| Новое на сайте |
|---|
|
|
| Осторожно, Qiwi! Внимание, обман! | ||
|---|---|---|
|
Как известно нам из голливудских фильмов, самые опасные преступления совершаются вовсе не преступниками «со стороны». Наибольший урон компании могут нанести инсайдеры — люди, которые принимали участие в разработке системы безопасности, поэтому отлично знают ее «изнутри» и могут без проблем обойти все хитрые ловушки. Впрочем, что там Голливуд — нечто подобное произошло в начале лета в Москве. Сотрудникам правоохранительных органов удалось задержать группу мошенников, которые воровали деньги со счетов пользователей в платежной системе QIWI. Во главе преступной группировки стоял... один из бывших сотрудников компании, который имел доступ к закрытой информации — данным о наличии денег на счетах пользователей.
Но в этой-то простоте и образовалось «слабое звено». Мошенники эмитировали с мобильного телефона запрос для восстановления PIN-кода, который требуется для подтверждения платежных операций (для этого использовалось специальное ПО). Естественно, для запроса использовались не любые комбинации чисел, а номера телефонов пользователей, на чьих виртуальных счетах хранились более-менее приличные суммы (всю эту информацию организатор махинации без проблем скопировал во время работы в компании). Получившая такой запрос система отправляла на телефон ничего не подозревающего абонента SMS с новым PIN-кодом. После этого на телефоне будущей жертвы раздавался звонок. Звонящий представлялся сотрудником известной радиостанции или компании — оператора сотовой связи и радостно сообщал о победе в некоей лотерее. Ценный приз — автомобиль или путешествие к теплому морю — уже практически был в руках у победителя. Маленькое «но»: чтобы получить подарок, счастливчик должен был подтвердить свои данные и... пресловутый PIN-код. Конечно, на сайте QIWI висит предупреждающая надпись: «Никогда не сообщайте свой PIN-код третьим лицам!». Но кто об этом помнит, когда новенький автомобиль — вот он, совсем рядом? С помощью PIN-кода, сообщенного доверчивыми пользователями, мошенники получали неограниченный доступ к их счетам. А паспортные данные были необходимы для того, чтобы оформить переводы денег на свои кошельки в других электронных платежных системах — WebMoney, «Яндекс.Деньги» или MoneyMaiL. Кроме того, часть денег вовсе выводилась из интернета через систему денежных переводов CONTACT: в личном кабинете можно указать получателя денег и перевести ему любую сумму в любой город России. Понятное дело, получатели указывались фальшивые, и получали они деньги тоже по поддельным паспортам. Как позже выяснили оперативники управления «К» МВД России, потерпевшим звонили заключенные исправительно-трудовых учреждений, которым злоумышленники передавали телефонные номера жертв и сообщали схему «развода». И «разводы» удавались — в среднем с каждого потерпевшего мошенники получали несколько тысяч рублей, хотя были уловы и гораздо крупнее. Связано это с тем, что многие пользователи хранят на своих счетах относительно большие суммы — при пополнении счета на 500 рублей и более комиссия за операцию не взимается, так что выгоднее «закидывать» деньги в систему «оптом», от 1000 рублей и более. В целом, по словам пресс-секретаря управления «К» МВД России, от действий аферистов пострадали несколько десятков тысяч пользователей по всей России. При этом 70% денежных средств были обналичены в Москве и Московской области, остальные 30% — в регионах. В отношении преступников было возбуждено уголовное дело по статье 272 («Неправомерный доступ к компьютерной информации») и 159 («Мошенничество») Уголовного кодекса РФ. Единственно, что вызывает недоумение — продолжительность работы преступной группировки: судя по сообщениям правоохранительных органов, по этой схеме они работали более двух лет. Трудно поверить в то, что ни один из ограбленных пользователей системы не оставил в милиции заявление о том, как через известную платежную систему «утекают» в никуда его честно заработанные деньги. Еще большее недоумение вызывает тот факт, что в самой компании QIWI никто ни о чем ничего не знал — ни служба безопасности, «прохлопавшая» вывод из системы 100 млн рублей, ни служба клиентской поддержки, в которую стекаются запросы возмущенных пользователей с общим смыслом «куда девались деньги?». Ведь схема работы мошенников повторялась из раза в раз без особых вариаций. Единственное, в чем мы видим объяснение, — это осторожность, с какой действовали мошенники, переводя со счетов пользователей небольшие суммы, потерю которых можно и не заметить. Конечно, оборот у компании QIWI немаленький — за 2008 год он составил 7,2 млрд долларов. Но ведь именно это и должно стимулировать владельцев системы к увеличению инвестиций в информационную безопасность и проверку лояльности персонала. К тому же сейчас компания разрабатывает проект по выпуску виртуальных кредитных карт, и в свете последних событий его успешная реализация находится под большим вопросом. Все-таки на пластиковых картах пользователи держат куда больше денег, чем на счете в платежной интернет-системе. Захотят ли они доверить свои сбережения QIWI после такого скандала — еще не ясно. Судя по всему, служба безопасности QIWI все-таки «проснулась». Раньше в системе использовался только один пароль (он же PIN-код) для входа в личный кабинет. Дополнительный пароль для подтверждения платежей не был обязательным — пользователь мог установить его, а мог и не делать этого. С первого квартала этого года всем пользователям системы наконец было предложено завести отдельный пароль для входа в личный кабинет (авторизации на сайтах www.mylk.ru, mylk.qiwi.ru, www.mobw.ru и в мобильных приложениях), прежний PIN-код становился средством подтверждения транзакций. По аналогичной схеме двойных паролей работают практически все электронные платежные системы («Яндекс.Деньги», RBC Money и др.). Кроме того, всем пользователям в апреле по умолчанию подключили услугу SMS-оповещения о каждом совершенном платеже или переводе средств (стоимость — 1 рубль за сообщение). Что мешало разработать подобный сервис раньше — загадка. Естественно, было уже поздно. Да и это от инсайдеров в системе не спасет — зная пароль для доступа к личному кабинету пользователя, услугу уведомления можно отключить. Учитывая тот факт, что платежной системой QIWI активно пользуется порядка трех миллионов человек, а зарегистрировано в системе около десяти миллионов пользователей, подобные преступления, без сомнения, будут продолжаться. Так что есть смысл самостоятельно позаботиться о безопасность своих денег, не дожидаясь помощи сверху. Во-первых, стоит активизировать функцию ограничения доступа по IP-адресу — это запретит пользователям, даже знающим данные учетной записи, осуществлять платежи с компьютеров с другими IP-адресами. Во-вторых, не стоит хранить в системе, которая не особенно внимательно контролирует свой персонал (пусть и бывший), много денег — средств должно хватать только для текущей оплаты счетов. Ну и в-третьих, конечно же, пора раз и навсегда отказаться от дурной привычки сообщать кому ни попадя — пусть даже радиодиджеям — свои паспортные данные и PIN-коды. Автор: |
||
Если кто не знает, QIWI — это одна из крупнейших платежных систем России (бренд принадлежит компании ОСМП — «Объединенные системы моментальных платежей»). Через QIWI можно оплачивать различные услуги (интернет, услуги ЖКХ, мобильную связь и пр.) тремя разными способами — непосредственно через платежные терминалы (сервис «Личный кабинет»), через сайт mylk.qiwi.ru (интернет-кошелек) и с помощью мобильного телефона (мобильный кошелек «QIWI в мобильном», Java- или .NET-приложение). Все эти три платежных инструмента привязаны к одному виртуальному счету — пользовательскому аккаунту в процессинговом центре, который находится на серверах компании QIWI. Этот-то счет и служит посредником между клиентским интерфейсом и провайдером (поставщиком услуги) при проведении транзакции. В общем, все просто.| Поиск по сайту |
|---|
| Рекламные ссылки |
|---|
| Тематические разделы |
|---|
|
|