Sergey S. Shirin
Специалист
Раньше я думал, что выдача сотовым оператором дубликата сим-карты третьим лицам - дело крайне редкое и очень маловероятное. Но позавчера-вчера таким образом были уведены пять моих сим-карт (точнее, три мои симки и две симки моей жены), и все пять раз злоумышленники стремились получить доступ к кошелькам Киви, привязанным к этим симкам. Я стал искать информацию о том, как обезопасить себя от пропажи денег. Что-то нашёл в интернете, что-то понял сам (в том числе на своём горьком опыте), и решил написать инструкцию и выложить её на форум, чтобы все, кто знает что-то ещё, могли её дополнить и исправить.
Итак, вы получили СМС от сотового оператора о том, что по вашему номеру производится замена сим-карты. Замену вы не заказывали, а к номеру привязан кошелёк Киви. Если ваш оператор - МТС, то у вас есть одна-две минуты до отключения вашей сим-карты и десять-пятнадцать минут до активации выданного кому-то дубликата. Что у других операторов - не знаю. Инструкция рассчитана именно на эти сроки. Что же за это короткое время можно успеть сделать?
1. Если в кошельке есть деньги, то, не теряя ни секунды, зайти в кошелёк и отключить СМС-подтверждение платежей. Делается это в меню "Настройки" в пункте "Настройки безопасности". Чтобы оно отключилось, потребуется ввести код из СМС. Если СМС успеет прийти на вашу симку, а не на дубликат, то после этого вы сможете увести деньги с кошелька, даже когда вашу симку заблокируют (а это случится через одну-две минуты). Не бойтесь отключать СМС-подтверждение. Сейчас оно ваш враг, а не друг. Если получилось отключить - немедленно уводите деньги порциями по 15000 р. на телефонные номера родственников и друзей. Они туда уйдут, даже если на эти номера не зарегистрированы кошельки Киви. Потом вернёте. Важно, чтобы это были номера других операторов сотовой связи, поскольку вы уже можете быть точно уверены, что среди сотрудников вашего оператора у злоумышленников есть сообщник. И, если злоумышленники получат доступ к истории транзакций вашего кошелька, они попытаются оформить дубликаты тех симок, на номера которых вы недавно переводили деньги. (Я думаю, что именно поэтому за оформлением дубликата одной моей сим-карты последовали выдачи дубликатов ещё четырёх.)
2. Если к вашему кошельку Киви не привязан адрес электронной почты - привязать адрес электронной почты. Делается это там же - в меню "Настройки" в пункте "Настройки безопасности". Привязав адрес электронной почты, вы обезопасите себя от смены пароля, которую может провести злоумышленник. Теперь для смены пароля ему нужно будет ввести не только код из СМС, пришедшего на сим-карту, но и код из сообщения по электронной почте.
3. Там же - в "Настройках безопасности" кошелька Киви - нужно отключить функцию "СМС-платежи". Это не "СМС-подтверждение". Это совсем другая фишка. Если она включена, то можно уводить деньги с кошелька, просто отправляя СМС с вашей сим-карты, без какого-либо пароля.
4. Звонить в контактный центр оператора с другой сим-карты. Ваша сим-карта через минуту-другую перестанет работать, и вы рискуете просто не дождаться ответа оператора и потерять драгоценное время. Дозвонившись до оператора, сообщить о том, что вы получили смс о замене сим-карты, которую вы не заказывали. В результате такого звонка дубликат сим-карты не будет активирован. Ваша симка, правда, тоже не восстановится, и придётся ехать в офис оператора, чтобы её перевыпустить.
Если ваш оператор - МТС (а все наши пять симок были симками этого оператора), то слишком много не говорите. Первый сотрудник контактного центра, который вам ответит, не уполномочен блокировать сим-карты. Он всё равно переведёт вас на другого специалиста, которому нужно будет ещё раз всё рассказывать. Поэтому сначала просто скажите, что вы хотите заблокировать утерянную сим-карту, назовите номер телефона, своё имя и номер паспорта. О неавторизованной замене сим-карты вы будете рассказывать уже другому человеку, на которого ваш звонок переведут.
