Хочу поделиться с вами историей, которая произошла со мной буквально пару дней назад. Скажу сразу: не знаю, актуальна ли описанная мной проблема для карт других банков. Возможно, проблема глобальная, но лично я столкнулся с этим будучи владельцем карты «Сбера».
В субботу, 17 октября в 23:24 по Москве получил 4 смс с номера 900 о покупках в неком BYEACCENT NKR LLC на суммы 177 и 187 USD. Несмотря, что первым сообщением приходил: ОТКАЗ: Срок действия карты истек или указан неверно, второе сообщение приходило со списанием суммы и деньги с баланса реально списались.
Думаю, вы уже догадались, что покупок этих я не совершал. Поэтому максимально быстро блокирую карту через приложение Сбербанк. Параллельно пытаюсь понять каким образом мошенники завладели данными моей карты. Перебираю в голове все возможные варианты и понимаю, что сам я данных, достаточных для покупки, никому не сообщал, на подозрительных сайтах покупок не делал, карту сохранял только в Apple Pay.
Тут же звоню в Сбербанк, чтобы отменить операцию. Ну или в крайнем случае, если разу отменить нельзя то оформить чарджбек.
Звоню по телефону горячей линии. Общаюсь с роботом... жду пока соединят со специалистом...потом со следующим т.к первый оказался не в состоянии мне помочь... примерно через 20 минут удается поговорить.
Небольшое отступление. Насколько же хамоватая поддержка у Сбербанка... Ощущение, что общаешься не с со "специалистом" банка, а просто с каким то быдлом из подворотни. Ребят, вам звонит клиент и у него проблема. Но вместо того, чтобы попытаться как-то помочь, тебе сходу начинают хамить и убеждать, что ты сам дурак и сам во всем виноват.
Оператор №2. Выдержки из диалога ниже, но тон и пренебрежение с которым все это произносилось невозможно передать.
— Вы передавали данные о карте третьим лицам?
— Нет, не передавал
— Тогда, как кто то мог совершить покупку с помощью вашей карты?
— Откуда я знаю как, видимо украли где-то. Вы можете отменить транзакцию?
— Нет, не можем. Потому, что вы сами передали данные или совершили эту покупку.
— Я же говорю, что не передавал никому данные и точно сам ничего не покупал. Почему мне не пришло смс с кодом подтверждения?
— Мы ничего не можем сделать, пишите заявление в полицию
— У вас же на сайте написано про чарджбек
— Нет, у нас ничего такого не написано. Мы не отменяем такие транзакции, потому что вы сами ее сделали, либо передали кому-то данные
— Я же уже 10 раз сказал, что данные никому не передавал и транзакции эти не подтверждаю, даже не знаю, на каком сайте они совершены
— Ничего не можем сделать, пишите заявление в органы
— Т. е вам не показалось подозрительным, 2 покупки сделаные ночью, в США от клиента, находящегося в Москве с неправильно введенным сроком действия карты, настолько что вы даже смс не запросили?
— Нет, не показались. Да срок был введен не верно, но потом верно и был введен CVC код(тут он нагло врет, позже выяснится, что срок и CVC были введены не верные, однако транзакции банк пропустил). Ничем не можем помочь, пишите заявление в органы.
— Тогда почему у вас на сайте написано, что транзакцию можно отменить по заявлению?
— На нашем сайте? Нет, на нашем сайте ничего такого не написано, вы придумываете. и так по кругу
В какой то момент я уже почти смирился и тут вдруг у меня вырвалось: "Соедините с руководством".
— Крайне недовольным голосом: "Вы будете ждать 10 минут?"
— Да, буду
Вот, кстати, что написано на сайте Сбера по этому поводу
А, вот, что пишут на сайте МВД с отсылкой на 161-ФЗ "О национальной платежной системе"
Т. е. сотрудник Сбербанка мне нагло врал, утверждая, что никаких подобных процедур у них не существует. И пытался всячески обвинить меня самого в случившемся и убедить, что это я сам передал кому то данные.
Разговор с руководителем. Тут мне повезло, руководитель оказался сильно адекватнее и вежливее предыдущих товарищей. Я кратко объяснил ситуацию, после чего он стал оформлять заявление на чарджбек, но предупредил что ответ мне дадут по нему только 3 ноября, а сама процедура возврата может занять до 120 дней и даже больше. К тому же само заявление не означает, что деньги в принципе вернут т. к. решение будет принимать банк на той стороне. На вопрос про статистку, ответил примерно 50 на 50 возвратов и отказов.
На вопрос, почему нельзя просто отменить транзакцию, пока она в обработке. Ответил: "если я сейчас отменю транзакцию, то магазин пришлет запрос и нам все равно придется ее провести. Но тогда мы не просто спишем с вас эту сумму, но еще и начислим вам на нее проценты.
Спустя 40 минут телефонного общения, заявление на чарджбек подать у меня все-таки получилось: Ваше обращение №201017-0211-878000 от 17.10.2020 принято в работу. Срок рассмотрения до 03.11.2020 включительно, ответ будет предоставлен по SMS. Проверить статус обращения можно на сайте в разделе «Обратная связь». Сбербанк
Как я понял, весь цирк с предыдущим быдло-товарищем, рассчитан на то, чтобы отсеять большую часть людей и только самые упорные смогут добраться до подачи заявления. Банк не заинтересован в подобных заявлениях т.к. они понижают его рейтинг надежности в глазах платежной системы, поэтому всеми способами пытается их не допустить. Ну а проблемы клиентов их мало волнуют.
Say bye accent. После разговора с банком, решил загуглить информацию о получателе, которая была указана в смс (BYEACCENT NKR LLC). Меньше всего я надеялся наткнуться на реальный магазин, т. к. в тот момент на 100% был убежден, что это некий мошеннический ресурс для вывода денег. Скорее хотел найти истории таких же бедолаг, чтобы найти подсказки и понять каким же образом все-таки мошенники завладели моими банковскими данными. Но гугл сразу же выдал этот сайт:
Чуть проскроллив, я узнал о некой Лоле(Ольга Климентьева) из Камеди, которая уехала в Лос-Анджелес и запустила там школу по изучению английского языка. Цены на некоторые курсы совпадали с суммами списаний 177$ и 187$.
При этом сам сайт не выглядел мошенническим(ну или кто-то очень сильно постарался). А идея украсть данные с карты, чтобы оплатить себе онлайн курсы, выглядела очень тупой. Поэтому написал им в Фейсбук.
Скрины переписки ниже:
После короткого диалога, деньги мне обещали вернуть, сославшись на некое "недоразумение". Но сам диалог, мне показался немного странным. Сложилось ощущение, что мне что-то не договаривают и они точно знаю человека, который расплачивался моей картой, а вероятнее всего это даже их сотрудник. Поэтому я решил немного их припугнуть, чтобы узнать больше деталей и как оказалось не зря.
Выяснилось, что им написал некий "программист", который якобы нашел уязвимости на сайте. А именно, что можно ввести любые выдуманные данные банковской карты и получить доступ к курсам на сайте. В тот момент, этот чувак еще не понимал, что у кого-то деньги реально списываются, а думал, что сайт пропускает без оплаты. Скрины его объяснения мне и их переписки между собой ниже:
Из всех данных, что ввел этот товарищ при оплате, реальным был только номер моей банковской карты! Срок действия и CVC не совпадали с моими. Однако Сбербанк спокойно дважды пропустил такую транзакцию. Удивительно, да?
При этом, однажды Сбербанк заблокировал перевод приятелю на 1500 рублей, посчитав его подозрительным, а не так давно заблокировал возможность расплатиться за ужин в ресторане(позже оператор, так и не смог внятно объяснить причину блокировки этой транзакции). Но оплаты почти на 30000 рублей, ночью, с неверными данными карты, Сберу подозрительными почему то не кажутся.
Итог. Деньги, мне уже вернули обратно, но из-за конвертаций валют я потерял почти 2000 рублей. Компенсируют их или нет, пусть будет на совести Лолы. Сама она почему-то считает, что никакой ее вины в сложившейся ситуации нет и сваливает все на "программиста". Хотя на 90% это именно ее вина. Ведь она запустила сервис, через который проходят персональные и банковские данные людей, но не удосужилась обеспечить даже минимальный уровень безопасности.
Фактически любой, может зайти на ее сайт и используя только лишь номер карты человека, создать ему лишних проблем. В моем случае помимо денег это: испорченные выходные, заблокированы все карты Сбера(после моего сообщения их робот до кучи решил заблокировать и остальные мои карты), предстоящие походы в отделение Сбера и перевыпуск карт.
Самое главное. Согласно все тому же 161ФЗ, банк обязан обеспечивать безопасность платежей. Однако как мы видим в данном случае, Сбербанку глубоко положить на безопасность его клиентов. Да, ведь они теперь "больше чем банк" и у них сейчас более серьезные заботы, чем кража денег со счетов клиентов. Логотипчик там радужный нарисовать надо, Боярского пригласить.
Внимание! Достаточно просто знать номер чужой банковской карты и можно спокойно расплачиваться ей в магазинах, если там подключен Stripe.
Да, насколько знаю, в России платежная система Stripe запрещена, но ведь никто не запрещает расплачиваться российским картами на зарубежных сайтах! По сути злоумышленникам, достаточно зарегистрировать LLC в США, создать фейковый интернет магазин, подключить Stripe и дальше просто списывать деньги с чужих карт, через покупки в нем.
Думаю, не нужно объяснять насколько легко в России получить номер банковской карты. Он повсеместно используется для переводов. Достаточно пройтись по блогерам в инсте, админам телеграм каналов или даже объявлениям Авито и каждый второй скинет для оплаты номер своей карты. Да сейчас есть СБП, но даже при его наличии, отправлять номер телефона малознакомому человеку мало кто хочет, а вот с номером карты ничего плохого вроде и не сделать. Именно так я и думал, до всей этой истории:)
Небольшое дополнение. Из Сбера позвонили примерно через час после публикации, "служба заботы о клиентах". Обещали провести расследование и даже дали личный номер специалиста который будет этим заниматься. Не особо верю, что там будет что-то путное. Но посмотрим.
Лола, съехала с темы. Потерянные мной деньги(не знаю комиссия это системы или комиссия за конвертацию валют) возмещать отказалась. Посыл, я не при делах, виноват все тот парень "программист" с ним и разбирайся. Позиция так себе, на мой взгляд. Учитывая, что из-за ее сайта пострадал посторонний человек, а сумма там в принципе копеечная. Дороже для репутации выйдет.
Всем добрый вечер, друзья, Лёля BYEACCENT на связи ✌️!
Ох, давно хотела попрактиковаться в написании статей. Вот Вселенная и подкинула возможность :) Благодарю 🙏. Увидела эту статью сегодня, и, вуаля, вступаю в открытый диалог.
Подготовила аж 4 ответа (старалась для любителей лонгридов 😀).
Вот предлагаемое меню ответов на сегодня:
1. Короткий. Для людей с юмором.
2. Длинный. Для людей технических, любящих подробности.
3. Душевный. Лично для Саркиса :) (которому мы вежливо ответили на каждое его сообщение, но он почему-то решил, что мы съезжаем с темы).
4. Философский. Для парня, который заварил эту кашу.
(занавес открывается, погнали)
Ответ “Первый”.
Лёля на связи. Всем добра!
Все чарджи сразу вернули, как только пришёл запрос. Как говорится, “бабе - цветы, детям - мороженное”.
К людям, это затеявшим, не имеем никакого отношения.
Со Stripe всё перепроверили. С нашей стороны, как была, так и осталась - надёжная верификация. Stripe - одна из самых надёжных платёжных систем в мире. Ей пользуются такие компании, как Google, Amazon, Zoom, Lyft, Slack, Instacart, Shopify и т.п. За время нашей работы с ними, у нас не было оснований им не доверять.
Знаю, что всегда будут такие Саркисы, которые любят громко покричать. По делу или нет.
По мне, главное чтобы они кричали без акцента :) На английском 🙌😂 Так, что кто хочет научиться хорошему произношению и позитиву - Welcome to BYEACCENT 😎 https://www.instagram.com/byeaccent ✌️ Всем, дочитавшим пост до конца - ссылка на бесплатный урок. Ура!
(аплодисменты, занавес, смена декораций)
Ответ “Второй”.
Привет, друзья!
Всем доброго дня.
После того, как к нам пришёл запрос о ситуации, я отправила полный refund запрошенных платежей.
Далее я обратилась к нашей платёжной системе Stripe, дабы понять, как это произошло, и как подобную ситуацию предотвратить в будущем. Кусок диалога:
(05:49:16 PM) Lola: My question, is it possible for the payment to go through if the cvc code and the expiration date are wrong?
(05:50:38 PM) Support: Got it Lola, I understand your doubt
Let me tell you that Stripe has a software called Radar, and this tool based on Machine learning doesn't accept payments with cvc wrong
(05:51:33 PM) Support: Of course, without the correct expiration, the system doesn't accept the charge.
