«СберБанк»: мои персональные данные попали к злоумышленникам — их может предоставлять голосовой робот
Сегодня 12.07.2021 года в 18:14 поступил звонок от мошенников «Служба безопасности СберБанка» с номера +74959665374.
Мне периодически поступают подобные звонки от "СберБанка". Было свободное время, и я начал диалог с " младшим специалистом". История обычная, попытка перевода на 3000 рублей (остаток по картам меньше 50 рублей, это я знал точно), злоумышленники уже привязали к сберонлайну ещё один номер, который мне не известен, и так далее. Спрашивают остаток который я помню. Говорю что 350 000 там лежит на карте, планирую на выходных покупать авто. Через несколько вопросов, говорит, что есть попытка перевода на 120 000 рублей, и что дело серьезное. Говорит что переводит на "старшего специалиста" и он поможет вернуть деньги и разблокировать карты.
Гудки минуту и берёт старший специалист. После 5 минут разговоров ни о чем, мне внезапно говорят, что я обманываю "сотрудника банка" и 350 000 у меня на свете нет. Я не обратил внимания и говорю что деньги точно есть на карте. Внезапно, мне называют последние цифры всех моих карт, говорят какие виртуальны, а какие нет, указывают что есть "зарплатная" карата и называют точный остаток, до копеек, ХХ рублей и ХХ копеек. После бросают трубку, говоря что меня заблокируют на Государственном уровне за обман сотрудников банка. Ну я посмеялся, но после входа в приложение понял, что мне озвучили точные остатки по всем картам до копеек.
Данная информация ввела меня в недоумение, т.к. я сам не знал точный остаток по картам. Я позвонил на 900 за комментариями. Первый сотрудник твердил как мантру, что сотрудники банка не передают информацию мошенникам. Идите к оператору, но у меня не подключено смс оповещение. Мой оператор не знает этой информации. Я задавал вопрос раза 3, ответ всегда был один: "Мы не знаем как это возможно, банк не передает информацию о счетах". Я пригрозил освещением данной ситуации, меня перевели на старшего специалиста контактного центра. Опять начались отмазки, что банк не при чем. При этом было ничего не предложено для того чтоб обезопасить аккаунт.
Я начал требовать проверить кто и когда входил в мой лк, и с каких устройств. Мне сообщили, сторонние устройства не привязаны, а историю входа через браузеры сообщить отказались, т. к. я звонил с номера, который не привязан к банку. Договорились что я перезвоню с номера который указан контактным и мы все проверим. Но связаться с оператором не получилось т.к. он был "занят". Новый оператор без согласования заблокировал все карты (за это отдельное спасибо) и через силу составила заявку в службу безопасности 2107120744468600 составляла Светлана 38069, прошу проверить все диалоги с сотрудниками на корректность.
Мне заявляли что мошенник мог "просто угадать" остаток. Вы это серьезно? Или тот что мой телефон взломан, зачем вообще мне тогда звонить? В таком случае они бы молча оформили бы кредит через приложение и перевели себе, зачем это шоу? После диалога с банком и обсуждения ситуации с коллегами, которые были свидетелями всего разговора, было сделано заключение, что изначально мошенники не имели информации по остаткам на моих картам, иначе не стали бы тратить время из-за суммы менее 50 рублей. Информацию они получили в режиме онлайн, когда поняли, что намечается крупная сумма. Кроме как имея аффилированного сотрудника в СберБанке узнать номера карт и остатки технической возможности нет или я ошибаюсь?
