Взломали Qiwi-кошелёк

Утром получаю два сообщения подряд от Qiwi-банка.

Насторожило. Ведь такие деньги я уже давно никакой ЭПС не доверю.

Сразу же иду в свой кошелёк через web-интерфейс, меняю пароль и смотрю историю транзакций. Поскольку этим кошельком я давно не пользуюсь (просто нет надобности, для необходимых мне операций у меня есть другая платёжная система), в истории всего три транзакции: два пополнения на 6 и 9 тысяч, и один вывод через «Юнистрим» на сумму 14600 (с учётом комиссии — 14965). Странно, что SMS о пополнениях не приходят, хотя когда-то они рассылались по умолчанию.

Первая мысль: ошибочно зачисленный платёж и возврат средств. Кликаем на детали перевода: отправитель — Николай Анатольевич Казаков, получатель — Роман Александрович Марченко. Уже менее похоже на ошибочное пополнение и возврат: во-первых, после этой операции остались 35 рублей на счёте (до этого там уже больше месяца был 0 с копейками); во-вторых, не было никаких оповещений от Qiwi, что платёж зачислен ошибочно, мол, просим не паниковать и, тем более, не тратить зачисленные деньги 😀 ; в-третьих, вряд ли в поле «Отправитель» значилось бы чужое имя (странно, почему систему это не насторожило?), в-четвёртых, зная бюрократичность наших организаций, сомнительно, что деньги вернули бы так быстро; в-пятых, какого фига здесь делает «Юнистрим» тогда? :)

Минимум информации. Но хорошо, что и это успел узнать и заскриншотить.

Как это сейчас водится, написал в «Твиттер» о странных транзакциях и в это же время звоню в службу поддержки. Пока безуспешно пытался дозвониться, получил ответ в «Твиттере» с предложением написать письменный ответ. На мой комментарий о невозможности дозвониться к ним по телефону, мне отвечают, что пользоваться почтой намного эффективнее! Ну хорошо, что не обычной почтой предложили воспользоваться, а электронной. Но эффективность в подобных ситуациях крайне сомнительна.

В службу поддержки всё же дозвониться удалось, раза с 10-го. Там ровным счётом ничего не сказали, только выдали адрес support@qiwi.ru — очень смешно. Отписываюсь. Получаю ответ, мол, не туда пишите — ещё раз смешно.

Отписываюсь во «фрод-мониторинг», получаю ответ, что кошелёк всё же был взломан и использован для перевода через него левых денег.

В ответ забрасываю их кучей вопросов, из которых получаю ответы лишь на два: через терминал или через web-интерфейс пользовались моим кошельком, и так, на всякий случай спросил, предоставят ли они соответствующим органам всю информации и детали транзакций (ну, оно и так понятно, что предоставят — вопрос был риторический).

Кошелёк заблокирован и когда будет разблокирован — не сильно понятно, благо — есть хоть какая-то информация о последних транзакциях. Факт блокировки кошелька меня заботит мало: во-первых, qiwi-кошельков у меня два, оформлены на разные номера (точнее, второй оформлял вообще на нероссийский номер, исключительно для проверки возможности работы системы с такими номерами); во-вторых, денег там никаких не было, а срок действия QVC давно истёк. Казённая формулировка «до возврата средств владельцу» немного настораживает, правда. Но вот то, как работает служба поддержки клиентов, просто поражает.

Служба поддержки. Вообще-то клиенты доверяют системе свои деньги, порой очень огромные суммы и действительно ждут поддержки (не в плане утешений, мол, «Да вы не расстраивайтесь! Вы у нас не первый такой, уже второй! Найдём бандюгу, отдадим под суд, его посодют, чтоб больше не воровал!», а в плане сотрудничества). Мою просьбу предоставить детали последних транзакций просто проигнорировали. Ну фиг с ним, что не предоставили (хотя это, вроде бы, мой аккаунт — имею право знать? ах, да, забыл — у нас же демократия), но можно было самим предпринять какие-то действия? Если кошелёк просто используется как транзитный, то деньги, наверняка, были украдены у какого-то другого клиента — это очевидно. По идее, если система сама заблокирует сомнительный перевод и вернёт деньги владельцу, то уровень доверия к ней только повысится. А об опыте общения со службой поддержки Qiwi я уже писал в блоге ранее.

Версии. «В интернетах» сразу же нашёл кучу информации о массовых взломах qiwi-кошельков (кстати, после одного из таких в системе и появились SMS-подтверждения, которые не только тормозят работу с кошельком, но и, как пишут пострадавшие пользователи, совершенно бесполезные при взломе). Очень много сообщений, что пропадают деньги с банковских карт, привязанных к Qiwi-кошельку (я, кстати, вообще не понимаю, зачем нужно это делать?). Ну, и ещё по результатам поиска можно сделать вывод, что система активно используется мошенниками для вывода в неё краденых денег со счетов клиентов различных банков. Ну а что, вообще ляпота для жуликов: служба поддержки безмолвствует (кстати, мне ещё повезло — хоть что-то ответили, очень многим вообще не отвечают никак), а если и что-то делает, то крайне нерасторопно.