После чего я описала произошедшую ситуацию, что подобный платёж с неправильным cvc всё-таки прошёл, и запросила расследование этой ситуации.
Из отчёта Stripe:
“That being said, the rule in Radar to block charges based on failed postal code verification only blocks charges when the bank says they failed.
The way the checks work are this, when the customer creates the charge they enter the information required on your checkout form. This information is then passed to Stripe through your integration. When we receive the postal code, billing address, and CVC we send it to the bank. If the bank offers any of the three checks then they will send back a 'pass' or 'fail'. If the bank doesn't do the checks, or there is an issue then you could get back 'unavailable’.”
То есть данная операция прошла потому, что её не отклонил банк используемой карты.
Все платежи, проходящие на нашем сайте проходят верификацию. Так, к примеру, я в отчётах, вижу отклонённые платежи “high risk fraudulent”, когда такое случается. В том числе платежи, которые отклонены по причине неверного cvc или zip code. Это нормальная практика. В листе данной операции не было, её одобрил банк.
По поводу молодого человека Х, представившегося программистом и сделавшего эти операции.
Мы не имеем к нему никакого отношения.
Откуда он взялся?
В Instagram аккаунт нашего проекта @byeaccent и мне в личный аккаунт @lolanekrasov (что я увидела позднее), пришли сообщения от @karachev.oo (все скриншоты с этим молодым человеком под постом):
“Лола, добрый день. Работаю программистом нашёл несколько багов на твоём сайте из-за которых можно получить любой курс бесплатно советовал пофиксить их перед запуском курса про визы #баги на сайте прочти меня”.
Ах, да, а я говорила вам, что мы запустили новый курс? :) Давайте поподробнее расскажу. Шутка. 😀😂Реклама позже. Возвращаясь к нашей истории. Мы правда запускаем новый продукт, и сообщение такого рода, конечно же, обратило внимание.
После диалога с нашим админом (я мирно спала в другом часовом поясе, потому как проект у нас - международный 😴), выяснилось, что этот молодой человек Х воспользовался чужой картой для совершения платежа. А когда увидел, что получил доступ к купленным курсам, написал нам в Instagram об ошибке сайта, не понимая, что платежи прошли (смотри скриншоты).
Молодой парень, явно сделал глупость/правонарушение, воспользовавшись чужой информацией. Как он её получил? Процитирую его сообщение, опять же из скриншотов “Мы недавно рекламу в одном паблике вк покупали, нам скинули номер карты.” Тут, кстати, Саркис может вступить и прорекламировать свой паблик, why not? 😉
(продолжение статьи в комментариях)
Так вот, молодой человек сам Х, лично, сразу же после чарджей, написал нам о ситуации, поэтому у нас не было оснований полагать, что это какая-то трёхуровневая мошенническая схема.
Мы всегда находимся в дружеском диалоге со своими подписчиками, поэтому факт того, что кто-то захотел сообщить нам о какой-то ошибке на сайте или опечатке - не вызвал у нас какого-то особенного удивления. Кстати, о нашем проекте BYEACCENT (здесь в тему, чес-слово 🤗) - это комедийный языковой блог об американском разговорном языке и сленге. Он известен своим позитивом и добрым отношением к миру. Наши подписчики это знают, мы не раз помогали людям, которые обращались к нам с просьбой о помощи (будь-то сбор средств или что-то подобное). Поэтому, когда так же помогают нам - это нас не удивляет, для нас это нормальный ход вещей.
За всё время существования проекта у нас не возникали ситуации с жалобами или чем-то подобным. Даже интересно, откуда Вселенная послала нам такого Саркиса? 🤔Но об этом позже. С ситуацией подобного рода, я сталкиваюсь впервые (поздравьте меня с медиа-почином), поэтому и отвечаю на неё лично. Саркис, видите какие вам почести, а вы сердитесь :)
Потому, после выяснения всей этой ситуации и возврата денег, мы дали молодому человеку Х контакт Саркиса, у нас имеющийся (на тот момент Саркис написал нам в Facebook), чтобы молодой человек лично и по-человечески извинился за свои действия, и объяснил сложившуюся по его вине ситуацию, взяв ответственность (скриншоты вам в помощь).