5. Одновременно со звонком в контактный центр оператора зайти в свой личный кабинет на сайте этого самого оператора и там установить добровольную блокировку номера. Это будет гораздо быстрее, чем дожидаться блокировки от сотрудников контактного центра. Пока по телефону ждёте ответа (сначала одного специалиста, а потом ещё и другого), злоумышленник может успеть воспользоваться дубликатом.
Второй и третий шаги, конечно, лучше сделать заранее, не дожидаясь, пока вашу симку уведут. Я вот их не сделал, так как мои симки всегда лежали дома, под присмотром, и я не думал, что кто-то на самом деле может получить их дубликаты. В результате я лишился доступа к одному кошельку (к нему привязали чужой адрес электронной почты) и денег с другого кошелька (их увели через СМС-платежи). А ещё три кошелька, к которым тоже не были привязаны адреса электронной почты, злоумышленники почему-то не увели. То есть не привязали к ним свою почту, а просто поменяли пароль, который я потом, восстановив свои симки, смог сменить обратно. Зачем они могли это сделать?
Во-первых, зайдя в мой кошелёк, они могли получить реквизиты виртуальных карт QVC, которые Киви автоматически выпускает к каждому кошельку. Для оплаты с такой карты нужно ввести только её номер, срок действия и код CVC. Деньги спишутся с баланса кошелька. Пароль к кошельку при этом вводить не нужно. Таким образом, если я снова внесу деньги на свой счёт, злоумышленники смогут их увести, зная реквизиты этой карты.
Во-вторых, они могли добавить какие-нибудь "Избранные платежи". Такие платежи не требуют подтверждения паролем. И если злоумышленник, у которого был дубликат моей сим-карты, авторизовался в Киви-кошельке и сохраняет авторизацию, регулярно обновляя страницу, то он сможет в дальнейшем провести такой платёж без СМС-подтверждения. А ещё авторизацию в Киви-кошельке можно сохранять через мобильное приложение. Там даже постоянный "рефреш" не нужен.
В-третьих, они могли настроить "Запланированные платежи". И деньги с моего кошелька могут списаться в назначенное злоумышленником время.
Чтобы исключить эти возможности, добавляю к моей инструкции ещё четыре шага, которые можно сделать чуть позже.
6. Зайти в кошельке в раздел "Оплатить" -> "Все избранные" и проверить, нет ли там чего-нибудь подозрительного. Удалить все избранные платежи, которые вы сами не создавали.
7. Отменить все запланированные платежи на какое-нибудь время. Для этого зайти в каждый избранный платёж, под деталями платежа нажать кнопку "Запланировать", а в появившейся форме - "Отменить". Даже если это платёж, пополняющий ваш собственный номер телефона, злоумышленники могли запланировать его на то время, когда они в следующий раз собираются увести вашу сим-карту. А увести её снова, как показывает мой опыт, они могут с той же лёгкостью, с какой сделали это в первый раз.
8. Зайти в раздел "Банковские карты", там найти виртуальную карту (QVC), кликнуть по её названию и в левом меню выбрать "Закрыть карту". Тогда злоумышленники не смогут вывести деньги с баланса кошелька по реквизитам карты.
9. В "настройках безопасности" отключить все подключённые приложения.
Ну а когда восстановите сим-карту, не забудьте обратно подключить СМС-подтверждение платежей.
Примечание. В службу поддержки и службу безопасности "Киви" обращаться бесполезно, а может быть даже вредно. Они заблокируют ваш кошелёк, а потом будут отказываться принять претензию по поводу неавторизованных транзакций, мотивируя это тем, что им нужны номера счетов получателей платежей по этим транзакциям. Если ваш кошелёк заблокирован, то у вас не будет доступа к истории, и вы не сможете узнать ничего об этих транзакциях. А без детальной информации вы не сможете их опротестовать.
Ещё одно примечание. В "настройках безопасности" есть два пункта, в отношении которых я так и не смог разобраться, может ли их включение или выключение открыть доступ к совершению исходящих операций без пароля:
Будет замечательно, если кто-нибудь сможет объяснить про терминалы. Я пока не разобрался, можно ли через них увести деньги с кошелька.
Ну и любые другие поправки и дополнения, разумеется, приветствуются.
