять. Ни один из этих инструментов не выдвигает к пользователям каких-либо дополнительных требований (наличие аттестата и проч.) и ни один из них не является платным.
Собственно, безопасное использование системы WebMoney включает в себя защитные методы двух категорий. Во-первых, это специально созданные инструменты, которые предоставляет нам непосредственно сама WebMoney. Во-вторых, это общие (системные) меры предосторожности, которые, в принципе, должен соблюдать любой пользователь Интернета, независимо от того, является ли он участником WebMoney Transfer, или нет. Только такая "двойная защита" может предотвратить любые неприятности.
Ниже мы детально рассмотрим каждый из элементов "заградительной баррикады" как первой, так и второй категории. Вы убедитесь, что таких элементов довольно много. Но совсем не обязательно использовать их все и сразу. Некоторые из них рекомендуется применять постоянно, другие - время от времени, третьи - только по желанию. Вообще, соблюдение даже небольшой части предписаний в обычном случае позволит защититься от большинства неприятностей.
Что касается мер первой категории, то здесь имеет значение, какой версией Keeper'а вы пользуетесь. В силу своей специфики Classic и Light предусматривают абсолютно разные методы защиты. В то же время, есть меры, общие для обеих версий (правильная настройка браузера, служба Security). Вторая категория включает в себя использование антивирусного ПО, файрволов, специальных программ, а также регулярное обновление операционной системы.
Итак, начнем.
РАБОТА С САЙТАМИ WEBMONEY
Работая с системой WebMoney, вам не раз придется заходить на сайты ее сервисов. И не только заходить, но и активно их использовать. Поэтому необходимо произвести некоторые несложные манипуляции, чтобы "научить" свой браузер обмениваться информацией с сервером WebMoney и правильно воспринимать и обрабатывать интерактивные элементы на этих web-страницах.
Сертификаты
Многие сервисы системы используют защищенный протокол SSL (https: - адрес начинается с этого префикса). Он гарантирует более менее безопасное подключение к web-узлам. Это означает, что информация, которой обменивается пользователь и сервер WebMoney, не может быть перехвачена "по дороге" и прочитана посторонними лицами. Для этого все данные зашифровываются и расшифровываются с помощью пары ключей. При инсталляции программы Keeper Classic на ваш компьютер добавляются два сертификата WebMoney, содержащих открытые ключи. Именно они позволят вам работать с сайтами платежной системы, использующими режим SSL. Если добавления сертификатов по каким-то причинам не произошло или если вы используете Keeper Light, то необходимо установить их со страницы http://www.webmoney.ru/download.shtml. Там же содержатся и краткие инструкции относительно того, как это делать. Импортированные сертификаты должны постоянно оставаться в хранилище сертификатов на вашем компьютере. Удалять их оттуда или прятать не стоит, так как они содержат только открытые (не секретные) ключи.
Надежные узлы
Для корректной работы многих сервисов WebMoney необходимо разрешить браузеру выполнять сценарии ActiveX и поддерживать некоторые другие функции. Вместе с тем, излишняя интерактивность на всех подряд web-сайтах пользователю навредит, поскольку тот же ActiveX может нести в себе вредоносный код. Разрешая в настройках браузера такие технологии для сайтов WebMoney, мы тем самым разрешаем их для всех остальных сайтов, подвергая себя опасности. Наоборот, запрещая их для всех сайтов, мы запрещаем их и для сайтов WebMoney, а потому рискуем столкнуться с тем, что многие сервисы системы у нас работать не будут. Что же делать? Для этого случая разработчики браузеров предусмотрели так называемые "надежные узлы". Их смысл заключается в том, что вы можете выделить в отдельную группу сайты, которым вы полностью доверяете, и определить для них свою политику безопасности. Попав на такой надежный узел, браузер проигнорирует общие настройки безопасности и применит те настройки, которые определены непосредственно для надежных узлов. Впрочем, вполне возможно, что общие настройки безопасности, которые вы обычно используете, позволят нормально работать и сайтам WebMoney. Тогда описанная ниже процедура не будет являться строго обязательной, хотя произвести ее все-таки стоит. Итак, выберите в браузере пункт меню "Сервис - Свойства обозревателя". В открывшемся окне перейдите на закладку "Безопасность", выделите иконку "Надежные узлы" и нажмите кнопку "Узлы…". В появившемся окне необходимо один за одним ввести следующие сайты:
http://*.webmoney.ru/
http://*.wmtransfer.com/
http://*.paymer.com/
http://*.telepat.ru/
http://*.exchanger.ru/
http://*.megastock.ru/
http://*.megastock.com/
https://*.webmoney.ru/
https://*.wmtransfer.com/
https://*.paymer.com/
https://*.telepat.ru/
https://*.exchanger.ru/
https://*.megastock.ru/
https://*.megastock.com/
Вы, должно быть, уже поняли, что все эти ресурсы имеют прямое отношение к системе WebMoney. Можно дополнить список и такими адресами: http://*.digiseller.ru, http://*.wmkeeper.com, https://*.capitaller.ru, http://*.softactivation.com, http://*.plati.ru, http://*.mestkom.ru и т.д. Для того чтобы указать браузеру, как вести себя на сайтах из этого списка, выделите в той же закладке "Безопасность" иконку "Надежные узлы" и нажмите на кнопку "Другой". Здесь отметьте следующие параметры:
• Загрузка подписанных элементов ActiveX - Разрешить
• Загрузка не подписанных элементов ActiveX - Отключить
• Использование элементов ActiveX, помеченных как небезопасные - Отключить
• Запуск элементов ActiveX и модулей подключения - Разрешить
• Выполнять сценарии элементов ActiveX, помеченных как безопасные - Разрешить
• Java permissions - Low safety
• Доступ к источникам данных за пределами домена - Разрешить
• Разрешить метаобновление - Разрешить
• Отображение разнородного содержимого - Разрешить
• Не запрашивать сертификат клиента, когда он отсутствует или имеется только один - Запретить
• Перетаскивание или копирование и вставка файлов - Разрешить
• Установка элементов рабочего стола - Запретить
• Запуск программ и файлов в окне IFRAME - Разрешить
• Переход между кадрами через разные домены - Разрешить
• Разрешения канала программного обеспечения - Высокий уровень безопасности
• Передача незашифрованных данных форм - Разрешить
• Устойчивость данных пользователя - Разрешить
• Активные сценарии - Разрешить
• Разрешить операции вставки из сценария - Разрешить
• Выполнять сценарии приложений Java - Разрешить
После того, как все это будет проделано, браузер начнет применять к сайтам WebMoney те особые правила, которые мы для них только что определили - разрешать то, что необходимо для их нормальной работы, и запрещать все остальное.
БЕЗОПАСНОЕ ИСПОЛЬЗОВАНИЕ KEEPER CLASSIC
Подавляющее большинство участников WebMoney используют Keeper Classic. Он удобен и, главное, обеспечивает намного больше возможностей, чем его младший собрат Keeper Light. Но за эти преимущества приходится платить: пользователям Classic-версии нужно уделять вопросу защиты своих кошельков от вирусописателей и мошенников несколько больше внимания.
За шесть лет существования WMT не было еще ни одного случая, чтобы кому-то удалось взломать систему напрямую - найти уязвимость в ее серверах или программном обеспечении (по крайней мере, об этом не сообщалось =)). Поэтому лазейку к деньгам пользователя может дать злоумышленнику только сам пользователь. Причины этого всегда одинаковы - элементарная неосторожность и безалаберность. Мне часто приходится успокаивать расстроенных пользователей, у которых украли с WM-кошельков значительные (и не очень) суммы. К сожалению, помочь им зачастую невозможно: вор моментально "выводит" похищенные деньги из системы, и вернуть их пострадавшему после этого уже никак нельзя. Мне очень не хотелось бы, чтобы то же самое произошло и с вами.
Кстати! Когда мошенник получает доступ к вашему WMID, он обычно не мешкает и не рассматривает с умилением трехзначные цифры на ваших кошельках. Он тут же переводит деньги на только что зарегистрированный (и, естественно, неаттестованный) WMID, после чего или сразу же выводит их через ближайший обменный пункт или конвертирует в валюты других платежных систем (например, E-Gold). Обычно это занимает считанные минуты. И в первом, и во втором случае вернуть деньги практически невозможно. Поэтому не стоит рассчитывать на то, что ситуацию можно будет исправить ПОСЛЕ того, как беда случится. Нужно позаботиться о своей безопасности еще ДО того, как это произойдет.
Итак, что необходимо знать о защите Keeper Classic?