Через час на заявку приходит ответ:
[12.07.2021 в 20:07] Ваше обращение рассмотрено АЛЕКСАНДР ОЛЕГОВИЧ, ваше обращение 210712-0744-468600 от 12.07.2021 рассмотрено. Благодарим за сообщение о подозрительном звонке. Банк внимательно изучает подобные случаи мошеннических действий. Рекомендуем не терять бдительность и НИКОМУ не сообщать полные данные карт и одноразовые пароли. Банк никогда не просит совершать перевод средств. Меры безопасности при использовании банковских продуктов и услуг размещены на сайте банка в разделе «Ваша безопасность». Ознакомиться с полным текстом ответа вы можете в мобильном приложении Сбербанк Онлайн https://sberbank.ru/sms/ob. Сбербанк
Друзья, мы выяснили как такое возможно. Во время общения с младшим сотрудником, старший звонит на номер 900 подставляя на исходящий мой номер. Там робот предлагает продиктовать мне остаток по картам, просит назвать номер, если назвать номер на угад, то робот дружелюбно сообщает что такой карты нет, и называет номера всех действующих карт (Сбер,это реально круто, спасибо). Далее называешь номер любой из карт, и он сообщает тебе остаток. Это просто офигенно. Вопрос про слив данных сотрудником снимается, виноват робот. Новые вопросы к Сберу: почему сотрудники не знают что так можно? Почему вообще так можно? Добавлю в пост.
Ответ от Сбера через 20 часов после 1 обращения:
Так есть у мошенников остаток, а дальше что? Как деньги то ваши украсть?
Ну потенциально достаточно много ситуаций при которых нежелательно чтобы любой олень, заплатив 10 центов, имел возможность знать твой баланс
Ну узнают ваш баланс, и что же дальше? Узнают, что вы покупали картошечку в Макдаке, и кому это интересно? Даже если вы покупали фильмы для взрослых, это также никому не интересно.
Узнать эти данные может не только удаленщик из другого города/страны, но и какой-нибудь отморозок поблизости. Грабежи/разбой/пытки хоть и реже гораздо стали, но никуда не делись.
Одно дело, когда видят просто квартиру, машину и пр., Это может быть кредитное и человек без накоплений, а другое дело, когда можно за пару часов с человека практически гарантированно выбить значимую для людей сумму.
Ну вы прям загнули так загнули 😁
Выбить тут глагол прямого насильственного действия имелся в виду. Ведь адрес-то уже засвечен.
На теневых форумах очень часто ищут сотрудников операторов связи. Если у вас на карте условные 20 рублей, то вы никому не интересны, а если скажем тысяч 400, то куда более. Дальше схема понятна?
Не понятна, расскажите, пожалуйста, раз вы так заявляете, то наверное вы знаете о чем говорите и заявляете не просто так. Может у вас есть ссылка на пару новостей по этой теме. 400к на карте это по вашему много? Тогда хватайте любого человека на входе в автосалон, хватайте любого на возле в гум. Да что далеко ходить, хватайте любого в магазине где продаются например кухни )) Или вы выбрасывайте граждан из лексусов последних лет, там его тупо на запчасти можно продать, и 400к можно выручить, просто подав колёса )
Разборное нападение с оружием это от 6 до 12 лет, и такие новости были бы везде.
Вы операции по банку через смс проводите? Доступ к телефону только у вас? Меняли когда-нибудь симку у операторов? В чем проблема узнать ваш баланс, выпустить симку и провести перевод? * Большие суммы вроде больше 600к требуют дополнительной верификации.
После перевыпуска симкарты - старая выпадет из сети. Это раз.
Сейчас, после неоднократных атак подобного рода, как минимум часть сотовых операторов отключает приём смс на сутки после смены сим-карты.
Так что операция минимум на сутки и так, чтобы владелец телефона/банковской карты не узнал.
Но можно без перевыпуска ( https://www.vice.com/en/article/y3g8wb/hacker-got-my-texts-16-dollars-sakari-netnumber ), если дырку пока не заткнули.
Осталось самое простое в вашей схеме - научить ассистента @Сбер перевыпускать сим карты.
но надёжнее - хватать на входе в офис сбертеча. заодно позволит восстановить справедливость ;)
Месье, мы знаем ваш остаток на счету, говорите код из смс
не дошло. можете повторить?
https://www.kinopoisk.ru/film/596227/
Не нужно думать, что малая сумма для вас окажется столь же малой для злоумышленника. Людей убивают и за меньшие суммы.