Форум ''Интернет и Право''

Привет всем, нужна помощь.
Цитирую сообщение оставленное в саппорт WM:
(пока жду ответа, хотелось бы услышать мнение со стороны)

Имело место несанкционированное движение моих средств на кошельках.




Данные переводы я не делал, во время переводов находился за компьютером, кипер был включен, примерно в 15.10 услышал характерный звук прихода средств - это был приход по обмену Z>R, я очень удивился, потому что я ничего не делал с кипером в это время. После чего я обнаружил перевод моих R средств на кошелек R139768380597. Первый раз такое вижу, что бы средства куда то сами уходили, антивирус установлен, компьютер просканирован и антивирус ничего не обнаружил.

Блокировка по ип была выключена, e-num тоже, файлы ключей хранились на флешке, активация кипера включена.

По логам безопасности увидел левый IP адрес с которого был запущен кипер:
365517320 2010-10-25 14:38:51 2010-10-25 14:45:00 ххх.ххх.247.120
этот ип из моей подсети, мой - ххх.ххх.253.61 статический, с которого я всегда захожу в кипер.

Судя по WMID кошелька R139768380597, он принадлежит ООО "В КОНТАКТЕ". А судя по примечанию, платеж был произведен в пользу пользователя Вконтакте с id104124542, у которого на странице можно увидеть одно установленное приложение "Покупай рубли Вконтакте и плати без комиссии!", которое позволяет переводить WM в "Вконтакте" а от туда в платежную систему "Qiwi".

Есть несколько вопросов.
- Я правильно понимаю, что некто с адреса ххх.ххх.247.120 зашел в мой кипер через свой компьютер в 14:38:51 на 6 минут и осуществил эти 2 операции?
- У злоумышленника были мои файлы ключей и пароль от них, а также доступ к моему ящику для активации нового оборудования?
- По логам мыла, последний заход в него был с моего адреса 10 дней назад. Ведь если заход происходит с нового ип адреса, то нужно активировать кипер через мыло, так? несостыковочка...
- Как обезопасить себя от повторного случия?
- Имеет ли смысл писать заявление в милицию? Пусть сумма не большая, но принцип важнее..
- Был ли это вообще злоумышленник из моей подсети? Слишком все очевидно.. +несостыковочка с мылом..

....

Что бы вы посоветовали мне делать в данной ситуации?

У вас в компьютере однозначно сидит вирус.
 

Получается что переводы были с моего компьютера, а управлял переводами этот вирус? От куда тогда появилось левое ип в безопасности? Хотелось бы услышать мнения и по другим заданым в саппорт вопросам

Может сперва дождемся их ответа?

Список необходимых действий:

1. Проведите полное сканирование Вашего компьютера антивирусной программой и поищите вирусы. Если это не получается сделать, используйте другой антивирус или задумайтесь о полной переустановке ОС. Также для того чтобы найти вирус-Троян, который не обнаруживают антивирусы, Вы можете поступить следующим образом, см. http://virusinfo.info/showthread.php?t=1235

2. Cмените ключи доступа в Кипер (см. http://wiki.webmoney.ru/wiki/show/smena_klyuchey_WM_Keeper_Classic ) и пароль на вход в кипер (это делается в меню инструменты – параметры программы – вкладка безопасность – изменить пароль). Смените пароль на ваш почтовый ящик.

Скачайте заново! и установите последнюю версию кипера с сайта www.webmoney.ru

3. Обязательно поставьте блокировку по IP. Помните, что если у Вас динамический IP или же несколько точек входа, это не препятствие, см. http://www.webmoney.ru/rus/about/demo/help/classic/resp3_07_ipblock.shtml

Если у Вас возникают проблемы с установкой блокировки по IP ознакомтесь с инструкциями по ссылке http://wiki.webmoney.ru/wiki/show/Blokirovka_po_IP

4. Изучите журнал подключений к Вашему wmid с целью выявления подозрительных IP-адресов. Делать это следует по ссылке - https://security.webmoney.ru/asp/default.asp

5. Пересмотрите своё отношение к безопасности Вашей системы и внимательно изучите раздел, посвященный безопасному использованию кипера - https://security.webmoney.ru/asp/default.asp

Вам следует обратиться в милицию с заявлением о совершении в отношении Вас
противоправных действий.

Для этого Вам необходимо:

1. Обратиться в ОВД по месту Вашего жительства;
2. Не забыть взять с собой паспорт;
3. Написать заявление на имя начальника ОВД, в которое Вы обратились;
4. Получить талон-уведомление о регистрации Вашего заявления в журнале КУСП;
5. Рекомендовать дежурному по ОВД (либо лицу, принимавшему у Вас заявление)
обратиться для разрешения вопросов, связанных с Вашим заявлением, в
подразделения Специальных Технических Мероприятий.

В заявлении необходимо максимально точно указать всю имеющуюся у Вас
информацию: номер кошелька, Ваши контактные данные, подробную информацию о
платеже. По возможности приложите документы, подтверждающие зачисления на Ваш
кошелек.

Также следует приложить распечатку всех IP-адресов, с которых заходили в
Кошелёк. Получить историю входов в Кошелёк можно здесь https://security.webmoney.ru/asp/default.asp, опция “Журнал IP”.
Дополнительную имеющуюся у нас информацию, касающуюся данного дела, мы предоставим
правоохранительным органам по запросу.

На большинство вопросов я не получил от них ответ..

А хотелось бы узнать что..

Если в журнале подключений к моему wmid присутствует "левый" ip, значит с этого ип (либо через это звено в цепочке) кто то зашел на мой кипер? И следовательно он знал пароль от моего wmid, у него были ключи для входа, а так же доступ к моему мылу? Ведь иначе, как я понимаю, доступа к киперу не получить? Но если в журнале мыла нету записи что туда кто то заходил за последние 10 дней и соответственно никто не активировал оборудование, а активация включена на кипере, от куда же взялась запись в журнале кипера о левом ип во время совершения этих переводов?

Был ли это вообще злоумышленник из моей подсети? Не слишком ли глупо получается.. совершить такое и оставить свой след, причем ип именно моего провайдера, моего города... Неспроста это.

Если даже он и достал файлы ключей от кипера и пароль от него, что очень маловероятно, но он точно никак не мог узнать пароль от этих ключей и он не заходил на мыло что бы активировать оборудование. Получается что эти переводы были произведены прямо с моего компьютера, от сюда напрашивается вопрос, от куда тогда это левое ип в журнале? Непонятная ситуейшн)

В ходе расследования необходимо будет каким то образом подтверждать происхождение средств на моих кошельках? Не попросят ли у меня компьютер, с которого я заходил на мой WMID для экспертизы и т.п..? И вообщем, в целом, от меня кроме заявления еще нужно что то будет? Просто не хочется дальнейшего гемора после написания заявления..
И еше.. не могли бы вы дать примерный шаблон написания заявления?

Какой в этом смысл, если подтвердить, с какого компьютера Вы заходили на WMID можно по Вашему ip-адресу, который привязывает месторасположение пользователя по широте-долготе с точностью до метра.
Нужно будет являться на допросы, знакомиться с материалами дела и т.д., в общем, участвовать в производстве по делу в качестве потерпевшего. Как правило, изначально такие дела сливают в отказные материалы, и вообще не возбуждают. Так что, Вам одному рассчитывать на что-либо дельное не стоит без помощи специалиста, который...
и составит Вам заявление и все остальное...

А данный специалист и есть человек, который принимает заявление? Сомневаюсь что он будет что то понимать в вебмани\интернете и т.п.. Нужно кого то определенного искать на этот случай?

Принимать у Вас заявление будет дежурный оперативный сотрудник. Он может работать, например, по линии угонов, а сегодня он просто по графику заступил на дежурство. Вот и думайте, как хорошо он разбирается в том, что такое, вообще, WM, или нет...

А ему и не надо ничего понимать. Его дело: заявление от вас принять, зарегистрировать его в КУПС, выдать вам талон-уведомление.

Вам прислали очень правильные советы. Ведь ваша задача - избежать дальнейшего или последующего хищения, а не устанавливать технические подробности работы вражеского трояна. Тем более, вам не следует заниматься розыском.


Указанных вами данные недостаточно для построения версий. Не вполне понятно, что вы называете "логами мыла". При передаче электронной почты различные логи ведутся в двенадцати местах.

Впрочем, одну версию я вам выскажу. На вашем компьютере сидит троян, который совершает операции прямо от вашего имени, с вашего адреса.


Не исключено, что в логах засветился ваш собственный IP-адрес, который провайдер выделил вам в предыдущем сеансе связи.


Расшифровать ключи не очень сложно. Активация оборудования не является необходимой.


Нет.


Непременно. Без такой экспертизы нет расследования.


Участие в деле в качестве потерпевшего. Скорее всего, вам (вашему адвокату) придётся обжаловать попытки отказать в возбуждении дела или прекратить его под надуманными предлогами.


Без этого не обойтись. Так устроена правоохранительная система в любой стране.

Спасибо за ответы. По поводу засвеченного IP адреса - у меня статический (постоянный) адрес и в журнале только он, кроме этого одного "левого'

и по поводу

Я же как потерпевший выступать буду, зачем у меня компьютер забирать на экспертизу? Что там найдут? Ведь все необходимые логи и в т.ч. мой ип предоставит WM органам правопорядка?

Нет и еще раз нет. 90% вероятности того, что у вас на машине вирус. Проверьте все внимательно и считайте пропавшие 100 баксов как плату за науку.

По существу. Вам тут уже кратко описали все возможные мытарства после обращения в милицию. Прикиньте - что вам дороже.

Далее. На моей практие были случаи (не со мной  :)), когда в подобной ситуации в результате все шишки сыпались на подавшего заявление. У вас заберут комп, причем надолго, посмотрят, что есть интересного на диске (а все ли ваше ПО легально??) и т.д.

Оно вам надо?

Енум, файлы паролей на флешке, а флешка - ТОЛЬКО под подушкой.
Да, еще я надеюсь, что у вас персональный аттестат?

Удачи!