Хочу поделиться с вами историей, которая произошла со мной буквально пару дней назад. Скажу сразу: не знаю, актуальна ли описанная мной проблема для карт других банков. Возможно, проблема глобальная, но лично я столкнулся с этим будучи владельцем карты «Сбера».
В субботу, 17 октября в 23:24 по Москве получил 4 смс с номера 900 о покупках в неком BYEACCENT NKR LLC на суммы 177 и 187 USD. Несмотря, что первым сообщением приходил: ОТКАЗ: Срок действия карты истек или указан неверно, второе сообщение приходило со списанием суммы и деньги с баланса реально списались.
Думаю, вы уже догадались, что покупок этих я не совершал. Поэтому максимально быстро блокирую карту через приложение Сбербанк. Параллельно пытаюсь понять каким образом мошенники завладели данными моей карты. Перебираю в голове все возможные варианты и понимаю, что сам я данных, достаточных для покупки, никому не сообщал, на подозрительных сайтах покупок не делал, карту сохранял только в Apple Pay.
Тут же звоню в Сбербанк, чтобы отменить операцию. Ну или в крайнем случае, если разу отменить нельзя то оформить чарджбек.
Звоню по телефону горячей линии. Общаюсь с роботом... жду пока соединят со специалистом...потом со следующим т.к первый оказался не в состоянии мне помочь... примерно через 20 минут удается поговорить.
Небольшое отступление. Насколько же хамоватая поддержка у Сбербанка... Ощущение, что общаешься не с со "специалистом" банка, а просто с каким то быдлом из подворотни. Ребят, вам звонит клиент и у него проблема. Но вместо того, чтобы попытаться как-то помочь, тебе сходу начинают хамить и убеждать, что ты сам дурак и сам во всем виноват.
Оператор №2. Выдержки из диалога ниже, но тон и пренебрежение с которым все это произносилось невозможно передать.
— Вы передавали данные о карте третьим лицам?
— Нет, не передавал
— Тогда, как кто то мог совершить покупку с помощью вашей карты?
— Откуда я знаю как, видимо украли где-то. Вы можете отменить транзакцию?
— Нет, не можем. Потому, что вы сами передали данные или совершили эту покупку.
— Я же говорю, что не передавал никому данные и точно сам ничего не покупал. Почему мне не пришло смс с кодом подтверждения?
— Мы ничего не можем сделать, пишите заявление в полицию
— У вас же на сайте написано про чарджбек
— Нет, у нас ничего такого не написано. Мы не отменяем такие транзакции, потому что вы сами ее сделали, либо передали кому-то данные
— Я же уже 10 раз сказал, что данные никому не передавал и транзакции эти не подтверждаю, даже не знаю, на каком сайте они совершены
— Ничего не можем сделать, пишите заявление в органы
— Т. е вам не показалось подозрительным, 2 покупки сделаные ночью, в США от клиента, находящегося в Москве с неправильно введенным сроком действия карты, настолько что вы даже смс не запросили?
— Нет, не показались. Да срок был введен не верно, но потом верно и был введен CVC код(тут он нагло врет, позже выяснится, что срок и CVC были введены не верные, однако транзакции банк пропустил). Ничем не можем помочь, пишите заявление в органы.
— Тогда почему у вас на сайте написано, что транзакцию можно отменить по заявлению?
— На нашем сайте? Нет, на нашем сайте ничего такого не написано, вы придумываете. и так по кругу
В какой то момент я уже почти смирился и тут вдруг у меня вырвалось: "Соедините с руководством".
— Крайне недовольным голосом: "Вы будете ждать 10 минут?"
— Да, буду
Вот, кстати, что написано на сайте Сбера по этому поводу
А, вот, что пишут на сайте МВД с отсылкой на 161-ФЗ "О национальной платежной системе"
Т. е. сотрудник Сбербанка мне нагло врал, утверждая, что никаких подобных процедур у них не существует. И пытался всячески обвинить меня самого в случившемся и убедить, что это я сам передал кому то данные.
