Мошенники получили доступ к личному кабинету ВТБ и чудом не вывели деньги

В пятницу моя мама столкнулась с мошенниками, действующими от лица ВТБ, и установки «не сообщать кодов, паролей», оказалось недостаточно.

Вводные данные

  • Счёт в ВТБ, основная сумма на накопительном счёте
  • Мобильное приложение ВТБ Онлайн установленное на iPhone (не рутованый, приложения только из Appstore)

Хроника событий

  • В 16:37 маме начинают звонить мошенники. Звонки были с различных номеров, все они начинались +495, в том числе номер ВТБ Страхование +7(495) 644-44-40, что говорит о том что номера телефонов подделаны
  • Диалог подробно описывать не буду, главные цели мошенников - удержать жертву на линии как можно дольше, и попросить её зайти в личный кабинет в приложении ВТБ Онлайн по их ссылке (об этом ниже). Ошибка #1 - вступать в диалог
  • В 16:49 в мессенджер приходит ссылка формата online.vtb.ru/i/qrauth/..., при нажатии на неё открывается ВТБ Онлайн - всё как говорит "оператор". В ВТБ онлайн после перехода по ссылке появляется окно "Подтвердите вход в интернет-банк. Вы совершаете вход с такого-то устройства, такого-то браузера". Мама перешла по ссылке и подтвердила вход. Ошибка #2 - не прочитать весь текст в этом сообщении
  • 17:06 - мошенники перевели деньги с накопительного счёта на мастер счёт, мама увидела уведомление на телефоне об этой операции (но никакого СМС подтверждения не было!)
  • 17:09 - Из-за операции по выводу денег с вклада стало понятно что дело плохо, поэтому мама поставила мошенников на удержание и позвонила в горячую линию
  • Мошенники попытались перевести деньги с мастер счёта, операция была отменена (либо автоматически, либо благодаря звонку в горячую линию), карта и личный кабинет заблокированы
Хронология вызовов. Все вызовы кроме верхнего - мошенники
Хронология вызовов. Все вызовы кроме верхнего - мошенники

Как это работает

  • Во время разговора, на сайте https://online.vtb.ru/login мошенник генерирует QR код для входа в личный кабинет, из него извлекается ссылка и отправляется жертве в мессенджер
  • Домен ссылки является настоящим и опасений не вызывает - online.vtb.ru/i/qrauth/...
  • Переход по ссылке и подтверждение входа авторизует в личный кабинет тот компьютер, на котором был сгенерирован QR код
Авторизация по QR-коду на <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fonline.vtb.ru%2Flogin&postId=322454" rel="nofollow noreferrer noopener" target="_blank">https://online.vtb.ru/login</a>
Авторизация по QR-коду на https://online.vtb.ru/login
СМС от мошенников со ссылкой на авторизацию
СМС от мошенников со ссылкой на авторизацию

Вопросы к ВТБ

  • Почему операция по переводу денег с накопительного счёта на мастер счёт произошла без СМС подтверждения?
  • При авторизации по QR коду, в ситуации, когда телефон, сканирующий код и ПК, где этот код был показан, имеют разные IP адреса или геопозицию, не стоит ли добавить дополнительную защиту? Например, СМС код
  • Почему в истории авторизаций, авторизация по QR коду не показывает реальный IP адрес зашедшего в личный кабинет?
  • Авторизация по QR открывает новые возможности для мошенников. Предоставьте возможность отключить её в настройках в личном кабинете

Выводы

  • Установки "не сообщать коды и пароли по телефону" недостаточно. Если сотрудник банка что-то от вас хочет, необходимо не вступать в диалог, сбрасывать и перезванивать самостоятельно
  • Новые способы авторизации в личный кабинет несут в себе новые опасности

Будьте аккуратны. Для себя сделал вывод что пользоваться ВТБ как основным банком, пока система с QR остаётся в текущем виде - излишне рискованно, лучше вывести деньги в другой банк.

Хотелось бы услышать комментарии от представителей ВТБ. Я не первый кто выносит эту тему на обсуждение:

8282
109 комментариев

Я конечно не сотрудник ВТБ, но операция прошла без подтверждения, потому что между своими счетами.

Но тут дело не в ВТБ, а в людях, если там спрашивают, хотите ли вы авторизовать какое то левое устройство в своем интернет банке и человек самостоятельно жмет ДА, то что может сделать банк?

66

По ссылке (https://vc.ru/claim/221562-moshenniki-deystvuyushchie-ot-imeni-banka-vtb-vyveli-s-kreditnogo-scheta-dengi-ne-sprashivaya-ni-odnogo-koda) пишут что и перевод с мастер счёта в на счета мошенников был произведён без подтверждения. Боюсь, что и в нашем случае было бы тоже самое, если бы операция не была отменена.

На тему того что человек самостоятельно жмёт ДА - всё так, но это не значит что UI/UX приложения и безопасность авторизации QR идеальны - я считаю что можно было сделать безопаснее. И хотелось бы иметь возможность отключить этот способ авторизации.

7

У меня (втб) все операции между своими счетами подтверждаются смс кодом

1

Нанять Венцеслава Кржыжановского. Он вызовет дух дзержинского, который привлечёт к ответственности мошенников.

В данном случае человек сам своими руками предоставил доступ к личному кабинету левым людям. Ни один банк на свете не сможет предотвратить потерю денег, если люди САМИ их отдают мошенникам.

Нужно тогда вообще всё отключить и выдавать деньги только в отделении, по отпечаткам, анализу роговицы и мочи, расшифровке ДНК и предварительной получасовой консультацией со специалистом, на тему того, «не просил ли кто вас снять деньги»? Плюс, обязательный двухчасовой просмотр документального фильма о методах мощенничества. И ведь даже в таком случае найдутся уникумы которые всё снимут и отдадут мошенникам! ))

42

Это нам с вами легко так говорить - но представьте что это случится с вашей мамой. Ей грозно скажут, что у неё списывают деньги прямо сейчас, что нужно срочно подтвердить свое устройство, скинут ссылку на авторизацию по qr коду. Думаете она поймёт что там написано и какое устройство она подтверждает? В панике то.
Так что да, тут хорошо бы, чтобы у банков были доп. опции позволяющие усложнить операции. Пусть в течении 24 часов после авторизации нового устройства например - каждая операция с него требует подтверждения на втором факторе, или ещё лучше - подтверждения перезвоном в банк.
Будет бы намного сложнее убедить бабушку позвонить со своего номера в банк и сказать - подтверждаю перевод всех моих денег на счёт такого-то, ведь она и там может сказать что ей попросили это сделать по звонку из банка или хотя бы задуматься что говорит и вся афера раскроется.

19

Пусть у людей будет выбор, пользоваться или нет всеми этими куар-биометриями и кредитами на 5 млн по коду из смс.
Жизни диджитал-староверов имеют значение!

3