Ох уж этот Киви!

Как известно нам из голливудских фильмов, самые опасные преступления совершаются вовсе не преступниками «со стороны». Наибольший урон компании могут нанести инсайдеры — люди, которые принимали участие в разработке системы безопасности, поэтому отлично знают ее «изнутри» и могут без проблем обойти все хитрые ловушки.

Впрочем, что там Голливуд — нечто подобное произошло в начале лета в Москве. Сотрудникам правоохранительных органов удалось задержать группу мошенников, которые воровали деньги со счетов пользователей в платежной системе QIWI. Во главе преступной группировки стоял… один из бывших сотрудников компании, который имел доступ к закрытой информации — данным о наличии денег на счетах пользователей.

Если кто не знает, QIWI — это одна из крупнейших платежных систем России (бренд принадлежит компании ОСМП — «Объединенные системы моментальных платежей»). Через QIWI можно оплачивать различные услуги (интернет, услуги ЖКХ, мобильную связь и пр.) тремя разными способами — непосредственно через платежные терминалы (сервис «Личный кабинет»), через сайт mylk.qiwi.ru (интернет-кошелек) и с помощью мобильного телефона (мобильный кошелек «QIWI в мобильном», Java- или .NET-приложение). Все эти три платежных инструмента привязаны к одному виртуальному счету — пользовательскому аккаунту в процессинговом центре, который находится на серверах компании QIWI. Этот-то счет и служит посредником между клиентским интерфейсом и провайдером (поставщиком услуги) при проведении транзакции. В общем, все просто.

Но в этой-то простоте и образовалось «слабое звено». Мошенники эмитировали с мобильного телефона запрос для восстановления PIN-кода, который требуется для подтверждения платежных операций (для этого использовалось специальное ПО). Естественно, для запроса использовались не любые комбинации чисел, а номера телефонов пользователей, на чьих виртуальных счетах хранились более-менее приличные суммы (всю эту информацию организатор махинации без проблем скопировал во время работы в компании).

Получившая такой запрос система отправляла на телефон ничего не подозревающего абонента SMS с новым PIN-кодом.

Источник: www.mobi.ru