Пароль
Правильный пароль - это то малое, с чего необходимо начинать строительство защитной баррикады. Пароль назначается пользователем при регистрации нового WMID и обязательно должен быть нетривиальным. Имя вашей собаки, дата рождения, название компании, где вы работаете, или домашний номер телефона - далеко не лучшие варианты. В идеальном случае это должна быть беспорядочная последовательность символов (не менее 7-8) - цифр и букв вперемешку. Такой пароль трудно запомнить, поэтому даже если у вас хорошая память, перестрахуйтесь и запишите его в надежном месте, недоступном для посторонних. Если записывать совершенно лень, то назначьте такой пароль, который вы наверняка запомните, например, какое-нибудь нейтральное слово (опять же, не менее 7-8 символов). Но использовать один и тот же пароль все время, каким бы длинным и сложным он ни был, небезопасно. Вы наверняка знаете о существовании кейлоггеров, или клавиатурных шпионов. Попав на компьютер, такая миниатюрная программка, невидимая глазу и никак себя не проявляющая, отслеживает тексты, вводимые вами с клавиатуры (в т.ч. и пароли WebMoney) и передает их по Интернету злоумышленнику. Поэтому время от времени необходимо менять пароль. Делается это в диалоговом окне Keeper'а "Меню - Настройки - Программы", на вкладке "Безопасность". Для смены пароля нажмите кнопку "Сменить пароль...".
Учтите, что при смене пароля меняется и файл ключей .kwm. Тот файл, который непосредственно используется Keeper'ом, будет изменен программой автоматически. А вот те старые резервные копии, которые хранятся у вас (а я надеюсь, что хранятся, но, впрочем, об этом позже) на сменных носителях, больше не подойдут. Поэтому после каждой смены пароля обязательно делайте новые копии файла .kwm.
Все с той же целью защиты от возможно присутствующих на компьютере клавиатурных шпионов можно посоветовать вводить пароль в Keeper не вручную с клавиатуры, а вставлять его через буфер обмена из текстового файла. Правда, эта мера, во-первых, не очень действенна, а, во-вторых, избыточна. Вообще, самое правильное решение защиты от кейлоггеров - время от времени проверять компьютер на их наличие. Делать это можно с помощью специальных программ. Мы расскажем о них, когда будем говорить об общих мерах безопасности.
Файл с ключами
В процессе регистрации Keeper Classic создает файл с ключами .kwm, который будет необходим для подключения к системе под данным WMID. Вместе с паролем он является секретной информацией. Файл с ключами необходимо держать в месте, недоступном для посторонних. Если вашим компьютером пользуется кто-то еще, храните .kwm на сменном носителе и забирайте с собой каждый раз, когда отходите от компьютера. Более этого, носитель можно извлекать сразу после того, как Keeper установит соединение с сервером WebMoney. Как только он переходит в состояние OnLine, файл с ключами на время этого сеанса ему больше не нужен. Заполучить файл .kwm злоумышленник может не только извне, но и изнутри компьютера - с помощью вирусных программ. Это еще одна причина, по которой хранить файл рекомендуется на сменных носителях, в частности, на дискетах или устройствах flash-памяти. При попытке считать информацию с дискеты, она начнет трещать, вы это сразу услышите и сможете тут же ее вытащить. К тому же, скорость чтения данных с floppy очень невелика, и это тоже вам на руку. Что же касается flash-дисков (например, MaxSelect, Digitex, Canyon, Transcend, Kingston, KingMax и др.), то большинство из них имеют на своем корпусе светодиод, который сигнализирует всякий раз, когда производится работа с диском (т.н. LED-индикация). В случае несанкционированного обращения вирусных программ к диску мигание лампы даст вам об этом знать, и вы сможете изъять устройство. Таким образом, в отношении обоих источников опасности - окружающих вас людей и попавших на компьютер вирусов - хранение файла с ключами на винчестере является самым небезопасным вариантом.
Сразу после регистрации нового WMID нужно сделать несколько копий файла .kwm и сохранить их в надежном месте, по возможности, на различных носителях. Помните, что в случае утери файла доступ к WMID будет невозможен, а процедура его восстановления довольно хлопотна и растянута по времени (webmoney.ru / О Системе / WM-энциклопедия / Восстановление контроля над WM-идентификатором). Кстати, в процессе регистрации или позднее в любой момент можно (и нужно) изменить имя и расширение файла с ключами на любые другие. Например, можно переименовать его в mywork.doc или readme.txt. Keeper все равно "увидит" в этом файле ключи, вне зависимости от того, как он будет называться. Зачем это нужно? Дело в том, что, видимо, большинство вирусных программ, сканируя диск на предмет файлов с ключами, производят поиск по маске *.kwm. Присвоив файлу другое расширение, мы обманем вирусы и обезопасим себя. Как это сделать? Переименуйте файл. При очередном запуске Keeper не найдет файла со старым названием и попросит указать новое месторасположение ключей. В появившемся окошке просто впишите его новое имя и расширение или найдите вручную. О сохранности файла с кошельками .pwm можно не заботиться, поскольку доступ к нему все равно не возможен без файла с ключами. Строго говоря, в .pwm вообще нет особой необходимости, так как даже в случае его отсутствия Keeper самостоятельно запросит с сервера и восстановит сведения о кошельках, остатках на них и историю операций за последние 3 дня.
Размер файла с ключами можно произвольно менять вплоть до 100 Мб (по умолчанию при регистрации предлагается размер 1,2 Мб - чтобы помещался на дискету). Если вы храните файл на винчестере - очень желательно увеличить его размер. Насколько увеличивать - решать вам. Чем тяжелее он будет, тем лучше: поскольку любой вирусной программе нужно передать ваш .kwm через Интернет своему хозяину-мошеннику, этот процесс может значительно усложниться, если вес .kwm будет исчисляться не в килобайтах, а в десятках мегабайт. Для передачи такого объема информации необходимо много времени даже на довольно быстрых каналах связи. Таким образом, у вас будет время обнаружить "утечку" по формальным признакам (большому трафику неизвестного происхождения т.д.).
Для сравнения: кража файла с ключами размером 500 Кб через выделенный канал в 256 Кбит/сек займет около 20 секунд. Кража файла размером 100 Мб на том же канале - более часа. Разница ощутима.
Установить размер файла .kwm можно все на той же вкладке "Безопасность" диалогового окна настроек Keeper Classic. При изменении размера делать новые резервные копии .kwm не обязательно: копии, сделанные ранее, не потеряют своей валидности, поскольку изменение размера не затрагивает необходимый программе код. Мы уже говорили о необходимости периодически менять пароль в связи с вероятностью присутствия на компьютере WM-вирусов и клавиатурных шпионов. Той же причиной обусловлена необходимость изменять время от времени и ключи. Для этого на вкладке "Безопасность" нажмите кнопку "Сменить ключи…". Далее укажите новое имя файла .kwm. Оно должно отличаться от старого. После смены файла резервные копии, сделанные ранее, больше не подойдут, поэтому обязательно создайте несколько новых копий и сохраните их в надежном месте.
Кстати! Данная процедура изменения ключей (файла .kwm) заключается в генерации нового открытого и приватного ключа. Приватный ключ остается на вашем компьютере, а открытый тут же передается серверу сертификации WebMoney.
Режим активации
Режим активации - одна из тех полезных мер безопасности, которые не требуют постоянных действий со стороны пользователя: включил один раз - работает все время. Его суть состоит в том, что каждый раз при первой попытке доступа к WMID на новом компьютере система отправляет специальный код активации на E-mail пользователя. При этом Keeper запрашивает этот код, и пока он не введен, операция отправки средств с данного компьютера будет невозможной.
Что это дает? Если, несмотря ни на какие меры предосторожности, ключи и пароль от вашего WMID все же будут похищены, злоумышленник все равно не сможет перевести средства с кошельков, пока не укажет код активации. Код же он узнать не сможет, поскольку тот будет отправлен на ваш ящик. Кстати, получение письма с кодом будет для вас сигналом, что доступ к вашему WMID похищен и нужно разбираться, что послужило тому причиной.
Первый раз код активации всегда высылается при регистрации нового WMID. В дальнейшем данный режим можно выключать и снова включать в любое время на закладке "Безопасность". Включение и отключение возможно только когда Keeper находится в состоянии OnLine.
Когда код отправляется в процессе регистрации, система берет тот E-mail, который был только что указан пользователем в окне личных данных. В дальнейшем, после того как регистрация завершена, для отправки кода будет использоваться ящик, указанный на момент отправки в персональной информации "Меню - Настройка - О себе" (в случае, если у пользователя аттестат псевдонима) или в аттестационных данных (в случае, если у пользователя формальный аттестат и выше).
Всегда указывайте действующий E-mail. Он обязательно должен быть работающим и находиться на сервере, который обеспечивает высокую надежность его работы. По этой причине ящик, открытый в бесплатной почтовой службе, вряд ли подойдет. Оптимальный вариант - E-mail у провайдера или на корпоративном сервере.
Не забывайте, что в случае, когда вам необходимо будет подключиться к своему WMID и перевести средства с другого компьютера (например, во время путешествия или командировки), то при включенном режиме активации вам потребуется доступ к своему ящику, чтобы получить на него код. В то же время, многие интернет-провайдеры запрещают доступ к своим ящикам, если пользователь выходит в Сеть через другого провайдера. Учитывайте это.
Использование службы Security
Не будет лишним использование сервиса Security. О нем мы подробно поговорим чуть позже.
