Jump to content
Калькуляторы

Массовый взлом QIWI продолжается проблемы с защитой счетов на QIWI

08.08.2011 судя по всему был массовый взлом киви кошельков.

Отчего я пришел к такому выводу, сейчас расскажу. Судите сами.

 

Примерно в 12:20 указанного числа мне на телефон позвонил автомат и женским голосом начал вещать про смену какого-то способа авторизации. Номер 84957835858.

Я сбросил, так как ничего сам не настраивал.

Через несколько минут решил зайти на киви кошелек. Пользуюсь исключительно с iPhone4, для него специальное приложение есть из аппстора. Айфон не взломанный, абсолютно чистый. Куплен месяца полтора назад.

Ошибка пароля. Это при том, что пароль был введен давно и не менялся.

Я стал звонить в киви. Мне выслали новый пароль по СМС. Я зашел в кошелек с сайта. У меня стоит линукс Ubuntu x64, google chrome. Винды вообще нет.

На кошельке оказался ноль. Последняя проводка:

 

---------------------------------------------------------------------------------------------------------

 

ООО «Мобильный кошелёк»

ИНН 7727573790

Квитанция: 366711826

Адрес: 117149, г. Москва, ул. Азовская, д. 35, корп. 3

Дата: 2011-08-08 12:23:46.0

Оператор: QIWI Кошелёк

Номер телефона/счёта: 902352xxxxxx

Перечислено: 5958.46

Код операции: 539345018

Служба поддержки

Телефон: 8-800-555-74-94, 8 (495) 771-74-94

e-mail: support@qiwi.ru

 

---------------------------------------------------------------------------------------------------------

 

Как видно, у меня украли 5958.46 рублей. Не приятно.

Я стал звонить в киви, пытаться объяснить. Техподдержка оказалась тупая до невозможности.

На большинство вопросов у них стандартный ответ - мы не владеем данно информацией. Пишите на мыло.

Просто отлично. Я им сообщаю о факте взлома, по горячим следам можно заблокировать аккаунт воров, а ом пофигу.

Ну пофигу так пофигу.

 

Я решил позвонить на тот номер телефона, куда были перечислены мои средства.

Отвечает молодой человек. Я его спрашиваю, что случилось. Он мне рассказал, что с утра ему пришло несколько платежей

на сумму 30 000 рублей, а потом эта сумма двумя частями была перечислена в приват-мани (привет, Украина!).

То есть взломано сразу несколько кошельков. И скорее всего намного больше, просто через один подставной кошелек видимо более 30 000 р порводить сложно.

Я специально его спросил, как он заходил на свой кошелек. Он сказал, что только с компьютера, и только из-под винды.

 

Внимание вопрос, товарищи технари.

Может ли случиться так, что одновременно компьютерный вирус заразил и украл пароль с моего iPhone и с винды того человека?

Я достаточно часто пользовался кошельком с айфона. Крайне редко заходил с компа из-под линукса. С винды вообще не заходил никогда за неимением таковой оси.

 

Из вышеописанного я могу сделать вывод, ломанули их (киви). А не конечных пользователей.

 

Далее. Пишу все это дело в их "службу безопасности" на fraud@qiwi.ru.

Отдельно указываю на разный способ доступа к взломанным кошелькам (кто-то с винды, кто-то с айфона и линукса).

 

Ответ приходи только вечером. Но какой!

 

---------------------------------------------------------------------------------------------------------

Добрый день, к Вашему кошельку получили несанкционированный доступ третьи лица. Предположительно, пароль для управления Кошельком был похищен с использованием вирусного ПО.

Рекомендуем незамедлительно сменить пароль и пин-код, проверить компьютер(ы), с которых осуществлялось управление Кошельком на наличие вредоносного ПО, а также обратиться в правоохранительные органы с заявлением по факту кражи денежных средств.

---------------------------------------------------------------------------------------------------------

 

Они походу даже не удосужились прочитать мое письмо. Просто отправили стандартный шаблон.

Я написал им гневное письмо с призывам ознакомиться с содержанием моего предыдущего письма. И сделать выводы, что тут нет места компьютерному вирусу.

Через некоторое время получаю ответ:

 

---------------------------------------------------------------------------------------------------------

Благодарим за информацию!

---------------------------------------------------------------------------------------------------------

 

Зашибись! Как со стенкой говорить.

И что мне, их клиенту делать? На телефоне в открытую посылают нафиг. Говорят писать. На письма отвечает попка какая-то. Судя по всему даже не читая.

Я, на минуточку, клиент, который доверил им свои деньги. И по их попустительству я их потерял.

 

Вот такие дела. Информация к размышлению. Опять связался с владельцем "подставного" кошелька и попросил дать мне номера телефонов всех кошельков, которые были кинуты по той же схеме через него.

Он мне выслал на e-mail. Могу выложить сюда, но думаю будет не правильно светить чужие телефоны на весь интернет.

Если товарищи из киви не решат вопрос положительно, имею мысь позвонить каждому, разузнать подробности. Может вместе что-нибудь придумаем.

Share this post


Link to post
Share on other sites

Утечка у них (qiwi) внутри, имхо, ищейкам из отдела "К" тапочки к носу, пусть берут след.

Share this post


Link to post
Share on other sites

А есть опыт такой? Сейчас надо чапать к ментам писать заяву на воров. А я бы написал заяву на саму киви. Только вот чего там писать пока не придумал.

Share this post


Link to post
Share on other sites

Тяжко будет киви доказывать, т.к. Есть вероятность на изменение подсудности по месту жительства истца в гражданском процессе. Задолбается киви ездить по городам и весям. Клиент поручения на перевод денежных средств не давал. По взлому клиент-банка есть личная положительная практика, хотя и всего в один процесс. Банк не создавая шума пошел на мировую.

Share this post


Link to post
Share on other sites

У нас пару месяцев назад из сбербанка увели 456000р, якобы через дырку клиент-банка - и нифига никто не чешется! Ни СБ ихняя да же не поинтересовалась как такое произошло, ни милиция, куда в тот же день подали заявление, ни милиция по месту увода денег из соседнего отделения сбербанка!

Share this post


Link to post
Share on other sites

надо почитать соглашение с qiwi, потому что за сохранность паролей которые владелец может передать или у него могут их украсть qiwi ответственности не несет, доказать что у них взломали сервер или что админ передал пароли кому то еще будет сложно, даже если по IP найти кто заходил в ваш Аккаунт он может сказать, что пароль дали вы ему, а вы после этого попробуйте доказать, что не давали...

думаю все будет зависеть от того как к этому делу подойдут правоохранительные органы.

Share this post


Link to post
Share on other sites

По факту вчера был массовый взлом кошельков и увод дофига бабла.

Переводы на подставном кошельке все с номальными суммами 3,5 - 9 т р примерно.

Это означает, что ломанули видимо ОЧЕНЬ много кошельков и опустошали только те, где денег побольше.

В большинстве то кошельков не много денег.

Если все так замнется, нужно написать об этом статью на какой-нибудь крупный информационный ресурс.

Потому что это настоящий беспредел. На ровном месте без каких-либо вирусов взламывают кошельки.

И не только, чтобы насолить лоботрясам, профукавшим чужие деньги.

Если деньги так не защищены, народ должен знать об этом.

Чтобы как минимум не хранили там суммы, которые не хочется терять.

Есть какие-нибудь идеи или связи?

 

Кстати прислали мне ссылочку интересную http://www.potrebitel.net/search/?area=all&sort=rlv&term=%EA%E8%E2%E8&x=0&y=0

Так что писать придется.

 

В данный момент пытаюсь пробиться в отдел К.

Share this post


Link to post
Share on other sites

Кстати прислали мне ссылочку интересную http://www.potrebitel.net/search/?area=all&sort=rlv&term=%EA%E8%E2%E8&x=0&y=0

Так что писать придется.

Вот кстати в Coюз пoтpeбитeлeй Poccийcкoй Фeдepaции (он же http://www.potrebitel.net) напишите, с ними намного проще чем самому.

Share this post


Link to post
Share on other sites

Точно та же история, но 31 июля 2011, описал у себя в жж (http://migdal-or.livejournal.com/73645.html).

Срочно той же ночью, через минуту, запросил новый пароль, зашёл - ноль, через две минуты позвонил в саппорт, через пять минут дописал сообщение во fraud@.

Через полчаса после пропажи денег дописал заяву в ментовку, отсканировал и выслал во fraud@.

Fraud@ ответили что смогли заблокировать часть денег, через три дня вернули 302р из 880. Сумма меньше чем у вас, но тоже неприятно.

Вывел её всю на телефон, в дальнейшем с кивями дел иметь не планирую, разве что если вернут.

Share this post


Link to post
Share on other sites

Сегодня позвонил сотрудник киви, уточнял подробности. Видимо все-таки прочли мои письма. Буду ждать развития событий.

В полицию сходил, заявление написал.

Будут новости - отпишу.

Share this post


Link to post
Share on other sites

Прочли ваши письма и эту ветку тоже. Служба безопасности тоже гарантированно работает над этой проблемой.

 

Если не трудно, черканите мне потом как дела с вашей проблемой, постараюсь помочь, в случае необходимости.

 

P.S. Да, я из киви.

Share this post


Link to post
Share on other sites

chainick - по факту, вас таки ломанули?

ХЗ, это в любом случае компетенция маркетинга пресс-релиз написать, у нас тут все-таки NDA. Но если имеется ввиду взлом внутренних/внешних сервисов по аналогии с тем, как имели сони и прочих - нет, не ломанули.

Share this post


Link to post
Share on other sites

Прочли ваши письма и эту ветку тоже. Служба безопасности тоже гарантированно работает над этой проблемой.

 

Если не трудно, черканите мне потом как дела с вашей проблемой, постараюсь помочь, в случае необходимости.

 

P.S. Да, я из киви.

 

Спасибо за ответ. То, что начали работать - радует.

Однако хочу поставить в вину Вашей компании следующее.

Когда мой кошелек ломанули, я практически сразу позвонил.

Логично было бы заблокировать кошелек, на который были переведены деньги до разбирательств.

Вместо этого меня отослали писать письмо. На все мои попытки объяснить важность момента, был послан.

Естественно, времени прошло много до того, как на это письмо обратили внимание.

Я понимаю, что это недоработка на организационном уровне. Однако существенная недоработка.

 

И еще, раз уж Вы технически специалист Киви, и Вы здесь, можете компетентно прокомментировать мое последнее письмо:

 

---------------------------------------------------

Нашел историю абсолютно схожую, было несколько дней назад.

http://migdal-or.livejournal.com/73645.html

Также как и мне звонил автомат:

"блаблабла, вы запросили сменить тип авторизации при платежах в терминалах киви... Чтобы оставить как было, и мы вам будем звонить с подтверждением, нажмите 2"

Вывод: у Вас скорее всего дырка в логике системы. Злоумышленники как-то получают доступ до кошельков не воруя пароли.

В обоих случаях была какая-то смена типа авторизации.

Обратите на это пожалуйста внимание.

А также объясните пожалуйста мне, что это за смена типа авторизации. Я до сих пор не могу зайти на кошелек с айфона.

С сайта захожу.

---------------------------------------------------

 

То есть была какая-то смена типа авторизации, в следствие чего злоумышленники смогли авторизоваться, а моя порграмма под айфоном не может сейчас авторизоваться. Что это такое?

Share this post


Link to post
Share on other sites

Спасибо за ответ. То, что начали работать - радует.

Однако хочу поставить в вину Вашей компании следующее.

Не за что, мы и не прекращали. Тут просто нужно знать некоторые внутренности работы системы. Например то, что первый уровень техподдержки - простые обезьянки со списком вопросов, они не могут по-другому реагировать. А для эскалации на 2 и 3 уровни нужно время, сами понимаете, круглосуточно в систему валится тысячи обращений в час, если их не фильтровать, то работа вышестоящих служб будет парализована.

 

 

Нашел историю абсолютно схожую, было несколько дней назад.

http://migdal-or.liv....com/73645.html

Также как и мне звонил автомат:

"блаблабла, вы запросили сменить тип авторизации при платежах в терминалах киви... Чтобы оставить как было, и мы вам будем звонить с подтверждением, нажмите 2"

Вывод: у Вас скорее всего дырка в логике системы. Злоумышленники как-то получают доступ до кошельков не воруя пароли.

В обоих случаях была какая-то смена типа авторизации.

Обратите на это пожалуйста внимание.

А также объясните пожалуйста мне, что это за смена типа авторизации. Я до сих пор не могу зайти на кошелек с айфона.

С сайта захожу.

 

За это спасибо, я переслал в СБ, это их компетенция, в принципе, не помню случаев, чтобы они не могли разобраться, не вижу причин к изменению ситуации и в вашем.

Share this post


Link to post
Share on other sites

Не за что, мы и не прекращали. Тут просто нужно знать некоторые внутренности работы системы. Например то, что первый уровень техподдержки - простые обезьянки со списком вопросов, они не могут по-другому реагировать. А для эскалации на 2 и 3 уровни нужно время, сами понимаете, круглосуточно в систему валится тысячи обращений в час, если их не фильтровать, то работа вышестоящих служб будет парализована.

 

А чем сложно сделать так: я звоню на первый уровень, сообщаю о взломе. Таких ведь сообщений из общей массы немного.

Оператор жмет большую красную кнопку "Заблокировать аккаунт" и аккаунта блокируется, инфа поступает на 2 и 3 уровни.

Или оператор сразу переключает на 2 или 3 уровень, если речь идет о взломе.

 

В принципе мне все равно, как именно должно организованно быть.

Самое главное - необходимо оперативно реагировать на сигналы о взломе.

Все остальные запросы - в очередь.

Если бы это было, Ваша компания бы скорее всего избежала проблем с теми несколькими людьми, у которых увели деньги вместе со мной.

Share this post


Link to post
Share on other sites

всё зависит от дальнейшего вывода и процессингов.

если вкатит, то вернете.

Share this post


Link to post
Share on other sites

2chainick а антивирусы на своих терминалах вы уже поставили ? или просроченный нод32 это такая политика партии... тогда зачем он там вообще ?

Share this post


Link to post
Share on other sites

(= dd =), на ключевое слово "взлом" на удивление моментально реагируют ребята из fraud@qiwi.ru. В моём случае вот через пять минут заблокировали кошелёк куда переслали с моего, за это время там осталось мало денег.

Разбирательства у них очень простые: "Мы написали в банк, куда ушли ваши деньги, а они нас послали на... Мы ничего не можем сделать, переведите нам ещё денег".

 

Смена типа авторизации простая - зачем-то пытались отменить подтверждающий звонок при проведении операций из терминала. То есть в норме ты приходишь к автомату, логинишься своим пином, и говоришь "вот эти сто рублей - туда-то отправить", в этот момент тебе на мобильный перезванивает автоинформатор и говорит "а вы уверены? нажмите 1 чтобы подтвердить". Вот эту штуку и пытались выключить, чтобы не звонило. Странно, что делали это и в твоём, и в моём случае. Предполагаю, что где-то у кививцев в этом алгоритме и спрятана дыра.

Share this post


Link to post
Share on other sites

2chainick а антивирусы на своих терминалах вы уже поставили ? или просроченный нод32 это такая политика партии... тогда зачем он там вообще ?

У нас нет своих терминалов. Мы процессинговый центр, а не агент-оператор приема платежей.

 

Это как говорить "банкоматы виза/МС" - можно, но неверно.

Share this post


Link to post
Share on other sites

Это я понимаю. но программа там стоит Ваша.. И ломать будут ее. И проблемы в случае массового взлома будут у Вас а не у ООО "Ромашка" поставивший данный терминал приема денег, куда их же мальчик насувал вирусованных флешек. Терминал шлющий спам и сканящий нетбиос я уже встречал. Почему там же не может стоять софт собирающий данные о логинах-паролях к Вашему личному кабинету (я кабинетом не пользовался никогда, не знаю, нужны лит эти данные в терминале.) или еще чтото вида отправки денег не на телефон введенный пользователем, а в другое место. при желании вашу программу можно просто спрятать и пользователь будет вводить в пустышку свои номера, а пустышка уже вводить свои цифирьки вам...

 

наверное можно сделать набор требований и какой-то аудит установленных систем на безопасность периодический (выборочно естественно, ибо этих терминалов как грязи...) А у банкоматов владельцем банк. Вход в банковский рынок слегка дороговат.. Банк, если что, можно и нагнуть (да хотя бы лишить членства в Визе, если Виза посчитает что там банкоматы дырявы как решето. Сменить вывеску и вернуться так просто не выйдет). Да и рискуют банки обычно своими деньгами в том числе. И то периодически накладки на клавы всплывают или еще что. А всяким субагентам вашим, им часто пофиг, там денег то чуть. Кеш он вот он, остался в аппарате, ну выкинут из киви. ну пойдет сэмачками торговать.. если не мониторить постоянно а только начинать чесаться, когда уже сломали, может получиться тоскливо. да и в банкомате деньги обычно снимают а сюда кладут. если сломали банкомат, то попал банк, на претензии с визы итд. налик то уже ушел, а виза не возместит, если че. А у Вас то наоборот. налик остался.

Share this post


Link to post
Share on other sites

Прошло 2 суток после взлома. Меня пока в курсе никто не держит.

Товарищ chainick, там можно как-то узнать, на какой стадии все это находится?

За двое то суток должно ясно быть уже что-то.

Share this post


Link to post
Share on other sites

Это я понимаю. но программа там стоит Ваша.. И ломать будут ее. И проблемы в случае массового взлома будут у Вас а не у ООО "Ромашка" поставивший данный терминал приема денег, куда их же мальчик насувал вирусованных флешек. Терминал шлющий спам и сканящий нетбиос я уже встречал.

 

судя по характеру проблемы утечка происходит на стадии востановления пароля (именно поэтому вам звонят и говорят про смену пароля), по всей видимости где на пути до мобильного оператора.

все очень просто злоумышленик тупо перебирая кошельки заказывая услугу по востановлению пароля. затем где то перехватывает смс с новым паролем.

утечка может быть как в самом процессинговом центре, так и у провайдера который предоставляет канал, так и у самого мобильного оператора.

Share this post


Link to post
Share on other sites

2Edd2008 Одно второму не мешает. Воровать, в принципе, можно на любой стадии и в любом месте процесса ;) С киви я общаюсь только в плане выделил им (ну в смысле очередному ООО "Рога И еще Рога", которые ставят терминал с наклейкой киви) IP/порт. потом диву дался трафику, потом они пришли и вылечили что-то там. Спама больше нету, нетбиос скана нет. Что там есть еще, не интересовался. Я через них не плачу.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this