Очень многи пользователи платежной системы Webmoney, считают, что эта платежная система никогда не злоупотребляет доверием пользователей и никогда открыто не обманывает своих пользователей.
Нет, конечно же система не обманывает пользователей, однако …
Сегодня, на сайте greyish.ru я наткнулся на одну очень забавную статью — Атака «салями», где была описана схема вредоносной работы, которая может быть внедрена в скрипты программ, особенно тех, которые работают с денежными знаками. И, читая эту статью, мне резко вспомнилось, что я это где то уже видел. И видел я результат такой работы именно в платежной системе Webmoney.
Давайте разберем действия, которые меня заинтересовали в работе ПС Webmoney.
Итак, начну свой рассказ с того, что же такое атака «салями», для этого обрачусь к одноименной статье на сайте greyish.ru.
Атаки «салями». Атаки такого рода более всего характерны для систем, работающими с денежными счетами или чеками. Принцип атак «салями» построен на том факте, что при обработке счетов используются целые единицы (центы, копейки, рубли и т. д.), а при начислении процентов или при расчете уплат при приобретении множества товаров нередко получаются дробные суммы.
Т.е. суть такая, что часто результат приходится округлять в большую или меньшую сторону. Иногда злоумышленник округляет именно в меньшую сторону, не уведомляя при этом клиента. А полученную выгоду — кладет себе в карман.
Давайте посмотрим форму обмена WM-WM, встроенную в кипер. Введем для примера обмен WMB на WMZ. Я выбрал именно эту валюту для примера, т.к. здесь фигурирует большая сумма wmb для обмена на wmz.
Вроде бы ничего удивительного не видно. Все нормально, все как и должно быть. Но давайте увеличим сумму отдаваемых WMB, скажем до 1105. Сумма получаемых WMZ не изменяется, а система Webmoney никак не уведомляет пользователя о том, что отдать можно не 1105, а гораздо меньше. Полученную разницу Webmoney кладет себе в карман. Вполне вероятно — это простая не доработка, т.к., например, на бирже обмена wm.exchanger.ru эта проблема устранена и сумма отдаваемой валюты автоматически уменьшается до необходимой. В ситуации же со встроенным обменником сумма остается прежней и не известно куда именно отправляются передаваемые лишние wmb.
Кажется, что полученные лишние WMB — мелочь. Однако, если учесть, что обмен производят по несколько сотен тысяч пользователей ежедневно — результат полученных лишних титульных знаков может ежедневно быть просто коллосальным.