Comments 197
А поступили ли в реальности деньги на счёт?
Естественно, нет
Еще бы). Помню еще в школе баловался такой штукой. Вписыаешь номер отправителя или символами QIWI, вписываешь номер адресата и текст. Отправляешь через специальный смс сервер и готово… Приходет смс от Димы к Маше. И Маша не знает что смс не от Димы и Дима в непонятках. Думаю сейчас не проблематично это повтарить.
Сильно сомневаюсь — иначе бы и топика не было.
Думаю девушке надо отправить в ответ смс «Зачислено 300 рублей» :)
Думаю девушке надо отправить в ответ смс «Зачислено 300 рублей» :)
Есть подозрение что там не совсем девушка, а точнее совсем не девушка.
А хитрый дедушка.
Говорят, смсками подобного рода часто зеки развлекаются.
И номер платный. Начнешь диалог — победнеешь больше чем на 300 рублей.
А можно линк почитать про эти платные номера?
Присоединюсь к вопросу, пока что такие заявления только на уровне рассуждений видел.
«Платным» может быть не только короткий, но и длинный номер. Поиск дает много вариантов на запрос «платный длинный номер»
Я знаю платные номера в коде 890. Про платные номера в диапазонах мобильных операторов (с виду обычные федеральные номера), я ничего не знаю. И поиск дает кучу, судя по всему, мошенников предлагающих «платные федеральные номера» с сайтами на мутных доменах третьего уровня. Так что еще раз прошу — дайте мне конкретный пруфлинк.
Есть подозрение, что отправив SMS на этот номер, вы рискуете подписаться на платную услугу стоимостью, скажем, 600 руб.
Я всегда на такие СМС так отвечаю.
Ага, и в отправителях номер телефона, а не «QIWI» или прочее.
Приходило такое же сообщение (слово в слово), никаких денег, естественно, нет.
Кто-то в qiwi получает маленькую зарплату.
Может уязвимость на сайте?
И их там много, причём их не закрывают. А на письма отвечают, что уже месяц как о ней знаем :))
А какие уязвимости вы нашли? Мы платим неплохие деньги за них, почему бы вам не заработать, если вы знаете про много уязвимостей?
www.qiwi.com/page/hack.action
www.qiwi.com/page/hack.action
Наверное, потому, что вы не платите, а отвечаете, что о такой уязвимости вам уже сообщали. Смысл мне вам другие отправлять. Такой брехни я ещё не слышал, чтобы уязвимость в электронном кошельке не исправлялась месяц, да и ещё её до меня кто-то прислал не понятно за сколько времени. Да и те, копейки, что вы назвали «неплохими деньгами» смешны для специалиста по ИБ)))
Я даже узнавал у своих, из моих знакомых никому ни разу не заплатили — репутация у вас в наших кругах особая!
Я даже узнавал у своих, из моих знакомых никому ни разу не заплатили — репутация у вас в наших кругах особая!
Если до вас уязвимость нашел другой человек, то вознаграждение получит он, т.е. мы действительно не платим за дубли и никогда не будем.
Ну вы хоть закройте их, а то я через месяц смотрел, никто не пошевелился. А я ведь даже скинул актуальные темы с мошенничеством на тему присланной уязвимости.
Про раскрытия пути и прочие системные ошибки видимо логи у вас вообще никто не изучает, поэтому безопасность вашей платёжки вообще под большим вопросом, она мне после аудита стала напоминать Сбербанк онлайн)
Про раскрытия пути и прочие системные ошибки видимо логи у вас вообще никто не изучает, поэтому безопасность вашей платёжки вообще под большим вопросом, она мне после аудита стала напоминать Сбербанк онлайн)
Да вроде все закрыты. Можно вас попросить мне переслать то, что вы нашли?
Это было ещё в начале лета, на данный момент проверил из тех, что отсылал закрыты. Остальные я на память не смогу глянуть, я их не записывал.
Ну в любом случае, спасибо. Я буду очень рад любым присланным уязвимостям, особенно от А2+.
Честно, был не в курсе, что у нас такая репутация в соответствующих кругах. Могу гарантировать, что все присланные уязвимости будут оплачены согласно прайсу и правилам, а также, то, что со временем прайс будет повышаться.
Честно, был не в курсе, что у нас такая репутация в соответствующих кругах. Могу гарантировать, что все присланные уязвимости будут оплачены согласно прайсу и правилам, а также, то, что со временем прайс будет повышаться.
Повышать — это правильно, т.к. ну очень низкие цены за достаточно серьёзные уязвимости. Ну и могу сказать раскрытие путей точно было и какие-то менее серьёзные типа XSS на проектах investor.qiwi.com и ещё каком-то. На visa.qiwi.com уже всё закрыли, молодцы. Где точно не помню, много времени и других проектов прошло… :)
Повысим обязательно, когда доделаем наши некоторые текущие активности по повышению безопасности. Я хочу, чтобы повод нас ломать был не столько из-за выгоды, сколько из настоящего интереса исследователей обойти наши системы защиты :)
Инвесторский и прочие сайты, которые сейчас не в скоупе, действительно не так защищены. Мы эти риски сейчас с меньшим приоритетом оцениваем, т.к. эти сайты даже физически и на километр к процессингам обработки платежей не относятся. Когда убедимся в нужном нам уровне защищенности основных, платежных сайтов, вернемся к остальному скоупу.
Инвесторский и прочие сайты, которые сейчас не в скоупе, действительно не так защищены. Мы эти риски сейчас с меньшим приоритетом оцениваем, т.к. эти сайты даже физически и на километр к процессингам обработки платежей не относятся. Когда убедимся в нужном нам уровне защищенности основных, платежных сайтов, вернемся к остальному скоупу.
Я хочу, чтобы повод нас ломать был не столько из-за выгоды, сколько из настоящего интереса исследователей обойти наши системы защиты :)
Думаю это уже невозможно. Уже много лет, как в приоритете деньги, нежели саморазвитие и репутация. К тому же, ну ладно там гугл и фейсбук как-то могут поднять репутацию ресерчеру, киви не имеет такой возможности.
