Как украли яндекс.деньги, кто виноват

Сегодня обнаружил, что с моего яндекс кошелька спёрли деньги при следующих обстоятельствах:

  • спёрли 1,900р., совсем маленькая шабашка, но это первый раз когда у меня, как у линуксоида, спёрли электронные деньги, причём в системе к которой раньше было большое доверие
  • в истории платежей указанно, что платёж произошёл ночью, 20.07.2014 02:58 с IP адреса 46.36.221.5 на счёт яндекс счёт 410011814039493
  • в деталях платежа указано следующее: 24obmin.com: обмен №758 1939.98 Яндекс.Деньги на 610.63 Приват24 UAH
  • мой аккаунт в яндексе авторизован с помощью паспорта в евросети
  • IP адрес 46.36.221.5 принадлежит fastvps.ru, который занимается предоставлением аренды хостинга
  • пароль ни кто кроме бывшей жены не знал
  • ящиком не пользовался уже много лет
  • воришки сменили мой пароль yandex аккаунта и платёжный пароль, для их восставления мне пришлось получать уведомления по SMS

а истории посещений моего аккаунта видно, что начиная с середины декабря прошлого года происходит иностранная активность, в частность вот лог первого вход с подозрительно чужого аккаута

37.115.158.10 входил [2013-12-15, / 00:31,] address: Degtyarevskaya, 53 address: Kiev, Ukraine descr: Kyivstar GSM descr: Kyivstar GSM, Kiev, Ukraine descr: Ukrainian mobile phone operator

а затем регулярные входы из различных стран

117.203.241.62 входил [2013-12-22, / 14:55,] address: 2nd Floor, Telephone Exchange, Sector 62 address: 8th Floor,148-B Statesman House address: Barakhamba Road, New Delhi - 110 001 address: Bharat Sanchar Nigam Limited address: Broadband Networks address: BSNL NOC Bangalore address: Internet Cell address: Noida descr: Broadband Multiplay Project, O/o DGM BB, NOC BSNL Bangalore descr: BSNL Internet

82.146.43.62 входил [2014-01-15, / 21:28,] address: CJSC The First, Raduzhny 34a address: Irkutsk, 664017, Russian Federation address: PoBox64, Irkutsk, 664017 address: Raduzhny st. 34a address: Russian Federation descr: TheFirst-RU descr: TheFirst-RU clients (WebDC Msk)

193.0.147.50 входил [2014-02-23, / 23:12,] address: Khimki, Moscow region, Russia address: Yubileyny av., 59-11 descr: Freestyle Ltd. descr: route object

212.86.254.138 входил [2014-03-20, / 15:13,] address: 30V Fizkultury Str. address: Farlep Invest PrJSC address: Kiev, 03680, Ukraine address: PJSC FARLEP-INVEST 30V Fizkultury St. 03680 Kiev Ukraine descr: ALKAR descr: PRIVATE JOINT-STOCK COMPANY FARLEP-INVEST

37.212.185.156 входил [2014-04-18, / 10:00,] address: 1, Kharkovskaya str., address: 220073, Minsk address: Minsk Public Telephone Network address: Republican Unitary Enterprise BELTELECOM Olga Romaniuk 6, Engels street 220030 Minsk BELARUS address: The Republic of Belarus descr: BELPAK-2012-3 descr: Republican Unitary Telecommunication Enterprise Beltelecom

190.37.87.220 входил [2014-05-04, / 14:37,] address: 1060 - Caracas - MI address: Segunda Avenida de los Palos Grandes, 000, Entre Av. Fr address: Segunda Avenida de los Palos Grandes, Entre Av. Fr, 000,

выходит что в конце декабря 2013 года, кто-то в революционном киеве сумел подобрать мой пароль, а затем ждал когда же в кошельке появятся деньги (я им не пользовался лет шесть), а когда деньги там появились, то они были переведены на яндекс кошелёк 410011814039493 с помощью виртуально машины размещённой у fastvps.ru

Пока что я написал в абузу fastvps.ru и саппорт Яндекса

Ну и как то автоматом встаёт вопрос о надёжности Яндекса как такового, потому что совершенно не ясно каким образом воришки сменили мои пароли если смена пароля происходит через SMS уведомления, а я таких не получал, ну и ещё, почему яндекс не сообщил мне, что в мой яндекс кошелёк регулярно заходят из разных стран.

В общем Яндексом пользоваться пока что не буду.

ps: скрипт для декодирования истории яндекса:

#!/bin/bash
function date_time_ip2whois {
    echo "*-*-*-*-*-*-*-*-*-*-"
    echo "$3 входил [$1 / $2]"
    whois $3 | egrep -i '^descr:|^Address:' |sort| uniq
    echo "---"
}
date_time_ip2whois $1, $2, $3 | xargs

Применять вот так:

egrep -v 192.168.[0-9]+|172.19.145.[0-9]+' session_yandex.txt |awk '{print "bin/whois_session.sh", $0}' |sh 2> /dev/null  |egrep -v 'Kirov|MefaFon' > session_yandex_decode.txt

Tongue out

Об авторе
Илья Илья

меня можно найти тут