В защиту этого парня Х (о нём в ответе 4) - он действительно, сразу связался с Саркисом, и объяснил ему ситуацию, предложив восполнить его утраты.
Я лично верю, что некоторые моменты в жизни, можно просто решить по-человечески, не устраивая скандала.
Я думаю меня поймут те, кто работает с людьми.
Но меня не понял Саркис.
(занавес, смена декораций)
Ответ “Третий”.
Саркис, милый мой, дорогой!
Это всё никак происки злого Цукерберга: я вам на каждое сообщение ответила, вежливо, по делу, но диалог вам “показался немного странным”. Что же мне, горемычной, поделать?
А мне вот показалось, что вы тоже немного не в себе были…Вы выспались? Вы поели? А то всякое же бывает. Короновирус злобствует. Аккуратнее!
А у вас вот “cложилось ощущение, что вам что-то не договаривают”.
Уж простите, ежели, я потратила всего лишь день на разбирательство с этой ситуацией лично, а ночью спать легла. Это не я - это природа во всём виновата! Она тоже зловещая, всё у нас отнять что-то хочет. Украсть! Мне вообще кажется, что солнце в сговоре с луной! 🌝🌛 Какая халатность творца. Вам, наверно, тоже покажется, что это “на 90% именно моя вина”. Ведь я тоже живу на этой планете 🌏.
…
Я, знаете, до сих пор ведь напугана, вы ведь меня “припугнули”. Вот капли пью, думаю, подавать ли на вас в суд за запугивание и причинение морального ущерба, порчу репутации? Надо бы, но да Бог с вами.
Я вас прощаю, Саркис.
Мне кажется, вам тоже хотелось попрактиковаться в написании статей. Поэтому, поговорив со мной в воскресенье, проигнорировав извинения молодого человека Х, заварившего кашу, не дождавшись ответа от Stripe, и не разобравшись до конца в этой ситуации, вы сели творить, и уже в понедельник выдали целую статью.
О, творчество - это прекрасно! Я понимаю.
Главное, чтобы профессионально и экологично 🌱.
Как это?
Это когда вы опираетесь на факты, а не на “ощущения”, прежде чем публично кого-то в чём-то обвинять.
Ну, да, Бог с вами.
Кстати, молодой человек Х, который нас с вами так вот познакомил, сводник-негодник, насколько мне известно, лично перед вами извинился и предложил восполнить утраты, но вы почему-то этот момент упустили.
Ведь тогда бы не было утрат! И статья не имела бы веса! А вам же так хотелось статью! В мир! Людям! Это похвально . Ах, милый мой, ну, что же с вами поделаешь! Все мы люди, ничто человеческое нам не чуждо.
Обнимаю вас крепко, дорогой мой.
Хорошего вам творчества!
И добрых статей.
🤗❤️🙌
(аплодисменты, занавес, смена декораций)
(ответ четвёртый, завершающий, ниже)
Ответ “Четвёртый”.
Молодому человеку Х, лично-публично.
Чувак, ну, думать же надо головой! 🧠
Слышал когда-нибудь выражение “Добрыми намерениями вымощена дорога в ад?” или “Нельзя пользоваться чужой финансовой информацией”?
Ок - вторая от меня.
И я не о том, что надо перестать помогать людям или делать добрые дела.
А а о том, что “Нельзя пользоваться чужой финансовой информацией”!
Ты запомни.
Конечно, оставим факт-чек на откуп нашей аудитории, но я верю, что ты никакой не мошенник, и не пытался украсть деньги с карты мистера Саркиса.
Иначе зачем бы сразу нам написал?
Верю, что это правда была глупая ситуация. Я зашла к тебе на Инстаграм страницу. Увидела, что ты - ещё совсем-совсем молодой парень 🧒🏻.
Сделал глупость.
Сразу сообщил об этом.
Но тут уж, чардж - не воробей, вылетит - не поймаешь.
Надо брать ответственность за свои действия.
Кстати, раз аудитория собралась знатная, будет интересно и от тебя словечко услышать, а то вроде как мы с Саркисом - персонажи реальные, а ты - вымышленный 🤗.
Ждём-с.
(аплодисменты, занавес)
Эпилог.
Тем, кто дочитал до конца:
Подумываю вот книгу написать, писать/нет?
:)
И да, как обещала, бесплатный урок дочитавшим 🙌.
Всем добра!
https://www.saybyeaccent.com/free-lesson-opt-in
Мда...
Ага