Разговор с руководителем. Тут мне повезло, руководитель оказался сильно адекватнее и вежливее предыдущих товарищей. Я кратко объяснил ситуацию, после чего он стал оформлять заявление на чарджбек, но предупредил что ответ мне дадут по нему только 3 ноября, а сама процедура возврата может занять до 120 дней и даже больше. К тому же само заявление не означает, что деньги в принципе вернут т. к. решение будет принимать банк на той стороне. На вопрос про статистку, ответил примерно 50 на 50 возвратов и отказов.
На вопрос, почему нельзя просто отменить транзакцию, пока она в обработке. Ответил: "если я сейчас отменю транзакцию, то магазин пришлет запрос и нам все равно придется ее провести. Но тогда мы не просто спишем с вас эту сумму, но еще и начислим вам на нее проценты.
Спустя 40 минут телефонного общения, заявление на чарджбек подать у меня все-таки получилось: Ваше обращение №201017-0211-878000 от 17.10.2020 принято в работу. Срок рассмотрения до 03.11.2020 включительно, ответ будет предоставлен по SMS. Проверить статус обращения можно на сайте в разделе «Обратная связь». Сбербанк
Как я понял, весь цирк с предыдущим быдло-товарищем, рассчитан на то, чтобы отсеять большую часть людей и только самые упорные смогут добраться до подачи заявления. Банк не заинтересован в подобных заявлениях т.к. они понижают его рейтинг надежности в глазах платежной системы, поэтому всеми способами пытается их не допустить. Ну а проблемы клиентов их мало волнуют.
Say bye accent. После разговора с банком, решил загуглить информацию о получателе, которая была указана в смс (BYEACCENT NKR LLC). Меньше всего я надеялся наткнуться на реальный магазин, т. к. в тот момент на 100% был убежден, что это некий мошеннический ресурс для вывода денег. Скорее хотел найти истории таких же бедолаг, чтобы найти подсказки и понять каким же образом все-таки мошенники завладели моими банковскими данными. Но гугл сразу же выдал этот сайт:
Чуть проскроллив, я узнал о некой Лоле(Ольга Климентьева) из Камеди, которая уехала в Лос-Анджелес и запустила там школу по изучению английского языка. Цены на некоторые курсы совпадали с суммами списаний 177$ и 187$.
При этом сам сайт не выглядел мошенническим(ну или кто-то очень сильно постарался). А идея украсть данные с карты, чтобы оплатить себе онлайн курсы, выглядела очень тупой. Поэтому написал им в Фейсбук.
Скрины переписки ниже:
После короткого диалога, деньги мне обещали вернуть, сославшись на некое "недоразумение". Но сам диалог, мне показался немного странным. Сложилось ощущение, что мне что-то не договаривают и они точно знаю человека, который расплачивался моей картой, а вероятнее всего это даже их сотрудник. Поэтому я решил немного их припугнуть, чтобы узнать больше деталей и как оказалось не зря.
Выяснилось, что им написал некий "программист", который якобы нашел уязвимости на сайте. А именно, что можно ввести любые выдуманные данные банковской карты и получить доступ к курсам на сайте. В тот момент, этот чувак еще не понимал, что у кого-то деньги реально списываются, а думал, что сайт пропускает без оплаты. Скрины его объяснения мне и их переписки между собой ниже:
Из всех данных, что ввел этот товарищ при оплате, реальным был только номер моей банковской карты! Срок действия и CVC не совпадали с моими. Однако Сбербанк спокойно дважды пропустил такую транзакцию. Удивительно, да?
При этом, однажды Сбербанк заблокировал перевод приятелю на 1500 рублей, посчитав его подозрительным, а не так давно заблокировал возможность расплатиться за ужин в ресторане(позже оператор, так и не смог внятно объяснить причину блокировки этой транзакции). Но оплаты почти на 30000 рублей, ночью, с неверными данными карты, Сберу подозрительными почему то не кажутся.
Итог. Деньги, мне уже вернули обратно, но из-за конвертаций валют я потерял почти 2000 рублей. Компенсируют их или нет, пусть будет на совести Лолы. Сама она почему-то считает, что никакой ее вины в сложившейся ситуации нет и сваливает все на "программиста". Хотя на 90% это именно ее вина. Ведь она запустила сервис, через который проходят персональные и банковские данные людей, но не удосужилась обеспечить даже минимальный уровень безопасности.