Так что лучше думать о выгоде, причём думать, после анализа чёрного рынка, где за подобные уязвимости на нолик больше платят :)
причём думать, после анализа чёрного рынка, где за подобные уязвимости на нолик больше платят :)
Если б это было так просто — взять и продать на чёрный рынок, реально на этом заработать и проблем не поиметь — многие бы так и делали. В реальности это далеко не так всё просто. Нужно знать эти самые чёрные рынки, быть уверенным, что Вас там не кинут. Это как минимум. А ещё хорошо было бы освоить вопрос вывода в наличность той суммы, которую там заплатят. Если хорошо подумать, то приходишь к выводу, что вывод денег нужно делать анонимно. А не обналичивать всякие там на себя оформленные веб мани или кредитки. Потому тот, кто утверждает, что мол мало вознаграждения, продаст дыру на чёрном рынке — в подавляющем числе случаев просто блефует.
Отсюда вывод: вряд ли размер вознаграждения будет соизмерим с ценой на чёрном рынке
И прекратите сливать базы номеров телефонов всяким спамерастам.
XSS… У них в начале года кажется была уязвимость в логике работы, позволяющая «рисовать» деньги на счету.
Вы еще не знаете свою репутацию среди интернет-магазинов. Пару месяцев назад сделали возврат по двум платежам. Деньги плательщики так и не получили. Я писал менеджеру, он сообщения игнорировал. Притом выборочно так игнорировал: на другие вопросы отвечал, а вопросы по поводу денег просто не замечал. Я писал в службу поддержки, жалуясь на то, что менеджер не реагирует. Служба поддержки рекомендовала обратиться к менеджеру. После того, как через месяц переписок я начал открыто обвинять Qiwi в хищении денег, деньги покупателям вернули. Одному из двух.
А репутация среди обычных пользователей еще хуже. У нас регулярно появляются пользователи, которые ошибочно через киви кладут деньги на счет другого провайдера.
В итоге нам ничего не приходит, а техподдержка киви, на просьбу пользователей аннулировать платеж(все реквизиты имеются) и перепровести его на нас, отправляет этих пользователей к нам. Почему — не понятно, ибо у нас вообще нету никакой информации об ошибочных платежах и денег за эти платежи.
В итоге пользователи неделями бодаются и далеко не все добиваются положительного результата.
В итоге нам ничего не приходит, а техподдержка киви, на просьбу пользователей аннулировать платеж(все реквизиты имеются) и перепровести его на нас, отправляет этих пользователей к нам. Почему — не понятно, ибо у нас вообще нету никакой информации об ошибочных платежах и денег за эти платежи.
В итоге пользователи неделями бодаются и далеко не все добиваются положительного результата.
Браузер и винда — русские. Сайт QIWI по умолчанию открывается всегда на английском. С момента запуска нового дизайна. Обращался в поддержку — никто так и не помог.
Высылал вам 8 сообщений об уязвимостях, последнее 1 августа. По одному получил ответ, что такую уязвимость уже на находили, а по остальным, что письмо заполнено корректно и принято к рассмотрению, ожидайте. Больше писем не было, хотя в правилах, опубликованных на сайте, говорится про 15 рабочих дней проверки.
Проверил — большинство уязвимостей на текущий момент не закрыто.
Проверил — большинство уязвимостей на текущий момент не закрыто.
UFO just landed and posted this here
За серьезные дыры Qiwi предлагает, по текущей политике, 150 000 рублей.
UFO just landed and posted this here
ИМХО, киви не стали бы так подставляться, это совпадение. Много лет активно пользуюсь кошельком, регистрировал недавно девушку, подобных проблем не было. Такие штуки обычно делают тупым перебором номеров.
Верите в два таких маловероятных совпадения?
Такие штуки обычно делают тупым перебором номеров.
То есть вы думаете что это совпадение что 2 номера (уверен что не свежих зарегистрированных???) после того как были использованы в регистрации qiwi кошелька — получили по сообщению одинакого характера с целью обмана?
То есть вы думаете что это совпадение что 2 номера (уверен что не свежих зарегистрированных???) после того как были использованы в регистрации qiwi кошелька — получили по сообщению одинакого характера с целью обмана?
Еще как вариант — информацию сливает владелец терминала, с которого ложили деньги на счета.
Вот это уже интересней.
У нас в городе стоит пополнить номер с терминала — спам шлют пачками в СМСках. Иногда и фишинговый (правда, очень редко). Можно так врагу «подарочек» сделать — кинуть десятку с терминала, комиссия около 8 рублей, спам даром.
Оставлю это здесь.
…
Как вариант — только если человек клал с терминалов qiwi на эти 2 (подчеркиваю) номера. Тк если не клал то доступ к новым номерам могли получить только сотрудники qiwi либо как тут пишут — возможная уязвимость на сайте. Хотя сам факт того что сообщение с обманом были отправлены именно после регистраций 2x кошельков мало оставляет сомнений что кто-то имеет доступ к свежей базе зарегистированных номеров.
Я могу подтвердить информацию из топика. Как только зарегистрировал кошелёк — начал приходить такой вот спам, моментально. А после того, как оформил QIWI Visa Plastic начался кромешный ад — бомбят рекламными смсками мой номер просто адово.
Вроде на хабре уже об этом писали. Простое мошенничество, при котором деньги вам даже не приходят. Просто нужно свой счёт проверять после таких смсок :)
Всё таки не на хабре было, но весь интернет полнится
Google it
Google it
Механизм известен, но не в этом суть поста.
Мне такое пару раз приходило. Хотя давно и скорей всего не от мошенников но, я отшивал. Перечислил не на тот счёт звони тому через кого перечисляла, и возвращай платёж. С какого перепуга я должен отдавать свои 300 рублей потому что кто то ошибочно кинул мне их на телефон, они мне там нафиг не нужны, а для других целей вполне пригодятся. А то сейчас просят тебя вернуть деньги, а потом платёж отзовут, всякое бывает.
UFO just landed and posted this here
С одной стороны понимаю и сочувствую, тоже самое было с триколором ошибся на 1 цифру. Но с другой всё равно считаю что расплачиваться за такие ошибки должен тот кто их совершил, а не кто то ещё.