Итак, вы получили СМС от сотового оператора о том, что по вашему номеру производится замена сим-карты. Замену вы не заказывали, а к номеру привязан кошелёк Киви. Если ваш оператор - МТС, то у вас есть одна-две минуты до отключения вашей сим-карты и десять-пятнадцать минут до активации выданного кому-то дубликата. Что у других операторов - не знаю. Инструкция рассчитана именно на эти сроки. Что же за это короткое время можно успеть сделать?
1. Если в кошельке есть деньги, то, не теряя ни секунды, зайти в кошелёк и отключить СМС-подтверждение платежей. Делается это в меню "Настройки" в пункте "Настройки безопасности". Чтобы оно отключилось, потребуется ввести код из СМС. Если СМС успеет прийти на вашу симку, а не на дубликат, то после этого вы сможете увести деньги с кошелька, даже когда вашу симку заблокируют (а это случится через одну-две минуты). Не бойтесь отключать СМС-подтверждение. Сейчас оно ваш враг, а не друг. Если получилось отключить - немедленно уводите деньги порциями по 15000 р. на телефонные номера родственников и друзей. Они туда уйдут, даже если на эти номера не зарегистрированы кошельки Киви. Потом вернёте. Важно, чтобы это были номера других операторов сотовой связи, поскольку вы уже можете быть точно уверены, что среди сотрудников вашего оператора у злоумышленников есть сообщник. И, если злоумышленники получат доступ к истории транзакций вашего кошелька, они попытаются оформить дубликаты тех симок, на номера которых вы недавно переводили деньги. (Я думаю, что именно поэтому за оформлением дубликата одной моей сим-карты последовали выдачи дубликатов ещё четырёх.)
2. Если к вашему кошельку Киви не привязан адрес электронной почты - привязать адрес электронной почты. Делается это там же - в меню "Настройки" в пункте "Настройки безопасности". Привязав адрес электронной почты, вы обезопасите себя от смены пароля, которую может провести злоумышленник. Теперь для смены пароля ему нужно будет ввести не только код из СМС, пришедшего на сим-карту, но и код из сообщения по электронной почте.
3. Там же - в "Настройках безопасности" кошелька Киви - нужно отключить функцию "СМС-платежи". Это не "СМС-подтверждение". Это совсем другая фишка. Если она включена, то можно уводить деньги с кошелька, просто отправляя СМС с вашей сим-карты, без какого-либо пароля.
4. Звонить в контактный центр оператора с другой сим-карты. Ваша сим-карта через минуту-другую перестанет работать, и вы рискуете просто не дождаться ответа оператора и потерять драгоценное время. Дозвонившись до оператора, сообщить о том, что вы получили смс о замене сим-карты, которую вы не заказывали. В результате такого звонка дубликат сим-карты не будет активирован. Ваша симка, правда, тоже не восстановится, и придётся ехать в офис оператора, чтобы её перевыпустить.
Если ваш оператор - МТС (а все наши пять симок были симками этого оператора), то слишком много не говорите. Первый сотрудник контактного центра, который вам ответит, не уполномочен блокировать сим-карты. Он всё равно переведёт вас на другого специалиста, которому нужно будет ещё раз всё рассказывать. Поэтому сначала просто скажите, что вы хотите заблокировать утерянную сим-карту, назовите номер телефона, своё имя и номер паспорта. О неавторизованной замене сим-карты вы будете рассказывать уже другому человеку, на которого ваш звонок переведут.
5. Одновременно со звонком в контактный центр оператора зайти в свой личный кабинет на сайте этого самого оператора и там установить добровольную блокировку номера. Это будет гораздо быстрее, чем дожидаться блокировки от сотрудников контактного центра. Пока по телефону ждёте ответа (сначала одного специалиста, а потом ещё и другого), злоумышленник может успеть воспользоваться дубликатом.
Второй и третий шаги, конечно, лучше сделать заранее, не дожидаясь, пока вашу симку уведут. Я вот их не сделал, так как мои симки всегда лежали дома, под присмотром, и я не думал, что кто-то на самом деле может получить их дубликаты. В результате я лишился доступа к одному кошельку (к нему привязали чужой адрес электронной почты) и денег с другого кошелька (их увели через СМС-платежи). А ещё три кошелька, к которым тоже не были привязаны адреса электронной почты, злоумышленники почему-то не увели. То есть не привязали к ним свою почту, а просто поменяли пароль, который я потом, восстановив свои симки, смог сменить обратно. Зачем они могли это сделать?