БЕЗОПАСНОЕ ИСПОЛЬЗОВАНИЕ KEEPER LIGHT
Добиться полной безопасности при работе с Keeper Light несколько проще, чем при использовании Classic-версии. Причина этого заключается в том, что вся защита Light'а сосредоточена в одном месте - персональном цифровом сертификате, который пользователь получает при регистрации в системе. Именно сохранность сертификата и максимально осторожное его использование будет гарантией недоступности ваших кошельков для посторонних лиц. Прежде чем идти дальше, давайте определимся с основными терминами. Они нам пригодятся. Закрытый ключ - специальная информация, позволяющая отправителю зашифровывать данные для их безопасной передачи получателю. Закрытый ключ нельзя никому передавать, он всегда находится только у отправителя и идентифицирует его. Закрытый ключ также называется приватным или секретным. Открытый ключ - специальная информация, позволяющая получателю расшифровывать данные, зашифрованные отправителем с помощью его закрытого ключа. Поэтому открытый ключ (он также называется публичным) работает только в паре с закрытым. Открытый ключ не является секретной информацией, его можно передавать другим людям. Персональный цифровой сертификат - это цифровой сертификат, содержащий открытый ключ с информацией о его владельце, а также закрытый ключ, соответствующий открытому. Далее мы будем называть персональный цифровой сертификат также просто сертификатом. Персональный цифровой сертификат, получаемый пользователем при регистрации в Keeper Light, удостоверяет его персону как владельца определенного WMID. Хранилище сертификатов - скрытая папка операционной системы, в которой хранятся установленные на компьютере сертификаты. Экспорт сертификата - сохранение сертификата на диск в виде файла. Экспорт персонального цифрового сертификата, содержащего закрытый ключ, осуществляется согласно стандарту PKCS #12 в файл *.pfx. Импорт (установка) сертификата - добавление сертификата в хранилище из файла. Любой человек, получивший доступ к вашему сертификату Keeper Light, особенно в случае, если он не защищен дополнительно паролем (см. ниже пункт 4), сможет воспользоваться вашими WM-кошельками и похитить средства, находящиеся на них.
Комплекс необходимых мер довольно прост, и соблюдать его не составит труда.
1. Экспорт сертификата после регистрации.
После регистрации в Keeper Light и получения персонального цифрового сертификата необходимо обязательно произвести его экспорт в pfx-файл. Для этого выберите в Internet Explorer пункт меню "Сервис - Свойства обозревателя". В диалоговом окне перейдите на вкладку "Содержание" и нажмите на кнопку "Сертификаты". Далее на вкладке "Личные" выделите необходимый WMID и нажмите "Экспорт". В процессе экспорта обязательно установите парольную защиту закрытого ключа. Пароль запомните (а лучше - запишите в недоступном для посторонних месте), восстановление его будет невозможно. В случае, если вы забудете этот пароль, то навсегда потеряете доступ к данному WMID и средствам на кошельках. Пароль необходим для защиты от несанкционированного импорта сертификата в будущем. Это означает, что если злоумышленник похитит экспортированный pfx-сертификат с вашего компьютера, то все равно не сможет импортировать его в хранилище своего браузера. Требования к этому паролю такие же, как и к любому другому - большая длина, нетривиальность, сочетание букв и цифр. При экспорте желательно сохранить сертификат не на жесткий диск, а на сменный носитель (например, дискету). После этого обеспечьте его сохранность и позаботьтесь о создании нескольких резервных копий на других носителях. Не забывайте проводить эти операции повторно каждый раз после обновления сертификата. В виде экспортированного pfx-файла сертификат, при необходимости, может быть свободно транспортирован на другой компьютер и там установлен.
2. Удаление сертификата по окончании работы.
Очень нежелательно держать сертификат в хранилище постоянно, поскольку в этом случае каждый, кто имеет доступ к вашему компьютеру, сможет воспользоваться им. Поэтому, закончив сеанс работы с Keeper Light, удаляйте сертификат из хранилища ("Сервис - Свойства обозревателя - Содержание - Сертификаты - Удалить"). Для того чтобы в следующий раз продолжить работу с WebMoney, достаточно осуществить импорт сертификата (согласно пунктам 3 и 4) из файла .pfx, созданного в пункте 1.
3. Импорт сертификата в неэкспортируемом режиме.
Импорт (установку) сертификата следует осуществлять непосредственно перед началом сеанса работы с Keeper Light. Для этого сделайте двойной клик на сохраненном pfx-файле. Во время импорта не ставьте галочку "Разрешить экспортирование закрытого ключа" . Это сделает невозможным экспорт сертификата. Благодаря такой мере предосторожности посторонний человек не сможет заполучить ваш сертификат через процедуру экспортирования, а вирус не сможет "выдернуть" сертификат из хранилища.
4. Импорт сертификата в режиме сильной защиты ключа.
При установке сертификата желательно включить - "Включить усиленную защиту закрытого ключа". Затем в диалоговом окне "Контейнер закрытого ключа" выберите "Средний" или "Высокий" уровень безопасности. В случае, если выбран "Средний" уровень, браузер в дальнейшем будет спрашивать вашего разрешения всякий раз, когда тот или иной интернет-сайт будет обращаться к вашему персональному сертификату при использовании WM Keeper Light. В случае, если выбран "Высокий" уровень, то для завершения импорта вам нужно будет назначить специальный пароль, защищающий закрытый ключ. В этом случае браузер не только будет требовать вашего разрешения на доступ к сертификату со стороны сайтов, но и будет запрашивать указанный при импорте пароль. Таким образом, этот режим может быть весьма полезен, если доступ к компьютеру в любой момент может получить посторонний человек. Без знания пароля невозможно будет воспользоваться сертификатом для доступа к WM-ресурсам (в том числе, к кошелькам на https://light.webmoney.ru), а также, что немаловажно, невозможным будет экспорт сертификата.
5. Использование сменного носителя.
Если вы вняли нашим рекомендациям и сохранили сертификат на сменном носителе (см. пункт 1), то при импорте сертификата в хранилище следует сразу же извлекать носитель из компьютера по окончании установки, чтобы никакие посторонние приложения (речь идет, прежде всего, о вирусных программах) не могли получить доступ к pfx-файлу.
6. Использование службы Security.
Не будет лишним использование сервиса Security, описанного ниже. Все его возможности доступны пользователям Keeper Light в полном объеме.
СЛУЖБА SECURITY
Бывают ли меры предосторожности излишними? Конечно, нет. Именно этим и руководствовались разработчики системы, открывая сервис Security. Он включает в себя три альтернативных инструмента, имеющих совершенно разное предназначение, но так или иначе служащих общей цели достижения безопасности и комфорта при использовании WMT. Вот они:
• Блокировка по IP
• Журнал подключений
• Установка доверенных WMID
Рассмотрим каждый пункт подробнее.
Блокировка по IP
Одной из самых популярных и востребованных услуг во всей системе безопасности WebMoney является блокировка по IP. Это простой и удобный способ защиты. Простой - потому что требуется всего пара минут, чтобы настроить и включить блокировку. Удобный - потому что, будучи активированным один раз, он всегда стоит на страже, словно невидимый сторож, и не требует от пользователя каких-либо последующих регулярных манипуляций. Суть услуги состоит в том, что вы можете запретить доступ к своему WMID со всех IP-адресов кроме списка разрешенных. В этот список, естественно, нужно включить те IP, с которых вы обычно выходите в Интернет. Давайте посмотрим, как это делать. На сайте службы Security кликнем по ссылке "Журнал IP - Блокировка по IP" (прямой линк: https://security.webmoney.ru/asp/setallyip.asp) и авторизуем Keeper. На открывшейся странице мы видим несколько полей, которые нам предстоит заполнить. Прежде чем включать блокировку, необходимо произвести два действия: установить список разрешенных IP и указать "страховочный" Email. Рассмотрим для начала самый простой случай: вы выходите в Интернет по выделенной линии и имеете фиксированный IP. Тогда просто ставим переключатель "Тип новой позиции" в положение "IP-адрес", вводим свой IP в поле "Значение новой позиции" и нажимаем кнопку для добавления. После этого указанный адрес появится в списке разрешенных. Если вы теперь включите блокировку, то доступ к WMID будет возможен только с него. Обратите внимание, что поле "Маска" в данном случае не заполняется. Если вы пользуетесь (или планируете пользоваться) Keeper'ом с нескольких разных адресов (например, из дому и с работы) - внесите все эти адреса в список.