примерно в то же время (когда терминалы только начали появляться), мне без всяких боданий по чеку всё вернули (зачислили на нужный счёт) в течение получаса. вы чек до зачисления сохраняли?
С чеком можно было обращаться непосредственно к оператору (если только перепутана цифра не в DEF-коде, например, 916 вместо 926).
Немного оффтопик. В общем как-то раз приходят на счёт 300 рублей. Потом звонит старушка, с номера, отличающегося на пару цифр от моего, и говорит, что не туда зачислила. Спрашиваю — а чек у вас? Нет, говорит, порвался.
Очень вежливо, но очень далеко посылаю старушку.
Проходит месяц. Деньги со счёта никто не забирает.
Звоню старушке. Она в сердцах называет меня негодяем, я мог посчитал что она мошенница, сообщает что пошла в офис платёжной системы и там вошли в положение и вернули деньги.
Ну у меня деньги со счёта никто не забрал. Жду ещё пару недель и всё же перевожу 300 руб старушке. В итоге у меня деньги так до сих пор (неск. месяцев) никто и не забрал.
Общий счёт: Старушка +300 рублей. Я +0 рублей. Платёжная система -300 рублей.
Очень вежливо, но очень далеко посылаю старушку.
Проходит месяц. Деньги со счёта никто не забирает.
Звоню старушке. Она в сердцах называет меня негодяем, я мог посчитал что она мошенница, сообщает что пошла в офис платёжной системы и там вошли в положение и вернули деньги.
Ну у меня деньги со счёта никто не забрал. Жду ещё пару недель и всё же перевожу 300 руб старушке. В итоге у меня деньги так до сих пор (неск. месяцев) никто и не забрал.
Общий счёт: Старушка +300 рублей. Я +0 рублей. Платёжная система -300 рублей.
Простите, но если вы увидели прибавление на 300 рублей и похожий номер, могли бы и поверить старушке.
Не, нельзя верить старушкам, 1) они могут вернуть по чеку 2) они могут класть деньги на похожие номера 3) они могут быть не старушками, а женщинами в годах, сидящими в тюрьме.
Ну если только так, вы то в любом случае ничего не потеряете, только платежная система.
Кстати, интересный вопрос: платежная система при ошибке в номере средства зачисляет, но не отнимает у того на чей счет зачислено? Попробую завтра так ошибиться, положив на киви кошелек девушке.
Кстати, интересный вопрос: платежная система при ошибке в номере средства зачисляет, но не отнимает у того на чей счет зачислено? Попробую завтра так ошибиться, положив на киви кошелек девушке.
Что-то я не понял вашей логики. Вот вам насчет упало из ниоткуда 300 рублей. Вам звонят с похожего номера и просят положить в ответ, т.к. ошиблись номером. Кто там — старушка, депутат или зэк — какой смысл имеет? Вам же на счет пришли реальные деньги?
В чем профит класть реальные деньги специально на похожие номера а потом просить их вернуть? В том, что и вы им вернете, и они потом по чеку вернут, и они еще раз спишутся с вашего счета? Если так, то да, вообще нельзя возвращать ошибочно зачисленное
В чем профит класть реальные деньги специально на похожие номера а потом просить их вернуть? В том, что и вы им вернете, и они потом по чеку вернут, и они еще раз спишутся с вашего счета? Если так, то да, вообще нельзя возвращать ошибочно зачисленное
Да, именно в этом смысл этого мошенничества. Деньги мошенник вернёт по чеку (при этом платёжная система или оператор устанавливает срок типа 2 нед, в течение которого это можно сделать).
А что мешает тогда вернуть и свой платёж?
Такую схему не получится обратить в мошенничество. Мошенничество — это регулярная деятельность. Один раз, второй… Что, человек каждый день будет после всего этого обращаться в Qiwi и требовать возврата денег по чеку?
Мошенничество есть хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием.
Регулярность для этого не нужна. Во вторых кто мешает обращаться не каждый день, а раз в неделю? Много денег не заработаешь, а телефон будет бесплатный. Для зоны — самое то.
Регулярность для этого не нужна. Во вторых кто мешает обращаться не каждый день, а раз в неделю? Много денег не заработаешь, а телефон будет бесплатный. Для зоны — самое то.
Пару лет назад была аналогичная ситуация, только рублей было не 300, а 500, номер от моего отличался последней цифрой, и была не бабушка, а женщина с уставшим голосом. Тоже чек потеряла, чуть ли не последние ее деньги и т.д.
На следующий день пришла смс «на ваш счет было ошибочно зачислено 500р, деньги списаны с вашего счета».
Так что за пару дней обзвонить десятка 3 номеров, похожих на твой, вложив в это 15000р, получить с этого где-нибудь 7-8к, деньги вывести (например, звоня на платный номер сообщника), симку выбросить и купить новую, повторить — неплохую сумму для зека можно зарабатывать на постоянной основе.
На следующий день пришла смс «на ваш счет было ошибочно зачислено 500р, деньги списаны с вашего счета».
Так что за пару дней обзвонить десятка 3 номеров, похожих на твой, вложив в это 15000р, получить с этого где-нибудь 7-8к, деньги вывести (например, звоня на платный номер сообщника), симку выбросить и купить новую, повторить — неплохую сумму для зека можно зарабатывать на постоянной основе.
Не смог найти поиском, но совершенно точно был пост про то, что такие же условия навязываются при ЛЮБОМ ПОПОЛНЕНИИ СЧЕТА а не только при открытии виртуального кошелька. Так что единожды воспользовавшись терминалом для пополнения баланса своего или дружеского телефона — вы соглашаетесь что QIWI имеет право включить этот номер в свою базу, и распоряжаться ей как заблагорассудится.
QIWI Инфо гордо заявляет об обратном :)
«Откуда берутся номера
Базы номеров абонентов не существует. Сообщение отправляется только на номер, указанный при платеже на QIWI Терминале. Одно сообщение на один платеж.
SMS гарантированно доставляются реальным пользователям».
Хотя, возможно, это касается только их сервисных сообщений, надо изучить ради интереса их оферту в терминале. Но я лично никогда не пополнял этот номер через терминал, корни явно растут из регистрации кошелька.
