Новая волна взломов QIWI кошельков через мобильных операторов
Не так давно по сети прокатилась новая волна взломов Киви кошельков. Но об этом почему-то никто не пишет. Не даёт советы по улучшению безопасности, не размышляет, каким именно образом мошенники могут ломать кошельки. То есть вообще никто, не считая грустных пользователей, которым в ответ говорят проверить машину на троянов.
Взлом происходит через дублирование сим-карты — настоящий пользователь номера становится в «сети не зарегистрирован». В этот момент злоумышленниками «восстанавливается» пароль от кошелька, а затем меняется. Деньги переводятся на несколько своих номеров и взломщики умывают руки. Имея дубликат симки можно творить, что угодно: отключить подтверждение операций по смс, взломать почти любую почту — та даже не будет спрашивать секретный вопрос, ведь все в мире уверены, что мобильные операторы — это надёжность, и что восстановление пароля вызвано только самим пользователем.
Слышал истории с разными мобильными операторами, не будем никого порочить, потому что мне думается, что действует не 1-2 человека. Взлом кошелька может быть случайным. Либо направленным — оператор имеет всю информацию о кошельке — постоянные смс тому подтверждение, вам отправили 15000 рублей, вы успешно пополнили киви-кошелек и так далее. В любом случае, человек, который работает на некого мобильного оператора всегда замешан. Это не люди со стороны ломают КИВИ, это люди внутри мобильного оператора создают дубликат сим-карты.
Есть и более хитрый способ, когда сим-карта жертвы остаётся активной, и человек вообще ничего не подозревает. Дубликат используется для одной-единственной операции — подключение услуги копирования смс в интернет-сервисе оператора на свой заранее заготовленный номер. Далее всё повторяется, человеку приходят смс, что кто-то запросил восстановление пароля, либо смс, что пароль для e-mail успешно изменён. Быстро сообразить в такой ситуации, тем более если ты далеко от ПК, довольно сложно. Куда звонить? Что делать? И за это время все твои деньги уже переводятся на другие кошельки. А дальше обращение в службу безопасности, от тебя потребуют квиток, подтверждающий заведение дела в полиции, и ты будешь ждать. Вечно ждать, но никто ничего не докажет, скорее всего, ведь у нас можно купить ящик сим-карт за копейки, и они будут оформлены на неизвестное никому юридическое лицо…
Пара советов безопасности:
1) привязать к кошельку электронную почту для восстановления пароля;
2) обязательно убрать из настроек почты возможность восстановления по номеру телефона, назначить сложный секретный вопрос или включить функцию восстановления через другую почту. Других советов нет, разве что не хранить большие суммы на кошельке.
Итог: те простые советы, могут спасти ваши деньги, никто не в безопасности, если какой-либо сервис использует аутентификацию через номер мобильного телефона, в мобильных операторах творится беспредел,мы все умрём.
P.s. написал эти мысли на Хабр, но не имею приглашения, поэтому пост попал в песочницу - там его мало кто увидит, а проблема реальная, и каждый может стать жертвой.
Взлом происходит через дублирование сим-карты — настоящий пользователь номера становится в «сети не зарегистрирован». В этот момент злоумышленниками «восстанавливается» пароль от кошелька, а затем меняется. Деньги переводятся на несколько своих номеров и взломщики умывают руки. Имея дубликат симки можно творить, что угодно: отключить подтверждение операций по смс, взломать почти любую почту — та даже не будет спрашивать секретный вопрос, ведь все в мире уверены, что мобильные операторы — это надёжность, и что восстановление пароля вызвано только самим пользователем.
Слышал истории с разными мобильными операторами, не будем никого порочить, потому что мне думается, что действует не 1-2 человека. Взлом кошелька может быть случайным. Либо направленным — оператор имеет всю информацию о кошельке — постоянные смс тому подтверждение, вам отправили 15000 рублей, вы успешно пополнили киви-кошелек и так далее. В любом случае, человек, который работает на некого мобильного оператора всегда замешан. Это не люди со стороны ломают КИВИ, это люди внутри мобильного оператора создают дубликат сим-карты.
Есть и более хитрый способ, когда сим-карта жертвы остаётся активной, и человек вообще ничего не подозревает. Дубликат используется для одной-единственной операции — подключение услуги копирования смс в интернет-сервисе оператора на свой заранее заготовленный номер. Далее всё повторяется, человеку приходят смс, что кто-то запросил восстановление пароля, либо смс, что пароль для e-mail успешно изменён. Быстро сообразить в такой ситуации, тем более если ты далеко от ПК, довольно сложно. Куда звонить? Что делать? И за это время все твои деньги уже переводятся на другие кошельки. А дальше обращение в службу безопасности, от тебя потребуют квиток, подтверждающий заведение дела в полиции, и ты будешь ждать. Вечно ждать, но никто ничего не докажет, скорее всего, ведь у нас можно купить ящик сим-карт за копейки, и они будут оформлены на неизвестное никому юридическое лицо…
Пара советов безопасности:
1) привязать к кошельку электронную почту для восстановления пароля;
2) обязательно убрать из настроек почты возможность восстановления по номеру телефона, назначить сложный секретный вопрос или включить функцию восстановления через другую почту. Других советов нет, разве что не хранить большие суммы на кошельке.
Итог: те простые советы, могут спасти ваши деньги, никто не в безопасности, если какой-либо сервис использует аутентификацию через номер мобильного телефона, в мобильных операторах творится беспредел,мы все умрём.
P.s. написал эти мысли на Хабр, но не имею приглашения, поэтому пост попал в песочницу - там его мало кто увидит, а проблема реальная, и каждый может стать жертвой.
Подсобите советом
У нас на пикабу постоянно помогаю друг другу советами, так что решил спросить у вас.
Ситуация такова, я в силу своей криворукости закинул деньги через киви не на свой номер. По сути ерунда, дело то житейское - звоним в тех поддержку ждем полчасика ииииии получаем болт.
Трабл в том, что я ошибся на 1 цифру( у меняв конце номера 7 17 18, я кинул на 7 17 17) и такой номер киви кошелька у них существует, и деньги они снять и перевести мне не могут. Наличие у меня чека эффекта не имеет никакого. Спросил как быть - сказали звоните абоненту и договаривайтесь.
Позвонил абоненту - отвечает что ему ничего не поступало(кто-бы сомневался) хотя в киви говорят платеж прошел.
Кто бывал в такой ситуации? Что делать посоветуете?
Коментарии для минусов внутри, дайте в топ выйти - может подскажет кто.
Заранее спасибо всем!
Ситуация такова, я в силу своей криворукости закинул деньги через киви не на свой номер. По сути ерунда, дело то житейское - звоним в тех поддержку ждем полчасика ииииии получаем болт.
Трабл в том, что я ошибся на 1 цифру( у меняв конце номера 7 17 18, я кинул на 7 17 17) и такой номер киви кошелька у них существует, и деньги они снять и перевести мне не могут. Наличие у меня чека эффекта не имеет никакого. Спросил как быть - сказали звоните абоненту и договаривайтесь.
Позвонил абоненту - отвечает что ему ничего не поступало(кто-бы сомневался) хотя в киви говорят платеж прошел.
Кто бывал в такой ситуации? Что делать посоветуете?
Коментарии для минусов внутри, дайте в топ выйти - может подскажет кто.
Заранее спасибо всем!