Осторожно, киви!

Как известно нам из голливудских фильмов, самые опасные преступления совершаются вовсе не преступниками «со стороны». Наибольший урон компании могут нанести инсайдеры — люди, которые принимали участие в разработке системы безопасности, поэтому отлично знают ее «изнутри» и могут без проблем обойти все хитрые ловушки.

Впрочем, что там Голливуд — нечто подобное произошло в начале лета в Москве. Сотрудникам правоохранительных органов удалось задержать группу мошенников, которые воровали деньги со счетов пользователей в платежной системе QIWI. Во главе преступной группировки стоял… один из бывших сотрудников компании, который имел доступ к закрытой информации — данным о наличии денег на счетах пользователей.

 

МЕХАНИЗМ ПРЕСТУПЛЕНИЯ

 

Если кто не знает, QIWI — это одна из крупнейших платежных систем России (бренд принадлежит компании ОСМП — «Объединенные системы моментальных платежей»). Через QIWI можно оплачивать различные услуги (интернет, услуги ЖКХ, мобильную связь и пр.) тремя разными способами — непосредственно через платежные терминалы (сервис «Личный кабинет»), через сайт mylk.qiwi.ru (интернет-кошелек) и с помощью мобильного телефона (мобильный кошелек «QIWI в мобильном», Java- или .NET-приложение). Все эти три платежных инструмента привязаны к одному виртуальному счету — пользовательскому аккаунту в процессинговом центре, который находится на серверах компании QIWI. Этот-то счет и служит посредником между клиентским интерфейсом и провайдером (поставщиком услуги) при проведении транзакции. В общем, все просто.

Но в этой-то простоте и образовалось «слабое звено». Мошенники эмитировали с мобильного телефона запрос для восстановления PIN-кода, который требуется для подтверждения платежных операций (для этого использовалось специальное ПО). Естественно, для запроса использовались не любые комбинации чисел, а номера телефонов пользователей, на чьих виртуальных счетах хранились более-менее приличные суммы (всю эту информацию организатор махинации без проблем скопировал во время работы в компании).

Получившая такой запрос система отправляла на телефон ничего не подозревающего абонента SMS с новым PIN-кодом.

Сотрудникам правоохранительных органов удалось задержать группу мошенников, которые воровали деньги со счетов пользователей в платежной системе QIWI. Во главе преступной группировки стоял… один из бывших сотрудников компании

После этого на телефоне будущей жертвы раздавался звонок. Звонящий представлялся сотрудником известной радиостанции или компании — оператора сотовой связи и радостно сообщал о победе в некоей лотерее. Ценный приз — автомобиль или путешествие к теплому морю — уже практически был в руках у победителя. Маленькое «но»: чтобы получить подарок, счастливчик должен был подтвердить свои данные и сообщить свои паспортные данные и… пресловутый PIN-код.

Конечно, на сайте QIWI висит предупреждающая надпись: «Никогда не сообщайте свой PIN-код третьим лицам!». Но кто об этом помнит, когда новенький автомобиль — вот он, совсем рядом?

С помощью PIN-кода, сообщенного доверчивыми пользователями, мошенники получали неограниченный доступ к их счетам. А паспортные данные были необходимы для того, чтобы оформить переводы денег на свои кошельки в других электронных платежных системах — WebMoney, «Яндекс.Деньги» или MoneyMail. Кроме того, часть денег вовсе выводилась из интернета через систему денежных переводов CONTACT: в личном кабинете можно указать получателя денег и перевести ему любую сумму в любой город России. Понятное дело, получатели указывались фальшивые, и получали они деньги тоже по поддельным паспортам.

Как позже выяснили оперативники управления «К» МВД России, потерпевшим звонили заключенные исправительно-трудовых учреждений, которым злоумышленники передавали телефонные номера жертв и сообщали схему «развода». И «разводы» удавались — в среднем с каждого потерпевшего мошенники получали несколько тысяч рублей, хотя были уловы и гораздо крупнее. Связано это с тем, что многие пользователи хранят на своих счетах относительно большие суммы — при пополнении счета на 500 рублей и более комиссия за операцию не взимается, так что выгоднее «закидывать» деньги в систему «оптом», от 1000 рублей и более.

В целом, по словам пресс-секретаря управления «К» МВД России, от действий аферистов пострадали несколько десятков тысяч пользователей по всей России. При этом 70% денежных средств были обналичены в Москве и Московской области, остальные 30% — в регионах.

В отношении преступников было возбуждено уголовное дело по статье 272 («Неправомерный доступ к компьютерной информации») и 159 («Мошенничество») Уголовного кодекса РФ.