«Откуда берутся номера
Базы номеров абонентов не существует. Сообщение отправляется только на номер, указанный при платеже на QIWI Терминале. Одно сообщение на один платеж.
SMS гарантированно доставляются реальным пользователям».
Хотя, возможно, это касается только их сервисных сообщений, надо изучить ради интереса их оферту в терминале. Но я лично никогда не пополнял этот номер через терминал, корни явно растут из регистрации кошелька.
Кроме того, у QIWI Инфо совершенно другой почерк: содержание сообщений не оставляет сомнений в их рекламной направленности, имеет ссылку, приходит с короткого номера.
да конкретно эти смски явно не от Qiwi, но они оставляют за собой право на спам при использовании их терминалов :)
Самый важный момент тут:
Повторили ту же операцию с другого компьютера и зарегистрировали кошелек на другой номер телефона. На следующий день получаем подобные сообщения
То есть не важно, пользовались этими 2мя номерами ранее в терминалах просто пополняя свой счет или нет — спам с обманом пришел именно после регистраций кошелька на сайте (как я понял, на сайте же регистрация).
Повторили ту же операцию с другого компьютера и зарегистрировали кошелек на другой номер телефона. На следующий день получаем подобные сообщения
То есть не важно, пользовались этими 2мя номерами ранее в терминалах просто пополняя свой счет или нет — спам с обманом пришел именно после регистраций кошелька на сайте (как я понял, на сайте же регистрация).
А вы бабушек через дорогу переводите только после демонстрации пенсионного или свидетельства об инвалидности?
Когда они попросят перевести через дорогу, а самой дороги нет? (на счёт-то при таких разводках ничего не приходит). Я бы, может, и перевёл, да не через что переводить. Так что до проверки документов дело и не дойдёт :)
Значит если вам смска прийдет от неизвестного номера «помогите бабушке перейти дорогу» — вы все бросите и пойдете бабушку искать?
«Надо перевести бабушку через дорогу. Поставь в айфон приложение фонарик и приезжай на Сортировочную к 19:00»
Переведение бабушек через дорогу не чревато потенциальными финансовыми потерями.
UFO just landed and posted this here
Могло совпадение быть. Жена недавно точно такое же сообщение получила, правда, не от Qiwi, а откуда-то ещё (и Qiwi не пользуется).
У меня и у знакомых такие смс приходили без помощи qiwi
Да это регулярно приходит даже после простой оплаты телефона через их терминал, безо всякой регистрации.
Интересно, что оба сообщения от QIWI написаны разным текстом.
P. S. Вроде можно было как-то отправлять сообщения с произвольным идентификатором, не?..
P. S. Вроде можно было как-то отправлять сообщения с произвольным идентификатором, не?..
Да, можно, например через www.spoofcard.com
>вероятность заражения компьютера мала
А регистрировались с одноко компьютера? Проверьтесь с LiveCD/USB, всё-таки.
А регистрировались с одноко компьютера? Проверьтесь с LiveCD/USB, всё-таки.
Было тоже самое. Деньги конечно же не поступили, ничего не отправил в ответ.
А разве для кого-то секрет что почти все ресурсы сплавляют персональные данные, за некоторым исключением?
Вот и пришло время, что теперь помимо специального эмейла для регистрации на форумах/порталах еще появится и нокия с паленой симкой для регистрации на ресурсах с требованием номера телефона.
Вот и пришло время, что теперь помимо специального эмейла для регистрации на форумах/порталах еще появится и нокия с паленой симкой для регистрации на ресурсах с требованием номера телефона.
@ Terehoff, а пришлите, пожалуйста номера зарегистрированных кошельков и номер мошенников на a.kuranda@qiwi.com
И 300 р.
Если интересно, расскажу немного подробностей по этому инциденту.
Сейчас для нас главная задача — найти точку слива номеров телефонов. Самая большая проблема в том, что вариантов несколько, например — мы, оператор сотовой связи или агрегатор СМС-рассылок. Если насчет первых двух я спокоен, то насчет третьего отнюдь нет.
Тем временем, мы заблокировали (спасибо нашим партнерам по рассылке СМС) короткие номера мошенников типа qLwL в обратом регистре — по крайней мере, этим способом они уже никого не обманут.
Сейчас для нас главная задача — найти точку слива номеров телефонов. Самая большая проблема в том, что вариантов несколько, например — мы, оператор сотовой связи или агрегатор СМС-рассылок. Если насчет первых двух я спокоен, то насчет третьего отнюдь нет.
Тем временем, мы заблокировали (спасибо нашим партнерам по рассылке СМС) короткие номера мошенников типа qLwL в обратом регистре — по крайней мере, этим способом они уже никого не обманут.
мы, оператор сотовой связи или агрегатор СМС-рассылок. Если насчет первых двух я спокоен, то насчет третьего отнюдь нет.
Вы серьезно верите, что оператор сотовой связи не может послать сообщение на номер телефона, узнав, что он как-то засветился у вас? Или у вас на этот счет есть строгие договоренности, на основании которых вы и прижать его можете, не потеряв плюсы сотрудничества?
+1 На днях было подобное.
У меня такая же история.
Прошу прощения и с праздником!
Прошу прощения и с праздником!
Что-то с рифмой у вас туго
Простите, не удержался. С праздником!
Идёт Пушкин по дороге, догоняет его мужик на телеге.
— Садись подвезу, — говорит.
Сели, едут. Мужик спрашивает:
— А чем ты занимаешься?
— Я поэт
— А как это?
— Ну, тебя, например, как зовут?
— Иван
— Ну и х** тебе в карман. Понял?
— Понял. Вас как зовут?
— Александр Сергеевич.
— Ну и слезай нах** с телеги.
Простите, не удержался. С праздником!
UFO just landed and posted this here
Мне сначала пришла смс от BEEL|NE — именно вертикальная черта, вместо буквы I, на телефоне почти не заметно. Потом смс — верните деньги.
Мне недавно что-то странное пришло.
