Хронология событий
19 апреля
19 апреля с моего счета украли сумму 4400 рублей.
В тот же день я обратилась в банк г.Красногорск отделение ул.Ленина 38 б за разъяснением ситуации и требованием обезопасить мои счета и личный кабинет.
Тем более, что в нем отражаются данные карты, привязанные к счету мужа, который является премиальным клиентом альфа-банка.
Было составлено обращение № A2104191334.
Нас обслуживала сотрудник Наталья Вячеславовна Каретникова.
В тот же день карту заблокировали и отправили на перевыпуск, сказали, что доступ к личному кабинету для мошенников невозможен, так как вход в личный кабинет по смс коду действует 5 минут.
Меня заверили, что все необходимые действия по защите моих данных и денежных средств предприняты,что оказалось дезинформацией.
Как позже выяснилось, с этого же дня доступ к моему личному кабинету имеет Sumsung SM-G973N, на который приходят все уведомления, например, о перевыпуске карты, о поступлениях, о списаниях. Я использую iPhone XR.
21 апреля пришёл ответ по обращению № A2104191334,где было написано,что банк не сможем вернуть деньги — оплата подтверждена одноразовым кодом из смс/пуш-уведомления, операции проведены только после введения кода, который отправлялся вам от банка в смс или пуш-уведомлении.
Повторных претензий в банк я не писала и сумму в размере 4400 рублей вернуть не просила .
29 апреля я забрала перевыпущенную карту с полной уверенностью,что мои личные данные защищены .
Что банк выполнил свои обязательства предусмотренные договором и выполнил все процедуры необходимы для сохранности моих данных и счетов .
4 мая
4 мая с моих карт Альфа-банка мошенники списали 104 528 рублей, о чем я узнала от мужа, так как он проверяет семейный счет. На мой телефон iPhone XR никаких уведомлений не поступало, а личный кабинет был недоступен по причине «превышен лимит времени на запрос».
На горячей линии альфа банка мне сказали ,что доступ в личный кабинет возможно восстановить,если я удалю приложение и заново установлю его. Факт невозможности зайти в личный кабинет и рекомендации сотрудников можно подтвердить записью разговора.
За выяснением ситуации я направилась в банк, где узнала, что денежные суммы списывались в несколько этапов на некий счёт тинькоф-инвестиции.
Итого
4 мая мошенниками, имеющими доступ к моему личному кабинету с 19 апреля (что подтверждается выпиской из базы данных банка), были списаны денежные средства с обеих карт. Общая сумма итого составляет 104 528 рублей.
СМС сообщения и уведомления на мой телефон iPhone XR не поступали ,что подтверждается выпиской банка .
По какой-то причине сотрудник банка Каретникова Н.В. 19 апреля при моем обращении по факту мошенничества не проверила доступы в личный кабинет, не перезапустила систему и не устранила риск доступа к личному кабинету.
Я составила заявление в банк № A2105052103 и написала заявление в полицию,где было возбуждено уголовное дело.
11 мая мне пришёл от банка Ответ по обращению № A2105052103, в котором принято решение об отказе возврата средств, так как операции по карте подтверждены одноразовым кодом из смс или пуш-уведомления, которые приходят на мой мобильный телефон.
Но, как видно из выписка банка, все уведомления приходили на Sumsung SM-G973N, которые получили доступ к моим данным в связи с непрофессиональным выполнением своих обязанностей сотрудником банка, которые не выполнили процедуру, блокирующую доступ к личному кабинету, после мошеннических действий 19 апреля.
Лично я на своей телефон iPhone XR никак смс или push-уведомлений не получала.
11 мая 2021 года я составила претензию в банк № A2105112306, в котором просила перепроверить операции по счетам и обратить внимание ,что отказ в возврате денежных средств по причине получения push -уведомлений на мой телефон является необоснованным и неверным. Доказательством того,что я не получала смс и push-уведомлений является выписка банка,где видно в какое время подтверждался операции Sumsung SM-G973N,который принадлежал мошенникам.
12 мая 2021 года я получила Ответ по обращению № A2105112306,в котором банк отказывает в возврате денежных средств украденных с моих счетов 4 мая в размере 104 528 рублей мотивируя тем,что 19.04.2021 в 11:04:13 на мой номер телефона приходило смс сообщение с паролем для входа с другого устройства.
Что я нарушили условия договора предоставив доступ в Альфа-Мобайл 3 лицам.
По факту первого мошенничества 19 апреля было обращение № A2104191334 и получен ответ ,который я не оспариваю и не прошу вернуть средства в размере 4400 рублей.
Моя претензия к банку состоит в том,что после первой ситуации мошенничества и обращения не были предприняты меры по сохранности моих данных и счетов ,в результате чего 4 мая с моей новой перевыпущенной карты и семейного счёта были украдены денежные средства в размере 104528 рублей.
Отказ банка в возврате денежных средств оцениваю как соучастие в мошенничестве и краже денежных средств в сговоре.
Так как протяжении 19 апреля по 4 мая банк обладал информацией о доступе мошенников к моему личному кабинету через устройство Sumsung SM-G973N и не предпринимал никаких действий для сохранности моих данных и денежных средств на счетах.
12 мая я пишу в Банк третью претензию № A2105122347, в которой еще раз прошу просмотреть хронологию событий, проверить действия сотрудника банка, убедиться, что с моего устройства никаких операций не совершалось ,и ссылаюсь на законодательные документы, которые обязывают обеспечивать сохранность данных моих счетов и оказывать услуги надлежащим образом :
-ст 24 ФЗ от 02.12.90 г. №395-1“ “о банках и банковской деятельности”,
-п 2.ст. 401, п.1 ст. 854 гражданский кодекс РФ,
-Определение Верховного суда от 28.04.2015
Но 31 мая мне пришел отказ в возврате средств, где банк
ответил “мы всё проверили и не обнаружили некорректных действий со стороны сотрудника банка”.
Следовательно, если вы хоть раз попались мошенникам, банк не в силах в дальнейшем обеспечить сохранность и безопасность счетов, никаких регламентов для сотрудников закрывающий дальнейших доступ к счетам нет.
Единственный способ не стать жертвой мошенников в дальнейшем -расторгнуть договор с банком и не пользоваться никогда его услугами.
Только мне кажется что в РФ нежелательно иметь банковские карты из-за их низкой защищённости?
Не карты, а дырявое дистанционное обслуживание, где вход без пароля. И да, лучше избегать иаких, правда, выбора немного. Вроде, все банки из топ10 - вход в личный кабинет без пароля, по коду из смс.
Даде тиньков, вроде и требует пароль, но его сбросить можно через смс.
Шляпа полная.
Здравствуйте.
У нас максимально настроена безопасность для восстановления логина и пароля. Нужен не только доступ к смс.
Ага, или звонок в линию техподдержки, где одному типу на banki.ru дали доступ в ЛК на основании "вашей биометрии"...
Пока не будет физической услуги "запрет восстановления доступа без личного посещения отделения с паспортом и проверкой личности" - любой банк ненадежен.
Подумаем по поводу такой услуги, как ее можно реализовать в рамках дистанционного обслуживания.
Спасибо за идею!
Для вас это максимально проблематично, я в курсе))
Но определенно какое то похожее решение назрело уже для всех банков, поскольку охранительные органы откровенно лажают тут.
У ВТБ есть запрет на дистанционное смену пароля. Но он включается ЛК мобильного приложения, и выключается тамже. Войти можно по смс и номеру карты
Что еще нужно кроме смс?
Номер карты, также в некоторых случаях система может запросить ответ на контрольный вопрос и есть другие факторы, которая система проверяет при восстановлении доступа.
Номер карты не является секретной информацией. По поводу вопросов, вот если бы всегда спрашивали, еще ладно. Но это не так. Почти всегда восстановление доступа по одной смс. Это плохо.
К сожалению, в большом количестве случаев, люди попросту забывают ответы на контрольные вопросы, особенно если задают несколько вопросов и ответов, а не один. Для удаления вопросов нужно обратиться по телефону, чтобы мы провели идентификацию, а это также в определенной ситуации нагружает линию и общее время ожидания клиентов по разным вопросам увеличивается.
На текущий момент система сама определяет, когда нужно запросить определенную информацию, а когда не стоит.
Не отрицаем, что есть много работы и мы будем продолжать улучшать систему безопасности дальше.
Получается, из-за таких "забывчивых" все упрощено донельзя. Равнение на самых малограмотных. И как результат - по одной смс открывается полный доступ к деньгам. Рай для мошенников. И никаких инструментов для защиты у пользователя.
Хотя, можно элементарно сделать - при восстановлении слать еще один код на email.
Идея с электронной почтой хорошая.
Возьмем также себе на заметку, спасибо!
А может сделать парную смс авторизацию на два телефонных номера? Тогда захват одного номера потеряет смысл.
Тогда нужно будет носить с собой два телефона, чтобы авторизоваться, либо держать постоянную связь с другим близким человеком, а ведь он может оказаться не на связи.
Обязателен ли пароль при авторизации в приложении с нового устройства? И ещё: так ли легко мошеннику вывести деньги со вклада, как легко это сделать с карты, если он получил доступ к приложению?
Пароль обязателен. Вывод со вклада происходит не сразу, иногда можно успеть отменить заявление на изъятие и если есть контрольные вопросы, они также зачастую задаются при входе с нового устройства и при попытке вывода с вклада.
Есть ли опция запрета вывода денежных средств с вклада без предварительного личного звонка и подтверждения личности?
Такого нет, но вы можете открыть вклад в офисе банка, обслуживание его тогда тоже будет полностью проходить в офисе.
А где у вас офисы находятся?
Он только один в Москве и нужен для решения узкого круга вопросов.
Ну есть двухсимочные телефоны, да и вообще такая парная авторизацмя нужна только при добавлении нового устройства.
У меня есть еще лучше - дайте возможность отказаться от смс и получать коды в телеграм, например, как для подтверждения каких-то действий, так и просто для авторизации) Это ведь удобнее, чем смс или емейл.
В альпари, например, при выводе средств вместо смс можно подтвердить кодом из тг - очень удобно и надежнее, т.к. для авторизации на новом устройстве в тг помимо смс еще можно задать пароль. Перехвата смс/перевыпуска симки в таком случае недостаточно, чтобы узнать код подтверждения
Идея интересная, но пока доверять коды безопасности сторонним приложениям не планируем.
Ну чо? Прошло 3 месяца. Как там заметка ваша? Хоть что нибудь в плане безопасности улучшили за 3 месяца или также все дырявое?
Здравствуйте. У нас система безопасности настроена максимально эффективно.