С этого момента блокировка по IP будет активирована и любая попытка получить доступ к вашему WMID с IP-адреса, не включенного в список, закончится неудачей (Keeper будет выдавать ошибку). Каждый раз, когда система регистрирует такую попытку несанкционированного доступа, она отправляет на указанный E-mail письмо следующего содержания:
"К Вашему идентификатору осуществлена попытка доступа с IP адреса - xxx.xxx.xx.xxx, которого нет в списке IP адресов, разрешенном Вами для авторизации в системе на сайте https://securtiy.webmoney.ru. Если это Вы осуществляете доступ, то по приведенной ниже ссылке Вы сможете снять блокировку https://security.webmoney.ru/asp/unblockiplist.asp? wmid=xxxxxxxxxxxx&wmcode=xxxxxx"
Если кликнуть по ссылке в письме - блокировка будет тут же снята и ваши средства, возможно, подвергнутся опасности. Поэтому не спешите этого делать, а сначала разберитесь, что явилось причиной срабатывания защитной системы. Если это вы сами пытались подключиться к своему WMID с IP, не внесенного в список разрешенных, тогда опасности нет: нажимайте на ссылку в письме и после снятия блокировки добавляйте свой новый IP в список (не забудьте после этого снова включить блокировку). В противном же случае, вероятно, имела место попытка несанкционированного доступа к вашему WMID. Это означает, что злоумышленники завладели вашим паролем и файлом с ключами. Проверьте компьютер антивирусной программой, смените пароль и ключи ко всем своим WMID. Кликать по ссылке в письме и снимать блокировку в этом случае, естественно, не нужно. Вы, наверное, уже поняли, что для нормальной работы данной услуги необходим максимально надежный E-mail-адрес. Он обязательно должен быть действующим и находиться на сервере, обеспечивающем высокое качество его работы. Если ящик будет недоступен в момент отправления вам оповещения о несанкционированном доступе, вы рискуете не получить письмо. В этом случае снять блокировку будет возможно только через администратора сервиса. Поэтому постарайтесь избегать бесплатных почтовых служб, стабильность которых вызывает нарекания. Лучший выбор - ящик на корпоративном сервере или в личном домене. Ящик у провайдера тоже вряд ли подойдет, поскольку при смене провайдера одновременно изменятся и IP-адрес, и E-mail.
Журнал подключений
Здесь все просто. На странице "Журнал IP" (https://security.webmoney.ru/asp/securjournal.asp) показан лог подключений вашего WMID к серверу системы. Записи в таблице отсортированы по времени входа: вверху более поздние подключения, внизу - более ранние. С помощью простых фильтров можно сделать выборку по дате подключения и по IP, с которого были совершены входы. Даты представляются в формате "ГГГГММДД" (например, 15 мая 2005 года нужно записать как "20050515"). К сожалению, логи хранятся только за последние 30 дней, поэтому более раннюю историю просмотреть не получится. Думаю, польза от журнала очевидна. В любой момент можно просмотреть, с каких IP-адресов и в какое время совершались подключения. Данная информация очень помогает при настройке функции блокировки по IP, а также при проведении "расследования" Арбитражем и самим пользователем в отношении несанкционированных подключений.
Установка доверенных WMID
Это третий, последний инструмент сервиса Security. Мы не будем рассматривать его подробно, поскольку он служит только для нужд web-разработчиков. В системе WebMoney реализованы специальные xml-интерфейсы (http://www.webmoney.ru/pfdevelxml.shtml), позволяющие торгующим интернет-ресурсам принимать оплату за товары или услуги, выписывать счета и проверять их оплату, а также совершать ряд других действий автоматически, без участия человека. Для работы с интерфейсами необходимо использовать специальный модуль WMSigner, который производит электронно-цифровую подпись (ЭЦП) каждой операции при вызове интерфейса. Проверяя ЭЦП, сервер WebMoney устанавливает, соответствует ли подпись WM-идентификатору, от имени которого она была сформирована. Это позволяет совершать операции в системе только от имени своего WMID. Суть третьего инструмента службы Security заключается в том, что, при необходимости, можно разрешать чужим (доверенным) WM-идентификаторам подписывать запросы на выполнение тех или иных операций для своих кошельков. Указав доверенные WMID, можно будет формировать ЭЦП от их имени.
Все время, пока существуют деньги, существуют и те, кто стремится заполучить их нечестным путем. У карманников, шулеров и воров есть собратья и в Сети. У них такое же мышление и такой же внутренний менталитет: "лучше украсть, чем заработать". Интернет-платежи связаны с деньгами, а потому, увы, они тоже стали для таких людей предметом пристального внимания. Не обошла эта участь и WebMoney. Однако, в отличие от многих других систем, разработчики WMT не закрывают глаза на вопросы безопасности. С самого начала своего существования WebMoney строилась таким образом, чтобы быть максимально защищенной и безопасной для пользователей… Тем не менее, многие говорят: "Я не доверю свои деньги системе WebMoney, потому что она недостаточно хорошо их защищает, и деньги могут украсть". На самом деле это совершенно не соответствует действительности. Ваши кошельки будут недоступны для посторонних, пока вы сами не совершите ошибку по собственной неосторожности. Поэтому вопрос о доверии к системе WebMoney - это, прежде всего, вопрос о доверии к самому себе.
В последнее время в Интернете стало появляться все больше и больше сайтов, предлагающих взлом системы Web Money. Яндекс на запрос: «Взлом Web Money» выдал 5043 ссылки, Google - 19,300, Yahoo! - 45,800. Как видите, цифры не маленькие. Я бы хотел взглянуть тому человеку в глаза, который бы меня опровергнул, сказав, что это в 99,9% случаев не обман. Что нет таких – вот и славно!
По сути, система работы таких сайтов до боли проста:
1. Они либо предлагают вам скачать софт, который якобы даст вам несметные богатства… (как бесплатно – например здесь _http://wmsnif.netfirms.com/ , так и платно - тут _http://wmtool.umire.com/).
2. Либо попросят перевести некоторую сумму денег за какую-либо услугу, помощь и прочее.
Некоторые работают весьма профессионально, видимо не первый день этим промышляют. Приведу небольшой пример:
«Наша компания работает в сфере электронных платежей с 1994 года.
1. Суть работы состоит в следующем:
- каждый день (включая, по Вашему желанию, выходные дни) на Ваш кошелек WEB-Money (WMZ) приходят денежные средства и инструкции по их распределению.
Кошелёк открывает Вам компания и все необходимые реквизиты пересылает почтой (Вы имеете ограниченный доступ).
- Ваша обязанность заключается в том, чтобы эти средства до 20-00 по Московскому времени были переведены на указанные в инструкциях счета.
2. Заработная плата:
По истечении календарного месяца, с 1 по 5 число следующего месяца, на Ваш личный кошелёк пересылается заработная плата по итогам месяца. WMZ Вы можете использовать как средство оплаты (Интернет-деньги), так и обналичить в любом филиале Сбербанка РФ.
Заработная плата на испытательный срок - 350$ (370 WMZ). Испытательный срок - 1 месяц. В случае, если Вы согласитесь работать по выходным дням (не обязательное условие), заработная плата составит - 400$ (420WMZ).
По истечении испытательного срока с Вами заключается трудовой договор + компания компенсирует 50% оплаты услуг Вашего Интернет-провайдера. Заработная плата будет составлять 500$ (оклад) + премиальные (до 350$).
3. Для поступления на работу:
- Скачать и установить у себя последнюю версию программы Web-Money Keeper Classic версия 2.3.0.2 (download.webmoney.ru/wm2_full.EXE).
- Перевести 10 WMZ на кошелёк компании Z683386191299 для оплаты сертификата пользователя (перестал отвечать на письма после моего вопроса: «Почему я не могу сам сертификат себе оформить???» - примечание автора)
- Выслать на данный e-mail свои данные (Ф.И.О., дата рождения, № и серия паспорта, где, кем и когда выдан, адрес прописки и проживания, контактный телефон, № Вашего кошелька WMZ).
По всем возникшим вопросам обращаться с пометкой "Прошу уточнить!"
С уважением, Михайлов Дмитрий Владимирович».
Ну что, кто-то уже начал судорожно тянуться к своему киперу??!!!
Не советую…Это была прелюдия, дабы показать вам всю серьезность сложившейся ситуации. Я постараюсь дать исчерпывающий перечень советов, касающихся защиты ваших денег. Существует два подхода к собственной безопасности. Первый - сложный: не оставлять утюг включенным, не курить в постели… Второй подход намного легче. Вы просто не соблюдаете никаких правил и надеетесь на русский «АВОСЬ!!» Точно так же и с WebMoney. Есть сложный способ: например, проштудировать сайт о безопасности Web Money и выполнить всё, что там написано. Это, конечно, потребует времени и усилий, поэтому многим не подойдет. Другой способ - ничего не читать, игнорировать все "предохранители" в Keeper'е, открывать подряд все письма, приходящие на e-mail, запускать сомнительные программы, не пользоваться антивирусами и файерволами. Именно тем, кто выбрал этот простой путь, я и посвящаю данную статью. Поскольку существует далеко не нулевая вероятность, что деньги с ваших кошельков будут похищены, полезно заранее знать, как их потом вернуть обратно. Об этом мы и поговорим ниже. Пока хотелось бы коснуться настроек кипера и вашего ПК, которые помогут уберечь ваши деньги. Многие из этих советов вы уже наверняка не раз слышали, но все же позволю себе повторить их еще раз, дабы собрать и систематизировать все советы в одном месте.
КАТЕГОРИИ ОПАСНОСТИ И ИХ ПРЕДОТВРАЩЕНИЕ
Попробуем разобраться, какие виды опасности нас будут подстерегать при использовании WebMoney, и каковы общие рекомендации по их предотвращению.
Генераторы WM
В лучшем случае, заплатив за такую чудо-программу, вы просто ее не получите, а ее создатель, только что так расхваливавший свое детище, вдруг перестанет отвечать на ваши письма. В худшем случае вы действительно получите от продавца exe-файл, только в нем будет не обещанный "кряк", а вирусный код. Запустив его, вы впустите на компьютер троянский конь, который найдет на винчестере ключи .kwm, отследит ввод пароля в Keeper'е и незаметно передаст эту информацию через Интернет злоумышленнику. Думаю, не нужно напоминать, что, обладая паролем и файлом с ключами, посторонний человек сможет получить доступ к вашему WMID и похитить деньги с кошельков (если, конечно, вы не позаботились о дополнительных мерах безопасности). Самые находчивые "деятели" придумали продавать программы, которые якобы могут подбирать PIN-коды WM-карт. Это, конечно, тоже обман. Итак, первое правило: не покупать и не запускать "взломщики" WebMoney. Это, в принципе, относится к любым подозрительным программам.
Рассылка вирусов по почте
Распространен следующий вариант мошенничества. Злоумышленник рассылает письма от лица администрации WebMoney или различных ее сервисов, в которых провоцирует пользователя запустить прикрепленное вложение. Например, текст может быть таким:
"Внимание! Уважаемый пользователь WebMoney Keeper Classic и WebMoney Keeper Light. Просим Вас ознакомиться с информацией, прикрепленной к этому письму, в связи с тем, что в системе WebMoney обнаружены некоторые недостатки".
или таким:
"Уважаемый пользователь! На Ваш WMID в арбитражный сервис WebMoney поступила жалоба от WMID ХХХХХХХХХХХХ. Вам необходимо в кратчайшие сроки аргументировано ответить на нее, используя специальный интерфейс на сайте Арбитража http://arbitrage.webmoney.ru. Для получения доступа к интерфейсу заполните, пожалуйста, анкету во вложении и вышлите ее нам".
Тексты могут быть совершенно разными. Находчивости мошенников нет предела, мне постоянно приходится сталкиваться все с новыми и новыми письмами, которые выглядят очень правдоподобно. Однако, единственная их задача - заставить получателя запустить файл во вложении. Естественно, там не будет никаких анкет или инструкций. Там будет вирус, который при запуске поселится на вашем компьютере и будет действовать уже описанным выше способом.
Администрация WebMoney и разработчики различных сервисов системы никогда не рассылают пользователям подобных писем. Любая связь, как правило, осуществляется по WM-почте. Исключения составляют некоторые самостоятельные сервисы, например, "Антанта" (рассылает по Email свои учебные материалы), а также письма от всевозможных роботов (отправка кода активации, кода разблокировки IP и т.д.). В любом случае, такие письма никогда не содержат вложений.
Отсюда второе правило: не запускать файлы во вложениях, даже если все выглядит очень правдоподобно. При получении от WebMoney письма с вложениями, сообщите об этом в службу поддержки и переспросите отправителя, действительно ли он посылал вам это письмо.
Загрузка вирусов через браузер
Очень часто вирусописатели используют уязвимости браузера Internet Explorer (а также иных браузеров), позволяющие загружать на компьютер пользователя и автоматически запускать без его согласия вредоносный код в тот момент, когда пользователь находится на сайте и ничего не подозревает. Для того чтобы полностью этого избежать, следите за обновлениями браузера и вовремя скачивайте патчи. Об этом, впрочем, мы поговорим чуть позже. Минимальные же требования безопасности таковы: не нажимать на ссылках в письмах, рассылаемых от лица WebMoney или других WM-сервисов, если они вызывают хоть малейшие подозрения. Вот один из примеров такого письма:
"Вас приветствует биржа обмена Exchanger.ru! Только что Вы совершили обмен 6160 WMR на 220 WMZ. Видимо, операция была прервана по каким-то причинам. Для того, чтобы получить обменянные средства, пройдите по ссылке: http://wm.exchager.ru/?code=1594628"
Ну, во-первых, мы же точно знаем, что 6160 WMR на 220 WMZ не меняли. Это сразу должно вызвать подозрения. Во-вторых, посмотрим внимательно на ссылку. Там значится домен exchager.ru. Теперь задумка мошенников становится понятной. Они использовали домен, очень похожий на exchanger.ru, на котором находится обменная биржа WebMoney. Расчет идет на то, что пользователь, обрадовавшийся такой удачи (надо же, какое везение - обменный автомат по ошибке прислал ссылку с секретным кодом не по тому адресу!) не станет вникать в суть дела и тут же кликнет по ссылке. Увы, в большинстве случаев так и происходит. На поддельном сайте нас ждет не только разочарование (220 WMZ мы, конечно, не получим), но и троянский конь, незаметно загружаемый на компьютер. Итак, третье правило: не нажимать на подозрительные ссылки в подозрительных письмах.
Как видим, похищению WM-средств с кошельков почти всегда предшествует попадание на компьютер специального вируса, который ищет на нем ваш файл с ключами и отслеживает введение пароля в Keeper'е. Способы заражения такими вирусами очень разнообразны и действуют они незаметно и мгновенно. Ситуация осложняется тем, что похитители обычно сразу же (в считанные минуты) после получения доступа к вашему WMID выводят украденные средства из системы и поймать их в таком случае практически невозможно. Поэтому прежде чем оперировать существенными суммами, обязательно предпримите все меры предосторожности и обеспечьте стопроцентную безопасность своих средств.
КОМПЛЕКСНЫЙ ПОДХОД К ПРОБЛЕМЕ БЕЗОПАСНОСТИ
Сегодняшняя безопасность в любой сфере - это всегда целый комплекс мер. Только совместное их применение может дать нужный результат: обезопасить электрика от поражения током, альпиниста - от обрыва в пропасть, спортсмена - от получения травмы и т.д. Каждая мера в отдельности тоже может защитить, но только в случае, если обстоятельства сложатся лояльно. Чем больше мер одновременно задействовано - тем меньше зависимость от обстоятельств.
Так же и в случае с WebMoney: существует целый набор инструментов защиты, которые каждый участник системы может применять. Ни один из этих инструментов не выдвигает к пользователям каких-либо дополнительных требований (наличие аттестата и проч.) и ни один из них не является платным.
Собственно, безопасное использование системы WebMoney включает в себя защитные методы двух категорий. Во-первых, это специально созданные инструменты, которые предоставляет нам непосредственно сама WebMoney. Во-вторых, это общие (системные) меры предосторожности, которые, в принципе, должен соблюдать любой пользователь Интернета, независимо от того, является ли он участником WebMoney Transfer, или нет. Только такая "двойная защита" может предотвратить любые неприятности.
Ниже мы детально рассмотрим каждый из элементов "заградительной баррикады" как первой, так и второй категории. Вы убедитесь, что таких элементов довольно много. Но совсем не обязательно использовать их все и сразу. Некоторые из них рекомендуется применять постоянно, другие - время от времени, третьи - только по желанию. Вообще, соблюдение даже небольшой части предписаний в обычном случае позволит защититься от большинства неприятностей.
Что касается мер первой категории, то здесь имеет значение, какой версией Keeper'а вы пользуетесь. В силу своей специфики Classic и Light предусматривают абсолютно разные методы защиты. В то же время, есть меры, общие для обеих версий (правильная настройка браузера, служба Security). Вторая категория включает в себя использование антивирусного ПО, файрволов, специальных программ, а также регулярное обновление операционной системы.
Итак, начнем.
РАБОТА С САЙТАМИ WEBMONEY
Работая с системой WebMoney, вам не раз придется заходить на сайты ее сервисов. И не только заходить, но и активно их использовать. Поэтому необходимо произвести некоторые несложные манипуляции, чтобы "научить" свой браузер обмениваться информацией с сервером WebMoney и правильно воспринимать и обрабатывать интерактивные элементы на этих web-страницах.
Сертификаты
Многие сервисы системы используют защищенный протокол SSL (https: - адрес начинается с этого префикса). Он гарантирует более менее безопасное подключение к web-узлам. Это означает, что информация, которой обменивается пользователь и сервер WebMoney, не может быть перехвачена "по дороге" и прочитана посторонними лицами. Для этого все данные зашифровываются и расшифровываются с помощью пары ключей. При инсталляции программы Keeper Classic на ваш компьютер добавляются два сертификата WebMoney, содержащих открытые ключи. Именно они позволят вам работать с сайтами платежной системы, использующими режим SSL. Если добавления сертификатов по каким-то причинам не произошло или если вы используете Keeper Light, то необходимо установить их со страницы http://www.webmoney.ru/download.shtml. Там же содержатся и краткие инструкции относительно того, как это делать. Импортированные сертификаты должны постоянно оставаться в хранилище сертификатов на вашем компьютере. Удалять их оттуда или прятать не стоит, так как они содержат только открытые (не секретные) ключи.