 

ТОТАЛЬНОЕ БЕЗДЕЙСТВИЕ

 

Единственно, что вызывает недоумение, — продолжительность работы преступной группировки: судя по сообщениям правоохранительных органов, по этой схеме они работали более двух лет. Трудно поверить в том, что ни один из ограбленных пользователей системы не оставил в милиции заявление о том, как через известную платежную систему «утекают» в никуда его честно заработанные деньги. Еще большее недоумение вызывает тот факт, что в самой компании QIWI никто ни о чем ничего не знал — ни служба безопасности, «прохлопавшая» вывод из системы 100 млн рублей, ни служба клиентской поддержки, в которую стекаются запросы возмущенных пользователей с общим смыслом «куда девались деньги?». Ведь схема работы мошенников повторялась из раза в раз без особых вариаций. Единственное, в чем мы видим объяснение, — это осторожность, с какой действовали мошенники, переводя со счетов пользователей небольшие суммы, потерю которых можно и не заметить.

Конечно, оборот у компании QIWI немаленький — за 2008 год он составил 7,2 млрд долларов. Но ведь именно это и должно стимулировать владельцев системы к увеличению инвестиций в информационную безопасность и проверку лояльности персонала. К тому же сейчас компания разрабатывает проект по выпуску виртуальных кредитных карт, и в свете последних событий его успешная реализация находится под большим вопросом. Все-таки на пластиковых картах пользователи держат куда больше денег, чем на счете в платежной интернет-системе. Захотят ли они доверить свои сбережения QIWI после такого скандала — еще не ясно.

Ошибка 404! Ваши деньги не найдены!

Судя по всему, служба безопасности QIWI все-таки «проснулась». Раньше в системе использовался только один пароль (он же PIN-код) для входа в личный кабинет. Дополнительный пароль для подтверждения платежей не был обязательным — пользователь мог установить его, а мог и не делать этого. С первого квартала этого года всем пользователям системы наконец было предложено завести отдельный платеж для входа в личный кабинет (авторизации на сайтах , mylk.qiwi.ru, и в мобильных приложениях), прежний PIN-код становился средством подтверждения транзакций. По аналогичной схеме двойных паролей работают практически все электронные платежные системы («Яндекс.Деньги», RBC Money и др.).

Кроме того, всем пользователям в апреле по умолчанию подключили услугу SMS-оповещения о каждом совершенном платеже или переводе средств (стоимость — 1 рубль за сообщение). Что мешало разработать подобный сервис раньше — загадка. Естественно, было уже поздно. Да и это от инсайдеров в системе не спасет — зная пароль для доступа к личному кабинету пользователя, услугу уведомления можно отключить.

Но кто помнит о безопасности и системных предупреждениях, когда новенький автомобиль — вот он, совсем рядом?

От действий аферистов пострадали несколько десятков тысяч пользователей по всей России

Учитывая тот факт, что платежной системой QIWI активно пользуется порядка трех миллионов человек, а зарегистрировано в системе около десяти миллионов пользователей, подобные преступления, без сомнения, будут продолжаться.

Так что есть смысл самостоятельно позаботиться о безопасность своих денег, не дожидаясь помощи сверху. Во-первых, стоит активизировать функцию ограничения доступа по IP-адресу — это запретит пользователям, даже знающим данные учетной записи, осуществлять платежи с компьютеров с другими IP-адресами. Во-вторых, не стоит хранить в системе, которая не особенно внимательно контролирует свой персонал (пусть и бывший), много денег — средств должно хватать только для текущей оплаты счетов. Ну и в-третьих, конечно же, пора раз и навсегда отказаться от дурной привычки сообщать кому ни попадя — пусть даже радиодиджеям — свои паспортные данные и PIN-коды.

БАНКА С ТРЕЩИНОЙ

С финансово-кредитными учреждениями тоже случаются подобные «проколы».

К примеру, недавно жертвой злоумышленников стали несколько клиентов «Альфа-банка». Трещиной в системе безопасности оказался тот факт, что разовые пароли для входа в интернет-банк рассылались клиентам на номера мобильных телефонов.

Узнав об этом, злоумышленники начали вести подготовительную работу — собирать информацию о клиентах банка, которые обслуживаются в рамках корпоративных проектов у того или иного оператора связи, а также о том, к какой компании данный проект относится. Получив такую информацию (благо различных баз данных на каждом шагу продается огромное количество) они подготавливали доверенность от лица компании на получение дубликатов SIM-карт — для этого нужны минимальные навыки работы в Photoshop. Еще через какое-то время дубликаты SIM-карт с теми же номерами были получены, после этого буквально в течение нескольких минут (пока пользователь не понял, что его SIM-карта заблокирована — при получении дубликата старая отключается) была предпринята атака на счета пользователей. Деньги со счетов перевели на аккаунты платежной системы WebMoney, откуда они были «распылены» мелкими суммами и обналичены.






Рекомендуемый контент




Copyright © 2010-2019 housea.ru. Контакты: info@housea.ru При использовании материалов веб-сайта Домашнее Радио, гиперссылка на источник обязательна.