Московский Кредитный Банк: со счета украли миллион рублей, банк не уведомил об этом, а подача заявления заняла 3 часа
1 июля 2021 года, примерно в 14 часов моя мама Елена П. трижды безуспешно пыталась войти в онлайн-банкинг на сайте МКБ.
Через некоторое время после третьей неудачной попытки входа, маме поступил звонок из банка, оператор спросила, подтверждает ли она операцию на 350/450 тысяч рублей (неразборчиво, скороговоркой). Мама ответила, что не подтверждает, более того, вообще не может войти в онлайн-банкинг, на что оператор сообщила, что блокирует карту и посоветовала обратиться в отделение банка. Маму ситуация расстроила, так как аналогичный случай уже происходил за пару месяцев до этого - при одной из попыток входа ей заблокировали доступ и пришлось ехать в отделение для его восстановления. В тот раз ей озвучили причину "подозрение на несанкционированных вход".Приехав в отделение банка по адресу Ореховый бульвар, 45к1, мама сообщила сотруднице Иль-ной о невозможности зайти в свой личный кабинет и блокировке карты и попросила восстановить доступ, что и было сделано.
Зайдя дома в онлайн-банкинг по новым логину, мама была в шоке, увидев многочисленные переводы сумм со своего счета – на счета других людей в Альфа-Банке, а также по номеру телефонов по системе быстрых платежей в банк Открытие, на общую сумму около 1 200 000 рублей. Обращаю внимание, что при этом от банка ни 1 смс о проведенных операциях, а также кодов для подтверждения операций не поступало. Также обращаю внимание, что операция в 450 тыс. была, в числе других, проведена банком, несмотря на то, что была неподтверждена по телефону.
Мама вернулась в банк и уведомила об этом Иль-ну, на что та сообщила, что «вам нужно бежать в полицию, здесь ничего не вернут» и «банк ничего не сделает»(Банк! Обратите внимание на официальную коммуникацию вашего должностного лица). На просьбу вызвать руководителя она сообщила, что здесь главная она. Обращаю внимание, что маме даже не предложили написать заявление о несогласии с операциями, претензию к банку или вообще провести какие-либо формальные процедуры, о которых мама на тот момент не могла знать.
После обращения в полицию и консультации с юристами 2 июля в офисе банка по его юридическому адресу (Луков переулок, д2, стр.1) мама подала заявление о несогласии с проведенными несанкционированными списаниями. При этом сотрудники сначала не моли понять, о какой форме заявления идет речь, затем нашли форму и предложили заполнить 7 (!) заявлений по количеству несанкционированных списаний. В процессе регистарции одного из таких заявлений в системе сотруднику вдруг "поступил звонок", и он сообщил,что с такими заявлениями они больше не работают. Вместо того, чтобы заполнить форму установленного образца, маме теперь предложили написать Обращение от руки в произвольной форме. Сложилось впечатление, что предпринимаются все возможные действия для того, чтобы заявление не было подано в срок и в верной форме. Также обращаю внимание, что все происходящее было огромным стрессом для человека в возрасте и в таком эмоциональном состоянии. В общей сложности, чтобы просто написать заявление, мы провели в отделении примерно 3 (!) часа.
На данный момент:
1.Возбуждено уголовное дело, подано заявление в ЦБ и готовится заявление Финансовому Омбудсмену, а мы ожидаем от Банка максимально быстрого рассмотрения Заявления и оперативного возмещения средств на счет по обращению в рамках ст. 9 161-ФЗ «О Национальной платежной системе». Также готовится описание кейса для зарубежных сообществ - возможно, иностранным акционерам и вкладчикам Банка будет также очень интересно узнать об этом. Наиболее циничной вся ситуация выглядит в свете того, что это был счет со всеми накоплениями человека - ветерана труда (включая пенсионные) за много лет жизни.
2. При этом данные карты, логин и пароль никому не передавались, социальная инженерия исключена, а от МКБ не поступило ни 1 кода подтверждения операций и ни 1 сообщения об уже проведенных операциях, что является прямым нарушением Закона 161-ФЗ. Отсутствие таких SMS подтверждает официальная выписка сотового оператора. Несанкционированные операции в онлайн-банкинге были замечены при входе только после восстановления доступа.