2 СМС подряд: зачислено 300 руб. на cyberplat(что это вообще?) а потом просит вернуть деньги некая Юля и даёт телефон. Ни на qiwi, ни на телефон мне ничего не пришло, был в смятении)
2 СМС подряд: зачислено 300 руб. на cyberplat(что это вообще?) а потом просит вернуть деньги некая Юля и даёт телефон. Ни на qiwi, ни на телефон мне ничего не пришло, был в смятении)
cyberplat — это настоящая организация, они связаны с терминалами. Когда клал деньги, в чеке она указывалась, а от кого смс с уведомлением о зачислении денег не помню, возможно тоже от них. Но смс о возврате денег мне никогда не приходило.
Точно такой же развод, причем, похоже, от тех же мошейников.
Лично я уже давно обхожу стороной места где просят ввести номер мобильника
UFO just landed and posted this here
К.О намекает что QlWl != QIWI
l она же L != i она же I
поэтому такая разность букв на андройде.
l она же L != i она же I
поэтому такая разность букв на андройде.
Мне приходило именно от QiWi, причем я там не регистрировался — img.leprosorium.com/1926168
SMS можно отправить с абсолютно любым поддельным отправителем, будь это Beeline, Sberbank или же номер Васи Пупкина, который у вас записан в контактах
Т.к. заголовок темы весьма соответствует моей оценке деятельности QIWI, задам свой вопрос:
кто ещё наблюдает повальную пропажу терминалов оплаты QIWI у себя в городах? С начала этого года и по сей день, я не могу найти ни одного терминала оплаты QIWI, хотя раньше их было как грибов после дождя.
Этим летом произошло событие еще более крутое: пропало пополнение QIWI через сторонние агенты-платежные системы. Через месяц возможность вернулась, но с комиссией 7.9%. Это больше комиссии на пополнение кошелька WebMoney (5%), ЯД (5%)! Я просто в шоке, QIWI для меня был реально удобным способом оплаты, как в интернете, так и в реальной жизни (по их карте).
Спрашивал сотрудника QIWI здесь, на Хабре, ответа не получил.
Плюс, есть жалобы от людей, которые купили один из Humble Bundle'ов через виртуальную карту QIWI один раз, но деньги у них списываются постоянно уже на протяжении некоторого времени. Без остановки при уходе баланса в минус. Крутая техническая поддержка (которая ничерта не знает кроме как переправлять между своими же отделами) просто молчит. Деньги продолжают списываться.
Что происходит с QIWI? Есть у кого-нибудь информация на этот счет?
кто ещё наблюдает повальную пропажу терминалов оплаты QIWI у себя в городах? С начала этого года и по сей день, я не могу найти ни одного терминала оплаты QIWI, хотя раньше их было как грибов после дождя.
Этим летом произошло событие еще более крутое: пропало пополнение QIWI через сторонние агенты-платежные системы. Через месяц возможность вернулась, но с комиссией 7.9%. Это больше комиссии на пополнение кошелька WebMoney (5%), ЯД (5%)! Я просто в шоке, QIWI для меня был реально удобным способом оплаты, как в интернете, так и в реальной жизни (по их карте).
Спрашивал сотрудника QIWI здесь, на Хабре, ответа не получил.
Плюс, есть жалобы от людей, которые купили один из Humble Bundle'ов через виртуальную карту QIWI один раз, но деньги у них списываются постоянно уже на протяжении некоторого времени. Без остановки при уходе баланса в минус. Крутая техническая поддержка (которая ничерта не знает кроме как переправлять между своими же отделами) просто молчит. Деньги продолжают списываться.
Что происходит с QIWI? Есть у кого-нибудь информация на этот счет?
Что происходит с QIWI? Есть у кого-нибудь информация на этот счет?
У них там что-то случилось, от чего владельцы автоматов стремятся от QIWI избавиться в пользу других систем. Более конкретно не могу сказать, но если нужно — узнаю
UFO just landed and posted this here
Недавно тоже такое происходило в округе, когда НПС сделала 0% комиссии, все терминалы переподключили к ней. Через полгода, когда эта акция прошла, почти все вернулись обратно на Qiwi.
Узнал. (cast Renaissance)
Случилось, но не в масштабе QIWI. Тогда кто-то положил очень большую сумму на оператора, от которого агент не получает никакого дохода. Ну а сбор денег из автоматов тоже не бесплатный. Не очень приятное удовольствие для малых размеров ИП.
Да и вообще, говорит, невыгодно оно (в основном по причине кучи таких «бесплатных» платежей), но у других операторов нету (или не работают?) некоторых важных фич вроде фискальных серверов.
Случилось, но не в масштабе QIWI. Тогда кто-то положил очень большую сумму на оператора, от которого агент не получает никакого дохода. Ну а сбор денег из автоматов тоже не бесплатный. Не очень приятное удовольствие для малых размеров ИП.
Да и вообще, говорит, невыгодно оно (в основном по причине кучи таких «бесплатных» платежей), но у других операторов нету (или не работают?) некоторых важных фич вроде фискальных серверов.
Нужно. Буду очень признателен.
А в Связном разве появилась комиссия на qiwi? Недавно клал там, было без комисии
Qiwi вообще неадекватная система.
На днях решил зайти в веб-интерфейс (до этого всегда пользовался android приложением). Ввожу номер — нет говорит такого агента.
Вхожу с телефолна — все отлично. В браузере — нет агента.
Пишу в саппорт. Спрашивают, как давно я не заходил. Говорю, раз в год захожу, может реже. Мне отвечают, что вы неактивный абонент, вас удалили (почему работает андроид приложение?), и берут согласно оферте 10руб. в день.
т.е. мертвые аккаунты с баблом удалить не могут, значит надо его как-то списать, под каким-то предлогом, вот и нашли предлог)))
Согласно с пунктом оферты 4.16. Начиная с первого дня, следующего за днем установления Пользователю Статуса неактивного
Пользователя, стоимость услуг Оператора Сервиса по предоставлению Пользователю возможности Использования
Сервиса для такого Пользователя составляет 10 (Десять) рублей 00 копеек РФ за 1 (Один) календарный день
(стоимость услуг Оператора Сервиса по предоставлению Пользователю возможности Использования Сервиса НДС
не облагается в соответствии с пп. 4 п. 3 ст. 149 НК РФ).
На днях решил зайти в веб-интерфейс (до этого всегда пользовался android приложением). Ввожу номер — нет говорит такого агента.
Вхожу с телефолна — все отлично. В браузере — нет агента.
Пишу в саппорт. Спрашивают, как давно я не заходил. Говорю, раз в год захожу, может реже. Мне отвечают, что вы неактивный абонент, вас удалили (почему работает андроид приложение?), и берут согласно оферте 10руб. в день.
т.е. мертвые аккаунты с баблом удалить не могут, значит надо его как-то списать, под каким-то предлогом, вот и нашли предлог)))
Согласно с пунктом оферты 4.16. Начиная с первого дня, следующего за днем установления Пользователю Статуса неактивного
Пользователя, стоимость услуг Оператора Сервиса по предоставлению Пользователю возможности Использования
Сервиса для такого Пользователя составляет 10 (Десять) рублей 00 копеек РФ за 1 (Один) календарный день
(стоимость услуг Оператора Сервиса по предоставлению Пользователю возможности Использования Сервиса НДС
не облагается в соответствии с пп. 4 п. 3 ст. 149 НК РФ).
Для эксперимента только что зарегистрировался на киви, посмотрим что будет
Зачем вам какой-то Киви?
Завести пластиковую карту в Сбере — дело двадцати минут. Терминалы в каждом торговом центре. Пополнение без комиссии, можно оплатить миллион услуг, в.т.ч онлайн.
А вы до до сих пор переводите деньги в фантики и обратно.
Завести пластиковую карту в Сбере — дело двадцати минут. Терминалы в каждом торговом центре. Пополнение без комиссии, можно оплатить миллион услуг, в.т.ч онлайн.
А вы до до сих пор переводите деньги в фантики и обратно.
Мне, например, для выпуска виртуальных платёжных карт. Надо мне оплатить что-то в интернет-магазине — покупаю карту Qiwi Visa Virtual ровно с той суммой, которую планирую потратить. Реальные карты в сети не свечу.
Нет ничего страшного, если будете указывать данные реальной карты. Главное, чтобы она была не зарплатная. Закинул — потратил.
Алгоритм тот же, но мне не надо ходить в офис банка.
В банк надо заходить два раза: написать заявку, забрать карту. Потом переводить можно без визитов в банк — онлайн всё работает.
В банк сходить нужно один раз. А постоянно покупать новые карты — это какая-то жесть. Замучишься потом перебивать их во всех сервисах.
Вместо цивилизованных способов вы пользуетесь услугами шарашки, продающей номера спамерам.
Вместо цивилизованных способов вы пользуетесь услугами шарашки, продающей номера спамерам.
Сбербанк? Моментальные платежи?!
Пол года назад в первый и последний раз воспользовался этой штукой. Оплатил инет через их онлайн, проходит час — денег нет, день — денег нет. Звоню в провайдер — денег не видно, но попросили набраться терпения, сбербанк доходит до 1 недели(ага, моментально). Зашёл в qiwi — оплатил с карты без комиссий инет, деньги пришли за 5 сек. сбербанк дополз дня через 3.
Как вы думаете буду ли я когда нибудь еще пользоваться сбербанк-онлайн?
Пол года назад в первый и последний раз воспользовался этой штукой. Оплатил инет через их онлайн, проходит час — денег нет, день — денег нет. Звоню в провайдер — денег не видно, но попросили набраться терпения, сбербанк доходит до 1 недели(ага, моментально). Зашёл в qiwi — оплатил с карты без комиссий инет, деньги пришли за 5 сек. сбербанк дополз дня через 3.
Как вы думаете буду ли я когда нибудь еще пользоваться сбербанк-онлайн?
А это уже проблемы провайдера что не смогли со Сбером договориться. Сотовым-то приходит сразу. Мой провайдер предупреждает что платёж будет идти неделю.
Хех. А когда кладешь в обед наличку на карту в отделении Сбера, в котором карта открыта, а деньги становятся доступными только в полночь — это кто с кем не смог договориться?
Не сразу. Иногда при оплате московского сотового из другого региона деньги доползают только через 18-24 часа! ИМХО, для оплаты мобильного даже 15 минут задержки многовато, а уж сутки — просто недопустимо.
У меня случай был: Мегафон заблокировал исходящие. Добежал до банкомата, заплатил. Деньги пришли через несколько минут, счёт положительный, звонить не могу. Оператор говорит — подождите. Взял «авансовый платёж» — сумма уже сильно положительная, но всё равно звонить не могу. Смог позвонить только через несколько часов, когда уже было не актуально.
Схемы зачисления денег через Сбербанк у разных ОпСоСов разные: Мегафон тормозит (иногда прилично), МТС сразу зачисляет. Так что тут невозможно однозначно определить с какого конца косяк.
Схемы зачисления денег через Сбербанк у разных ОпСоСов разные: Мегафон тормозит (иногда прилично), МТС сразу зачисляет. Так что тут невозможно однозначно определить с какого конца косяк.
Интернет как и телефон уже 6 месяцев оплачиваю карточкой сбера, приходи моментально. То же самое с оплатой контента для PS3 и Я.деньги.
До этого платил через qiwi, обычно было все нормально, но несколько раз я ждал 1 и 2 дня, что бы пришли деньги на телефон, и 2 дня на интернет (благо обещанный платеж был).
Так что косяки у всех бывают.
До этого платил через qiwi, обычно было все нормально, но несколько раз я ждал 1 и 2 дня, что бы пришли деньги на телефон, и 2 дня на интернет (благо обещанный платеж был).
Так что косяки у всех бывают.
Какие виртуальные фантики? Полноценная(?) Visa.
Завести пластиковую карту в Сбере — дело двадцати минутА закрыть — несколько часов.
например — перевести человеку деньги за какую то мелочь.