Фактически любой, может зайти на ее сайт и используя только лишь номер карты человека, создать ему лишних проблем. В моем случае помимо денег это: испорченные выходные, заблокированы все карты Сбера(после моего сообщения их робот до кучи решил заблокировать и остальные мои карты), предстоящие походы в отделение Сбера и перевыпуск карт.
Самое главное. Согласно все тому же 161ФЗ, банк обязан обеспечивать безопасность платежей. Однако как мы видим в данном случае, Сбербанку глубоко положить на безопасность его клиентов. Да, ведь они теперь "больше чем банк" и у них сейчас более серьезные заботы, чем кража денег со счетов клиентов. Логотипчик там радужный нарисовать надо, Боярского пригласить.
Внимание! Достаточно просто знать номер чужой банковской карты и можно спокойно расплачиваться ей в магазинах, если там подключен Stripe.
Да, насколько знаю, в России платежная система Stripe запрещена, но ведь никто не запрещает расплачиваться российским картами на зарубежных сайтах! По сути злоумышленникам, достаточно зарегистрировать LLC в США, создать фейковый интернет магазин, подключить Stripe и дальше просто списывать деньги с чужих карт, через покупки в нем.
Думаю, не нужно объяснять насколько легко в России получить номер банковской карты. Он повсеместно используется для переводов. Достаточно пройтись по блогерам в инсте, админам телеграм каналов или даже объявлениям Авито и каждый второй скинет для оплаты номер своей карты. Да сейчас есть СБП, но даже при его наличии, отправлять номер телефона малознакомому человеку мало кто хочет, а вот с номером карты ничего плохого вроде и не сделать. Именно так я и думал, до всей этой истории:)
Небольшое дополнение. Из Сбера позвонили примерно через час после публикации, "служба заботы о клиентах". Обещали провести расследование и даже дали личный номер специалиста который будет этим заниматься. Не особо верю, что там будет что-то путное. Но посмотрим.
Лола, съехала с темы. Потерянные мной деньги(не знаю комиссия это системы или комиссия за конвертацию валют) возмещать отказалась. Посыл, я не при делах, виноват все тот парень "программист" с ним и разбирайся. Позиция так себе, на мой взгляд. Учитывая, что из-за ее сайта пострадал посторонний человек, а сумма там в принципе копеечная. Дороже для репутации выйдет.
Отвечу на вопрос, почему я считаю что Лола тоже виновата в этой ситуации
1) Я не верю в историю, что какой то левый чел вдруг стал тестировать ее сайт и вдруг написал в инстаграм. В комментариях правильно заметили, что тестер из интернета, не стал бы так настойчиво выяснять прошел ли платеж, он бы просто написал, что смог получить доступ введя левые данные.
Скорее всего она наняла человека, для каких то задач по сайту. Т. е по факту это ее сотрудник. И это видно даже по скринам их диалога, слишком они по свойски общаются.
И по началу Лола активно его выгораживала, утверждая что там не было умысла. Откуда ей знать, если она с ним не знакома?
2) Лола сознательно установила у себя Страйп с минимальными настройками безопасности. Да, она не думала, что могут использовать таким образом, ей просто хотелось легче стричь деньги с потенциальных клиентов.
3) После этой ситуации она абсолютно ничего не сделала, чтобы не допустить возникновения подобного снова. Мне по несколько раз в день приходят уведомления, что на ее сайте пытаются совершить покупки с моей заблокированной карты. Они продолжают что-то там тестировать. Может ей кажется, что это весело, но мне совсем так не кажется.
Вина Сбера том, что он не обеспечивает должную безопасность своим клиентам, в его хамском отношении, в нежелании помочь.
НО и Лола виновата в этой ситуации, это ЕЕ сайт и действия ЕЕ сотрудника привели к ее возникновению. Она могла бы хотя бы попытаться сделать хоть что-то чтобы компенсировать мои потери. А ее позиция - я сделала возврат, дальше не моя забота, иди на х...
Кстати, горе-хакер пропал, перестал отвечать после нескольких сообщений. После чего сменил у себя в фб имя и удалил все данные. Понятно, что ничего он не компенсирует. Он и написал, только после того кака я сказал Лоле про заявление, чтобы отговорить меня его писать.
Дружище, вы передёргиваете, причём во всём. Вы тут привели как бы 100% аргументы в пользу вашего довода и теперь вы как бы правы. А вот вам для примера мои контраргументы, как вам?
1. Вы не верите и это ваше право и личная позиция ,но это исключительный ИМХО. По тональности статьи и комментариями я делаю вывод что вы человек дотошный, скурпулёзный, не склонный к излишним эмоциональным поступкам. Возможно вам тяжело поверить в то, что в мире подавляющее большинство людей нормальные, не склонные к преступлениям, живущие в понимании что такое хорошо и что такое плохо. Но это лишь картина мира в призме вашего мышления. "Настойчиво", это спросил 1 раз и потом переспросил? Ну такое... Что же касается стиля общения "по-свойски", так вы просто зайдите в её инстаграм. Посмотрите посты 1-2-3 летней давности. Очень легко понять что она лёгкий, весёлый человек с чувством юмора, а такие люди так общаются со ВСЕМИ, понимаю что это будет трудно принять, но в мире много разных людей.
2. Тут даже комментировать сложно, но я таки возьмусь. "Лола сознательно" ...стоп стоп. На основании чего такие выводы? Тут вы пытаетесь направить мнение аудитории по вашему руслу, но никакой аргументации. ВЫ не можете знать "сознательно" ли это было, опять таки это ваши "ощущения", не стоит их называть фактами, а тем более делать на их основании выводы.
И второй момент, к слову. Мне бы и в голову не пришло проверять какие-то штуки с оплатой на сайте, ведь я для этого нанимаю компанию-посредника, которая отвечает за это направление и берет свою комиссию, зачем мне это? У владельца сайта своя зона ответственности, у эквайера своя. А насчет легкости "стричь" как вы выражаетесь, так это любому, кто хоть как-то с е-коммерс связан понятно, что чем меньше шагов и чем проще потратить деньги на вашем сайте, тем выше конверсия в продажу. Извините, не вижу криминала.
3. Здесь посложнее, но я попробую. Возможно я неверно вас понял, поправьте если так. Вы утверждаете, что после всего этого были повторные попытки списания средств с вашей карты? Ок, но почему вы считаете , что эти попытки происходят именно на ЕЕ сайте? Есть пруфы?
И что по-вашему можно сделать в данной ситуации? Сменить эквайера или заделать дыру в сбербанке? Я погуглил про Страйп, известная и популярная в США платформа, смысл менять? Тут надо разобраться с ними, как такое возможно, что ниже в комментах она и сделал, на что получен довольно ответ "проблема на стороне банка выпустившего карту и пропустившего операцию".В мою картину мира вполне укладывается.
И вы опять передергиваете насчет "действия ЕЕ сотрудника", вы не у ведущих гос. каналов учились методом манипуляций? Сначала высказываем ваши предположения "скорее всего она наняла человека, для каких то задач по сайту. Т. е по факту это ее сотрудник ", а затем на уже повторяем эти предположения как факты. Ну не красиво как-то совсем.
Ну и последнее, парня-"программиста" мне лично легко понять. Если в здесь, в публичном поле общаетесь своеобразно, то в личным наверняка позволяли себе больше. Он понял, что вы человек сложный в коммуникации и проще слиться, так как вероятность нормального диалога с вами стремится к нулю. Единственное , что тут стоило ему сделать - это конечно вернуть те самые несчастные 2000 рублей вам, всё-такие это его инициатива , а вы не должны были нести убытки из-за излишней рьяности.
Я конечно сочувствую вам в этой ситуации, деньги не должны пропадать с счетов владельца но они к вам вернулись и без особых проблем. Возместить комиссию тот "программист" я считаю был должен, но это уже на его совести. С чем не согласен, так это с вашими попытками обвинить Лёлю и поисками теорий заговора, их при желании можно напридумывать и гораздо больше. Тут вон какие-то товарищи вообще утверждают, что всё это реклама курсов. Глубина скептицизма и размер шапочки из фольги у каждого свой. Вам желаю больше позитива. верить в хорошее и пусть эти 2000 рублей будут самой большой потерей в вашей жизни.