Обращаю внимание на действия (а точнее, бездействие) сотрудников Банка:
1. При звонке из банка и неподтверждении операций они почему-то все же были проведены.
2. В отделении при первом посещении клиента даже не удосужились уведомить о проведенных операциях, а при повторном посещении (когда об этом их уведомил клиент) сообщили, что банк "ничего не сделает", " (дословная цитата), не сообщили о необходимой процедуре и не предложили написать заявление о несогласии с несанкционированными операциями.
3. Клиенту не поступило ни 1 SMS для подтверждения операций, не говоя уже о том, что Банк не уведомил в форме SMS ни об 1 операции по списанию со счета или переводах по номеру телефона.
Уважаемые клиенты Московского Кредитного Банка
Если вы, а в особенности ваши пожилые родители, не хотели бы расстаться в любой день со средствами на ваших счетах, ничего об этом не узнать от Банка, а узнав случайно — в отделении банка услышать примерно следующее: «а что вы хотите, такое происходит часто и просто на этот раз не повезло именно вам» (по словам сотрудников банка в Луковом пер., похоже, ситуация для них не нова), а на вопрос "а вы разве, принимая на хранение средства, не можете гарантировать их сохранность"? - и ответ, примерный смысл которого "получается да, мы не можем это гарантировать"); если не хотите, чтобы по вашим счетам проводились операции даже после того, что вы четко дали оператору понять, что вы их не подтверждаете, — то лучше сделайте выбор в пользу других банков, а также задумайтесь о безопасности своих средств, если они уже размещены в Московском Кредитном Банке.
Как вы считаете, похоже на утечку данных? Что вы думаете о действиях сотрудников Банка в данном случае?
...когда читаешь такие статьи, начинаешь думать что Банк перестал быть Банком, а стал каким-то мутным дырлом. Из которого 100 способами можно вынуть твои деньги. А ты лопух
Короче. Где теперь деньги держать? Актуальный вопрос для рашки. судя по многочисленности таких статей
У банка задача как и раньше - зашибать деньги. Банк в этом случае не парится потому, что большинство таких пострадавших банку ничего не сделают, а так как это не массовое явление, то оно быстро заглохнет, не успев превратиться в пожар и не повлияет никак на его вкладчиков.
А так банки всегда были мутными и опасными.
Вот вы пишете "вероятное подсобничество Банка мошенникам". А если сесть и подумать, действительно ли кто-то из работников банка может помочь украсть со счета - сколько? - ну пусть даже миллион рублей - и подставиться под уголовное дело. Сесть в тюрьму, потерять работу, карьеру... Вы в это действительно можете искренне поверить?
Люди воруют велосипеды и попадают под уголовку. Это стоит того чтобы присесть? Вор всегда думает, что он умнее. Ну и лям тоже не мелочь так то для кого то.
Ой, да тут недавно был случай, когда руководитель отделения сбера, уговорил клиентку перевести деньги после продажи участка по специальным реквизитам (его личным вроде). Т.ч. всё может быть.
Да, в такое можно поверить, знаю случай в подмосковном отделении другого банка, сотрудник примерно такое и провернул
Прим.: первоначально автор указал такой заголовок: "Воровство со счетов в Московском Кредитном Банке, возможная утечка данных /вероятное подсобничество Банка мошенникам".
По телефону операцию подтверждать уже не было необходимости, она была подтверждена из МП (коротким паролем, отпечатком или FaceId), и проведена была в тот же момент. А звонок из банка был для того, чтобы блокировать карту и предотвратить дальнейший вывод средств.
Что касается того, что операционист в отделении ничего не сообщил Елене об уже проведённых операциях - так и не было у него такой задачи. Мало ли, кто, кому, когда и сколько переводит....
Если бы Елена спросила, или выписку попросила - ей бы информацию предоставили. А без просьбы лазать по счетам клиента, чтобы сообщить внезапно - О! а у вас тут семь переводов было! - операционист не должен
Добрый день! По обращению была проведена тщательная проверка всех обстоятельств произошедшего. Установлено, что проведение операций в системе МКБ Онлайн осуществлялось с мобильного устройства. Операции проводились в мобильном банке с использованием электронной подписи, которая является аналогом собственноручной подписи клиента и имеет равную юридическую силу.
Вход в мобильный банк был произведен с использованием уникального логина и пароля, о чем банк незамедлительно направил на контактный мобильный номер клиента смс-уведомление с информацией о наименовании устройства. В соответствии с отчетом сотового оператора уведомление было доставлено.
Смена способа подтверждения операций в мобильном банке была подтверждена вводом корректного одноразового пароля, направленного и доставленного на номер телефона клиента. Сообщение с паролем содержало информацию о том, что код предусматривается для смены способа подтверждения операций.
Информирование о совершении операций, подтвержденных электронной подписью, производилось банком с помощью push-уведомления, направляемого на зарегистрированное устройство, что предусмотрено в соответствии с п. 5.8.1 Правил дистанционного банковского обслуживания в рамках комплексного банковского обслуживания в ПАО «МОСКОВСКИЙ КРЕДИТНЫЙ БАНК».
Позвольте отметить, что в период регистрации устройства и совершения операций системами банка не зафиксированы попытки входа в веб-версию МКБ Онлайн, размещенную на официальном сайте банка по адресу https://online.mkb.ru/, в связи с чем есть вероятность, что конфиденциальные данные могли вводиться на стороннем ресурсе, не принадлежащем банку и не являющимся системой дистанционного банковского обслуживания МКБ Онлайн, чем могли бы воспользоваться злоумышленники.
С учетом вышеизложенного совершаемые операции в мобильном банке проводились в соответствии с Договором комплексного банковского обслуживания, заключенным между клиентом и банком, являлись легитимными для банка, основания для отказа в их проведении у банка отсутствовали.
Также принимая во внимание, что безотзывность перевода денежных средств наступает с момента списания денежных средств с банковского счета плательщика, либо с момента предоставления плательщиком наличных денежных средств в целях перевода денежных средств без открытия банковского счета, сообщаем, что в данном случае возможность отзыва распоряжения об осуществлении перевода отсутствовала, т.к. перевод был успешно осуществлен в силу ч. 7 ст. 5, ч. 9 ст. 8 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе». Так услуги по переводу денежных средств оказаны банком в полном объеме и надлежащим образом.
Дополнительно в банке проводится контроль по общему объему совершаемых операций, в связи с чем для возможности дальнейшего проведения операций был совершен звонок сотрудником банка. К моменту звонка совершенные операции уже являлись безотзывными. Поэтому банк не имел возможности произвести отмену операций в соответствии с действующим законодательством, но по результатам разговора банк блокировал возможность проведения последующих операций. После звонка со стороны банка и блокировки системы дистанционного банковского обслуживания операции по счетам не проводились.
Искренне сожалею, что пришлось столкнуться с мошенническими действиями, но в данном случае рекомендую обратиться в правоохранительные органы. Банк готов оказать максимальное содействие, в том числе предоставить всю имеющуюся информацию в случае их запроса.
Павел, также прокомментриуйте публично действия Банка, описанные в данной статье - уже после кражи. По какой причине сотрудник отделения на Ореховом Бульваре вообще не сообщил клиенту о том, что произошло? По какой причине клиента заставили писать 7 заявлений по установленной форме, а затем заставили отменять эти заявления?
А также по какой причине была несанкционированно проведена не подтвержденная по телефону операция?
А также - почему были проведены операции, абсолютно явно имеющие признаки перевода средв без согласия клиента?
"Операции проводились в мобильном банке с использованием электронной подписи, которая является аналогом собственноручной подписи клиента и имеет равную юридическую силу".
Поскольку Вы утверждаете, что проведенные операции в мобильном банке были проведены с использованием электронной цифровой подписи, просим предоставить подписанный лично клиентом Еленой П. сертификат открытого ключа данной ЭЦП а также сообщить, на какой ip-адрес отсылались указанные ваши push-уведомлени и фигурирует ли данный адрес в подписанный клиентом Еленой П. Договоре банковского обслуживания.
Также, клиент не была проинформирована Банком по факту ни об одной из проведенных операций, коих было в общей сложности 7, что является прямым нарушением Закона о национальной платежной системе, о чем она незамедлительно уведомила Банк в своих обращениях от 1 и 2 июля, в связи с чем имеет право на возврат денежных средств Банком.
Также просим сообщить, по какой причине, в частности, была проведена операция на 450 тысяч рублей, которая совершенно четко была не подтверждена клиентом по телефону.
Комментарий недоступен
Дело темное, явна дыра в системе безопасности, но думаю мама где то карту спалила... раз было много списаний мелких.
Списания были не мелкие, а крупные.
При чем здесь карта ? Деньги были на накопительном счёте , операции проходили через онлайн-банкинг , как я понимаю через доступ с ПК или с мобильного телефона.
Антифрод у МКБ просто нулевой. Судя по всему где то данные все таки были засвечены. Оттого и проблемы с первым входом были. МКБ в целом не самый хороший банк на каждый день, а для хранения депозитов у них условия адекватные. Удачного исхода ситуации!
Больше похоже на фишинг, а не на внутренний фрод. Поэтому и залогиниться не получалось, ибо попытка была на фишинговой странице. Если так, то это не вина банка, а вопрос уже к полиции
Дарья, списания произошли ДО попыток входа. Время попыток входа известно.Время списаний отражено в личном кабинете. Банк в лице сотрудницы Иль-ной при посещении отделения примерно через полчаса после попыток входа отказался предоставить развернутую выписку по операциям. Банк не уведомил ни об 1 операции по смс, но зато позвонил на мобильный с просьбой подтвердить 1 из операции. Которая не была подтверждена, однако была тем не менее проведена.
А у вас с карты Мир списали? Ведь закон о национальной платежной системы Мира касается. А переводы у вас как подтверждаются по смс или через пуш?
Перевели с накопительного счета на карту Мир сначала все средства 2 операциями на 900 и 450 рублей, затем с карты 7 операциями на счета в Альфа- Банке и Открытие - по номеру счета и некоторые по номерам телефонов. Предположу, что при оперативном вмешательства банка в течении часа по крайней мере те операции, которые проводились по номеру счета, могли сначала находиться в обработке и могли бы быть блокированы. Однако оперативное вмешательство и предотвращение проблемы в Банке , видимо, никого не волновало.
Телефон не на андроиде случайно?
https://www.sravni.ru/q/kakie-pravila-nuzhno-sobljudat-kogda-publikuesh-lichnye-dannye-v-18779/?fbclid=IwAR29qWj1qIcdhfaVUNn1Ur6AlXf7VpQkOGxiqJB4vzpUIneTkaZuZONftJg
https://www.google.ru/amp/s/ria.ru/amp/20201121/moshenniki-1585530956.html
Уважаемый Вячеслав Касимов, а Вы не хотели бы для начала защитить клиентов Банка, в котором Вы возглавляете Департамент информационной безопасности, а заодно и рассказать Вашим сотрудникам, как это делается?
Так одно дело по конференциям выступать, а совсем другое - работать)) Если конечно выступление на конференциях не есть работа.
Добрый вечер! Я представляю МКБ. Обращения поступили в банк, проводится проверка обстоятельств. По факту завершения проверки вернусь с обратной связью.
Уважаемый Павел, спасибо за реакцию, но:Помимо самого вопиющего факта , я никогда не смогу простить Московскому Кредитному Банку то, что я увидела в олин из важнейших дней для моих родителей: мама в слезах и с выражением ужаса на лице, отец с высоким давлением.Описанная ситуация произошла в День Свадьбы моих родителей, который они трогательно отмечают более 35 лет. Спасибо вам МКБ за великолепный подарок и будьте уверены, что это не останется незамеченным.При этом ваше руководство по кибербезопасности тусуется на отраслевых мероприятиях и рассказывает публично о безопасности банковских систем и внедрении новых технологий по безопасности.
https://mkb.ru/news/29461
https://plusworld.ru/journal/2019/plus-10-2019/vyacheslav-kasimov-mkb-banki-nauchilis-effektivno-protivostoyat-vneshnim-ugrozam-no-rasslablyatsya-rano/
Уже получили. Не приходили.
А что там в ЛК в истории авторизаций? По датам входы в ИБ все совпадают с датами входа владелицы аккаунта? Были ли несанкционированные входы из мобильного приложения (МКБ-мобайл)?