Многие пишут, что такие массовые акции взлома могут провести только «свои люди», т.е. те, кто работает в самой компании и имеет доступ к пользовательским данным. Очень даже не исключаю (в первую очередь, именно такая мысль и возникла в голове): пароль, вроде бы, угнать у меня не могли — компьютер регулярно проверяется на наличие заразы, а подобрать его ну оочень сложно (мои знакомые, с которыми у меня есть совместные проекты, знают мою любовь к генерированию таких паролей, на которых можно тренировать произношение). Здесь вспоминается опыт пользования соцсетью «вКонтакте»: можно придумать пароль любой сложности, но при непосещении своей страницы длительное время, фотография сменится на какую-то не сильно приличную, а на странице появится сообщение, что она была взломана. Ой, как сомневаюсь, что кто-то сидит и взламывает пустую страницу, ага!

Опыт. Когда не было других альтернатив, с радостью пользовался QVC (виртуальная кредитная карта Qiwi) для расплаты в забугорных магазинчиках. В какой-то момент стали ежедневно приходить сообщения о неудачном списании то 99, то 100 USD — уже тогда я не доверял такие суммы платёжным системам, а если и была необходимость совершать крупные покупки, то делал я это моментально, сразу после пополнения счёта. Служба поддержки как-то обыкновенно отписалась, ну, мол, пытаются расплатиться моей картой, чо. :) Откуда её реквизиты попали к мошенникам, если я после прикрепления карты к PayPal, нигде их больше не светил? Вот и мне не понятно (точнее, понятно, но это лишь предположение). Слишком давно пользуюсь платёжными системами, да и магистерскую диссертацию по ним защищал (разумеется, особое внимание уделялось безопасности их использования) — не очень-то поверю, что у меня на ПК или на планшете завёлся кейлоггер, который только и ждёт, когда это я введу 16 цифр подряд, да и ещё и CVV2-код вздумаю набирать прямо на клавиатуре, ага.

В принципе, больше ничего критичного, вроде бы, не случалось, но на всякий случай снизил «контакт» с банковскими карточками и платёжными системами до минимума. Считаю, что небезосновательно, ибо, как сейчас говорят, мониторю ситуацию. Да, я знаю, как можно обезопасить себя, свой ПК и реквизиты для доступа к счетам, но я действительно не доверяю самим системам. Хотя бы потому, что в той же WebMoney в соглашении прописано, что любая потеря денег может произойти исключительно по вине самого пользователя (да и чего уж там, сейчас лишиться доступа к своему WM-кошельку можно и попросту не соблюдая требований системы или не разобравшись в нововведениях). Про банки и вовсе молчу: думаю, максимум, на что банк может пойти — это вовремя заблокировать карточку в случае подозрений (разумеется, если будет решения суда, деньги вернут в любом случае, но я не готов идти на такой риск). Да и очень сильно я ценю финансовую независимость, но не в плане постоянного наличия денег, а в плане анонимности их использования.

Обращаться ли в полицию? Честно — не знаю. Да, я постоянно звоню в полицию в случае каких-то мелких происшествий (пьяный дядька в траве то ли живой, то ли мёртвый; драки; порча имущества и т.п.), но сложно представить уровень владения «материалом» современных полицейских. Сама полиция, конечно, вряд ли будет заниматься такими делами — передадут в Отдел «К», подозреваю, что всё это будет происходить крайне медленно, а денег пострадавший человек себе уже не вернёт. По идее, этим (обращениями в полицию) должна заниматься сама система. В общем, подумаю ещё.

Выводы. Давно не пользуюсь Qiwi, и, видимо, теперь не буду пользоваться вообще. Случай неединичный и печально, что конторе плевать на своих клиентов: безопасность будет хромать всегда, и с этим нужно не только смириться (в том смысле, что от этого уже никуда не деться, идеальных механизмов защиты не существует), но и бороться. Пока не борются, самый простой способ обезопасить себя — воздержаться. Ну, или не хранить крупных сумм.

Комментарии

  1. Пару раз сталкивался с проблемами, которые тоже пытался решить с их поддержкой — долго и не особо эффективно. Сейчас пользуюсь редко и больше тысячи там не держу.

  2. Пару раз сталкивался с проблемами, которые тоже пытался решить с их поддержкой — долго и не особо эффективно.

    Ну, тоже бывали ситуации (сроки зачисления денег, отсутствие терминалов, невыдача чеков и прочие мелкие проблемы) — аналогично.

  3. У меня была аналогичная ситуация с Webmoney. Взломали мой кошелек, прокачали через него деньги. Кошелек мне заблокировали. ( а он был с аттестатом ). Слава богу денег там почти что не было. Через полгода меня стали настойчиво приглашать в милицию. Оказалось поймали нехорошего дядьку. Но я почему то в этом деле числилась как свидетель. Потом даже в суд приглашали, но я не пошла. Можно сказать справедливость восторжествовала. Но кошелек то мне не разблокировал. И я теперь не могу никакого аттестата на Webmoney, так как за мной числится заблокированный кошелек.

  4. Татьяна, если правильно помню, у WebMoney в пользовательском соглашении было прописано, что любая утрата доступа к своим кошелькам со всеми вытекающими последствиями лежит на самом пользователи (по-моему, это даже считалось нарушением того самого соглашения) — к сожалению, без согласия с такими условиями работа с системой невозможна. В России вообще сложно работать с любой ЭПС — нет абсолютно никакой ответственности перед клиентами: что хочу, то ворочу. :) До недавнего времени в судах вообще сложно проходили процессы о мошенничествах с использованием т.н. «электронных денег» — они ведь, по сути, не являются деньгами в прямом смысле слова. Сейчас закон хотят принять, но меня терзают смутные сомнения, что станет лучше: повысится ответственность организаторов ЭПС, а те, в свою очередь, предъявят более сурьёзные требования к клиентам.

    Через полгода меня стали настойчиво приглашать в милицию. Оказалось поймали нехорошего дядьку. Но я почему то в этом деле числилась как свидетель.

    Честно: хорошо, что ещё так. :)

    И я теперь не могу никакого аттестата на Webmoney, так как за мной числится заблокированный кошелек.

    Попробуйте поговорить с кем-нибудь из родственников. На крайняк, можно получить начальный аттестат — если не ошибаюсь, он выдаётся автоматически при любой оффлайн-операции (например, выведите деньги в систему «Контакт»).

  5. Чувак, да и с Агентами они так же работают, сам от этого страдаю. Но что поделать, нет профессиональных сотрудников в коллцентрах российских компаний. Возьми хоть большую тройку, вообще дубы дубами.

  6. Я пользовался услугами QIWI исключительно из-за безкоммиссионности операций. Но оказалась права известная пословица о бесплатном сыре: пропали деньги, сумма не большая, но всё ж обидно. Пообщавшись со службой безопасности QIWI понял, что они мне не помощники, твердят одно: обращайтесь в правоохр. органы, а на мои вопросы отвечают, что информация предоставляется только по запросу правоохр. органов. Хотя считаю, что это их дело информировать соответствующие органы, что я им и советовал, бесполезно. Вот что насторожило(информация от службы безопасности) : 17.03. 2013 в настройках безопасности моего QIWI-кошелька был отключена смс-уведомление об операциях(смс-код для отключения этой услуги на телефон не приходил); 18.03 ушли деньги «молча»(оператор ООО»»Финвеб»); хватился пропажи 24.03., зайдя в нужные настройки увидел отсутствие галочки в нужном месте(раньше уведомления о операциях приходили!); поставил галочку-снял и о чудо! галочка ставится-снимается без смс-кода(это отражено в переписки со службой без-сти).Через день в настройках безопасности появился смс-код для отключения смс-уведомления.
    Словом, я тоже подозреваю причастность сотрудников QIWI к безобразиям на данном сервисе.

  7. О какой службе безопасности КИВИ вы говорите??? Кто-то может привести хоть один пример, чтобы эта служба действительно помогла??? У меня взломали кошелек и увели очень хорошую сумму. Обратился в службу безопасности и сообщил на какой кошель переведены деньги!!! В ответ: представьте копию заявления в полицию. А так у нас банковская тайна!!! А в случае ошибочного перевода средств обращайтесь туда-то… Это же маразм! Нет, чтобы заблокировать, хотя бы на определенный период времени (если заявление о хищении ложное) движение средств по счету мошенников и разобраться в ситуации, наступает тишина. Вот и думайте кому это выгодно!!!???

  8. Виктор, думаю, что такие случаи всё же были — если отзывы в Интернете оставляются не самими сотрудниками Qiwi, то нет причин им не доверять. :)

    По поводу выгоды, я уж и так в посте намекнул, что считаю это проделками самих сотрудников Qiwi. Мне, кстати, сообщили, что взлом был через веб-интерфейс — при всех возможностях системы (мобильное приложение, терминалы на остановках), очень опрометчивый ход, т.к. можно где-то да оставить следы.

  9. Влад и Александр, ну вы даже тут умудрились этот бред пропидалить!!!)))))))

Добавить комментарий