Надежные узлы
Для корректной работы многих сервисов WebMoney необходимо разрешить браузеру выполнять сценарии ActiveX и поддерживать некоторые другие функции. Вместе с тем, излишняя интерактивность на всех подряд web-сайтах пользователю навредит, поскольку тот же ActiveX может нести в себе вредоносный код. Разрешая в настройках браузера такие технологии для сайтов WebMoney, мы тем самым разрешаем их для всех остальных сайтов, подвергая себя опасности. Наоборот, запрещая их для всех сайтов, мы запрещаем их и для сайтов WebMoney, а потому рискуем столкнуться с тем, что многие сервисы системы у нас работать не будут. Что же делать? Для этого случая разработчики браузеров предусмотрели так называемые "надежные узлы". Их смысл заключается в том, что вы можете выделить в отдельную группу сайты, которым вы полностью доверяете, и определить для них свою политику безопасности. Попав на такой надежный узел, браузер проигнорирует общие настройки безопасности и применит те настройки, которые определены непосредственно для надежных узлов. Впрочем, вполне возможно, что общие настройки безопасности, которые вы обычно используете, позволят нормально работать и сайтам WebMoney. Тогда описанная ниже процедура не будет являться строго обязательной, хотя произвести ее все-таки стоит. Итак, выберите в браузере пункт меню "Сервис - Свойства обозревателя". В открывшемся окне перейдите на закладку "Безопасность", выделите иконку "Надежные узлы" и нажмите кнопку "Узлы…". В появившемся окне необходимо один за одним ввести следующие сайты:
http://*.webmoney.ru/
http://*.wmtransfer.com/
http://*.paymer.com/
http://*.telepat.ru/
http://*.exchanger.ru/
http://*.megastock.ru/
http://*.megastock.com/
https://*.webmoney.ru/
https://*.wmtransfer.com/
https://*.paymer.com/
https://*.telepat.ru/
https://*.exchanger.ru/
https://*.megastock.ru/
https://*.megastock.com/
Вы, должно быть, уже поняли, что все эти ресурсы имеют прямое отношение к системе WebMoney. Можно дополнить список и такими адресами: http://*.digiseller.ru, http://*.wmkeeper.com, https://*.capitaller.ru, http://*.softactivation.com, http://*.plati.ru, http://*.mestkom.ru и т.д. Для того чтобы указать браузеру, как вести себя на сайтах из этого списка, выделите в той же закладке "Безопасность" иконку "Надежные узлы" и нажмите на кнопку "Другой". Здесь отметьте следующие параметры:
• Загрузка подписанных элементов ActiveX - Разрешить
• Загрузка не подписанных элементов ActiveX - Отключить
• Использование элементов ActiveX, помеченных как небезопасные - Отключить
• Запуск элементов ActiveX и модулей подключения - Разрешить
• Выполнять сценарии элементов ActiveX, помеченных как безопасные - Разрешить
• Java permissions - Low safety
• Доступ к источникам данных за пределами домена - Разрешить
• Разрешить метаобновление - Разрешить
• Отображение разнородного содержимого - Разрешить
• Не запрашивать сертификат клиента, когда он отсутствует или имеется только один - Запретить
• Перетаскивание или копирование и вставка файлов - Разрешить
• Установка элементов рабочего стола - Запретить
• Запуск программ и файлов в окне IFRAME - Разрешить
• Переход между кадрами через разные домены - Разрешить
• Разрешения канала программного обеспечения - Высокий уровень безопасности
• Передача незашифрованных данных форм - Разрешить
• Устойчивость данных пользователя - Разрешить
• Активные сценарии - Разрешить
• Разрешить операции вставки из сценария - Разрешить
• Выполнять сценарии приложений Java - Разрешить
После того, как все это будет проделано, браузер начнет применять к сайтам WebMoney те особые правила, которые мы для них только что определили - разрешать то, что необходимо для их нормальной работы, и запрещать все остальное.
БЕЗОПАСНОЕ ИСПОЛЬЗОВАНИЕ KEEPER CLASSIC
Подавляющее большинство участников WebMoney используют Keeper Classic. Он удобен и, главное, обеспечивает намного больше возможностей, чем его младший собрат Keeper Light. Но за эти преимущества приходится платить: пользователям Classic-версии нужно уделять вопросу защиты своих кошельков от вирусописателей и мошенников несколько больше внимания.
За шесть лет существования WMT не было еще ни одного случая, чтобы кому-то удалось взломать систему напрямую - найти уязвимость в ее серверах или программном обеспечении (по крайней мере, об этом не сообщалось =)). Поэтому лазейку к деньгам пользователя может дать злоумышленнику только сам пользователь. Причины этого всегда одинаковы - элементарная неосторожность и безалаберность. Мне часто приходится успокаивать расстроенных пользователей, у которых украли с WM-кошельков значительные (и не очень) суммы. К сожалению, помочь им зачастую невозможно: вор моментально "выводит" похищенные деньги из системы, и вернуть их пострадавшему после этого уже никак нельзя. Мне очень не хотелось бы, чтобы то же самое произошло и с вами.
Кстати! Когда мошенник получает доступ к вашему WMID, он обычно не мешкает и не рассматривает с умилением трехзначные цифры на ваших кошельках. Он тут же переводит деньги на только что зарегистрированный (и, естественно, неаттестованный) WMID, после чего или сразу же выводит их через ближайший обменный пункт или конвертирует в валюты других платежных систем (например, E-Gold). Обычно это занимает считанные минуты. И в первом, и во втором случае вернуть деньги практически невозможно. Поэтому не стоит рассчитывать на то, что ситуацию можно будет исправить ПОСЛЕ того, как беда случится. Нужно позаботиться о своей безопасности еще ДО того, как это произойдет.
Итак, что необходимо знать о защите Keeper Classic?
Пароль
Правильный пароль - это то малое, с чего необходимо начинать строительство защитной баррикады. Пароль назначается пользователем при регистрации нового WMID и обязательно должен быть нетривиальным. Имя вашей собаки, дата рождения, название компании, где вы работаете, или домашний номер телефона - далеко не лучшие варианты. В идеальном случае это должна быть беспорядочная последовательность символов (не менее 7-8) - цифр и букв вперемешку. Такой пароль трудно запомнить, поэтому даже если у вас хорошая память, перестрахуйтесь и запишите его в надежном месте, недоступном для посторонних. Если записывать совершенно лень, то назначьте такой пароль, который вы наверняка запомните, например, какое-нибудь нейтральное слово (опять же, не менее 7-8 символов). Но использовать один и тот же пароль все время, каким бы длинным и сложным он ни был, небезопасно. Вы наверняка знаете о существовании кейлоггеров, или клавиатурных шпионов. Попав на компьютер, такая миниатюрная программка, невидимая глазу и никак себя не проявляющая, отслеживает тексты, вводимые вами с клавиатуры (в т.ч. и пароли WebMoney) и передает их по Интернету злоумышленнику. Поэтому время от времени необходимо менять пароль. Делается это в диалоговом окне Keeper'а "Меню - Настройки - Программы", на вкладке "Безопасность". Для смены пароля нажмите кнопку "Сменить пароль...".
Учтите, что при смене пароля меняется и файл ключей .kwm. Тот файл, который непосредственно используется Keeper'ом, будет изменен программой автоматически. А вот те старые резервные копии, которые хранятся у вас (а я надеюсь, что хранятся, но, впрочем, об этом позже) на сменных носителях, больше не подойдут. Поэтому после каждой смены пароля обязательно делайте новые копии файла .kwm.
Все с той же целью защиты от возможно присутствующих на компьютере клавиатурных шпионов можно посоветовать вводить пароль в Keeper не вручную с клавиатуры, а вставлять его через буфер обмена из текстового файла. Правда, эта мера, во-первых, не очень действенна, а, во-вторых, избыточна. Вообще, самое правильное решение защиты от кейлоггеров - время от времени проверять компьютер на их наличие. Делать это можно с помощью специальных программ. Мы расскажем о них, когда будем говорить об общих мерах безопасности.
Файл с ключами
В процессе регистрации Keeper Classic создает файл с ключами .kwm, который будет необходим для подключения к системе под данным WMID. Вместе с паролем он является секретной информацией. Файл с ключами необходимо держать в месте, недоступном для посторонних. Если вашим компьютером пользуется кто-то еще, храните .kwm на сменном носителе и забирайте с собой каждый раз, когда отходите от компьютера. Более этого, носитель можно извлекать сразу после того, как Keeper установит соединение с сервером WebMoney. Как только он переходит в состояние OnLine, файл с ключами на время этого сеанса ему больше не нужен. Заполучить файл .kwm злоумышленник может не только извне, но и изнутри компьютера - с помощью вирусных программ. Это еще одна причина, по которой хранить файл рекомендуется на сменных носителях, в частности, на дискетах или устройствах flash-памяти. При попытке считать информацию с дискеты, она начнет трещать, вы это сразу услышите и сможете тут же ее вытащить. К тому же, скорость чтения данных с floppy очень невелика, и это тоже вам на руку. Что же касается flash-дисков (например, MaxSelect, Digitex, Canyon, Transcend, Kingston, KingMax и др.), то большинство из них имеют на своем корпусе светодиод, который сигнализирует всякий раз, когда производится работа с диском (т.н. LED-индикация). В случае несанкционированного обращения вирусных программ к диску мигание лампы даст вам об этом знать, и вы сможете изъять устройство. Таким образом, в отношении обоих источников опасности - окружающих вас людей и попавших на компьютер вирусов - хранение файла с ключами на винчестере является самым небезопасным вариантом.
Сразу после регистрации нового WMID нужно сделать несколько копий файла .kwm и сохранить их в надежном месте, по возможности, на различных носителях. Помните, что в случае утери файла доступ к WMID будет невозможен, а процедура его восстановления довольно хлопотна и растянута по времени (webmoney.ru / О Системе / WM-энциклопедия / Восстановление контроля над WM-идентификатором). Кстати, в процессе регистрации или позднее в любой момент можно (и нужно) изменить имя и расширение файла с ключами на любые другие. Например, можно переименовать его в mywork.doc или readme.txt. Keeper все равно "увидит" в этом файле ключи, вне зависимости от того, как он будет называться. Зачем это нужно? Дело в том, что, видимо, большинство вирусных программ, сканируя диск на предмет файлов с ключами, производят поиск по маске *.kwm. Присвоив файлу другое расширение, мы обманем вирусы и обезопасим себя. Как это сделать? Переименуйте файл. При очередном запуске Keeper не найдет файла со старым названием и попросит указать новое месторасположение ключей. В появившемся окошке просто впишите его новое имя и расширение или найдите вручную. О сохранности файла с кошельками .pwm можно не заботиться, поскольку доступ к нему все равно не возможен без файла с ключами. Строго говоря, в .pwm вообще нет особой необходимости, так как даже в случае его отсутствия Keeper самостоятельно запросит с сервера и восстановит сведения о кошельках, остатках на них и историю операций за последние 3 дня.
Размер файла с ключами можно произвольно менять вплоть до 100 Мб (по умолчанию при регистрации предлагается размер 1,2 Мб - чтобы помещался на дискету). Если вы храните файл на винчестере - очень желательно увеличить его размер. Насколько увеличивать - решать вам. Чем тяжелее он будет, тем лучше: поскольку любой вирусной программе нужно передать ваш .kwm через Интернет своему хозяину-мошеннику, этот процесс может значительно усложниться, если вес .kwm будет исчисляться не в килобайтах, а в десятках мегабайт. Для передачи такого объема информации необходимо много времени даже на довольно быстрых каналах связи. Таким образом, у вас будет время обнаружить "утечку" по формальным признакам (большому трафику неизвестного происхождения т.д.).
Для сравнения: кража файла с ключами размером 500 Кб через выделенный канал в 256 Кбит/сек займет около 20 секунд. Кража файла размером 100 Мб на том же канале - более часа. Разница ощутима.
Установить размер файла .kwm можно все на той же вкладке "Безопасность" диалогового окна настроек Keeper Classic. При изменении размера делать новые резервные копии .kwm не обязательно: копии, сделанные ранее, не потеряют своей валидности, поскольку изменение размера не затрагивает необходимый программе код. Мы уже говорили о необходимости периодически менять пароль в связи с вероятностью присутствия на компьютере WM-вирусов и клавиатурных шпионов. Той же причиной обусловлена необходимость изменять время от времени и ключи. Для этого на вкладке "Безопасность" нажмите кнопку "Сменить ключи…". Далее укажите новое имя файла .kwm. Оно должно отличаться от старого. После смены файла резервные копии, сделанные ранее, больше не подойдут, поэтому обязательно создайте несколько новых копий и сохраните их в надежном месте.
Кстати! Данная процедура изменения ключей (файла .kwm) заключается в генерации нового открытого и приватного ключа. Приватный ключ остается на вашем компьютере, а открытый тут же передается серверу сертификации WebMoney.
Режим активации
Режим активации - одна из тех полезных мер безопасности, которые не требуют постоянных действий со стороны пользователя: включил один раз - работает все время. Его суть состоит в том, что каждый раз при первой попытке доступа к WMID на новом компьютере система отправляет специальный код активации на E-mail пользователя. При этом Keeper запрашивает этот код, и пока он не введен, операция отправки средств с данного компьютера будет невозможной.
Что это дает? Если, несмотря ни на какие меры предосторожности, ключи и пароль от вашего WMID все же будут похищены, злоумышленник все равно не сможет перевести средства с кошельков, пока не укажет код активации. Код же он узнать не сможет, поскольку тот будет отправлен на ваш ящик. Кстати, получение письма с кодом будет для вас сигналом, что доступ к вашему WMID похищен и нужно разбираться, что послужило тому причиной.
Первый раз код активации всегда высылается при регистрации нового WMID. В дальнейшем данный режим можно выключать и снова включать в любое время на закладке "Безопасность". Включение и отключение возможно только когда Keeper находится в состоянии OnLine.
Когда код отправляется в процессе регистрации, система берет тот E-mail, который был только что указан пользователем в окне личных данных. В дальнейшем, после того как регистрация завершена, для отправки кода будет использоваться ящик, указанный на момент отправки в персональной информации "Меню - Настройка - О себе" (в случае, если у пользователя аттестат псевдонима) или в аттестационных данных (в случае, если у пользователя формальный аттестат и выше).
Всегда указывайте действующий E-mail. Он обязательно должен быть работающим и находиться на сервере, который обеспечивает высокую надежность его работы. По этой причине ящик, открытый в бесплатной почтовой службе, вряд ли подойдет. Оптимальный вариант - E-mail у провайдера или на корпоративном сервере.
Не забывайте, что в случае, когда вам необходимо будет подключиться к своему WMID и перевести средства с другого компьютера (например, во время путешествия или командировки), то при включенном режиме активации вам потребуется доступ к своему ящику, чтобы получить на него код. В то же время, многие интернет-провайдеры запрещают доступ к своим ящикам, если пользователь выходит в Сеть через другого провайдера. Учитывайте это.
Использование службы Security
Не будет лишним использование сервиса Security. О нем мы подробно поговорим чуть позже.
БЕЗОПАСНОЕ ИСПОЛЬЗОВАНИЕ KEEPER LIGHT
Добиться полной безопасности при работе с Keeper Light несколько проще, чем при использовании Classic-версии. Причина этого заключается в том, что вся защита Light'а сосредоточена в одном месте - персональном цифровом сертификате, который пользователь получает при регистрации в системе. Именно сохранность сертификата и максимально осторожное его использование будет гарантией недоступности ваших кошельков для посторонних лиц. Прежде чем идти дальше, давайте определимся с основными терминами. Они нам пригодятся. Закрытый ключ - специальная информация, позволяющая отправителю зашифровывать данные для их безопасной передачи получателю. Закрытый ключ нельзя никому передавать, он всегда находится только у отправителя и идентифицирует его. Закрытый ключ также называется приватным или секретным. Открытый ключ - специальная информация, позволяющая получателю расшифровывать данные, зашифрованные отправителем с помощью его закрытого ключа. Поэтому открытый ключ (он также называется публичным) работает только в паре с закрытым. Открытый ключ не является секретной информацией, его можно передавать другим людям. Персональный цифровой сертификат - это цифровой сертификат, содержащий открытый ключ с информацией о его владельце, а также закрытый ключ, соответствующий открытому. Далее мы будем называть персональный цифровой сертификат также просто сертификатом. Персональный цифровой сертификат, получаемый пользователем при регистрации в Keeper Light, удостоверяет его персону как владельца определенного WMID. Хранилище сертификатов - скрытая папка операционной системы, в которой хранятся установленные на компьютере сертификаты. Экспорт сертификата - сохранение сертификата на диск в виде файла. Экспорт персонального цифрового сертификата, содержащего закрытый ключ, осуществляется согласно стандарту PKCS #12 в файл *.pfx. Импорт (установка) сертификата - добавление сертификата в хранилище из файла. Любой человек, получивший доступ к вашему сертификату Keeper Light, особенно в случае, если он не защищен дополнительно паролем (см. ниже пункт 4), сможет воспользоваться вашими WM-кошельками и похитить средства, находящиеся на них.
Комплекс необходимых мер довольно прост, и соблюдать его не составит труда.
1. Экспорт сертификата после регистрации.
После регистрации в Keeper Light и получения персонального цифрового сертификата необходимо обязательно произвести его экспорт в pfx-файл. Для этого выберите в Internet Explorer пункт меню "Сервис - Свойства обозревателя". В диалоговом окне перейдите на вкладку "Содержание" и нажмите на кнопку "Сертификаты". Далее на вкладке "Личные" выделите необходимый WMID и нажмите "Экспорт". В процессе экспорта обязательно установите парольную защиту закрытого ключа. Пароль запомните (а лучше - запишите в недоступном для посторонних месте), восстановление его будет невозможно. В случае, если вы забудете этот пароль, то навсегда потеряете доступ к данному WMID и средствам на кошельках. Пароль необходим для защиты от несанкционированного импорта сертификата в будущем. Это означает, что если злоумышленник похитит экспортированный pfx-сертификат с вашего компьютера, то все равно не сможет импортировать его в хранилище своего браузера. Требования к этому паролю такие же, как и к любому другому - большая длина, нетривиальность, сочетание букв и цифр. При экспорте желательно сохранить сертификат не на жесткий диск, а на сменный носитель (например, дискету). После этого обеспечьте его сохранность и позаботьтесь о создании нескольких резервных копий на других носителях. Не забывайте проводить эти операции повторно каждый раз после обновления сертификата. В виде экспортированного pfx-файла сертификат, при необходимости, может быть свободно транспортирован на другой компьютер и там установлен.
2. Удаление сертификата по окончании работы.
Очень нежелательно держать сертификат в хранилище постоянно, поскольку в этом случае каждый, кто имеет доступ к вашему компьютеру, сможет воспользоваться им. Поэтому, закончив сеанс работы с Keeper Light, удаляйте сертификат из хранилища ("Сервис - Свойства обозревателя - Содержание - Сертификаты - Удалить"). Для того чтобы в следующий раз продолжить работу с WebMoney, достаточно осуществить импорт сертификата (согласно пунктам 3 и 4) из файла .pfx, созданного в пункте 1.
3. Импорт сертификата в неэкспортируемом режиме.
Импорт (установку) сертификата следует осуществлять непосредственно перед началом сеанса работы с Keeper Light. Для этого сделайте двойной клик на сохраненном pfx-файле. Во время импорта не ставьте галочку "Разрешить экспортирование закрытого ключа" . Это сделает невозможным экспорт сертификата. Благодаря такой мере предосторожности посторонний человек не сможет заполучить ваш сертификат через процедуру экспортирования, а вирус не сможет "выдернуть" сертификат из хранилища.
4. Импорт сертификата в режиме сильной защиты ключа.
При установке сертификата желательно включить - "Включить усиленную защиту закрытого ключа". Затем в диалоговом окне "Контейнер закрытого ключа" выберите "Средний" или "Высокий" уровень безопасности. В случае, если выбран "Средний" уровень, браузер в дальнейшем будет спрашивать вашего разрешения всякий раз, когда тот или иной интернет-сайт будет обращаться к вашему персональному сертификату при использовании WM Keeper Light. В случае, если выбран "Высокий" уровень, то для завершения импорта вам нужно будет назначить специальный пароль, защищающий закрытый ключ. В этом случае браузер не только будет требовать вашего разрешения на доступ к сертификату со стороны сайтов, но и будет запрашивать указанный при импорте пароль. Таким образом, этот режим может быть весьма полезен, если доступ к компьютеру в любой момент может получить посторонний человек. Без знания пароля невозможно будет воспользоваться сертификатом для доступа к WM-ресурсам (в том числе, к кошелькам на https://light.webmoney.ru), а также, что немаловажно, невозможным будет экспорт сертификата.
5. Использование сменного носителя.
Если вы вняли нашим рекомендациям и сохранили сертификат на сменном носителе (см. пункт 1), то при импорте сертификата в хранилище следует сразу же извлекать носитель из компьютера по окончании установки, чтобы никакие посторонние приложения (речь идет, прежде всего, о вирусных программах) не могли получить доступ к pfx-файлу.
6. Использование службы Security.
Не будет лишним использование сервиса Security, описанного ниже. Все его возможности доступны пользователям Keeper Light в полном объеме.
СЛУЖБА SECURITY
Бывают ли меры предосторожности излишними? Конечно, нет. Именно этим и руководствовались разработчики системы, открывая сервис Security. Он включает в себя три альтернативных инструмента, имеющих совершенно разное предназначение, но так или иначе служащих общей цели достижения безопасности и комфорта при использовании WMT. Вот они:
• Блокировка по IP
• Журнал подключений
• Установка доверенных WMID
Рассмотрим каждый пункт подробнее.
Блокировка по IP
Одной из самых популярных и востребованных услуг во всей системе безопасности WebMoney является блокировка по IP. Это простой и удобный способ защиты. Простой - потому что требуется всего пара минут, чтобы настроить и включить блокировку. Удобный - потому что, будучи активированным один раз, он всегда стоит на страже, словно невидимый сторож, и не требует от пользователя каких-либо последующих регулярных манипуляций. Суть услуги состоит в том, что вы можете запретить доступ к своему WMID со всех IP-адресов кроме списка разрешенных. В этот список, естественно, нужно включить те IP, с которых вы обычно выходите в Интернет. Давайте посмотрим, как это делать. На сайте службы Security кликнем по ссылке "Журнал IP - Блокировка по IP" (прямой линк: https://security.webmoney.ru/asp/setallyip.asp) и авторизуем Keeper. На открывшейся странице мы видим несколько полей, которые нам предстоит заполнить. Прежде чем включать блокировку, необходимо произвести два действия: установить список разрешенных IP и указать "страховочный" Email. Рассмотрим для начала самый простой случай: вы выходите в Интернет по выделенной линии и имеете фиксированный IP. Тогда просто ставим переключатель "Тип новой позиции" в положение "IP-адрес", вводим свой IP в поле "Значение новой позиции" и нажимаем кнопку для добавления. После этого указанный адрес появится в списке разрешенных. Если вы теперь включите блокировку, то доступ к WMID будет возможен только с него. Обратите внимание, что поле "Маска" в данном случае не заполняется. Если вы пользуетесь (или планируете пользоваться) Keeper'ом с нескольких разных адресов (например, из дому и с работы) - внесите все эти адреса в список.
С этого момента блокировка по IP будет активирована и любая попытка получить доступ к вашему WMID с IP-адреса, не включенного в список, закончится неудачей (Keeper будет выдавать ошибку). Каждый раз, когда система регистрирует такую попытку несанкционированного доступа, она отправляет на указанный E-mail письмо следующего содержания:
"К Вашему идентификатору осуществлена попытка доступа с IP адреса - xxx.xxx.xx.xxx, которого нет в списке IP адресов, разрешенном Вами для авторизации в системе на сайте https://securtiy.webmoney.ru. Если это Вы осуществляете доступ, то по приведенной ниже ссылке Вы сможете снять блокировку https://security.webmoney.ru/asp/unblockiplist.asp? wmid=xxxxxxxxxxxx&wmcode=xxxxxx"
Если кликнуть по ссылке в письме - блокировка будет тут же снята и ваши средства, возможно, подвергнутся опасности. Поэтому не спешите этого делать, а сначала разберитесь, что явилось причиной срабатывания защитной системы. Если это вы сами пытались подключиться к своему WMID с IP, не внесенного в список разрешенных, тогда опасности нет: нажимайте на ссылку в письме и после снятия блокировки добавляйте свой новый IP в список (не забудьте после этого снова включить блокировку). В противном же случае, вероятно, имела место попытка несанкционированного доступа к вашему WMID. Это означает, что злоумышленники завладели вашим паролем и файлом с ключами. Проверьте компьютер антивирусной программой, смените пароль и ключи ко всем своим WMID. Кликать по ссылке в письме и снимать блокировку в этом случае, естественно, не нужно. Вы, наверное, уже поняли, что для нормальной работы данной услуги необходим максимально надежный E-mail-адрес. Он обязательно должен быть действующим и находиться на сервере, обеспечивающем высокое качество его работы. Если ящик будет недоступен в момент отправления вам оповещения о несанкционированном доступе, вы рискуете не получить письмо. В этом случае снять блокировку будет возможно только через администратора сервиса. Поэтому постарайтесь избегать бесплатных почтовых служб, стабильность которых вызывает нарекания. Лучший выбор - ящик на корпоративном сервере или в личном домене. Ящик у провайдера тоже вряд ли подойдет, поскольку при смене провайдера одновременно изменятся и IP-адрес, и E-mail.
Журнал подключений
Здесь все просто. На странице "Журнал IP" (https://security.webmoney.ru/asp/securjournal.asp) показан лог подключений вашего WMID к серверу системы. Записи в таблице отсортированы по времени входа: вверху более поздние подключения, внизу - более ранние. С помощью простых фильтров можно сделать выборку по дате подключения и по IP, с которого были совершены входы. Даты представляются в формате "ГГГГММДД" (например, 15 мая 2005 года нужно записать как "20050515"). К сожалению, логи хранятся только за последние 30 дней, поэтому более раннюю историю просмотреть не получится. Думаю, польза от журнала очевидна. В любой момент можно просмотреть, с каких IP-адресов и в какое время совершались подключения. Данная информация очень помогает при настройке функции блокировки по IP, а также при проведении "расследования" Арбитражем и самим пользователем в отношении несанкционированных подключений.
Установка доверенных WMID
Это третий, последний инструмент сервиса Security. Мы не будем рассматривать его подробно, поскольку он служит только для нужд web-разработчиков. В системе WebMoney реализованы специальные xml-интерфейсы (http://www.webmoney.ru/pfdevelxml.shtml), позволяющие торгующим интернет-ресурсам принимать оплату за товары или услуги, выписывать счета и проверять их оплату, а также совершать ряд других действий автоматически, без участия человека. Для работы с интерфейсами необходимо использовать специальный модуль WMSigner, который производит электронно-цифровую подпись (ЭЦП) каждой операции при вызове интерфейса. Проверяя ЭЦП, сервер WebMoney устанавливает, соответствует ли подпись WM-идентификатору, от имени которого она была сформирована. Это позволяет совершать операции в системе только от имени своего WMID. Суть третьего инструмента службы Security заключается в том, что, при необходимости, можно разрешать чужим (доверенным) WM-идентификаторам подписывать запросы на выполнение тех или иных операций для своих кошельков. Указав доверенные WMID, можно будет формировать ЭЦП от их имени.