«СберБанк»: мои персональные данные попали к злоумышленникам — их может предоставлять голосовой робот
Сегодня 12.07.2021 года в 18:14 поступил звонок от мошенников «Служба безопасности СберБанка» с номера +74959665374.
Мне периодически поступают подобные звонки от "СберБанка". Было свободное время, и я начал диалог с " младшим специалистом". История обычная, попытка перевода на 3000 рублей (остаток по картам меньше 50 рублей, это я знал точно), злоумышленники уже привязали к сберонлайну ещё один номер, который мне не известен, и так далее. Спрашивают остаток который я помню. Говорю что 350 000 там лежит на карте, планирую на выходных покупать авто. Через несколько вопросов, говорит, что есть попытка перевода на 120 000 рублей, и что дело серьезное. Говорит что переводит на "старшего специалиста" и он поможет вернуть деньги и разблокировать карты.
Гудки минуту и берёт старший специалист. После 5 минут разговоров ни о чем, мне внезапно говорят, что я обманываю "сотрудника банка" и 350 000 у меня на свете нет. Я не обратил внимания и говорю что деньги точно есть на карте. Внезапно, мне называют последние цифры всех моих карт, говорят какие виртуальны, а какие нет, указывают что есть "зарплатная" карата и называют точный остаток, до копеек, ХХ рублей и ХХ копеек. После бросают трубку, говоря что меня заблокируют на Государственном уровне за обман сотрудников банка. Ну я посмеялся, но после входа в приложение понял, что мне озвучили точные остатки по всем картам до копеек.
Данная информация ввела меня в недоумение, т.к. я сам не знал точный остаток по картам. Я позвонил на 900 за комментариями. Первый сотрудник твердил как мантру, что сотрудники банка не передают информацию мошенникам. Идите к оператору, но у меня не подключено смс оповещение. Мой оператор не знает этой информации. Я задавал вопрос раза 3, ответ всегда был один: "Мы не знаем как это возможно, банк не передает информацию о счетах". Я пригрозил освещением данной ситуации, меня перевели на старшего специалиста контактного центра. Опять начались отмазки, что банк не при чем. При этом было ничего не предложено для того чтоб обезопасить аккаунт.
Я начал требовать проверить кто и когда входил в мой лк, и с каких устройств. Мне сообщили, сторонние устройства не привязаны, а историю входа через браузеры сообщить отказались, т. к. я звонил с номера, который не привязан к банку. Договорились что я перезвоню с номера который указан контактным и мы все проверим. Но связаться с оператором не получилось т.к. он был "занят". Новый оператор без согласования заблокировал все карты (за это отдельное спасибо) и через силу составила заявку в службу безопасности 2107120744468600 составляла Светлана 38069, прошу проверить все диалоги с сотрудниками на корректность.
Мне заявляли что мошенник мог "просто угадать" остаток. Вы это серьезно? Или тот что мой телефон взломан, зачем вообще мне тогда звонить? В таком случае они бы молча оформили бы кредит через приложение и перевели себе, зачем это шоу? После диалога с банком и обсуждения ситуации с коллегами, которые были свидетелями всего разговора, было сделано заключение, что изначально мошенники не имели информации по остаткам на моих картам, иначе не стали бы тратить время из-за суммы менее 50 рублей. Информацию они получили в режиме онлайн, когда поняли, что намечается крупная сумма. Кроме как имея аффилированного сотрудника в СберБанке узнать номера карт и остатки технической возможности нет или я ошибаюсь?
Через час на заявку приходит ответ:
[12.07.2021 в 20:07] Ваше обращение рассмотрено АЛЕКСАНДР ОЛЕГОВИЧ, ваше обращение 210712-0744-468600 от 12.07.2021 рассмотрено. Благодарим за сообщение о подозрительном звонке. Банк внимательно изучает подобные случаи мошеннических действий. Рекомендуем не терять бдительность и НИКОМУ не сообщать полные данные карт и одноразовые пароли. Банк никогда не просит совершать перевод средств. Меры безопасности при использовании банковских продуктов и услуг размещены на сайте банка в разделе «Ваша безопасность». Ознакомиться с полным текстом ответа вы можете в мобильном приложении Сбербанк Онлайн https://sberbank.ru/sms/ob. Сбербанк
Друзья, мы выяснили как такое возможно. Во время общения с младшим сотрудником, старший звонит на номер 900 подставляя на исходящий мой номер. Там робот предлагает продиктовать мне остаток по картам, просит назвать номер, если назвать номер на угад, то робот дружелюбно сообщает что такой карты нет, и называет номера всех действующих карт (Сбер,это реально круто, спасибо). Далее называешь номер любой из карт, и он сообщает тебе остаток. Это просто офигенно. Вопрос про слив данных сотрудником снимается, виноват робот. Новые вопросы к Сберу: почему сотрудники не знают что так можно? Почему вообще так можно? Добавлю в пост.
Ответ от Сбера через 20 часов после 1 обращения:
Друзья, мы выяснили как такое возможно. Во время общения с младшим сотрудником, старший звонит на номер 900 подставляя на исходящий мой номер. Там робот предлагает продиктовать мне остаток по картам, просит назвать номер, если назвать номер на угад, то робот дружелюбно сообщает что такой карты нет, и называет номера всех действующих карт (Сбер,это реально круто, спасибо). Далее называешь номер любой из карт, и он сообщает тебе остаток. Это просто офигенно. Вопрос про слив данных сотрудником снимается, виноват робот. Новые вопросы к Сберу: почему сотрудники не знают что так можно? Почему вообще так можно?
Добавлю в пост.
Комментарий недоступен
Я не же и писал что мне называли последние номера моих карт, и баланс по ним. Использование данного бага, как раз и направленно на повешение доверия к звонящему. Я не мог предположить что подобная информация может быть у мошенников и поэтому рассказал данную историю. Если бы я хранил деньги в сбере, и при более грамотном общении мошенников я мог бы расстаться с деньгами. Сам по себе полный номер карты не дает возможности меня ограбить.
Комментарий недоступен
"Внезапно, мне называют последние цифры всех моих карт, говорят какие виртуальны, а какие нет, указывают что есть "зарплатная" карата и называют точный остаток, до копеек, ХХ рублей и ХХ копеек."
Комментарий недоступен
Мои предположения: заручившись доверием просят полный номер карты, на сайте Сбера запрашивают сброс пароля, я называю пароль, пока меня далее обрабатывают на линии, воруют мои 35 рублей, с карты, опционально подтверждают предодобренные кредиты от банка, выводят. Все. Сбербанк говорит, что я сам виноват, данные моих карт и остатки они не передают мошенникам. А робот ещё 2 недели назад уволился.
Комментарий недоступен
Извините, я так далеко ещё не заходил. Код мошенникам не называл, могу только догадываться как бы было. В следующий раз обязательно пройду весь путь, чтоб статья получилась завершённой.
Комментарий недоступен
Тут скорей просто развести им легче будет, когда представляются сотрудниками, при этом называют точный баланс по картам, доверие значительно повысится + может это не единственная дыра и можно узнать еще какую то инфу для повышения доверия. Ну и мошенникам баланс полезно знать, смысл тратить время на человека у которого 300 руб на карте, лучше потратить на того где 300 тыс руб.
Комментарий недоступен
Это называется грубое нарушение банковской тайны.
Комментарий недоступен
Комментарий недоступен
Акуеть
Комментарий недоступен
Подделка CallerID это вообще тривиальная задача.