Webmoney и атаки «салями».

Очень многи пользователи платежной системы Webmoney, считают, что эта платежная система никогда не злоупотребляет доверием пользователей и никогда открыто не обманывает своих пользователей.

Нет, конечно же система не обманывает пользователей, однако ...

Сегодня, на сайте greyish.ru я наткнулся на одну очень забавную статью - Атака "салями", где была описана схема вредоносной работы, которая может быть внедрена в скрипты программ, особенно тех, которые работают с денежными знаками. И, читая эту статью, мне резко вспомнилось, что я это где то уже видел. И видел я результат такой работы именно в платежной системе Webmoney.

Давайте разберем действия, которые меня заинтересовали в работе ПС Webmoney.

Итак, начну свой рассказ с того, что же такое атака "салями", для этого обрачусь к одноименной статье на сайте greyish.ru.

Атаки «салями».  Атаки такого рода более всего характерны для систем, работающими с денежными счетами или чеками. Принцип атак «салями» построен на том факте, что при обработке счетов используются целые единицы (центы, копейки, рубли и т. д.), а при начислении процентов или при расчете уплат при приобретении множества товаров нередко получаются дробные суммы.

Т.е. суть такая, что часто результат приходится округлять в большую или меньшую сторону. Иногда злоумышленник округляет именно в меньшую сторону, не уведомляя при этом клиента. А полученную выгоду - кладет себе в карман.

Давайте посмотрим форму обмена WM-WM, встроенную в кипер. Введем для примера обмен WMB на WMZ. Я выбрал именно эту валюту для примера, т.к. здесь фигурирует большая сумма wmb для обмена на wmz.

Вроде бы ничего удивительного не видно. Все нормально, все как и должно быть. Но давайте увеличим сумму отдаваемых WMB, скажем до 1105. Сумма получаемых WMZ не изменяется, а система Webmoney никак не уведомляет пользователя о том, что отдать можно не 1105, а гораздо меньше. Полученную разницу Webmoney кладет себе в карман. Вполне вероятно - это простая не доработка, т.к., например, на бирже обмена wm.exchanger.ru эта проблема устранена и сумма отдаваемой валюты автоматически уменьшается до необходимой. В ситуации же со встроенным обменником сумма остается прежней и не известно куда именно отправляются передаваемые лишние wmb.

Кажется, что полученные лишние WMB - мелочь. Однако, если учесть, что обмен производят по несколько сотен тысяч пользователей ежедневно - результат полученных лишних титульных знаков может ежедневно быть просто коллосальным.

Оставить комментарий

Рубрика Новости Webmoney

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *