Да, USB-токен это самый надёжный вариант. Даже если на компе, кейлоггер перехватит пароль, всё равно без токена им не сможет никто воспользоваться. Поэтому, в любом уважающем себя банке, все операции с крупными суммами в интернете, разрешаются только при наличии USB-токена, даже одноразовым паролям по СМС не доверяют - это о чём-то говорит, наверное.
А в Qiwi всё по старинке, безопасность очень низкого уровня, не зависимо от сумм с которыми клиент работает, вот поэтому у них так много краж с кошельков. Они только и знают что блокировать при малейшем подозрении, но только от таких действий, в 90% случаев, страдают добросовестные пользователи, а не мошенники.
По-моему выводы очевидны.

Доброго времени суток, я заметил что начали списываться деньги и я подумал что МТС меня сам опять подписал на платные подписки но по номеру *152# написано что нет, тогда я искал глубже причину и вот нашёл такую вот штуку.

Сообщение
От 5800 08-02-2014 01:17:35

1)07/02 02:20:07;Traffic_Category_908_017.002_G;Доступ к услугам контент-провайдеров. КОНТЕНТ ПО ТРАФИКУ кат. 908;40Кб;цена:1.95р.
2)07/02 01:36:14;Traffic_Category_908_017.002_G;Доступ к услугам контент-провайдеров. КОНТЕНТ ПО ТРАФИКУ кат. 908;100Кб;цена:4.88р.
3)06/02 05:08:56;Traffic_Category_908_017.002_G;Доступ к услугам контент-провайдеров. КОНТЕНТ ПО ТРАФИКУ кат. 908;40Кб;цена:1.95р.

И вспомнил что я заходил на сайт с ПО для игр (Да читами, но не в этом суть) сайт был проверенный пол года пользуюсь, меня перекидывало автоматом на МТС 18 хотелось бы знать это сайт виноват, или МТС меня туда кидала. И такаяже история бывала с сайтом DepositFiles меня и там перекидывало на МТС 18 . И кто нибудь знает будут деньги дальше сниматься?
И почему меня туда перекидывало без спроса, предупреждения, нажатия кнопки, а просто потому что вошёл на сайт и провел 5 секунд и открывается МТС 18 это уже преступление.
Суммы маленькие но всё таки не приятно.

Ещё используемый мошенниками вариант - это делать на "тяжёлые" аккаунты инжект типа: введите ваши паспортные данные и ваши ФИО, потом делать доверенность под них и тащиться к опсосу, получив симку по доверенности быстро сливать кошелёк. Но баланс должен быть от 1кк ... иначе все это не стоит того. И еще, тут паспорт левый надо,не на свой же паспорт доверенность писать..

Ну пока есть пользователи с таким мышлением, за мошенников можно не волноваться, они в ближайшее время явно не останутся без куска хлеба!

А по существу проблемы, хотелось кое-что добавить.
У любого оператора восстановление сим-карты происходит в офисе при предъявлении паспорта владельцем. Однако, некоторые сотрудники офисов идут на встречу своим клиентам и позволяют выполнить восстановление без паспорта. Нужно просто назвать ФИО, паспортные данные владельца и дубликат сим карты у вас в кармане. Сейчас ситуация немного усложнилась (нужно лично идти к представителю оператора), а раньше можно было просто купить “болванку” сим карты и по звонку в абонентскую службу переключить номер на эту болванку. Но, в общем, ситуация не поменялась — для восстановления не нужен владелец, а нужны только его данные.Таким образом можно “угнать” номер телефона у совершенно незнакомого вам человека, просто зная его паспортные данные, достать которые сейчас особой проблемы не составляет. Например, многие слышали про недавнюю утечку у регистратора R01.RU. А ведь регистратор хранит у себя все паспортные данные (включая сканы паспортов) и номера телефонов своих клиентов. Не нужно также забывать про базы данных, которые продают в метро или гуляют по интернету. То есть берем любой номер телефона из такой базы, берем паспортные данные и идем восстанавливать сим карту. Оригинал сим-карты при этом заблокируют, а пока владелец поймет и разберется в чем дело, можно быстро слить все необходимые данные.Этой “уязвимости” подвержены все сервисы, которые используют номер телефона в качестве логина. Например мессенджер Telegram. У нас есть сим карта, вставляем ее в телефон, запускаем мессенджер, вводим номер телефона жертвы и Telegram отправляет нам СМС. Мы успешно получаем СМС, вводим код в Telegram и все старые сообщения подгружаются автоматически. Тот же самый метод сработает, например, для Qiwi кошелька — если на счете были деньги, то их таким же образом можно вывести со счета просто восстановив пароль по номеру телефона.
В опасности находятся не только Телеграмм и Киви кошелек, но и любые другие сервисы, которые используют авторизацию только по номеру телефона. Да, можно банально “отжать телефон” и скачать всю нужную информацию, но такие случае мы рассматривать не будем. В результате, в один прекрасный день, ваш телефон скажет, что он не зарегистрирован в сети оператора, а тем временем, все ваши сообщения, деньги и т. д. будут украдены.Можно сказать, что такой уязвимости подвержена любая система, которая привязана к мобильному телефону. Однако, на мой взгляд, это не так: зная логин, например, в Skype или на Яндексе, определить номер телефона, который привязан к этому логину, условно не реально или очень проблематично (ну кроме тех случаев, когда владелец сам выставил его напоказ). В случае же с Qiwi и Telegram, логином как раз и является номер телефона, поэтому дополнительно выяснять ничего не нужно.
Но есть простой механизм защиты от такой уязвимости: при каждом новом запросе восстановления пароля (в случае Qiwi) или делать HLR запрос. Ответ будет содержать IMSI (International Mobile Subscriber Identity) — номер сим-карты. Если этот номер изменился с момента последнего запроса, то нужно бить тревогу.

По всей видимости ответы специалистов Qiwi для каждого пользователя на этом сайте достаточно оперативны и настолько же однотипны, но, к сожалению, недостаточно оперативно решаются. Видимо просто используются стандартные отмазы большинства коммерческих организаций, старающихся соответствовать общему принципу получения прибыли в нашей стране.

Запомните: выключить-включить телефон и сделать звонок "другу". И телефон снова ваш. Ну, разумеется, если в вашей сотовой компании не работает друг злоумышленника, который лично ваш телефон просто заблокирует на полдня.

Вот-вот. Именно так всё и было и у меня.

Теперь понятно, откуда ноги растут. В этом случае согласен. Я ж не говорю, что "симочный" вариант совершенно невозможен. Если быстренько, то вполне. Кроме этого, счет Илоны был публичным достоянием. И этот момент единственный и ключевой. А на счет симок всё так, как я и описал. У меня какое-то время было 2 симки. Одна родная, вторая - копия. У знакомого имелись "пустые" симки и платка для компа, чтоб такие симки-копии делать. Попросил сделать мне копию, сам не знаю зачем. В конце концов копию выкинул. Так что знаю не понаслышке. С "потерей сети" они разобрались бы в момент, просто выключив и включив телефон. Но они ведь не знали. Я тоже не знал, пока не обзавелся второй симкой.

Вот-вот... Именно так всё и было и у меня.

Судя по описанной ситуации, мошенники не крутятся вокруг QIWI, они уже внутри