при этом _все_ что для этого надо человеку — российскую симкарту. не надо искать терминал в ближайшем торговом центре (который вполне может быть далеко далеко а терминала там может и не быть), не надо офис сбербанка искать
пополнить киви — можно совсем с чего угодно (разве что С WM/Yandex вопрос)
Visa Plastic (нужная в некоторых случаях)
виртуалки
вот что раздражает — жесткая привязка к номеру и никакой возможности перепривязать счет со всем что к нему привязано к другому номеру
ну и — идиотский вопрос каждый раз при логине когда новый интерфейс вводили.
при этом _все_ что для этого надо человеку — российскую симкарту. не надо искать терминал в ближайшем торговом центре (который вполне может быть далеко далеко а терминала там может и не быть), не надо офис сбербанка искать
пополнить киви — можно совсем с чего угодно (разве что С WM/Yandex вопрос)
Visa Plastic (нужная в некоторых случаях)
виртуалки
вот что раздражает — жесткая привязка к номеру и никакой возможности перепривязать счет со всем что к нему привязано к другому номеру
ну и — идиотский вопрос каждый раз при логине когда новый интерфейс вводили.
Если нужно перевести какую-то мелочь, то проще закинуть денег на телефон владельца со своей карты. Да и у адресата скорее всего карта есть. Тогда не возникнет вопрос, как вывести эту несчастную тысячу рублей, что вы перевели.
Стебетесь? С киви выводить и проще, и дешевле, чем с телефона. Офигевший билайн дерет 8% даже за перевод на ЯД.
Нет, спасибо. Я как-то заказал карту в Сбербанке. Вместо 21 дня положенного на её выпуск я получил СМС о её готовности через 2 месяца.
Карту не забрал, но зато теперь получаю постоянно СМС с предложениями по кредиту.
Карту не забрал, но зато теперь получаю постоянно СМС с предложениями по кредиту.
На втором скриншоте надпись не QIWI, а QLWL (только через L маленькое)
Вероятно и на первом тоже, т.к. «I» и «l» в NavigationBar iOS выглядят одинаково.
Сверху пишут habrahabr.ru/post/193554/#comment_6723216
Сверху пишут habrahabr.ru/post/193554/#comment_6723216
Надо вот так отвечать.
М — мошенник, Ж — жертва.
М: На ваш счёт было зачислено 200 руб. Qiwi-терминал. 14.08.13
М: Извините я вам деньгиа по ошибке перевела. Верните пожалуйста.
Ж: На ваш счёт было зачислено 500 руб. Qiwi-терминал. 14.08.13
Ж: Я по ошибке вернул вам чуть больше. Верните пожалуйста разницу. Спасибо за понимание.
P.S.: Хоть бы писали без ошибок, читать же не возможно их сообщения :)
М — мошенник, Ж — жертва.
М: На ваш счёт было зачислено 200 руб. Qiwi-терминал. 14.08.13
М: Извините я вам деньгиа по ошибке перевела. Верните пожалуйста.
Ж: На ваш счёт было зачислено 500 руб. Qiwi-терминал. 14.08.13
Ж: Я по ошибке вернул вам чуть больше. Верните пожалуйста разницу. Спасибо за понимание.
P.S.: Хоть бы писали без ошибок, читать же не возможно их сообщения :)
Заявление в полицию надо писать.
моему сотуднику пришло такое же сообщение на телефон,
входящее сообщение не от QIWI, а от личного номера телефона.
надо сообщить оператору на горячую линию мошеничества.
Вывод — нафиг все эти киви кошельки.
входящее сообщение не от QIWI, а от личного номера телефона.
надо сообщить оператору на горячую линию мошеничества.
Вывод — нафиг все эти киви кошельки.
С QIWI у меня был недавно печальный опыт.
Пользуюсь этим сервисом уже давно, в 99,99% для перевода денежных средств с карты одного банка на карту другого через QIWI кошелек с периодичностью раз в месяц. Баланс кошелька всегда нулевой. В июне завел виртуальную QIWI Visa Card для всяких интернет-подписок, требующих реквизиты карты (например, были планы попользоваться триальным месяцем на Netflix'е). Реквизиты абсолютно нигде не светил, просто не было времени. И вот в августе ночью пришла смс-ка, согласно которой моей картой (вернее, ее реквизитами) пытались расплатиться на plantoeat.com. Сумма была небольшая — 0.5 $, транзакция не прошла, потому что баланс карты я даже еще не трогал.
Саппорт QIWI отписался, что если у меня есть претензии, то мне стоит пойти с заявлением в полицию. Я так пораскинул мыслями, и решил просто никогда не пользоваться qiwi'шными картами (ни виртуальными, ни реальными — а qiwi visa plastic у меня тоже есть, получена по акции qiwi совместно с habr'ом).
Пользуюсь этим сервисом уже давно, в 99,99% для перевода денежных средств с карты одного банка на карту другого через QIWI кошелек с периодичностью раз в месяц. Баланс кошелька всегда нулевой. В июне завел виртуальную QIWI Visa Card для всяких интернет-подписок, требующих реквизиты карты (например, были планы попользоваться триальным месяцем на Netflix'е). Реквизиты абсолютно нигде не светил, просто не было времени. И вот в августе ночью пришла смс-ка, согласно которой моей картой (вернее, ее реквизитами) пытались расплатиться на plantoeat.com. Сумма была небольшая — 0.5 $, транзакция не прошла, потому что баланс карты я даже еще не трогал.
Саппорт QIWI отписался, что если у меня есть претензии, то мне стоит пойти с заявлением в полицию. Я так пораскинул мыслями, и решил просто никогда не пользоваться qiwi'шными картами (ни виртуальными, ни реальными — а qiwi visa plastic у меня тоже есть, получена по акции qiwi совместно с habr'ом).
Скорее всего не дождетесь никакой реакции со стороны qiwi.
1,5 года назад там был аккаунт, на котором в тот момент оставалось около 50 рублей. И в один момент аккаунт просто пропал. На запрос в техподдержку по телефону — меня отправили писать письмо. После того, как написал письмо — попал в копию письма, которое шло сотруднику тех.поддержки киви, с просьбой разобраться в ситуации. И все, 1,5 года прошло — ни ответа, ни привета.
После этого я твердо решил не пользоваться подобными сомнительными сервисами, хотя у кого-то вполне приятные впечатления от их работы.