Во-первых, зайдя в мой кошелёк, они могли получить реквизиты виртуальных карт QVC, которые Киви автоматически выпускает к каждому кошельку. Для оплаты с такой карты нужно ввести только её номер, срок действия и код CVC. Деньги спишутся с баланса кошелька. Пароль к кошельку при этом вводить не нужно. Таким образом, если я снова внесу деньги на свой счёт, злоумышленники смогут их увести, зная реквизиты этой карты.
Во-вторых, они могли добавить какие-нибудь "Избранные платежи". Такие платежи не требуют подтверждения паролем. И если злоумышленник, у которого был дубликат моей сим-карты, авторизовался в Киви-кошельке и сохраняет авторизацию, регулярно обновляя страницу, то он сможет в дальнейшем провести такой платёж без СМС-подтверждения. А ещё авторизацию в Киви-кошельке можно сохранять через мобильное приложение. Там даже постоянный "рефреш" не нужен.
В-третьих, они могли настроить "Запланированные платежи". И деньги с моего кошелька могут списаться в назначенное злоумышленником время.
Чтобы исключить эти возможности, добавляю к моей инструкции ещё четыре шага, которые можно сделать чуть позже.
6. Зайти в кошельке в раздел "Оплатить" -> "Все избранные" и проверить, нет ли там чего-нибудь подозрительного. Удалить все избранные платежи, которые вы сами не создавали.
7. Отменить все запланированные платежи на какое-нибудь время. Для этого зайти в каждый избранный платёж, под деталями платежа нажать кнопку "Запланировать", а в появившейся форме - "Отменить". Даже если это платёж, пополняющий ваш собственный номер телефона, злоумышленники могли запланировать его на то время, когда они в следующий раз собираются увести вашу сим-карту. А увести её снова, как показывает мой опыт, они могут с той же лёгкостью, с какой сделали это в первый раз.
8. Зайти в раздел "Банковские карты", там найти виртуальную карту (QVC), кликнуть по её названию и в левом меню выбрать "Закрыть карту". Тогда злоумышленники не смогут вывести деньги с баланса кошелька по реквизитам карты.
9. В "настройках безопасности" отключить все подключённые приложения.
Ну а когда восстановите сим-карту, не забудьте обратно подключить СМС-подтверждение платежей.
Примечание. В службу поддержки и службу безопасности "Киви" обращаться бесполезно, а может быть даже вредно. Они заблокируют ваш кошелёк, а потом будут отказываться принять претензию по поводу неавторизованных транзакций, мотивируя это тем, что им нужны номера счетов получателей платежей по этим транзакциям. Если ваш кошелёк заблокирован, то у вас не будет доступа к истории, и вы не сможете узнать ничего об этих транзакциях. А без детальной информации вы не сможете их опротестовать.
Ещё одно примечание. В "настройках безопасности" есть два пункта, в отношении которых я так и не смог разобраться, может ли их включение или выключение открыть доступ к совершению исходящих операций без пароля:
ДОСТУП В ТЕРМИНАЛАХ QIWI ПО PIN КОДУ
Доступ к Visa QIWI Wallet на терминалах самообслуживания QIWI с использованием PIN кода. Если вы используете Visa QIWI Wallet на терминалах самообслуживания, рекомендуется изменить стандартный четырехзначный PIN код на более сложный. Никогда не вводите ваш PIN код при посторонних людях. Мы рекомендуем использовать QIWI Терминалы только для пополнения баланса.
ПОДТВЕРЖДЕНИЕ ПО SMS (ТЕРМИНАЛЫ QIWI)
Подтверждение по SMS — функция системы безопасности. С ним Ваши платежи надёжно защищены. Каждая расходная операция, проведённая через терминал QIWI, подтверждается Вами лично по мобильному телефону. Для операций, проведённых через сайт или мобильное приложение, SMS подтверждение не требуется.
Будет замечательно, если кто-нибудь сможет объяснить про терминалы. Я пока не разобрался, можно ли через них увести деньги с кошелька.
Ну и любые другие поправки и дополнения, разумеется, приветствуются.
Последнее редактирование: