У меня взломали аккаунт в перфект

Часто при взломе платежных систем при перезагрузке происходит подмена файл hosts. Подскажите пожалуйста есть ли вирусы, которые оставляют оригинальный файл hosts без изменений, а строку для перехода на фишинговый сайт, например, Perfect Money прописывают в другом файле на локальном диске?

Ломаю уже несколько часов голову как могли взломать у меня аккаунт PM. Начнем по порядку хакер взломал почту gmail, взломал Liberty (с этой платежкой все понятно - дырявая и легко высылается пароль на почту). Идем дальше по истории в аккаунте pm можно увидеть что взломщик зашел за аккаунт --> ввел пин высланный на почту --> поменял что-то в профайле --> поменял через обменник т.е. оплатил через sci интерфейс на либу.

Так вот вопросы мошенник не восстанавливал пароль на Perfectmoney он зашел сразу зная уже пароль. Пароль у меня написан только в одном месте на моем компьютере! Но то что он достал его из этого места исключено, т.к. в данном месте есть и другие пароли к платежкам которые не были взломаны.

Т.е. вывод мошенник взломал почту, после этого взломал аккаунт либерти что не составит труда зная почту, в тоже время он украл все с perfectmoney.

Так вот появляется несколько вопросов: как мошенник мог узнать пароль от аккаунта perfectmoney если он не высылается на почту? И доступа к месту на компьютере где хранится пароль также у мошенника небыло.
Также в аккаунте была включена кодовая карта!!! Которую нельзя отключить не зная этой же кодовой карты. Кодовая карта также хранится в компе в определенном месте.

Заход на фишинговый сайт также исключен, т.к. по ссылкам в письмах не перехожу, а инвестиции в hyip проект через PM делал последний раз несколько дней назад и проверил еще раз что в проекте сайт нормальный.
По письмам на почте (туда приходят письма о высылке pin кода если бы отключали кодовую карту и т.д.) приходили письмо с pin кодом для входа в аккаунт. Далее пришло письмо с надписью

Данное письмо гласит о том что нам что-то изменили в моем profile. Напомню что изменить в profile можно только зная кодовую карту (но тут есть одна фишка), что при изменении он пишет всегда одну и туже цифру из кодовой карты т.е. подбором можно подобрать, но это долго (в кодовой карте шестизначное число).
Что можно было изменить в профайле - там нет ничего особенного кроме пароля и почты, (при изменение пароля старый не нужен). Но напомню что когда украли деньги пароль изменен не был, значит паролья не меняли. Также и почта не была изменена.

Вообщем я так и не понял как мошенник смог получить доступ к аккаунту в Perfectmoney, а после этого еще и деньги отправить.

monhyip, очень интересный случай. Возможно нашли уязвимость в самой PM?

Не знаю возможно, еще я был очень удивлен. Когда мошенник вошел в аккаунт (напомню что к api интерфейсу пароль такойже как в аккаунт) можно было бы сразу пойти и просто перевести все деньги через api интерфейс! Но там нужно было еще в аккаунте добавить свой ip (т.к. у меня стоит огранчиение по Ip для доступа к api интерфейсу), но мошенник почему то не поспользовался этим.

Скопирую историю из ПМ:
12:19 25.02.11 User Logout
12:19 25.02.11 Account Transfer -224.6 Sent Payment: 224.6 USD to account U1131684 from U1426715. Batch: 4941155. Memo: Shopping Cart Payment. Exchange to Liberty Reserve for U7675013.
12:19 25.02.11 SCI Login SCI Login IP : 188.23.*.*
12:15 25.02.11 User Login Login IP : 188.23.*.*
12:15 25.02.11 User Change Profile was edited
12:13 25.02.11 Security Send Send PIN code. E-mail *******@gmail.com

Также забыл написать что отправил вопрос поддержке Perfectmoney чтобы они посмотрели более подробно логи как такое могло случится...

Еще раз подтверждается что Perfect money это не LR --> саппорт ответили
Из этого главный вопрос, мошенник сменил пароль в аккаунт как же я тогда вошел под старым паролем?
И откуда он мог узнать кодовую карту.

p.s теперь включил в аккаунте полностью все защиты включая высылку смс. Надеюсь больше меня не взломают в данной платежке.

monhyip, вспоминайте где вы могли светить е-майл, зарегистрированный под ПМ.
Этот е-майл [email protected] у вас только под ваш аккаунт в ПМ зарегистрирован или используется для чего-то еще?
Почему вы сразу, как начали использовать ПМ, не включили функцию авторизации и уведомлений по смс (ОТР)?
Такое впечатление что у вас угнал деньги непосредственно инсайдер из самой ПМ.

Об этом я писал еще вчера, но мои сообщения в очередной раз потерли на данном форуме

Хм... возможно он для чего-то сменил старый пароль на такой же?

1. По тому вопросу почему я зашел под старым паролем, когда мошенник уже поменял, PM ответили что он поменял по просьбе Perfeсtmoney (система раз в месяц требует поменять пароль), и чтото там система не успела обновить и я успел зайти под старым паролем.

2. Pm ответили

Перевожу -- Из их расследования стало известно что тотже хакер взломал счета all-hyips.biz, вначале я из этого письма понял что меня взломал all-hyips и он также владелец аккаунтов sportarbs и т.д.
Я связался с владельцем all-hyips, он рассказал что того же числа 25 в пятницу у него также украли деньги в либерти и perfectmoney.
Последнюю надпись этого письма то что владелец счета 936752 "all-hyips.biz" является владельцем также других счетов я не понял,(админ all-hyips был от сказаного в шоке) отправил вопрос в PM.

Чуть позже пришел еще один ответ от Perfectmoney насчет sportarbs

Из этого письма я только понял что они описывают какие sportarbs плохие

i_aquaman, Смс я включал раньше потом решил отключить. Подумал деньги списывают зря за каждый заход, меня защитит одна перфокарта, но сильно ошибался и поплатился за это. Мыло [email protected] светилось во многих местах в той же пирамиде ммм-2011 где оно и могло найти хакера. Но некто не знал что этот email привязан к perfectmoney и libertyreserve.

Владелец all-hyips.biz уже также написал в Pm.

monhyip, Эх, зря вы смс (ОТР) отключали - за эту функцию в цепочке безопасности и стоит использовать эту ЭПС.
Скорей всего на вас кто то из админов хайпов, в которых вы светили аккаунты от почты и ЭПС, покусился или сделали наводку на вас кому надо.
Советую вам сменить пароли на почтовый аккаунт и аккаунты в ЭПС с длиной пароля минимум 15 символов (используя в их составе спецзнаки и мнемотехники). И заходить в аккаунт gmail по протоколу https, а не http (устанавливается в настройках аккаунта gmail).
Удачи.

Последний ответ от perfectmoney:
Перевод --> да верно доступ ко всем аккаунтам был с одного компьютера!
И последнее письмо про sportarbs было выслано по ошибке (по ключевому слову sportarbs) и не относится к расследованию!

Т.е. по словам перфектмани к взлому моего аккаунта причастен админ all-hyips.biz так еще и он же имел доступ к аккаунту в sportarbs.
Сейчас отправил запрос в Perfect чтобы сказали ip того пользователя который именно взломал мой аккаунт и имел доступ к другим аккаунтам, естественно ip без прокси.

ответственно заявляю, что не имею никакого отношения к взлому вашего и чьих либо кошельков. Также я ни коим образом не могу являться владельцем кошелька спортарбса.
В перфект мани написал с чего они решили что я владелец кошелька спортарбс, и почему это они начали выносить на общее обозрение? почему не высказали претензии мне? почему не заблокировали мой аккаунт если я мошенник? ничего не понимаю. если есть у них что-то то не мешало бы выложить это на всеобщее обозрение либо сразу в полицию пусть доказательства отдают.
А то порочить мою репутацию вот так вот очень просто можно...

теперь по поводу взлома моих акков либы и перфекта:
- это было не в пятницу, а в четверг (прощу прощения что ввел в заблуждение)
- на либе, взломали акк гмэйла, запросили на либе номер кошелька, сбросили пароль и пины. я это заметил, вывел почти все деньги с акка, сменил пасс к почте и либе. через 2 часа остаток денег на либе украли.
- по перфекту, зашли в акк перфекта не сбрасывая старый пароль (значит чел знал пароль), по истории перфекта высылалось 2 пина но я их не получал (значит человек по прежнему имел доступ к мылу). Затем хакер создал АПИ и настроил его на свой ip, и перевел деньги (денег было не много).
история из перфекта:
p.s. от перфекта ответа до сих пор нет

пришел ответ от перфектов:

Для того, чтобы избежать таких взломов надо соблюдать несколько простых и незатейливых правил:
1) Установить хотя бы бесплатный антивирус типа Avast с проверкой почты и антифишингом. Еще лучше дополнительно установить фаервол типа Zone Alarm или Agnitum Outpost. Настроить их соответственно.
2) Установить в броузере необходимые дополнения безопасности.
3) Настроить политику безопасности в аккаунте Perfect Money (проверка IP, броузера и т.п.).
4) Не пользоваться web-интерфейсом, а лучше почтовым клиентом типа Mozilla Thunderbird. И ни в коем случае не хранить письма на сервере.
5) Настроить почтовые аккаунты на работу по защищенному протоколу SSL/TLS.
6) Периодически менять пароль на аккаунте Perfect Money.
7) Не хранить на одном аккаунте большую сумму, а раскидывать на несколько мелких, которые не привлекут злоумышленника.
Все это не так сложно, как может показаться, зато надежно.

гениально! поздравляю - вы изобрели велосипед...
а еще лучше не пользоваться вообще платежками...

Получил еще один ответ от PM попросили не распространять их ответы на форумах, и дождаться окончания расследования. Будем ждать...

блин вот и меня вчера ограбили. Все дело в том что на почту ничего не приходило. По ссылкам не переходил. Хотел сделать вклад а там на счету почти 0. Только что зашел на ПМ чтобы сделать скрин вижу поступила автовыплата от HYIP. Думал дай смс подключу на всякий случай. И не успел. Смотрю и эти 15 баксов ушли. Зайти в аккаунд уже не могу. на почту пришло сообшение что были измения в профиле. Написал в тех поддержку жду ответа.

добавлено через 32 минуты
Зашел на либерти тоже все смели причем это сделал один и тотже. В Вайруме была внесен депозит, его тоже вывел прежде времено причем к себе на кошель. Ip везде один 74.3.163.66 деньги переводит вот сюда U7916625 кто нибудь знает как избавиться от этого.

По ходу дела какя-то новая вирусня поехала по сети.
лезет исключительно через брузеры.
сменя паролей на мыльниках не помогает, видно что хакеры в мыльники заходят и с ноыми паролями.
что сделал - просто с другого компа сменил все пароли в мыльниках.

Почта была гугловская? У меня один ак взломали, восстановить доступ пока не удалось.

чеба,
почта майил-ру, причем все ящики подряд вздрючены. Гугль не тронут, скорее всего благодоря подчищенным кукам после выхода с бразеров. (1 раз всего в ящике с браузера - завел ящик, открыл в нем ПОП3, подключил к клиенту, и более в него не нагой.) А майл ру требует авторизации постянно браузере, то "мой мир", то еще какая лабуда.

Радует, что с перфекта уже давно на "гмыло отдельное" перенес ящик (в ПМ это можно сделать легко)

каким образом через браузеры?? у каждого браузера есть в настройках своя структура безопасности и блокировок лишних манипуляций.

вся троянская фигня...это, практически всегда, результат фишинга и случайного скачивания каких-то левых прог и документов... а также лазание по порно-сайтам с плохой защитой компа.

добавлено через 4 минуты
создатель этого фаста, получается, химичит
https://mmgp.ru/showthread.php?t=91153&page=6