Хронология событий
19 апреля
19 апреля с моего счета украли сумму 4400 рублей.
В тот же день я обратилась в банк г.Красногорск отделение ул.Ленина 38 б за разъяснением ситуации и требованием обезопасить мои счета и личный кабинет.
Тем более, что в нем отражаются данные карты, привязанные к счету мужа, который является премиальным клиентом альфа-банка.
Было составлено обращение № A2104191334.
Нас обслуживала сотрудник Наталья Вячеславовна Каретникова.
В тот же день карту заблокировали и отправили на перевыпуск, сказали, что доступ к личному кабинету для мошенников невозможен, так как вход в личный кабинет по смс коду действует 5 минут.
Меня заверили, что все необходимые действия по защите моих данных и денежных средств предприняты,что оказалось дезинформацией.
Как позже выяснилось, с этого же дня доступ к моему личному кабинету имеет Sumsung SM-G973N, на который приходят все уведомления, например, о перевыпуске карты, о поступлениях, о списаниях. Я использую iPhone XR.
21 апреля пришёл ответ по обращению № A2104191334,где было написано,что банк не сможем вернуть деньги — оплата подтверждена одноразовым кодом из смс/пуш-уведомления, операции проведены только после введения кода, который отправлялся вам от банка в смс или пуш-уведомлении.
Повторных претензий в банк я не писала и сумму в размере 4400 рублей вернуть не просила .
29 апреля я забрала перевыпущенную карту с полной уверенностью,что мои личные данные защищены .
Что банк выполнил свои обязательства предусмотренные договором и выполнил все процедуры необходимы для сохранности моих данных и счетов .
4 мая
4 мая с моих карт Альфа-банка мошенники списали 104 528 рублей, о чем я узнала от мужа, так как он проверяет семейный счет. На мой телефон iPhone XR никаких уведомлений не поступало, а личный кабинет был недоступен по причине «превышен лимит времени на запрос».
На горячей линии альфа банка мне сказали ,что доступ в личный кабинет возможно восстановить,если я удалю приложение и заново установлю его. Факт невозможности зайти в личный кабинет и рекомендации сотрудников можно подтвердить записью разговора.
За выяснением ситуации я направилась в банк, где узнала, что денежные суммы списывались в несколько этапов на некий счёт тинькоф-инвестиции.
Итого
4 мая мошенниками, имеющими доступ к моему личному кабинету с 19 апреля (что подтверждается выпиской из базы данных банка), были списаны денежные средства с обеих карт. Общая сумма итого составляет 104 528 рублей.
СМС сообщения и уведомления на мой телефон iPhone XR не поступали ,что подтверждается выпиской банка .
По какой-то причине сотрудник банка Каретникова Н.В. 19 апреля при моем обращении по факту мошенничества не проверила доступы в личный кабинет, не перезапустила систему и не устранила риск доступа к личному кабинету.
Я составила заявление в банк № A2105052103 и написала заявление в полицию,где было возбуждено уголовное дело.
11 мая мне пришёл от банка Ответ по обращению № A2105052103, в котором принято решение об отказе возврата средств, так как операции по карте подтверждены одноразовым кодом из смс или пуш-уведомления, которые приходят на мой мобильный телефон.
Но, как видно из выписка банка, все уведомления приходили на Sumsung SM-G973N, которые получили доступ к моим данным в связи с непрофессиональным выполнением своих обязанностей сотрудником банка, которые не выполнили процедуру, блокирующую доступ к личному кабинету, после мошеннических действий 19 апреля.
Лично я на своей телефон iPhone XR никак смс или push-уведомлений не получала.
11 мая 2021 года я составила претензию в банк № A2105112306, в котором просила перепроверить операции по счетам и обратить внимание ,что отказ в возврате денежных средств по причине получения push -уведомлений на мой телефон является необоснованным и неверным. Доказательством того,что я не получала смс и push-уведомлений является выписка банка,где видно в какое время подтверждался операции Sumsung SM-G973N,который принадлежал мошенникам.
12 мая 2021 года я получила Ответ по обращению № A2105112306,в котором банк отказывает в возврате денежных средств украденных с моих счетов 4 мая в размере 104 528 рублей мотивируя тем,что 19.04.2021 в 11:04:13 на мой номер телефона приходило смс сообщение с паролем для входа с другого устройства.
Что я нарушили условия договора предоставив доступ в Альфа-Мобайл 3 лицам.
По факту первого мошенничества 19 апреля было обращение № A2104191334 и получен ответ ,который я не оспариваю и не прошу вернуть средства в размере 4400 рублей.
Моя претензия к банку состоит в том,что после первой ситуации мошенничества и обращения не были предприняты меры по сохранности моих данных и счетов ,в результате чего 4 мая с моей новой перевыпущенной карты и семейного счёта были украдены денежные средства в размере 104528 рублей.
Отказ банка в возврате денежных средств оцениваю как соучастие в мошенничестве и краже денежных средств в сговоре.
Так как протяжении 19 апреля по 4 мая банк обладал информацией о доступе мошенников к моему личному кабинету через устройство Sumsung SM-G973N и не предпринимал никаких действий для сохранности моих данных и денежных средств на счетах.
12 мая я пишу в Банк третью претензию № A2105122347, в которой еще раз прошу просмотреть хронологию событий, проверить действия сотрудника банка, убедиться, что с моего устройства никаких операций не совершалось ,и ссылаюсь на законодательные документы, которые обязывают обеспечивать сохранность данных моих счетов и оказывать услуги надлежащим образом :
-ст 24 ФЗ от 02.12.90 г. №395-1“ “о банках и банковской деятельности”,
-п 2.ст. 401, п.1 ст. 854 гражданский кодекс РФ,
-Определение Верховного суда от 28.04.2015
Но 31 мая мне пришел отказ в возврате средств, где банк
ответил “мы всё проверили и не обнаружили некорректных действий со стороны сотрудника банка”.
Следовательно, если вы хоть раз попались мошенникам, банк не в силах в дальнейшем обеспечить сохранность и безопасность счетов, никаких регламентов для сотрудников закрывающий дальнейших доступ к счетам нет.
Единственный способ не стать жертвой мошенников в дальнейшем -расторгнуть договор с банком и не пользоваться никогда его услугами.
А что вы хотели, из "защиты" только смсочка. Пароли отменили. Это в почтовый ящик на каком-нибудь mail.ru просто так не войдешь, а в банк - хватит кода из смс. Зачем пароли какие-то, сложно это все.
Решение: избегать банки где вся авторизация - это код из смс.
Смс даже как второй фактор решение спорное. Но как единственный - это вообще пиздец.
В России не очень "безопасные" провайдеры, банками пользуются условно все, т.е. люди с разным доходом, и разным образованием, вы можете не знать о технических возможностях, которые предоставляет, например https, поэтому о шифровке в принципе знают в основном люди с ИТ образованием или опытом работы, а веду я всё к тому, что пароли это не так безопасно как кажется, и к тому же приложения банков для смартфонов используют пароли только на первом подключении, дальше вы используете пин-код, пин-коды это отделённые пароли для доступа с устройства, плюс первое подключение записывает ваши данные в токен(ы), чтобы после его использовать для переподключения, но системы бывают разные конечно, смс работает не у каждого банка в режиме "только смс для подтверждения", например в Сбер используется система push\смс, если удалось отправить push запрос, то смс не придёт, иначе будет отправлена смс. Но есть личный кабинет на сайтах и приложения, они могут быть как общими, так и раздельными, т.е. иметь одно не имея другого. Может на мелких банках и есть только смс для входа, но на крупных вероятно нет, пользуюсь только ВТБ и Сбер, там не видел такого, однако ВТБ имеет плохую практику для входа, если пароль и логин запалить, а после поменять, со старой вход никуда не уйдёт, всё равно также можно зайти, лично не проверял, но где-то об этом писали, можете поискать
Это не повод ронять ИБ ниже плинтуса для всех. Это повод ввести сегрегацию на тех, кому достаточно СМС (и мгновенно установить наивысший риск-скоринг по операциям такого клиента), тех, кому достаточно пароль + СМС (и поставить средний риск-скоринг по операциям) и тех, кому, к примеру, обязательно кодовое слово, пароль, СМС и одноразовый код из Google Authenticator для каждой операции, включая вход в приложение, смену номера телефона, привязку пластика к другому счету, перевод между своими счетами и т.д. - таким ставить околонулевой риск-скоринг.
Суть была немного не в доходах, а в тех. знаниях.
Но да, вы правы, ИБ ронять нельзя. Однако тут есть та часть, на которую пользователи обычно не смотрят, для банка сколько бы вы в него не вложили, если вы не являетесь "крупным клиентом" или акционером, вы для банка всего лишь часть дохода, причём падением малого процента пользователей для банка существенной проблемой не является. А также банк это бизнес, поэтому банк делает то, что для него выгодно, к тому же для условий бизнеса в России можно, прости за такую речь, но всё же, "насрать на клиентов". Google Authenticator или аналоги используют не столь много клиентов банка, к тому же это не всегда удобно, и нецелесообразно для операций со смартфона или планшета, если делать это в приложении банка, тем более если само приложение будет иметь хилую защиту, то толку от этого ноль.
На текущий момент дыра не в слабой защите приложения, а в практически отсутствующей защите на стороне сервисов, отображением которых занимается приложение. GA, буде такой предложен клиентам, вполне себе отличный способ защитить именно сервисы, поскольку, за исключением рутованного устройства и одновременно зловредного приложения, стороннее приложение получить доступ к внутренней базе токенов GA не может ни в android, ни в iOS. Без этого доступа самостоятельно сгенерировать правильную шестизначную последовательность кода, срок действия которого около минуты, невозможно. Запустить в фоне приложение и перехватить его отображение в общем случае сегодня тоже нельзя.
В отличие от сервиса SMS, кишки которого торчат наружу публичным API в Android прямо из недр операционки, уж не знаю, как там в iOS с этим. Плюс, как уже неоднократно упоминалось, СМС перехватываются. Где с подключением фиктивного оператора прямо к SS7, где просто через перевыпуск SIM-карты с использованием поддельных документов или даже без такового (сотрудник точки в доле, например).
Впрочем, да. Для изменения этих вещей уже по воле самих банков требуется такие дела дотащить до ВС РФ, желательно неоднократно, чтобы повысить шанс их попадания в обзор практики. И только тогда, под гнётом сформированной позиции ВС РФ и практики по ней, банки с горящей сракой всё моментально реализуют. Прям половины года хватит, если не меньше.
Раньше в андроид было просто с смс, теперь нет
Просто или нет, а это всё равно проще, чем GA, у которого публичного API для других приложений вообще не существует. Меньше точек отказа. К тому же, протокол F2A, который, насколько знаю, нынче уже RFC, реализует множество приложений. В ведроиде, например, andOTP есть. Это увеличивает поверхность, по которой атакующим надо будет работать, вся сила как раз в разнообразии. А с единым штатным API, будь у тебя самсунг, сяоми или лыжа, атакующему разницы никакой. Вектор один.