С QIWI-Кошелька Росузника сняли пол-миллиона рублей

    UPDATE: Деньги вернулись, подробности внизу.

    С QIWI-Кошелька благотворительного проекта «Росузник» злоумышленниками было снято почти пол-миллиона рублей, если точнее 483 тысячи.

    Пароль аккаунта был изменен через перехват SMS-сообщения с кодом на смену пароля. На работоспособности проекта это сильно отразиться не должно, сумма, по словам сотрудников, составляет около 5% от общего объема поступлений, в основном работа идет с другими платежными системами. QIWI-кошелек был удобен для жителей регионов, работа с ним будет продолжена после разбора этой истории.

    Источник.

    У нас, к сожалению, очень плохие новости. Нас обворовали на крупную сумму — почти на полмиллиона. Сегодня около 16:00 мы стали получать идущие подряд смс-сообщения с кодом для смены пароля Qiwi-кошелька. На первый взгляд, в этом не было ничего подозрительного: логин для входа в Qiwi совпадает с номером кошелька (и привязанным номером телефона), поэтому любой человек может, нажимая на ссылку «Забыли?» отправлять такие смс-ки владельцам счета. Несмотря на это мы сразу же отправили сообщение в службу безопасности Qiwi:

    Номер QIWI Кошелька: 79175905631

    Контактный E-mail: ***@***

    Сообщение: Обращаю Ваше внимание, что сегодня я начал получать шквал смс-сообщений с временным паролем для смены основного пароля к моему кошельку.

    Через несколько минут пришло последнее смс: «Ваш временный пароль такой-то». Стало понятно, что дело серьёзное, поэтому мы сразу набрали службу поддержки Qiwi с требованием заблокировать счет до выяснения.

    Попытались зайти в Qiwi самостоятельно — пароль уже не работал. Сбросили пароль, вставили штабную сим-карту в телефон (ранее на ней стояла переадрессация телефонных звонков и смс-ок на дежурного штаба), и тут всё стало понятно. Сим-карта не подавала признаков жизни — видимо, злоумышленники каким-то образом сделали копию сим-ки (перевыпустили её), запросили на неё новый пароль для кошелька, залогинились и моментально сняли все деньги. Про это сказала через несколько часов служба безопасности Qiwi в ответ на второе письмо.

    Завтра (уже сегодня) подаём заявление в полицию по факту хищения денежных средств, будем добиваться возбуждения уголовного дела, наш адвокат Дмитрий Дубровин начал работать.


    Налицо явно недостаточная степень защиты сервиса и неоперативная работа службы безопасности. Также интересно, каким образом был осуществлен перехват SIM-карты или SMS-сообщений
    Насколько я понимаю, отследить злоумышленника и откатить транзакцию будет несложно, это не криптовалюта, все операции QIWI проходят через реальные банки.

    Мне интересно будет следить за дальнейшим развитием событий, тем более у меня у самого есть кошелек QIWI, через который я иногда делаю существенные для меня операции перевода денег. Хочется понять, как это случилось, и застраховать себя от подобных действий, а также немного попинать службу безопасности сервиса, для увеличения степени защиты.

    UPDATE: Деньги вернулись, подробности внизу.
    Плюс полмиллиона рублей
    Ситуация с пожертвованиями на QIWI-счете, доступ к которому был получен злоумышленниками, разрешилась положительным образом благодаря отличной работе службы поддержки и безопасности QIWI. Все деньги возвращены на наш счёт, который теперь будет обеспечен дополнительной защитой, исключающей повторение подобных ситуаций. Мы убедились, что QIWI-кошелек — безопасный способ сбора пожертвований, мы будем продолжать его использовать.

    Наши вчерашние догадки о том, каким образом нас «вскрыли», подтвердились: незаконное получение дубликаты сим-карты. Подробнее рассказывать о действиях злоумышленников, а также о тех моментах, которые им не позволили довести задуманное до конца, мы по понятным причинам не будем.

    РосУзник благодарит группу QIWI и всех тех, кто продолжает поддерживать нас, кто не отвернулся от нас в трудную минуту. Спасибо вам!
    Share post

    Comments 121

      +18
      Вроде не первый раз уже что-то взламывают, дублируя симки. Двухфакторная авторизация по мобиле после этого уже не выглядит средством, заслуживающим доверия
        +32
        Мне кажется, надо просто «более правильно готовить» эту двухфакторную авторизацию.

        Недавно сменил SIM карту, номер остался тот же. Но каким-то образом Альфа-банк это дело «спалил» и отказался пускать меня в «Альфа-клик» (а пускает туда только по коду из SMS) пока я не приду в отделение банка с паспортом и не подтвержу, что сменил SIM-карту.
          +1
          Да, в альфе меня это привлекает, хотя много где люди пишут, правда нецензурно, «зачем?!».
            0
            Интересный факт, что Ситибанк заблокировал мне вход в интернет-банк после смены сим-карты, однако, коды для подтверждения интернет-покупок присылает.
              0
              А альфе аналогично, я менял симку, о покупках информаци приходит, но в онлайн банк не пускает
                0
                Так то о покупках. А коды подтверждения не приходят, все правильно
            +15
            У Альфы и Сбера договорённость с операторами на этот счёт. Если MSIN абонента меняется, то интернет-банк временно превращается в тыкву.

            Ещё, как минимум, у Сбера есть настройка, которая предотвращает появление текста SMS в шлюзах типа мегафоновского SMS+ — авторизационные SMS приходят только на абонентский терминал с SIM-картой, через веб их не достать.

            У Яндекс-Денег всё печальнее — проверки на смену MSIN нет, в SMS+ пароли видны.
            • UFO just landed and posted this here
                0
                В чем у Тинькова это заключается? Я недавно менял симку, Альфа сообщила об этом, Тиньков — нет.
                • UFO just landed and posted this here
                    0
                    Месяц назад менял симку, с новой симкой смски с уведомлениями продолжали ходить, а вот войти в интернет-банк не удалось. Узнал про это уже по факту, когда не смог войти, никаких уведомлений не было.
                      0
                      у меня обратная ситуация была. Альфа промолчала, а Тиньков превратился в тыкву.
                      +2
                      И в Русском стандарте еще тоже
                    • UFO just landed and posted this here
                        +3
                        Вам не кажется, что проблема вовсе не техническая в данном случае?
                          0
                          Ещё, как минимум, у Сбера есть настройка, которая предотвращает появление текста SMS в шлюзах типа мегафоновского SMS+ — авторизационные SMS приходят только на абонентский терминал с SIM-картой, через веб их не достать.

                          Для этого действительно необходима отдельная договоренность с оператором?
                          В условиях аналогичной услуги у МТС (SMS Pro) сказано следующее:
                          Услуга SMS Pro действует для входящих SMS с номеров абонентов международных и российских операторов мобильной связи, кроме SMS с коротких номеров (номер до 7 цифр), альфанумерик (буквенно-символьное изображение) и сообщений от сервисных услуг МТС.

                          Сбер рассылает SMS с номера 900, насколько я помню, так что для него это по умолчанию не работает, без отдельных договоров.
                          Думаю, у Мегафона аналогично это работает.
                            0
                            Нет, не аналогично. SMS от Сбера («900»), Райфа (буквы), ТКС (буквы) — не отображаются, от «YandexMoney» — отображаются.
                              0
                              OK, спорить не буду, но в договоренность операторов с банками верится с трудом.
                            0
                            Знаю историю когда купили сим карту новую, и на этот номер по сегодняшний день приходят смс уведомления от сбера, так помимо уведомлений функция мобильный банк работает. Человек уже не первый год оплачивает мобильный за чужой счет…
                              +3
                              Дайте человеку почитать примечание 2 к статье 158 УК РФ, чтобы знал, что «мошенничество, совершенное с причинением значительного ущерба гражданину» — это всего 2500 рублей. При том, что средний ARPU в России — рублей четыреста, а таскание мелочи из кармана длится «не первый год», этот лимит «человек» давно перешёл.

                              Лучше вернуть присвоенное и придти в банк, кося под честного дурака — пока жертва не заметила и не пошла в полицию. Раскрыть такое дело, даже если телефон оформлен на подставное лицо — дело одного дня (за год оставлено слишком много следов круга знакомств в операторском биллинге) — а возможность легко заработать «палку» по серьёзной статье при минимуме усилий полицию дико обрадует.
                                0
                                Увы знаю историю только через интернет, лично не знаком)
                            0
                            Что значит каким то образом?) У вас симкарта регистрируется в сотовой сети по своему ID. (кстати ключ шифрования трафика этот ID + ID вышки плюс какой то там рандом. ) Естественно что при привязке вашего номера телефона привязка идет не по телефону а еще и к ID симки, с которой шла регистрация. Нельзя поменять симку, не меняя ее ID.
                            Другое дело… что… у кого есть доступ к проверке этого?
                              0
                              «Каким-то образом» значит, что я не знаю каким и могу только догадываться.

                              Да, я знаю про то, что у сим-карт есть свой отдельный ID. Но каким образом этот ID или его хеш становится известен Альфа-банку я не знаю. Ответ на этот вопрос дал комментарием выше bougakov.
                                +3
                                Ну вообще сейчас любой может узнать IMSI симки. Например через сайт smsc.ru/hlr/
                                А так, если иметь доступ в ss7 сеть, то это будет ещё и почти бесплатно и договариваться с операторами не надо.
                                0
                                Если при этом стоит мобильный клиент, то в апи иммется доступ ко всем тех данным симкарты
                                0
                                А у знакомой знакомого Сбер провёл транзакцию по симке, заблокированной 5 лет назад, когда был потерян телефон. Деньги так и не вернули.
                                А Альфа палит смену симки всегда, и молодцы.
                                  0
                                  Оператора не меняли? Только симку?
                                    0
                                    Только симку восстанавливали.
                                    0
                                    Недавно как раз после смены сим-карты общался с саппортом альфы, чтобы они приняли новую симку.
                                    После стандартных основных вопросов о имени и дате рождения (может еще каких вопросов) мне начали задавать вопросы для подтверждения что я не верблюд.
                                    Так вот — вопросы были такими: «где была совершена последняя операция с картой?» и «на какой номер карты (4 последние цифры) вы получаете смски?». На ВСЕ эти вопросы я ответил… глядя на смски, пришедшие на новую сим-карту… Т.е. вся эта секьюрность при смени сим-карты насмарку.
                                      0
                                      Как минимум еще просят кодовое слово.
                                        0
                                        Которое известно например бухгалтерии, если карта зарплатная ;) Но это уже ньюансы. Суть именно в бессмысленности этих вопросов как защита от скомунижженного мобильного номера.
                                          0
                                          Его можно же поменять в офисе банка
                                            0
                                            Все что угодно можно сделать в офисе, в том числе и сим-карту новую заапрувить.
                                            Еще раз повторюсь, что суть моего комментария именно в бессмысленности проверочных вопросов.
                                      0
                                      если есть приложения на Android то теоретически можно сравнить по ICCID и IMSI.
                                      если использовался интернет-банк и Вы использовали крупных операторов то они по договору могут отправлять MSSESID с номером абонента в виде заголовка.
                                        0
                                        Симкарту можно клонировать. Фактически, симкарта это номер IMSI и зашифрованное число Ki. Подробнее о клонировании можно прочитать здесь. Так вот, смена симкарты меняет эти параметры, а вот клонированную симку не спалит даже оператор
                                          0
                                          Сейчас 99%, в том числе все сим-карты, которые поддерживают 3g и 4g, или выданы в последние пару лет не клонируются.
                                            0
                                            Пол года назад клонировал себе на мультисимку свежекупленные билайн и мтс. Обе поддерживают 3g и работают без проблем
                                              +1
                                              Ок. Не буду спорить с человеком с таким ником :)
                                        +11
                                        Только авторизация получилась фактически однофакторная через телефон, поскольку знание пароля не обязательно.
                                        • UFO just landed and posted this here
                                            0
                                            Не обязательно. Можно иметь секретный вопрос, почту для восстановления пароля итп
                                            0
                                            Даже хуже — в СМС подтверждении всего 5 цифр! Это же перебрать можно, если изловчиться.
                                              0
                                              А там разве нет уже ограничения на число попыток?
                                                0
                                                Есть, но это еще одна потенциальная уязвимость
                                                  +1
                                                  Почему? Там блокировка повторного ввода не временная, а постоянная?
                                            +3
                                            Когда я говорил что это не является панацеей для онлайн-банкинга в своей теме про банкинг-вирусы, супермегаэксперты кричали что это есть самое надеждное что только может быть. =)
                                            +7
                                            Перевыпустить СИМку мог только офис оператора, все действия у них логируются, известно какой сотрудник перевыпустил.
                                            Он должен был проверить паспорт владельца.
                                              +2
                                              Злоумышленник мог обратиться с поддельной нотариальной доверенностью
                                                +2
                                                думаю проще — заболтали сотрудника, или он сам лажанул.
                                                  +1
                                                  С ксерокопией паспорта проще. Можно, конечно, нарваться на «принципиальных», но в основном меняют.
                                                  0
                                                  Насколько я помню, у сотрудника не отображается изображения скана прошлого паспорта.

                                                  Соответственно, возможно использование дубликатов «на данные с базы». Какие степени защиты на такого рода «доках» воспроизведены не знаю, но лично я в офисах операторов нормального оборудования для проверки паспортов не видел (ультрафиолетовая лампочка с лупою в наше сложное время уже не адекватна задаче)
                                                    0
                                                    Изображение неважно, паспортные данные хотя бы, предъявление документа.
                                                    Подделка паспорта — это отдельная история.
                                                      0
                                                      В случае хищения крупных сумм это очень, очень релевантная история.

                                                      Данные для «левого дубликата паспорта» берутся достаточно легко из множества «гулящих» баз. Паспорт без проверки степеней защиты (ну или хотя бы сличения фото с «референсом») настолько же надежный способ идентификации клиента, как и «мами клинусь, насяльникэ!»
                                                        0
                                                        Я не говорил что нерелевантная, я говорил что отдельная (отдельная большая история), мой комментарий не касался случая, когда оператору предъявили паспорт, пусть и поддельный. Возможно это требовало уточнения.
                                                          0
                                                          Ок, ок, просто хотел обратить внимание, что сразу вешать всех собак на персонал в офисе не вполне уместно. Они вполне себе могли честно проверить документы (в меру знаний и технических возможностей, доступных им в этом самом офисе) и все равно «попасть в приключение».
                                                            0
                                                            Могли, не спорю. Не собирался на них вешать, просто проговорил что есть люди которые вживую видели исполнителей.
                                                    0
                                                    Он должен был проверить паспорт владельца.

                                                    Вы уверены, что именно должен?
                                                    Расскажу про свою ситуацию. В 2005-ом году я купил СИМ-карту одного из операторов большой тройки. Не знаю почему, но никакого документа у меня не потребовали. Я пользовался этой симкой, пока не потерял ее вместе с телефоном в 2008-ом. Пришел в офис оператора, рассказал эту историю. Меня попросили назвать несколько номеров, по которым я звонил в последнее время, после чего переоформили симку на меня. Как оказалось, все это время симка была оформлена на какого-то левого человека.
                                                    Если этот метод все еще работает, то при должном старании практически любую симку можно переоформить на себя.
                                                      0
                                                      То, что агенты операторов или продавцы в ларьках, с лотков — нарушают правила — не значит что правил нет.
                                                      У меня 5 или 6 знакомых работали в 2002-2004 в магазинах сотовой связи, и уже тогда были обязаны регистрировать на паспорт конкретного человека, другое дело что это нарушалось сплошь и рядом, в т.ч. регали на себя, на знакомых, на левых — потому что тогда было модно при подключении одной симки давать другую с бонусными минутами, или просто бонусные минуты.

                                                      Не далее как в декабре мой друг хотел сделать сюрприз — подарить только вышедший 5S на новый год своей подруге. Но чтобы получить микросимку нужно было тащить её в офис. Чтобы этого не делать — пришёл в офис и присел на уши продавцам. Они сначала отнекивались, потому что это на самом деле связано с уголовкой (этот топик — хороший пример), но поддались на уговоры, т.к. он сказал даты, суммы и счёт пополнения (а пополнялось со счёта его телефона). Но это всё же нарушение и если бы вскрылось — парней бы уволили тут же.
                                                        0
                                                        ОК, но что делать операторам, если у них до сих пор есть множество клиентов, у которых данные заполнены неправильно? Мне, например, было бы очень неприятно, если бы пришлось менять номер.
                                                          +1
                                                          Российская специфика — постоянно приходится выбирать — действовать по закону или по понятиям.

                                                          Лирическое отступление, ИМХО: Любого айтишника или вообще человека с техническим складом ума, такое двуличие должно напрягать, поэтому среди про-европейски настроенных граждан так много айтишников ))
                                                          0
                                                          У меня 5 или 6 знакомых работали в 2002-2004 в магазинах сотовой связи,

                                                          Я работал там как раз в это время — с 2002го по 2007й. Всё, что вы написали — правда. Во-первых платили не плохо: около 100 рублей с контракта, что в то время для обычного консультанта-студента были очень хорошие деньги, тем более в бум расцвета мобильной связи, где 30-40 контрактов в день было нормой.
                                                          И да, работодатель чётко обозначил правила: подключайте как хотите, но все косяки на вас, вплоть до уголовки, если номер где-то засветится. Да, подключал знакомых без паспорта, но чтобы выдумать паспортные данные — не доходило до такого, хотя конкуренты не стеснялись и этого. Короче бардак был в то время полный. И всем советую, у кого давнишний номер, непонять где оформленный — легализовать его.
                                                      +13
                                                      У моего друга было украдено с киви кошелька порядка 80 тыс рублей подобным образом. Насколько он успел разобраться — технология такая: злоумышленник находит паспортные данные владельца сим-карты, звонит оператору и просит перевыпустить симку (вероятно не без применения социальной инженерии). На удивление операторы (в нашем случае это был Мегафон) практикуют такие вещи. Так же существует отдельная услуга, запрещающая перевыпуск симкарты без личного присутствия владельца номера, но по-умолчанию она отключена. Ну а дальше, когда есть симка, смена пароля — это лишь вопрос времени.
                                                        +1
                                                        Мне, в свое время, сотрудник службы поддержки черно-желтого оператора по телефону продиктовал PUK для симки, зарегистрированной на третье лицо, попросив назвать только ФИО и телефонный номер.
                                                          +2
                                                          Как я помню, сотрудник сине-зелёного оператора поступил в своё время так же, когда я по телефону пытался восстановить пин для бабушки жены.
                                                            0
                                                            TELE2 тоже продиктовали PUK по телефону по минимальным данным. Был весьма удивлён — морально готовился к визиту с паспортом в ближайший центр обслуживания.
                                                            +2
                                                            а чем закончилась история с другом?
                                                              +11
                                                              Смог вернуть бОльшую часть денег. Если нужно, могу позвонить, уточнить детали.
                                                              0
                                                              Зато мне Мегафон отказывается заменить симку на usim. Потому что симка куплена в переходе и оформлена от балды. Хотя я прихожу в офис с рабочей сим-картой, могу назвать все платежи и все совершенные звони и все прочие подробности. Но меня вежливо посылают.
                                                                +9
                                                                И правильно делают. Владелец — не вы, независимо от того, что она у вас находится.
                                                                  0
                                                                  Никогда не понимал этой логики. Допустим, вы не владелец. Но у вас на руках работающая (!) сим-карта. Что изменится от того, что вместо одной работающей сим-карты вам дадут другую?

                                                                  (меня этот вопрос интересует в части корпоративных сим-карт — без доверенности нельзя поменять сим-карту одного стандарта на другой)
                                                                    +2
                                                                    Допустим, вы не владелец. Но у вас на руках работающая (!) сим-карта

                                                                    По-хорошему, оператор должен ее заблокировать после этого, с последующей разблокировкой настоящим владельцем.
                                                                      0
                                                                      Логика проста: процедура замены сим-карты подразумевает блокировку старой и выдачу новой (не важно, на руках она у вас или нет). Юридически они не имеют права этого сделать без заявления владельца.
                                                                        0
                                                                        Юридически? Дайте ссылку на соответствующую статью, пожалуйста. Это в ФЗ О связи такое?
                                                                          0
                                                                          А при чём тут ФЗ «О связи»? У вас был договор с оператором, или не у вас, если не у вас, то при какой вы тут кухне, извините?
                                                                            0
                                                                            Вы сказали, что юридически одну работающую сим-карту нельзя заменить на другую работающую сим-карту (ну, или, если добавить промежуточные шаги — нельзя заблокировать работающую карту, которую принесли в салон оператору, а потом выдать новую карту, взамен заблокированной). Вот я и интересуюсь — что значит «юридически». Если это прописано в стандартном договоре оператора, то что мешает этот стандартный договор оператору изменить (если ни в одном законе такого ограничения нет)?

                                                                            Кстати, в Условиях оказания услуг связи МТС говорится об обратном тому, что говорите вы:
                                                                            Действия, направленные на получение Услуг, совершенные с Абонентским оборудованием, с включенной в него SIM-картой Абонента, считаются совершенными от имени и в интересах Абонента.

                                                                            Да, тут есть приписка про Абонентское оборудование. Но тем не менее, рабочая SIM-карта авторизует пользователя.
                                                                              0
                                                                              Нифига не авторизует она пользователя. Его авторизует паспорт, и документы, его замещающие (автомобильные права, расписки от юрлиц, и т.д.).
                                                                              Поймите, что симка — просто ключ к услугам. И юридически имеет силу только договор. Договор может быть изменён, но только при обоюдном согласии сторон (если не прописано иное), а одной стороны в этом деле просто нет.
                                                                                0
                                                                                Судя по всему, ни к какому выводу, к сожалению, мы не придем.

                                                                                Почему нельзя заменить одну работающую сим-карту на другую — нельзя, а, например, пароль доступа к Личному кабинету — можно, так и останется для меня загадкой. По закону — никаких ограничений на это нет. Они есть по каким-то внутренним процедурам операторов. В чем их логика — не ясно.
                                                                      +1
                                                                      Нет, совсем не правильно делают. На лицо отсутствие логики.

                                                                      За каким фигом злоумышленнику менять рабочую симку на новую? У злоумышленника на руках был только айфон 5с и лень было обрезать старую симку? Его не устроил 3г интернет на старой симке и он решил поменять на симку с 4г, чтобы попробовать 4г?
                                                                      Где логика?
                                                                    +3
                                                                    Мне повезло — в такой же ситуации симку перевыпустили на месте за 5 минут. Хотя за 10 лет владения ей я никогда не появлялся в офисах мегафона и со стороны совершенно левый человек у которого просто есть симка. Вообще стена безопасности там так резко обрушилась с неприступной до нулевой — сначала мне рассказали что ничего нельзя сделать без владельца сим-карты, я пытался рассказать про то что знаю все платежи и номера и сервис гид и что угодно, но нет. А потом резко раз и… давайте паспорт… какой у вас номер? (продиктовал). Ну всё, вот вам новый микросим. 0_о я мог вообще назвать чей угодно номер. Так конечно не дело, но вообще я за то чтобы при большом наборе доказательств сим можно было переоформить. Ну введя дополнительные ограничения — например отключить номер на несколько дней что бы у владельца был шанс.
                                                                  –31
                                                                  Пароль аккаунта был изменен через перехват SMS-сообщения с кодом на смену пароля.

                                                                  ШТОА?
                                                                    +1
                                                                    У меня возникает смутное чувство, что киви в данном случае — только один из сервисов, который подвергается подобной атаке.
                                                                    Сравнительно недавно приходили смс-ки от вебмани и почему-то от uslugi.tatarstan.ru
                                                                    Отголоски здесь otvet.mail.ru/question/164708875
                                                                    и здесь forum.webmoney.ru/index.php?/topic/30101-
                                                                    Злоумышленники с помощью сервисов рассылки сообщений генерируют смс-трафик и каким-то образом получают доступ к 2фа
                                                                    Либо копированием симки, либо MitM (в вопросе не разбираюсь, не бейте)
                                                                    Атаки направленные (как в этом случае была долбёжка определенного номера), возможно сперва какие-то «ковровые бомбометания»
                                                                    Если вам в последнее время приходили похожие смс-ки с кодами на известные или неизвестные вам сервисы — следует задуматься.
                                                                      +2
                                                                      С одной стороны, банки справедливо оставляют ответственность за безопасность сим-карты за сотовым оператором.

                                                                      С другой стороны, у банков есть техническая возможность поставить еще один рубеж защиты уже на «своей территории», и требовать дополнительных действий от клиента при обнаружении смены сим-карты.
                                                                        +2
                                                                        Так претензии, я так понимаю, должны быть больше к оператору, а не к Киви.
                                                                          0
                                                                          Как уже написали выше, QIWI мог бы следить за MSIN… Но это же QIWI)
                                                                            +1
                                                                            Симки симками, но также должна быть системы отката транзакций, отслеживания назначений, контроля больших переводов, большой суммы переводов за небольшой отрезок времени, оперативного реагирования на обращение владельца и т.п.

                                                                            Интересно посмотреть, как развернется эта история дальше.
                                                                              +3
                                                                              Верно. Это же преступление, выдать новую симку чужому лицу. Ответственность на человеке из офиса ОПСОСа.
                                                                              Но у киви то же нет проверки на смену MSIN. А хотелось бы, для больших сумм.
                                                                                0
                                                                                А поддержка webmoney говорит, что у них давно есть защита на смену симки
                                                                                  0
                                                                                  Не удивлен. У вебманей всегда был пунктик насчет безопасности. Бывало, что даже перегибали палку на этот счет. Но тут вроде о Киви речь, их безолаберности в вопросах секьюрности.
                                                                                +11
                                                                                Честно говоря, немного странно хранить такие значительные суммы на QIWI-кошельке. При том, что для входа нужен только доступ к телефону. QIWI давно позиционирует себя как платежный провайдер, а не как сейф. Тут все стороны нафейлили, что в итоге привело к такому результату. Нельзя винить кого-то одного (провайдер, киви, владелец счета), но информация для людей, хранящих там сбережения, определенно, полезная.
                                                                                  +6
                                                                                  Кошелёк для пожертвований, вот и «накапало», просто не вывели вовремя. Не специально же там хранили.
                                                                                    +1
                                                                                    Странно, что на кошельке общественной организации вообще задерживаются такие суммы. Если деньги — на дело, то они должны расходоваться, а не храниться «до лучших времен». А если сумма запланирована как «буфер», то пусть перечисляется на хранение в более надежные места.
                                                                                      0
                                                                                      Часто надежность мест хранения определяется постфактум.
                                                                                      Заранее обнаружить дыры в безопасности места хранения такого уровня как Qiwi та еще по сложности и дороговизне задача.
                                                                                      0
                                                                                      А у юрлиц там разве обычный кошелек с полным доступом?
                                                                                      У того же яндекса к примеру никакого кошелька в таких случаях нет, деньги автоматом переводятся на расчетный счет, больше их никуда и никак не вывести.
                                                                                        0
                                                                                        Не знаю как обстоят дела на самом деле. Выше — просто моё предположение.
                                                                                    +5
                                                                                    Существует много схем, позволяющих делать смену симки без присутствия абонента. Я как-то разбирал один случай, когда у знакомой так симку угнали. Чаще всего этим занимаются банально сотрудники офисов. Так что не доверяйте важные данные авторизации по номеру телефона.
                                                                                      +17
                                                                                      У меня увели 14 тысяч рублей несколько дней назад подобным образом, но без подделки сим-карты. Киви-кошелек привязан к мегафоновскому номеру.

                                                                                      Технология в случае мегафона оказалась где-то даже проще:
                                                                                      1. Подобрали пароль от сервис-гида. Это 6 цифр, я их не знал, хранил в 1Password. Такой пароль создает сам Сервис-Гид по умолчанию. Либо узнали пароль другим способом. Но вариант того, что я сам его скомпрометировал — исключаю. Я получил единственное сообщение о том, что произведен вход в Сервис-Гид мегафона. Но вовремя отреагировать не смог, телефон был не под рукой.
                                                                                      2. В Сервис-Гиде отключили приём смс для моего номера (есть такая услуга)
                                                                                      3. Подключили услугу UMS (приём смс на сайте Мегафона)
                                                                                      4. Сменили пароль на киви, получив все смс через сайт, перевели деньги на другой киви-кошелек, потом вернули(!) и вывели на счёт Альфа-Банка(!!!)
                                                                                      5. Вернули услуги в Сервис-Гиде в исходное состояние.

                                                                                      На всё ушло 20 минут.

                                                                                      Поддержка Киви отправляет в правоохранительные органы, никаких ответов по существу она не даёт. Работать они намерены только по решению суда.
                                                                                      Поддержка Мегафона очень сожалеет, хотя проблема именно у них.
                                                                                      Поддержка Альфа-Банка сделала вид, что записала параметры произведенной транзакции, но по-моему им это не очень интересно, потому что моими контактами они даже не поинтересовались.

                                                                                      Поэтому рекомендую пока что сменить пароль в Сервис-Гиде на максимально сложный (20 цифр) и не хранить существенных сумм на киви.
                                                                                        +1
                                                                                        А это не может быть что-нибудь вроде приложений под телефон с правами доступа на чтение SMS?
                                                                                        Вариант: пришла смс от Сервис-гида, считали пароль, запомнили, переслали на сервер. Когда-нибудь воспользовались.
                                                                                          0
                                                                                          Нет, потому что в Сервис-гиде зафиксированы все факты подключения услуг и подольский айпишник, с которого это сделано. О сути услуги UMS мне рассказала поддержка Мегафона, сам об этом не знал.
                                                                                          Телефон с этим номером — айфон, неджейлбрейканый.
                                                                                          Сервис-гидом на этом номере я не пользовался года два, поэтому вероятность перехвата исчезающе мала.
                                                                                          6 символьный пароль, состоящий всего из трёх разных цифр подобрать довльно легко. Тут вопрос опять к Мегафону — почему не отследили попытки подбора.
                                                                                            0
                                                                                            Попытался сейчас сменить пароль на не шестисимвольный (точнее, не шестицифровой).

                                                                                            USSD-код *105*01# не работает. *105*00# генерирует только шестициферные комбинации.

                                                                                            Функция смены пароля работает только в вебинтерфейсе, пароль допускается сменить на другой цифровой, до 26 знаков.

                                                                                            МегаФону незачот :(
                                                                                          +1
                                                                                          при этом интересно, что SMS от Сбербанка в UMS или SMS+ не отображаются. А вот SMS от Яндекс.Денег — только в путь.
                                                                                            0
                                                                                            Я так понимаю, мегафоновский Сервис-Гид это что-типа мтсовской ИССА? Зачем вообще заранее генерировать пароль и где-то его хранить? Разве не лучше получать одноразовый пароль по SMS непосредственно в момент входа в систему?
                                                                                              0
                                                                                              Да, это точно такой же сервис, но другой :)
                                                                                              Вопрос риторический, Мегафон не предлагает одноразовых паролей.
                                                                                                0
                                                                                                Непосредственно сразу после того как ты увёл у кого-то телефон с симкой? Да, удобно. Но вообще-то это неправильно, должен быть другой канал получения пароля.
                                                                                              +1
                                                                                              Хорошо, хоть в webmoney можно заблокироваться по звонку. Посидел как-то «удачно» в интернет-кафешке, на след. утро получил несколько SMS с кодами. Позвонил в суппорт — заблочили, пока пароль не поменял. И сказали, что лучше вообще поставить Enum и забыть про ОПСОСов.
                                                                                                0
                                                                                                Такая же история. У меня были одновременно подключены оба способа подтверждения операций, и через e-num и через смс (с ними все же удобнее, быстрее). Хорошо что успел тут же зайти на сайт настроек безопасности, переключить только на e-num. Толковую вообще штуку вебмани придумали, безопаснее по-моему вообще нет ничего в наших платежках и интернет-банкингах.
                                                                                                +6
                                                                                                а как же лимиты на вывод? Служба безопасности киви? Взять так вот и вывести полмиллиона? Да мне мой банк за любую транзакцию 15к+ звонит!
                                                                                                  +2
                                                                                                  Я бы ушел от банка, который не может реализовать нормальный антифрод, а единственное правило, которое он придумал — звонить по каждой транзакии более 15К. У меня постоянно транзакции более 15К происходят.
                                                                                                    0
                                                                                                    Согласен, меня тоже бесит
                                                                                                  • UFO just landed and posted this here
                                                                                                    0
                                                                                                    Не знаю, может быть на самом деле это и бессмысленно, но я бы на их месте оперативно попытался бы перевести деньги на другой счет, когда было ясно, что кто-то активно пытается взломать аккаунт. По крайней мере это позволило бы отсрочить происшествие, и в это время можно было попытаться либо самостоятельно вывести средства, либо достучаться до службы поддержки.
                                                                                                      +1
                                                                                                      Я писал про то, что с двухфакторной аутентификацией будут проблемы еще в ноябре.
                                                                                                        +3
                                                                                                        Двухфакторная авторизация бывает разная, можно же через google auntificator делать
                                                                                                          +1
                                                                                                          Хоть один банк это делает?
                                                                                                            0
                                                                                                            Да, делает, например банк Санкт-Петербург. Надеюсь, скоро будут и другие так делать, предпосылки к этому есть.
                                                                                                            0
                                                                                                            Есть намного более простые и надежные решения — digipass тот же.
                                                                                                            Но практически ни один банк в России (в отличии к примеру от Европы) не предлагает такое клиентам…
                                                                                                            Даже банки где сертификаты были переходят на СМС пароли.
                                                                                                            +1
                                                                                                            Вернули деньги
                                                                                                            rosuznik.org/news/495
                                                                                                              +1
                                                                                                              Всё хорошо, что хорошо кончается.
                                                                                                              0
                                                                                                              А у Билайн или МТС есть услуга похожая на мегафоновский смс+?
                                                                                                                0
                                                                                                                Ну если вы не можете подробнее рассказать о действиях злоумышленников, то это сделаю я. Как мы знаем, счет киви кошелька, это номер мобильного телефона. По интернет базам собирается информация на этот номер, вплоть до данных паспорта. Заблаговременно покупается пустая болванка симки, куда впоследствии будет перепривязываться угоняемый номер. Далее звоним оператору и под предлогом потери симки/etc, просим восстановить номер на новую симку. Для убедительности называем полное имя/дату рождения/адрес/данные паспорта, которые мы взяли из интернет баз и они соответственно совпадут с данными, которые были указаны в контракте.

                                                                                                                Вообще все это происходит из-за халатности операторов.
                                                                                                                  +1
                                                                                                                  Мне казалось для «восстановления» симки нужен визит в офис…

                                                                                                                Only users with full accounts can post comments. Log in, please.