Зламали Qiwi-гаманець

Вранці отримую два повідомлення поспіль від Qiwi-банку.

Насторожило. Адже такі гроші я вже давно ніякої ЕРС не довіряючи.

Відразу ж йду в свій гаманець через web-інтерфейс, міняю пароль і дивлюся історію транзакцій. Оскільки цим гаманцем я давно не користуюся (просто немає потреби, для необхідних мені операцій у мене є інша платіжна система), в історії всього три транзакції: два поповнення на 6 і 9 тисяч, і один висновок через «Юністрім» на суму 14600 (з урахуванням комісії - 14965). Дивно, що SMS про поповненнях не приходять, хоча колись вони розсилалися за замовчуванням.

Перша думка: помилково зарахований платіж і повернення коштів. Кількома на деталі перекладу: відправник - Микола Анатолійович Казаков, одержувач - Роман Олександрович Марченко. Вже менш схоже на помилкове поповнення і повернення: по-перше, після цієї операції залишилися 35 рублів на рахунку (до цього там вже більше місяця був 0 з копійками); по-друге, не було ніяких повідомлень від Qiwi, що платіж зарахований помилково, мовляв, просимо не панікувати і, тим більше, не витрачати зараховані гроші 😀; по-третє, навряд чи в поле «Відправник» значилося б чуже ім'я (дивно, чому систему це не насторожило?), по-четверте, знаючи бюрократію наших організацій, сумнівно, що гроші повернули б так швидко; по-п'яте, якого фіга тут робить «Юністрім» тоді?

Мінімум інформації. Але добре, що і це встиг дізнатися і заскріншотіть.

Як це зараз водиться, написав в «Твіттер» про дивні транзакції і в цей же час дзвоню в службу підтримки. Поки безуспішно намагався додзвонитися, отримав відповідь в «Твіттері» з пропозицією написати письмову відповідь. На мій коментар про неможливість додзвонитися до них по телефону, мені відповідають, що користуватися поштою набагато ефективніше! Ну добре, що не звичайною поштою запропонували скористатися, а електронної. Але ефективність в подібних ситуаціях вкрай сумнівна.

У службу підтримки все ж додзвонитися вдалося, рази з 10-го. Там зовсім нічого не сказали, тільки видали адресу [email protected] - дуже смішно. Відписуюся. Отримую відповідь, мовляв, не туди пишіть - ще раз смішно.

Відписуюся у «фрод-моніторинг», отримую відповідь, що гаманець все ж був зламаний і використаний для перекладу через нього лівих грошей.

У відповідь закидаю їх купою питань, з яких отримую відповіді лише на два: через термінал або через web-интерфейс користувалися моїм гаманцем, і так, про всяк випадок перепитав, чи нададуть вони відповідним органам всю інформації і деталі транзакцій (ну, воно і так зрозуміло, що нададуть - питання було риторичне).

Гаманець заблокований і коли буде розблоковано - не сильно зрозуміло, благо - є хоч якась інформація про останні транзакції. Факт блокування гаманця мене турбує мало: по-перше, qiwi-гаманців у мене два, оформлені на різні номери (точніше, другий оформляв взагалі на неросійський номер, виключно для перевірки можливості роботи системи з такими номерами); по-друге, грошей там ніяких не було, а термін дії QVC давно закінчився. Казенна формулювання «до повернення коштів власнику» трохи насторожує, правда. Але ось те, як працює служба підтримки клієнтів, просто вражає.

Служба підтримки. Взагалі-то клієнти довіряють системі свої гроші, часом дуже великі суми і дійсно чекають підтримки (не в плані утіх, мовляв, «Та ви не турбуйтеся! Ви у нас не перший такий, вже другий! Знайдемо бандюгу, віддамо під суд, його посодют , щоб більше не крав! », а в плані співпраці). Моє прохання надати деталі останніх транзакцій просто проігнорували. Ну фіг з ним, що не надали (хоча це, начебто, мій акаунт - маю право знати? Ах, да, забув - у нас же демократія), але можна було самим зробити якісь дії? Якщо гаманець просто використовується як транзитний, то гроші, напевно, були вкрадені у якогось іншого клієнта - це очевидно. За ідеєю, якщо система сама заблокує сумнівний переклад і поверне гроші власнику, то рівень довіри до неї тільки підвищиться. А про досвід спілкування зі службою підтримки Qiwi я вже писав в блозі раніше.

Версії. «В інтернетах» відразу ж знайшов купу інформації про масові зломи qiwi-гаманців (до речі, після однієї з таких в системі і з'явилися SMS-підтвердження, які не тільки гальмують роботу з гаманцем, а й, як пишуть постраждалі користувачі, абсолютно даремні при зломі ). Дуже багато повідомлень, що пропадають гроші з банківських карт, прив'язаних до Qiwi-гаманцю (я, до речі, взагалі не розумію, навіщо потрібно це робити?). Ну, і ще за результатами пошуку можна зробити висновок, що система активно використовується шахраями для виведення в неї крадених грошей з рахунків клієнтів різних банків. Ну а що, взагалі ляпота для шахраїв: служба підтримки мовчить (до речі, мені ще пощастило - хоч щось відповіли, дуже багатьом взагалі не відповідають жодним чином), а якщо і щось робить, то вкрай неквапливо.

Багато пишуть, що такі масові акції злому можуть провести тільки «свої люди», тобто ті, хто працює в самій компанії і має доступ до призначених для користувача даних. Дуже навіть не виключаю (насамперед, саме така думка і виникла в голові): пароль, начебто, викрасти у мене не могли - комп'ютер регулярно перевіряється на наявність зарази, а підібрати його ну оочень складно (мої знайомі, з якими у мене є спільні проекти, знають мою любов до генерування таких паролів, на яких можна тренувати вимову). Тут пригадується досвід користування соцмережею «вКонтакте»: можна придумати пароль будь-якої складності, але при невідвідування своєї сторінки тривалий час, фотографія змінюється на якусь не сильно пристойну, а на сторінці з'явиться повідомлення, що вона була зламана. Ой, як сумніваюся, що хтось сидить і зламує порожню сторінку, ага!

Досвід. Коли не було інших альтернатив, з радістю користувався QVC ( віртуальна кредитна карта Qiwi) для розплати в зарубіжних магазинчиках. У якийсь момент стали щодня приходити повідомлення про невдалий списання то 99, то 100 USD - вже тоді я не довіряв такі суми платіжним системам, а якщо і була необхідність здійснювати великі покупки, то робив я це моментально, відразу після поповнення рахунку. Служба підтримки якось звичайно отписалась, ну, мовляв, намагаються розплатитися моєю карткою, чо. Звідки її реквізити потрапили до шахраїв, якщо я після прикріплення карти до PayPal , Ніде їх більше не світив? Ось і мені не зрозуміло (точніше, зрозуміло, але це лише припущення). Занадто давно користуюся платіжними системами, та й магістерську дисертацію по ним захищав (зрозуміло, особлива увага приділялася безпеки їх використання) - не дуже-то повірю, що у мене на ПК або на планшеті завівся кейлоггер, який тільки і чекає, коли це я введу 16 цифр поспіль, та й ще й CVV2-код здумаю набирати прямо на клавіатурі, ага.

В принципі, більше нічого критичного, начебто, не траплялося, але про всяк випадок знизив «контакт» з банківськими картками та платіжними системами до мінімуму. Вважаю, що небезпідставно, бо, як зараз кажуть, моніторю ситуацію. Так, я знаю, як можна убезпечити себе, свій ПК і реквізити для доступу до рахунків, але я справді не довіряю самим системам. Хоча б тому, що в тій же WebMoney в угоді прописано, що будь-яка втрата грошей може статися виключно з вини самого користувача (та й чого вже там, зараз позбутися доступу до свого WM-гаманця можна і просто не дотримуючись вимог системи або не розібравшись в нововведення). Про банки і зовсім мовчу: думаю, максимум, на що банк може піти - це вчасно заблокувати картку в разі підозр (зрозуміло, якщо буде рішення суду, гроші повернуть в будь-якому випадку, але я не готовий йти на такий ризик). Та й дуже сильно я ціную фінансову незалежність, але не в плані постійної наявності грошей, а в плані анонімності їх використання.

Чи звертатися в поліцію? Чесно не знаю. Так, я постійно телефоную в поліцію у разі якихось дрібних подій (п'яний дядько в траві чи живий, чи то мертвий; бійки; псування майна і т.п.), але складно уявити рівень володіння «матеріалом» сучасних поліцейських. Сама поліція, звичайно, навряд чи буде займатися такими справами - передадуть до Відділу «К», підозрюю, що все це буде відбуватися вкрай повільно, а грошей постраждала людина собі вже не поверне. За ідеєю, цим (зверненнями в поліцію) повинна займатися сама система. Загалом, подумаю ще.

Висновки. Давно не користуюся Qiwi, і, мабуть, тепер не буду користуватися взагалі. Випадок непоодинокий і сумно, що конторі плювати на своїх клієнтів: безпека буде кульгати завжди, і з цим потрібно не тільки змиритися (в тому сенсі, що від цього вже нікуди не дітися, ідеальних механізмів захисту не існує), а й боротися. Поки не борються, найпростіший спосіб убезпечити себе - утриматися. Ну, або не зберігати великих сум.