1,5 года назад там был аккаунт, на котором в тот момент оставалось около 50 рублей. И в один момент аккаунт просто пропал. На запрос в техподдержку по телефону — меня отправили писать письмо. После того, как написал письмо — попал в копию письма, которое шло сотруднику тех.поддержки киви, с просьбой разобраться в ситуации. И все, 1,5 года прошло — ни ответа, ни привета.
После этого я твердо решил не пользоваться подобными сомнительными сервисами, хотя у кого-то вполне приятные впечатления от их работы.
Киви — та еще конторка. Положил деньги на счет, ошибся в цифре. 1000 рублей ушло на другой номер, чек есть. Форма обращения на сайте ничего не дала. Звоню в поддержку — мне говорят, что я сам виноват и вообще они ничего возвращать не будут.
У меня пару раз удавалось платеж на другой номер возвращать себе. Причем сработали быстро. За день все решили. Правда это было два года назад. Как сейчас хз.
Возможно есть разница между тем был ли «случайный» номер активен до этого или нет. Скажем кините вы случайно 1000 рублей на мой номер, а потом скажете, что ошиблись — этот перевод на фоне остальных моих входящих особо выделяться не будет. Ну, максимум, новый город, где-то в третьем десятке навскидку.
А никто не заметил что киви последние дни очень медленно открывается, а то и вовсе не работает? Такое чувство что под ддсом.
В связи с этим мошеннические сообщения могут выглядеть как подливание масла в огонь. Ну или недовольные ддосят (маловероятно). Имею кстати много киви кошельков на всех симках, в основном левых (уже пару лет как). Мне почему-то ни разу подобный спам не приходил.
И вообще, что мне больше всего нравится в киви — я могу купить левую симку у метро, зарегать в ней нонейм виртуально визу и использовать ее, принимать платежи и тд. Все на свете. Полная анонимность. Могу даже пластик присобачить и офлайн платить нонейм настоящей визой. И по сути все без комиссии — только вывод денег 2%, оплата — 0%. Учитывая, что имея карту не сбера, частенько приходится снять деньги где-то еще с примерно такой же комиссией — все вообще в рамках нормы.
И еще кстати одна вещь: у киви номер телефона — номер кошелька. Я так понимаю при оплате на сторонних сайтах (выставление счета и прочие взаимодействия) он 100% может обработаться. Не вижу никаких проблем для сторонних ресурсов собирать базу данных номеров киви, а потом сливать их мошенникам. Вот хоть убейте, не очень понимаю логику довольно крупной платежки, которая сливает САМА базы мошенникам, мне кажется у них и без этого все в порядке. В свете нынешнего ддоса и сообщений мошенников, вижу крупную заказную анти-пиар компанию. Да, я люблю теории заговоров и вообще параноик, но что поделать? :)
В связи с этим мошеннические сообщения могут выглядеть как подливание масла в огонь. Ну или недовольные ддосят (маловероятно). Имею кстати много киви кошельков на всех симках, в основном левых (уже пару лет как). Мне почему-то ни разу подобный спам не приходил.
И вообще, что мне больше всего нравится в киви — я могу купить левую симку у метро, зарегать в ней нонейм виртуально визу и использовать ее, принимать платежи и тд. Все на свете. Полная анонимность. Могу даже пластик присобачить и офлайн платить нонейм настоящей визой. И по сути все без комиссии — только вывод денег 2%, оплата — 0%. Учитывая, что имея карту не сбера, частенько приходится снять деньги где-то еще с примерно такой же комиссией — все вообще в рамках нормы.
И еще кстати одна вещь: у киви номер телефона — номер кошелька. Я так понимаю при оплате на сторонних сайтах (выставление счета и прочие взаимодействия) он 100% может обработаться. Не вижу никаких проблем для сторонних ресурсов собирать базу данных номеров киви, а потом сливать их мошенникам. Вот хоть убейте, не очень понимаю логику довольно крупной платежки, которая сливает САМА базы мошенникам, мне кажется у них и без этого все в порядке. В свете нынешнего ддоса и сообщений мошенников, вижу крупную заказную анти-пиар компанию. Да, я люблю теории заговоров и вообще параноик, но что поделать? :)
Мы нашли дыру, через которую утекали данные. Как я и подозревал, взломали агрегатора СМС-рассылок.
Для большей ясности, расскажу подробнее про схему работы рассылок СМС в целом.
Дело в том, что для рассылки СМС, технически и финансово нецелесообразно подключаться напрямую к операторам сотовой связи (в мире их немного больше, чем наших BIG-3). Поддерживать в актуальном состоянии сотни договоров и шлюзов сложно для использования и дорого во владении.
Поэтому, мы пользуемся услугами коммерческих компаний для рассылки наших СМС. Эти компании, в свою очередь, также используют услуги компаний, которые рассылают СМС.
Как раз подобную прокси-компанию и взломали. Сливали таблицу с номерами телефонов и принадлежностью к клиенту (клиент, в данном случае = QIWI), продавали мошенникам, те, в свою очередь, использовали эту базу для обмана.
В общем, что произошло понятно, теперь думаем, что сделать, чтобы от подобных атак защититься в будущем.
Для большей ясности, расскажу подробнее про схему работы рассылок СМС в целом.
Дело в том, что для рассылки СМС, технически и финансово нецелесообразно подключаться напрямую к операторам сотовой связи (в мире их немного больше, чем наших BIG-3). Поддерживать в актуальном состоянии сотни договоров и шлюзов сложно для использования и дорого во владении.
Поэтому, мы пользуемся услугами коммерческих компаний для рассылки наших СМС. Эти компании, в свою очередь, также используют услуги компаний, которые рассылают СМС.
Как раз подобную прокси-компанию и взломали. Сливали таблицу с номерами телефонов и принадлежностью к клиенту (клиент, в данном случае = QIWI), продавали мошенникам, те, в свою очередь, использовали эту базу для обмана.
В общем, что произошло понятно, теперь думаем, что сделать, чтобы от подобных атак защититься в будущем.
Sign up to leave a comment.
Отличный ход, QIWI!